Imagine esta cena: um empregado em sua mesa, em um escrit\u00f3rio aberto, est\u00e1 em seu notebook revisando alguns dados para preparar um relat\u00f3rio sobre os resultados do \u00faltimo trimestre, ou a avalia\u00e7\u00e3o de desempenho pr\u00e9-venda do mais novo produto da organiza\u00e7\u00e3o. Ele recebe um telefonema de seu chefe sobre uma reuni\u00e3o de ultimo minute, ou simplesmente vai tomar uma x\u00edcara de caf\u00e9, e deixa sua mesa.<\/p>\n
Esta situa\u00e7\u00e3o \u00e9 mais comum do que voc\u00ea pode imaginar, e pode representar um grande risco \u00e0 informa\u00e7\u00e3o<\/a>, porque sem medidas apropriadas, todas as informa\u00e7\u00f5es e ativos deixados na mesa pelo empregado podem ser acessadas, vistas ou levadas por uma pessoa n\u00e3o autorizada. E, caso exista um sistema de informa\u00e7\u00e3o deixado logado, qualquer um que tenha acesso a mesa pode realizar atividades no nome do empregado que se ausentou.<\/p>\n Para casos como este, uma organiza\u00e7\u00e3o deveria estar preparada para explicar aos empregados e outras pessoas manuseando suas informa\u00e7\u00f5es e ativos como proceder adequadamente com informa\u00e7\u00f5es e outros materiais mantidos na \u00e1rea de trabalho. A ISO 27001<\/a>, um framework popular de seguran\u00e7a da informa\u00e7\u00e3o, e a ISO 27002<\/a>, um c\u00f3digo de pr\u00e1tica detalhado, podem prover boa orienta\u00e7\u00e3o, por meio do controle de seguran\u00e7a 11.2.9 \u2013 Pol\u00edtica de mesa limpa e tela limpa. Vamos olhar para ele com mais detalhes.<\/p>\n A pol\u00edtica de mesa limpa e tela limpa se refere a pr\u00e1ticas relacionadas a assegurar que informa\u00e7\u00f5es sens\u00edveis<\/a>, tanto em formato digital quanto f\u00edsico, e ativos (e.g., notebooks, celulares, tablets, etc.) n\u00e3o sejam deixados desprotegidos em espa\u00e7os de trabalho pessoais ou p\u00fablicos quando n\u00e3o est\u00e3o em uso, ou quando algu\u00e9m deixa sua \u00e1rea de trabalho, seja por um curto per\u00edodo de tempo ou ao final do dia.<\/p>\n Uma vez que informa\u00e7\u00f5es e ativos em uma \u00e1rea de trabalho est\u00e3o em um de seus lugares mais vulner\u00e1veis (sujeitos a divulga\u00e7\u00e3o ou uso n\u00e3o autorizado, como previamente comentado), a ado\u00e7\u00e3o de uma pol\u00edtica de mesa limpa e tela limpa \u00e9 uma das principais estrat\u00e9gias a se utilizar na tentativa de reduzir os riscos de brechas de seguran\u00e7a. E, felizmente, muitas das pr\u00e1ticas requerem baixa tecnologia e f\u00e1ceis de implementar, tais como:<\/p>\n Use de \u00e1reas com trancas:<\/strong> gavetas com trancas, arm\u00e1rios de pastas, cofres e salas de arquivo deveriam estar dispon\u00edveis para armazenar m\u00eddias de informa\u00e7\u00e3o (e.g., documentos em papel, pendrives, cart\u00f5es de mem\u00f3ria, etc.) ou dispositivos facilmente transport\u00e1veis (e.g., celulares, tablets e notebooks) quando n\u00e3o em uso, ou quando n\u00e3o houver ningu\u00e9m tomando conta deles. Al\u00e9m da prote\u00e7\u00e3o contra acesso n\u00e3o autorizado, esta medida tamb\u00e9m pode proteger a informa\u00e7\u00e3o e ativos contra desastres tais como inc\u00eandios, terremotos, inunda\u00e7\u00f5es ou explos\u00f5es.<\/p>\n Prote\u00e7\u00e3o de dispositivos e sistemas de informa\u00e7\u00e3o:<\/strong> computadores e dispositivos similares deveriam estar posicionados de tal forma a evitar que transeuntes tenham a chance de olhar as telas, e configurados para usar protetores de tela ativados por tempo e protegidos por senha, para minimizar as chances de que algu\u00e9m tire vantagem de equipamentos desacompanhados. Adicionalmente, sistemas de informa\u00e7\u00e3o deveriam ter sess\u00f5es encerradas quando n\u00e3o em uso. Ao final do dia os dispositivos deveriam ser desligados, especialmente aqueles conectados em rede (quanto menos tempo o dispositivo permanecer ligado, menos tempo haver\u00e1 para algu\u00e9m tentar acess\u00e1-lo).<\/p>\n Restri\u00e7\u00f5es ao uso de tecnologias de c\u00f3pia e impress\u00e3o:<\/strong> o uso de impressoras, fotocopiadoras, scanners e c\u00e2meras, por exemplo, deveria ser controlado, pela redu\u00e7\u00e3o de sua quantidade (quanto menos unidades dispon\u00edveis, menor o n\u00famero de pontos potenciais de vazamento de dados) ou pelo uso de fun\u00e7\u00f5es de c\u00f3digo que permitam que somente pessoas autorizadas tenham acesso ao material enviado a elas. E, qualquer informa\u00e7\u00e3o enviada a impressoras deveria ser recolhida t\u00e3o rapidamente quanto poss\u00edvel.<\/p>\n Ado\u00e7\u00e3o de uma cultura sem papel:<\/strong> documentos n\u00e3o deveriam ser impressos desnecessariamente, e lembretes n\u00e3o deveriam ser deixados em monitore ou sob teclados. Lembre-se, mesmo pequenos peda\u00e7os de informa\u00e7\u00e3o podem ser o suficiente para pessoa mal-intencionadas descobrirem aspectos de sua vida, ou dos processos da organiza\u00e7\u00e3o, que possam ajud\u00e1-los a comprometer informa\u00e7\u00f5es.<\/p>\n Descarte de informa\u00e7\u00f5es deixadas em salas de reuni\u00e3o:<\/strong> todas as informa\u00e7\u00f5es em quadros brancos deveriam ser apagadas e todos os peda\u00e7os de papel usados durante a reuni\u00e3o deveriam estar sujeitos a um descarte<\/a>\u00a0apropriado (e.g., pelo uso de picotadora).<\/p>\n De acordo com a ISO 27001, controle 11.2.9, a principal orienta\u00e7\u00e3o \u00e9 adotar uma Pol\u00edtica de Mesa Limpa e Tela Limpa<\/a>\u00a0considerando:<\/p>\n Al\u00e9m disso, uma organiza\u00e7\u00e3o tamb\u00e9m deveria considerar eventos peri\u00f3dicos de treinamento e conscientiza\u00e7\u00e3o<\/a> para comunicar aos empregados e outras pessoas envolvidas os aspectos da pol\u00edtica. Bons exemplos s\u00e3o cartazes, e-mails, informativos, etc.<\/p>\n E, finalmente, deveriam existir avalia\u00e7\u00f5es peri\u00f3dicas sobre a conformidade dos empregados com as pr\u00e1ticas da pol\u00edtica (digamos, duas vezes ao ano).<\/p>\n Uma falta de cuidado com uma \u00e1rea de trabalho pode levar ao comprometimento de informa\u00e7\u00f5es pessoais e organizacionais. Senhas, dados financeiros, e e-mails sens\u00edveis podem ser divulgados, impactando a privacidade ou diferencial competitivo. Um documento perdido contendo informa\u00e7\u00e3o sobre o prazo de um contrato\/proposta pode causar a perda de uma licita\u00e7\u00e3o e redu\u00e7\u00e3o na receita esperada.<\/p>\n Seja devido a acidentes, erro humano, ou a\u00e7\u00f5es maliciosas, estes resultados negativos podem ser evitados pela ado\u00e7\u00e3o de medidas de baixa tecnologia acess\u00edveis relacionadas a pol\u00edtica de mesa limpa e tela limpa. Assim, n\u00e3o espere que estas situa\u00e7\u00f5es ocorram antes de tomar uma atitude. Neste caso, o custo da solu\u00e7\u00e3o dificilmente seria uma desculpa para n\u00e3o agir preventivamente.<\/p>\n Para saber mais sobre a pol\u00edtica de mesa limpa e tela limpa, e outras medidas de seguran\u00e7a da informa\u00e7\u00e3o, por favor clique aqui e veja um \u00a0<\/em>ISO 27001 Foundations Online Course<\/a> gratuito que dar\u00e1 a voc\u00ea uma vis\u00e3o geral dos controle de seguran\u00e7a da ISO 27001\/ISO 27002.<\/em><\/p>\nDo que se trata a pol\u00edtica de mesa limpa e tela limpa?<\/strong><\/h2>\n
Como implementar uma pol\u00edtica de mesa limpa e tela limpa<\/strong><\/h2>\n
\n
N\u00e3o seja v\u00edtima de olhares curiosos e acesso n\u00e3o autorizado<\/strong><\/h2>\n