FALHA DE SEGURANÇA:
Referimo-nos a uma falha ou violação de segurança quando se verifica um acesso, manipulação, eliminação ou comunicação não autorizados relativamente à informação da nossa empresa ou entidade, às suas instalações físicas (escritórios, fábricas, lojas, etc.) ou aos seus sistemas informáticos.
Assim, as violações de segurança podem ser causadas por ciberataques ou também por erro humano, intencional ou não.
Por sua vez, quando uma falha de segurança afecta especialmente dados pessoais, falamos de uma violação de dados ou de uma violação da privacidade, que pode ocorrer tanto por meios digitais como por meios físicos (por exemplo, a partilha de determinada documentação em papel sobre uma pessoa singular com um terceiro não autorizado).
Que violações de segurança não podemos evitar?
Violações de segurança causadas por uma pessoa exterior à empresa ou entidade, ou seja, ciberataques.
Que violações de segurança podemos evitar?
- Acesso não autorizado às instalações ou a determinadas áreas restritas: Quando recebemos visitantes (fornecedores, clientes, auditores, colaboradores, etc.), é muito importante que estejam sempre acompanhados. Da mesma forma, e mesmo que sejam funcionários da empresa ou da entidade, é importante não aceder a determinadas áreas consideradas privadas ou restritas sem a autorização prévia da pessoa responsável por essa área ou departamento (por exemplo, gabinetes de direção em empresas ou quadros superiores em entidades públicas).
- Utilização não autorizada de sistemas ou informações: Cada profissional deve saber quais as informações que devem e podem ser tratadas e quais as que não podem, pois são necessárias para o exercício das suas funções. Ter acesso a tecnologias ou informações que transcendem a área de atividade ou departamento pode levar a graves falhas de segurança. Por isso, em caso de dúvida sobre se estamos ou não autorizados a aceder e a utilizar determinadas aplicações e documentos, é preferível perguntar internamente à nossa chefia direta e ao Departamento de Informática.
- Cópias não autorizadas de documentos digitais e físicos: Deverá ter especial cuidado ao fazer cópias e/ou extrair documentos digitais e físicos. Especialmente se o seu conteúdo puder ser considerado confidencial ou de natureza pessoal. Por conseguinte, antes de transferir documentos de um dispositivo para outro, ou mesmo de os guardar num USB, é preferível certificarmo-nos de que estamos autorizados a fazer essas cópias, de preferência consultando o nosso superior hierárquico e o departamento de TI.
- Reciclagem inadequada: Os documentos em papel que contêm informações confidenciais ou dados pessoais não devem ser reutilizados por razões ambientais como “papel sujo” ou para tomar notas. Neste caso, a segurança e a privacidade têm precedência sobre a cultura de reciclagem, por razões óbvias. De facto, não basta deitá-los para o lixo, é necessário destruí-los, quer utilizando uma trituradora de papel, quer rasgando-os em mil pedaços. Se não o fizeres, poderás ter uma grande violação de segurança e de dados, a que no nosso dia a dia não damos a devida importância.
- Comunicação verbal de informações confidenciais ou privadas: O exercício das nossas funções faz parte do nosso quotidiano, pelo que temos tendência a falar sobre ele, mesmo na esfera social ou privada. No entanto, temos de ter consciência do que podemos partilhar, por se tratar exclusivamente do nosso desempenho profissional e da nossa carreira, e do que devemos guardar para nós, por se tratar de informação confidencial da empresa ou organização. Esta recomendação deve ser aplicada mesmo entre áreas e departamentos, no que respeita a informação que os nossos colegas não precisam de saber. As áreas que possuem as informações mais críticas sobre os sistemas ou dados da empresa ou entidade são: Administração, Finanças, RH, Jurídico e TI.
NOTA IMPORTANTE: Se suspeitarmos que nós ou um terceiro causou uma violação de segurança, temos a obrigação legal, decorrente da nossa responsabilidade como utilizadores de tecnologia e informação, de alerta o departamento de TI, o responsável pela segurança (CISO), o responsável pela proteção de dados (DPO) e o superior hierárquico a nível profissional. Gostaríamos que nos pudessem aconselhar e ajudar o mais rapidamente possível. E, se nos afetar pessoalmente, devemos também comunicar o facto às autoridades policiais.
*Data de envio: 11 de fevereiro de 2025