7 passos para um desligamento digital seguro

O desligamento de um profissional nem sempre termina quando ele deixa a empresa. Sem políticas claras de exclusão de acessos, bloqueio de contas e descarte de arquivos – ou seja, sem um “desligamento digitial” –, ele continua conectado à rede e aos sistemas internos mesmo após o fim do contrato. Trata-se de um risco invisível que afeta organizações de todo tipo.

“Quando um colaborador deixa a empresa e seus acessos não são corretamente revogados, existe o perigo de que informações estratégicas e confidenciais permaneçam expostas, podendo ser acessadas ou até utilizadas de forma indevida”, afirma Carlos Machado, fundador da legaltech Docwise. Vazamentos de dados sensíveis ou movimentações internas feitas por contas que deveriam estar inativas, por exemplo, podem gerar prejuízos financeiros, quebra de confiança com clientes e processos judiciais.

O perito em crimes cibernéticos Wanderson Castilho, fundador da Enetsec, ainda acrescenta riscos para a empresa como a perda irreversível de dados, brechas para ataques cibernéticos e a violação de requisitos da Lei Geral de Proteção de Dados Pessoais (LGPD) – que pode causar sanções éticas ou regulatórias. “É necessário ter sempre um contrato bem definido desde a contratação, com cláusulas claras sobre a confidencialidade”, indica.

No ano passado, segundo um relatório da CrowdStrike, 79% das invasões ocorreram sem o uso de malware – um “software malicioso” projetado para prejudicar sistemas de computador. Ou seja, tais invasões aconteceram por meio de acessos legítimos mantidos indevidamente.

Um problema negligenciado

Para os especialistas, manter controles frágeis de acesso digital em ambientes corporativos cada vez mais regulados por leis e exigências de compliance pode ser interpretado como negligência, principalmente quando acontecem em aéreas com mais alto risco, como jurídica, TI, comercial, financeira e administrativa, além do próprio RH.

A falha também revela uma desconexão entre os setores responsáveis pela segurança e aqueles responsáveis pelas pessoas. Muitas empresas ainda tratam o desligamento como um processo exclusivamente administrativo, com foco no aviso prévio e na rescisão contratual, ignorando que o vínculo digital precisa ser encerrado de forma coordenada. “Envolver as áreas de TI, RH e jurídico [além dos gestores] é essencial para proteger os dados da organização”, afirma Wanderson.

Práticas recomendadas

O checklist para fazer um desligamento digital seguro varia de acordo com as características de cada empresa, os sistemas utilizados e a cultura organizacional. “Na prática, ele começa com a definição de um procedimento formal e padronizado, que seja seguido sempre que um colaborador, estagiário, sócio ou fornecedor deixa a organização”, comenta Carlos Machado, da Docwise.

Confira a seguir o passo a passo indicado pelo especialista para ter mais segurança e tranquilidade no processo:

1. Planejamento e registro. Notificar previamente as áreas de TI, RH e gestores diretos; definir a data e hora exata do desligamento; e criar um registro do processo para acompanhamento e auditoria.
   
2. Revogação imediata de acessos. Bloquear acesso à VPN, drives compartilhados e sistemas de nuvem; desativar conta de rede (Active Directory, Azure AD ou similar); e revogar acessos a sistemas internos, ERPs, CRMs, GED e ferramentas de colaboração.
3. Auditoria de e-mails e comunicação corporativa. Redirecionar temporariamente e-mails corporativos para um responsável; configurar respostas automáticas informando o desligamento; exportar ou arquivar mensagens importantes para continuidade de trabalho.
4. Remoção de grupos e permissões. Revogar permissões em pastas compartilhadas; e retirar o usuário de grupos de e-mail, canais de chat e listas de distribuição.
5. Exclusão de tokens e autenticações. Invalidar tokens de autenticação em aplicativos, sistemas e dispositivos móveis; e revogar certificados digitais emitidos para o colaborador.
6. Descarte seguro de arquivos e dispositivos. Recolher notebooks, celulares, HDs externos e pendrives corporativos; efetuar limpeza segura (wipe) dos dispositivos para evitar recuperação de dados; e garantir a guarda ou destruição segura de mídias físicas contendo informações sensíveis.
7. Auditoria final e documentação. Conferir se todos os acessos e permissões foram realmente removidos; e registrar as ações realizadas, guardando logs e comprovantes.

• Confiança
• Demissões
• Legislação
• Segurança digital
• Tecnologia