Governo manda fazer plano de gestão de backup para segurança dos dados

Diante da proliferação dos ataques cibernéticos, a Administração do Poder Executivo está republicando um manual de boas práticas de segurança da informação produzido pelo Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov) em parceria com a Secretaria do Governo Digital (SGD) e com o Serviço Federal de Processamento de Dados (SERPRO) para os órgãos públicos e parceiros do setor privado. A recomendação foi divulgada em fevereiro e,relembrada, agora, diante da multiplicação dos ataques cibernéticos no país.

O manual de boas práticas sustenta:

O trabalho remoto, intensificado em virtude da pandemia, aumentou significativamente a oferta de serviços na internet e o acesso remoto às redes corporativas. A preocupação com a segurança cibernética passou a ser ponto fundamental da estabilidade social. Diante disso, a experiência alcançada, por meio da colaboração de organizações, demonstrou ser uma importante ferramenta na elaboração de medidas preventivas, tais como:

a. revisar periodicamente a política de segurança da informação, de segurança cibernética ou equivalente;

b. revisar periodicamente o plano estratégico de segurança dos ativos críticos da organização, além de manter atualizado o inventário desses ativos críticos;

c. estabelecer um plano de gestão de backup que contemple o armazenamento seguro dos dados copiados e que sejam observadas questões para o backup tais como como estar isolado, offline, redundante, além de se realizar testes periódicos de recuperação de dados;

d. possuir ambiente com virtualização de servidores, onde se considere a utilização de snapshots (preservando o estado e os dados de uma máquina virtual em um determinado momento), atualizados regularmente, de forma a viabilizar o rápido retorno de sistemas críticos quando necessário;

e. estabelecer um plano de gestão de atualização de sistemas computacionais;

f. implementar e revisar periodicamente a política de senhas da organização, obrigando que elas sejam fortes, que não possam ser repetidas quando trocadas, além de terem período de expiração razoável;

g. mapear e rever os privilégios de usuários, implementando a política de privilégio mínimo;

h. implementar um plano de segurança de acesso remoto da organização que contemple a utilização de VPN e duplo/múltiplo fator de autenticação, além da revisão periódica sobre a necessidade de acesso remoto para cada caso;

i. implementar um plano de autenticação de sistemas que contemple a utilização de múltiplo fator de autenticação sempre que possível, além de gestão de acesso a usuários internos e externos, ativos ou afastados;

j. manter registro de eventos de sistemas (logs) centralizado e em ambiente controlado;

k. implementar plano de bloquear credenciais de funcionários ou colaboradores que estejam afastados (férias, licenças etc.);

l. manter o sistema de gerenciamento contra malware (antivírus) sempre atualizado, avaliando possíveis recomendações de melhoria que o produto ou fabricante possa oferecer;

m. quando viável, implementar o acesso externo ao ambiente da rede interna por meio de utilização de jump server, ou equivalente; e

n. estabelecer plano de conscientização do público interno sobre medidas de segurança quando da utilização do e-mail e rede corporativa, reforçando a necessidade de comunicação à equipe de prevenção, tratamento e resposta a incidentes cibernéticos (ETIR) local em caso de suspeita de incidentes.