This post is also available in:
Como era o Dia da Segurança de Dados na semana passada, tínhamos um poster convidado, Irina Maltseva, falando sobre a protecção das pequenas empresas contra a fraude nos pagamentos. No entanto, esquecemos o outro aspecto importante da segurança dos dados nas nossas empresas, e só nos apercebemos da sua importância quando algo corre mal. Estou, claro, a falar das equipas jurídicas e de segurança que parecem desvanecer-se no trabalho de madeira até ser altura de formação em segurança digital ou até haver uma violação de dados.
Qualquer empresa que detém ou acede a dados sensíveis de clientes precisa de estar ciente da confiança que neles é depositada pelos seus clientes. Não pode pedir aos clientes que lhe forneçam as suas informações se ignorar a responsabilidade que tem de manter esses dados seguros.
A Simplybook.me é uma dessas empresas, e prestamos uma atenção significativa à forma como armazenamos e acedemos a essa informação. Temos o nosso gestor jurídico e de segurança, juntamente com outro responsável pela segurança da informação, que assegura que estamos sempre no bom caminho.
Apresentamos os nossos Corpos de Segurança
Por favor, mostrem o vosso apreço pelo nosso pessoal de segurança pela sua incrível dedicação ao seu trabalho. Apresentamos a Geórgia, a nossa Gestora Jurídica e de Segurança, e Maryna, a nossa Consultora de Segurança da Informação.
Fizemos algumas perguntas sobre o que fazem no seu dia-a-dia e como acompanham as suas necessidades.
Geórgia
O que é que se faz?
Combino as duas funções de gestor jurídico e de segurança. A minha principal responsabilidade é assegurar a manutenção do nosso Sistema de Gestão de Segurança da Informação, Certificado ISO 27001:2013 . Em termos simples, tenho de compreender como utilizamos os dados e como os transferimos através da nossa organização. Deve viajar em segurança e com tecnologias apropriadas.
Como se garante o cumprimento da segurança dos dados e das leis que os protegem?
O primeiro passo é assegurarmo-nos de que acompanhamos as mudanças nas leis aplicáveis e ver como estas se aplicam às nossas operações comerciais. Posteriormente, precisamos de comunicar com os nossos peritos em TI e fazer quaisquer melhorias nos nossos controlos de segurança estabelecidos. O cumprimento exige uma monitorização diária e consistente das operações e controlos empresariais em vigor com uma comunicação interna regular.
Como acompanhar as mudanças, etc.?
Eu controlo principalmente os sítios web dos organismos reguladores relevantes. Além disso, sigo outros canais:
- Eu sigo as organizações e profissionais do LinkedIn no terreno,
- Inscrever-se em organizações relevantes e, sempre que possível,
- Participar em conferências ou webinars online para formação ou trabalho em rede.
Avaliamos alterações importantes e apresentamo-las à gestão de topo. Trabalhamos então em conjunto para fazer quaisquer alterações necessárias aos nossos controlos de segurança estabelecidos.
Como garantir que todos sabem como devem manter a segurança dos dados?
- Cada nova contratação passa pela formação de indução/primeiro dia
- Todos os anos, todos os empregados devem submeter-se a uma intensa formação anual sobre segurança e privacidade de dados.
- Realizamos auditorias anuais através das quais verificamos se os empregados seguem as políticas e procedimentos
Em geral, há confiança de que todos compreendem a importância de seguir as políticas e procedimentos internos de segurança de dados. No entanto, à medida que a empresa foi crescendo, começámos a implementar uma lembrança contínua das práticas e procedimentos de segurança ao longo de todo o ano. Começámos recentemente a utilizar uma ferramenta de formação que envia a todos os funcionários lembretes mensais e actualizações das políticas ao longo do ano.
Maryna
O que é que se faz?
Eu tenho o papel de Consultor de Segurança da Informação. Eu, tal como a Geórgia, contribuo para garantir que a segurança da informação na empresa cumpre os requisitos das normas internacionais, especialmente a ISO 27001.
As minhas principais responsabilidades são:
- Assegurar que os requisitos de conformidade relacionados são tratados, por exemplo, os regulamentos e controlos de segurança associados à norma ISO 27001:2013.
- Assegurar processos adequados de mitigação de riscos e de controlo de incidentes de segurança, conforme necessário.
- Documentar e divulgar políticas, procedimentos e orientações em matéria de segurança da informação
- Ajuda na coordenação do desenvolvimento e implementação do programa de formação e sensibilização para a segurança da informação.
- Ajuda na coordenação de uma resposta a violações reais ou suspeitas de violação da confidencialidade, integridade ou disponibilidade dos bens de informação
- Auxiliar no inventário dos bens da empresa, por exemplo, mantendo o Registo de Bens de Hardware
- Realização de auditorias de segurança da informação planeadas e não planeadas de acordo com a ISO 27001 ou outras normas
- Participar no desenvolvimento de planos de continuidade de negócios e avaliação de risco
Como é que acompanha as mudanças?
A fim de melhorar os meus conhecimentos, por vezes contacto os meus antigos colegas nesta área para trocar informações, ler artigos com novas implementações de controlos de segurança e tentar participar em vários eventos de formação.
Segurança de dados dentro do(s) sistema(s)
Enquanto os nossos agentes legais e de segurança passam a maior parte do seu tempo a lidar com o lado humano da segurança de dados, as suas pesquisas e descobertas também influenciam a forma como processamos dados dentro do sistema SimplyBook.me (e, claro, SimplyMeet.me e SBPay.me).
A nossa equipa de Segurança trabalhou arduamente para assegurar que o nosso sistema e as nossas políticas obedecem estritamente às leis em torno da GDPR e a outras políticas mais localizadas nos EUA e na Austrália. Cada um tem de ter a sua própria versão das leis de protecção de dados e privacidade com pequenos ajustes e alterações. No entanto, praticamente todas as diferentes versões das leis de protecção de dados cobrem o mesmo terreno.
Cabe à Geórgia e à Maryna assegurar que as nossas normas de segurança e privacidade de dados aderem às leis de cada país onde as pessoas utilizam o nosso sistema para guardar dados de clientes.
Segurança de dados e importância da privacidade, para nós e para si
Estamos empenhados em assegurar a privacidade dos dados dos nossos clientes. No entanto, estamos também muito conscientes de que as nossas políticas de segurança de dados o afectam a si e aos seus clientes. É igualmente importante, desde o único operador de um negócio de cabeleireiro até à clínica médica que lida com a informação sensível do paciente. Se o seu negócio guarda informações de clientes, precisamos de ser capazes de manter a segurança dos dados que promete aos seus clientes.
Considere quanto lhe poderá custar o pagamento de danos por uma violação da privacidade de dados. Pode ser muito e suficiente para aleijar o seu negócio. Para não mencionar os clientes que podem não querer voltar depois de um incidente deste tipo. Ao escolher um negócio com uma equipa de segurança estabelecida e muitas características de segurança que são de livre utilização, está a proteger-se dos perigos de um negócio desprotegido e a permitir que os seus clientes confiem em si.
Obrigado, Georgia & Maryna. O seu trabalho árduo é muito apreciado e valorizado.