1. INTRODUÇÃO
Conceitualmente, em meio a globalização dos meios informacionais surge os princípios de “mesa e tela limpa” que devem ser incorporados pelas empresas a fim de garantir a segurança de seus dados sensíveis e a de seus colaboradores. Trata-se de práticas de segurança que devem ser seguidas ao acessar alguma tecnologia de informação, para que estes não estejam desprotegidos em espaço de trabalho pessoal ou público. Isso porque em tempos de globalização da informação e tecnologias, é possível afirmar que o ambiente de trabalho pode ser incorporado também longe das empresas, sendo essa modalidade chamada de “Home Office”. Trata-se de uma modalidade que visa um trabalho remoto em casa, é uma tendência mundial que ganha espaço e mercado.
Atualmente o conceito de risco cibernético tem como referência a norma ISO/IEC 27005:2019 e baseado no Processo de Gestão de Riscos estabelecido na ISO 31000:2018. Deve-se sempre lembrar que a Gestão de Riscos de Segurança da Informação e comunicações é um conjunto de processos que permitem identificar e implementar as medidas de proteção necessárias para minimizar ou eliminar (mitigar) os riscos a que estão sujeitos os ativos de informação, e devem contrapesar com os custos operacionais e financeiros envolvidos para cada corporação. A segurança da informação (SI) está diretamente relacionada com proteção de um conjunto de informações, no sentido de preservar o valor que possuem para um indivíduo ou uma organização. São propriedades básicas da segurança da informação: confidencialidade, integridade, disponibilidade, autenticidade e legalidade.
Em meio a esse cenário, há preocupação com a proteção de dados, com isso é crucial que as empresas possuam soluções e busquem entender a lista das possíveis ameaças, isto é, seus “dados sobre ameaças”, e após compreendidos possam até utilizar ferramentas para agregar a “Inteligências de Ameaças”, como mecanismo de defesa no universo do ciberespaço.
2. A POLÍTICA MESA LIMPA, TELA LIMPA E LIXO LIMPO E SUA RELAÇÃO COM CIBERSEGURANÇA
Uma política de mesa limpa, incluindo tela limpa e o lixo limpo são práticas de segurança baseada na norma da ISO 27001, recomendadas para o local de trabalho, buscando assegurar e ou evitar a exposição de informações sensíveis e ou confidenciais, de forma que não fiquem desprotegidas, tanto em espaços de trabalho pessoal ou público e, assim, reduzindo riscos de acessos não autorizados, perda, danos, comprometimento ou roubou durante ou fora do horário de trabalho e estão definidos na sessão A.11.2.9 Política Mesa Limpa e Tela Limpa (ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, 2013).
O objetivo da política é aumentar a consciência do funcionário sobre a proteção de informações confidenciais. Esta política é também diretamente associada aos objetivos da Segurança Cibernética que envolve aspectos protetivos na rede, e que visam proteger os ativos utilizados para transportar informações de uma organização contra roubo ou ataque.
E esta proteção, requer também que sejam implementados controles de detecção, prevenção e recuperação para proteger contra códigos maliciosos, mediante a um estruturado programa de conscientização do usuário, além do gerenciamento de identidades, gerenciamento de riscos e de incidentes como base estratégias de segurança cibernética, e dos objetivos estarem alinhados com a prevenção de ataques contra as infraestruturas críticas, redução das vulnerabilidades, procurando minimizar os danos e o tempo de recuperação pós-ataques, e buscando sempre proteger os pilares confidencialidade, integridade e disponibilidade dos ativos tecnológicos e das informações.
3. AS AMEAÇAS NA MODALIDADE DE TRABALHO HOME OFFICE
Uma pesquisa realizada pela CyberArk divulgada em meados de setembro de 2020 sobre hábitos de compartilhamento de dispositivos corporativos, que podem colocar em risco a segurança de dados sensíveis e sistemas que são considerados críticos para o negócio da empresa, pois quando funcionários misturam trabalho e lazer em seus dispositivos, essas vulnerabilidades fornecem oportunidades potenciais para que os invasores roubem credenciais e causam riscos organizacional.
A pesquisa foi realizada com 3000 mil funcionários remotos e profissionais de TI, que tinha como objetivo avaliar o estado da segurança no ambiente de trabalho remoto, e mostrou que 77% dos colaboradores remotos estavam utilizando dispositivos “BYOD” inseguros e não gerenciados para acessar os sistemas corporativos. Além disso, 66% deles adotaram plataforma de comunicação e colaboração como o Zoom e o Microsoft Teams, que tiveram uma série de vulnerabilidades de segurança divulgadas e um número pequeno de 37% ainda salvam senhas importantes nos navegadores de computador que utilizam. Para profissionais de TI 94% demonstraram confiança em Know-how de proteção para o trabalho remoto, contudo, apenas 40% aumentaram os protocolos de segurança ou realizaram qualquer outra alteração significativa em seus sistemas.
“À medida que mais organizações estendem as políticas de trabalho em casa para o longo prazo”, diz CyberArk CMO Marianne Budnik, “é importante capturar as lições aprendidas nas fases iniciais do trabalho remoto e moldar futuras estratégias de segurança cibernética que não exijam que os funcionários façam compensações que podem colocar sua empresa em risco”.
É de suma importância endereçar os riscos e atualizar as estratégias de segurança, essencialmente quando o assunto é a proteção do negócio e utilização de recursos considerados críticos e, mediante o desafio que os funcionários enfrentam de contrabalancear o ambiente profissional e pessoal para a continuidade do negócio, já que as empresas estão enfrentando o aumento das ameaças e brechas de segurança como resultados da mudança para o trabalho remoto.
4. AS DIRETRIZES DE MESA, TELA E LIXO LIMPO AUXILIAM NA SEGURANÇA DA INFORMAÇÃO
O objetivo da política de mesa limpa, tela limpa e lixo limpo é definir diretrizes que reduzam o risco de uma violação de segurança, fraudes e roubo de informações causadas por documentos que estão sendo deixados sozinhos nas instalações da empresa. Inserir essa política em um programa contínuo de conscientização em segurança da informação se faz necessário, pois isso poderá reduzir o risco de acesso não autorizado, perda e dano da informação durante e fora do horário de expediente. Dessa forma, (LEAL,2016, p.4) afirma que:
“Além disso, uma organização também deveria considerar eventos periódicos de treinamento e conscientização para comunicar aos empregados e outras pessoas envolvidas os aspectos da política. Bons exemplos são cartazes, e-mails, informativos etc. E, finalmente, deveriam existir avaliações periódicas sobre a conformidade dos empregados com as práticas da política (digamos, duas vezes ao ano).”
De acordo com o exposto acima, as empresas devem priorizar a segurança de seus dados, e para tanto os colaboradores devem ser conscientizados de como proteger a sua área de trabalho, incluindo informações sensíveis e confidenciais, presentes ou ausentes por período curto ou prolongado e ao final do expediente. A respeito das diretrizes utilizadas como critério de segurança tem-se:
- As estações de trabalho devem ser desligadas quando desocupadas, ou bloqueadas com senha segura quando estiverem ausentes;
- Sempre deve-se remover informações confidenciais da mesa, salas de reuniões, na impressora, deixando-as seguras em armários com trancas, após o manuseio. Também é recomendável apagar quadro/lousa ao final das reuniões e descartar lixo de forma adequada;
- As senhas não podem ser deixadas em notas postadas sobre ou sob um computador, nem escritas em locais acessíveis a outras pessoas;
- As impressões contendo informações sensíveis, confidenciais ou restritas devem ser retiradas imediatamente da impressora;
- O lixo limpo requer atenção, também, pois documentos sensíveis, confidenciais ou restritos devem ser triturados e descartados de forma adequada em locais designados seguros.
Dessa forma, para reduzir os riscos é adequado que seja adotada uma política de mesa limpa de papeis, mídias de armazenamento removíveis e igualmente uma política de telas limpas, evitando o perigo de ter um usuário logado e ausente e; para os colaboradores que realizam o processamento da informação e que tenham medidas que possam apoiar a segurança da informação, tendo como auxílio à gestão de riscos, buscando orientar todos profissionais sobre acesso não autorizado, perda ou danos às informações durante e fora do horário de expediente.
Sendo assim, é imprescindível que as empresas ao aplicarem a Política, repensem seus atos, na perspectiva de proteger seus dados, assim como, a de seus funcionários, ao proporem medidas protetivas e preventivas de segurança.
REFERÊNCIAS
ABNT/CB-21- Comitê Brasileiro de Computadores e Processamento de Dados – PROJETO DE REVISÃO ABNT NBR ISO/IEC 27005:2019: Rio de Janeiro, 2019.
ABNT. Associação Brasileira de Normas Técnicas. NBR ISO/IEC 27001: Tecnologia da informação: Técnicas de segurança – Sistemas de gestão da segurança da informação: Requisitos. Rio de Janeiro. 2013.
ABNT. Associação Brasileira de Normas Técnicas. ABNT NBR ISO/IEC 27002: Tecnologia da informação – Técnicas de Segurança: Código de prática para a gestão da segurança da informação. Rio de Janeiro. 2013.
ALMEIDA, Matheus. Política de mesa limpa e tela limpa, 2021. Disponível em: https://www.Matheustech.com.br. Acesso em: 04/08/2021.
BRASIL. Ministério da Defesa. Proteção de dados LGPD, 2020. Disponível em: https://www.gov.br. Acesso em: 03/08/2021.
CyberArk. https://www.cyberark.com/resources/blog Acesso em: 25/07/2021.
CISA. Cybersecurity & Infrastructure Security Agency: https://us-cert.cisa.gov/ncas/tips/ST15-002 Acesso em: 25/07/2021.
CISA. Cybersecurity & Infrastructure Security Agency: https://us-cert.cisa.gov/ncas/tips/ST15-003 Acesso em: 25/07/2021.
Kaspersky. Disponível em: https://www.kaspersky.com.br/resource-center/definitions/threat-intelligence. Acesso em: 18/12/2021.
LEAL, Rhand. Política de mesa limpa e tela limpa- o que a ISSO 27001 requer? 2016. Disponível em: https://www.advisera.com. Acesso em: 04/08/2021.
