Escolar Documentos
Profissional Documentos
Cultura Documentos
Cabe a TODO o pessoal de uma organização ser responsável pela segurança da informação.
Dois princípios são transversais: só deve ter acesso quem precisa e essas pessoas devem ser
conhecidas. Deve existir uma verificação permanente da idoneidade desses indivíduos,
complementado com outras medidas de segurança como rondas, executadas por pessoal
credenciado e preparado.
Ninguém tem acesso a toda a IC! Só apenas à que tem absoluta necessidade de conhecer. O
posto ou cargo da pessoa não é suficiente!!!!
MUITO SECRETO
SECRETO
CONFIDENCIAL
RESERVADO
Criar Listas das pessoas credenciadas que, em dado momento ou período, podem ter acesso
à informação. Ordenadas por Grau, aprovadas pelas Chefia e constantemente atualizadas.
As listas de acesso, após aproadas pela chefia dos serviços são enviadas ao respetivo escalão
superior até 16Jun e 15dez de cada ano.
Todo o pessoal, desde limpeza a motorista, que possa ter acesso involuntário a IC deve ser
credenciado.
Pessoal credenciado deve ser informado dos procedimentos de segurança a cumprir e das
consequências previstas na lei se a informação cair nas mãos erradas, quer voluntariamente
quer não. A formação deve ser dada por técnicos da GNS ou pelos departamentos de
segurança nas entidades privadas.
Deve alertar-se para o perigo de conversas públicas, das relações com órgãos de
comunicação social, ou ainda das abordagens por desconhecidos.
O processo segue para avaliação se o requerente cumpre as condições necessárias. Isto exige
uma investigação (inquérito) de segurança onde a idoneidade, lealdade, fiabilidade são
verificadas. A investigação cobre os últimos 10 anos ou, dos 18 anos de vida e o momento do
pedido. A exigências aumentam com o grau de certificação e podem ser realizadas
entrevistas a terceiros (vizinhos, colegas, etc.) para confirmar factos.
MAS, há que adaptar estas regras à dimensão, localização, grau e quantidade de informação
processada. Edificios urbanos e centrais facilitam estas medidas, delegações mais pequenas e
isoladas carecem de análise do uso e do contexto do uso.
Os Perímetros de Segurança
Cercas, CCTV (câmaras), controlo de acessos e as rondas exteriores são elementos
dissuasores de uma intrusão. Sugere que “entrar” não será fácil.
Resumindo:
Sistemas de Segurança
Perímetros
Áreas
Controlo de Acessos
Detecção de intrusão
Videovigilancia
Móveis de Segurança
Pessoal de Segurança
Controlo das Chaves e Combinações
Protecção contra a espionagem
Verificação das Areas Seguras
Verificação de equipametos de telecomunicações, elétricos e electronicos
Confidencialidade
Nem todas as pessoas podem consultar.
A Informação Classificada apenas está acessível a pessoas autorizadas ou credenciadas,
como já tivemos oportunidade de ver no módulo 2.
Integridade
Não se pode simplesmente alterar para acrescentar coisas.
A Integridade da Informação Classifica implica que esta seja apenas alterada com a devida
autorização ou por uma justificação exclusiva.
Disponibilidade
Estar sempre disponível para as pessoas autorizadas.
É essencial que a Informação Classificada esteja sempre disponível para as pessoas
autorizadas.
Autenticidade
Não ser muito alterada ao longo do seu ciclo não garante que ainda seja autêntica.
A autenticidade da Informação Classificada confirma-se apenas quando se comprova a sua
fonte e quando se mantém sempre inalterada.
Não repúdio (ou responsabilização)
Quando a origem da IC é garantida de forma inquestionável.
As assinaturas digitais, por exemplo, são uma prova de não repúdio.
Ciclo de vida da IC é o abaixo descrito onde em cada etapa aplicam-se procedimentos que
garantem o controlo da informação e que são complementares de todas as medidas
anteriormente discutidas.
Produção
Registo
Executado antes da distribuição e no momento da recepção.
Para registo digital usa-se um sistema de registo e controlo que a ANS aprovou.
Para registo manual organiza-se de acordo com o Grau da IC (ver mais abaixo).
Reprodução
Arquivo
Reclassificação
Desclassificação
Destruição
Para manusear ou armazenar a IC em certos serviços ou instalações recorre-se às medidas de
segurança física anteriormente discutidas.
O Pessoal tem de ser credenciado com o grau e a marca de segurança da IC com que
trabalha.
CICLO DE VIDA DA IC
Quais os procedimentos para classificar, preparar e manusear IC.
A classificação é atribuir um Grau e uma Marca de segurança. Requer uma análise criteriosa e
uma avaliação do risco sobre a visibilidade da IC.
Depois, em função da classificação atribuída deve-se definir as medidas de segurança a
aplicar no seu ciclo de vida, definir quem a pode manusear, que credenciais deve ter. O
sucesso desta fase é o sucesso da proteção da IC.
Deve existir um sistema de gestão documental em conformidade com as normas da ANS. Tal
sistema deve garantir
Número de registos de entrada
Data do documento
Referência do documento (sigla)
Título do documento
Classificação de segurança do documento
Número do exemplar e/ou cópias
Data de recepção do documento
Localização do documento
Data de destruição do documento
Número do certificado de destruição do documento
Como reproduzir IC?
Para a reprodução e cópia da IC exige-se que nos níveis mais elevados de classificação seja
obrigatório o registo, controlo e inventário, para além da indicação de controlo em todos os
documentos reproduzidos, bem como da classificação do documento original bem visível.
E como transmitir ou transportar IC?
Sempre que possível devem ser usados Sistemas de Informação certificados e acreditados.
Entre pessoas (transferir ou transportar), ambas devem estar credenciadas para o mesmo
grau da IC.
E sobre a Destruição?
Nesta fase queremos evitar acumular informação e cuidados adicionais com IC que deixou de
ser relevante. O processo tem regras e prazos mínimos estabelecidos pelo GNS.
Com mais de 5 anos desde que não revelem interesse histórico ou necessidade de
conservação
Exige-se igualmente bom senso na selecção.
Atenção aos detalhes.
SEGURANÇA INDUSTRIAL
Versa a segurança da IC no “setor privado” das áreas tecnológicas, industrial ou de
investigação.
Todos os conceitos, princípios até agora discutidos se aplicam! Mas há normal adicionais para
quem pretenda:
Concorrer a concursos públicos classificados, nacionais ou internacionais;
Produzir bens ou conduzir investigação que exija acesso, posso e controlo de IC;
Importem, produzam ou comercializem bens e tecnologias militares.
A responsabilidade será sempre da Administração ou Gestão de Topo da organização privada.
A ANS limitar-se-á a verificar o cumprimento das regras e procedimentos, por inspecção,
credenciação etc..
Será o “Encarregado de Segurança” (previsto por lei) o responsável pelos Núcleos de
Segurança e por planear, coordenar e executar as medidas de segurança. Será o principal
conselheiro e elemento fundamental no desenvolvimento de uma cultura de segurança, em
particular nos departamentos de TI e de RH.
Em organizações maiores o Encarregado de Segurança tem a colaboração do CISO (Chief
Information Security Officer) e do DPO (Data Protection Officer)m responsáveis pela
infraestrutura tecnológica e sistemas de informação e pela proteção de dados.
Deve ser sempre mantida uma colaboração com o GNS.
As empresas são credenciadas pelas pessoas que “a obrigam judicialmente”. Deve ser criado
um “Posto de Controlo” (órgão de segirança), o qual respeitará os princípios da Segurança
Física anteriormente referido. É também avaliada a implementação do Programa de
Segurança Protetiva, que cumpra as normativas nacionais, da NATO e da UE.