Como criar uma política de segurança de informação na sua empresa

Como criar uma política de segurança de informação na sua empresa

Posted Leave a commentPosted in Tecnologia e Gestão

A proteção da informação das empresas é o tema do momento, devido à chegada do novo regulamento geral de proteção de dados. As empresas são cada vez mais digitais e sem a prevenção da perda dos dados, a segurança destes fica seriamente comprometida. A política de segurança nas empresas é uma ferramenta imprescindível para garantir que os seus dados permanecem seguros. No artigo de hoje, deixamos-lhe dicas importante para criar uma política de segurança de informação na sua empresa.

O que é uma política de segurança?

A política de segurança é um documento desenvolvido pela empresa onde se registam os princípios de segurança que a empresa adota e que devem ser seguidos pelos colaboradores. A política de segurança deve ser aplicada em todos os sistemas de informação, a nível de desktop e de mobile. Para que a política seja respeitada, é essencial que os gestores de topo participem na sai implementação.

Como criar uma boa política de segurança da informação

  • Defina a responsabilidade dos colaboradores: estabeleça coimas para a má utilização dos recursos de TI da empresa. Devem constar ainda regras sobre acesso a sites e recomendações sobre a utilização dos dispositivos eletrónicos fornecidos.
  • Dê formação: deve haver uma formação prática na apresentação da política de segurança da informação. A empresa deve recolher declarações individuais dos colaboradores, comprometendo-se a cumprir as regras que constam no documento. Este manual deve ser de fácil acesso para os colaboradores e deverá ser revista com frequência, para que se mantenha sempre atualizada.
  • Nomeie um responsável: a empresa deve nomear uma pessoa responsável para monitorizar o cumprimento da política de segurança da informação. Este colaborador deve ser o responsável por detetar incumprimentos e violações das regras.
  • Dê a conhecer a política de segurança: o documento deve ser aprovado pelo departamento de recursos humanos da empresa. As regras presentes neste documento devem estar de acordo as leis do trabalho e com o manual interno dos colaboradores. Após a aprovação por parte dos recursos humanos, os gestores de topo também devem fazer a sua aprovação.
  • Adote um plano de disaster recovery: os planos de disaster recovery são essenciais para planear ações que garantem que um desastre não interfere no desempenho da empresa. Além desta ação proativa, os planos de disaster recorvery têm também uma ação reativa, através da ação da execução de ações de emergência, planeadas previamente e que garantem a resolução imediata de problemas. O disaster recovery define-se ainda como o conjunto de procedimentos a executar em situações de crise. O objetivo final é saltar os dados da sua empresa para que a sua informação se mantenha sã e salva.

 

“Vale mais prevenir do que remediar” é uma verdade absoluta no que diz respeito à segurança da informação da sua empresa. Conheça as soluções da IT PEERS a nível da segurança e garanta a proteção dos seus dados!

 

As principais implicações do RGPD na gestão de recursos humanos

As principais implicações do RGPD na gestão de recursos humanos

Posted Leave a commentPosted in Dicas de Gestão

O Regulamento Geral de Proteção de Dados (RGPD) entra em vigor dia 25 de maio. Além de trazer alterações significativas na área do marketing, também terá um forte impacto na gestão de recursos humanos. Para evitar as avultadas coimas que o incumprimento do RGPD traz, as empresas necessitam de introduzir alterações importantes no processo de tratamento de dados pessoais em contexto laboral. No artigo de hoje, abordamos as principais implicações do RGPD na gestão de recursos humanos!

Necessário consentimento dos candidatos para o tratamento dos dados

Se até agora o consentimento tácito dos candidatos era suficiente para que a empresa pudesse tratar os seus dados pessoais, com o novo Regulamento as empresas precisam de obter o consentimento explícito dos candidatos para o tratamento dos seus dados. Os candidatos que não forem recrutados deverão ainda dar o seu consentimento para o tratamento dos seus dados pessoais em processos de recrutamento futuros.

Atualização dos currículos da base de dados

Deverá ser enviada uma comunicação escrita ao candidato de modo a que este expresse o seu consentimento escrito para a conservação dos seus dados na base de dados. Neste momento também deverá haver confirmação de que os dados estão atualizados e caso não estejam o candidato deverá atualizá-los. Caso o candidato não responda a esta comunicação, a empresa deverá apagar o currículo no final do prazo estabelecido.

Candidaturas espontâneas

A área de gestão de recursos humanos deverá criar um procedimento para obter consentimento dos candidatos que enviam candidaturas espontâneas, onde aceitem o tratamento e a conservação dos seus currículos. Aqui deverá ainda ser indicada a finalidade do tratamento dos dados e o prazo em que o currículo se manterá na base de dados da empresa.

Contacto por parte da empresa

O recrutamento ativo apenas poderá ser feito junto dos indivíduos que disponibilizarem os seus contactos em plataformas dedicadas ao mundo do trabalho, como é o caso do Linkedin. Neste caso, existe vontade do candidato em ser contactado por empresas. Contudo, após o primeiro contacto deverá haver consentimento explícito por parte do candidato para a continuação do tratamento dos seus dados pessoais.

Conservação dos dados pessoais na base de dados da empresa

O novo regulamento obriga as empresas a conservar apenas os dados que estão atualizados. Além disso, existe um princípio da minimização na lei que diz que os dados só podem ser conservados pela empresa durante o período estritamente necessário. Assim, quando um determinado processo de recrutamento terminar, a gestão de recursos humanos deve ter um procedimento para eliminar currículos e todos os documentos complementares recolhidos durante esse processo. A nova lei determina que os currículos manter-se-ão atualizados durante o ano e terminado este prazo a documentação deverá ser eliminada ou deverá haver uma comunicação por escrito para o candidato confirmar ou atualizar os seus dados.

Regulamento de Proteção de Dados: tudo o que precisa de saber

Regulamento de Proteção de Dados: tudo o que precisa de saber

Posted Leave a commentPosted in Segurança

Para a Comissão Europeia, a proteção dos dados pessoais é um elemento-chave do Mercado Único Digital. Todo este cenário potenciou a criação do novo Regulamento Geral de Proteção de Dados (RGPD) para a União Europeia, que revoga a legislação atual sobre a proteção dos dados pessoais, publicada em 1995, época em que o acesso à Internet ainda não era generalizado. O novo Regulamento de proteção de dados entra em vigor em maio de 2018 e ainda existe muito desconhecimento relativamente à sua atuação e implicações. Neste artigo, abordaremos todos os aspetos que deve conhecer para receber o novo regulamento de proteção de dados em conformidade com a lei!

As mudanças mais significativas e impactantes deste novo regulamento são as seguintes:

Direito ao esquecimento

Os cidadãos vão poder exigir às empresas que eliminem os respetivos dados pessoais. O novo regulamento permite que os dados pessoais de cada cidadão sejam destruídos por sua solicitação.

Portabilidade dos dados

Os cidadãos podem exigir às empresas que lhes enviem os seus dados pessoais num formato que permita que sejam enviados para outra empresa, facilitando a sua migração e tornando mais simples a mudança de prestador de serviços de televisão, por exemplo.

 Direito de oposição ao profiling

Os sistemas informáticos das empresas deverão conseguir registar quem indicou recusa ao tratamento automatizado dos seus dados, como é habitualmente feito em processos de análise comportamental e criação de perfis de consumo.

Registos e prova de consentimento

Relativamente ao relacionamento online com clientes, os sistemas das empresas deverão expor as políticas de privacidade numa linguagem clara e objetiva. O consentimento para o tratamento de dados por parte dos utilizadores deve ser guardado de forma a ser apresentado caso seja necessário.

Privacidade por ‘defeito’ e design

Deverão ser tomadas medidas que assegurem a proteção dos dados desde o desenho de aplicações informáticas, minimização do tratamento de dados pessoais, mascaramento dos dados, encriptação, entre outros tópicos.

Obrigatoriedade de notificar

As empresas e as organizações têm o dever de notificar a Autoridade Nacional de supervisão para violações de dados para situações que coloquem os indivíduos em risco e comunicar ao cidadão em causa todas as violações de alto risco o mais rapidamente possível, de modo a que se possam tomar as medidas adequadas.

Como saber se a nova lei se aplica à minha empresa?

A nova lei de proteção de dados aplica-se a qualquer organização que faça negócios na União Europeia, independentemente de o processamento dos dados pessoais ocorrer na União Europeia ou não, e independentemente de serem dados pessoais sobre residentes da União Europeia ou apenas visitantes.

O que me acontece se não cumprir o novo regulamento de proteção de dados?

O regime de punição da nova lei é bastante exigente e engloba coimas que no caso de violações de menor gravidade poderão atingir 10 milhões de euros ou 2% do volume mundial de negócios a nível global. Nos casos mais graves as multas podem atingir os 20 milhões de euros ou 4% do volume de negócios total.

Pode conhecer melhor o novo regulamento de proteção de dados fazendo download deste e-book que explora a nova lei e o informa sobre tudo o que precisa de saber!