Como mesa, tela e lixo limpos auxiliam na segurança da informação

Os princípios da mesa e da tela limpa surgiram dentro do processo de globalização e transformação e digital para favorecer a segurança da informação e, mais especificamente, dos dados sensíveis (para a empresa).

Eles precisam ser compreendidos e incorporados pelas empresas por conta da conscientização sobre a visão dos dados como ativos organizacionais valiosíssimos.

Essas práticas de segurança da informação devem ser seguidas no acesso a diferentes dispositivos e tecnologias para mantê-los protegidos tanto no espaço de trabalho pessoal quanto no público.

Nesse contexto, é importante lembrar a extensão dos ambientes de trabalho consequente da globalização das tecnologias e da informação.

O ambiente de trabalho pode funcionar em locais muito distantes da sede física de uma empresa, em modalidades como o home office e o teletrabalho.

De modo geral, podemos dizer que o trabalho remoto é uma realidade mundial que representa muitos benefícios para as empresas e para seus colaboradores.

Porém, para desfrutar satisfatoriamente dessa expansão dos ambientes de trabalho, alguns desafios precisam ser superados e o principal deles está ligado à segurança da informação.

Se os riscos de segurança já eram uma realidade no espaço altamente controlado do ambiente corporativo, agora que esse espaço não tem mais limites, os riscos aumentam exponencialmente.

Em termos práticos, são muito mais softwares e hardwares, além da própria rede onde trafegam e são armazenados os dados, que precisam ser protegidos dos incidentes de segurança.

O conceito de risco cibernético é abordado pela norma ISO/IEC 27005 e também se baseia no Processo de Gestão de Riscos presente na ISO 31000

A gestão de riscos de segurança da informação e das comunicações diz respeito a um conjunto de processos e práticas que possibilitam a identificação dos riscos e a implementação de ações preventivas para minimizar ou erradicar os riscos referentes aos dados enquanto ativos empresariais e às pessoas envolvidas em seu tratamento.

Essas práticas precisam ser consideradas no contexto dos custos operacionais e financeiros específicos de cada empresa.

Assim, a segurança da informação pode ser entendida a partir de sua relação com a preservação do valor das informações para as pessoas e as empresas.

Nesse sentido, vale a pena lembrar os princípios da segurança da informação:

• Confidencialidade;
• Disponibilidade;
• Autenticidade;
• Integridade;
• Legalidade.

Ou seja, as soluções para a proteção de dados precisam oferecer a garantia de cumprimento desses princípios.

O primeiro passo para colocar uma estratégia de segurança da informação em prática é, além de manter-se a par dos maiores riscos detectados no seu segmento de atuação e no mercado em geral, compreender quais são as principais vulnerabilidades e ameaças a que sua empresa está exposta considerando suas especificidades.

Após esse entendimento será possível recorrer às ferramentas adequadas para promover uma inteligência de riscos cibernéticos como forma de proteção aos ativos empresariais.

Mas como os princípios de mesa, tela e lixo limpos são incorporados a este contexto? É sobre isso que vamos falar ao longo dos próximos tópicos. Continue a leitura!

A relação da política de mesa, tela e lixo limpos com a segurança da informação

Para compreender a inserção desses conceitos nas estratégias de segurança da informação, o primeiro passo é saber claramente o que eles significam.

Uma política de mesa, tela e lixo limpos corresponde a uma série de práticas de segurança baseadas na ISO 27001.

Essas práticas são recomendadas para serem aplicadas no local de trabalho, mesmo que ele esteja fora do espaço físico da empresa, de forma a assegurar que as informações sensíveis ou confidenciais não sejam expostas nem fiquem desprotegidas.

Portanto, a adoção dessa política proporciona a redução de riscos de acessos indevidos ou não autorizados, além dos roubos, perdas, comprometimentos e danos em geral aos dados.

As informações e orientações detalhadas sobre a política de mesa, tela e lixo limpos estão definidas na seção A.11.2.9 da ISO 27001.

Essa política coloca como seu principal objetivo a conscientização dos colaboradores das empresas a respeito da proteção de informações confidenciais.

Isso porque a preocupação com a segurança da informação não deve se restringir aos gestores nem ao setor de tecnologia.

Não adianta contar com uma excelente estratégia ou as tecnologias mais avançadas sem o envolvimento e o engajamento da sua equipe como um todo.

Já faz tempo que a tecnologia perpassa todos os setores de um negócio e é por isso que todos os colaboradores precisam compreender a importância da segurança da informação.

É importante lembrar que a política exposta na ISO 27001 também se refere aos objetivos de segurança cibernética para a promoção da proteção na rede.

Ou seja, a proteção não se restringe apenas aos dados, mas se estende aos ativos empregados para o seu “transporte” para evitar roubos ou ataques nesse deslocamento.

Assim, estão presentes na política as orientações para a implementação de controles para detectar, prevenir e recuperar informações, de modo a protegê-las contra códigos maliciosos.

Isso ocorre a partir de um programa estruturado de conscientização do usuário, do gerenciamento de identidades e da gestão de riscos e incidentes de segurança da informação.

Os objetivos de segurança cibernética devem se alinhar aos objetivos da prevenção de ataques contra infraestruturas críticas e a mitigação das vulnerabilidades.

Dessa forma, é possível minimizar os eventuais danos para a empresa e reduzir o tempo de recuperação após um ataque ou incidente de segurança da informação.

Além disso, são preservados os pilares da integridade, da disponibilidade e da confidencialidade dos ativos de tecnologia e também dos dados em si.

Ainda neste artigo falaremos especificamente das orientações expostas na política de mesa, tela e lixo limpos para a obtenção destes resultados.

Mas cabe antes destacar a ampliação das ameaças de segurança da informação quando uma empresa adota o home office ou o officeless.

É claro que o objetivo não é desencorajar esta nova modalidade de trabalho, que pode ser muito promissora e lucrativa para as empresas, além de proporcionar maior qualidade de vida para os colaboradores.

O que queremos destacar é que, de fato, os riscos de segurança se ampliam e é preciso adotar estratégias de conscientização e de proteção mais específicas e eficientes.

O home office é uma novidade para muitos gestores e toda novidade traz consigo a necessidade de adaptação e de implementação de novas práticas.

Para isso, a busca por informação e conscientização é o primeiro passo. No próximo tópico você vai entender melhor como ocorre o aumento das ameaças de segurança no home office.

Ameaças de segurança da informação no home office

De acordo com uma pesquisa da CyberArk, que foi divulgada durante a pandemia da Covid-19, 77% dos colaboradores em trabalho remoto entrevistados estavam utilizando dispositivos BYOD considerados inseguros e não gerenciados para acessar os sistemas institucionais.

A sigla BYOD significa “bring your own device”, que pode ser traduzida como “traga seu próprio dispositivo”.

Trata-se de um conceito na área de infraestrutura de TI referente ao uso de aparelhos dos próprios colaboradores para o desenvolvimento de suas tarefas.

É claro que, no contexto da pandemia, em que muitos gestores precisaram fazer adaptações às pressas, essa situação insegura tornou-se quase inevitável.

Mas agora, com o home office implementado em caráter mais permanente após a compreensão de seus benefícios, é hora de voltar as atenções para os requisitos de segurança da informação.

A referida pesquisa buscou compreender os hábitos de compartilhamento de dispositivos corporativos capazes de comprometer a segurança de dados sensíveis e sistemas considerados críticos para o negócio.

Com a utilização dos mesmos dispositivos para o trabalho e para o lazer, os cibercriminosos detectam a ampliação das possibilidades de roubo de credenciais que podem representar grandes riscos empresariais.

A pesquisa, que entrevistou 3 mil funcionários em trabalho remoto e profissionais de tecnologia da informação, detectou um cenário alarmante sobre a situação da segurança nesse contexto.

De cada 100 entrevistados, 66 estavam utilizando plataformas de comunicação como o Zoom e o Microsoft Teams, que já tiveram divulgadas diversas vulnerabilidades de segurança.

É provável que a sua empresa já tenha utilizado ou esteja utilizando alguma dessas plataformas no contexto do trabalho remoto, pois elas são bastante populares e acessíveis.

Contudo, os riscos são claros e é preciso começar a conscientização das necessidades de mudanças a partir dos gestores.

Outro dado trazido pela pesquisa é o de que 37% dos entrevistados guardavam suas senhas nos navegadores dos computadores utilizados para o trabalho e o lazer.

No que diz respeito especificamente aos profissionais de TI, 94% deles mostraram-se confiantes no potencial de proteção de dados no exercício do trabalho remoto.

Mas apenas 40% desses profissionais de fato detectaram a necessidade de aprimoramento dos protocolos de segurança em seus sistemas.

Na atualidade, já sabemos que não é possível manter altos padrões de segurança da informação no trabalho remoto utilizando o mesmo padrão do trabalho presencial realizado na sede da empresa.

Sendo assim, as estratégias de segurança cibernética precisam ser atualizadas e não devem negligenciar a diferença entre as duas modalidades de trabalho.

É um desafio para as empresas manter a segurança e a eficiência para desfrutar dos benefícios do trabalho remoto.

O aumento das vulnerabilidades e ameaças de segurança é um dos resultados imediatos da adoção do trabalho feito à distância. Da mesma forma, os colaboradores enfrentam um desafio para organizar no mesmo espaço o ambiente pessoal e o profissional.

É nesse contexto que a implementação da política de mesa, tela e lixo limpos pode cooperar.

Na verdade, recorrer a orientações respaldadas em geral, como as da ISO 27001, é um excelente caminho para atingir um bom padrão de segurança da informação no trabalho remoto.

As orientações da política de mesa tela e lixo limpos para a segurança da informação

Como mencionamos, a política de mesa, tela e lixo limpos tem o objetivo de apresentar diretrizes para reduzir os riscos de violações de segurança, fraudes e roubos de informações.

Quando essa política é inserida na implementação de esforços que visam à conscientização a respeito da segurança da informação, ela auxilia na redução dos acessos não autorizados, além das perdas e danos às informações.

No caso do trabalho remoto, essa preocupação precisa ocorrer não apenas durante o horário do expediente, mas 24 horas por dia.

Quando falamos de utilizar essa política como base para a conscientização dos colaboradores, nos referimos também à programação de treinamentos e capacitações periódicas.

Assim, é possível sanar todas as dúvidas e explicar eficientemente cada aspecto das ações que devem ser adotadas.

Além dos treinamentos, os instrumentos internos de comunicação, como cartazes e e-mails precisam ser empregados para o alcance da conscientização adequada.

Para compreender o resultado desses esforços, é muito importante que sejam promovidas avaliações periódicas de verificação da conformidade dos colaboradores com as práticas implementadas.

Os colaboradores precisam ser conscientizados não apenas da necessidade de preocupação com a segurança da informação, mas também sobre como proteger na prática sua área de trabalho.

Isso inclui os dados sensíveis e confidenciais que estejam presentes ou ausentes por um período que pode ser curto ou prolongado.

Algumas das diretrizes apontadas na política de mesa, tela e lixo limpos são as seguintes:

• Estações de trabalho devem ser desligadas ou bloqueadas com senha segura quando estiverem desocupadas ou quando o colaborador estiver ausente;
• Informações confidenciais devem ser removidas da mesa, sala, impressora ou outro dispositivo, sendo colocadas em armários trancados, no caso de documentos físicos, após o manuseio;
• O lixo deve ser adequadamente descartado e recursos como quadros ou lousas devem ser apagados ao fim de uma atividade ou reunião;
• Senhas não devem ser escritas em locais acessíveis a outras pessoas e não podem ser salvas nos navegadores do computador ou dispositivo utilizado para o trabalho;
• Materiais impressos que contêm informações sensíveis devem ser recolhidos imediatamente da impressora;
• Documentos que contêm dados sensíveis, confidenciais ou restritos, no momento do descarte devem ser triturados e eliminados em locais apropriados e seguros.

Sendo assim, podemos resumir os princípios da política da seguinte forma: a mesa limpa refere-se à segurança dos documentos impressos e mídias de armazenamento removíveis.

A política de telas limpas diz respeito à necessidade de evitar que os usuários permaneçam logados mesmo estando ausentes e à conscientização dos colaboradores que trabalham com processamento de informações para que coloquem em prática ações que favorecem a segurança da informação.

Por fim, a política de lixo limpo está ligada ao descarte adequ

ado de documentos e dispositivos com informações sensíveis ou confidenciais. Se você está em busca de diretrizes para a promoção da segurança da informação em sua empresa, além da política de mesa, tela e lixo limpos, é importante o conhecimento de outro documentos norteadores como o OWASP Top 10, que corresponde à lista das 10 falhas mais comuns ligadas ao desenvolvimento de projetos Web.