São Paulo, 17 de Outubro de 2021

Kelson Michel Aoki

POS0858 NORMAS E MELHORES PRÁTICAS DE SEGURANÇA DA
INFORMAÇÃO PG1215-212-5 - 202122.ead-18978.01

Estudo de caso “Empresa IBH”

A empresa pública IBH sediada em Brasília é formada por uma rede de 40 hospitais
sem gerenciamento e sem governança de T.I. centralizada, desta forma, cada unidade local
possui suas próprias políticas e estrutura de sistemas com integração defasada e níveis de
segurança baixa com alta vulnerabilidade.

Esta falta de padronização ocasionou um vazamento de dados de clientes e

colaboradores, pois como não havia mecanismos de auditoria, não foi possível identificar a
fonte do vazamento das informações.

Conforme a ISO 27001 é necessário identificar os riscos, as ameaças a esses

ativos (Ativo é considerado qualquer coisa que gere valor para uma empresa), identificar as
vulnerabilidades e os impactos. No caso em questão, com o uso dos dados vazados, foram
aplicadas tentativas de estelionato em pacientes e divulgação não autorizada de
informações de funcionários para a imprensa.

Tão importante quanto a análise de riscos é conscientização e o treinamento de

todos colaboradores sobre melhores práticas de Segurança da Informação.
Dentro da norma ISO 27001 destaca-se:

“5.2.2 Treinamento, conscientização e competência

A organização deve assegurar que todo o pessoal que tem
responsabilidades atribuídas definidas no SGSI seja
competente para desempenhar as tarefas requeridas:”

O portal de “PORTAL.TCU.GOV.BR” recomenda como boa prática, a criação de um

comitê de segurança da informação. Através dele, serão atribuídas as responsabilidades e
hierarquias relacionados ao tema. Serão definidas políticas de segurança da informação em
acordo com normas e legislação vigentes a fim de promover paralelamente o compliance (A
palavra “compliance” vem do verbo em inglês “to comply”, que significa agir de acordo com
uma ordem, um conjunto de regras ou um pedido. No ambiente corporativo, compliance
está relacionada à conformidade ou até mesmo à integridade corporativa. Ou seja,
significa estar alinhado às regras da empresa, que devem ser observadas e cumpridas
atentamente.)
 Outro fator muito importante:

“A.9 Segurança física e do ambiente

A.9.1 Áreas seguras
Objetivo: Prevenir o acesso físico não autorizado, danos e interferências com as
instalações e informações
da organização.
A.9.1.1 Perímetro de segurança física
Controle
Devem ser utilizados perímetros de segurança (barreiras tais
como paredes, portões de entrada controlados por cartão ou
balcões de recepção com recepcionistas) para proteger as
áreas que contenham informações e recursos de
processamento da informação.
A.9.1.2 Controles de entrada física
Controle
As áreas seguras devem ser protegidas por controles
apropriados de entrada para assegurar que somente pessoas
autorizadas tenham acesso.”

É necessário definir os perímetros de segurança e quais são os locais de acesso

restritos.

Recomenda-se a instalação de controles de acesso que exijam utilizar recursos

biométricos ou cartões magnéticos.

Que sejam criadas e cumpridas a risca políticas de aprovação de controle de

acesso, bem como o registro detalhado e auditado deles.

Em relação ao acesso a rede e sistemas:

“A.10.7.4 Segurança da documentação

dos sistemas
Controle
A documentação dos sistemas deve ser protegida contra
acessos não autorizados.”

Também se atentar ao uso de complexidade de criação das senhas para mitigar o

risco de serem facilmente descobertas ou quebradas:(Cert.BR):
“quanto melhores forem as suas senhas, menores serão as chances de sucesso de
ataques de forc¸a ˜ bruta e, consequentemente, de suas contas serem invadidas (mais
detalhes no Cap´ıtulo Contas e senhas);“
 A rede de dados, por conterem informações sigilosas, deveriam estar no mínimo
criptografados e existir um procedimento que restringisse somente a um determinado grupo
o manuseio deles em um ambiente devidamente controlado.

De forma transparente e eficaz, promover e ratificar o uso responsável dos acessos

tanto físicos como digitais.

Através de termos de responsabilidade, campanhas e auditorias constantes

promover a importância e as consequências de não se adequar as políticas internas da
companhia.

“A.11.3 Responsabilidades dos usuários

Objetivo: Prevenir o acesso não autorizado dos usuários e evitar o
comprometimento ou roubo da informação
e dos recursos de processamento da informação.
A.11.3.1 Uso de senhas
Controle
Os usuários devem ser orientados a seguir boas práticas de
segurança da informação na seleção e uso de senhas.
A.11.3.2 Equipamento de usuário sem
monitoração
Controle
Os usuários devem assegurar que os equipamentos não
monitorados tenham proteção adequada.”

Em hipótese alguma anotar uma senha de uso confidencial em papéis e deixá-los

expostos no ambiente de trabalho.
“A.11.3.3 Política de mesa limpa e tela
limpa
Controle
Deve ser adotada uma política de mesa limpa de papéis e
mídias de armazenamento removíveis e uma política de tela
limpa para os recursos de processamento da informação.”

Atualmente existem diversas ferramentas no mercado que propõem soluções

integradas para gestão da segurança da informação. Dentre elas, recomendo os produtos
da Manageengine. Em especial o AD AUDIT Manager. Através dele é possível gerar
relatórios e alertas para notificar falhas de autenticação, tentativas de acesso, manuseio e
alteração de dispositivos, diretórios, servidores e estações de trabalhos conectados em
rede.

A padronização de equipamentos de segurança igualmente deve ser levado em

consideração, a implementação de um sistema centralizado de processamento e
armazenamento das informações como ERP por exemplo e o uso de FIREWALL nas
bordas de cada filial para monitorar e restringir o tráfego de dados. O portal
“BR.COMPILA.COM.BR” explica da seguinte forma:
“Por meio de protocolos específicos de codificação, toda a informação contida no
ERP é criptografada — ou seja, é embaralhada, de forma que mesmo que alguém consiga
invadir o sistema, não poderá ter acesso ao conteúdo da informação.”

É imprescindível se lembrar do plano de continuidade do negócio alinhando uma boa

política de backup e recuperação de desastres a empresa DELL explica em seu portal da
seguinte maneira:
“A recuperação de desastres é um recurso essencial aos negócios para
organizações de todos os portes. A capacidade de retomar as operações completas de TI
dentro de um período específico, conhecido como RTO (Recovery Time Objective, Objetivo
de Tempo de Recuperação) e em um ponto específico no processo de TI, conhecido como
RPO (Recovery Point Objective, Objetivo de Ponto de Recuperação) é essencial para
manter a continuidade dos negócios, evitando a perda de receita e garantindo uma
produtividade contínua.”

Para identificar os pontos fortes e fracos, pode-se adotar o uso de ferramentas de

gestão SWOT. E para a implementação, o uso do PDCA X PDCL. Técnica para planejar,
aplicar e promover melhoria e aprendizado contínuo.
(https://www.gp4us.com.br, 2019)

Quando se trata de segurança da informação, não existe um ambiente 100% seguro,

portanto o trabalho de mitigação de riscos deve ser constante e sempre priorizado.

Bibliografia:

Disponível em https://www.manageengine.com/
Acessado em 17/10/2021.
ABNT NBR ISO/IEC 27001 Primeira edição 31.03.2006
Disponível em: https://portal.tcu.gov.br/lumis/portal/file/fileDownload.jsp?
fileId=8A8182A24F0A728E014F0B226095120B acessado em 17/10/2021.
Disponível em: https://capitalaberto.com.br/secoes/explicando/o-que-e-compliance/
acessado em 17/10/2021.
Disponível em: https://blog.compila.com.br/seguranca-da-informacao/ acessado em
17/10/2021.
Disponível em https://www.delltechnologies.com/pt-br/learn/data-protection/disaster-
recovery.htm Acessado em 17/10/2021.
Disponível em: https://www.sebrae.com.br/Sebrae/Portal%20Sebrae/Anexos/ME_Analise-
Swot.PDF Acessado em 17/10/2021.
Acessado em: https://www.gp4us.com.br/ciclo-de-melhoria-continua-pdcl-aprendendo-a-
cada-iteracao/ disponível em 17/10/2021.