Artigo: Saiba como a documentação de processos pode contribuir para criação de um ambiente tecnológico resiliente a ataques cibernéticos!* 

*Elaborado pela Comissão Regional Leste de Governança e Riscos da Abrapp 

Os investigadores de acidentes aéreos utilizam uma expressão muito chocante, mas  bem apropriada, que revela a importância que o setor da aviação civil e militar atribui à  documentação dos processos de segurança de fabricação, manutenção e uso das  aeronaves, assim como do controle do tráfego aéreo: – “Regulamento Se Escreve Com Sangue¹ . De fato, o aprendizado obtido com falhas ocorridas tem um valor inestimável  para o estabelecimento de melhores práticas e consequente aprimoramento contínuo  dos processos praticados em qualquer área do conhecimento humano. 

Em nossa publicação anterior, buscamos conscientizar as EFPC acerca da importância da realização de diagnóstico de suas áreas de tecnologia para conhecimento do nível de  aderência de seus processos às melhores práticas de prevenção a ameaças cibernéticas.  Como passo seguinte, a partir desta edição, vamos explorar capítulos desse repertório  de melhores práticas, iniciando com o estabelecimento de políticas e demais normativos  internos de segurança.  

Certamente, você já enfrentou várias ameaças de diversas naturezas. Talvez não tão  dramáticas quanto àquela que nos referimos na introdução deste assunto, mas que não  deixam de ser ameaças. O que elas têm em comum? O fato de provocarem dois  questionamentos imediatos diante da ocorrência: – O que fazer? Como fazer? E deles  derivam outras questões bem significativas, como quem, quando, onde, quanto e por quê fazer, que podem orbitar tanto nos níveis estratégicos quanto operacionais de  gestão. Estamos diante, como pode ver, das famosas questões 5W2H, ferramenta de  gestão de grande ajuda no desenvolvimento de soluções e tomada de decisões. Mas  você pretende esperar o incidente acontecer para iniciar este processo? Certamente,  não. Tudo isto deve estar previamente estabelecido para que as chances de ocorrência  de falhas sejam remotas e, caso venham a ocorrer, para que você não saia tomando  decisões precipitadas ou impróprias para a ocasião. Lembre-se, nessa hora você estará no “olho do furacão”. 

A importância da documentação de processos, vale salientar, vai muito além de uma tábua de salvação para momentos de crise. Ela garante o perfeito funcionamento de  dois ambientes de controle cruciais para as organizações, descritos no COSO²: – O Ambiente de Autorização e o Ambiente de Orientação (ou Comunicação). A harmonia  entre esses dois ambientes é que vai nos permitir usufruir dos benefícios das decisões  baseadas no 5W2H. Então, convidamos nossas entidades a darem um passeio pelo  “mundo dos controles internos”, fascinante para alguns, entediante e burocrático para  outros, mas obrigatório para todos que buscam, através da mitigação de riscos,  evidenciar o ato regular de gestão. Nesse momento, vale revisitar o Manual de Controles  Internos, publicado pela Comissão Técnica de Controles Internos e Compliance da  Abrapp, para melhor compreensão dos conceitos que serão aqui utilizados. 

Vamos iniciar falando de política, documento associado à questão “o que” fazer, do  nosso 5W2H. Questão como esta tem elevado valor estratégico e, por isso, expressa  interesses dos proprietários na condução dos seus negócios; ou seja, resultados  desejados. A política estabelece, portanto, diretrizes a serem seguidas pela gestão, sem  entrar no mérito de “como executá-las. Por este motivo, o documento deve, necessariamente, ser conciso, claro, objetivo e formalmente aprovado em instância  superior da administração, onde os interesses dos proprietários do negócio encontram se representados, ou seja, no Conselho Deliberativo. E por estabelecerem diretrizes de  atuação abrangentes, devem ser publicados de forma a garantir o amplo conhecimento por parte de todos os colaboradores da organização, inclusive prestadores de serviços. Sendo uma espécie de mandato, não pode ser descumprido, em hipótese alguma, sob  pena de ficar evidente um ato irregular de gestão. Lembre-se, então, de que na política devem estar contidas proposições de ações objetivas e não detalhes de funcionamento. 

Na sequência, falaremos dos demais documentos que, de acordo com as estruturas de  cada entidade, podem apresentar diferentes nomenclaturas. Estamos nos referindo a manuais operacionais, processos organizacionais, instruções normativas, instruções de  trabalho, descrições de procedimento, enfim, todos aqueles documentos necessários ao  entendimento do “como” fazer. Trata-se, portanto, de um elenco de documentos de caráter operacional, vinculados incondicionalmente às determinações da(s) política(s).  Este elenco de documentos deve estabelecer, de forma clara e no requerido nível de  detalhe, a forma como os gestores irão conduzir suas ações visando atingir os objetivos estratégicos da organização. 

Então, mãos à obra! 

Políticas 

É recomendável que compreendam, pelo menos, justificativa, alinhamento corporativo,  responsabilidades, alçadas, resolução de conflitos, comprometimento da alta  administração, reporte de desempenho, análise crítica e melhoria contínua. Além disso,  reiteramos, devem ser aprovadas pela instância máxima de deliberação da EFPC e  amplamente divulgadas a todas as suas partes interessadas. Seguem algumas sugestões  de políticas:  

Política de Segurança da Informação – Para alcançar sua finalidade de estabelecer princípios que nortearão as ações relacionadas à segurança da informação e  alinhamento com o gerenciamento estratégico de riscos da EFPC, é recomendável  que sua elaboração leve em consideração, além de boas práticas, os requerimentos  legais, regulatórios e contratuais associados à segurança da informação. 

Política de Privacidade e Tratamento de Dados Pessoais – Com o propósito de definir  diretrizes voltadas para assegurar que o uso de dados pessoais tratados pela EFPC restrinja-se, apenas, às finalidades consentidas, direta ou indiretamente pelos seus  titulares, nos termos da Lei Geral de Proteção de Dados – LGPD, a EFPC evidencia seu  compromisso com o devido sigilo dos dados utilizados. Por isso, às vezes é tratada,  simplesmente, como Política de Privacidade. O uso de “cookies” deve ser abordado. 

Política de Gestão de Documentos e Dados – Com foco no princípio de Privacy by Default, o documento estabelece diretrizes para a devida manipulação de  informações dentro da EFPC, levando em consideração a sua criticidade, o sigilo, o  ciclo de vida dos dados e as condições de armazenamento e descartes. Atenção deve  ser dada às questões contratuais relacionadas com os tratamentos de dados,  notadamente em função dos compartilhamentos a que estão sujeitos. 

Política de Resposta a Incidentes de Segurança – Com o propósito de definir  responsabilidades e ações que garantam uma resposta rápida e eficiente aos  incidentes de segurança. Tais diretrizes devem permitir a identificação dos tipos,  volumes e custos derivados dos incidentes, bem como a coleta e armazenamento de  evidências, permitindo tanto o aprendizado com as falhas ocorridas quanto a  realização de diligências de responsabilização – administrativa ou judiciais – aplicáveis. 

Com vistas a racionalizar a publicação, o uso e a manutenção de políticas envolvendo a  área de tecnologia, a EFPC pode adotar, como prática, a elaboração de um único  documento – Política de Segurança da Informação – passando as demais sugeridas a  compor Apêndices desta. 

Demais Documentos 

Para implementação das diretrizes aprovadas pelos proprietários do negócio torna-se  necessário o estabelecimento de procedimentos operacionais que permitam o devido  cumprimento. Tais documentos compõem o Ambiente de Controle Interno conhecido  por Ambiente de Orientação (Comunicação). Devem, portanto, estar perfeitamente  alinhados com as políticas, definindo “como” colocá-las em prática. 

Conforme comentado anteriormente, não é nosso propósito, nesta publicação, padronizar as nomenclaturas dos documentos operacionais. Portanto, os documentos  listados a seguir estão referenciados pelos seus conteúdos. 

Inventário de softwares e hardwares O tratamento adequado dos dados requer a  identificação e documentação de todos os “ativos” associados a recursos de  processamento de informações. A localização de um equipamento – assim como de  um sistema – deve ser definida de forma a minimizar o acesso não autorizado à área  de trabalho (acesso desnecessário, ângulo de visão etc) e a assegurar que não saiam  da organização sem autorização prévia.

Inventário de dados pessoais Também conhecido por Mapa de Tráfego de Dados  Pessoais, este levantamento tem por objetivo montar um banco de dados que  assegure a conformidade da EFPC em relação à Lei Geral de Proteção de Dados.  Reúne informações relacionadas com descrição da tarefa, processo ao qual pertence,  dados pessoais necessários, finalidade do tratamento, forma de autorização de uso,  compartilhamento, local de armazenamento, dentre outras informações necessárias  ao cumprimento da LGPD. 

Procedimentos de registro, tratamento e comunicação de incidentes de segurança Apresentando os detalhes das providências a serem tomadas na hipótese de  ocorrência de incidentes relacionados com a segurança da informação e do seu  ambiente de gerenciamento. Quando relativos a dados pessoais, devem abranger as  regras definidas pela Lei Geral de Proteção de Dados Pessoais. 

Procedimentos de acessos físicos e lógicos – Envolvendo regras e condições de  liberação de acessos a ambientes físicos e lógicos da EFPC

Procedimentos de documentação de sistemas – Com o objetivo de detalhar, para  usuários e administradores, o modo como os sistemas são operados e como realizar  as suas manutenções

Procedimentos de produção e desenvolvimento – Envolvendo regras de  desenvolvimento, produção e testes, inclusive de gestão da mudança. 

Procedimentos de homologação de produtos – Registros formais de que, além da  área de tecnologia, os usuários ou áreas solicitantes testaram e aprovaram as  soluções desenvolvidas. 

Plano de contingências e continuidade de negócios – Contendo regras para  recuperação de desastres e para assegurar a operacionalidade da EFPC diante de  eventos que causem interrupção parcial ou total de suas atividades. Recomenda-se  que testes de intrusões e contingências estejam previstos no documento como procedimentos regulares. 

Matriz de Segregação de Funções – Também conhecida por Matriz SOD, ela garante o estabelecimento de restrições de acesso a funcionalidades de cada sistema de  forma que as operações realizadas por uma mesma pessoa não gerem conflitos de  interesses. 

Acha que está bem documentado? Então já podemos avançar em nossas publicações.  Não perca, na próxima edição: – saiba como tornar seus processos de T.I. robustos e  capazes de prevenir ataques cibernéticos – Parte I

 

¹ Série de TV “Mayday, desastres aéreos! ” – National Geographic.

² Committee of Sponsoring Organizations of the Treadway Commission – iniciativa conjunta de cinco organizações  profissionais dedicada a ajudar no desempenho das organizações através do desenvolvimento de liderança inovadora  que aprimora o controle interno, o gerenciamento de riscos, a governança e a prevenção de fraudes.

Shares
Share This
Rolar para cima