7 formas de proteger o seu Health Club de uma violação de dados

A nossa economia digital funciona com base em dados. A recolha e a troca de dados podem fornecer às empresas - especialmente no sector do fitness - informações vitais que ajudam a direccionar e a servir melhor os clientes. A partilha de dados permite aos consumidores usufruir de uma multiplicidade de bens e serviços, todos disponíveis em transacções rápidas e convenientes.

A desvantagem deste fluxo e intercâmbio constante e maciço de informações é o risco de perda, roubo ou comprometimento dos dados.

O que é uma violação de dados?

Uma violação de dados ocorre quando dados sensíveis, confidenciais ou protegidos de outra forma são acedidos ou divulgados sem a autorização da empresa que detém os dados ou do consumidor que os fornece. Estas informações podem incluir:

• informações sobre o cartão de crédito,
• números de segurança social,
• contas bancárias,
• mesmo o nome de utilizador ou o endereço de correio electrónico de um consumidor em combinação com outras informações de identificação.

Qual a frequência das violações de dados?

As violações de dados podem envolver uma quantidade impressionante de registos. Se ligou as notícias nos últimos anos, provavelmente já ouviu falar destas quatro violações de dados.

1. Em 2017, a agência de informação de crédito ao consumidor Equifax sofreu uma violação que afectou 146 milhões de contas.
2. A Marriott sofreu uma violação no final de 2018, envolvendo 500 milhões de informações de hóspedes.
3. Em 2019, o Facebook revelou que os piratas informáticos exploraram falhas de software para obter os logins de um número de contas inicialmente estimado em 50 milhões. Até à data, esta é considerada a pior violação de segurança do Facebook.
4. A maior violação de dados - atéà data - pertence à Yahoo!, em 2013, quando cerca de 3 mil milhões de contas foram comprometidas. A violação foi tão maciça e generalizada que a Yahoo! só revelou a sua extensão em 2017.

Sei o que está a pensar: "Os clubes de saúde não são um grande negócio tecnológico como o Yahoo! Não tem mil milhões de registos nem ninguém a tentar piratear o seu clube de saúde. Só as grandes empresas é que precisam de se preocupar com as violações de dados."

Embora seja verdade que algumas violações de dados ocorrem devido a actividades criminosas, como a pirataria informática de um sistema. Muitas mais violações são o resultado de ocorrências quotidianas mundanas, tais como:

• enviar uma mensagem de correio electrónico com informações financeiras para a conta errada,
• ou um empregado perder um portátil com informações sensíveis.

O seu health club contém informações valiosas e sensíveis sobre os seus membros e funcionários, pelo que a sua protecção é da sua responsabilidade e uma boa prática comercial.

As violações de dados custam muito dinheiro às empresas. A violação de dados da Equifax em 2017 pode acabar por custar à empresa até 700 milhões de dólares. O Instituto Ponemon, que acompanha o custo das violações de dados, informou que o custo total médio de uma violação de dados em 2018 foi de 3,86 milhões de dólares e o custo médio por registo roubado ou perdido foi de 148 dólares.

Se o seu clube tiver 2.000 sócios e metade for vítima de uma violação de dados, isso pode custar à sua empresa até $148.000. Acrescente a isso os danos à sua reputação e a perda de confiança dos seus sócios, e pode começar a ver como uma violação de dados pode prejudicar o seu negócio.

7 maneiras de evitar uma violação de dados

As violações de dados não são inevitáveis. Com as devidas precauções, pode proteger o seu health club de uma violação de dados. Aqui estão sete práticas recomendadas para a prevenção de violações de dados.

1. Criar políticas que limitem o acesso e restrinjam a divulgação de dados sensíveis

Crie políticas que limitem quem tem acesso a dados sensíveis e o que e quando os dados sensíveis são divulgados ou partilhados. Por exemplo, restringir o acesso às informações de pagamento dos membros apenas aos funcionários que tratam da facturação limitaria o acesso aos dados. Por outro lado, uma política que limitasse a divulgação semanal de informações de facturação apenas à gestão superior restringiria de forma semelhante o acesso aos dados dos consumidores. A existência de políticas que limitem tanto o acesso como a divulgação de dados sensíveis é uma ferramenta de referência valiosa para os funcionários e ajuda a protegê-lo em caso de litígio.

2. Exigir palavras-passe fortes

Uma palavra-passe forte inclui não permitir a utilização repetida de palavras-passe e exigir que estas sejam alteradas frequentemente. Além disso, considere a possibilidade de utilizar a autenticação multifactor; esta tendência exige a autenticação num computador ou portátil, bem como no telemóvel de um funcionário ou noutro dispositivo seguro.

3. Políticas de "traga o seu próprio dispositivo" (BYOD)

É necessário decidir se vai permitir que os empregados utilizem os seus próprios dispositivos para fins profissionais. As políticas BYOD incluem considerações de segurança sobre a possibilidade de permitir que dispositivos externos se liguem à sua rede.

4. Limitar a instalação de software e o acesso ao sítio Web por parte dos funcionários

A limitação de software aplica-se tanto aos dispositivos da empresa como aos dispositivos pessoais utilizados para o trabalho. Deve exigir que os funcionários instalem e utilizem o software que melhor se adapta às suas necessidades de segurança. Por exemplo, se o Google Chrome for o navegador de Internet mais seguro para a sua empresa, faz sentido implementar uma política que proíba a utilização de outro navegador, mesmo que os funcionários o considerem mais conveniente. Também deve limitar os sítios Web a que os funcionários têm acesso, uma vez que podem conter malware ou outros programas ou vírus nocivos.

5. Encriptação e actualizações de software

A encriptação é um método de segurança que codifica os dados utilizando algoritmos matemáticos e deixando que apenas as pessoas que possuem a chave do remetente possam descodificar a mensagem. Existem vários tipos e níveis de encriptação, desde a encriptação de um único ficheiro até à encriptação total do computador. A encriptação pode ser particularmente útil como método de segurança de um computador portátil ou de outro dispositivo que possa ser perdido ou roubado. Existem vários serviços e técnicas de encriptação, pelo que deve procurar um que se adeqúe às necessidades da sua empresa. Escusado será dizer que deve certificar-se de que instala regularmente actualizações de software em todos os dispositivos.

6. Auditorias periódicas

Para garantir a conformidade com as normas de segurança, deve auditar as suas operações internas a intervalos regulares.

7. Acordos com fornecedores

A protecção adequada dos dados não se limita aos seus empregados e equipamento, mas estende-se a outras organizações com as quais partilha dados e faz negócios. Estenda as suas práticas de segurança de dados a quaisquer acordos que tenha com fornecedores terceiros para garantir a protecção dos dados da sua empresa, dos seus empregados e dos seus membros.

É importante lembrar que não basta elaborar e distribuir uma política de protecção de dados. Você e o seu health club só beneficiarão de uma política de protecção de dados se a fizerem cumprir.

Muitos estatutos de privacidade de dados exigem a utilização de "medidas razoáveis" para garantir a segurança de dados sensíveis. Embora nem sempre seja conveniente, os funcionários precisam de compreender que as políticas de protecção de dados existem para proteger os dados dos membros e dos funcionários e que todos devem seguir as regras.

Não existe uma forma infalível de evitar uma violação de dados. No entanto, se implementar estas boas práticas, reduzirá significativamente o risco de a sua empresa ser vítima de uma violação.