top of page
  • vitormaleite

Atualizado: há 3 dias



Se sua resposta para esta pergunta é “Não”, este artigo é especialmente dedicado a você. Aqui irei mostrar o quanto organizar seu ambiente de trabalho é importante e quais cuidados deve-se tomar para não expor suas informações e principalmente as da empresa onde você trabalha.


Para iniciarmos, peço a você neste momento, que dê uma olhada rápida para a foto abaixo:


Inicialmente, você pode estar pensando: “Sim, Vitor, é apenas uma mesa de trabalho comum como todas as outras, qual o problema?”. Bem, vamos analisar dessa vez atentamente a foto?. Gostaria que antes de continuar a leitura do artigo, você me dissesse pelo menos 7 coisas erradas na imagem que podem de alguma maneira expor seus pertencentes, informações pessoais e principalmente as da empresa. Ao todo, de acordo com o csoonline existem 20 coisas erradas na imagem.


.....


.....


.....


.....


Mesmo que você não tenha conseguido identificar os 7 erros, vamos elencá-los aqui, descrevendo as possíveis consequências de cometê-los e como corrigi-los:

Parece exagerado pensar que alguém poderia se aproveitar desses erros para obter algum tipo de vantagem, mas não duvide que isso possa acontecer, prefira ser bastante cauteloso e com o alerta de segurança sempre ligado.


E para concluir, reproduzo aqui a reflexão que o Mário Peixoto fez em seu artigo:

embora não seja percebida como um problema generalizado pela maioria das organizações, o que as pessoas podem fazer com os dados que você deixar em sua mesa quando ausente?

Fonte: medium.com/@marknca

  • vitormaleite

Antes de nós entrarmos no tema em questão desse artigo, é importante nos lembrarmos de algo super importante que está ilustrado na imagem abaixo:


Eu adoro essa figura, porque apesar de simples ela nos diz muita coisa. Vamos ampliá-la!?


Todo negócio para entregar/fornecer um serviço ou produto aos seus clientes, em sua cadeia de valor gera/trata informações o tempo todo, que podem estar em Relatórios, Indicadores, Projetos, Balanços Financeiros, Orçamentos, Contratos, Códigos fontes, os exemplos são inúmeros...


Para que possamos garantir a segurança dessas informações, precisamos ter o equilíbrio entre os três pilares: Pessoas, Processos e Tecnologia. Para exemplificar este equilíbrio, imagine um Gestor de Projetos que está consolidando o relatório de status das vulnerabilidades encontradas em um teste de invasão que foi realizado por uma empresa terceira que foi contratada...Pela sensibilidade das informações desse relatório, ele só poderá ser acessado pelos Responsáveis pelos sistemas envolvidos nos testes, armazenado em locais corporativos autorizados e enviado as partes interessadas somente por meio criptografado...mas como sabemos disso? O que pode nos indicar no dia a dia como essa informação deve ser manuseada e protegida?


A Classificação da Informação seria a resposta para esta pergunta. Pois, como a própria ABNT/NBR 27002:2022, pg. 27, seção 5.12 Classificação das Informações, nos indica, seu propósito é de:


[...] Assegurar a identificação e o entendimento das necessidades de proteção das informações de acordo com a sua importância para a organização [...]

Sabendo disso, se retomarmos agora o cenário fictício que desenhamos, supondo que a empresa que onde o Gestor de Projetos trabalha possui um trecho em sua Política de Classificação da Informação com os descritivos abaixo, como você classificaria o relatório de status das vulnerabilidades? :


Formato Digital

Uso

Confidencial

Interna

Restrita

Acesso

Informação pode ser acessada por um grupo específico de pessoas

Informação pode ser acessada por todos os colaboradores da organização

Informação pode ser acessada por todos os colaboradores da sua equipe

Transmissão

Deve ser transmitida para o grupo específicos de pessoas apenas por meio criptografado

Deve ser transmitida para todos os colaboradores apenas por meio criptografado

Deve ser transmitida para colaboradores da equipe apenas por meio criptografado

Armazenamento

Pode ser armazenada apenas no Sharepoint corporativo restrito ao grupo específico de pessoas

Pode ser armazenada, por exemplo, em sistemas de documentos e de intranet da empresa

Pode ser armazenada apenas no Sharepoint corporativo restrito apenas a colaboradores da sua equipe

​Descarte

Deve ser removido de forma segura utilizando o software "XYZ"

Pode ser removido pela forma padrão do sistema operacional

Deve ser removido de forma segura utilizando o software "XYZ"

Impacto

Se a informação for acessada por pessoas não autorizadas de forma acidental ou proposital pode causar impactos financeiros, operacionais, de imagem, legais e de segurança para a empresa

Se a informação for acessada por pessoas não autorizadas de forma acidental ou proposital pode causar impactos de imagem e legais para a empresa

Se a informação for acessada por pessoas não autorizadas de forma acidental ou proposital pode causar impactos operacionais, de imagem, legais e de segurança para a empresa

Exemplos

Dados de Saúde, Dados regulados, Balanço Financeiros, Planejamento estratégico, Relatórios de Testes e Análises

Comunicados, Informativos e Documentos de Política, processos, normas e procedimentos

Projetos, Indicadores, Atas de reuniões


.......


.......


.......


.......


.......


Se você respondeu "Confidencial" acertou.


Como o relatório é destinado a um grupo específico de pessoas, o Gestor de projetos depois de apresentá-lo para os responsáveis pelos sistemas, no momento de enviá-lo por e-mail, deverá classificá-lo como Confidencial, bem como o próprio relatório. Imaginando que a empresa fictícia em questão utilize as soluções da Microsoft, no e-mail e para o arquivo aparecia mais ou menos assim:

Desta forma, nenhuma outra pessoa, além dos responsáveis pelo sistema conseguirão acessar o arquivo no Sharepoint enviado. Além disso, ao selecionar o e-mail como "Confidencial" por trás o comportamento é que o e-mail seja criptografado....


Que coisa linda não é mesmo?


Obviamente que com a tecnologia por trás, no exemplo que dei o Microsoft Purview, para fins didático, facilitaria bastante, mas claro que é possível fazer sem tecnologias robustas, seria mais trabalhoso, mas a mensagem que quero deixar é que independente de como ela será implementada, sua empresa precisa ter uma política e processo de classificação da informação para que a informação seja tratada de maneira segura em todo o seu ciclo de vida...


Para mais detalhes sobre o tema recomendo consultar as referências abaixo:

ABNT/NBR 27002:2022

5.12 - Classificação das informações

5.13 - Rotulagem de informações

5.14 - Transferência de informações


CIS Control 3 - Proteção de Dados


NIST - CSF

ID.AM-5

PR.PT-2


= )


  • vitormaleite

Após dois anos de pandemia, a vinda da vacina nos permitiu aos poucos voltar ao "normal" ainda que tenhamos que nos prevenir de diversas maneiras. O modelo híbrido é a bola da vez...


Quando estamos presencial, independente de onde você trabalha, deu meio dia, geralmente a galera se reune para almoçar junto. E é nesses almoços, se você for comer em lugares públicos como shoppings, que você poderá se deparar com crachás em cima das mesas....Já perdi as contas de pessoas que vi deixando para reservar a mesa enquanto pega a comida em algum um restaurante….


O crachá além de servir para identificar que você faz parte do quadro de empregados da empresa, serve para possibilitar a sua entrada e saída da empresa ou até mesmo acessar áreas restritas. Sabendo disso, uma pessoa que tenha más intenções, se ela tiver a oportunidade de obter um crachá deixado de bobeira por ai, ela poderá falsificar porque está com um “modelo” em mãos ou usar o que ela roubou, para acessar o ambiente físico da empresa. Imagina se eu quisesse colecioná-los!? Já estaria com uma coleção bacana rsrs


Brincadeiras a parte, a sua empresa pode ter uma série de controles de acesso físicos eficientes, como catraca, biometria, guarda, câmeras e tudo mais, mas ainda sim, se alguém com más intenções conseguir esse bendito crachá, pode ter certeza que é meio caminho andado para ele entrar onde ele deseja sem ser percebido ou até se passar por você....

Fonte: https://rhinosecuritylabs.com


Portanto, a mensagem que eu quero deixar é: Não dê bobeira com o seu crachá, pois você pode originar uma situação dessa. Para exemplificar tudo que falei para vocês, deem uma lida nestes casos:


Presos por falsidade ideológica com crachá o secretário de Ordem Pública de Campos (2022)

Em Seara, dupla que aplicou golpe em idosos é condenada por estelionato (2022)

Homem é preso por fingir ser motorista de ônibus e usar transporte de graça (2019)

‘Falso Médico’, usou crachá roubado e HC da Unicamp terá biometria para funcionários (2017)


Um abraço e até a próxima.

bottom of page