ABNT faz orientações para evitar vazamentos de dados

O recente caso de vazamento de dados pessoais de 220 milhões de brasileiros colocou a segurança da informação com uma questão importante no debate público. Uma das hipóteses levantadas sobre a origem do vazamento ocorrido é que o banco de dados foi construído aos poucos, com cruzamento de informações de origens diversas. Entre os dados vazados estão CPF, salário, score de crédito, cheques sem fundos e números de telefone.

O valor dessas informações vai além das palavras escritas, números ou imagens, a informação e os processos relacionados, sistemas, redes e pessoas envolvidas nas operações de uma empresa são informações valiosas e requerem proteção contra vários riscos existentes.

Por isso, a ABNT (Associação Brasileira de Normas Técnicas) disponibiliza orientações com relação às práticas de gestão e normas de segurança da informação para as organizações através da ABNT NBR ISO/IEC 27002. A norma inclui pontos como a seleção, a implementação e o gerenciamento de controles, levando em consideração os ambientes de risco da segurança da informação da organização.

Alguns controles orientados pela ABNT são:

• Um conjunto de políticas de segurança da informação deve ser definido, aprovado pela direção, publicado e comunicado para todos os funcionários e partes externas relevantes.
• As políticas de segurança da informação devem ser analisadas criticamente a intervalos planejados ou quando mudanças significativas ocorrerem, para assegurar sua contínua pertinência, adequação e eficácia.
• As responsabilidades pela segurança da informação de uma empresa devem ser definidas e atribuídas.
• Funções conflitantes e áreas de responsabilidade devem ser segregadas para reduzir as oportunidades de modificação não autorizada ou não intencional, ou uso indevido dos ativos da organização.
• Contatos apropriados com grupos especiais, associações profissionais ou outros fóruns especializados em segurança da informação devem ser mantidos.
• Devem ser implementadas política e medidas que apoiam a segurança da informação para proteger as informações acessadas, processadas ou armazenadas em locais de trabalho remoto.
• A direção deve solicitar a todos os funcionários e partes externas que pratiquem a segurança da informação de acordo com o estabelecido nas políticas e procedimentos da organização.
• Funcionários e partes externas devem receber treinamento, educação e conscientização apropriados, e as atualizações regulares das políticas e procedimentos organizacionais relevantes para suas funções.
• É necessário ter um processo disciplinar formal, implantado e comunicado, para tomar ações contra funcionários que tenham cometido uma violação de segurança da informação.
• Deve-se implementar um processo formal de provisionamento de acesso do usuário para conceder ou revogar os direitos de acesso do usuário para todos os tipos de sistemas e serviços.