A Associação Brasileira de Normas Técnicas – ABNT disponibiliza o Código de Práticas para Controles de Segurança da Informação, que, em suma, fornece diretrizes para práticas de gestão de segurança da informação e normas de segurança da informação para as organizações, incluindo a seleção, a implementação e o gerenciamento de controles.
Segundo a ABNT, as principais diretrizes a serem observadas pelas organizações podem ser assim resumidas:
1. Elaboração e publicação de política de segurança da informação: Estabelece a necessidade de utilização e preservação dos dados e informações conforme a atividade econômica exercida, os principais controles de segurança que devem ser atendidos, em função da legislação e regulações pertinentes a cada atividade, as responsabilidades de cada função na empresa e eventuais processos de exceções diante de ocorrências.
2. Definição da política de utilização de dispositivos móveis: Define a possibilidade de utilização dos dispositivos móveis e dos cuidados que devem ser aplicados em sua utilização pelos empregados e colaboradores em geral.
3. Definição da política de teletrabalho pelos colaboradores: Estabelece as condições mínimas de confiabilidade do local de trabalho, que compreende a estrutura física e de telecomunicações, além da previsão dos recursos de trabalho que permitem o acesso de forma protegida. Prevê também o salvamento de arquivos no servidor em vez da estação local do colaborador, cuidados mínimos que se deve tomar em relação a terceiros não autorizados, configurações básicas de segurança e disposições ligadas a monitoramento e inspeção de dispositivos.
4. Definição de responsabilidades que devem ser cumpridas pelo departamento de recursos humanos: Estabelece os procedimentos para realização de processos seguros e
confiáveis, desde a contratação de novos colaboradores até a fixação adequada de papéis e responsabilidades de todos os empregados e contratados em documentos adequados:
acordos de confidencialidade, cessão de direitos de autor e demais componentes de propriedade intelectual dos colaboradores à empresa.
5. Definição de responsabilidades e requisitos adequados ao ciclo de vida seguro de dados e informações: Estabelece os procedimentos a serem seguidos nas atividades de criação, armazenamento, uso e transporte de dados e informações (até o descarte), bem como a necessidade de documentar adequadamente as trilhas de auditoria.
6. Definição da política de controle de acesso a recursos, dados e informações: Estabelece os critérios para atribuição de permissões de criação, acesso, modificação e exclusão de dados e informações, e do acesso a recursos tecnológicos, incluindo a determinação de credenciais com acesso elevado, em que permissões exclusivas para administradores são concedidas.
7. Definição de políticas para utilização de criptografia e mecanismos de autenticação: Estabelece o padrão de chaves a ser utilizado pela empresa ou companhia e quais serão seus usos obrigatórios: utilização de senha, tokens ou cartão de acesso, conforme a sensibilidade da informação.
8. Definição de política de segurança física das instalações da empresa ou companhia: Estabelece os critérios mínimos aceitáveis para garantir a confiabilidade e proteção dos ativos que estejam no perímetro físico da empresa, especialmente nos locais em que estão armazenadas as mídias e servidores.
9. Definição das políticas de gestão de mudanças: Estabelece os critérios e procedimentos a serem atendidos nas mudanças de estrutura da tecnologia de informação da empresa, tendo como principal foco as possíveis vulnerabilidades e incompatibilidades que possam surgir em decorrência das mudanças.
10. Definição das rotinas para back-up, continuidade de negócios e recuperação de desastres ou incidentes: Estabelece as estruturas para segurança da tecnologia da informação da empresa, que incluem, sem limitação, a redundância de seus recursos, replicações de segurança dos dados em estrutura local ou nuvem e rotinas de sua atualização e complementação, bem como os procedimentos de restauração de dados.
Seguir essa cartilha dará mais segurança e confiabilidade ao implantar e gerir um sistema de segurança em sua empresa.
Até a próxima!