Pode compartilhar a identificação e senha?
Em função dos recentes acontecimentos em órgão do governo onde uma gerente de unidade e dona de uma identificação e senha, indica que compartilhou a senha (e identificação) com outra funcionária em função de carga de trabalho, vem a questão: pode-se compartilhar senha?Considerando as recomendações da Norma NBR ISSO/IEC 27002:2005 ? Tecnologia da Informação ? Código de prática para a gestão da segurança da informação, não se deve emprestar a senha, permitindo que outra pessoa execute tarefas como o usuário dono da identificação.Porém, depende de como a organização definiu as regras para o acesso e uso da informação. Os regulamentos (políticas e normas) definidos pela organização precisam ser comunicados formalmente aos funcionários e prestadores de serviço que utilizam o ambiente computacional da organização. Para garantir que o usuário tomou conhecimento do que pode e não pode fazer, é recomendado que o usuário assine um termo de conhecimento de uso da informação. Nas regras é recomendado que esteja explícito o que é proibido e o que é permitido. Se não puder emprestar a senha, mesmo sob forte demanda de serviço, deve estar escrito no regulamento da organização que é proibido o compartilhamento de senhas.A definição de regras sobre o uso da informação e dos recursos de informação é um requisito de segurança fundamental. Com esta definição é que podemos dizer se o comportamento de um usuário foi ou não foi adequado.Evidentemente o caso que está na mídia ainda vai ter um longo caminho, pois muitas informações ainda faltam ser fornecidas e esclarecidas.Em relação ao uso de senha, cada organização deve definir se a informação a ser protegida deve ter apenas este controle ou merece controles complementares como uso de cartão, cartão inteligente, dispositivo de números aleatórios ou biometria. Cada organização sabe o valor da informação.Mas, vamos considerar o mais importante: a sua organização. Ela possui regras (políticas e normas) para o uso e acesso da informação e recursos de informação? Se sim: verifique se todos os usuários tomaram conhecimentos desses regulamentos. Se não: é hora de correr e definir como se quer que as pessoas se comportem no acesso à informação. Não espere sua organização virar notícia!Edison Fontes, CISM, CISA Consultoria em Políticas e Normas de Segurança da Informação[email protected]