Guia completo para estimular a cibersegurança no setor de RH da empresa

cibersegurança

O RH da era da transformação digital deve ser orientado a dados. Com isso, os profissionais podem ter uma maior automação das atividades, gerenciar melhor os processos e proporcionar uma melhor gestão de pessoas do negócio.

Com isso, há um outro ponto que precisa ser observado: a necessidade de investimento em cibersegurança no RH. Afinal, se há mais dados, há a necessidade de proporcionar também a proteção necessária para que ele possa operar de forma eficiente.

Vamos trazer a seguir um guia completo com todas as informações que deve saber para proporcionar mais cuidados com as informações do setor de RH. Veja mais a seguir e tire suas dúvidas.

O que é cibersegurança?

Para entender de que forma a cibersegurança é fundamental para o RH, é muito importante que você entenda, com clareza, o que é cibersegurança de modo geral. Esse é um conceito que diz respeito à prática de proteção de computadores, dispositivos móveis e servidores, evitando tanto ataques maliciosos quanto perdas de dados e parada de funcionamento dos dispositivos.

Com isso, são aplicadas medidas, protocolos, definição de medidas de segurança, entre outros pontos, para ajudar na proteção das informações e dispositivos. Ou seja, é um termo abrangente para uma série de questões que estão relacionadas com:

  • rede;
  • aplicativos;
  • hardware;
  • operacional;
  • informações;
  • recuperação de desastres, entre outros.

Dados sobre cibersegurança

É importante que você entenda também os motivos pelos quais é preciso acompanhar as medidas de cibersegurança nas empresas nos diferentes setores (incluindo o RH). Para isso, separamos os principais dados sobre cibersegurança para ter dimensão dessas questões.

Em 2022, o Brasil sofreu 31,5 bilhões de tentativas de ciberataques só entre janeiro a junho de 2022. Isso representa um aumento de 94% em comparação com o mesmo período do ano anterior — em outras palavras, quase dobramos o número de ataques sofridos só no primeiro semestre de 2022.

Somos considerados o maior alvo de ciberataques na América Latina. Isso representa um alerta importante, principalmente, porque os dados obtidos em uma ocorrência dessa podem causar muitos danos para o negócio como um todo e, inclusive, as informações do RH são muito interessantes para hackers.

Segundo o Gartner, considerado uma das maiores autoridades da área de Tecnologia da Informação do mundo, anuncia que os gastos com segurança da informação devem atingir US$ 187 bilhões em 2023. Os valores são altos e o investimento torna-se necessário, justamente, pelo alto volume de ataques acontecendo, ao mesmo tempo em que há uma maior importância com os dados internos do negócio.

Pilares da cibersegurança

Para entender melhor como a cibersegurança se constitui, é importante conhecer os quatro pilares que formam ela. Elas devem ser norteadoras de cada conduta abordada para proteger os dados do negócio. Vamos entender sobre cada uma delas a seguir:

  • Confidencialidade: todos os dados precisam ser confidenciais, ou seja, apenas as partes envolvidas devem ter acesso aos dados de uma empresa ou setor. Por exemplo, os dados presentes no setor de RH devem ser de acesso apenas dos profissionais envolvidos e dos titulares dos dados. Este é o princípio que está ligado com a privacidade, um direito fundamental garantido pela Constituição;
  • Integridade: este princípio está ligado com a ideia de que as informações não podem ser modificadas pelos cibercriminosos, de forma que seja garantido ter a versão original de um determinado dado. Por exemplo, garantir que os dados bancários para pagamento de salário estejam corretos;
  • Autenticidade: é possível garantir que a pessoa responsável é realmente quem elaborou aquela informação. Por exemplo, ele garante que um determinado e-mail foi, realmente, o responsável de RH que elaborou;
  • Disponibilidade: as informações precisam estar disponíveis 24 horas por dia, 7 dias por semana, ou seja, é preciso que ela possa ser utilizada no momento em que for acionada. Para isso, é preciso garantir a minimização de indisponibilidade em casos de inoperabilidade de sistemas e softwares.

Benefícios da cibersegurança

A cibersegurança tem ganhado muito espaço, justamente, por ter diversos benefícios para os setores. Confira a seguir suas principais vantagens:

  • proteção de um dos patrimônios mais importantes da empresa: os dados. Afinal, hoje eles são essenciais para diferentes atividades nas organizações e, por isso, é fundamental protegê-los, principalmente, de ações de cibercriminosos;
  • economia de tempo, já que muitas ações de proteção ajudam, também, em processos de automação de atividades nas empresas;
  • aumento da produtividade, já que essas medidas proporcionam maior automação e, consequentemente, permite agilizar processos importantes;
  • maior gestão de segurança de informações no negócio;
  • confiança dos envolvidos, sabendo que suas informações pessoais não vão cair nas mãos de cibercriminosos;
  • evita sanções da empresa em caso de descumprimento da LGPD.

Qual a relação do RH com a cibersegurança?

O RH é o setor que aborda a maior parte das informações pessoais de profissionais da empresa. Alguns dos dados que circulam nesse espaço são:

  • nome completo;
  • dados de identificação (CPF, identidade);
  • cópias dos documentos dos colaboradores;
  • dados bancários dos profissionais;
  • detalhes contratuais;
  • dados de produtividade;
  • endereço;
  • teste online de perfil profissional;
  • dados sensíveis, entre outros.

Essas informações coletadas, principalmente na fase de onboarding, ficam armazenadas internamente e precisam de cuidados para que não sejam perdidas e prejudiquem o acompanhamento interno dessa fase tão essencial pós-admissão.

Além disso, esse é um setor que opera com comunicações internas e externas constantemente. Por isso, é muito comum que cibercriminosos utilizem mecanismos como tentativas de phishing para obter dados estratégicos por parte dos profissionais internos da empresa.

Para que você entenda melhor, vamos explicar o que é este tipo de ataque. A ideia é lançar uma isca para o profissional, fingindo que é uma comunicação oficial, solicitando informações que podem ser utilizadas para golpes.

Por exemplo, pode-se fingir que é o setor de RH solicitando uma atualização cadastral e, portanto, pedindo o envio de cópias de documentos. Ao enviar, o criminoso pode utilizar para abertura de contas no nome da pessoa.

Por isso, um dos setores que têm maior visibilidade por parte dos cibercriminosos é o de Recursos Humanos. Por isso, é muito importante ter o suporte de especialistas em Tecnologia da Informação para proteger as informações.

Outro ponto importante é que o setor de RH está alinhado, em alguma medida, com o treinamento dos profissionais. E um dos pontos que precisam ser conscientizados é sobre os cuidados com as informações internas da empresa.

Sendo assim, o setor de RH tem a importância de conseguir articular esse treinamento dos profissionais para proporcionar que todos consigam agir dentro dos padrões estabelecidos para o negócio.

Afinal, um dos principais motivos de problemas de cibersegurança são as falhas humanas. Por isso, fique atento para essas questões para evitar que a empresa como um todo esteja em risco.

Seguindo o exemplo que trouxemos anteriormente, ao educar os profissionais sobre como são realizadas as tentativas de phishing, é possível treiná-los para não cair neste tipo de golpe.

Por fim, não podemos deixar de citar que o RH é um dos setores que está intimamente ligado com as questões relacionadas com a LGPD. Mas vamos abordar sobre isso mais a frente neste guia completo.

Qual a importância da cibersegurança para o RH?

Para além dessas relações, cabe lembrar que a cibersegurança tem um papel fundamental para o bom funcionamento do RH. Vamos entender melhor a seguir.

Privacidade e proteção de dados dos colaboradores

A cibersegurança é fundamental para o RH, em primeiro lugar, porque é um dos setores que mais operam com dados pessoais e que podem ser utilizados para fraudes com seus profissionais. Por isso, é um alvo muito comum destes profissionais.

Por ser um dos mais mirados, é fundamental que tenha uma maior proteção, justamente, porque terá maiores chances de sofrer tentativas constantes de ataque no dia a dia.

Impedir indisponibilidade e inoperabilidade no dia a dia

Outros tipos de ataques que atrapalham o setor de RH e podem prejudicar a empresa são aqueles que provocam indisponibilidade no acesso de dados e inoperabilidade de sistemas e serviços.

Um exemplo é o ataque DDoS. Ele é caracterizado por um ataque massivo que sobrecarrega um sistema e provoca a sua queda. Com isso, os profissionais não conseguem realizá-lo e, assim, atrapalham as atividades no dia a dia.

Cuidados com a legislação vigente

Como a privacidade é um valor importante e garantido pela Constituição Federal, hoje temos leis que garantem a proteção dos dados pessoais. É o caso, por exemplo, da LGPD (Lei Geral de Proteção de Dados Pessoais).

Quando há problemas de negligência nas medidas para trazer proteção dos dados, isso pode gerar sanções contra a empresa como um todo. Se, por exemplo, o RH não trouxer medidas de proteção e isso for comprovado, um vazamento pode gerar multas e mais sanções para o negócio.

Proporcionar uma gestão humanizada de forma segura

A coleta de dados permite, também, que os profissionais de RH possam ter informações para gerar uma gestão humanizada de pessoas. Afinal, com isso, é possível identificar quais são as peculiaridades de cada pessoa e proporcionar diálogos e, ao mesmo tempo, garantir a proteção dos dados que baseiam essas questões.

Por exemplo, se uma pessoa mora longe da empresa e está passando por atrasos constantemente, ao analisar esses dados, é possível pensar em mecanismos para ajudar nessas questões (por exemplo, ter um auxílio para outros tipos de transporte ou ter um horário flexível).

Mas, para isso, é importante que essas informações fundamentais dos membros dos seus times estejam protegidas e proporcionando essa gestão estratégica de RH tão importante para o seu negócio.

Trazer uma importante barreira de proteção para a empresa como um todo

Justamente por ser responsável por armazenar os dados pessoais dos colaboradores e, também, de quem participa de processos seletivos (por exemplo, arquivos de currículos), esse é um setor extremamente visado. Por isso, a cibersegurança tem um papel fundamental.

Isso porque como ele tende a ter maior número de ataques, pode ser a porta de entrada para outros tipos de ações. Lembra-se da tentativa de phishing? Ela pode ser utilizada, por exemplo, em casos em que um criminoso simule uma comunicação do RH para obter dados de sistemas importantes.

banner03

Com isso, o profissional, sem perceber, pode dar suas credenciais de acesso para os hackers, permitindo que eles possam ter contato com informações sigilosas e que possam representar benefícios para eles (por exemplo, venda de informações para os concorrentes do seu negócio).

Quais as principais ameaças?

Para trazer os cuidados necessários para este fim, é importante acompanhar quais são as principais ameaças. Confira a seguir quais delas devem ser prevenidas e, também, ter medidas de mitigação de riscos, caso o ataque seja bem-sucedido.

Ransomware

O ransomware é um ataque que tem sido cada vez mais preocupante pela extensão dos danos que ele é capaz de proporcionar. Isso porque ele é um ataque difícil de ser identificado e parado sem o monitoramento necessário.

Esse ataque atua criptografando as informações presentes em um hardware ou servidor, fazendo com que eles fiquem indisponíveis. Apenas os hackers conseguem desproteger os dados e torná-los acessíveis novamente. Porém, para isso, exige um pagamento de sequestro para a devolução do acesso. E nem sempre ele, de fato, libera após esse momento.

DDoS

Os ataques DDoS são aqueles baseados em causar a inatividade dos serviços por meio de sobrecarga. A ideia é acionar um alto volume de solicitações e, a partir disso, o serviço cai.

Normalmente ele é utilizado como uma forma de gerar prejuízo para a empresa mas, também, pode ser uma cortina de fumaça para outros tipos de ataques. Mas como funciona isso?

Enquanto os profissionais de TI estão tentando reparar o funcionamento do sistema, os hackers aproveitam a falta de visibilidade para poderem atuar em outras vulnerabilidades sem ser visto e, com isso, conseguem ter maior sucesso.

Por isso, ter um bom sistema que permita acompanhar quais são os volumes de tráfego e aumentar a banda, sem perder o acompanhamento de outros pontos do monitoramento de segurança de TI da empresa.

Phishing

Esse é um dos ataques mais antigos e, infelizmente, mais comuns até hoje. Isso porque ele depende da capacidade de identificação do usuário de que aquele tipo de ação é fraudulenta.

O phishing é um nome alusivo à “fishing” (termo em inglês para “pescaria”). A ideia é utilizar uma isca que chame a atenção da vítima e, ao mesmo tempo, finja que é uma comunicação legítima.

Com isso, ele faz a pessoa fornecer informações ou benefícios que são desejados pelos profissionais. Nós demos alguns exemplos já, como fingir que é um contato genuíno do RH para obter credenciais de acesso de sistemas importantes.

Por isso, é um dever constante treinar os profissionais para identificar tentativas de phishing e não cair nos golpes. Isso porque os profissionais estão sempre reinventando e melhorando as técnicas para parecer mais eficientes e conseguir enganar os profissionais.

Trojan

O Trojan também é um ataque clássico e que pode prejudicar seriamente a empresa. Seu outro nome é “Cavalo de Troia” e o nome é bem sugestivo.

A ideia é utilizar uma comunicação que pareça genuína e induzir o usuário a baixar um arquivo ou acessar um link. A partir disso, um malware é instalado em sua máquina, sem que você perceba.

Com isso, o Trojan busca facilitar a entrada de outros tipos de vírus intrusivos, obter informações sigilosas, entre outros tipos de ação. Por isso o nome “Cavalo de Troia”: a partir do momento que esse “presente” entra em seu dispositivo, ele começa a atuar para obter benefícios para os cibercriminosos.

Quais cuidados a equipe de RH deve ter com a cibersegurança?

Diante de tantas possibilidades de problemas, é fundamental que os profissionais estejam atentos para identificar quais são os cuidados que precisam ser tomados para evitar riscos quanto à cibersegurança. Veja mais a seguir.

Conte com sistemas seguros

Muitas vulnerabilidades são acessadas justamente por meio de brechas nos sistemas que você utiliza em sua empresa. Por isso, sempre conte com empresas que estão sempre atualizando suas soluções, a fim de corrigir problemas que podem ser explorados por cibercriminosos.

Tenha um bom antivírus

O antivírus é um mecanismo importante de barreira para proporcionar maior proteção para os dispositivos como um todo. Ele reconhece tentativas de intrusão e instalação de malwares nos dispositivos. Ele é um dos primeiros responsáveis por impedir problemas no seu dispositivo.

Adote protocolos de cibersegurança

As falhas humanas são motivos comuns de problemas de segurança no setor de RH. Para sanar essa questão, é fundamental trazer protocolos específicos de conduta e evitar que eles aconteçam.

Por exemplo, um ato equivocado no meio de um ataque ransomware pode complicar ainda mais a situação. Por isso, deve-se ter um documento que normatize o que deve ser feito nesse momento.

Treine os profissionais

Além disso, treinar os profissionais para evitar as principais falhas de segurança é fundamental para que eles estejam cientes de como identificar problemas e saber como proceder em tentativa de ciberataque. Por isso, faça treinamentos periódicos para cuidar dessas questões.

O que a cibersegurança tem a ver com a LGPD?

Além de todos os pontos que levantamos, outra questão fundamental é entender a relação entre cibersegurança, LGPD e RH. Para isso, vamos entender melhor o que é a LGPD, sua relação com o setor de RH e como a cibersegurança é importante neste processo.

O que é a LGPD

LGPD é a Lei Geral de Proteção de Dados Pessoais e é a lei atual que visa garantir a privacidade das pessoas sobre seus dados pessoais, garantindo a autonomia de decisão sobre o que será feito deles e exige a proteção das informações por parte de quem faz a coleta.

Neste caso, as empresas são responsáveis por manterem o sigilo e privacidade das informações pessoais, garantindo que elas não sejam acessadas por terceiros que não tenham direito a elas. Caso seja comprovado algum tipo de negligência nas medidas de proteção, elas poderão responder dentro dos dispositivos legais.

Desde 2021, a Agência Nacional de Proteção de Dados Pessoais (ANPD) pode sancionar as empresas que ferem os dispositivos da lei. Algumas das sanções previstas por ela são:

  • multa simples;
  • multa diária;
  • publicização das infrações;
  • paralisação das atividades referentes à infração;
  • remoção dos dados referentes à infração.

A relação da LGPD com o RH

A LGPD está diretamente relacionada com o setor de RH, principalmente, por esse setor abrigar os dados dos profissionais contratados e, até mesmo, dos candidatos para recrutamento em processos seletivos.

Por exemplo, o RH abriga cópias dos documentos dos profissionais, que são obtidos no ato da contratação, além de dados cadastrais fundamentais para uma boa gestão estratégica de pessoas.

Outro ponto é que esse é um setor que pode, em alguma medida, trabalhar com armazenamento de dados sensíveis definidos pela legislação e que demandam maior cuidado, previsto pela lei. Estão entre eles:

  • origem racial ou étnica;
  • opinião política;
  • filiação a sindicatos;
  • princípios religiosos;
  • dados de saúde (por exemplo, dados de exames admissionais, periódicos e demissionais e testes psicológicos);
  • dados sobre orientação e vida sexual;
  • dados genéticos ou biométricos.

Muitas empresas dependem de ter essas informações internamente, principalmente, os que dizem respeito a questões de saúde. Nesse caso, o tratamento exige ainda maior cuidado, já que são informações que podem proporcionar discriminações caso vazem.

Por isso, o setor de RH precisa estar alinhado com a legislação vigente, bem como também acompanhar eventuais alterações que possam acontecer na lei, bem como analisar as jurisprudências relacionadas com o tema.

A relação da LGPD com o RH e cibersegurança

Lembra-se que falamos sobre sanções relacionadas com negligência no que diz respeito à proteção dos dados e que podem gerar sanções? Pois é, por isso a cibersegurança tem um papel fundamental para proporcionar a adequação para a LGPD.

Ao adotar as principais medidas de segurança, é possível proporcionar todas as ações necessárias para conseguir garantir não só que terceiros tenham acesso aos dados, mas que eles sejam perdidos ou passem por problemas de vazamento.

A cibersegurança no RH é um ponto fundamental para proporcionar que o setor atue com menor chance de ocorrência de problemas. Por isso, não deixe de ficar atento para atualizar-se com as principais medidas para proporcionar os cuidados necessários e manter o RH seguro e produtivo.

O Grupo Seres é autoridade em consultoria de RH já por quase 60 anos, sempre se atualizando e trazendo o que há de melhor para os processos com segurança. Conheça nossas soluções aqui.

E para continuar a acompanhar as novidades sobre o assunto, assine nossa newsletter aqui e acompanhe nossas publicações com tudo que você precisa saber para otimizar o seu negócio.

Share on facebook
Share on twitter
Share on linkedin
Share on whatsapp

Nestes 60 anos de Grupo Seres, o mundo transformou-se, e nós, como verdadeiros especialistas em gente, evoluímos junto com ele.  Para marcar esta ocasião especial, vamos embarcar em uma viagem nostálgica, destacando fatos marcantes e curiosidades que pontuaram a história. Acompanhe-nos nesta celebração: