Protecção de dados e traz o teu próprio dispositivo (BYOD)

Como é que BYOD pode ser conciliado com os requisitos de protecção de dados?

Quando os empregados utilizam os seus dispositivos pessoais, tais como smartphones ou computadores portáteis, como ferramentas de trabalho, torna-se complicado para os empregadores. Por um lado, os empregados querem trabalhar nos seus dispositivos familiares, mas, por outro lado, a direcção é obrigada a cumprir a protecção de dados. No entanto, este dilema entre praticidade e conformidade pode ser resolvido.

Traga o seu próprio dispositivo ou Traga o seu próprio Desaster?

Então, o que é crítico sobre os empregados terem dados da empresa nos seus dispositivos pessoais? Muito simplesmente, o empregador perde o controlo sobre os dados da sua própria empresa. Embora à primeira vista pareça uma boa ideia permitir que os empregados utilizem os seus dispositivos pessoais, numa inspecção mais atenta, infelizmente, não é. Com BYOD (Bring your own device) há uma mistura de dados privados e da empresa. Além disso, o risco de perda de dados aumenta, uma vez que os dispositivos são muito mais utilizados na esfera privada (por exemplo: durante celebrações, viagens, visitas privadas de amigos, actividades de lazer).

Uma vez que o empregador é também responsável pelo cumprimento dos requisitos de protecção de dados, deve tomar as medidas de segurança de dados adequadas. Isto significa que ele deve proteger os dados da empresa contra perda ou destruição. A este respeito, é suficiente que o empregado tenha acesso à sua conta de e-mail e possa descarregar anexos (dados de clientes e empregados, dados de parceiros comerciais) para o dispositivo privado. Ao mesmo tempo, porém, o funcionário tem direito à confidencialidade dos seus dados privados no seu próprio dispositivo. A entidade patronal não pode simplesmente “filtrar” um smartphone que não lhes pertence numa base permanente para garantir a segurança dos dados. No final, devem ser utilizadas regras do jogo para a sua utilização e soluções técnicas para que BYOD não se torne um desastre.

Protecção de dados para dispositivos móveis

Os regulamentos básicos de protecção de dados (tais como o “DSGVO”) não mudaram muito para as estratégias de BYOD. No entanto, algumas alterações aos regulamentos já existentes precisam de ser consideradas. Os dados devem permanecer dentro da esfera de controlo dos empregadores, o que poderia ser assegurado se fosse estabelecida uma ligação de Rede Privada Virtual (VPN). Isto permitiria aos empregados visualizar dados em dispositivos móveis mas não armazená-los nos dispositivos. Este método tem a vantagem de que nenhum dado da empresa seria afectado se o dispositivo se perdesse ou fosse destruído. Contudo, também tem uma desvantagem: a edição em modo offline não será possível. Especialmente para equipas internacionais ou trabalhadores de campo, o trabalho independente da localização é importante e isto inclui muitas vezes o trabalho “a partir da estrada” com poucas hipóteses de ligações estáveis à Internet. Se isto atrasar demasiado a produtividade, outras soluções técnicas devem ser consideradas.

Outra opção são as áreas de armazenamento encriptadas no próprio dispositivo. Isto separa os dados da empresa dos dados privados e evita que estes sejam misturados. Se as próprias aplicações da empresa forem então também operadas nesta área de armazenamento protegida, isto é conhecido como o princípio “sandboxing“. Mais uma vez, não há interacção entre o ambiente protegido e o exterior da caixa de areia.  Se o sistema operacional da empresa e as aplicações da empresa são operadas separadamente da área privada, estas soluções são referidas como “virtualizações”. Isto também permite à empresa influenciar a actualidade do sistema operativo e garantir que este se mantém seguro. Se dois sistemas forem operados simultaneamente no dispositivo, isto terá inevitavelmente um impacto nos recursos e desempenho do hardware (palavra-chave: desempenho da bateria).

Protecção de dados e traz o teu próprio dispositivo (BYOD) 1Neste contexto, devem ser feitos regulamentos para assegurar que os empregados adaptem os seus sistemas operacionais à segurança da sua própria empresa. Em particular, a proibição de modificações dos sistemas operativos, tais como “jailbreaking” de dispositivos iOS ou “rooting” de dispositivos Android. Pense também nos requisitos de segurança com os quais os empregados são autorizados a entrar na área protegida. Os sensores biométricos como as impressões digitais devem ser deixados fora da equação, uma vez que não são suficientemente fiáveis. A segurança física do dispositivo pode ser definida de forma mais detalhada através de uma política. Como medida suplementar e de apoio, a formação de sensibilização dos empregados é útil, uma vez que estes acabam por ser confrontados com a utilização restrita dos seus dispositivos privados.

Implementação da estratégia BYOD

Quanto melhor os empregados souberem como se devem comportar em certos casos, mais segura se torna a utilização do BYOD. Então, que pontos devem agora ser regulados?

  • Cobertura de custos em caso de aquisição ou danos no dispositivo, mas também custos de utilização do cartão SIM para telefonia
  • Modelos de dispositivos aprovados, versões de sistemas e aplicações de software operacional (listas preto/branco)
  • Regulamentos de segurança (por exemplo, deixar um portátil no carro, crianças a brincar com o telemóvel, etc.)
  • Assistência na manutenção do dispositivo (configuração, actualizações)
  • Direitos de acesso e controlos (eliminação remota em caso de roubo)
  • Obrigação de notificar em caso de perda – por favor note as 72 horas para notificar uma violação de dados de acordo com a DSGVO (ou regulamentos semelhantes)!
  • Requisitos de segurança para palavras-passe
  • Consequências em caso de violação da política de utilização (por exemplo, mudança para um dispositivo da empresa)
  • Devolução de dados ao deixar a empresa ou ao tirar uma licença Restrição dos direitos de acesso
  • Participação em cursos de formação para aumentar a sensibilização para a segurança
  • Informação sobre sigilo de dados, para cumprimento de segredos comerciais e empresariais
  • Complementar a estratégia BYOD no registo de actividades de processamento
  • Realização de uma avaliação do impacto da protecção de dados

Conclusão

É evidente que a opção mais simples significa dois dispositivos para uso privado e profissional, mas a realidade é diferente. Em muitos casos, a implementação de uma estratégia BYOD será dispendiosa e complexa, mas se for implementada eficazmente, pode tornar-se uma situação “win-win” para os empregados e para a empresa. Por um lado, os utilizadores podem trabalhar com os seus dispositivos familiares, enquanto o risco existente pode ser reduzido por meio de um conceito de segurança.

Mag. Karin Dietl ist selbständige Unternehmensberaterin und Spezialistin für Datenschutz-Compliance. Sie startete ihre Ausbildung als Textilchemikerin, absolvierte neben der Anwaltsprüfung mehrere Jahre in internationalen Wirtschaftskanzleien und beschäftigt sich seit 2010 mit der Digitalwirtschaft. Derzeit berät sie Unternehmen zu den Themen Informationssicherheit, Datenschutz, Risikomanagement sowie Digitaler Ethik und Corporate Digital Responsibility. Sie führt zudem Datenschutz-Audits durch und wird für Unternehmen als Datenschutzbeauftragte tätig. Darüber hinaus ist sie Fachvortragende bei Veranstaltungen und Autorin zahlreicher Fachpublikationen.

Comentários estão fechados.

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More