ABNT avalia recente vazamento de dados e propõe medidas de mitigação de riscos

Mario William Esper, Presidente da ABNT

A Associação Brasileira de Normas Técnicas disponibiliza norma que inclui a seleção, a implementação e o gerenciamento de controles, considerando os ambientes de risco de segurança da informação das empresas

O recente caso de vazamento de dados pessoais de 220 milhões de brasileiros trouxe à tona um assunto muito importante para as empresas: a segurança da informação. Uma das hipóteses levantadas sobre a origem do vazamento ocorrido é que o banco de dados foi construído aos poucos, com cruzamento de informações de origens diversas. Entre os dados vazados estão CPF, salário, score de crédito, cheques sem fundos e números de telefone.

“Para alcançar uma segurança de informação adequada e coerente, é necessário implementar um conjunto de controles, incluindo políticas, processos, procedimentos, estrutura organizacional e funções de software e hardware. Estes controles, por sua vez, precisam ser estabelecidos, implementados, monitorados, analisados e melhorados, quando necessário, para assegurar que seu papel seja cumprido com sucesso”, comenta Mario William Esper, Presidente da Associação Brasileira de Normas Técnicas (ABNT).

Organizações de todos os tipos e tamanhos coletam, processam, armazenam e transmitem informações em diferentes formatos. O valor dessas informações vai além das palavras escritas, números ou imagens – a informação e os processos relacionados, sistemas, redes e pessoas envolvidas nas operações de uma empresa são informações valiosas e requerem proteção contra vários riscos existentes.

Dados são objeto de ameaças e os processos, sistemas e redes têm vulnerabilidades inerentes. Uma segurança da informação eficaz reduz todos os riscos e protege a empresa de ameaças e vulnerabilidades, além de garantir à direção e outras partes interessadas que as informações corporativas estão razoavelmente seguras e protegidas contra danos, agindo como um facilitador dos negócios.

A ABNT disponibiliza orientações com relação às práticas de gestão e normas de segurança da informação para as organizações através da ABNT NBR ISO/IEC 27002. A norma inclui pontos como a seleção, a implementação e o gerenciamento de controles, levando em consideração os ambientes de risco da segurança da informação da organização.

Alguns controles recomendados:

o Um conjunto de políticas de segurança da informação deve ser definido, aprovado pela direção, publicado e comunicado para todos os funcionários e partes externas relevantes;

o As políticas de segurança da informação devem ser analisadas criticamente a intervalos planejados ou quando mudanças significativas ocorrerem, para assegurar sua contínua pertinência, adequação e eficácia;

o As responsabilidades pela segurança da informação de uma empresa devem ser definidas e atribuídas;

o Funções conflitantes e áreas de responsabilidade devem ser segregadas para reduzir as oportunidades de modificação não autorizada ou não intencional, ou uso indevido dos ativos da organização;

o Contatos apropriados com grupos especiais, associações profissionais ou outros fóruns especializados em segurança da informação devem ser mantidos;

o Devem ser implementadas política e medidas que apoiam a segurança da informação para proteger as informações acessadas, processadas ou armazenadas em locais de trabalho remoto;

o A direção deve solicitar a todos os funcionários e partes externas que pratiquem a segurança da informação de acordo com o estabelecido nas políticas e procedimentos da organização;

o Funcionários e partes externas devem receber treinamento, educação e conscientização apropriados, bem como as atualizações regulares das políticas e procedimentos organizacionais relevantes para suas funções;

o É necessário ter um processo disciplinar formal, implantado e comunicado, para tomar ações contra funcionários que tenham cometido uma violação de segurança da informação;

o Deve-se implementar um processo formal de provisionamento de acesso do usuário para conceder ou revogar os direitos de acesso para todos os tipos de sistemas e serviços.

Mais informações e acesso à norma podem ser encontrados aqui.

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *