Hoje veremos os aspectos relevantes quando a operação de IT possui ativos dentro da organização e quais os cuidados que a área de IT deve ter na sua operação. Ter seus recursos internos sem uma política de COMPLIANCE não garante a integridade da imagem de sua empresa.
Descrevemos anteriormente em nosso segundo post (aqui) algumas regras que definem o comportamento dos usuários. Todas as regras devem ser reforçadas por hardware e software para garantir a sua execução. Devemos relembrar que quando mais específica a regra maior a necessidade de capacidade do hardware e software para este controle.
Todo e qualquer monitoramento precisa gerar logs [1]que serão utilizados no momento de identificação, punição, auditoria ou de prova pericial quando necessário. Com base nas regras sugeridas no segundo post, podemos identificar estes controles a serem utilizados:
· Ao receber um novo usuário em sua rede ou sempre que houver uma mudança no Código de Ética e Conduta ou na Política de Informática utilize os meios de treinamento, eletrônicos (EAD) ou com apresentação formal para garantir o acesso aos recursos. Sempre faça um teste de conhecimento (se o usuário não acertar TODAS as questões, não libere o acesso ao sistema ou, se o teste abranger todos os demais processos da empresa, não libere para que o funcionário inicie qualquer atividade e obrigue que o treinamento e teste sejam refeitos;
· Garanta que cada usuário do sistema possua uma identificação (userid) e uma senha de uso exclusivo e que as regras de criação da senha e sua periodicidade são respeitados. Garanta um log indicando usuário, data, hora, equipamento utilizado (endereço IP ou nome da máquina) e a informação “troca de senha”. A razão é simples. Muitas trocas de senha fora do período normal ou troca de senha em dia ou horário que não é normal ao trabalho do usuário indicam falhas e devem ser averiguados;
· Crie perfis de acesso para facilitar o gerenciamento e o controle dos dados;
· Qualquer mudança nos registros e dados precisa ser arquivada. Inclusão de registros, alteração de dados e exclusão de registros precisam indicar a informação anterior e a informação gravada num log.
· Todo e qualquer programa de monitoramento a ser utilizado na empresa deve fornecer além de logs a possibilidade de avisos, preferencialmente com indicativo do risco (médio e alto por exemplo);
· Garanta que seus contratos de licenciamento e de manutenção de hardware estão ativos e que atendem às demandas da empresa. Tenha licenças compatíveis com o uso. Pirataria de software é crime;
· Programas que controlam a gravação dos arquivos e a sua extensão garantem que arquivos com extensão proibidas não sejam gravados na rede (exemplo vídeos, músicas, arquivos de imposto de renda. Programas que verificam o conteúdo e não apenas as extensões possuem uma eficácia maior;
· O uso de impressoras monitoradas podem ser feitas por aplicativos ou por recursos disponíveis no próprio hardware. Informação sobre quantidade de páginas por usuário, horários de uso e custo ajudam nos controles;
· Todos os e-mails recebidos e enviados precisam ser salvos por um período mínimo de 18 meses para garantir uma eventual auditoria. Existem técnicas que permitem que arquivos históricos sejam compactados permitindo um melhor uso dos servidores e backup;
· Programas de gerenciamento de instalação de softwares garantem que os programas da empresa são monitorados e que seguem as regras de COPYRIGHT. Este tipo se software é especialmente importante para o gerenciamento de antivírus e no caso de uso de pen drive criando avisos para o usuário que utiliza o dispositivo e para quem gerencia a rede;
· A troca de informação digital entre clientes e fornecedores deve ser monitorada e garantida a forma que os dados são enviados. Sistemas de CAD podem ser enviados de forma aberta (todos os dados incluindo a montagem de um conjunto) ou fechada (apenas os dados necessários para uma cotação ou para teste de conjunto). Se existe este risco na empresa, garanta um sistema de troca de dados eficiente (com log indicando o usuário que enviou e ainda o destino). Sempre que fizer uma troca de dados garanta uma criptografia mínima;
· Aplicativos de chat, redes sociais e sites de reprodução de arquivos de vídeo, filmes, séries, desenhos, vinhetas, Facebook, Twitter, Orkut, Linkdln, youtube, MSN, ICQ, Skype, Whatsapp Facebook outros, se proibidos devem ser restritos nos ativos de rede. O não acesso garante a regra dentro da rede;
Tenha e utilize um método de desenvolvimento de programas. Os maiores riscos de acesso externo acontecem por falhas de programação, intencionais ou não. Antes de oficializar um novo programa, faça uma análise considerando as regras estabelecidas;
· Programas que controlam e gerenciam os acessos à internet, navegações em sites, e-mail’s, chat’s, intranet, redes sociais, Whatsapp, enfim, tudo que se diz respeito à internet, garantem registros e logs. O tempo de retenção desses dados deverá ser no mínimo por 12 meses para atender a necessidade do Marco Civil da Internet, oficialmente chamado de Lei N° 12.965/14;
· As empresas que oferecem acesso à internet, seja por WIFI ou cabeamento, para os usuários internos e eventuais visitantes precisam manter estes registros de acesso pois, são considerados perante a lei do Marco Civil da Internet como provedores de acesso. No caso de um incidente e mediante procedimento judicial, a empresa poderá ser acionada para a identificação de um usuário de forma única. Se a empresa oferece acesso a não usuário, precisa garantir essa identificação única para evitar problemas legais.
No próximo post veremos como você inclui as necessidades de COMPLIANCE nos contratos quando você compra um serviço de Hosting, e-mail ou aplicação fora da sua organização.
Quer saber mais sobre COMPLIANCE ou ÉTICA EMPRESARIAL visite meu site www.victormachadoadv.com ou por e-mail victor.machado@victormachadoadv.com
[1] LOG - Em computação, log de dados é uma expressão utilizada para descrever o processo de registro de eventos relevantes num sistema computacional. Esse registro pode ser utilizado para restabelecer o estado original de um sistema ou para que um administrador conheça o seu comportamento no passado. Um arquivo de log pode ser utilizado para auditoria e diagnóstico de problemas em sistemas computacionais. Os logs possuem grande importância para o Direito da Tecnologia da Informação. A possibilidade de identificar a autoria de ações no ambiente virtual, permitindo a responsabilização dos autores, só é possível através da análise de logs. Os logs também podem ser entendidos como provas digitais.
A Victor Machado é uma empresa especializada na aplicação de políticas de Compliance, Ética Empresarial, Proteção de imagem para pequenas e médias empresas, Direito Digital e Direito Tributário. Entre em contato para resolver suas dúvidas e problemas nestas áreas.
victor.machado@victormachadoadv.com
Fone: (15) 99833-0765