Como as vulnerabilidades na cibersegurança afetam a gestão da qualidade

Hayrton Rodrigues do Prado Filho

Conforme a NBR ISO 9001 de 09/2015 – Sistemas de gestão da qualidade – Requisitos que especifica requisitos para um sistema de gestão da qualidade quando uma organização necessita demonstrar sua capacidade para prover consistentemente produtos e serviços que atendam aos requisitos do cliente e aos requisitos estatutários e regulamentares aplicáveis, e visa aumentar a satisfação do cliente por meio da aplicação eficaz do sistema, incluindo processos para melhoria do sistema e para a garantia da conformidade com os requisitos do cliente e com os requisitos estatutários e regulamentares aplicáveis, uma empresa deve determinar as questões externas e internas que sejam pertinentes para o seu propósito e para o seu direcionamento estratégico e que afetem sua capacidade de alcançar o (s) resultado (s) pretendido(s) de seu sistema de gestão da qualidade.

Dessa forma, a organização deve monitorar e analisar criticamente a informação sobre essas questões externas e internas. Deve-se ressaltar que as questões podem incluir fatores ou condições positivos e negativos para consideração e o entendimento do contexto externo pode ser facilitado pela consideração de questões provenientes dos ambientes legal, tecnológico, competitivo, de mercado, cultural, social e econômico, tanto internacionais, quanto nacionais, regionais ou locais.

Ao planejar o sistema de gestão da qualidade, a organização deve determinar os riscos e as oportunidades que precisam ser abordados para: assegurar que o sistema de gestão da qualidade possa alcançar seus resultados pretendidos; aumentar os efeitos desejáveis; prevenir, ou reduzir, efeitos indesejáveis; alcançar melhoria. Um desses riscos é o cibernético relacionado com a segurança da informação. Em 2021, houve o registro do aumento de 77% nos ataques cibernéticos no Brasil, colocando o país como o quinto maior alvo de cibercrimes. O prejuízo global foi de, aproximadamente, US$ 6 trilhões, segundo pesquisa da Roland Berger.

A Resh Cyber Defense fez uma radiografia das vulnerabilidades encontradas nesse período em uma amostra anonimizada de alguns importantes setores da economia. As vulnerabilidades são brechas em aplicações que, uma vez exploradas com sucesso por um cibercriminoso, podem levar a uma invasão dos sistemas, resultando em vazamentos e sequestros de dados, dentre outras consequências. Por este motivo é importante que estas falhas sejam identificadas e corrigidas a tempo.

O estudo foi preparado utilizando dados de vulnerabilidades encontradas ao longo de 2021 pela Resh Cyber Defense. As brechas foram classificadas por nível de criticidade em cada setor (conforme mostra a tabela abaixo), a fim de analisar a situação de cada um quanto à exposição aos riscos de invasão cibernética.

A identificação de uma brecha é o primeiro passo para a sua correção. Por isso, uma empresa que conhece as suas vulnerabilidades vai evoluir para um nível de segurança maior do que outra empresa que desconhece as suas brechas.

É comum que aplicações apresentem vulnerabilidades. A maioria delas são conhecidas e podem ser facilmente corrigidas. O problema é que ainda são poucas as empresas que incorporaram a cultura do mapeamento contínuo das suas brechas de segurança.

De acordo com a NBR ISO/IEC 27032 de 06/2015 – Tecnologia da Informação – Técnicas de segurança – Diretrizes para segurança cibernética que fornece as diretrizes para melhorar o estado de segurança cibernética, traçando os aspectos típicos desta atividade e suas ramificações em outros domínios de segurança, o gestor de qualidade também precisa estar atendo para a vulnerabilidade que é uma fraqueza de um ativo ou controle que pode ser explorada por uma ameaça.

Dentro do contexto de um sistema de informação, a vulnerabilidade é uma falha, fraqueza ou propriedade do projeto ou implementação de um sistema de informação (incluindo seus controles de segurança) ou seu ambiente que poderia ser, intencionalmente ou não, explorado para afetar negativamente os ativos ou as operações de uma organização. A avaliação da vulnerabilidade deve ser uma tarefa contínua e integrada aos sistemas de gestão.

Como os sistemas recebem correções, atualizações ou novos elementos são adicionados, novas vulnerabilidades podem ser introduzidas. As partes interessadas exigem um profundo conhecimento e compreensão do ativo ou controle em questão, bem como as ameaças, os agentes de ameaças e riscos envolvidos, a fim de realizar uma avaliação abrangente.

O gestor deve realizar um inventário das vulnerabilidades conhecidas e deve manter um rigoroso protocolo e de preferência separado física e logicamente do ativo ou controle a que se aplica. Se houver uma violação de acesso e o inventário de vulnerabilidades for comprometido, este inventário seria uma das ferramentas mais eficazes no arsenal de um agente de ameaça para perpetrar um ataque.

As soluções para vulnerabilidades devem ser buscadas, implementadas e quando uma solução não for possível ou viável, que os controles sejam colocados em prática. Essa abordagem deve ser aplicada em caráter prioritário, sendo que as vulnerabilidades que apresentam um risco mais elevado devem ser tratadas primeiramente.

Os procedimentos de divulgação de vulnerabilidade podem ser definidos no âmbito do compartilhamento e coordenação de informação. O importante é saber que um bom programa de gestão da qualidade pode naufragar quando um ocorrer um ataque cibernético usando, por exemplo, um software malicioso como spyware, worms e vírus. A informação é muitas vezes obtida por meio de técnicas de phishing.

Um ataque pode ocorrer como um vetor de ataque singular ou realizado como um mecanismo misto de ataque. Estes ataques podem ser propagados, por exemplo, por meio de sites suspeitos, downloads não verificados, e-mails de spam, exploração remota e mídias removíveis infectadas.

Os ataques podem vir de duas principais categorias de dentro da rede privada; e os ataques de fora da rede privada. Há casos, contudo, em que os ataques são uma combinação de ambos os tipos, dentro e fora de uma rede privada. Outros mecanismos, que estão crescendo em uso e sofisticação para a realização de ataques, são aqueles baseados em sites de redes sociais e no uso de arquivos corrompidos em sites legítimos.

Dessa forma, o gestor de qualidade deve integrar um programa de segurança de informação à qualidade. A implementação de tal estrutura requer que as organizações e os indivíduos colaborem para se reunir (virtual ou fisicamente) e determinar as políticas específicas, os controles e as medidas a tomar a fim de atingir os seus objetivos de compartilhamento e coordenação de informação segura, eficaz, confiável e eficiente em resposta a incidentes emergentes de segurança da informação.

As seguintes etapas de alto nível são recomendadas como um guia para a implementação: identificar e reunir as organizações e os indivíduos relevantes para formar a comunidade de rede de compartilhamento e coordenação de informação, seja formal ou informalmente; determinar a função de cada organização/indivíduo envolvido seja como organizações provendo informações (OPI), organizações recebendo informações (ORI) ou ambos os casos; estabelecer o tipo de informação e a coordenação necessário que seria benéfico para a comunidade; realizar a categorização e a classificação das informações para determinar se qualquer informação sensível e/ou de privacidade está envolvida; estabelecer as políticas e os princípios que regem a comunidade e as informações envolvidas; determinar os métodos e os processos necessários requeridos para cada categoria e classificação de informações envolvidas; determinar os requisitos e os critérios de desempenho e estabelecer um código de boas práticas e assinar o non-disclosure agreement (NDA), se necessário; identificar os padrões e os sistemas técnicos exigidos e adequados para apoiar a implementação e as operações da comunidade; preparar-se para a operação; coletar lista de contatos e realizar workshops de conscientização e treinamento para preparar as partes interessadas; realizar os testes regulares, incluindo cenários de explicação e simulação, conforme necessário; e realizar as revisões periódicas, pós-teste e pós-incidente para melhorar os sistemas de compartilhamento e coordenação, incluindo pessoas, processos e tecnologia envolvidos; ampliar ou reduzir o tamanho da comunidade, se necessário.

Deve-se lembrar que a gestão de uma empresa sempre deve evoluir e os controles de segurança da informação reduzem o risco e melhoram o tratamento e a gestão de incidentes, porém os criminosos cibernéticos e outros meliantes continuarão a desenvolver novos ataques ou evoluir ataques atuais para superar as proteções existentes. Por isso, é também importante para as organizações implementarem os sistemas e as infraestruturas que permitam uma abordagem mais dinâmica e rigorosa para a detecção, a investigação e as respostas a um ataque de segurança.

Hayrton Rodrigues do Prado Filho é jornalista profissional, editor da revista digital adnormas, do blog https://qualidadeonline.wordpress.com/ e é membro da Academia Brasileira da Qualidade (ABQ)hayrton@hayrtonprado.jor.br

A implementação dos metadados para gerenciar os documentos de arquivos eletrônicos

Os metadados para gerenciar documentos de arquivo podem ser usados para uma variedade de propósitos dentro de uma organização, apoiando, identificando, autenticando, descrevendo, localizando e gerenciando seus recursos de forma sistemática e consistente para atender às necessidades de negócio, responsabilidade e requisitos societários das organizações. O software de documentos de arquivo e os sistemas de negócio com funcionalidade de gerenciamento de registros realizam a gestão dos documentos de arquivo, capturando e gerenciando os seus metadados e o contexto de sua produção e uso.

Os documentos de arquivo, particularmente sob a forma de transações eletrônicas, podem existir fora do software de documentos de arquivo formais, muitas vezes sendo produzidos em sistemas de negócio que atendem a fins específicos (por exemplo, sistemas de licenciamento). Os documentos de arquivo são usados e compreendidos por pessoas que possuem ou têm acesso a conhecimentos suficientes sobre os processos que estão sendo realizados ou por pessoas que estão envolvidas na transação dos documentos de arquivo gerados e seu contexto imediato.

Conforme destaca Marcelo Carreira, diretor de marketing da Access, todos os documentos, sejam eletrônicos ou em papel, são essenciais para o funcionamento de qualquer empresa. As informações comerciais são confidenciais e sujeitas à privacidade e confidencialidade. Esses aspectos tornam o gerenciamento de documentos uma tarefa incrivelmente desafiadora. Com o aumento das ameaças à segurança cibernética, o gerenciamento eletrônico de documentos tornou-se cada vez mais primordial.

“A pandemia fez com que muitas empresas mudassem suas operações comerciais para o on-line. Além de lançar um site e ferramentas interativas, algumas empresas tiveram que suportar outro desafio – converter documentos em papel em formato eletrônico ou digital. As empresas que optam por sistemas eletrônicos de gerenciamento de documentos precisam de uma base que ajude a agilizar fluxos de trabalho e processos críticos, sem contar que podem aumentar a sua eficiência”.

Para ele, os custos da propriedade comercial estão aumentando, assim como as despesas de armazenamento de arquivos e pastas. Um sistema eletrônico de gerenciamento de documentos baseado em software ajuda a economizar espaço considerável ocupado por armários e caixas. O software libera espaço que pode ser usado para outros fins. Existem documentos confidenciais que são melhor protegidos em formato de papel ou como cópias impressas. Estes são mantidos em locais mais baratos, como um armazém ou um cofre.

Além disso, assegura Marcelo, proteger documentos valiosos é fundamental para operações comerciais de todos os tamanhos. Proteger dados confidenciais é vital para salvaguardar os interesses da empresa. O software oferece segurança aprimorada por meio de um melhor controle sobre documentos confidenciais. Além disso, o acesso é controlável no nível da pasta de acordo com indivíduos e grupos, com isso os registros gerenciados dessa maneira são altamente rastreáveis. Pode-se instalar tags e notificações para alertas automatizados.

“Os procedimentos regulatórios e de conformidade são tediosos e complexos para alguns documentos. A não conformidade pode torná-lo responsável por multas ou licenças revogadas. Com essas conformidades em vigor, os sistemas de gerenciamento de documentos fornecem organização e reduzem a possibilidade de não conformidade. A retenção de registros pode ser automatizada e novos documentos podem ser facilmente classificados e armazenados”, explica.

Pesquisar, localizar e recuperar documentos é demora do, especialmente quando armazenado em formato físico. Dito isso, é evidente que o gerenciamento desses documentos economiza tempo. Dependendo da solução, o sistema ajuda a recuperar arquivos através de palavras-chave ou frases. Além disso, a integração com aplicativos de negócios simplifica o acesso a informações vitais. Mais ainda, com um DMS, os documentos são acessíveis remotamente, desde que haja uma conexão estável com a internet. E isso provou ser benéfico durante a pandemia.

“Tradicionalmente, os sistemas de gerenciamento de documentos implicavam salvar documentos em computadores locais. O sistema de backup compreende compartilhamentos de arquivos não controlados, nos quais o conteúdo não é feito backup adequado. Muitas vezes, descobre-se quando é tarde demais ou quando o conteúdo está extraviado. Os regulamentos exigem que se produza as cópias originais e legíveis desses registros e tenha uma solução de backup robusta”, complementa.

Ele aduz, ainda, que o arquivamento digital de documentos em papel também os impede de incêndios e inundações, entre outros desastres. Um sistema de gerenciamento de documentos garante que os registros sejam rastreáveis usando uma variedade de critérios. Esses recursos de rastreamento ajudam a reduzir as chances de documentos serem perdidos ou arquivados incorretamente ao visualizar e acessar.

“Outra vantagem é que ajudam na colaboração e no compartilhamento; isso é interno e externo. A parceria ocorre usando ambientes baseados na web – intranets – e fluxos de trabalho. A digitalização também ajuda a avaliar a posição do documento, seja nas fases de autoria, revisão ou aprovação. Observe que a colaboração e o compartilhamento podem até acontecer remotamente. Registros capturados de diferentes fontes são acessíveis através de vários locais”.

Outro aspecto é a imagem eletrônica. Esta solução permite o compartilhamento de documentos em redes como e-mail ou internet. Os sistemas eletrônicos de gerenciamento de documentos também oferecem visibilidade aprimorada dos processos e do monitoramento do fluxo de trabalho.

Não é fácil alcançar consistência para conteúdos usando métodos tradicionais. Um desafio é fazer com que todos os membros usem os modelos mais recentes ou os mesmos. Outro é garantir que todas as novas edições e revisões sejam da versão última aprovação em um ambiente de compartilhamento de arquivos. O software garante os recursos de gerenciamento e distribuição de modelos, juntamente com o gerenciamento de revisão de documentos. O sistema também ajuda a automatizar o processo de publicação em PDF para garantir a adesão aos requisitos da ICH.

“Uma vantagem é que oferecem ferramentas que enviam automaticamente os registros através de seus ciclos de vida. Essas ferramentas são profundas e ajudam a resolver gargalos e garantir a geração e o arquivamento oportunos. Essa pontualidade ajuda a melhorar a inspeção e a prontidão para envio. Portanto, procrastinação, atrasos e logística são todos atendidos pelos sistemas eletrônicos”, aponta Marcelo.

Conforme a NBR ISO 23081-2 de 04/2020 – Informação e documentação — Gerenciamento de metadados para documentos de arquivo – Parte 2: Problemas conceituais e implementação, que fornece uma fundamentação sólida dos metadados para gerenciar documentos de arquivo em organizações, modelos conceituais de metadados e um conjunto de elementos de alto nível de metadados genéricos, adequados para qualquer ambiente de documentos de arquivo, todo esse processo abrange, por exemplo, as  implementações atuais de gestão de documentos de arquivo ou arquivísticas. Com isso, pode-se definir os tipos genéricos de metadados, tanto para entidades de documentos de arquivo quanto para outras entidades que precisam ser gerenciadas para documentar e entender o contexto dos documentos de arquivos, em momentos específicos, conforme determinado pela aplicação de um conjunto de decisões de avaliação.

Pode ser necessário criar uma representação independente do documento de arquivo e seus metadados. Normalmente, isso é feito codificando os metadados em um formato-padrão de metadados, como XML, usando os elementos definidos do esquema de metadados para gerenciar documentos de arquivo.

Pode ser deliberada a implementação no momento em que todos os metadados são associados a um registro, sendo escritos como um registro independente ou armazenados com o registro ao qual eles se relacionam. Na prática, a escrita de metadados para gerenciar documentos de arquivo pode ocorrer em vários momentos na existência do documento de arquivo. Isso inclui: na captura inicial; na aplicação dos processos de destinação; à medida que ocorrem mudanças nos meios de armazenamento; na evolução ou alteração de sistemas; onde há mudanças na cadeia de custódia; para troca de dados com outros sistemas (por exemplo, busca de informações em toda a organização); à medida que o objeto se move para fora dos limites do software de documentos de arquivo (por exemplo, transferência para armazenamento alternativo).

Sempre que é realizada a definição de metadados independentes do documento de arquivo, o resultado é unir o objeto de documento de arquivo e seus metadados em uma única representação onde os metadados adicionais de processo se acumulam externamente ao objeto capturado. Os processos envolvidos no gerenciamento contínuo de qualquer desses objetos continuarão a ocorrer e a acumular metadados, mas esses metadados permanecerão vinculados e não serão refletidos dentro do objeto de metadados estático independente.

Por exemplo, isso pode ocorrer quando os documentos de arquivo são removidos para a custódia de uma organização externa, como um arquivo. Neste momento, outros processos de gerenciamento e detalhes contextuais podem ser realizados por um sistema de arquivamento independente, em vez do sistema que produziu e/ou gerenciou o documento de arquivo.

Em algumas implementações, esses metadados adicionais podem ser exigidos para serem reescritos para o objeto gravado em momentos designados, conforme definido no processo de avaliação. Os metadados para gerenciamento de documentos de arquivo devem estar sujeitos a decisões de avaliação. Essas decisões de avaliação determinam não apenas quais metadados devem ser capturados sobre os documentos de arquivo, mas quanto tempo os metadados devem ser retidos e quando, em relação aos documentos de arquivo, alguns ou todos eles podem ser destruídos ou gerenciados separadamente para o objeto de documentos de arquivo.

No ambiente eletrônico, as decisões sobre documentos de arquivo e metadados para seu gerenciamento podem ser feitas em um grau de granularidade não possível no mundo do papel. Assim, por exemplo, os metadados de ponto de captura feitos sob medida podem ser destinados a serem usados por conjuntos de documentos de arquivo muito específicos (por exemplo, e-mails). Essa adaptação e seleção de quais elementos de metadados serão apropriadas são em si uma decisão de avaliação.

Para alguns documentos de arquivo, os riscos associados à sua definição, captura e gerenciamento podem não ser significativos, e um conjunto de decisões pragmáticas que limitam os metadados a serem capturados pode ser introduzido. Para outros documentos de arquivo, os riscos podem ser maiores e um conjunto mais completo de metadados deve ser capturado para garantir autenticidade, integridade e confiabilidade.

A capacidade de tomar tais decisões na confecção é dependente de uma compreensão sofisticada das operações organizacionais, funções e documentos de arquivo necessários para apoiar as atividades organizacionais e entendimentos tipicamente realizados na função de avaliação. A avaliação, também, é aplicada na tomada de decisões sobre a preservação de documentos de arquivo digitais. Alguns documentos de arquivo têm períodos de retenção significativos e podem precisar de uma intervenção de preservação ativa diversas vezes ao longo desse período de retenção.

Em cada instância de intervenção para preservação é necessária uma decisão de avaliação sobre os metadados a serem mantidos. Os metadados associados a um documento de arquivo podem eles mesmos estar sujeitos a decisões de avaliação que são separadas (mas vinculadas) das decisões de avaliação dos documentos de arquivo aos quais os metadados se relacionam.

Por exemplo, pode ser considerado desnecessário reter todos os aspectos dos metadados do processo, como o histórico de uso para o período de retenção completo associado ao documento de arquivo. Tais decisões devem ser tomadas com cautela e informadas por entendimentos claros de risco, autenticidade, confiabilidade e requisitos organizacionais para documentos de arquivo.

No entanto, é perfeitamente possível selecionar apenas partes dos metadados para acompanhar um documento de arquivo ao longo do tempo. Os documentos de arquivo e seus metadados são constantemente usados em novos contextos de negócio, incluindo contextos de pesquisa. Todo novo uso adiciona novo significado ao (s) documento de arquivo (s) e, portanto, tem que ser documentado.

Assim, novos metadados serão definidos sobre cada uso, o (s) agente (s) envolvido (s), a atividade de negócio e as circunstâncias de uso. Novos regimes de gerenciamento de documentos de arquivo ocorrerão ao longo do tempo, e eles têm que ser documentados, representando assim diferentes níveis de gestão de documentos de arquivo. Isso pode incluir gestão arquivística para aqueles documentos de arquivo que possuem valor permanente. A atividade de descrição arquivística pode ser considerada uma atividade contínua para a gestão de metadados.

O papel dos funcionários nos casos de ataques cibernéticos

Um relatório da KPMG apontou a importância para as empresas de um programa integrado de gestão do comportamento com uma abordagem persistente da equipe e comunicação com relação à segurança cibernética. Dessa forma, os funcionários se tornam parte importante do programa de investigação a partir do momento em que devem ser os primeiros a reportar e-mails suspeitos, agindo como firewalls (barreira de proteção) humanos.

“Embora as tecnologias de segurança cibernética sejam indispensáveis para aumentar a proteção no ambiente digital, elas não levam em consideração o elemento humano. Uma abordagem holística para proteger uma organização exige um investimento nas pessoas — o firewall humano — para garantir que os funcionários entendam os princípios da segurança cibernética e cumpram o papel no apoio aos esforços de segurança, tornando os comportamentos seguros uma parte integrante da vida cotidiana”, analisa o sócio da KPMG de segurança cibernética da KPMG, Klaus Kiessling.

Uma forma eficaz de enfrentar os riscos de segurança cibernética envolve uma combinação de múltiplas estratégias, tendo em vista as várias partes interessadas. Tais estratégias incluem: as boas práticas da indústria, com a colaboração de todas as partes interessadas para identificar e tratar problemas e riscos de segurança cibernética; a educação abrangente do consumidor e dos funcionários, oferecendo um recurso confiável para saber como identificar e tratar os riscos específicos de segurança cibernética dentro da organização, bem como no espaço cibernético; e as soluções inovadoras de tecnologia para ajudar a proteger os consumidores de ataques conhecidos à segurança cibernética, para se manterem atualizados e estarem preparados contra novas explorações.

Esta diretriz se concentra em proporcionar boas práticas na indústria e educação abrangente do consumidor e colaboradores para auxiliar as partes interessadas no espaço cibernético em desempenhar um papel ativo para enfrentar os desafios de segurança cibernética. Isto inclui orientações para: as funções; as políticas; os métodos; os processos; e os controles técnicos aplicáveis.

Segundo o relatório, muitas organizações, geralmente, abordam a questão da segurança cibernética com os funcionários apenas uma vez por ano e o resultado ideal é uma mudança cultural na qual a equipe reconheça a importância do assunto e se considere parte desse processo. A publicação aponta ainda seis principais passos que devem ser seguidos que estão descritos seguir.

– Programas de conscientização sobre segurança cibernética – Devem ser projetados para impulsionar a mudança comportamental entre os funcionários com dois objetivos fundamentais: mudar a conscientização sobre segurança de uma opção para um hábito e envolver a equipe em um nível emocional.

– Reforçar o comportamento ao aplicar a metodologia de gestão de mudanças – O papel da liderança em apresentar a mensagem de conscientização sobre a segurança cibernética aos funcionários é apenas o início do processo de mudança comportamental. A mensagem deve ser persistentemente reforçada para que a mudança proposta se torne um hábito.

– Métodos de programas/capacitações para tornar o treinamento envolvente – Programas eficazes de gestão do comportamento e comunicação exigem treinamento, mas devem ser considerados métodos de engajamento modernos que elevam as conversas sobre segurança cibernética de triviais para informativas e inspiradoras.
– Tornar a questão pessoal – Os funcionários devem se sentir pessoalmente envolvidos para que a mudança de comportamento seja bem-sucedida e sustentável. Os elementos do programa devem conectar os pontos para enfatizar como as habilidades de segurança cibernética no local de trabalho podem ser aplicadas em casa.

– O poder da marca e da comunicação – Além de uma marca difundida, um programa efetivo deve incluir comunicações contínuas que sejam programadas regularmente e específicas para o evento como, por exemplo, boletins mensais e notificações informativas.

 Medindo o sucesso – Monitorar e reportar o sucesso do programa de gestão de comportamento e comunicação de segurança cibernética são fundamentais para o sucesso e a sustentabilidade do programa.

“Conforme os ataques se tornam mais sofisticados, os riscos à segurança cibernética aumentam. Ao investir no elemento humano da segurança cibernética, as organizações podem promover forças de trabalho que não apenas são mais experientes em segurança cibernética, mas também representam uma extensão crucial da equipe por meio do compromisso em manter a organização segura”, acrescenta Kiessling.

A NBR ISO/IEC 27032 de 06/2015 – Tecnologia da Informação – Técnicas de segurança – Diretrizes para segurança cibernética fornece as diretrizes para melhorar o estado de segurança cibernética, traçando os aspectos típicos desta atividade e suas ramificações em outros domínios de segurança, em especial: a segurança de informação; a segurança de rede; a segurança de internet; e a proteção da infraestrutura crítica de informação (CIIP). Ela abrange as práticas básicas de segurança para as partes interessadas no espaço cibernético. Fornece: uma visão geral de segurança cibernética; uma explicação da relação entre segurança cibernética e outros tipos de segurança; uma definição de parte interessada e descrição de seus papéis na segurança cibernética; uma orientação para abordar as questões comuns de segurança cibernética; e uma estrutura para capacitar as partes interessadas a colaborar na resolução de questões de segurança cibernética.

Os ataques são normalmente lançados dentro da rede privada de uma organização, tipicamente a rede de área local, e podem ser iniciados por funcionários ou alguém que tem acesso a um computador ou rede dentro de uma organização ou instalações individuais. Um caso possível é que os administradores de sistema poderiam aproveitar os privilégios de acesso ao sistema que mantêm, como o acesso à informação de senhas dos usuários, e usar isso para iniciar um ataque.

Por outro lado, os próprios administradores de sistemas podem se tornar o alvo inicial de um ataque, como um meio para o atacante obter informações adicionais (nomes, senha, etc.), antes de prosseguir para o alvo ou alvos pretendidos originalmente. O atacante pode usar mecanismos como software interceptador de pacotes para obter senhas ou outras informações de identidade.

Alternativamente, o atacante pode passar-se por uma entidade autorizada e agir como intermediário (man-in-the-middle) para roubar informações de identidade.

Um exemplo é o uso de pontos de acesso não autorizados (AP) para roubar identidades. Neste caso, o atacante poderia se sentar em um café, aeroporto ou outros locais públicos que oferecem acesso Wi-Fi gratuito à internet. Em alguns casos, o atacante pode até mascarar-se como o legítimo proprietário do ponto de acesso sem fio no local usando o service set identifier (SSID) do local.

Se um usuário acessa esse falso AP, o atacante pode atuar como intermediário (man-in-the-middle) e obter senhas valiosas e/ou informações de identidade do usuário, por exemplo, informações de conta bancária e senha, senha da conta de e-mail, etc. Muitas vezes, é suficiente apenas estar perto de uma rede Wi-Fi não protegida, como sentar-se em um carro do lado de fora de uma casa, para ser capaz de roubar a informação na rede.

Além de ataques lançados por atacantes humanos, computadores infectados por malware também lançam vários ataques a computadores próximos em uma rede privada. Os malwares muitas vezes enviam pacotes de exploração à rede privada para identificar os computadores próximos e, então, tentar explorar os computadores descobertos. Alguns malwares usam o modo promíscuo de uma interface de rede do computador infectado a fim de espionar o tráfego fluente pela rede privada.

Os key loggers são aplicativos de hardware ou software que capturam todas as teclas pressionadas no sistema-alvo. Isso pode ser feito em segredo para monitorar as ações de um usuário. Os key-loggers são frequentemente utilizados para capturar informações de autenticação de páginas de login de aplicativos.

Os controles que os usuários finais e s funcionários podem usar para

proteger seus sistemas contra explorações e ataques conhecidos estão descritos a seguir. O uso de sistemas operacionais suportados com os patches de segurança mais atualizados instalados. Os consumidores organizacionais têm a responsabilidade de estar cientes da política organizacional e seguir em relação a sistemas operacionais suportados.

Os consumidores individuais devem estar cientes do uso de sistemas operacionais recomendados pelo provedor. Em todos os casos, é recomendado que o sistema operacional seja mantido atualizado com vistas aos padrões de segurança.

A utilização dos aplicativos de software suportados mais recentes, com os padrões mais atualizados instalados, é sempre recomendado para todos. Os consumidores organizacionais têm a responsabilidade de estar cientes e seguir a política organizacional em vista de software de aplicativo suportado.

Os consumidores individuais devem estar cientes e usar o software de aplicativo recomendado pelo provedor. Em todos os casos, recomenda-se que o software de aplicativo seja mantido atualizado em relação aos padrões de segurança. Usar ferramentas antivírus e antispyware.

Se possível, um provedor de serviço, como um internet service provider (ISP), deve considerar a parceria com os fornecedores de segurança confiáveis para oferecer essas ferramentas aos usuários finais, como parte do pacote de assinatura de serviço para que os controles de segurança sejam disponibilizados, sob assinatura ou sob renovação. Os consumidores organizacionais têm a responsabilidade de estar cientes da política organizacional em relação ao uso de ferramentas de software de segurança.

Os consumidores individuais devem usar as ferramentas de software de segurança. É recomendado que eles visem o provedor para qualquer software de segurança recomendado, proporcionado ou descontinuado. Em todos os casos, recomenda-se que o software de segurança seja mantido atualizado em vista dos padrões de segurança e bancos de dados de assinatura.

Deve-se implementar salvaguardas apropriadas de antivírus e antispyware. Navegadores e barras de ferramentas mais comuns já incorporaram recursos como bloqueadores de pop-up, que previnem contra sites mal-intencionados exibindo janelas que contêm spyware ou software enganoso que poderiam explorar as fraquezas do sistema ou navegador ou usar a engenharia social para enganar os usuários a baixar e instalá-los em seus sistemas.

É recomendado que as organizações estabeleçam uma política para possibilitar o uso destas ferramentas. As organizações provedoras de serviços devem agregar uma lista de ferramentas recomendadas e que o uso desta seja incentivado para os usuários finais, com orientações sobre a sua habilitação e concessão de permissão para sites que os usuários gostariam de permitir.

Deve-se habilitar o bloqueador de script. Ativar bloqueadores de script ou configuração de mais alto nível de segurança web para garantir que apenas os scripts de fontes confiáveis sejam executados em um computador local. Deve-se usar filtros de phishing. Navegadores web e barras de ferramentas mais comuns muitas vezes incorporam essa capacidade, o que pode determinar se um site que um usuário está visitando é encontrado dentro de um banco de dados de sites conhecidos de phishing, ou contém padrões de escrita que são semelhantes aos típicos sites de phishing.

O navegador forneceria alertas, normalmente sob a forma de destaques codificados por cores, para avisar os usuários sobre o risco potencial. As organizações devem estabelecer uma política para possibilitar o uso desta ferramenta. Deve-se utilizar outras características de segurança disponíveis do navegador web.

De tempos em tempos, com o surgimento de novos riscos para a segurança cibernética, os provedores de navegadores web e barras de ferramentas adicionam novos recursos de segurança para proteger os usuários contra os riscos. Recomenda-se que os usuários finais se mantenham a par destes desenvolvimentos, aprendendo sobre essas atualizações que normalmente são fornecidas pelos provedores de ferramentas.

As organizações e provedores de serviços devem rever igualmente estes novos recursos e atualizar os serviços e políticas respectivas para atender melhor às necessidades de suas organizações e clientes e enfrentar os riscos relacionados à segurança cibernética. Deve-se habilitar o firewall e host-based intrusion detection system (HIDS) pessoal. Eles são importantes ferramentas para controlar os serviços de rede para acessar os sistemas do usuário.

Uma série de sistemas operacionais mais recentes têm incorporado firewall e HIDS pessoal. Enquanto eles são ativados por padrão, os usuários ou aplicativos podem desativá-los, resultando em exposições indesejáveis de segurança de rede. As organizações devem adotar uma política sobre o uso de firewall e HIDS pessoal e avaliar as ferramentas ou produtos adequados para a implementação de modo que seu uso seja ativado por padrão para todos os funcionários.

É recomendado que os provedores de serviços incentivem o uso de funções de firewall e HIDS pessoal e/ou que sugiram de outros produtos de firewall e HIDS pessoal testados e considerados confiáveis, e que eduquem e ajudem os usuários a permitir a segurança básica de rede no nível do sistema do usuário. Deve-se ativar as atualizações automáticas.

Enquanto os controles de segurança técnica descritos são capazes de lidar com a maioria dos softwares enganosos em seus respectivos níveis de funcionamento, eles não são muito eficazes contra a exploração de vulnerabilidades que existem em sistemas operacionais e produtos de aplicativos. Para prevenir tais explorações, deve-se ativar a função de atualização disponível em sistemas operacionais, bem como aquelas prestadas por aplicativos confiáveis aos usuários (por exemplo, produtos antivírus e antispyware considerados confiáveis por terceiros) que devem ser habilitadas para atualizações automáticas. Isto, então, garantiria que os sistemas são atualizados com os últimos padrões de segurança sempre que estiverem disponíveis, fechando o intervalo de tempo para surgirem explorações.

Deve-se ter atenção à cibersegurança para as compras online

De acordo com um estudo do IBM Institute for Business Value de 2021, 80% dos consumidores no Brasil disseram que vão fazer compras nesta temporada e 41% planejam fazê-lo online. Nesse contexto, é particularmente importante ficar vigilante, já que é viável que os cibercriminosos busquem oportunidades para obter informações pessoais, espalhar malware e aproveitar a abundância de dados que são compartilhados durante a agitada temporada de férias. A IBM tem algumas recomendações para se fazer compras online de forma segura:

• Não salve suas informações. Nunca armazene suas informações de cartão de crédito em sites de compras e em navegadores web, especialmente aqueles que você não frequenta.

• Tenha cuidado com os e-mails de rastreamento de pacotes inesperados. É comum que os cibercriminosos usem e-mails de rastreamento de pacotes para instalar malware.

• Sempre use o seu cartão de crédito se você não se sente seguro. Os cartões de crédito estão mais protegidos e se estão comprometidos, não haverá impacto na sua conta principal do banco.

• Não clique nos links se você não estiver absolutamente certo. Você não se lembra de ter pedido alguma coisa? Entre manualmente na sua conta da loja e confira diretamente. Não confie no seu e-mail.

• Utilize um endereço de e-mail diferente para compras. Tenha um endereço de e-mail separado do seu endereço pessoal para comprar ou lidar com sites de compras.

• Seja cauteloso com cupons ou códigos de desconto. Caso seja um e-mail, não clique em nenhum link ou botão. Insira os códigos diretamente no website do varejista para validá-los.

• Use senhas exclusivas para cada loja online. Nunca reutilize as mesmas credenciais em vários sites. Você pode usar um gerenciador de senhas para não ter que memorizá-las.

• Examine as URL ou links das lojas. Você vê um “L” em vez de um “i”? Olhe atentamente para as URL e se você estiver em dúvida, não clique. As marcas de grande reputação têm sites simples e claros.

• Use Autenticação Multifator (MFA). Ainda que alguém tenha acesso à sua senha, o uso do MFA é a última linha de defesa porque acrescenta uma camada extra na qual o usuário mantém o controle.

• Seja criativo com respostas de recuperação de senha. Nunca opte por perguntas cujas respostas possam estar em redes como “o nome da rua em que você cresceu”. Em vez disso, selecione uma questão de opinião como: “qual é o seu filme favorito de todos os tempos”.

Em temas de cibersegurança é bom confiar no instinto: se algo é bom demais para ser verdade, provavelmente não é. Embora seja particularmente importante ser cauteloso durante a temporada porque há um aumento perceptível nas ciberameaças, a conscientização em torno da segurança cibernética deve fazer parte da rotina diária porque os cibercriminosos estão procurando capitalizar as oportunidades para executar ataques o ano todo. A melhor proteção é conhecer as ameaças e implementar hábitos digitais inteligentes.

Os conceitos normativos para a governança da segurança da informação

Em sua nova edição, a NBR ISO/IEC 27014 de 09/2021 – Segurança da informação, segurança cibernética e proteção da privacidade – Governança da segurança da informação fornece orientação sobre conceitos, objetivos e processos para a governança da segurança da informação pela qual as organizações podem avaliar, direcionar, monitorar e comunicar as atividades relacionadas à segurança da informação dentro da organização. O público-alvo é o órgão diretivo e Alta Direção; aqueles que são responsáveis por avaliar, direcionar e monitorar um sistema de gestão da segurança da informação (SGSI) com base na NBR ISO/IEC 27001:2013; os responsáveis pela gestão da segurança da informação que ocorre fora do escopo de um SGSI com base na NBR ISO/IEC 27001:2013, mas dentro do escopo da governança.

Este documento é aplicável a todos os tipos e tamanhos de organizações. Todas as referências a um SGSI neste documento se aplicam a um SGSI com base na NBR ISO/IEC 27001:2013. Ele tem foco nos três tipos de organizações SGSI apresentados no Anexo B. Entretanto, pode também ser utilizado por outros tipos de organizações.

Confira algumas perguntas relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Como se deve assegurar a conformidade com os requisitos internos e externos?

Como monitorar o processo de governança?

O que significa comunicar o processo de governança bidirecional?

Quais são os requisitos do órgão diretivo sobre sistema de gestão de segurança da informação (SGSI)?

A segurança da informação é uma questão-chave para as organizações, amplificada por rápidos avanços em metodologias e tecnologias de ataque, e com correspondente aumento por pressões regulatórias. A falha de controles de segurança da informação de uma organização pode ter muitos impactos adversos na organização e em suas partes interessadas incluindo, mas não limitado à perda de confiança.

A governança da segurança da informação é a utilização de recursos para assegurar a implementação efetiva de segurança da informação, fornecendo garantia de que as diretivas a respeito de segurança da informação são seguidas; e o órgão diretivo recebe relatórios confiáveis e relevantes sobre as atividades relacionadas à segurança da informação. Isso auxilia o órgão diretivo a tomar decisões a respeito de objetivos estratégicos para a organização, ao fornecer informação sobre segurança da informação que pode afetar esses objetivos.

Também garante que a estratégia de segurança da informação esteja alinhada com os objetivos gerais da entidade. Os gestores e outros que trabalhem nas organizações precisam entender: os requisitos de governança que afetam seu trabalho; e como cumprir requisitos de governança que requerem deles uma ação.

Este documento descreve como a governança da segurança da informação opera dentro de um SGSI, com base na NBR ISO/IEC 27001, e como essas atividades podem se relacionar com outras atividades de governança que operam fora do escopo de um SGSI. Ele destaca quatro processos principais de avaliar, direcionar, monitorar e comunicar nos quais um SGSI pode ser estruturado dentro de uma organização e sugere abordagens para integrar a governança da segurança da informação nas atividades de governança organizacional em cada um desses processos.

Finalmente, o Anexo A descreve as relações entre governança organizacional, governança da tecnologia da informação e governança da segurança da informação. O SGSI cobre toda a organização, por definição (ver ISO/IEC 27000). Ele pode abranger toda a entidade ou parte dela.

A governança da segurança da informação é o meio pelo qual o órgão diretivo de uma organização fornece a orientação geral e controle das atividades que afetam a segurança das informações de uma organização. Essa direção e esse controle se concentram nas circunstâncias em que uma segurança da informação inadequada pode afetar adversamente a capacidade da organização de atingir seus objetivos gerais.

É comum que um órgão diretivo atinja seus objetivos de governança por meio de: fornecimento de orientação através do estabelecimento de estratégias e políticas; monitoramento do desempenho da organização; e a avaliação das propostas e planos desenvolvidos pelos gestores. A gestão da segurança da informação está associada à garantia do cumprimento dos objetivos da organização descritos nas estratégias e políticas estabelecidas pelo órgão diretivo.

Isso pode incluir a interação com o órgão diretivo por meio de: fornecimento de propostas e planos para consideração do órgão diretivo; e o fornecimento de informações ao órgão diretivo sobre o desempenho da organização. A governança eficaz da segurança da informação requer que tanto os membros do órgão diretivo quanto os gestores cumpram suas respectivas funções de maneira consistente. A NBR ISO/IEC 27001 especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão da segurança da informação no contexto de uma organização.

Também inclui requisitos para avaliação e tratamento de riscos de segurança da informação ajustados às necessidades da organização. A NBR ISO/IEC 27001 não usa o termo governança, mas especifica uma série de requisitos que são atividades de governança. A lista a seguir fornece exemplos dessas atividades. As referências à organização e à Alta Direção são, conforme observado anteriormente, associadas ao escopo de um SGSI com base na NBR ISO/IEC 27001.

Existem muitas áreas de governança em uma entidade, incluindo segurança da informação, tecnologia da informação, saúde e segurança, qualidade e finanças. Cada área de governança é um componente dos objetivos gerais de governança de uma entidade e, portanto, convém que esteja alinhada com a disciplina da entidade. Os escopos dos modelos de governança às vezes se sobrepõem.

Um SGSI se concentra na gestão de riscos relacionados à informação. Não aborda diretamente as questões como lucratividade, aquisição, uso e realização de ativos, ou a eficiência de outros processos, embora convenha que apoie quaisquer objetivos organizacionais nessas questões. Para estabelecer a segurança da informação abrangente e integrada em toda a entidade, a governança da segurança da informação deve assegurar que os objetivos da segurança da informação sejam abrangentes e integrados.

Convém que a segurança da informação seja tratada em nível de entidade, com a tomada de decisão levando em consideração as prioridades da entidade. Convém que as atividades relacionadas à segurança física e lógica sejam coordenadas de perto. Isso não requer, no entanto, um único conjunto de medidas de segurança ou um único sistema de gestão da segurança da informação (SGSI) em toda a entidade.

Para garantir a segurança da informação em toda a entidade, convém que a responsabilidade e a responsabilização pela segurança da informação sejam estabelecidas em toda a extensão das atividades de uma entidade. Isto pode se estender além das fronteiras geralmente percebidas de uma entidade, por exemplo, para incluir as informações armazenadas ou transferidas por entidades externas.

Para a tomar as decisões usando uma abordagem baseada em risco, convém que a governança da segurança da informação seja baseada em obrigações de compliance e também em decisões baseadas em risco específicas da entidade. Convém que a determinação de quanta segurança é aceitável seja baseada no apetite de risco de uma entidade, incluindo perda de vantagem competitiva, riscos de compliance e de obrigação legal, interrupções operacionais, danos à reputação e perda financeira.

Convém que a gestão de riscos de segurança da informação seja consistente em toda a entidade e inclua considerações sobre os impactos financeiros, operacionais e reputacionais adversos de violações e de não compliance. Além disso, convém que a gestão de riscos de segurança da informação seja integrada com a abordagem de gestão de riscos geral da entidade, a fim de que não seja feita isoladamente e não cause confusão, por exemplo, mapear para a metodologia da entidade ou capturar informação estratégica de riscos no registro de risco da entidade.

Convém que recursos apropriados para implementar a gestão de riscos de informação sejam alocados como parte do processo de governança da segurança. Para definir o direcionamento de aquisições, o impacto do risco de segurança da informação deve ser avaliado de forma adequada ao empreender novas atividades, incluindo, mas não se limitando a, qualquer investimento, compra, fusão, adoção de nova tecnologia, acordos de terceirização e contrato com fornecedores externos.

A fim de otimizar a aquisição de segurança da informação para apoiar os objetivos da entidade, convém que o órgão diretivo garanta que a segurança da informação seja integrada aos processos existentes da entidade, incluindo gerenciamento de projetos, aquisições, despesas financeiras, compliance legal e regulatório e gestão de riscos estratégicos. Convém que a Alta Direção de cada SGSI estabeleça uma estratégia de segurança da informação com base nos objetivos organizacionais, garantindo a harmonização entre os requisitos da entidade e os requisitos de segurança da informação organizacional, atendendo, assim, às necessidades atuais e em evolução das partes interessadas. O órgão diretivo dentro de uma entidade realiza os processos de avaliar, direcionar, monitorar e comunicar. A figura abaixo mostra a relação entre esses processos.

A definição de organização assume que a Alta Direção está sempre totalmente envolvida na operação da organização. Uma entidade pode ter mais de um SGSI e pode haver partes de uma entidade, às quais se aplica a governança, que não fazem parte de um SGSI. Pode-se dizer que avaliar é o processo de governança que considera a realização atual e prevista dos objetivos com base nos processos atuais e nas mudanças planejadas, e determina onde quaisquer ajustes são necessários para otimizar a realização dos objetivos estratégicos futuros.

Para executar o processo de avaliar, convém que o órgão diretivo da entidade: assegure que as iniciativas levem em consideração os riscos e as oportunidades pertinentes; responda às medições e aos relatórios de segurança da informação e do SGSI, especificando e priorizando objetivos no contexto de cada SGSI (o que inclui a consideração dos requisitos de fora do escopo do SGSI); e convém que a Alta Direção de cada SGSI: assegure que a segurança da informação apoie e sustente adequadamente os objetivos da entidade; submeta à aprovação do órgão diretivo novos projetos de segurança da informação com impacto significativo.

Direcionar é o processo de governança pelo qual o órgão diretivo dá orientação sobre os objetivos e a estratégia da entidade. Direcionar pode incluir mudanças nos níveis de recursos, alocação de recursos, priorização de atividades, aprovações de políticas, aceitação de riscos materiais e planos de gerenciamento de riscos.

Para executar o processo direcionar, convém que o órgão diretivo: estabeleça a direção estratégica geral e os objetivos da entidade; estabeleça o apetite de risco da entidade; aprove a estratégia de segurança da informação; e convém que a Alta Direção de cada SGSI: aloque investimentos e recursos adequados; alinhe os objetivos de segurança da informação organizacional com os objetivos da entidade; aloque funções e responsabilidades para segurança da informação; e estabeleça uma política de segurança da informação.

REVISTA DIGITAL ADNORMAS – Edição 177 | Ano 4 | 23 Setembro 2021

Acesse a versão online: https://revistaadnormas.com.br       Revista AdNormas - Ed 177 Ano 4
Edição 177 | Ano 4 | 23 Setembro 2021
ISSN: 2595-3362 Acessar edição
Capa da edição atual
Confira os 12 artigos desta edição:
A gestão dos sistemas de informação de serviços de pagamento de terceiros
A certificação para os prestadores de serviços da indústria petroquímica
A jornada da liderança humanizada
A proteção contra incêndio por chuveiros automáticos para áreas de armazenamento
A gestão das boas práticas de combate à degradação da terra e desertificação
O desempenho de reação ao fogo de produtos à base de PVC em edificações
Target Adnormas
Qualidade de vida: como envelhecer de maneira saudável
Análise dos sistemas completos: mecânicos, elétricos, eletrônicos e software
A segurança das máquinas serra de fita para metais
A manutenção, a inspeção e o descarte dos cabos de fibras
A economia que vem do Sol
A conformidade dos recipientes de 16 kg e 20 kg de GLP para empilhadeiras

API STD 1164: a segurança cibernética de sistemas de controle de dutos

A API STD 1164:2021 – Pipeline Control Systems Cybersecurity fornece os requisitos e a orientação para o gerenciamento de risco cibernético associado a ambientes de automação e controle industrial (industrial automation and control – IAC) para atingir os objetivos de segurança, integridade e resiliência. Dentro dessa norma, isso é realizado por meio do isolamento adequado de ambientes IAC para ajudar na sua continuidade operacional.

Mesmo com o isolamento adequado dos ambientes IAC dos ambientes de TI, ambos desempenham um papel na continuidade geral dos negócios. A continuidade operacional do IAC e a continuidade do sistema de TI são frequentemente desenvolvidas e implementadas em conjunto como parte do plano geral de continuidade de negócios.

O escopo desta norma é limitado apenas aos aspectos de segurança cibernética da IAC que podem influenciar a continuidade geral dos negócios. Ela foi feita sob medida para a indústria de dutos de petróleo e gás natural (oil and natural gas – ONG), que inclui, mas não está limitado a sistemas de dutos de transmissão de gás natural e líquidos perigosos, sistemas de dutos de distribuição de gás natural, instalações de gás natural liquefeito (GNL), instalações de ar propano e outros envolvidos nessas indústrias.

Essa norma foi desenvolvida para fornecer uma abordagem acionável para proteger as funções essenciais do IAC, gerenciando o risco de segurança cibernética para os ambientes IAC. Isso pode incluir, mas não estão limitados a soluções de controle de supervisão e aquisição de dados (Scada), controle local e internet das coisas industriais (IIoT).

A norma deve ser usada no contexto de desenvolvimento, implementação, manutenção e melhoria de um programa de segurança cibernética do IAC, que inclui as políticas, processos, e controles de procedimentos e técnicos para ambientes cibernéticos IAC. Trata-se de um conjunto de requisitos que deve ser customizado antes da implementação usando os processos de gerenciamento de riscos da empresa.

O resultado é um conjunto de requisitos personalizados e específicos da empresa para um programa de segurança cibernética IAC a fim de ajudar a gerenciar a postura de segurança cibernética e qualquer risco residual resultante para seus ambientes IAC em alinhamento com a missão, objetivos e estratégia de risco da empresa, e de acordo com as suas políticas e procedimentos. Embora a identificação de ameaças e impactos seja crítica para o desenvolvimento do programa de segurança cibernética do IAC, uma avaliação baseada no risco de cada um garantirá que o programa seja implementado, executado e sustentado de forma adequada, de acordo com a postura de risco desejada pela organização.

Essa norma se concentra nos resultados de segurança cibernética desejados, definindo requisitos para níveis de proteção de impacto de objetivos de negócios específicos. Embora os princípios definidos nesta norma possam ser aplicados a sistemas instrumentados de segurança (safety instrumented systems – SIS), eles estão fora do escopo deste documento.

Os requisitos de segurança especificados nesta norma não tentam abordar os impactos potenciais para a seleção ou determinação do nível de integridade de segurança (safety integrity level – SIL) do SIS. Qualquer uso desta norma em ambientes SIS fica por conta e risco do implementador. Para as empresas que já têm um programa de segurança cibernética IAC, incluindo uma ou mais políticas de programa aprovadas e um plano ou planos de segurança cibernética IAC documentados implementados ou em implementação, esta norma deve ser considerada um acréscimo aos elementos existentes do programa de segurança cibernética.

Nessas situações, um processo de mapeamento desta norma para os elementos atuais do programa de segurança cibernética da IAC determinará quaisquer requisitos da API 1164 que não estejam atualmente no programa existente. A implementação de quaisquer elementos ausentes deve ser adaptada e priorizada usando os processos de gerenciamento de risco da empresa. O processo de adaptação para os requisitos de segurança cibernética API 1164 é descrito em 5.5.

Conteúdo da norma

1 Escopo. . . . . .. . . . . . . . . . . 1

1.1 Objetivo. . . .. . . . . . . . . . . 1

1.2 Público-alvo. . . . . . . . . . . . 2

1.3 Como ler esta norma . . . . . . . 2

2 Referências normativas. . . . . . . 4

3 Termos, definições, acrônimos e abreviações. .  . . . 4

3.1 Termos e definições. . .. . . . . . . . . . . . . . . . 4

3.2 Siglas. . . . . . . . . . . . . . . . . . . . . . 9

4 Perfis de cibersegurança de dutos IAC de ONG. .  . . 10

4.1 Introdução ao perfil de cibersegurança IAC. …. . 10

4.2 Perfil de segurança cibernética da IAC – restrições comuns………..10

4.3 Perfil de segurança cibernética da IAC – objetivos da proteção contra ameaças. . . . . . . . . . . . . 11

4.4 Perfil de segurança cibernética da IAC – objetivos de missão e negócios. . . . . . . . . . . . . 12

4.5 IAC: perfil de segurança cibernética – objetivos e impacto no mapeamento de proteção contra ameaças. . .  . 13

5 Política, plano e programa de segurança cibernética da ONG e IAC. . . . . . . . . . . . . . . 13

5.1 Plano de desenvolvimento de segurança cibernética da IAC. . . . . . . . . . . . . . . . . . . . . 15

5.2 IAC: plano de segurança cibernética – gerenciamento de risco. . . . .. . . . . . . . 15

5.3 Plano de segurança cibernética da IAC – operacionalizando um programa de segurança cibernética . . . . . . 17

5.4 Perfis de segurança cibernética de seleção de planos de segurança cibernética da IAC. . . . . . . . . . . 18

5.5 Requisitos de perfil selecionado de personalização do plano de segurança cibernética da IAC. . . . . 27

6 ONG IAC: requisitos do perfil de cibersegurança – requirements identify (ID). . . . . . . . 28

6.1 Governança (ID.GV). .. . . . . . . . . 28

6.2 Estratégia de gerenciamento de risco (ID.RM). . 32

6.3 Ambiente de negócios (ID.BE). . . . . . . . . . . . 35

6.4 Gestão de riscos da cadeia de suprimentos (ID.SC)… . 39

6.5 Avaliação de Risco IAC (ID.RA). . . . . . . . . 42

6.6 Gerenciamento de ativos (ID.AM). . . . . . . 49

7 ONG IAC: perfil de cibersegurança – profiles protect (PR)….55

7.1 Controle de acesso (PR.AC). . .  . . . . . 56

7.2 IAC Conscientização e treinamento em segurança cibernética (PR.AT). . . . . . . . . . . . 63

7.3 Segurança de dados (PR.DS).. . . . . . . . 67

7.4 Processos e procedimentos de proteção da informação (PR.IP). . . . . . . . . . . . . . . . 75

7.5 Manutenção (PR.MA). .. . . . . . . . . . . . . 89

7.6 Tecnologia de proteção (PR.PT). . .. . . . . . . . . 92

8 ONG IAC: requisitos do perfil de cibersegurança (detecção – DE). . . .  . . . . . . . . . . . . . 97

8.1 Anomalias e eventos (DE.AE). . .. . . . . . 97

8.2 Monitoramento contínuo de segurança (DE.CM). . .. 100

8.3 Processos de detecção (DE.DP). .. . . . . . . . . . . 106

9 ONG IAC: perfil de cibersegurança dos requisitos de respostas (RS). .  . . . . . . . . . . . . . . 110

9.1 Planejamento de Resposta (RS.RP). . . . . . . . 110

9.2 Comunicações (RS.CO). . .. . . . . . . . . 111

9.3 Análise (RS.AN).. . . . . . . . . . . . . . 114

9.4 Mitigação (RS.MI). . . . . . . . . . . . . . . . 118

9.5 Melhorias (RS.IM). . . . . . . . . . . . . . . . 120

10 ONG IAC: perfil de cibersegurança dos requisitos de recuperação (RC). . . . . . . . . . . . 122

10.1 Planejamento de Recuperação (RC.RP). . . 122

10.2 Melhorias (RC.IM). . . . . . . . . . . . . . . . 122

10.3 Comunicações (RC.CO). .  . . . . . . . . . 124

Anexo A (informativo) Construção e mapeamento da norma API 1164. . . . . .  . . . . . . . 126

Anexo B (informativo) Modelo Plan-Do-Check-Act.  . 129

Anexo C (informativo) Ações recorrentes. . . . . . . . . 131

Bibliografia. . .. . . . . . . . . . . . . . . . . . . . . . . . . . 132

Em resumo, a infraestrutura de dutos – composta por milhares de empresas e mais de 2,7 milhões de quilômetros de dutos responsáveis pelo transporte de petróleo, gás natural e outras commodities – é um facilitador fundamental da segurança econômica mundial. Como os proprietários e os operadores de dutos estão cada vez mais confiando na integração de tecnologias de informação e comunicação (TIC) em tecnologia da informação (TI) e tecnologia operacional (TO) para conduzir a automação, eles também devem implementar medidas de segurança para proteger os dutos de riscos cibernéticos em evolução e emergentes. A integração de dispositivos de TIC em sistemas de dutos críticos cria uma vulnerabilidade que os hackers cibernéticos podem explorar.

A gestão dos incidentes de segurança da informação

]

A NBR ISO/IEC 27035-3 de 07/2021 – Tecnologia da informação – Gestão de incidentes de segurança da informação – Parte 3: Diretrizes para operações de resposta a incidentes de TIC fornece as diretrizes para resposta a incidentes de segurança da informação em operações de tecnologia, informação e comunicação (TIC). Este documento faz isso abrangendo, em primeiro lugar, os aspectos operacionais da segurança de TIC em uma perspectiva de pessoas, processos e tecnologia. Em seguida, concentra-se ainda mais na resposta de incidente de segurança da informação em operações de TIC, incluindo detecção de incidentes de segurança da informação, relatórios, triagem, análise, resposta, contenção, erradicação, recuperação e conclusão.

Este documento não trata de operações de resposta a incidentes que não sejam de TIC, como perda de documentos em papel. É baseado na fase Detecção e geração de relatórios, na fase Avaliação e decisão e na fase Respostas do modelo Fases de gestão de incidentes de segurança da informação apresentado na ISO/IEC 27035-1:2016. Os princípios fornecidos neste documento são genéricos e pretendem ser aplicáveis a todas as organizações, independentemente do tipo, porte ou natureza. As organizações podem ajustar as disposições fornecidas neste documento de acordo com seu tipo, porte e natureza dos negócios em relação à situação de risco à segurança da informação. Também é aplicável às organizações externas que fornecem serviços de gestão de incidentes de segurança da informação.

Acesse algumas indagações relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Como deve ser executado o monitoramento e a detecção dos incidentes?

Como deve ser feita a validação de dados de fonte externa?

Quais são as fases da notificação e do relatório de incidente interno?

Quais são as operações de triagem de incidentes?

Um incidente de segurança da informação pode ou não envolver TIC. Por exemplo, informações que se espalham involuntariamente por meio da perda de documentos em papel podem muito bem ser um incidente grave de segurança da informação, o que requer relatórios, investigações, contenções, ações corretivas e envolvimento da direção. Este tipo de gestão de incidentes geralmente é realizado, por exemplo, pelo CISO (Chief Information Security Officer) dentro da organização.

As orientações sobre a gestão de incidentes de segurança da informação podem ser encontradas na ISO/IEC 27035-1. Este documento, entretanto, considera apenas operações de resposta a incidentes relacionados à TIC, e não a incidentes de segurança da informação relacionados aos documentos em papel ou quaisquer outros incidentes não relacionados à TIC.

Sempre que o termo segurança da informação é usado neste documento, isso é feito no contexto da segurança da informação relacionada às TIC. As estruturas organizacionais para segurança da informação variam de acordo com o porte e o campo comercial das organizações. À medida que vários e numerosos incidentes ocorrem e estão aumentando (como incidentes na rede, por exemplo, intrusões, violações de dados e hackers), preocupações maiores com a segurança da informação são levantadas pelas organizações.

Convém que um ambiente seguro de TIC, configurado para suportar vários tipos de ataques (como DoS, worms e vírus) com equipamentos de segurança de rede, como firewalls, sistemas de detecção de intrusões (IDS) e sistemas de prevenção de intrusões (IPS), seja complementado com procedimentos operacionais claros para tratamento de incidentes, juntamente com estruturas de relatórios bem definidas dentro da organização.

Para assegurar a confidencialidade, a integridade e a disponibilidade da informação e para lidar eficientemente com incidentes, são necessários recursos para realizar operações de resposta a incidentes. Para este fim, convém que uma equipe de resposta a incidentes de segurança de computadores (ERISC) seja estabelecida para executar tarefas como atividades de monitoramento, detecção, análise e resposta para dados coletados ou eventos de segurança.

Estas tarefas podem ser auxiliadas por ferramentas e técnicas de inteligência artificial. Este documento suporta os controles da NBR ISO/IEC 27001:2013, Anexo A, relacionados à gestão de incidentes.

Nem todas as etapas deste documento são aplicáveis, pois dependem do incidente específico. Por exemplo, uma organização menor pode não usar todas as orientações deste documento, mas elas podem ser úteis para a organização de suas operações de incidentes relacionadas às TIC, especialmente se estiver operando o seu próprio ambiente de TIC.

Também podem ser úteis para as organizações menores que terceirizaram suas operações de TI para entender melhor os requisitos e a execução de operações de incidentes que convém que eles esperem de seus fornecedores de TIC. Este documento é particularmente útil para aquelas organizações que fornecem serviços de TIC que envolvem interações entre organizações de operações de incidentes, a fim de seguir os mesmos processos e termos.

Este documento também fornece uma melhor compreensão de como as operações de incidentes se relacionam com os usuários/clientes, a fim de determinar quando e como convém que essa interação ocorra, mesmo que isso não seja especificado. A ISO/IEC 27035-1:2016 abrange as cinco fases principais a seguir para a gestão de incidentes de segurança da informação: planejamento e preparação; detecção e geração de relatórios; avaliação e decisão; respostas; e lições aprendidas.

A ISO/IEC 27035-2:2016 abrange duas dessas cinco fases em detalhes, isto é, planejamento e preparação e lições aprendidas. Este documento abrange as três fases restantes em detalhes. Estas três fases restantes são coletivamente chamadas de operações de resposta a incidentes, que são o foco deste documento.

As disposições deste documento são baseadas nas fases detecção geração de relatórios, avaliação e decisão e respostas do modelo fases de gestão de incidentes de segurança da informação, apresentadas na ISO/IEC 27035-1. Coletivamente, estas fases são conhecidas como processo de operação de resposta a incidentes.

As fases do processo de operação de resposta a incidentes (que são detecção e geração de relatórios, avaliação e decisão e respostas, conforme estipulado na ISO/IEC 27035-1) incluem o seguinte: operações para identificação de incidentes; operações para avaliação e qualificação de incidentes; operações para coleta de inteligência de ameaças; operações para contenção, erradicação e recuperação de incidentes; operações para análise de incidentes; operações para geração de relatórios de incidentes.

O escopo da resposta a incidentes é determinado na ISO/IEC 27035-1. Convém que as operações de resposta a incidentes sejam vistas como um processo de negócios que permite que uma organização permaneça nos negócios. Especificamente, um processo de operação de resposta a incidentes é uma coleção de procedimentos destinados a identificar, responder e investigar possíveis incidentes de segurança de uma maneira que minimize o seu impacto e apoie a recuperação rápida.

A ISO/IEC 27035–1 mostra as cinco fases da gestão de incidentes de segurança da informação, como planejamento e preparação, detecção e geração de relatório, avaliação e decisão, respostas e lições aprendidas. Como mencionado anteriormente, este documento se concentra em um processo de operação de resposta a incidentes. Este processo pode ser caracterizado por um ciclo de vida de operações de resposta a incidentes, representado pelas fases internas (detecção, notificação, triagem, análise, resposta e geração de relatórios). Estas são representadas com mais detalhes na figura abaixo.

O ciclo de vida das operações de resposta a incidentes (detecção, notificação, triagem, análise, resposta e geração de relatório) pode ser mapeado para a ISO/IEC 27035-1, em cinco fases da gestão de incidentes de segurança da informação (planejamento e preparação, detecção e geração de relatórios, avaliação e decisão, respostas e lições aprendidas), conforme mostrado na tabela abaixo.

Os incidentes podem ocorrer de várias maneiras, e não é prático definir todos os incidentes e preparar o manual de resposta para cada tipo de incidente. Entretanto, existem tipos/fontes de ataque comuns que uma organização geralmente encontra e, portanto, convém que esteja preparada para lidar com esses ataques com eficiência.

Convém que os critérios sejam definidos para incidentes de segurança, de acordo com a importância (prioridade) das informações e sistemas de informação, impacto de cada incidente, escala de danos, classificação de alarmes e sua gravidade. Ver Anexo A para exemplos destes critérios.

A seguir, é apresentada uma lista não exaustiva de tipos/estímulos comuns de ataque que podem ser usados como base para definir procedimentos de tratamento de incidentes: mídia externa/removível: um ataque executado a partir de mídia removível (por exemplo, pen drive, CD) ou de um dispositivo periférico; atrito: um ataque que emprega métodos de força bruta para comprometer, degradar ou destruir sistemas, redes de relacionamento ou serviços (por exemplo, um DDoS destinado a prejudicar ou negar o acesso a um serviço ou aplicativo; um ataque de força bruta contra um mecanismo de autenticação, como senhas, CAPTCHAS ou assinaturas digitais); web: um ataque executado a partir de um website ou aplicativo baseado na web (por exemplo, um ataque de script entre sites usados para roubar credenciais ou redirecionar para um site que explore a vulnerabilidade do navegador e instale malware); e-mail: um ataque executado por meio de uma mensagem ou anexo de e-mail (por exemplo, código de exploração disfarçado de documento anexado ou um link para um site mal-intencionado no corpo de uma mensagem de e-mail).

Também inclui a interdição da cadeia de suprimentos: ataque antagônico aos ativos de hardware ou software que utilizam implantes físicos, cavalos de Troia ou backdoors, interceptando e modificando um ativo em trânsito pelo fornecedor ou varejista; representação: um ataque envolvendo a substituição de algo benigno por algo malicioso (por exemplo, falsificação, ataques intermediários, pontos de acesso sem fio não autorizados e ataques de injeção de SQL, todos envolvendo representação); uso impróprio: qualquer incidente resultante da violação das políticas de uso aceitável de uma organização por um usuário autorizado, excluindo as categorias acima (por exemplo, um usuário instala um software de compartilhamento de arquivos, levando à perda de dados confidenciais; ou um usuário executa atividades ilegais em um sistema); perda ou roubo de equipamento: a perda ou roubo de um dispositivo ou mídia de computação usado pela organização, como laptop, smartphone ou token de autenticação; outros: um ataque que não se encaixe em qualquer dessas categorias.

Ver o NIST Computer Security Incident Handling Guide 1 para obter mais diretrizes de classificação de incidentes e vetores de ataque. Um incidente compreende um ou vários eventos de segurança da informação relacionados que podem prejudicar os ativos de uma organização ou comprometer as suas operações, onde um evento de segurança da informação compreende uma ou várias ocorrências indicando uma possível violação ou falha dos controles de segurança da informação.

As operações de detecção de incidentes requerem que haja um ponto de contato (PoC) para receber informações e uma metodologia estabelecida para a equipe detectar eventos de segurança da informação. A detecção é importante porque inicia as operações de resposta a incidentes. O PoC é o papel ou a função organizacional que serve como o coordenador ou ponto focal das atividades da operação de incidentes.

Um evento de segurança da informação é relatado pelo Usuário/Fonte de alguma maneira, conforme mostrado na ISO/IEC 27035-1:2016, Figura 4. O principal objetivo do PoC é assegurar que um evento seja relatado o mais rápido possível à organização, para que o evento possa ser tratado com eficiência. Um fator crítico de sucesso é que o PoC possui as habilidades necessárias para determinar se um evento é realmente um evento relacionado à TIC e se o PoC é capaz de descrever o evento.

Convém que o evento então seja tratado posteriormente por um PoC e depois transferido para as operações de resposta a incidentes. A organização de um PoC pode ser diferente, dependendo do tamanho e da estrutura da organização, bem como da natureza dos negócios. Isso pode afetar como as operações de incidentes são informadas sobre o evento.

O conteúdo e a estrutura dos avisos de privacidade online

A NBR ISO/IEC 29184 de 06/2021 – Tecnologia da informação – Avisos de privacidade online e consentimento especifica os controles que formatam o conteúdo e a estrutura dos avisos de privacidade online, bem como o processo de solicitação de consentimento para coletar e tratar dados pessoais (DP) de titulares de DP. Este documento é aplicável em qualquer contexto online onde um controlador de DP ou qualquer outra entidade tratando DP informa os titulares de DP sobre o tratamento.

Acesse algumas questões relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Como deve ser feito o fornecimento de informações sobre qual conta o titular de DP está usando?

Qual deve ser o consentimento separado para elementos necessários e opcionais de DP?

Quando a organização deve obter a renovação do consentimento?

Como deve ser feita a identificação de qual conta o titular de DP está usando?

A maior disponibilidade de infraestruturas de comunicação, como conexões de banda larga residenciais e a internet global, o crescimento no uso de smartphones e outros dispositivos (por exemplo, wearables technologies) que coletam detalhes das atividades dos indivíduos e as melhorias na capacidade de tratamento de informações permitiram um alcance muito mais amplo de coleta e análise de informações pessoais. Essas melhorias tecnológicas oferecem uma melhor perspectiva de vida mais conveniente para o consumidor, novas oportunidades de negócios, serviços mais atraentes e mais valor agregado.

Por outro lado, os consumidores estão cada vez mais cientes da privacidade e questionam o impacto da privacidade da coleta e uso de dados pessoais (DP) por serviços online. Essa crítica geralmente é relacionada à falta de uma explicação clara de como seus DP são tratados, armazenados, mantidos e gerenciados.

Este documento especifica controles e informações adicionais associadas para as organizações: fornecerem a base para a apresentação de informações claras e de fácil compreensão para indivíduos cujos DP são coletados, sobre como a organização trata seus DP (por exemplo, ao fornecer serviços a consumidores ou em uma relação de trabalho); e obterem o consentimento dos titulares de DP de maneira justa, demonstrável, transparente, inequívoca e revogável (retirável). O objetivo geral é permitir que os titulares de DP compreendam e ajam de acordo com as implicações dos tratamentos de DP, como a probabilidade e severidade de qualquer potencial impacto que o tratamento possa ter, assim como as consequências diretas e/ou indiretas do tratamento.

As organizações que desejarem demonstrar conformidade com este documento devem registrar para cada controle da Seção 5: se o controle se aplica; quando houver razões que possam justificar a não aplicação do controle, que a justificativa seja documentada e validada; como a implementação do controle é verificada e validada. Providenciar avisos onde for necessário, em uma linguagem apropriada para os titulares de DP, em um momento que permita que os titulares de DP exerçam de forma consciente o consentimento, em locais onde sejam facilmente reconhecidos pelos titulares de DP, e com referências que forneçam acesso a material suplementar, incluindo avisos prévios e suas respostas.

Assim, a organização deve identificar situações em que o fornecimento de aviso seja necessário e deve fornecer aviso aos titulares de DP sempre que necessário. O aviso deve fornecer a todas as partes interessadas, incluindo de fora da organização, as práticas de privacidade da organização, bem como outras informações relevantes, como detalhes de contato, incluindo a identidade e o endereço do controlador de DP, e pontos de contato dos quais titulares de DP possam obter informações adicionais (ver Anexo A).

Exibir um aviso visual é uma forma de fornecer aviso. Para acessibilidade, leitores automatizados de tela para avisos visuais ou avisos diretamente audíveis podem ser apropriados para auxiliar os deficientes visuais. Outras formas de aviso também podem ser apropriadas. Convém que a organização forneça um aviso aos titulares de DP.

O aviso pode ser necessário, entre outras situações, quando a organização planeja coletar novos DP (do titular de DP ou de outra fonte) ou quando planeja usar DP já coletados para novas finalidades. A organização deve fornecer o aviso de uma forma que seja clara e fácil de entender para os titulares de DP visados. O aviso deve ser facilmente legível e em uma linguagem concisa que uma pessoa sem qualquer formação jurídica ou técnica possa razoavelmente compreender.

O aviso deve ser redigido de acordo com as categorias ou tipos particulares de titulares de DP (por exemplo, subgrupos sociais desfavorecidos). A organização deve fornecer a notificação no (s) idioma (s) de acordo com as expectativas de idioma do titular visado. Por exemplo, a organização pode apresentar ao titular de DP uma lista de idiomas suportados exibidos nos respectivos idiomas e permitir que o titular de DP escolha o idioma. Exibir o nome de cada idioma no próprio idioma é importante, pois o titular de DP pode não ser capaz de reconhecê-lo se for apresentado em outro idioma.

Um navegador da web tem uma configuração de preferência para um idioma preferido e pode ser usado para essa finalidade. No entanto, pode não ser uma boa ideia depender exclusivamente da preferência de idioma do navegador, já que o titular de DP pode estar usando um computador compartilhado.

A organização deve determinar e documentar o momento apropriado (por exemplo, imediatamente antes de coletar os DP) para fornecer aviso aos titulares de DP quando a atividade em questão for relevante para os interesses de privacidade dos titulares de DP. Quando uma organização fornece um aviso ao titular de DP e, então, coleta os DP posteriormente, incluindo casos em que os dados são coletados de outra fonte, o momento do aviso e a coleta de DP podem diferir significativamente.

A organização deve avisar onde o uso de DP pode ter efeitos inesperados ou significativos sobre os titulares de DP. Se uma organização pretende coletar DP adicionais, convém que ela forneça um aviso adicional. A organização deve fornecer avisos de maneira apropriada para o produto ou serviço em questão, de forma que os titulares de DP possam encontrar e acessar os avisos eletronicamente e facilmente, inclusive em locais online.

Os locais online apropriados podem incluir, sem se limitar a, links nas páginas iniciais da organização em seus websites ou na página de destino, a página inicial de aplicativos móveis, formulários online ou em portais de captura. Em alguns casos, os DP podem ser tratados sem interação prévia com o titular de DP.

Do ponto de vista dos titulares de DP, seria muito difícil até mesmo descobrir quem está tratando seus dados e, portanto, não ajuda postar o aviso de privacidade apenas no site da organização. É útil ter um lugar onde um titular de DP possa ir e obter os avisos de privacidade destas organizações.

Assim, quando aplicável e viável, convém que a organização considere o uso de um repositório comum acessível ao público, onde as partes interessadas possam facilmente encontrar e acessar os avisos relevantes. A organização deve determinar como o aviso é fornecido e tornado acessível em relação ao momento de tratamento.

A organização pode implementar o controle usando diferentes técnicas: avisos em camadas, painéis, avisos just in time e ícones, e pode fornecer avisos em um formato legível por máquina para quem o software que o está apresentando ao titular de DP possa analisá-lo para otimizar a interface do usuário e ajudar os titulares de DP a tomar decisões. Se a organização implementar o controle usando um aviso em camadas, convém que a primeira camada detalhe algo inesperado ou coisas que possam impactar significativamente um titular de DP, com esse impacto determinado na avaliação descrita na apresentação da descrição da finalidade.

Convém que as outras camadas forneçam avisos de todas as atividades de coleta e/ou tratamento, a fim de fornecer aos titulares de DP informações detalhadas dessas atividades. Convém que as organizações exibam a primeira camada de cada aviso de forma que os titulares de DP possam lê-lo o mais rápido possível. Convém que não abranja mais do que algumas telas.

Devido às restrições de volume, pode não ser possível exibir todo o conteúdo em uma tela. Nesse caso, convém que as organizações exibam o resumo primeiro. No contexto de dispositivos móveis e smartphones, para melhor legibilidade, seria útil introduzir uma abordagem multicamadas para aviso e consentimento, apresentando um texto curto, com informações-chave e com um link para o texto completo do aviso/consentimento.

Quando as organizações exibem elementos de DP a serem coletados, convém que elas os exibam em grupos, com aqueles que têm o maior impacto potencial sobre a privacidade sendo listados primeiro para que os titulares de DP possam reconhecer claramente as diferenças. Convém que as organizações disponibilizem conteúdo, incluindo informações relevantes omitidas da primeira tela ou das telas subsequentes, disponível para referência pelos titulares de DP, se assim o desejarem.

No caso de notificação online, popups e detalhamentos podem ser usados para exibir o conteúdo. Os titulares de DP podem ter dificuldade em ler uma grande quantidade de termos e condições em um contrato, especialmente quando estão prestes a realizar uma determinada ação. Avisos legíveis por máquina podem ser fornecidos em um formato padronizado XML ou JSON.

Ao fazer isso, torna-se possível para os dispositivos selecionar itens apropriadamente e exibir gráficos e ícones quando aplicável. No entanto, as organizações precisam observar que a interpretação da representação gráfica pelo titular de DP pode diferir significativamente, dependendo das origens culturais.

Orientações para a região ou cultura em questão podem ser criadas para evitar que os titulares de DP se confundam. A organização deve incluir no aviso como os DP serão utilizados. Informações adicionais dos DP podem ser usados como estão; usados após algum tratamento (por exemplo, derivação, inferência, desidentificação ou combinação com outros dados); combinados com outros dados (por exemplo, geolocalizados, por meio do uso de cookies, de terceiros); usados por técnicas automatizadas de tomada de decisão (por exemplo, criação de perfil, classificação).

Se algum tratamento (por exemplo, desidentificação, agregação) for aplicado aos DP antes do uso, é desejável indicar quais tipos de transformações estão sendo aplicadas. Se uma organização for transferir DP a um terceiro, o aviso deve incluir, direta ou indiretamente: para quem os DP serão transferidos; a (s) localização (ões) geográfica (s) para onde os DP serão transferidos e quaisquer mudanças na (s) jurisdição (ões) legal (ais) que possam surgir; para que finalidade os DP serão transferidos; os impactos negativos sobre o titular de DP, ou riscos destes impactos causados pela transferência de dados; e a proteção relacionada à transferência (por exemplo, proteção de confidencialidade e integridade).

Embora a organização precise identificar e fornecer notificação de destinatários terceiros individuais, ela pode especificar um grupo de destinatários usando critérios claramente definidos quando apropriado. O consentimento explícito pode ser necessário, entre outras coisas: quando a organização planeja coletar DP sensíveis; quando a organização planeja usar DP sensíveis já coletados para novos fins; se a coleta ou novas finalidades causam ou indicam um impacto negativo particularmente alto no titular de DP ou um risco particularmente alto deste impacto.

A organização pode ser solicitada para obter consentimento em relação à coleta de DP dos titulares de DP pela legislação de proteção/ privacidade de dados relevante. O consentimento pode ser exigido, entre outras coisas, quando a organização planeja coletar novos DP ou quando planeja usar DP já coletados para novos fins.

O consentimento não é a única base legal para o tratamento de DP e, portanto, nem sempre exigido. Em algumas jurisdições, outras bases legais incluem: a necessidade contratual; o cumprimento das obrigações legais; o interesse vital; o interesse público; e os interesses legítimos.

BS 10025: o código de prática para a gestão de registros

A BS 10025:2021 – Management of records – Code of practice oferece orientação prática para ajudar as organizações a gerenciar seus registros.  Abrange tudo o que uma organização produz, recebe e acumula na entrega de suas operações e atividades, que pode chamar de dados, documentos, informações, informações documentadas ou uma combinação de todos esses termos.

Todas as organizações precisam gerenciar registros para apoiar suas necessidades e objetivos de negócios, ajudar a cumprir as obrigações legais e regulamentares e aproveitar o valor das informações produzidas para impulsionar a inovação e a melhoria dos negócios. A norma é nova e fornece orientação prática sobre como fazê-lo, sendo que usa o termo registros para tudo o que uma organização produz, recebe e acumula na entrega de suas operações e atividades – mas recomenda que, como parte de sua política, uma organização defina e descreva o termo que acha que funciona melhor para ele, se diferente.

Ela se aplica a todas as organizações, independentemente de seu tamanho, complexidade ou ambientes operacionais. É relevante para organizações nos setores público, privado e sem fins lucrativos, agências, autoridades, instituições de caridade, empresas, corporações, departamentos governamentais, instituições, parcerias, universidades e comerciantes individuais.

O código se destina a qualquer pessoa responsável pela gestão de registros de uma organização – não apenas a profissionais ou especialistas em gestão de registros e áreas relacionadas. Em particular, o código foi escrito para todos aqueles em uma organização que têm uma função de liderança na gestão de registros, mas podem não estar familiarizados com os princípios e boas práticas.

É também para aqueles que oferecem suporte a áreas específicas da gestão de registros, por exemplo, desenvolvedores de sistemas de TI usados para capturar, processar e armazenar registros. Recomenda-se que uma organização atribua a responsabilidade operacional pela gestão geral de registros a um trabalhador com o conhecimento e as habilidades necessárias e que a política da organização e as regras de negócios relacionadas sejam baseadas em consultas com especialistas e especialistas relevantes.

Este novo código de prática do Reino Unido oferece orientação prática para ajudar as organizações a gerenciar seus registros. Abrange tudo o que uma organização produz, recebe e acumula na entrega de suas operações e atividades, que pode chamar de dados, documentos, informações, informações documentadas ou uma combinação de todos esses termos.

A norma destaca outras normas nacionais, internacionais e outras relevantes com informações adicionais úteis, por exemplo, a BS EN ISO/IEC 27002. Também defende que a gestão de registros seja incorporada aos processos e ferramentas de negócios centrais de uma organização e não seja tratado como uma atividade independente.

Ela poderá ajudar as organizações a alavancar o valor das informações dos registros para apoiar as necessidades e objetivos do negócio e impulsionar a melhoria e inovação; demonstrar às partes interessadas que estão seguindo as boas práticas na gestão de registros – as partes interessadas podem ser cidadãos, contribuintes, clientes, reguladores ou tribunais; a cumprir as obrigações legais e regulamentares: em particular os requisitos de proteção de dados e de liberdade de informação; a implementar a segurança da informação de forma mais eficaz; acelerar a inovação; a desenvolver experiência na gestão de registros; a melhorar a eficiência e a economia de tempo nos processos; e a gerenciar melhor os riscos.

Conteúdo da norma

Prefácio II

Introdução 1

1 Escopo 2

2 Referências normativas 3

3 Termos e definições 3

4 Princípios de boas práticas para a gestão de registros 5

5 Estabelecendo e mantendo uma estrutura de gestão 6

5.1 Produzindo e gerenciando uma política 6

5.2 Implementando arranjos organizacionais 7

6 Identificação, criação e captura de registros para atender aos requisitos de uma organização 9

6.1 Identificação de requisitos para criação e captura 9

6.2 Criação e captura dos registros 10

6.3 Fazendo alterações nos registros 11

7 Organização de registros para recuperação e processamento 12

7.1 Construindo estruturas para recuperação e processamento eficazes 12

7.2 Agrupando registros em unidades gerenciáveis 13

7.3 Acompanhar quais registros são mantidos 14

8 Processamento e armazenamento de registros 15

8.1 Criação e captura de registros 15

8.2 Gerenciamento de armazenamento de registros físicos e infraestrutura de TI contendo registros 15

8.3 Processamento e gestão de registros em sistemas de TI 16

9 Gerenciando a segurança e controlando o acesso 18

9.1 Protegendo registros em todas as mídias e formatos 18

9.2 Protegendo registros em sistemas de TI e infraestrutura de TI 19

10 Gerenciando a retenção e organizando o descarte 19

10.1 Estabelecer e documentar os requisitos de retenção 20

10.2 Organizando o descarte de registros 21

10.3 Destruindo registros e a infraestrutura de TI na qual eles estão armazenados 22

10.4 Transferência de registros para preservação em um arquivo 23

11 Estabelecer e manter acordos com outras organizações 23

11.1 Gerenciamento de registros criados, capturados, processados ou armazenados por outra organização 23

11.2 Gerenciar registros produzidos como parte do trabalho colaborativo 24

12 Monitoramento e relatórios sobre a gestão de registros 25

12.1 Medindo o desempenho 25

12.2 Avaliação e relatórios sobre a eficácia geral 26

Bibliografia 27

As organizações produzem, recebem e acumulam, na entrega de suas operações e atividades, dados, documentos e informações (ou uma combinação destes e de outros termos relacionados), juntamente com e-mails, mensagens de texto e outras comunicações eletrônicas; eles mostram quem fez o quê, quando. Esta norma britânica refere-se a eles coletivamente como registros e estabelece as boas práticas recomendadas para uma organização seguir em sua gestão.

As organizações precisam identificar, criar e capturar registros e tipos de registros específicos para atender aos requisitos legais, regulatórios e de negócios. As organizações precisam saber quais registros possuem e ser capaz de recuperá-los prontamente. Quando recuperados, as organizações precisam de registros de boa qualidade e fontes confiáveis e autorizadas; e ser capaz de extrair valor do conteúdo desses registros, quando apropriado.

Uma organização precisa reter seus registros pelo tempo necessário para cumprir suas obrigações legais e regulamentares e necessidades de negócios; identificar e preservar registros de valor contínuo; e destruir de forma regular, sistêmica e segura outros registros, particularmente registros que consistem em, ou incluindo, informações pessoais ou dados que uma organização pode não ter mais um motivo comercial para reter. Ao mesmo tempo, a destruição, modificação ou movimentação de registros ou conjuntos de registros deve poder ser interrompida quando orientada, por exemplo, pelos tribunais ou reguladores.

Mudanças de tecnologia, sistemas, plataformas e software desafiam a própria ideia do que é um registro. Um registro criado por meio do preenchimento e envio de um formulário eletrônico pode ser dividido e armazenado como elementos de dados, em um, mais ou mais bancos de dados. Pode não existir em uma forma substantiva. Os elementos de dados e como eles se encaixam precisam ser documentados e corrigidos juntos para que uma organização seja capaz de reconstruir o registro, recuperá-lo e processá-lo, retê-lo para atender às obrigações legais e regulamentares e às necessidades de negócios e possivelmente retê-lo permanentemente, se ele tiver continuado a ter valor, ou destruí-lo com segurança.

A gestão eficaz de registros é a chave para uma boa governança corporativa, protegendo os direitos de uma organização, preservando o conhecimento e experiência acumulados de funcionários atuais e antigos, bem como apoiando uma organização no cumprimento de suas obrigações legais e regulamentares e necessidades de negócios do dia a dia. Os princípios e as práticas recomendadas nesta norma britânica são destinados a ajudar uma organização a fornecer gerenciamento eficaz de registros, bem como a alavancar o valor das informações de seus registros e a impulsionar a inovação e a melhoria dos negócios.

As organizações são incentivadas a ver seus registros como principais ativos estratégicos e operacionais, e a alta administração como seu negócio estabelecer e manter a supervisão direta da gestão dos registros da organização. Esta norma apoia e permite o gerenciamento eficaz dos registros de uma organização, ajudando a integrar o gerenciamento aos processos mais amplos da organização e unindo a gama de padrões aplicáveis. Ela oferece suporte a áreas relacionadas, como entrega, a segurança da informação eficaz e a implementação da BS EN ISO/IEC 27002 e, por sua vez, a implementação da BS EN ISO/IEC 27002 e outras normas relacionadas. Existem referências neste documento a normas que fornecem informações adicionais úteis: a BS 10008-1 e BS 10010.