Como implantar um Sistema de Gestão de Segurança da Informação – SGSI – parte 5
Olá vamos iniciar nosso 5 passo de como implantar um sistema de gestão de segurança da informação também conhecido como SGSI, com base na ABNT ISO/IEC 27001:2013 no tópico anterior abordamos até segurança da informação no gerenciamento de projetos, agora iniciamos com dispositivos móveis e trabalho remoto.
Esse tópico da norma geralmente causa bastante divergências na hora de implementar os controles necessários, sendo assim toda as mudanças devem ser discutidas e aprovadas primeiramente nos Comitês de Segurança da Informação, após aprovadas deve ser aprovada pela alta gestão da empresa, nos seguintes itens:
- Requisitos dos dispositivos móveis;
- Requisitos da proteção física do dispositivo;
- Restrições quanto à instalação de softwares;
- Requisitos quanto a versão de softwares e aplicação de patches de correções;
- Restrições para conexão aos serviços de informações;
- Controle de acesso;
- Técnicas criptográficas;
- Proteção contra malware;
- Desabilitação, bloqueio e exclusão/erasure de forma remota;
- Backups;
- Uso dos serviços web e aplicação web.
Tudo isso é importante, mas como vemos na prática muitas vezes não é bem assim que funciona, assim sempre devemos questionar, como eu como profissional de segurança da informação, como parte de um departamento e como empresa garantimos a efetividade do que escrevemos, do que aplicamos como boas práticas?
Nesse ponto cada um dentro da sua organização deverá decidir e desenhar a melhor solução com base em seu budget, conhecimentos, cultura organizacional, necessidade especificas, etc.
Agora vamos falar do trabalho remoto, muitas empresas preferem nem entrar nesse mérito, mas é uma tendencia e ao que tudo indica não haverá volta, por varias razões, acredito que a principal é a redução de custo por parte da empresa, o metro quadrado cada vez é mais caro, o tempo de deslocamento cada vez é maior, os problemas cada vez se tornam mais frequentes. Assim vemos profissionais chegando ao trabalho para mais uma jornada de trabalho depois de ter sofrido com todos os contratempos do deslocamento, a partir dai grandes metrópoles mundiais estão adotando o modelo de home office e aqui no Brasil não está sendo diferente.
Outros pontos de trabalho remoto são compreendidos aqui nesse ponto, um colaborador em viagem pela empresa, um ambiente de contingencia para atender ao PCN, outra unidade operacional sem comunicação direta a que o colaborador está alocado temporariamente, como outros caso.
Devemos avaliar e criar controles para:
- A segurança física no local de trabalho remoto;
- O ambiente físico proposto para o trabalho remoto;
- Os requisitos de segurança nas comunicações;
- A ameaça de acesso não autorizado à informação, por amigos ou familiares;
- Acordos de licenciamento de software;
- Requisitos de proteção contra vírus e requisitos de firewall;
- Provisão de acesso virtual à estação de trabalho, para prevenir o processamento e armazenagem de informações em equipamentos pessoais;
Além do trabalho remoto temos outra tendencia que teve grande repercussão é o BYOD – Bring your own device, traga seu próprio dispositivo, em tradução livre. Vejo grandes empresas com dificuldade em realizar essa gestão ou mesmo a empresa fecha os olhos a essa questão e simplesmente impõe que é proibido o uso, um colaborador irá configurar o e-mail corporativo no celular, o colaborador irá trazer o seu pendrive de casa para salvar documentos de trabalho nele, um colaborador irá utilizar um tablet em uma reunião para tomar nota, um colaborador novo que por demora da equipe responsável entregar a estação de trabalho ele leva seu notebook para iniciar as atividades, eu vejo como um grande erro a empresa ver essas situações como se elas apenas não existissem, sem aplicar os controles necessários.
Estamos vivendo grandes mudanças em tecnologia e comunicação, tarefas rotineiras vem sendo substituídas, celulares cada vez mais potentes com grandes capacidade de processamento e armazenamento, ferramentas de armazenamentos on-line como Google Drive, Dropbox, One Drive, etc., tem mudado a forma como armazenamos as informações, as empresas vem trocando seus velhos serviços de e-mail pela nuvem como Google e Microsoft, e obtido grandes vantagens em qualidade, escalabilidade e disponibilidade, outro exemplo de mudança é o uso de ferramentas como exemplo Easy Taxi, onde vem gradativamente substituindo o boleto de táxi e aqueles contratos de empresas que demoram a chegar, mas essa ferramenta é instalada no celular e normalmente celular pessoal. Poderia ficar dando varias opções de uso remoto de aplicações corporativa e uso de recursos pessoais para fins corporativos, agora cada um deve avaliar internamente como será aplicado internamente.
Até a próxima onde trataremos de Segurança em Recursos Humanos.