ABQ - Academia Brasileira da Qualidade

A Academia Brasileira da Qualidade (ABQ) é uma organização não governamental e sem fins lucrativos, tendo como membros participantes pessoas experientes e de reconhecida competência profissional adquirida ao longo dos anos – nas universidades, nas empresas e em outras organizações privadas ou públicas – em atividades relacionadas à engenharia da qualidade, à gestão da qualidade e à excelência na gestão. A administração da ABQ é realizada por um colegiado eleito entre os membros, de acordo com seu Estatuto.

 
Proteção contra roubos e segredos industriais
As vinte regras de ouro para proteger as informações críticas e sensíveis de uma organização
ABQ - Associação Brasileira da Qualidade
Publicado em: 10/04/2018

Este artigo expressa a opinião dos Autores e não de suas organizações.

 

 

(Baseadas na ABNT NBR ISO 27002:2013 e no Cert.br)

 

 

 

Por Ariosto Farias Jr & Jeferson Prevedello**

 

 

 

Todos os dias nos quatro cantos do mundo, milhares de sistemas de informação e de dados confidenciais das organizações são acessados por pessoas não autorizadas, sejam por motivos monetários, roubo de segredos industriais, políticos ou outros, comprometendo seriamente os três principais componentes de uma informação que são a confidencialidade, a integridade e a disponibilidade.

 

Criminosos cibernéticos, serviços estrangeiros de inteligência, hackers, competidores internacionais, funcionários da própria organização e prestadores de serviços, são exemplos de pessoas que colocam em risco os ativos de informação críticos e sensíveis de uma organização.

 

De acordo com a ABNT NBR ISO 27002 confidencialidade é a propriedade de que a informão esteja disponível apenas para pessoas autorizadas a terem acesso às informações; integridade é a propriedade de manter a exatidão e completeza de uma informação assegurando, por exemplo, que a informação não será adulterada; disponibilidade é a propriedade de que a informão deve estar acessível para uso por pessoas autorizadas, sempre que necessário.

 

A verdade é que as organizações estão, cada vez mais, vulneveis e expostas a ações de pessoas, tanto internas como externas, que vêm causando grandes prejuízos de ordem financeira, operacional e de imagem perante as partes interessadas, a exemplo dos clientes, acionistas e da sociedade.


As vinte regras de ouro apresentadas a seguir, têm como objetivo criar controles para proteger as informações críticas e sensíveis de uma organização, quanto aos seus três principais componentes apresentados acima.

 

REGRA Nº1: USO DOS DISPOSITIVOS MÓVEIS (Notebooks, Tablets,

Smartphones)

 

Ø  Carregue-o sempre como bagagem de mão e NUNCA o perca de vista;

 

Ø  Atualize as versões do software e aplicações de patches;

 

Ø  Não    utilize   dispositivo    cujas    permissões    tenham   sido    alteradas (jailbreak);

 

Ø  Use apenas software devidamente licenciado;

 

Ø  Mantenha o antivírus atualizado para proteger-se contra códigos maliciosos;

 

Ø  Não acesse links com conteúdo duvidoso (SMS, e-mails, redes sociais);

 

Ø  Use senhas complexas (alfanuméricas)

 

REGRA Nº2: TRABALHO REMOTO

Ø  Certifique-se de que o local do trabalho remoto é seguro;

 

Ø  Previna-se do acesso não autorizado de pessoas, bloqueando o equipamento ao se ausentar do local;

 

Ø  Acesse virtualmente a sua estação de trabalho para evitar o armazenamento das informões da sua organização em equipamento de propriedade particular;

 

Trabalho remoto refere-se a todas as formas de trabalho fora da organização, incluindo ambientes de trabalho não tradicionais, como aqueles referidos como: “ambientes de telecommuting”, local de trabalho flevel, “trabalho remoto” e “trabalho virtual.


REGRA Nº3: CUIDADO COM AS COMPRAS/PAGAMENTOS NA INTERNET

Esteja ciente dos riscos que você pode enfrentar ao comprar pela internet:

 

Ø  Ter os dados pessoais e financeiros indevidamente obtidos;

 

Ø  Ter a privacidade invadida por meio do compartilhamento indevido de dados pessoais;

 

Ø  Ter os dados financeiros repassados para outras empresas e indevidamente usados para outros fins.

 

Cuidados a serem tomados: Utilize sempre um computador seguro:

 

Ø  Com a versão mais recente de todos os aplicativos instalados;

 

Ø  Com todas as atualizações dos sistemas operacionais;

 

Ø  Com mecanismos de segurança instalados e atualizados, como antimalware, antispam e firewall pessoal.

 

REGRA   Nº4:    CLASSIFIQUE    AS    SUAS   INFORMAÇÕES    CRÍTICAS   SENSÍVEIS

 

Ø  Elabore um procedimento usando como base a Norma ABNT NBR 16167:2013 - Diretrizes para classificação, rotulação e tratamento da informação e veja qual o vel de proteção que a sua informação precisa ter;

 

Ø  São exemplos de titulação para representar os níveis de classificação que podem ser considerados pela organização:

 

Ø  Pública: Informações divulgadas para as mídias externas, ao mercado e à sociedade;

 

Ø  Uso interno: Políticas, procedimentos, comunicados internos e listas de ramais;

 

Ø  Reservado: Relatórios de desempenho de processos, informações pessoais de colaboradores, informações de clientes e atas de reunião;

 

Ø  Secreto: Informações estratégicas da Organização, relatórios de testes de invasão, relatório de auditoria de clientes.


 

REGRA 5: PROTEJA A SUA ESTAÇÃO DE TRABALHO CUIDADOS A SEREM TOMADOS:

Ø  Utilize apenas softwares licenciados e assinados pelo fabricante;

 

Ø  Somente    utilize    softwares     homologados    pela    equipe    de Segurança da Informação da sua organizão;

 

Ø  Mantenha todos os softwares atualizados;

 

Ø  Não abra ou execute arquivos anexados a e-mails de origem duvidosa ou remetente desconhecido;

 

Ø  Nunca permita a instalação automática de programas oferecidos pela Internet;

 

Ø  Evite o consumo de bebidas e comidas próximo à estação de trabalho.

 

REGRA    Nº6:    ACESSO    ÀS    INFORMAÇÕES    E    AOS    SISTEMAS    DE INFORMAÇÃO

 

Ø  Lembre-se que você tem permissão para acessar apenas as informações e os sistemas necessários para desempenhar de forma eficaz a sua tarefa;

 

Ø  Na segurança da informação é adotado o princípio de que Tudo é proibido a menos que expressamente permitido”;

 

Ø  Cuidados especiais devem ser tomados quando da concessão de direitos de acesso privilegiado;

 

Ø  O uso inapropriado de privilégios de administrador de sistemas pode ser um grande fator de contribuição para graves violações da segurança da informação.


 

REGRA Nº7: MANTENHA A CONFIDENCIALIDADE DA SUA SENHA

 

Ø  Não divulgue a sua senha para ninguém, nem mesmo para a sua liderança ou qualquer autoridade da sua organização;

 

Ø  Você é o único responsável por qualquer atividade que ocorra na sua estação de trabalho;

 

Ø  Evite anotar a sua senha em pedaços de papel, pendrives ou outros dispositivos móveis;

 

Ø  Ao perceber que a sua senha foi vista por alguém, altere-a imediatamente;

 

Ø  Siga as orientações da norma NBR ISO 27002:2013 quanto ao uso de senhas de qualidade;

 

Ø  Caso a sua senha seja temporária, mude-a no primeiro acesso;

 

Ø  Não utilize a sua senha profissional para atividades pessoais.

 

 

REGRA Nº8: USE O CRACHÁ DE FORMA VISÍVEL E PROTEJA SEU AMBIENTE

 

Ø  Todas as pessoas que acessam o ambiente de uma organização sejam funcionários, fornecedores, parceiros de negócio, clientes, consultores e visitantes, devem ter alguma forma visível de identificação;

 

Ø  Caso você encontre algum visitante não acompanhado ou qualquer pessoa que não esteja usando uma identificação visível, avise imediatamente ao pessoal de segurança patrimonial;

 

 

REGRA Nº9: TRABALHE EM UM AMBIENTE SEGURO

Ø  Evite que informões confidenciais ou que suas atividades sejam visíveis e possam ser ouvidas por pessoas não relacionadas ao seu trabalho;

 

Ø  Listas de colaboradores, ramais telefônicos internos, não devem ser facilmente acessíveis a qualquer pessoa;

 

Ø  Não permita o uso de máquinas fotográficas, gravadores de áudio/vídeo ou qualquer outro equipamento de gravação, salvo se for autorizado;

 

Ø  Assegure-se de que áreas não ocupadas estejam fisicamente trancadas e sejam periodicamente verificadas.


 

REGRA    Nº10:    REMOÇÃO    DE    EQUIPAMENTOS    DA    ORGANIZAÇÃO SOMENTE COM AUTORIZAÇÃO

 

Ø  Retirada de equipamentos (desktop, servidores, mídias de backup) do ambiente da organização, somente com autorização pvia e feita por pessoas que têm autoridade para remover os equipamentos para fora da empresa;

 

Ø  Recomenda-se que seja feito um registro da retirada e da devolução destes equipamentos, quando do seu retorno.

 

REGRA      Nº11:      CUIDADO      QUANDO      TRABALHAR      FORA      DADEPENDÊNCIAS DA SUA ORGANIZAÇÃO

 

Ø  Não deixe seu equipamento sem observação em lugares públicos;

 

Ø  Esta regra se aplica aos equipamentos da organização e aos equipamentos pessoais, usados em nome da empresa;

 

Ø  Equipamentos incluem todas as formas de dispositivos móveis como Notebooks, Tablets, Smartphones, além de papéis que são removidos do local de trabalho.

 

REGRA     Nº12:     SEJA     CUIDADOSO     NO     DESCARTE    DOS     SEUEQUIPAMENTOS

 

Ø  Descarte seus equipamentos (Computador, Notebook, Tablet, Smartphone, Pendrive) que contêm informações confidenciais de forma segura e protegida para garantir que todos os dados sensíveis e software licenciados foram removidos ou sobre-gravados com segurança;

 

Ø  Lembre-se: Fotos pessoais, endereços, meros de celulares e outras informações sensíveis devem ser excluídas quando do reuso por outras pessoas ou descarte dos seus equipamentos.


 

REGRA Nº13: ADOTE A POLÍTICA DE MESA LIMPA E TELA LIMPA

 

Ø  Mantenha as informações confidenciais, em papel ou em mídia, guardadas em um local seguro (por exemplo, na gaveta trancada), principalmente quando a sala estiver desocupada;

 

Ø  Os equipamentos devem ser mantidos desligados ou protegidos com mecanismo de travamento de tela, quando não estiverem em uso;

 

Ø  Somente pessoas autorizadas devem usar a copiadora ou outra tecnologia de reprodução;

 

Ø  Documentos que contêm informão classificada como confidencial devem ser removidos de impressoras imediatamente.

 

 

REGRA Nº14: PROTEJA-SE CONTRA DIGOS MALICIOSOS

Ø  Lembre-se que é proibido o uso de software não autorizado e homologado pela área de Segurança da Informação;

 

Ø  Cuidado quando realizar o download de arquivos e/ou software, seja de redes externas, ou em qualquer mídia de armazenamento;

 

Ø  A presença de quaisquer arquivos não aprovados ou uma atualizão não autorizada deve ser objeto de uma avaliação formal pela área de Segurança da informação da organização.

 

REGRA Nº15: FAÇA SEMPRE CÓPIAS DE SEGURANÇA DAS SUAINFORMAÇÕES

 

Ø  pias das informações devem ser realizadas frequentemente;

 

Ø  Armazene as cópias de segurança em uma localidade distante, a uma distância suficiente para escapar dos danos de um desastre ocorrido no local principal;

 

Ø  Aplique um nível de proteção física e ambiental das cópias de segurança consistentes com os níveis aplicados na instalação principal;

 

Ø  Teste regularmente as cópias segurança para garantir que elas sejam confveis no caso do uso emergencial;

 

Ø  Se a confidencialidade das informações é importante, proteja as cópias de segurança por meio de encriptação.


 

REGRA Nº16: RESTRIÇÕES QUANTO À INSTALAÇÃO DE SOFTWARE

 

Ø  Crie um procedimento na sua organização, usando como base a NBR ISO 27002:2013, definindo quais são os tipos de software que os usuários podem instalar;

 

Ø  Existem também tipos de instalações que são proibidas a exemplo de software usado para fins pessoais e/ou de origem desconhecida ou suspeita;

 

Ø  A instalação de software não licenciado pode introduzir vulnerabilidades, levando ao vazamento de informões, à perda de integridade ou outros incidentes de segurança da informação, além da violação de direitos de propriedade intelectual.

 

REGRA     Nº17:     CUIDADOS     A     SEREM     TOMADOS     COM     A     SUCOMUNICAÇÃO

 

Ø  Lembre-se de que as Boas Regras de Conduta Ética não permitem a difamão, discriminação, assédio ou qualquer manifestação desrespeitosa;

 

Ø  Quando da retransmissão automática de mensagens eletrônicas, como por exemplo o e-mail, certifique-se quem é o destinatário final;

 

Ø  Evite deixar informações confidenciais em secretárias eletrônicas, pois podem ser transmitidas por engano ou ouvidas pessoas não autorizadas.

 

 

REGRA Nº18: CONFIDENCIALIDADE DAS INFORMAÇÕES

Ø  Estabeleça um procedimento na sua organização, usando como base a NBR ISO 27002:2013, exigindo que os usuários dos sistemas de informação, sejam funcionários, fornecedores, consultores, auditores, estagiários, assinem um Termo de Confidencialidade e não Divulgação (NDA), para proteger as informações confidenciais da organização;

 

Ø  Em alguns casos, a confidencialidade deve ser mantida indefinidamente;

 

Ø  Evite tratar de assuntos confidenciais em locais públicos, escritórios abertos, redes sociais e locais de reunião;

 

Ø  Nunca revele informações confidenciais para pessoas não autorizadas

 

REGRA     Nº19:     NOTIFIQUE     SEMPRE     QUALQUER     INCIDENTE    DE SEGURANÇA DA INFORMAÇÃO

 

Ø  Incidentes de segurança da informação devem ser sempre relatados pelos canais apropriados, o mais rapidamente posvel;

 

Ø  Crie um procedimento na sua organização, usando como base a NBR ISO 27002:2013, orientando as pessoas sobre como notificar um incidente de segurança da informação;

 

Ø  Exemplos de incidentes de segurança da informação que devem ser reportados:

Ø  Estação de trabalho desbloqueada e com o usuário ausente;

 

Ø  Furto    ou    roubo    de    dispositivos    móveis    como    laptops    e smartphones com dados da organização;

 

Ø  Uso da internet para acessar sites impróprios ou não relacionados com as atividades da organização;

 

Ø  Violação das políticas e dos procedimentos de segurança da informação estabelecidos pela organização.

 

 

REGRA 20: RESPEITE OS DIREITOS DE PROPRIEDADE INTELECTUAL

Ø  Adquira software somente por meio de fontes conhecidas e de reputação, para garantir que o direito autoral não esteja sendo violado;

 

Ø  Mantenha provas e evidências de propriedade das licenças;

 

Ø  Lembre-se: O uso de software pirata é crime federal, pois viola a Lei 9609 de 19.02.98;

 

Ø  Também é crime federal copiar, no todo ou em parte, livros ou materiais didáticos que são protegidos pela Lei 9610 de 19.02.98: Legislação de Direitos Autorais.

 

 

 

 

(**)Ariosto Farias Jr é membro da Academia Brasileira da Qualidade, consultor, auditor e instrutor das normas ISO de Sistemas de Gestão (37001 & 27001)

 

(**)Jeferson L. Prevedello é Superintendente de Segurança da Informação da Getnet

 

Por Dídio Art & Design | © Todos os direitos reservados | 2015