terça-feira, setembro 27, 2022

Proteção contra roubos e segredos industriais

(Baseadas na ABNT NBR ISO 27002:2013 e no Cert.br)

 

Por Ariosto Farias Jr & Jeferson Prevedello**

 

Todos os dias nos quatro cantos do mundo, milhares de sistemas de informação e de dados confidenciais das organizações são acessados por pessoas não autorizadas, sejam por motivos monetários, roubo de segredos industriais, políticos ou outros, comprometendo seriamente os três principais componentes de uma informação que são a confidencialidade, a integridade e a disponibilidade.

Criminosos cibernéticos, serviços estrangeiros de inteligência, hackers, competidores internacionais, funcionários da própria organização e prestadores de serviços, são exemplos de pessoas que colocam em risco os ativos de informação críticos e sensíveis de uma organização.

De acordo com a ABNT NBR ISO 27002 confidencialidade é a propriedade de que a informação esteja disponível apenas para pessoas autorizadas a terem acesso às informações; integridade é a propriedade de manter a exatidão e completeza de uma informação assegurando, por exemplo, que a informação não será adulterada; disponibilidade é a propriedade de que a informação deve estar acessível para uso por pessoas autorizadas, sempre que necessário.

A verdade é que as organizações estão, cada vez mais, vulneráveis e expostas a ações de pessoas, tanto internas como externas, que vêm causando grandes prejuízos de ordem financeira, operacional e de imagem perante as partes interessadas, a exemplo dos clientes, acionistas e da sociedade.

As vinte regras de ouro apresentadas a seguir, têm como objetivo criar controles para proteger as informações críticas e sensíveis de uma organização, quanto aos seus três principais componentes apresentados acima.

 

REGRA Nº 1: USO DOS DISPOSITIVOS MÓVEIS (Notebooks, Tablets, Smartphones)

  • Carregue-o sempre como bagagem de mão e NUNCA o perca de vista;
  • Atualize as versões do software e aplicações de patches;
  • Não    utilize   dispositivo    cujas    permissões    tenham   sido    alteradas (jailbreak);
  • Use apenas software devidamente licenciado;
  • Mantenha o antivírus atualizado para proteger-se contra códigos maliciosos;
  • Não acesse links com conteúdo duvidoso (SMS, e-mails, redes sociais);
  • Use senhas complexas (alfanuméricas)

 

REGRA Nº 2: TRABALHO REMOTO

  • Certifique-se de que o local do trabalho remoto é seguro;
  • Previna-se do acesso não autorizado de pessoas, bloqueando o equipamento ao se ausentar do local;
  • Acesse virtualmente a sua estação de trabalho para evitar o armazenamento das informações da sua organização em equipamento de propriedade particular;

Trabalho remoto refere-se a todas as formas de trabalho fora da organização, incluindo ambientes de trabalho não tradicionais, como aqueles referidos como: “ambientes de telecommuting”, “local de trabalho flexível”, “trabalho remoto” e “trabalho virtual”.

 

REGRA Nº 3: CUIDADO COM AS COMPRAS/PAGAMENTOS NA INTERNET

Esteja ciente dos riscos que você pode enfrentar ao comprar pela internet:

  • Ter os dados pessoais e financeiros indevidamente obtidos;
  • Ter a privacidade invadida por meio do compartilhamento indevido de dados pessoais;
  • Ter os dados financeiros repassados para outras empresas e indevidamente usados para outros fins.

Cuidados a serem tomados: Utilize sempre um computador seguro:

  • Com a versão mais recente de todos os aplicativos instalados;
  • Com todas as atualizações dos sistemas operacionais;
  • Com mecanismos de segurança instalados e atualizados, como antimalware, antispam e firewall pessoal.

 

REGRA   Nº 4: CLASSIFIQUE AS SUAS INFORMAÇÕES CRÍTICAS E SENSÍVEIS

  • Elabore um procedimento usando como base a Norma ABNT NBR 16167:2013 – Diretrizes para classificação, rotulação e tratamento da informação e veja qual o nível de proteção que a sua informação precisa ter;
  • São exemplos de titulação para representar os níveis de classificação que podem ser considerados pela organização:
    • Pública: Informações divulgadas para as mídias externas, ao mercado e à sociedade;
    • Uso interno: Políticas, procedimentos, comunicados internos e listas de ramais;
    • Reservado: Relatórios de desempenho de processos, informações pessoais de colaboradores, informações de clientes e atas de reunião;
    • Secreto: Informações estratégicas da Organização, relatórios de testes de invasão, relatório de auditoria de clientes.

 

REGRA Nº 5: PROTEJA A SUA ESTAÇÃO DE TRABALHO CUIDADOS A SEREM TOMADOS:

  • Utilize apenas softwares licenciados e assinados pelo fabricante;
  • Somente utilize softwares homologados pela equipe de Segurança da Informação da sua organização;
  • Mantenha todos os softwares atualizados;
  • Não abra ou execute arquivos anexados a e-mails de origem duvidosa ou remetente desconhecido;
  • Nunca permita a instalação automática de programas oferecidos pela Internet;
  • Evite o consumo de bebidas e comidas próximo à estação de trabalho.

 

REGRA Nº 6: ACESSO ÀS INFORMAÇÕES E AOS SISTEMAS DE INFORMAÇÃO

  • Lembre-se que você tem permissão para acessar apenas as informações e os sistemas necessários para desempenhar de forma eficaz a sua tarefa;
  • Na segurança da informação é adotado o princípio de que “Tudo é proibido a menos que expressamente permitido”;
  • Cuidados especiais devem ser tomados quando da concessão de direitos de acesso privilegiado;
  • O uso inapropriado de privilégios de administrador de sistemas pode ser um grande fator de contribuição para graves violações da segurança da informação.

 

REGRA Nº 7: MANTENHA A CONFIDENCIALIDADE DA SUA SENHA

  • Não divulgue a sua senha para ninguém, nem mesmo para a sua liderança ou qualquer autoridade da sua organização;
  • Você é o único responsável por qualquer atividade que ocorra na sua estação de trabalho;
  • Evite anotar a sua senha em pedaços de papel, pendrives ou outros dispositivos móveis;
  • Ao perceber que a sua senha foi vista por alguém, altere-a imediatamente;
  • Siga as orientações da norma NBR ISO 27002:2013 quanto ao uso de senhas de qualidade;
  • Caso a sua senha seja temporária, mude-a no primeiro acesso;
  • Não utilize a sua senha profissional para atividades pessoais.

 

REGRA Nº 8: USE O CRACHÁ DE FORMA VISÍVEL E PROTEJA SEU AMBIENTE

  • Todas as pessoas que acessam o ambiente de uma organização sejam funcionários, fornecedores, parceiros de negócio, clientes, consultores e visitantes, devem ter alguma forma visível de identificação;
  • Caso você encontre algum visitante não acompanhado ou qualquer pessoa que não esteja usando uma identificação visível, avise imediatamente ao pessoal de segurança patrimonial;

 

REGRA Nº 9: TRABALHE EM UM AMBIENTE SEGURO

  • Evite que informações confidenciais ou que suas atividades sejam visíveis e possam ser ouvidas por pessoas não relacionadas ao seu trabalho;
  • Listas de colaboradores, ramais telefônicos internos, não devem ser facilmente acessíveis a qualquer pessoa;
  • Não permita o uso de máquinas fotográficas, gravadores de áudio/vídeo ou qualquer outro equipamento de gravação, salvo se for autorizado;
  • Assegure-se de que áreas não ocupadas estejam fisicamente trancadas e sejam periodicamente verificadas.

 

REGRA Nº 10: REMOÇÃO DE EQUIPAMENTOS DA ORGANIZAÇÃO SOMENTE COM AUTORIZAÇÃO

  • Retirada de equipamentos (desktop, servidores, mídias de backup) do ambiente da organização, somente com autorização prévia e feita por pessoas que têm autoridade para remover os equipamentos para fora da empresa;
  • Recomenda-se que seja feito um registro da retirada e da devolução destes equipamentos, quando do seu retorno.

 

REGRA Nº 11: CUIDADO QUANDO TRABALHAR FORA DAS DEPENDÊNCIAS DA SUA ORGANIZAÇÃO

  • Não deixe seu equipamento sem observação em lugares públicos;
  • Esta regra se aplica aos equipamentos da organização e aos equipamentos pessoais, usados em nome da empresa;
  • Equipamentos incluem todas as formas de dispositivos móveis como Notebooks, Tablets, Smartphones, além de papéis que são removidos do local de trabalho.

 

REGRA Nº 12: SEJA CUIDADOSO NO DESCARTE DOS SEUS EQUIPAMENTOS

  • Descarte seus equipamentos (Computador, Notebook, Tablet, Smartphone, Pendrive) que contêm informações confidenciais de forma segura e protegida para garantir que todos os dados sensíveis e software licenciados foram removidos ou sobre-gravados com segurança;
  • Lembre-se: Fotos pessoais, endereços, números de celulares e outras informações sensíveis devem ser excluídas quando do reuso por outras pessoas ou descarte dos seus equipamentos.

 

REGRA Nº 13: ADOTE A POLÍTICA DE MESA LIMPA E TELA LIMPA

  • Mantenha as informações confidenciais, em papel ou em mídia, guardadas em um local seguro (por exemplo, na gaveta trancada), principalmente quando a sala estiver desocupada;
  • Os equipamentos devem ser mantidos desligados ou protegidos com mecanismo de travamento de tela, quando não estiverem em uso;
  • Somente pessoas autorizadas devem usar a copiadora ou outra tecnologia de reprodução;
  • Documentos que contêm informação classificada como confidencial devem ser removidos de impressoras imediatamente.

 

REGRA Nº 14: PROTEJA-SE CONTRA CÓDIGOS MALICIOSOS

  • Lembre-se que é proibido o uso de software não autorizado e homologado pela área de Segurança da Informação;
  • Cuidado quando realizar o download de arquivos e/ou software, seja de redes externas, ou em qualquer mídia de armazenamento;
  • A presença de quaisquer arquivos não aprovados ou uma atualização não autorizada deve ser objeto de uma avaliação formal pela área de Segurança da informação da organização.

 

REGRA Nº 15: FAÇA SEMPRE CÓPIAS DE SEGURANÇA DAS SUAS INFORMAÇÕES

  • Cópias das informações devem ser realizadas frequentemente;
  • Armazene as cópias de segurança em uma localidade distante, a uma distância suficiente para escapar dos danos de um desastre ocorrido no local principal;
  • Aplique um nível de proteção física e ambiental das cópias de segurança consistentes com os níveis aplicados na instalação principal;
  • Teste regularmente as cópias segurança para garantir que elas sejam confiáveis no caso do uso emergencial;
  • Se a confidencialidade das informações é importante, proteja as cópias de segurança por meio de encriptação.

 

REGRA Nº 16: RESTRIÇÕES QUANTO À INSTALAÇÃO DE SOFTWARE

  • Crie um procedimento na sua organização, usando como base a NBR ISO 27002:2013, definindo quais são os tipos de software que os usuários podem instalar;
  • Existem também tipos de instalações que são proibidas a exemplo de software usado para fins pessoais e/ou de origem desconhecida ou suspeita;
  • A instalação de software não licenciado pode introduzir vulnerabilidades, levando ao vazamento de informações, à perda de integridade ou outros incidentes de segurança da informação, além da violação de direitos de propriedade intelectual.

 

REGRA Nº 17: CUIDADOS A SEREM TOMADOS COM A SUA COMUNICAÇÃO

  • Lembre-se de que as Boas Regras de Conduta Ética não permitem a difamação, discriminação, assédio ou qualquer manifestação desrespeitosa;
  • Quando da retransmissão automática de mensagens eletrônicas, como por exemplo o e-mail, certifique-se quem é o destinatário final;
  • Evite deixar informações confidenciais em secretárias eletrônicas, pois podem ser transmitidas por engano ou ouvidas pessoas não autorizadas.

 

REGRA Nº 18: CONFIDENCIALIDADE DAS INFORMAÇÕES

  • Estabeleça um procedimento na sua organização, usando como base a NBR ISO 27002:2013, exigindo que os usuários dos sistemas de informação, sejam funcionários, fornecedores, consultores, auditores, estagiários, assinem um Termo de Confidencialidade e não Divulgação (NDA), para proteger as informações confidenciais da organização;
    • Em alguns casos, a confidencialidade deve ser mantida indefinidamente;
    • Evite tratar de assuntos confidenciais em locais públicos, escritórios abertos, redes sociais e locais de reunião;
    • Nunca revele informações confidenciais para pessoas não autorizadas

REGRA Nº 19: NOTIFIQUE SEMPRE QUALQUER INCIDENTE DE SEGURANÇA DA INFORMAÇÃO

  • Incidentes de segurança da informação devem ser sempre relatados pelos canais apropriados, o mais rapidamente possível;
  • Crie um procedimento na sua organização, usando como base a NBR ISO 27002:2013, orientando as pessoas sobre como notificar um incidente de segurança da informação;
  • Exemplos de incidentes de segurança da informação que devem ser reportados:
    • Estação de trabalho desbloqueada e com o usuário ausente;
    • Furto ou roubo de dispositivos móveis como laptops e smartphones com dados da organização;
    • Uso da internet para acessar sites impróprios ou não relacionados com as atividades da organização;
    • Violação das políticas e dos procedimentos de segurança da informação estabelecidos pela organização.

 

REGRA Nº 20: RESPEITE OS DIREITOS DE PROPRIEDADE INTELECTUAL

  • Adquira software somente por meio de fontes conhecidas e de reputação, para garantir que o direito autoral não esteja sendo violado;
  • Mantenha provas e evidências de propriedade das licenças;
  • Lembre-se: O uso de software pirata é crime federal, pois viola a Lei 9609 de 19.02.98;
  • Também é crime federal copiar, no todo ou em parte, livros ou materiais didáticos que são protegidos pela Lei 9610 de 19.02.98: Legislação de Direitos Autorais.

 

 

(**)Ariosto Farias Jr é membro da Academia Brasileira da Qualidade, consultor, auditor e instrutor das normas ISO de Sistemas de Gestão (37001 & 27001)

(**)Jeferson L. Prevedello é Superintendente de Segurança da Informação da Getnet

Este artigo expressa a opinião dos Autores e não de suas organizações.

Siga-nos nas Redes Sociais

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Comentários

    Posts Relacionados