Política de mesa limpa e tela limpa – O que a ISO 27001 requer?

Imagine esta cena: um empregado em sua mesa, em um escritório aberto, está em seu notebook revisando alguns dados para preparar um relatório sobre os resultados do último trimestre, ou a avaliação de desempenho pré-venda do mais novo produto da organização. Ele recebe um telefonema de seu chefe sobre uma reunião de ultimo minute, ou simplesmente vai tomar uma xícara de café, e deixa sua mesa.

Esta situação é mais comum do que você pode imaginar, e pode representar um grande risco à informação, porque sem medidas apropriadas, todas as informações e ativos deixados na mesa pelo empregado podem ser acessadas, vistas ou levadas por uma pessoa não autorizada. E, caso exista um sistema de informação deixado logado, qualquer um que tenha acesso a mesa pode realizar atividades no nome do empregado que se ausentou.

Para casos como este, uma organização deveria estar preparada para explicar aos empregados e outras pessoas manuseando suas informações e ativos como proceder adequadamente com informações e outros materiais mantidos na área de trabalho. A ISO 27001, um framework popular de segurança da informação, e a ISO 27002, um código de prática detalhado, podem prover boa orientação, por meio do controle de segurança 11.2.9 – Política de mesa limpa e tela limpa. Vamos olhar para ele com mais detalhes.

Do que se trata a política de mesa limpa e tela limpa?

A política de mesa limpa e tela limpa se refere a práticas relacionadas a assegurar que informações sensíveis, tanto em formato digital quanto físico, e ativos (e.g., notebooks, celulares, tablets, etc.) não sejam deixados desprotegidos em espaços de trabalho pessoais ou públicos quando não estão em uso, ou quando alguém deixa sua área de trabalho, seja por um curto período de tempo ou ao final do dia.

Uma vez que informações e ativos em uma área de trabalho estão em um de seus lugares mais vulneráveis (sujeitos a divulgação ou uso não autorizado, como previamente comentado), a adoção de uma política de mesa limpa e tela limpa é uma das principais estratégias a se utilizar na tentativa de reduzir os riscos de brechas de segurança. E, felizmente, muitas das práticas requerem baixa tecnologia e fáceis de implementar, tais como:

Use de áreas com trancas: gavetas com trancas, armários de pastas, cofres e salas de arquivo deveriam estar disponíveis para armazenar mídias de informação (e.g., documentos em papel, pendrives, cartões de memória, etc.) ou dispositivos facilmente transportáveis (e.g., celulares, tablets e notebooks) quando não em uso, ou quando não houver ninguém tomando conta deles. Além da proteção contra acesso não autorizado, esta medida também pode proteger a informação e ativos contra desastres tais como incêndios, terremotos, inundações ou explosões.

Proteção de dispositivos e sistemas de informação: computadores e dispositivos similares deveriam estar posicionados de tal forma a evitar que transeuntes tenham a chance de olhar as telas, e configurados para usar protetores de tela ativados por tempo e protegidos por senha, para minimizar as chances de que alguém tire vantagem de equipamentos desacompanhados. Adicionalmente, sistemas de informação deveriam ter sessões encerradas quando não em uso. Ao final do dia os dispositivos deveriam ser desligados, especialmente aqueles conectados em rede (quanto menos tempo o dispositivo permanecer ligado, menos tempo haverá para alguém tentar acessá-lo).

Restrições ao uso de tecnologias de cópia e impressão: o uso de impressoras, fotocopiadoras, scanners e câmeras, por exemplo, deveria ser controlado, pela redução de sua quantidade (quanto menos unidades disponíveis, menor o número de pontos potenciais de vazamento de dados) ou pelo uso de funções de código que permitam que somente pessoas autorizadas tenham acesso ao material enviado a elas. E, qualquer informação enviada a impressoras deveria ser recolhida tão rapidamente quanto possível.

Adoção de uma cultura sem papel: documentos não deveriam ser impressos desnecessariamente, e lembretes não deveriam ser deixados em monitore ou sob teclados. Lembre-se, mesmo pequenos pedaços de informação podem ser o suficiente para pessoa mal-intencionadas descobrirem aspectos de sua vida, ou dos processos da organização, que possam ajudá-los a comprometer informações.

Descarte de informações deixadas em salas de reunião: todas as informações em quadros brancos deveriam ser apagadas e todos os pedaços de papel usados durante a reunião deveriam estar sujeitos a um descarte apropriado (e.g., pelo uso de picotadora).

Como implementar uma política de mesa limpa e tela limpa

De acordo com a ISO 27001, controle 11.2.9, a principal orientação é adotar uma Política de Mesa Limpa e Tela Limpa considerando:

  • O nível de informação (e.g., sensível ou confidencial) que irá requerer manuseio seguro
  • Requisitos legais e contratuais que demandam proteção da informação
  • Riscos organizacionais identificados
  • Aspectos culturais
  • Medidas que deveriam ser adotadas para proteger mesas, dispositivos e mídias (como vistas na seção anterior)

Além disso, uma organização também deveria considerar eventos periódicos de treinamento e conscientização para comunicar aos empregados e outras pessoas envolvidas os aspectos da política. Bons exemplos são cartazes, e-mails, informativos, etc.

E, finalmente, deveriam existir avaliações periódicas sobre a conformidade dos empregados com as práticas da política (digamos, duas vezes ao ano).

Não seja vítima de olhares curiosos e acesso não autorizado

Uma falta de cuidado com uma área de trabalho pode levar ao comprometimento de informações pessoais e organizacionais. Senhas, dados financeiros, e e-mails sensíveis podem ser divulgados, impactando a privacidade ou diferencial competitivo. Um documento perdido contendo informação sobre o prazo de um contrato/proposta pode causar a perda de uma licitação e redução na receita esperada.

Seja devido a acidentes, erro humano, ou ações maliciosas, estes resultados negativos podem ser evitados pela adoção de medidas de baixa tecnologia acessíveis relacionadas a política de mesa limpa e tela limpa. Assim, não espere que estas situações ocorram antes de tomar uma atitude. Neste caso, o custo da solução dificilmente seria uma desculpa para não agir preventivamente.

Para saber mais sobre a política de mesa limpa e tela limpa, e outras medidas de segurança da informação, por favor clique aqui e veja um  ISO 27001 Foundations Online Course gratuito que dará a você uma visão geral dos controle de segurança da ISO 27001/ISO 27002.

Nós agradecemos a Rhand Leal pela tradução para o português.

Advisera Rhand Leal
Autor
Rhand Leal

Rhand Leal has more than 15 years of experience in information security, and for six years he continuously maintained а certified Information Security Management System based on ISO 27001.


Rhand holds an MBA in Business Management from Fundação Getúlio Vargas. Among his certifications are ISO 27001 Lead Auditor, ISO 9001 Lead Auditor, Certified Information Security Manager (CISM), Certified Information Systems Security Professional (CISSP), and others. He is a member of the ISACA Brasília Chapter.