Governo manda fazer plano de gestão de backup para segurança dos dados
Diante da proliferação dos ataques cibernéticos, a Administração do Poder Executivo está republicando um manual de boas práticas de segurança da informação produzido pelo Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov) em parceria com a Secretaria do Governo Digital (SGD) e com o Serviço Federal de Processamento de Dados (SERPRO) para os órgãos públicos e parceiros do setor privado. A recomendação foi divulgada em fevereiro e,relembrada, agora, diante da multiplicação dos ataques cibernéticos no país.
O manual de boas práticas sustenta:
O trabalho remoto, intensificado em virtude da pandemia, aumentou significativamente a oferta de serviços na internet e o acesso remoto às redes corporativas. A preocupação com a segurança cibernética passou a ser ponto fundamental da estabilidade social. Diante disso, a experiência alcançada, por meio da colaboração de organizações, demonstrou ser uma importante ferramenta na elaboração de medidas preventivas, tais como:
a. revisar periodicamente a política de segurança da informação, de segurança cibernética ou equivalente;
b. revisar periodicamente o plano estratégico de segurança dos ativos críticos da organização, além de manter atualizado o inventário desses ativos críticos;
c. estabelecer um plano de gestão de backup que contemple o armazenamento seguro dos dados copiados e que sejam observadas questões para o backup tais como como estar isolado, offline, redundante, além de se realizar testes periódicos de recuperação de dados;
d. possuir ambiente com virtualização de servidores, onde se considere a utilização de snapshots (preservando o estado e os dados de uma máquina virtual em um determinado momento), atualizados regularmente, de forma a viabilizar o rápido retorno de sistemas críticos quando necessário;
e. estabelecer um plano de gestão de atualização de sistemas computacionais;
f. implementar e revisar periodicamente a política de senhas da organização, obrigando que elas sejam fortes, que não possam ser repetidas quando trocadas, além de terem período de expiração razoável;
g. mapear e rever os privilégios de usuários, implementando a política de privilégio mínimo;
h. implementar um plano de segurança de acesso remoto da organização que contemple a utilização de VPN e duplo/múltiplo fator de autenticação, além da revisão periódica sobre a necessidade de acesso remoto para cada caso;
i. implementar um plano de autenticação de sistemas que contemple a utilização de múltiplo fator de autenticação sempre que possível, além de gestão de acesso a usuários internos e externos, ativos ou afastados;
j. manter registro de eventos de sistemas (logs) centralizado e em ambiente controlado;
k. implementar plano de bloquear credenciais de funcionários ou colaboradores que estejam afastados (férias, licenças etc.);
l. manter o sistema de gerenciamento contra malware (antivírus) sempre atualizado, avaliando possíveis recomendações de melhoria que o produto ou fabricante possa oferecer;
m. quando viável, implementar o acesso externo ao ambiente da rede interna por meio de utilização de jump server, ou equivalente; e
n. estabelecer plano de conscientização do público interno sobre medidas de segurança quando da utilização do e-mail e rede corporativa, reforçando a necessidade de comunicação à equipe de prevenção, tratamento e resposta a incidentes cibernéticos (ETIR) local em caso de suspeita de incidentes.