O recente caso de vazamento de dados pessoais de 220 milhões de brasileiros trouxe à tona um assunto muito importante para as empresas: a segurança da informação. Uma das hipóteses levantadas sobre a origem do vazamento ocorrido é que o banco de dados foi construído aos poucos, com cruzamento de informações de origens diversas. Entre os dados vazados estão CPF, salário, score de crédito, cheques sem fundos e números de telefone.
"Para alcançar uma segurança de informação adequada e coerente, é necessário implementar um conjunto de controles, incluindo políticas, processos, procedimentos, estrutura organizacional e funções de software e hardware. Estes controles, por sua vez, precisam ser estabelecidos, implementados, monitorados, analisados e melhorados, quando necessário, para assegurar que seu papel seja cumprido com sucesso", comenta Mario William Esper, Presidente da ABNT.
Organizações de todos os tipos e tamanhos coletam, processam, armazenam e transmitem informações em diferentes formatos. O valor dessas informações vai além das palavras escritas, números ou imagens - a informação e os processos relacionados, sistemas, redes e pessoas envolvidas nas operações de uma empresa são informações valiosas e requerem proteção contra vários riscos existentes. Dados são objeto de ameaças e os processos, sistemas e redes têm vulnerabilidades inerentes. Uma segurança da informação eficaz reduz todos os riscos e protege a empresa de ameaças e vulnerabilidades, além de garantir à direção e outras partes interessadas que as informações da empresa estão razoavelmente seguras e protegidas contra danos, agindo como um facilitador dos negócios.
A ABNT - Associação Brasileira de Normas Técnicas, disponibiliza orientações com relação às práticas de gestão e normas de segurança da informação para as organizações através da ABNT NBR ISO/IEC 27002. A norma inclui pontos como a seleção, a implementação e o gerenciamento de controles, levando em consideração os ambientes de risco da segurança da informação da organização.
Alguns controles orientados pela ABNT são:
- Um conjunto de políticas de segurança da informação deve ser definido, aprovado pela direção, publicado e comunicado para todos os funcionários e partes externas relevantes
- As políticas de segurança da informação devem ser analisadas criticamente a intervalos planejados ou quando mudanças significativas ocorrerem, para assegurar sua contínua pertinência, adequação e eficácia
- As responsabilidades pela segurança da informação de uma empresa devem ser definidas e atribuídas
- Funções conflitantes e áreas de responsabilidade devem ser segregadas para reduzir as oportunidades de modificação não autorizada ou não intencional, ou uso indevido dos ativos da organização
- Contatos apropriados com grupos especiais, associações profissionais ou outros fóruns especializados em segurança da informação devem ser mantidos
- Devem ser implementadas política e medidas que apoiam a segurança da informação para proteger as informações acessadas, processadas ou armazenadas em locais de trabalho remoto
- A direção deve solicitar a todos os funcionários e partes externas que pratiquem a segurança da informação de acordo com o estabelecido nas políticas e procedimentos da organização
- Funcionários e partes externas devem receber treinamento, educação e conscientização apropriados, e as atualizações regulares das políticas e procedimentos organizacionais relevantes para suas funções
- É necessário ter um processo disciplinar formal, implantado e comunicado, para tomar ações contra funcionários que tenham cometido uma violação de segurança da informação
- Deve-se implementar um processo formal de provisionamento de acesso do usuário para conceder ou revogar os direitos de acesso do usuário para todos os tipos de sistemas e serviços
Mais informações e acesso à norma podem ser encontrados aqui.
