1. SEGURANÇA DA INFORMAÇÃO: o que é e por quê?
A segurança da informação tem como base a Norma ISO 27001, que é o padrão e a referência internacional para a gestão da Segurança da Informação. Busca garantir uma série de práticas que auxiliam na identificação, análise e implementação de controles específicos para a garantir a segurança da informação da empresa, instituição ou entidade protegendo a integridade, a confidencialidade e a disponibilidade de quaisquer dados de negócios essenciais à organização. Foi ampliada pela norma ISO 27701.
Em relação à segurança no uso e compartilhamento de dados pessoais, este instrumento tem, como arcabouço legal, os artigos 6º e 46 da Lei nº 13.709/2018 – Lei Geral de Proteção de Dados Pessoais (LGPD) e suas alterações – e Lei 13.853/2019, que cria o órgão federal responsável por fiscalizar e aplicar a LGPD: a Autoridade Nacional de Proteção de Dados Pessoais (ANPD).
A implantação de uma política de segurança da informação na ADUFPB é justificada pelo uso das tecnologias em várias ações do sindicato, por meio da conectividade e do uso das redes de internet, em que informações e dados são capturados e/ou compartilhados dentro e fora de suas dependências. Incluem-se, nessa política de segurança, além dos documentos nato-digitais, os documentos físicos – geralmente, em suporte papel –, que devem estar devidamente arquivados e acesso controlado com acompanhamento ou permissão do setor responsável, como também o fornecimento de cópias ou empréstimos.
Promover uma cultura de segurança da informação é necessário e imprescindível para que os procedimentos sejam padronizados e não se realizem pela subjetividade dos colaboradores, a fim de que não ocorram situações acidentais ou ilícitas que acarretem riscos à privacidade e ao bom uso de dados e informações.
Portanto, essa política pretende inserir e difundir, no ambiente de trabalho, a mentalidade coletiva voltada para a segurança da informação e a proteção de dados. Com isso, é possível minimizar os riscos, proteger os dados confidenciais de ameaças internas e externas e instituir boas práticas quanto ao uso e compartilhamento de dados e informações.
2. DAS RESPONSABILIDADES NO USO DE DADOS E INFORMAÇÃO
2.1 Responsabilidade civil e responsabilidade solidária no uso e no compartilhamento de dados
Na condição de agente controlador, cabe à ADUFPB as decisões de como tratar os dados pessoais coletados. Ao operador, cabe o tratamento dos dados pessoais em nome do Controlador. Ambos têm responsabilidade civil e solidária no uso e no compartilhamento de dados, conforme preveem os artigos 42 a 46 da LGPD, pelos danos causados aos titulares dos dados, e o art. 52, referente às sanções previstas pela ANPD.
O encarregado de dados é um dos agentes de tratamento de dados dentro da instituição. É o elo entre o controlador, o titular dos dados e a autoridade fiscalizadora – a ANPD. Atua como um consultor, dando treinamentos, ouvindo as reclamações e fazendo recomendações. Não cai, sobre ele, a responsabilidade civil nos casos de ciberataques, violações ou vazamento de dados.
3. FORMAÇÃO DE UMA CULTURA DE SEGURANÇA DA INFORMAÇÃO
A formação de uma cultura coletiva que preza pela segurança da informação e pela proteção de dados tem, como objetivo, mitigar os riscos e as vulnerabilidades, a fim de evitar ataques ou incidentes que possam acontecer pelo comportamento inseguro do usuário.
Todos da organização estão inseridos nessa responsabilidade. Ou seja, procedimentos como os de clicar em links, abrir anexos, instalar softwares, inserir unidades flash USB, jogar um relatório no lixo, um recado anotado contendo dados pessoais e/ou sensíveis, documentos expostos sobre a mesa ou na tela do computador que contenham assuntos sigilosos e o atendimento na recepção, entre outros, podem facilitar invasões ou o mau uso de informações.
3.1 Política de Tela e Mesa Limpas
A Política de Mesa Limpa e Tela Limpa reúne diversas práticas de segurança que visam proteger dados e informações – sejam digitais, sejam impressos –, do acesso, divulgação ou uso não autorizados, bem como perda, fraude ou outro tipo de dano. São elas:
- Definir acessos limitados por login e senha;
- Eliminar as práticas de post-its com login e senha afixados nas telas;
- Nunca compartilhar as senhas de acesso a computadores, senhas de emails etc.;
- Jamais deixar, sobre a mesa, documentos que contenham dados pessoais, dados sensíveis e informações de privacidade ou de contratos;
- Manter os armários com documentos fechados à chave;
3.2 Política de Construção, Uso e Troca de Senhas
A prática de usar a mesma senha para vários aplicativos ou, ainda, o uso de senhas frágeis (números previsíveis como data de nascimento ou números sequenciais, iniciais do próprio nome etc.) promovem a vulnerabilidade. Para garantir a segurança das senhas, observar:
- Utilizar senhas alfanuméricas, geralmente com oito caracteres ou mais, e pelo menos um caracter especial (@, !, /, *);
- Utilizar senhas únicas para cada aplicativo ou site;
- Nunca utilizar senhas padrão;
- Nunca reutilizar senhas;
- Habilitar o PIN no whatsapp;
- Adotar a autenticação de dois fatores;
- Trocar as senhas a cada período de três ou seis meses;
- Acessar apenas os dados ou ativos institucionais apropriados para as suas funções;
- Trocar imediatamente as senhas de primeiro acesso fornecidas na implantação de um software ou aplicativo;
- Desativar as credenciais de usuários afastados, em férias ou desligados.
3.3 Política de uso de dispositivo
O uso de dispositivos será concedido apenas àqueles autorizados. A cada período de 90 (noventa) dias, essas autorizações e permissões serão revisadas. Como adoção de uma postura preventiva, a ADUFPB passa a implementar os procedimentos:
- Acesso às redes WI-FI através de cadastro com login e senha, que possibilita a identificação do usuário por IP ou MAC em casos de incidentes de segurança;
- Usuário único por dispositivo – ou, se o dispositivo for compartilhado, cada usuário com seu próprio login e senha;
- Computadores com programas atualizados;
- Configuração de roteadores de internet com constância;
- Manutenção de um software antivírus;
- Cópias de segurança dos arquivos – ou seja, realizar backups e/ou contratar um armazenamento em nuvem;
- Gerenciamento de usuários e senhas (ações identificadas por usuário);
- Gerenciamento de acesso aos dispositivos conectados à infraestrutura (física, virtual e remotamente) e aqueles em ambientes de nuvem.
3.4 Política de controle de acesso
A Política de Controle de Acesso objetiva estabelecer controles de identificação, autenticação e autorização para salvaguardar as informações da ADUFPB, estejam elas em qualquer meio, seja digital ou físico, a fim de evitar a quebra da segurança da informação e quaisquer acessos não autorizados que implique em risco de destruição, alteração, perda, roubo ou divulgação indevida
Os controles de autorização, identificação e autenticação, previne contra o risco potencial de que os sistemas de informação possam ser acessados ilicitamente e que a segurança desses sistemas de informação seja comprometida.
Esta Política se aplica a todas as informações das quais a ADUFPB seja o agente de tratamento, ao meio utilizado para este tratamento, seja digital ou físico, e às dependências físicas desta organização, bem como a qualquer pessoa que circule nas dependências ou que interaja exercendo controle administrativo, técnico ou operacional, mesmo que eventual, desses meios de tratamento.
Especificamente, inclui:
. Todos os funcionários, sejam efetivos ou temporários;
. Todos os contratados e terceiros que nos prestam serviços;
. Todos os funcionários de parceiros que acessam fisicamente as dependências ou que acessam a rede e sistemas de informação da ADUFPB.
3.4.1 Acesso à internet corporativa por login e senha
Visando o uso adequado e seguro da internet corporativa a ADUFPB implantou, em abril de 2023, o controle de acesso e o uso da internet por login e senha. Essa medida visa prevenir incidentes[1] de segurança e proteger o sindicato e os usuários (os sindicalizados, os seus colaboradores, os visitantes) das vulnerabilidades e ameaças de ataques cibernéticos a fim de proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, e possibilitará, nos casos desses incidentes, a identificação do usuário por meio de rastreamento pelo IP ou MAC.
De acordo com a Lei Geral de Proteção de Dados Pessoais (LGPD), o uso de dados pessoais se dará, entre outros princípios, pelo consentimento do titular dos dados.
Com base na Política de Uso de Dados e Informações da ADUFPB, já disponibilizada no site, no item referente ao tratamento de dados do sindicalizado, dos funcionários/colaboradores e dos visitantes, esclarecemos que, para essa finalidade, serão usados os dados: nome completo, CPF, número do celular, e endereço de e-mail.
Portanto, o usuário necessita consentir na utilização dos dados descritos acima pois o não consentimento, consequentemente, inviabilizará o uso da internet corporativa.
Essa implantação se deu, como primeira fase, na Sede Administrativa, localizada no Centro de Vivência e, em seguida, será na Sede Sociocultural situada no bairro Cabo Branco e mais adiante, nas secretarias adjuntas de Areia, Bananeiras e Litoral Norte.
4. SISTEMA SINDICALIZI
A ADUFPB adquiriu o software SINDICALIZI, um sistema desenvolvido especialmente para fins de atender atividades administrativas/sindicais. Nele, estão disponibilizados conjuntos de funcionalidades intitulados MÓDULOS cuja aquisição nesse primeiro momento foram: Cadastro, Contribuição, Comunicação e Segurança.
O módulo SEGURANÇA permite atender a várias práticas de segurança contidas no Item 3 acima e seus subitens, já que oferece, entre outras funcionalidades, o registro de todas as ações executadas pelo usuário, com vinculação de IP, data e hora. Dados esses que permitem auditoria.
5. SEDE SOCIOCULTURAL DA ADUFPB
5.1 Sistema de Segurança e Controle de Acesso
A ADUFPB estará implantando na Sede Sociocultural, em data a ser definida, um Sistema de Segurança com instalação de cerca elétrica, câmeras de segurança e reconhecimento facial, cujo objetivo é registrar a entrada de sócios e seus dependentes declarados e de visitantes.
Cabe esclarecer que:
1. Dependentes menores deverão estar acompanhados pelo associado responsável, durante toda a sua permanência na sede Sociocultural;
2. Visitantes não sócios terão liberada a entrada e a permanência na sede Sociocultural, quando acompanhados de um associado.
A adoção do sistema de segurança com tais métodos e equipamentos, tem como arcabouço o Regimento Interno da Sede Sociocultural mais especificamente referente ao que consta no Capítulo II, Das Infrações e Punições, Art. 5º e no Capítulo III, Das Dependências da Sede, Art. 6º – Utilização dos espaços, e justifica-se pela prevenção de riscos à integridade física dos usuários e de possíveis danos ao patrimônio.
A ADUFPB atendendo aos preceitos da Lei Geral de Proteção de Dados Pessoais (LGPD) em seus art. 46 e 47 que tratam da Segurança e do Sigilo de Dados e art. 50 que trata Das Boas Práticas e da Governança, reafirma a conduta do sigilo e da não violação à privacidade e garante o não uso e o não compartilhamento das imagens a serem armazenadas pelas câmeras e pela identificação por biometria facial, exceto em casos estritamente necessários quando ocorrerem incidentes de segurança ou danos ao patrimônio.
6. CONSIDERAÇÕES FINAIS
Essa política de segurança busca esclarecer e trazer conformidade a todas as ações no uso de dados e informações realizadas pela ADUFPB. Poderá ser revisada e/ou atualizada a qualquer tempo, sem aviso prévio.
João Pessoa, 03 de agosto de 2023.
DIRETORIA EXECUTIVA.
REFERÊNCIAS:
[1] INCIDENTE – interrupção não planejada ou redução da qualidade de um serviço, ou seja, ocorrência, ação ou omissão, que tenha permitido, ou possa vir a permitir, acesso não autorizado, interrupção ou mudança nas operações (inclusive pela tomada de controle), destruição, dano, deleção ou mudança da informação protegida, remoção ou limitação de uso da informação protegida ou ainda a apropriação, disseminação e publicação indevida de informação protegida de algum ativo de informação crítico ou de alguma atividade crítica por um período de tempo inferior ao tempo objetivo de recuperação.