ABNT faz orientações para evitar vazamentos de dados

Associação disponibiliza norma que inclui seleção, implementação e gerenciamento de controles na segurança de informação das empresas

Author Photo
3:35 pm - 23 de fevereiro de 2021

O recente caso de vazamento de dados pessoais de 220 milhões de brasileiros colocou a segurança da informação com uma questão importante no debate público. Uma das hipóteses levantadas sobre a origem do vazamento ocorrido é que o banco de dados foi construído aos poucos, com cruzamento de informações de origens diversas. Entre os dados vazados estão CPF, salário, score de crédito, cheques sem fundos e números de telefone.

O valor dessas informações vai além das palavras escritas, números ou imagens, a informação e os processos relacionados, sistemas, redes e pessoas envolvidas nas operações de uma empresa são informações valiosas e requerem proteção contra vários riscos existentes.

Por isso, a ABNT (Associação Brasileira de Normas Técnicas) disponibiliza orientações com relação às práticas de gestão e normas de segurança da informação para as organizações através da ABNT NBR ISO/IEC 27002. A norma inclui pontos como a seleção, a implementação e o gerenciamento de controles, levando em consideração os ambientes de risco da segurança da informação da organização.

Leia também: Demarest anuncia Cibele Fonseca como diretora de TI

Alguns controles orientados pela ABNT são:

  • Um conjunto de políticas de segurança da informação deve ser definido, aprovado pela direção, publicado e comunicado para todos os funcionários e partes externas relevantes.
  • As políticas de segurança da informação devem ser analisadas criticamente a intervalos planejados ou quando mudanças significativas ocorrerem, para assegurar sua contínua pertinência, adequação e eficácia.
  • As responsabilidades pela segurança da informação de uma empresa devem ser definidas e atribuídas.
  • Funções conflitantes e áreas de responsabilidade devem ser segregadas para reduzir as oportunidades de modificação não autorizada ou não intencional, ou uso indevido dos ativos da organização.
  • Contatos apropriados com grupos especiais, associações profissionais ou outros fóruns especializados em segurança da informação devem ser mantidos.
  • Devem ser implementadas política e medidas que apoiam a segurança da informação para proteger as informações acessadas, processadas ou armazenadas em locais de trabalho remoto.
  • A direção deve solicitar a todos os funcionários e partes externas que pratiquem a segurança da informação de acordo com o estabelecido nas políticas e procedimentos da organização.
  • Funcionários e partes externas devem receber treinamento, educação e conscientização apropriados, e as atualizações regulares das políticas e procedimentos organizacionais relevantes para suas funções.
  • É necessário ter um processo disciplinar formal, implantado e comunicado, para tomar ações contra funcionários que tenham cometido uma violação de segurança da informação.
  • Deve-se implementar um processo formal de provisionamento de acesso do usuário para conceder ou revogar os direitos de acesso do usuário para todos os tipos de sistemas e serviços.

Newsletter de tecnologia para você

Os melhores conteúdos do IT Forum na sua caixa de entrada.