Escolar Documentos
Profissional Documentos
Cultura Documentos
Objetivo do material
Conteúdo
1. Introdução
2. O que é Data Security & Privacy (DS&P)?
3. O que é Personal Information (PI)?
4. O que é Sensitive Personal Information (SPI)?
5. O que é es Business Sensitive Information (BSI)?
6. Responsabilidades Gerais: On/Off-boarding
7. Responsabilidades Gerais: Treinamento
8. Treinamento requerido no On-boarding do projeto
9. Responsabilidades Gerais : Acesso PI/SPI/BSI
10. Responsabilidades Gerais : Armazenamento e Distribuição de PI/SPI/BSI
11. Responsabilidades Gerais : Transporte de PI/SPI/BSI
12. Responsabilidades Gerais : Utilização de PI/SPI/BSI
13. Responsabilidades Gerais : Uso da estação de trabalho (Workstation)
14. Responsabilidades Gerais: Processo de registro de usuários privilegiados na IBM
15. Responsabilidades Gerais : Segurança da Senha
16. Riscos e requisitos específicos do cliente para DS&P no projeto
17. Sumário
Conteúdo:
1. Introdução
A divulgação de informações pessoais (PI/SPI/BSI) ou a não proteção da segurança dos sistemas
do cliente podem afetar a IBM:
– O número de leis e regulamentos nessa área continua a crescer (por exemplo, GDPR:
Regulamento Geral de Proteção de Dados)
O estudo anual de 2017 do Instituto Ponemon dos EUA sobre o "custo de um vazamento de
dados" mostra:
– Varia de país para país, o custo médio anual nos EUA foi de 3,6 milhões.
Confidencialidade
Autenticação
Privacidade dos Dados: A capacidade das pessoas de determinar quando, como e para quais fins
as informações sobre elas são/serão usadas ou divulgadas a outras pessoas.
Os padrões e requisitos de segurança ajudam garantir a proteção dos dados dos clientes da
IBM.
ATENÇÃO!
– Toda e qualquer informação sobre o projeto/cliente é informação confidencial e não devem ser
compartilhadas/publicadas em ferramentas colaborativas como Lighthouse, Publisher, Mural,
Github, etc...
– Por isso atenção as ações para evitar a violação de dados:
1. Antes de publicar qualquer informação sobre a conta na qual está atuando, obtenha a aprovação do PM
do projeto.
2. Sua publicação deve ser privada somente aqueles que necessitam do acesso para finalidade dos
negócios.
3. Revise anualmente suas publicações nas ferramentas colaborativas e caso estejam públicas (para todos
IBMers), realizar a deleção ou privar a publicação conforme a recomendação anterior.
Off-boarding
– Conclua as tarefas atribuídas a você, por exemplo: assine a certificação de remoção
de dados, devolva os ativos do projeto, etc.
– Nos 30 días após a saida do profisional do projeto (se o funcionário continua atuando
na IBM), deve ter evidência das tarefas feitas na tool de On/Off-boarding ou envia-las
ao PM/PMO do projeto conforme aplicável.
8. Treinamentos disponíveis
Curso Responsável
Cybersecurity & Privacy Empregados regulares e subcontratados com
acesso à intranet IBM (anualmente)
IBM Open Source Participation Guidelines Quando se utiliza OSS no projeto, empregados
(OSPG) regulares e subcontratados
Destrua com segurança o PI/SPI/BSI assim que não for mais necessário:
– Destrua adequadamente a mídia física compartilhada (cópias impressas,
disquetes, CDs, etc.)
– Substituir com segurança os dados armazenados nos computadores
– Reescreva com segurança os dados armazenados nos computadores
Não incluir o PI/SPI/BSI ao inserir dados em documentos criados para dar suporte a um
projeto, por exemplo:
– Folhas de cálculo
– Documentos de texto
– Anotações
– Emails
– Telas / bitmaps
Uma estação de trabalho IBM registrada na IBM (indicando acesso ao SPI, se aplicável) ou,
Uma estação de trabalho fornecida pelo cliente
Link do beekeeper para avaliar status de compliance do seu equipamento IBM: https://beekeeper.us1a.cirrus.ibm.com
IBM Confidential (Once
Filled Up) 17 © Copyright IBM Corporation 2009
IBM Global Business Services
AÇÃO REQUERIDA:
Se você atender à definição ITSS de Usuário Privilegiado, certifique-se de se registrar como usuário privilegiado inserindo o seguinte
link: IBMs Privileged User registration process.
- Se seu status mudar, certifique-se de atualizar seu registro para refletir a atualização.
Pode haver momentos em que você será um usuário privilegiado para os requisitos da estação de trabalho ITSS, mas você não terá acesso privilegiado conforme definido pela DS&P. Ex: Se você tiver acesso ao ambiente de produção do cliente com dados do cliente,
você seria um usuário privilegiado de acordo com o ITSS e teria que se registrar através do Beekeeper. No entanto, você não teria acesso privilegiado sob as diretrizes da DS&P.
ITSS- https://pages.github.ibm.com/ciso-psg/main/standards/itss.html#32-privileged-user-responsibilities
ITSS FAQ (Definition)- https://pages.github.ibm.com/ciso-psg/main/faqs/euaur_faq.html
Beekeeper- https://w3.ibm.com/w3publisher/cio-endpoint-security/beekeeper
– Recursos:
Acesso aos ambientes de produção de clientes com dados do cliente.
Acesso a ambientes de desenvolvimento/teste com uma cópia dos dados do cliente dos ambientes de produção.
Acesso ao código fonte entregue aos clientes sob contratos ou ofertas de serviços.
Acesso de administrador ao ambiente de produção
Acesso com permissões para fazer alterações no ambiente de produção
Acesso ao ambiente de preparação do cliente com dados e código do cliente.
Nota: Esta lista não se destina a ser exaustiva, mas apenas para fins instrutivos.
Guia: Se você tiver acesso ao ambiente de um cliente ou ao código fonte que um cliente usa, você deve se registrar no Beekeeper como usuario privilegiado.
O projeto possui acesso a informações regulamentadas pela Lei Geral de Proteção de Dados do Brasil
(LGPD), portanto é de responsabilidade do projeto (recursos, PM, PMO, SE) manter as informações
protegidas conforme as orientações dos treinamentos
Os treinamentos devem seguir o processo de renovação anualmente, por semestre ou quartil. Portanto
não deixe de realizar ao receber as notificações dentro dos prazos determinados.
Em decorrência da pandemia Covid-19, os recursos que atuam no formato “Home Office”, devem
realizar por quartil a auto inspeção de segurança no ambiente de trabalho conforme o arquivo “Home
Worker Checklist” que será enviado por e-mail.
Caso considere que ocorreu um incidente de segurança, antes de qualquer contato com o cliente, entre
em contato com seu PM e informe-o no seguinte link:
https://w3.ibm.com/ibm/privacy/data-incident-reporting
17. Sumário
Entenda os requisitos relacionados com PI/SPI/BSI
Use boas práticas de segurança o tempo todo
– As principais áreas a serem focadas incluem:
Proteção de PI, SPI e BSI
Cumprir todos os requisitos de ON/OFF-Boarding
Gerenciamento de acesso a sistemas e ambientes
Separação de Tarefas (SOD)
Minimize os riscos associados ao acesso ao PI/SPI/BSI
Aderir aos requisitos e procedimentos do projeto mencionados neste módulo de treinamento
Nota final: não há uma resposta única para cada situação
– Pergunte a si mesmo qual é a melhor maneira de gerenciar e proteger os dados pelos quais
você é responsável.
– Considere os requisitos associados aos dados que você manipula
– Se você não tiver certeza, pergunte ao seu gerente de projeto
– Pensé e faça perguntas.
Training Completion
Project: BRADESCO
Através do site Latin America DS&P Templates você encontra suporte local
relacionado a DS&P em relação a templates e considerações específicas para o
Brasil, SSA e México (templates em português e espanhol)
Todo novo projeto deve concluir uma avaliação (DRA) dentro dos primeiros 90 dias do
início do serviço no projeto. Projetos categorizados como “Alto risco” podem ser
selecionados para executar um RRA posteriormente.
‒ DRA. Delivery Risk Assessment, é realizada apenas no início do projeto e serve para o projeto
implementar os controles necessários do DS&P.
‒ RRA. Risk Re-Assessments, são realizadas periodicamente em uma seleção de projetos de “alto
risco” e servem para verificar se os controles estão sendo implementados.
Se você não for convidado por um SRA (Security Risk Analyst) para executar um DRA
ao iniciar seu projeto, entre em contato com o Focal Point de DS&P LA.
O acesso PI/SPI/BSI deve ser comunicado ao cliente por meio de uma carta de risco para
confirmar e reconhecer que a equipe IBM precisa acessar esse tipo de informação ou que as
alterações necessárias são feitas para impedir o acesso a o PI/SPI/BSI.
Quando não é possível evitar/eliminar o acesso a dados PI/SPI/BSI, deve ser capturado como um
risco (no log de riscos) e os controles necessários implementados para reduzir o risco associado
ao seu acesso.
Verifique se o projeto é regulamentado pela GDPR, CCPA, LGPD, etc. Para mais informações sobre o
GDPR/LGPD, acessar no wiki do GBS Global GDPR
https://w3.ibm.com/w3publisher/dprc/security-tools-and-resources/gbs-dprc-wizard
O projeto deve ter um repositório (Box, IPWC, bancos de dados Notes, Github, Blueroom, etc.)
para armazenar as informações do projeto (por exemplo, processos e evidências de
implementação dos processos).
O acesso ao repositório deve ser restrito às pessoas ativas no projeto e o acesso deve ser
eliminado para as pessoas que saem do projeto ou não precisam de acesso.
A responsabilidade pelo gerenciamento das informações salvas é do projeto, mesmo que este não
tenha o controle do repositório. Se for esse o caso, deve ser acordado com a entidade que controla
o repositório como será feito o controle de acesso.
Deve haver ao menos 2 pessoas como reserva para poder acessar as informações do projeto (se o
projeto tiver 2 pessoas, inclua seu gerente ou parceiro que pode estar de reserva)
As informações devem ser devidamente rotuladas, sejam elas PI/SPI/BSI ou outras informações
confidenciais.
No caso de utilizar BOX e armazenar informação confidencial, altere a classificação BOX para
confidencial (o mesmo para outros repositórios que o permitam).
Em caso de dúvida quanto ao manuseio de informações confidenciais, consulte a Instrução
Corporativa LEG 116:
https://w3-03.ibm.com/ibm/documents/corpdocweb.nsf/ContentDocsByTitle/Corporate+Instruction+
LEG+116
28. Referencias
Latin America DS&P Templates (português e espanhol): https://w3.ibm.com/w3publisher/ibm-consulting-
americas-biso-org/ds-p-program-americas/ds-p-control-framework/americas-only-ds-p-templates
Obrigado!