Introdução

5 razões para priorizar

a Segurança da
Informação no DP

1
Sumário

03 - Introdução

06 - A importância da proteção de dados no Departamento Pessoal

10 - Entendendo a Lei de Proteção de Dados (LGPD)

15 - Pilares da segurança da informação

19 - Como garantir a proteção dos dados na sua empresa?

23 - 5 razões para priorizar a segurança da informação no DP

27 - Conclusão

2
Introdução

Introdução

3
Introdução

A transformação digital desenvolveu ferramentas e

canais que nos conectam com o mundo. Por outro lado,
nossas informações nunca estiveram tão expostas e
vulneráveis como nessa era virtual. Esse mesmo risco é
compartilhado pelas empresas do mundo corporativo -
mais especificamente pelos departamentos pessoais (DP)
dessas organizações.

Por que focamos no DP? A razão é que essa área coleta

e armazena uma infinidade de dados importantes sobre
colaboradores, candidatos de processos seletivos e outros
profissionais que se relacionam de alguma forma com a
empresa.

Para gerir todas essas informações, o departamento

pessoal utiliza muitas tecnologias, como o software de
gestão da folha de pagamento, controle de ponto e etc.
Essas ferramentas estão conectadas e integradas, por
meio da internet, a outros sistemas externos.

Devido a essa troca de dados feitos por vias virtuais, o DP

pode expor seus arquivos a ataques de cibercriminosos
e de pessoas mal intencionadas. Além disso, a
empresa também deverá responder juridicamente por
descumprimento das regras da Lei Geral de Proteção de
Dados (LGPD).

4
Introdução Introdução

Infelizmente, essa não é uma possibilidade remota. De

acordo com um relatório feito pela empresa Akamai e
divulgado em um artigo do jornal Correio Braziliense,
o Brasil ocupa o terceiro lugar no ranking mundial de
roubo de dados pessoais na internet. O estudo revelou
mais de 1,6 bilhão de casos.

Sim, é um dado preocupante. A boa notícia é que o

departamento pessoal pode fazer muito pela proteção
dos dados que precisa gerenciar. Preparamos esse
e-book para ajudar os DPs a otimizar a segurança da
informação.

Nesse conteúdo, mostraremos a importância da proteção

de dados. Falaremos também sobre algumas regras da
LGPD, os pilares da segurança da informação, como
garantir a proteção dos dados e porque priorizar isso.
Acompanhe os próximos tópicos!

5
Introdução

A importância
da proteção
de dados no
Departamento
Pessoal

6
A importância da proteção de dados no Departamento Pessoal

O aumento de crimes virtuais contra as empresas após o

início da pandemia da Covid-19 tem sido algo alarmante.
Segundo dados do Insurance Information Institute, empresas
como a Microsoft, MGM e Marriott, sofreram roubos de
informações entre os anos de 2020 e 2021.

Só a Microsoft teve expostos mais de 280 milhões de registros

de clientes em janeiro de 2021. Estamos falando aqui de
grandes multinacionais. Então, o que será das pequenas e
médias empresas? A grande verdade é que não importa o
tamanho do negócio, o segredo para evitar o vazamento
de dados está na vigilância absoluta da segurança da
informação.

Esse cuidado deve nortear toda a empresa, mas em especial

o departamento pessoal. Como dito na introdução, essa área
guarda o tipo de dados preferido dos criminosos virtuais:
informações pessoais e sigilosas. Com esses dados em mãos,
esses ladrões digitais aplicam golpes milionários em empresas.

7
Introdução A importância da proteção de dados no Departamento Pessoal

Nesse ponto surge uma pergunta: Quais são as informações

geridas pelo DP que podem ser alvos de vazamentos virtuais?
Vamos relembrar algumas que são necessárias para a
execução de demandas do departamento pessoal:

» Admissão de colaboradores – dados dos exames

admissionais, contrato de trabalho, conta salário, identidade,
CPF, Carteira de Trabalho e Proteção Social digital (e-CTPS) e
etc.;
» Jornada de trabalho – registros de faltas justificadas e
injustificadas, folgas, férias, atrasos, horas extras e banco de
horas;
» Benefícios – descontos em folha de pagamento relativos a
plano de saúde, odontológico, vale-transporte e alimentação;
» Demissão de funcionários – exames demissionais, rescisão
contratual, registros na e-CTPS e das verbas trabalhistas;
» Folha de pagamento – salário líquido e bruto, adicionais
salariais, prêmios e demais descontos.

8
A importância da proteção de dados no Departamento Pessoal
Conforme dito, o DP troca essas informações com
setores correlacionados, como os recursos humanos,
a contabilidade e o financeiro. Sendo assim, esses
dados precisam ficar protegidos não só no sistema
que o departamento pessoal utiliza, mas também nos
“caminhos virtuais” que os levam a áreas externas.
Por isso, é algo muito perigoso manter essas informações
somente na memória dos computadores do DP e em
simples planilhas que podem ser abertas por qualquer
um. Para entendermos melhor esse risco, daremos um
exemplo.
Imagine um colaborador do departamento pessoal que
cuida da gestão da folha de pagamento dos profissionais
internos. Todos os dados que gerencia estão alocados no
seu computador em pastas com senhas. Parece seguro,
mas não é bem assim.
Caso esse profissional receba um e-mail com scripts
maliciosos (chamados de phishing), e de forma
descuidada clique em um dos links da mensagem, todo
o acervo de dados da folha de pagamento estará em
perigo.
Não importa o que a área de tecnologia da informação (TI)
faça: rastreamento, quarentena ou expulsão do malware,
muitas informações já terão sido capturadas pelos
criminosos. Uma vez que, esse processo de vazamento
acontece em questão de segundos.
Esse é apenas um caso hipotético, mas que acontece
com frequência em muitas organizações. Para evitar
isso, é essencial levar a sério uma antiga frase: “a melhor
defesa é o ataque”. Em outras palavras, o departamento
pessoal precisa tomar fortes medidas de segurança da
informação.
Mas como fazer isso? Falaremos mais adiante. Porém,
como ponto de partida, podemos destacar o valor de
contar com tecnologias eficientes que tenham um bom
sistema de proteção de dados.
9
Introdução

Entendendo a
Lei de Proteção
de Dados (LGPD)

10
Entendendo a Lei de Proteção de Dados (LGPD)

Para proteger os dados que trafegam pela internet, em agosto

de 2018, foi sancionada no Brasil a Lei Geral de Proteção
de Dados (LGPD), mas que só entrou em vigor em setembro
de 2020. Para fiscalizar a aplicação dessa legislação, foram
criadas a Agência Nacional de Proteção de Dados (ANPD) e o
Conselho Nacional de Proteção de Dados (CNPD).

Toda essa estrutura legal visa regulamentar o tratamento

de dados pessoais feito pelo poder público e pela iniciativa
privada – é aqui que as empresas entram. Quando a LGPD
se refere à iniciativa privada, engloba as pessoas jurídicas
que lidam com informações pessoais. Logo, o departamento
pessoal também está incluído nesse contexto.

11
Introdução Entendendo a Lei de Proteção de Dados (LGPD)

Em resumo, a LGPD estabelece os direitos e responsabilidades

das empresas e pessoas que têm seus dados geridos por elas.
Enxugando os princípios dessa legislação, chegaremos aos
seguintes objetivos:

» A definição de dados pessoais como sendo qualquer

informação que pode identificar um indivíduo (seja idade,
endereço, sexo, nome e etc.);
» A criação do conceito chamado de “dados sensíveis”. São
informações que podem ser usadas para fins discriminatórios,
como: raça, etnia, religião, orientação sexual, estado de saúde
e convicções políticas. A lei é mais robusta nas medidas
protetivas desses dados;
» A elaboração de regras sobre a maneira como as
informações são coletadas e tratadas - não importa se for
nos meios físicos ou digitais. Por exemplo, algumas diretrizes
englobam os dados registrados em cadastros, textos e fotos
publicadas em redes sociais.

12
Entendendo a Lei de Proteção de Dados (LGPD)

Quanto aos objetivos da LGPD, podemos destacar:

» Respeito à privacidade;
» Liberdade de expressão, comunicação, opinião e
expressão;
» Autodeterminação informativa;
» Desenvolvimento econômico, tecnológico e de defesa;
» Inviolabilidade da honra, intimidade e imagem;
» Direitos humanos, livre desenvolvimento de
personalidade, dignidade e exercício da cidadania;
» Livre iniciativa, concorrência e defesa.

Podemos dizer que a LGPD é um divisor de águas na

relação entre as empresas e os dados pessoais dos
colaboradores e outros profissionais. Após o início
da vigência dessa lei, muitas organizações tiveram de
remodelar a estrutura interna de dados. Essa atitude é de
extrema importância.

Afinal, um vazamento de informações pessoais do

departamento pessoal, por exemplo, pode gerar uma
multa de até R$ 50 milhões, sem falar do prejuízo à
reputação da empresa. No mundo, a LGPD está atuando
com vigor.

13
Entendendo a Lei de Proteção de Dados (LGPD)

De acordo com o relatório “GDPR at One Year. What We

Heard from Leading European Regulators”, produzido
pela International Association of Privacy Professionals,
em um ano de aprovação da General Data Protection
Regulation (GDPR – a LGPD da União Europeia), foram
registradas mais de 144 mil reclamações contra uso
indevido de dados.

Somente em fevereiro de 2019, o Parlamento Europeu

revelou que 11 países aplicaram multas GDPR que
somadas chegam a 56 milhões de euros. No território
brasileiro, as sanções começaram a ser aplicadas a partir
de agosto de 2021.

Uma vez conhecidos os princípios gerais e as possíveis

sanções, entendemos que a LGPD atinge o DP em, pelo
menos, dois aspectos importantes:

» O direito à liberdade dos colaboradores no controle de

suas informações pessoais;
» A necessidade de segurança, transparência, acesso,
retificação e exclusão dos dados geridos pelo setor.

14
Introdução

Pilares da
segurança da
informação

15
Pilares da segurança da informação

Qual é o custo financeiro pago pelas empresas com violação

de dados? De acordo com o estudo “Cost Data Breach
Report 2020”, produzido pela IBM Security, o valor chega
a USD 3,86 milhões. Ainda segundo essa pesquisa, todo
esse dinheiro é gasto por causa de brechas nos sistemas
das empresas que favorecem os ataques maliciosos.

A melhor maneira de fechar essas brechas é por meio do

reforço da segurança da informação. Para isso, é preciso
que essa prática seja embasada em 4 pilares. Analisaremos
cada um deles a seguir.

16
Pilares da segurança da informação
Confidencialidade
A confidencialidade garante que os dados sejam
acessíveis para pessoas autorizadas e protegidas das
não autorizadas. Esse pilar da segurança da informação
é indispensável para a privacidade de informações
pessoais, dados sensíveis, registros financeiros,
psicográficos e etc.
Para implantar a confidencialidade no departamento
pessoal, é necessário elaborar políticas de segurança
de tecnologia da informação. Por exemplo, uso
da criptografia, senhas fortes, controles de acesso,
dispositivos com identificação biométrica e outras
estratégias.
Integridade
Quando a LGPD cita a integridade dos dados, diz respeito
a precisão, consistência, confiabilidade e preservação
das informações pessoais. Esses critérios precisam ser
mantidos em todo o ciclo de vida dos dados: captação,
armazenagem e exclusão.
Uma das melhores estratégias para garantir a integridade
dos dados são os mecanismos de controle e a criação
de um ciclo de vida dos dados. O primeiro evita que
as informações sejam alteradas ou deletadas sem
autorização. Já o segundo, permite que o DP tenha em
sua posse apenas os dados necessários e permitidos para
a execução de demandas importantes.
17
Pilares da segurança da informação

Disponibilidade Autenticidade

A disponibilidade das informações permite que os Fechando a muralha de proteção da segurança da

profissionais autorizados pelo departamento pessoal
tenham acesso a dados em tempo integral. No
atual contexto corporativo no qual os profissionais
têm flexibilidade de horários e locais de trabalho, a
disponibilidade é essencial.
Uma vez que, os dispositivos que acessam os arquivos
do setor vêm de diversas estações de trabalho e em
horários que fogem do tradicional período comercial.
Mas como implantar esse requisito na segurança da
informação?
informação está a autenticidade. Esse pilar concede a
autorização para um profissional do departamento
pessoal acessar, compartilhar, receber e manipular
dados sigilosos.
Dessa forma, o sistema só libera a entrada no banco
de dados do DP de pessoas previamente identificadas.
Sendo assim, a autenticidade pode ser comparada a uma
barreira contra invasores. Para garantir essa proteção,
é preciso usar ferramentas de identificação de alto
desempenho.

Um dos modos é garantindo que os dados estejam

alocados em sistemas em nuvem que oferecem:

» Atualizações e manutenções constantes na

infraestrutura;
» Eliminação de falhas comuns;
» Planos para gestão de crises (queda na internet,
invasão de hackers, desastres naturais e etc.);
» Conexão estável e redundante.
18
Introdução

Como garantir
a proteção dos
dados na sua
empresa?

19
Como garantir a proteção dos dados na sua empresa?

O livro “Guerra cibernética – a próxima ameaça à segurança

e o que fazer a respeito”, dos autores Richard A. Clarke
e Robert K. Knake, fala sobre a guerra do futuro: a
ciberguerra. Embora as armas sejam cibernéticas, os efeitos
na vida das empresas e da sociedade são bem palpáveis.

Nessa obra, os autores fazem um alerta: já podemos estar

perdendo essa guerra. É claro que uma possível vitória
vem da adoção de estratégias inteligentes. E o contrário
também é verdade, se nada for feito, a guerra está perdida
mesmo.

Nenhuma empresa quer perder nessa batalha. Mas o que

fazer para que isso não aconteça? A seguir, elencamos
algumas medidas para garantir a proteção dos dados
tanto do departamento pessoal quanto da empresa.

20
Como garantir a proteção dos dados na sua empresa?
Conscientize os colaboradores
Os profissionais do DP lidam com dados importantes.
Por isso, são verdadeiros “coringas” contra o vazamento
de dados. No entanto, esses colaboradores precisam de
treinamento, instruções e direcionamento da empresa.
Isso pode ser realizado por meio de aulas sobre medidas
básicas de proteção virtual, a aplicação de políticas
internas de segurança da informação e palestras que
abordam os perigos do vazamento de dados.
Para que os ensinamentos fiquem bem gravados na
mente dos colaboradores, a empresa pode divulgar
práticas de segurança por e-mails, nas redes sociais
corporativas, na TV interna e em placas próximas das
equipes.
Restrinja os acessos
Lembra do pilar autenticidade da segurança da
informação? Como dito, ele impede que pessoas não
autorizadas tenham acessos a dados sigilosos. Para que
essa política de segurança esteja presente na empresa, é
preciso um planejamento para a definição dos status de
autorização.
Isso significa que a empresa terá arquivos que serão
acessados apenas pelos sócios do negócio, gestores,
colaboradores de uma determinada área, mão de obra
terceirizada e assim por diante. Dessa forma, se evita não
só o vazamento como também as ações indevidas, como
exclusão ou modificação das informações.
21
Introdução
Como garantir a proteção dos dados na sua empresa?
Faça backups frequentes
O que são os backups? Sabe aquela cópia de um
documento importante que guardamos caso aconteça a
perda do original? Da mesma forma, o backup é a cópia
ou o plano B em caso de perda de informações do
departamento pessoal. Os principais tipos de backup
são:
» Completo – cópia de todos os dados;
» Incremental – cópia dos dados que foram alterados
desde o último backup.
Quanto ao armazenamento dessas replicações, podem
ser:
» Local – feita em um disposto físico localizado na
empresa, como HD externo;
» Remoto – cópia realizada em um servidor externo;
» Nuvem – cópia armazenada em um servidor alocado na
nuvem.
Utilize softwares confiáveis
Se a empresa tiver uma política interna para a
implantação de tecnologias, um dos requisitos deve
ser voltado para o tipo de ferramentas que devem ser
escolhidas. Entre as regras, a segurança da aplicação é
primordial.
Para descobrir o nível de segurança de uma tecnologia, o
DP pode contar com a ajuda da área de TI. Dessa forma,
esse time de profissionais avaliará a confiabilidade e a
segurança do sistema de acordo com os princípios da
proteção da informação.
Outra medida importante é consultar empresas que
também instalaram o software. Essas recomendações são
valiosas para uma boa decisão. Após a instalação, a área
de TI precisa ficar atenta a qualquer ameaça virtual ou
vulnerabilidade da aplicação.
Se foram identificados, a empresa desenvolvedora deve
ser acionada. Com esse suporte, tanto a área de TI quanto
o DP conseguirão manter os protocolos de segurança,
evitar o vazamento e o roubo de informações.
22
Introdução

5 razões para
priorizar a
segurança da
informação
no DP

23
5 razões para priorizar a segurança da informação no DP

Até aqui, entendemos que a proteção dos dados é algo

sério. Sem esse processo bem estruturado, a empresa pode
ter prejuízos judiciais, financeiros e manchar a reputação
no mercado em que atua.

Durante o planejamento desta política de segurança, a

organização precisa priorizar o departamento pessoal.
Quais são as vantagens disso? Veremos a seguir.

24
5 razões para priorizar a segurança da informação no DP
Evita o vazamento de dados
O vazamento de dados pessoais sigilosos é um grande
perigo para o departamento pessoal. Os profissionais
que tiverem suas informações expostas têm o direito de
reclamar judicialmente contra a empresa.
Esse tipo de falha passa a impressão de que a
organização é descuidada e não inspira confiança. Uma
consequência disso é a perda de clientes, talentos
profissionais e parceiros de negócio. Levará tempo para
reparar todo esse estrago – se isso for possível.
Mantém a imagem da organização
Nessa era digital, a imagem da empresa se tornou ainda
mais importante. Com todos os canais de comunicação
disponíveis na internet, um deslize de uma organização
com a segurança de dados é espalhado rapidamente para
os “quatro ventos”.
Uma má reputação influencia no valuation (valor da
marca) da organização. Esse processo envolve a análise
do potencial de risco em investir capital nas ações de uma
determinada empresa.
Quanto menor for o valuation de um negócio, mais difícil
será para atrair aportes financeiros de investidores. Nessa
situação, a marca pode não conseguir expandir sua
atuação no mercado ou investir em novos produtos ou
serviços.
25
Introdução
5 razões para priorizar a segurança da informação no DP
Previne o sequestro de dados
As chamadas gangues cibernéticas atacam muitas
vezes por meio de um ransomware (vírus que impede o
acesso às informações armazenadas em um dispositivo)
ou sequestro de dados. De acordo com um artigo do
site de notícias G1, recentemente isso aconteceu com
a prefeitura de Leonardtown, cidade próxima à capital
americana, Washington. Criminosos contaminaram os
servidores e pediram altos valores de resgate.
Com a segurança da informação bem estruturada, o DP
evita esses prejuízos financeiros. Além disso, não fica
nas mãos dessas gangues que podem pegar o dinheiro
do resgate e mesmo assim compartilhar as informações
roubadas.
Combate ameaças internas
Às vezes, o perigo “mora ao lado”, ou seja, está mais
perto do que imaginamos. Infelizmente, pode haver
colaboradores internos mal intencionados que modificam,
roubam ou deletam informações importantes. Como
vimos nos tópicos anteriores, uma boa política de
proteção de dados impede que funcionários não
autorizados tenham acesso a dados sigilosos.
Evita prejuízos
As multas da LGPD já estão em vigor. Diante de um
descumprimento dessa legislação, a empresa pode arcar
com altos valores. Essa penalidade abala o orçamento
interno e pode retirar do caixa o capital do negócio para
novos investimentos.
26
Introdução

Conclusão

27
Introdução Conclusão

A segurança da informação do Departamento Pessoal é um

dos lemas da plataforma Convenia. Todos os dados gerados
por essa aplicação, são protegidos com um sistema que
oferece segurança contra vazamentos, roubo ou sequestro de
dados.

Outra proteção que o software em nuvem da Convenia

oferece, é no tratamento e armazenamento dos dados
sensíveis. Dessa forma, a empresa cumpre as diretrizes
impostas pela LGPD e evita sanções judiciais.

Nosso sistema é embasado nos 4 pilares da segurança da

informação: confidencialidade, integridade, disponibilidade
e autenticidade. Além disso, seguimos os protocolos de
segurança da informação, incluindo atualizações contra
novas ameaças virtuais.

Sem dúvidas, a Convenia é uma aliada para a segurança dos

dados do Departamento Pessoal. Essa é uma das nossas
missões e nos orgulhamos muito dela. Esperamos que esse
conteúdo ajude a sua empresa a se proteger das perigosas
ameaças virtuais!

28
Introdução

Nós somos uma HR tech, com soluções voltadas para otimização

de tempo e custos das empresas. Nascemos há alguns anos, com
o objetivo de trazer alta tecnologia para o setor de RH, de forma
acessível e prática.

Desde então temos trabalhado fortemente para que nossos

produtos evoluam com os nossos clientes, pois entendemos que
diminuindo o tempo gasto com rotinas operacionais, as empresas têm
mais tempo para as pessoas.

Atualmente nossas soluções abrangem admissão digital, férias e

departamento pessoal, onde você pode gerir todo seu time em um
sistema em nuvem.

29