Diretrizes de Segurança da Informação e Controle de Acesso

Diretrizes de Segurança da Informação

Áreas de Segurança

• Controle de acesso: Restrição a áreas críticas com nível de proteção proporcional aos riscos e à importância dos ativos.
• Monitoramento: Utilização de mecanismos de autenticação e vigilância (câmeras).

Equipamentos de Segurança

• Proteção física contra ameaças ambientais (rede elétrica, substâncias).
• Proteção e blindagem do cabeamento de rede.

Controles Gerais

• Medidas para evitar o vazamento de informações.
• Política de "Tela limpa, mesa limpa": acesso negado a informações em processamento.

Segurança de Acesso a Terceiros

• Controle de acesso a locais críticos conforme o valor da informação.
• Presença de terceiros mediante autorização e acompanhamento.
• Serviços terceirizados regulamentados por contrato.

Gestão de Ativos e Classificação

• Contabilização dos ativos: Mapeamento de todos os ativos de informação com atribuição de responsáveis e níveis de segurança.
• Classificação da Informação: Definição da importância do ativo, sujeita a revisões periódicas.

Segurança nos Recursos de Trabalho

• Mitigação de riscos humanos (ex: roubo de informações).
• Contratos com cláusulas de sigilo e segurança.
• Treinamento de usuários: Capacitação contínua para o cumprimento das políticas de segurança.

4. Segurança: Acesso Físico e Lógico

Os riscos de conexão em rede diferem dos riscos de acesso físico. Devem ser considerados:

• Acesso físico: Escritórios, salas de computadores e gabinetes de cabeamento.
• Acesso lógico: Bancos de dados e sistemas de informação da organização.

Tratamento de Riscos

A partir da análise de riscos, deve-se:

• Aplicar controles apropriados para reduzir vulnerabilidades.
• Aceitar riscos de forma objetiva, alinhada à política e aos critérios da organização.
• Evitar riscos, proibindo ações que possam comprometer a segurança.
• Transferir riscos para terceiros, como seguradoras ou fornecedores.