Antes de iniciar a leitura deste artigo, pare um momento e dê uma olhada ou, se estiver em home office, pense no seu ambiente de trabalho e responda estas questões: Seu escritório é aberto? Você compartilha o ambiente de trabalho com pessoas de outras empresas ou funcionário de outros setores? Que documentos e equipamentos você costuma deixar sobre a sua mesa quando está trabalhando? E quando você se ausenta do posto do trabalho, esses documentos permanecem em cima da mesa? Ao fazer uma pausa para pegar um café você faz logout ou bloqueia a tela?
Ao refletir sobre estas questões, você se dá conta de quantas informações valiosas e ativos estão sob a sua responsabilidade e, muitas vezes, são negligenciados por você mesmo de forma intencional? Quando um ativo fica desprotegido, a informação está em risco e, por conta disso, é necessário implementar medidas que garantam a segurança da informação.
A política de mesa limpa e tela limpa é uma forma de garantir que informações e ativos não ficarão vulneráveis quando o funcionário deixa seu posto de trabalho ou está em outro local trabalhando.
COMO IMPLEMENTAR UMA POLÍTICA DE MESA LIMPA E TELA LIMPA?
Para descrever uma política de mesa limpa e tela limpa é preciso ter em mente o modelo de negócio da empresa, quais os riscos organizacionais que foram identificados na análise de risco e os aspectos culturais da organização. É importante saber onde os funcionários trabalham, se todos trabalham no escritório ou é permitido trabalhar em home office e locais públicos. E quais os dispositivos móveis, como notebooks e smartphones, que os colaboradores têm acesso.
Outro ponto importante é a classificação da informação, por exemplo, se a informação é mais sensível ou confidencial, e quais os requisitos legais e contratuais que demandam proteção da informação.
Após descrever a política, para garantir sua implementação, é preciso que todos os colaboradores estejam conscientes do seu objetivo e sejam informados sobre as novas regras.
QUAIS REGRAS IMPLANTAR NA PRÁTICA?
Ativos sensíveis devem ser armazenados em locais com trancas, como salas, armários, gavetas e, até mesmo, cofres, quando não estão em uso. Além disso, devem ser tomadas medidas contra o acesso não autorizado de pessoas. Por exemplo, uma sala que armazene objetos muito sensíveis, além de tranca, deve ser monitorada por câmeras se segurança.
Proteção a dispositivos e telas. Dispositivos e telas devem estar posicionados em locais que evitem que pessoas não autorizadas possam olhar seu conteúdo. Além disso, ao se ausentar do local de trabalho, o colaborador deve sempre bloquear a tela de acesso. Outra medida de prevenção é encerrar automaticamente sistemas de informação, após um tempo sem uso.
Uso de impressoras. Impressoras também são um ponto de atenção que podem possibilitar o vazamento de informações confidenciais. Por exemplo, se alguém imprime um documento confidencial, mas esquece de retirá-lo da impressora, a informação poderá ser vista por pessoas não autorizadas. Uma forma para evitar que isso ocorra é conscientizar os colaboradores para que busquem imediatamente suas impressões ou utilizar um sistema de proteção que só permita a impressão de documentos se o colaborador liberar o equipamento presencialmente, por meio de pin ou crachá.
Outro ponto importante é evitar a impressão de documentos de maneira desnecessária. Imprimir menos papel, além de poupar recursos, é mais uma forma de prevenir o vazamento de informações. Nas situações em que a impressão seja necessária, lembre-se de não deixar o documento sem supervisão.
Atente-se ao descarte correto dos documentos contendo informação. Por exemplo, antes de descartar um documento físico, utilize uma fragmentadora e apague informações escritas em quadro branco durante as reuniões.
Ao final do dia desligue o seu dispositivo e verifique se todas os documentos e equipamentos móveis estão mantidos em segurança. Evite deixar qualquer informação em seu posto de trabalho quando você estiver ausente.
A Política de mesa limpa e tela limpa é uma medida de segurança da informação que pode ser implantada por qualquer organização sem gerar custos adicionais e sem necessitar de soluções tecnológicas. Portanto, não espere que haja um incidente de segurança da informação para agir, adote as regras que fazem sentido a seu negócio e conscientize todos os colaboradores.
Caso, tenha interesse de saber mais sobre como garantir a segurança da informação na sua organização, entre em contato conosco. Um dos treinamentos corporativos desenvolvidos pela Total Privacy, introdução à Segurança da Informação, tem o intuito de facilitar o entendimento sobre Segurança da Informação para profissionais que não possuem conhecimento sobre este assunto. Envie um e-mail para contato@totalprivacy.com.br.
Andressa Segantini
Consultora de Privacidade e Proteção de Dados Pessoais