Checklist para Segurança da Informação

Avalie o nível de segurança dos dados pessoais na sua organização recorrendo à lista de verificação que a CNIL (autoridade para a proteção de dados pessoais de França) inseriu no seu Guia para a Segurança da Informação (aqui).††

LISTA DE VERIFICAÇÃO PARA A SEGURANÇA DA INFORMAÇÃO

1 – Sensibilização dos utilizadores

  • Informar e sensibilizar quem trata dados pessoais
  • Politica de segurança da informação escrita e sua aplicação devidamente imposta

2 – Autenticação

  • Um “login” (identificador) único para cada utilizador
  • Política de “passwords” conforme com as regras de segurança estabelecidas
  • Obrigação de alterar convenientemente a “password” sempre que o sistema impuser a sua alteração
  • Limitar o número de tentativas de acesso a um “login” de utilizador

3 – Gestão de Acessos

  • Definir perfis de acesso
  • Remover permissões de acesso obsoletas
  • Anualmente efectuar uma revisão geral aos acessos autorizados

4 – Registos de Acessos e Gestão de Incidentes

  • Implementar um sistema de “logging”
  • Informar os utilizadores da implementação do sistema de “logging”
  • Proteger o sistema de “logging” e a informação registada
  • Implementar os procedimentos de notificação de violação de dados pessoais

5 – Segurança das Estações de Trabalho

  • Implementar um procedimento de bloqueio automático da sessão
  • Utilização sistemática de software antivírus devidamente actualizado
  • Utilização sistemática de software firewall
  • Obtenha consentimento do utilizador antes de intervir na sua estação de trabalho

6 – Informação nos Dispositivos Móveis

  • Implementar medidas de encriptação para os dispositivos móveis
  • Sistematizar backups e sincronizações com periodicidade regular
  • Desbloqueamento de smartphones somente com informação confidencial

7 – Proteção da Rede Interna

  • Limitar o tráfego da rede interna ao estritamente necessário
  • Acesso dos dispositivos remotos somente através de VPN
  • Nas redes Wi-Fi implementar os protocolos WPA ou WPA2-PSK

8 – Segurança dos Servidores

  • Acesso a ferramentas e interfaces de administração de sistemas reservado a pessoas qualificadas
  • Instalar as actualizações criticas com a maior brevidade possível
  • Assegurar a disponibilidade dos dados

9 – Segurança dos Websites

  • Usar o protocolo TLS e verificar a sua implementação
  • Assegurar que nenhuma “password” ou identificador é transferido via “URLs”
  • Verificar que os inputs do utilizador correspondem ao que é esperado
  • Colocar um “banner” de consentimento correspondente aos “cookies” não requeridos pelo serviço

10 – Garantia de Continuidade

  • Execução regular de backups
  • Armazenagem segura dos suportes de backup
  • Implementar sistemas de transporte seguro para os backups
  • Implementar e testar com regularidade os sistemas que garantem a Continuidade da Actividade

11 – Segurança do Arquivo Histórico

  • Implemente procedimentos de acesso específicos para os dados que não são de uso corrente
  • Implemente procedimentos que garantam a destruição efectiva dos dados obsoletos

12 – Supervisão da Manutenção e da Destruição de Dados

  • Mantenha o registo das intervenções de manutenção
  • Identificação de uma pessoa responsável pela supervisão das intervenções realizadas por terceiros
  • Quando o retirar hardware de uso apague toda a informação

13 – Gestão de Subcontratados (“Subcontratantes”)

  • Adicione uma cláusula especifica sobre segurança da informação no contrato com o subcontratado
  • Estabeleça as condições do processo de devolução e destruição dos dados
  • Assegure a efectividade das garantias contratadas (auditorias de segurança, visitas, etc.)

14 – Segurança das Transferências de Dados para outras Organizações

  • Cifre os dados antes de os enviar
  • Garanta o envio para o destinatário pretendido
  • Envie a informação secreta (código de decifragem) de forma e por via diversa da informação

15 – Segurança Física

  • Restrinja o acesso às instalações com portas fechadas e de abertura digital
  • Instale alarmes anti-intrusão e verifique-os periódica e sistematicamente

16 – Supervisão do Desenvolvimento de Software

  • Defina linhas orientadoras que assegurem a proteção de dados pessoais
  • Evite desenvolvimentos sem orientações claras ou exerça um controlo apertado
  • Efectue os testes com dados anonimizados ou dados fictícios

17 – Recurso à Cifragem

  • Utilize algoritmos e software de cifragem de reconhecida segurança
  • Mantenha a informação secreta e as chaves de cifragem de forma segura

Importa salentar que o Guia para a Segurança da Informação da CNIL alerta para a necessidade se estabelecer as medidas técnicas e organizativas de segurança mediante uma análise de risco. Tal implica identificar as possíveis ameaças que incidem sobre os itens que contêm ou dão acesso a dados pessoais (hardware, software, canais de comunicação, papel, etc).

A CNIL lista os seguintes tipos de ameaças aos sistemas de informação:

  • utilizado de forma inadequada (por exemplo: abuso de direitos, erro de manipulação);
  • modificado (por exemplo: software ou hardware bloqueado – keylogger, instalação de software malicioso);
  • perdido (por exemplo, roubo de um laptop, perda de um pendrive);
  • observado (por exemplo, visualização de um ecrã num comboio, localização geográfica de um equipamento);
  • danificados (por exemplo: vandalismo, degradação devido ao desgaste natural);
  • sobrecarregado (por exemplo, meio de armazenamento cheio, ataque de negação de serviço).

Mas na análise de risco reduz a 3 riscos principais:

  • Acesso ilegítimo aos dados
  • Modificação não desejada dos dados
  • Perda de dados

O que será didatico para exemplo, mas demasiado simplificado.

A lista de riscos deve ser definida especificamente para cada organização em concreto e para cada um dos itens (hardware, software, canais de comunicação, papel, etc), mas podemos tomar como ponto de partida uma lista um pouco mais extensa que a da CNIL, como por exemplo, a seguinte:

  • Ameaças e Vulnerabilidades das aplicações na Web
  • Ameaças e Vulnerabilidades na infraestrutura informática
  • Deficiente sistematização da Confidencialidade (classificação da informação e perfis de acesso)
  • Acesso ilegítimo
  • Alteração de dados pessoais não autorizada
  • Fuga de informação originada por utilizador interno
  • Resposta deficiente a uma Violação de Dados
  • Apagamento incompleto de dados pessoais
  • Deficientes Políticas, avisos, termos e condições
  • Instruções – Checklists inadequadas
  • Contratos com subcontratantes insatisfatórios
  • Deficiente minimização dos dados
  • Dados pessoais não incluídos nos registos de tratamento
  • Tratamento de dados sem conhecimento ou consentimento
  • Transferências de dados indevidas
  • Deficiente segurança na transferência de dados
  • Falta de exatidão dos dados (Logs de atualização)
  • Deficiente controlo dos prazos de conservação
  • Deficiente atribuição responsabilidades – RACI
  • Deficiente registo de eventos para Accountability
José Duarte Alvarenga

Author: José Duarte Alvarenga

Economista, Consultor, DPO, Co-Chair IAPP Lisbon KnowledgeNet Chapter, Certified Information Privacy Manager (CIPM), Data Protection Lead Auditor (DPLA)

Leave a Reply