Classificação e Tratamento da Informação
fevereiro 6, 2024
Diariamente, durante o nosso trabalho, gerimos fluxos de dados relativos a pessoas, clientes, parceiros e fornecedores, bem como informações técnicas sobre sistemas e serviços que implementamos e governamos.
É nossa responsabilidade proteger fortemente esta informação, garantindo que a mesma não é divulgada a terceiros ou exposta online, uma vez que qualquer exposição incorreta de dados pode originar:
- riscos de ataques cibernéticos, indisponibilidade de sistemas e exfiltração de mais dados
- violação de obrigações contratuais com clientes
- riscos de reputação e perda de confiança/contratos do cliente
- obrigações de notificar as autoridades e os proprietários dos dados, por vezes num espaço de tempo muito curto
- riscos de sanções por não ter protegido adequadamente os dados e por notificação perdida ou atrasada
- alto custo de gerenciamento causado por incidentes de segurança.
Tenha cuidado com os dados expostos por ferramentas de software na Internet
Durante o nosso trabalho é comum a utilização de diversas ferramentas de software de apoio a serviços de desenvolvimento, manutenção e assistência, mediante autorização do nosso gestor direto, bem como no âmbito de acordos contratuais de clientes e de tratamento de dados pessoais.
Muitas dessas ferramentas de software permitem compartilhar informações facilmente com outros usuários ou com todo o público da Internet. Como um exemplo:
- Plataformas de desenvolvimento/teste de API (por exemplo, Postman, SoapUI, Katalon, JMeter, Swagger…).Essas ferramentas podem conter informações técnicas sobre software, credenciais, arquivos, dados pessoais
- Repositórios de código e documentação (por exemplo, GitHub, GitLab, BitBucket, OneDev…). Essas ferramentas podem conter código-fonte proprietário, informações sobre processos de negócios e informações técnicas (consulte uso seguro de repositórios de código-fonte).
É nossa responsabilidade garantir que:
- os dados não são tornados públicos, não são compartilhados com partes não autorizadas e não são mantidos ou sincronizados em dispositivos/mídias de armazenamento portáteis que não sejam da empresa
- contas que acessam dados são protegidas com uma senha forte e autenticação multifator (MFA).
Em caso de incidente, envolva imediatamente cargos superiores
Qualquer pessoa que tenha provas ou suspeite que os dados foram publicados por engano na Internet, ou foram partilhados com pessoas não autorizadas, deve, em primeiro lugar, informar as funções competentes, enviando um email para os seguintes endereços:
- segurança@eng.it
- dpo.privacy@eng.it
- servicedesk_internalit@eng.it
- csirt.eng@cybertech.eu
É crucial não agir sozinho: não faça alterações nos sistemas envolvidos, não apague ou modifique dados e configurações e não comunique com os clientes, porque cada ação pode ser contraproducente se for realizada com tempo e métodos incorretos.
Por fim, lembramos você:
- prestar a máxima atenção aos dados que partilhamos via e-mail ou nuvem (Teams, Sharepoint, etc.), aplicando rótulos de confidencialidade e configurando privilégios de acesso para permitir que apenas os utilizadores necessários acedam a cada informação
- que é proibido usar contas pessoais para conectar-se a serviços de armazenamento em nuvem (por exemplo, Dropbox, Google Drive, OneDrive, Mega, etc.) e é proibido armazenar dados de trabalho em sites que não sejam aprovados pela Engenharia ou pelo cliente
- que é proibido armazenar senhas ou outros segredos em arquivos não criptografados (ver comunicado da Empresa); é recomendável escolher um gerenciador de senhas (por exemplo, KeePass), protegendo-o com uma senha mestra complexa e aplicando prontamente novas atualizações de software assim que forem lançadas.
Obrigado pela atenção, um abraço
Group Information Security OfficeGroup Data Protection Office
