Este documento tem por objetivo ajudar as organizações, que não possuem um Processo Organizacional de Segurança da Informação efetivo, de garantir a existência de controles mínimos de segurança da informação nestes tempos de pandemia quando, normalmente, a maioria dos colaboradores está interagindo com a organização de forma remota e muitos processos que eram realizados presencialmente foram convertidos bruscamente para o ambiente virtual.

A situação ideal é que a organização já tenha implantado um efetivo Programa Organizacional de Segurança da Informação e Proteção de Dados Pessoais. Isto acontecendo. Neste caso todas as recomendações aqui apresentadas já estão contempladas neste Programa. Porém, infelizmente, a maioria das organizações não estão preparadas para proteger a informação de maneira adequada e não possuem um Programa Organizacional de Segurança da Informação. Portanto, para ajudar em uma situação crítica de pandemia, recomendamos os controles prioritários e que devem ser verificados e/ou implementados imediatamente e urgentemente pelas organizações.

Registramos que o conjunto de controles aqui apresentado são um primeiro passo. Com a nossa experiencia no tema segurança da informação e proteção de dados pessoais, colaboramos recomendando um conjunto prioritário. Evidentemente cada organização tem as suas características, limitações e momento de vida e tudo isto deve ser levado em consideração quando da implementação destes controles.

Para tornar a leitura direta, dinâmica e de fácil entendimento não citamos as referências teóricas e de normativos. Porém todas os controles aqui apresentados são baseados na nossa experiência em conformidade com regulamentos e demais aspectos teóricos.

CONTROLES E MACROS CONTROLES PRIORITÁRIOS

A organização deve garantir que:

1. Somente Usuários Colaboradores (funcionários, prestadores serviços) e os Usuários Clientes ativos e válidos devem estar na lista de usuários autorizados a acessar as informações, considerando as necessidades de acesso.

=> Revise a lista de funcionários, prestadores de serviço, clientes e outros tipos de usuários.

2. A comunicação remota dos Usuários Colaboradores (funcionários, prestadores de serviço) deve ser realizada em um canal seguro, tipo padrão técnico VPN. Esta comunicação impede que criminosos entendam o que trafega entre o usuário e a organização.

=> Disponibilize solução segura de comunicação e obrigue o uso por todos os Usuários Colaboradores.

3. O equipamento utilizado pelo usuário colaborador (funcionário, prestador de serviço) deve ser equipamento profissional da organização ou autorizado pela organização. Não permita comunicação da organização com equipamento particular de uso compartilhado.

=> Equipamento particular pode ser utilizado desde que fique dedicado ao uso profissional e tenha instalado programas produto padrões da organização.

4. Existem horários permitidos de acesso para os Usuários Colaboradores, considerando a sua função e a sua relação profissional com a organização.

=> Monitore o comportamento de cada usuário colaborador e qualquer diferença do padrão de uso, entre em contato com o usuário confirmando a situação.

5. Existe uma Central de Atendimento para o Usuário Colaborador (funcionário, prestador de serviço). Coloque nesta central os melhores profissionais de suporte técnico e de negócio.

=> Não se pode perder tempo nem ter falhas de procedimentos.

6. Todos os Programas Produtos (SWs) estão atualizados e implantados nos computadores de uso dos Usuários Colaboradores e que esta atualização seja a mais frequente possível.

=> Programas Produtos não atualizados devem ser bloqueados.

7. Existem Cópias de Segurança (backups) atualizados no ambiente centralizado. Não devem ser permitidas cópias de segurança nos equipamentos remotos utilizados pelos Usuários Colaboradores (funcionários e prestadores de serviço).

=> Devem existir programas produto que facilitem os procedimentos dos Usuários Colaboradores para a realização de Cópias de Segurança.

8. Os Programas e Serviços Produtos utilizados pela organização devem ser na modalidade corporativa (paga). Não é permitido o uso desses serviços na opção gratuita.

=> Não utilizar opção gratuita por exemplo de: Skype, Zoom, Dropbox e outros.

9. É utilizada, para Usuários Colaboradores, a autenticação em duas etapas (dupla autenticação). Durante o dia, pelo menos uma vez é realizada esta dupla autenticação. São utilizadas senhas fortes com pelo menos: oito caracteres, contendo pelo menos um número, uma letra e um caracter especial.

=> Se possível, utilizar biometria para os Usuários Colaboradores.

10. Existe, para o Usuário Colaborador, um treinamento tipo EAD, sobre prática de segurança da informação.

=> A cada 30 dias o Usuário Colaborador deve receber treinamento.

11. Realize pelos Gestores da Informação, a revisão de autorização de acessos a sistemas, programas, aplicativos, transações, pastas e demais recursos de informação.

=> Neste período de crise, esta revisão deve ser feita a cada 90 (noventa) dias no máximo.

12. Existe a conformidade com a Lei de Proteção de Dados Pessoais (LGPD), concluída ou em andamento, com cronograma de conhecimento do Corpo Diretivo.

13. Os contratos com os fornecedores de serviços de informação estão atualizados, controlados em relação ao prazo de validade e a dependência da organização em relação a cada fornecedor está avaliada e com estudo de risco e possibilidade de fornecedor alternativo.

=> A organização deve ter um plano alternativo em relação à dependência de cada fornecedor.

14. OS Planos de Continuidade de Negócio existem, estão atualizados e cobrem todos os ambientes de informação. Para os planos que realizaram testes há mais de um ano, devem ser executados testes de mesa imediatamente.

=> Devem ser programados testes reais para após a passagem da crise da pandemia.

15. Existe efetivas Gestão de Incidentes, não só de tecnologia, com reporte semanal para o Corpo Diretivo, e reporte diário de um quadro resumo para todos os gerentes e superiores.

=> Em complementação devem existir Gestão de Problemas e Gestão de Mudanças.

16. Existem políticas e normas de segurança da informação. Não existindo, emita um documento emergencial definindo os principais controles que toda a organização deve seguir.

=> Considerando o ritmo de trabalho possível, defina o conjunto de políticas e normas de segurança da informação e proteção de dados pessoais.

Edison Fontes, CISM, CISA, CRISC, Ms. em Gestão de Segurança da Informação