Ativos de informação e segurança em recursos humanos

Ativos de informação e segurança em recursos humanos

Por: Lindamir do Carmo Secchi Gadler & Roseli Rocha Moterle

Muitos dos problemas de segurança enfrentados pelas organizações estão associados ao mau uso dos ativos por parte dos seus recursos humanos. Assim, a política de segurança deve prever controles de segurança antes, durante e após a contratação de funcionários, fornecedores e terceiros que usem os ativos da organização ou tenham acesso a eles.

Antes da contratação

Quando o funcionário, fornecedor ou terceiro inicia suas atividades em uma organização, é necessário, anteriormente à sua contratação, que esteja ciente das suas responsabilidades e de acordo com as suas funções em relação aos ativos de informação. O objetivo de tal procedimento é reduzir o risco de furto ou roubo, fraude ou mau uso de recursos.

No processo de seleção, é recomendável verificar se o histórico dos candidatos está de acordo com a ética, as leis e as regulamentações pertinentes e proporcionais aos requisitos do negócio. Para a seleção, a NBR 27002: 2005 indica algumas diretrizes a serem implementadas na política de segurança, de modo a se realizarem as seguintes ações:

a. disponibilidade de referências do candidato –uma profissional e uma pessoal;

b. verificação (da exatidão e inteireza) das informações do curriculum vitae do candidato;

c. confirmação das qualificações acadêmicas e profissionais;

d. verificação independente da identidade (passaporte ou documento similar);

e. verificação financeira mais detalhada ou verificação de registros criminais. (ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, 2005).

A política de segurança da informação deverá prever um Termo de Compromisso em que estão descritos os termos e condições de contratação para o trabalho. O termo deve ser analisado e assinado pelos funcionários, fornecedores e terceiros que iniciam suas atividades na organização.

Fontes (2006, p. 20) assinala que um termo de compromisso deve registrar as responsabilidades do contratado em:

• manter sigilo das informações da organização às quais o colaborador terá acesso;

• seguir as normas de segurança;

• seguir o padrão ético da organização.

É importante salientar que as responsabilidades do colaborador devem se estender para fora das dependências da organização e fora dos horários normais de trabalho como, por exemplo, nos casos de execução do trabalho em casa.

O documento a seguir é um modelo de Termo de Compromisso, mas é importante observar que o documento pode sofrer variações de acordo com as necessidades de cada organização.

Termo de Compromisso

Outro documento que pode ser utilizado pelas empresas é o código de conduta, o qual descreve as responsabilidades dos colaboradores em relação à:

• confidencialidade;

• proteção de dados éticos;

• uso apropriado dos recursos e dos equipamentos da organização;

• práticas de boa conduta esperada pela organização.

O código de conduta também deve ser assinado pelo colaborador. Caso haja um problema sério de má conduta por parte deste, o processo deve permitir a imediata remoção das atribuições, direitos de acesso e privilégios do mesmo.

E, dependendo da situação, solicitar a essa pessoa a saída imediata das dependências da organização, escoltando-a.

Durante a contratação

As responsabilidades de segurança (especificadas na política de segurança) devem ser tratadas durante o tempo em que o funcionário estiver no emprego, assegurando-se que os colaboradores estejam conscientes das ameaças e preocupações relativas à segurança da informação.

Também é importante que os colaboradores tenham consciência dos seus limites e de suas responsabilidades no uso dos recursos de entrada, processamento, armazenamento e saída de informação. Durante a contratação, é relevante acompanhar as atividades rotineiras da organização para reduzir o risco de erro humano.

Importante

Todos os colaboradores da organização e, onde for relevante, devem receber treinamento apropriado e atualizações periódicas sobre as políticas e procedimentos organizacionais. O sucesso da implementação de um programa de segurança também depende do envolvimento e aceitação dos colaboradores para a política de segurança. É preciso desenvolver uma campanha de conscientização que promova mudanças de comportamento e, também, de cultura, de modo a se estabelecer a necessidade da segurança da informação.

Para o uso de informações e de ativos associados, a NBR 27002: 2005 assinala que a política de segurança também deve prever:

a. regras para o uso da internet e do correio eletrônico;

b. diretrizes para uso de dispositivos móveis, especialmente para o uso fora das instalações da organização.

É preciso estar consciente de que tais procedimentos têm por objetivo proteger você, proteger a informação e, consequentemente, proteger a empresa.

Encerramento ou mudança da contratação

O encerramento das atividades ou a mudança de setor de um colaborador requerem alguns procedimentos de segurança que devem ser descritos na política de segurança da empresa.

A comunicação de encerramento deve ser encaminhada ao proprietário das informações a que o colaborador está vinculada e, também, ao setor de recursos humanos da organização, de modo que providenciem a retirada de direitos de acesso desse colaborador aos ativos de informação e aos recursos de processamento da informação.

A NBR 27002: 2005 considera conveniente que os direitos de acesso do colaborador sejam reduzidos ou retirados, antes que sua atividade se encerre ou se altere, dependendo da avaliação de fatores de risco, tais como:

a. o encerramento da atividade ou a mudança for iniciada pelo funcionário ou terceiro ou pelo gestor e, também, conforme a razão de encerramento da atividade;

b. as responsabilidades atuais do funcionário, fornecedor ou qualquer outro usuário;

c. valor dos ativos atualmente acessíveis. (ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, 2005).

No processo de encerramento das atividades, é necessário contemplar a devolução de todos os equipamentos, documentos corporativos, softwares, cartões de acesso e outros dispositivos que foram disponibilizados à pessoa para o desenvolvimento de suas atividades.

Além disso, o documento da política de segurança e os termos e condições de trabalho devem prever que o funcionário, fornecedor ou terceiro, por um período de tempo definido, ainda tenham responsabilidades com a organização de que se estão desligando, mesmo após o encerramento das atividades.

Referências

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27002: Tecnologia da Informação – Técnicas de Segurança – Código de prática para a gestão de segurança da informação, 2005. 120 p.

CAMPOS, Vicente Falconi. Gerenciamento da rotina do trabalho do dia-a-dia. 8. ed. Belo Horizonte: Desenvolvimento Gerencial, 2002. 266 p.

FERREIRA, Fernando Nicolau Freitas; ARAÚJO, Márcio Tadeu de. Política de segurança da informação: guia prático para elaboração e implementação. 2. ed. Rio de Janeiro: Ciência Moderna, 2008.

FONTES, Edison. Segurança da informação: o usuário faz a diferença. São Paulo: Saraiva, 2006. 172 p.

Sou bacharel em Sistemas de Informação pela Estácio de Sá (Alagoas), especialista em Gestão Estratégica da Tecnologia da Informação pela Univ. Gama Filho (UGF) e pós-graduando em Gestão da Segurança da Informação pela Univ. do Sul de Santa Catarina (UNISUL). Certificações que possuo: EC-Council CEH, CompTIA (Security+, CySA+ e Pentest+), EXIN (EHF e ISO 27001), MCSO, MCRM, ITIL v3. Tenho interesse por todas as áreas da informática, mas em especial em Gestão e Governança de TI, Segurança da Informação e Ethical Hacking.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *