Verificando o ambiente de escritório!
Como está a proteção da informação no ambiente de escritório da organização em que você trabalha? Mais especificamente: que vulnerabilidades relacionadas à segurança da informação serão encontradas caso seja feita uma verificação nesse ambiente? Mesmo organizações que possuem um processo de segurança estruturado, quando analisamos o ambiente do dia a dia das pessoas que trabalham ou prestam serviço na organização encontramos algumas situações que colocam em risco a segurança da informação. Um bom horário para se fazer essa verificação é à noite ou no final de semana. Durante o expediente, para qualquer falha que encontrarmos, alguém poderá dizer que já estava corrigindo a mesma. Citamos abaixo algumas situações de vulnerabilidade que infelizmente são bastante comuns. Será que você encontraria na sua organização essas situações? a) Computadores abertos sem senha de proteção. Em um simples toque no mouse a tela de um aplicativo ou do correio eletrônico aparece permitindo que qualquer pessoa utilize o computador como se fosse o usuário dono daquele recurso. Para agravar essa situação normalmente o computador está ligado em rede. Solução: parametrizar a proteção de tela por tempo e orientar os usuários para desligar o equipamento quando do fim de expediente de trabalho. b) Senha de proteção fácil de ser descoberta. Muitas senhas utilizadas são de fácil descoberta. Nome de time de futebol, nome de filho, próprio nome ou outras seqüências óbvias ainda são escolhas bastante utilizadas. Solução: exigir tecnicamente senha mais forte e treinar/conscientizar usuário. c) Papéis com informações confidenciais sobre mesa de trabalho ou em sala de reunião. Situações onde relatórios são deixados em cima de mesa de trabalho, em mesa de reunião, ou as informações permanecem escritas em quadros após as reuniões são mais freqüentes do que imaginamos. A maior dificuldade neste caso é que as informações não estão explicitamente classificadas como confidenciais. Para a implementação de um controle efetivo é necessário classificar os documentos em relação ao seu nível de sigilo. Para as salas de reunião, independente da informação, nada deve ser deixado sobre a mesa nem deixado escrito no quadro ou similar. Solução: classificar a informação, definir regulamento e treinar o usuário. d) Mídia de produtos de software. Discos e CDs de produtos de software devem permanecer trancados e controlados por uma área específica. Caso contrário a organização dificilmente terá um inventário confiável em relação aos produtos de software. Essa situação se agrava se esses produtos não forem autorizados pela organização ou não forem cópias legais. Solução: ter um regulamento sobre o assunto e treinar os usuários. Ter uma área com a responsabilidade de concentrar o controle de programas produtos. Fazer a gestão dos programas produtos implantados nos computadores. e) Informação confidencial em impressora e aparelho de fax Com o uso de estações de impressão, muitas impressões são realizadas, porém o usuário não vai buscar as mesmas. Algumas organizações já implementaram a exigência do usuário digitar uma senha na impressora para que a impressão seja realizada, garantindo que o usuário está junto ao equipamento. Às vezes isso é possível de ser implementado. Outras vezes complica operacionalmente. Impressão de informação confidencial precisa de um procedimento que garanta que o material impresso não será facilmente acessado por usuário não autorizado. Outra situação é o uso dos aparelhos de fax. Apesar de seu uso ter diminuído, ainda é grande o uso do fax. Neste caso existe o agravante de que alguém do outro lado da linha pode enviar um documento com informação confidencial sem aviso. Solução: avaliar a situação da organização (ou de áreas da organização) e implementar controles adequados. Também treinamento do usuário é fundamental. Os aparelhos de fax devem ficar desligados quando não puderem garantir a confidencialidade adequada do texto que é recebido. f) Notebooks sem cabo de proteção física. Equipamentos portáteis precisam ser protegidos contra roubo. Uma forma simples é o uso de cabos que prendem o equipamento a um ponto fixo através de um cabo de aço, dificultando assim que o equipamento seja facilmente roubado. Solução: colocar cabo de proteção em cada equipamento portátil e complementar a segurança com a gravação de imagem do ambiente. g) Armários e gavetas abertos ou com chave na porta/gaveta. Armários e gavetas devem ser fechados no final do expediente. Para situações de exceção deve haver um procedimento que permita acesso controlado. Solução: garantir que armários e gavetas possuem chaves, que são trancados quando não utilizados e que existem responsáveis por cada um desses recursos. Solução: treinar funcionários e gravar imagem do local. h) Salas de armazenamento ou de correspondência não trancadas. Muitos locais possuem apenas informação em meio físico convencional, mas são muito importantes. Salas que recebem correspondências e armazenam malotes internos precisam ter uma rígida segurança e não podem ficar abertas sem proteção. Solução: garantir a existência de um processo que garanta a proteção adequada a esses ambientes físicos. i) Mídias contendo dados em ambientes abertos. Mídias, como CDs, contendo arquivos de dados estruturados ou informações tipo relatórios, são deixados em cima de mesas de trabalho ou outros locais sem a devida proteção. Muitas vezes são cadastros que se acessados por pessoas não autorizadas podem ser entregues a empresas concorrentes ou à imprensa, deixando a organização em situação difícil e/ou até em situação de não cumprimento da lei. Solução: treinamento e orientação do usuário, existência de regulamentos e existência de infra-estrutura física para uma guarda adequada dessas mídias. A lista de situações específicas é enorme. Estrategicamente cuide do ambiente físico da sua organização, protegendo adequadamente a informação que existe no ambiente de escritório. O ambiente convencional é tão importante quanto o ambiente computacional. Mas, para os dois ambientes considere fortemente o usuário como fator crítico de sucesso para a proteção da informação. Afinal, o usuário é quem faz a diferença! Edison Fontes, CISM, CISA. [email protected]CPM Braxis, ABSEG, InfoSec Council, ISACA
