Olá. Seja bem-vindo(a) ao portal INFRAFM
SOBRE   |   ANUNCIE   |   REVISTA INFRAFM           LOGIN   |   CONTATO   |   CADASTRE-SE
 

Sorteio Nespresso
 

Controles mínimos de Segurança da Informação

Recomendações visam auxiliar nesse momento de pandemia, em que o trabalho acontece principalmente de forma remota

Este documento tem por objetivo ajudar as organizações, que não possuem um Processo Organizacional de Segurança da Informação efetivo, de garantir a existência de controles mínimos de segurança da informação nestes tempos de pandemia quando, normalmente, a maioria dos colaboradores está interagindo com a organização de forma remota e muitos processos que eram realizados presencialmente foram convertidos bruscamente para o ambiente virtual.

A situação ideal é que a organização já tenha implantado um efetivo Programa Organizacional de Segurança da Informação e Proteção de Dados Pessoais. Isto acontecendo. Neste caso todas as recomendações aqui apresentadas já estão contempladas neste Programa. Porém, infelizmente, a maioria das organizações não estão preparadas para proteger a informação de maneira adequada e não possuem um Programa Organizacional de Segurança da Informação. Portanto, para ajudar em uma situação crítica de pandemia, recomendamos os controles prioritários e que devem ser verificados e/ou implementados imediatamente e urgentemente pelas organizações.

Registramos que o conjunto de controles aqui apresentado são um primeiro passo. Com a nossa experiencia no tema segurança da informação e proteção de dados pessoais, colaboramos recomendando um conjunto prioritário. Evidentemente cada organização tem as suas características, limitações e momento de vida e tudo isto deve ser levado em consideração quando da implementação destes controles.

Para tornar a leitura direta, dinâmica e de fácil entendimento não citamos as referências teóricas e de normativos. Porém todas os controles aqui apresentados são baseados na nossa experiência em conformidade com regulamentos e demais aspectos teóricos.

CONTROLES E MACROS CONTROLES PRIORITÁRIOS

A organização deve garantir que:

1. Somente Usuários Colaboradores (funcionários, prestadores serviços) e os Usuários Clientes ativos e válidos devem estar na lista de usuários autorizados a acessar as informações, considerando as necessidades de acesso.

=> Revise a lista de funcionários, prestadores de serviço, clientes e outros tipos de usuários.

2. A comunicação remota dos Usuários Colaboradores (funcionários, prestadores de serviço) deve ser realizada em um canal seguro, tipo padrão técnico VPN. Esta comunicação impede que criminosos entendam o que trafega entre o usuário e a organização.

=> Disponibilize solução segura de comunicação e obrigue o uso por todos os Usuários Colaboradores.

3. O equipamento utilizado pelo usuário colaborador (funcionário, prestador de serviço) deve ser equipamento profissional da organização ou autorizado pela organização. Não permita comunicação da organização com equipamento particular de uso compartilhado.

=> Equipamento particular pode ser utilizado desde que fique dedicado ao uso profissional e tenha instalado programas produto padrões da organização.

4. Existem horários permitidos de acesso para os Usuários Colaboradores, considerando a sua função e a sua relação profissional com a organização.

=> Monitore o comportamento de cada usuário colaborador e qualquer diferença do padrão de uso, entre em contato com o usuário confirmando a situação.

5. Existe uma Central de Atendimento para o Usuário Colaborador (funcionário, prestador de serviço). Coloque nesta central os melhores profissionais de suporte técnico e de negócio.

=> Não se pode perder tempo nem ter falhas de procedimentos.

6. Todos os Programas Produtos (SWs) estão atualizados e implantados nos computadores de uso dos Usuários Colaboradores e que esta atualização seja a mais frequente possível.

=> Programas Produtos não atualizados devem ser bloqueados.

7. Existem Cópias de Segurança (backups) atualizados no ambiente centralizado. Não devem ser permitidas cópias de segurança nos equipamentos remotos utilizados pelos Usuários Colaboradores (funcionários e prestadores de serviço).

=> Devem existir programas produto que facilitem os procedimentos dos Usuários Colaboradores para a realização de Cópias de Segurança.

8. Os Programas e Serviços Produtos utilizados pela organização devem ser na modalidade corporativa (paga). Não é permitido o uso desses serviços na opção gratuita.

=> Não utilizar opção gratuita por exemplo de: Skype, Zoom, Dropbox e outros.

9. É utilizada, para Usuários Colaboradores, a autenticação em duas etapas (dupla autenticação). Durante o dia, pelo menos uma vez é realizada esta dupla autenticação. São utilizadas senhas fortes com pelo menos: oito caracteres, contendo pelo menos um número, uma letra e um caracter especial.

=> Se possível, utilizar biometria para os Usuários Colaboradores.

10. Existe, para o Usuário Colaborador, um treinamento tipo EAD, sobre prática de segurança da informação.

=> A cada 30 dias o Usuário Colaborador deve receber treinamento.

11. Realize pelos Gestores da Informação, a revisão de autorização de acessos a sistemas, programas, aplicativos, transações, pastas e demais recursos de informação.

=> Neste período de crise, esta revisão deve ser feita a cada 90 (noventa) dias no máximo.

12. Existe a conformidade com a Lei de Proteção de Dados Pessoais (LGPD), concluída ou em andamento, com cronograma de conhecimento do Corpo Diretivo.

13. Os contratos com os fornecedores de serviços de informação estão atualizados, controlados em relação ao prazo de validade e a dependência da organização em relação a cada fornecedor está avaliada e com estudo de risco e possibilidade de fornecedor alternativo.

=> A organização deve ter um plano alternativo em relação à dependência de cada fornecedor.

14. OS Planos de Continuidade de Negócio existem, estão atualizados e cobrem todos os ambientes de informação. Para os planos que realizaram testes há mais de um ano, devem ser executados testes de mesa imediatamente.

=> Devem ser programados testes reais para após a passagem da crise da pandemia.

15. Existe efetivas Gestão de Incidentes, não só de tecnologia, com reporte semanal para o Corpo Diretivo, e reporte diário de um quadro resumo para todos os gerentes e superiores.

=> Em complementação devem existir Gestão de Problemas e Gestão de Mudanças.

16. Existem políticas e normas de segurança da informação. Não existindo, emita um documento emergencial definindo os principais controles que toda a organização deve seguir.

=> Considerando o ritmo de trabalho possível, defina o conjunto de políticas e normas de segurança da informação e proteção de dados pessoais.

Edison Fontes, CISM, CISA, CRISC, Ms. em Gestão de Segurança da Informação

Envie os nossos conteúdos por e-mail. Utilize o formulário abaixo e compartilhe os link deste conteúdo com outros profissionais. Aproveite e escreve uma mensagem bacana.

Faça uma busca


Visitas Técnicas esgotando

Mais lidas da semana

Operações

Do auxiliar de limpeza ao presidente: segurança é responsabilidade de todos

Para especialista, prevenção de incêndios é urgente e negligência pode ser explicada através dos três pilares da manutenção.

Outside Work

Livro para expandir horizontes do conhecimento e da imaginação em FM

E os malefícios da dedicação às redes sociais para a saúde

UrbanFM

O que mudou na gestão do Parque Ibirapuera?

Camila Praim, coordenadora de operações, fala sobre experiência na gestão do parque durante processo de concessão e de desterceirização.

Workplace

Qual o futuro dos escritórios?

Pesquisa indica pontos que serão tendência ao longo de 2024.

Sugestões da Redação

Revista InfraFM

A trajetória de Alex Martins e a sua atual posição na Brookfield Properties

Transformando visões em realidade, priorizando a sustentabilidade e inovação no coração da gestão imobiliária para manter o valor dos ativos.

Revista InfraFM

Integrando excelência médica e inovação em engenharia para a melhor experiência

Nesta entrevista com Walmor Brambilla, Gerente Executivo de Engenharia e Real Estate do HCOR, acompanhe os avanços e desafios da área na instituição de saúde.

Revista InfraFM

Onde estamos quando o assunto é cidades inteligentes no Brasil?

Compreenda o tema para além da parte "glamourizada" do conceito. Especialista fala sobre Workplace fora do espaço de trabalho, Urban Facilities Management e cidadania.

Revista InfraFM

Workplace é o primeiro passo para colaboradores se sentirem amados

Workplace é o primeiro passo para colaboradores se sentirem amados. Frase proferida por Thais Trentin, CEO e fundadora da Workplace Arquitetura Corporativa.

 
Dúvidas sobre os EVENTOS?
Fale com a nossa equipe pelo WhatsAPP