O desenvolvimento, a utilização e o gerenciamento de sistemas de informação devem estar de acordo com requisitos legais. Além disso, devem estar em conformidade técnica com as políticas e normas organizacionais de segurança da informação.
Essa verificação de conformidade não é tarefa trivial. Muitas vezes, o fluxo de informações é entre países distintos, com legislações distintas. Recomenda-se então que o trabalho seja realizado por uma consultoria jurídica especializada.
Caso a organização utilize ou acesse informações de forma inapropriada, poderá sofrer sanções legais. E os responsáveis pela ação poderão responder civil e criminalmente.
O fato é que a obrigação legal fez com que empresas passassem a tratar a segurança da informação com muito mais seriedade.
CONFORMIDADE COM A POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
Os procedimentos de segurança da informação e o processamento da informação devem estar em conformidade com as políticas e normas de segurança adotadas pela organização. E essa conformidade precisa ser verificada periodicamente. Não bastasse isso, a definição e documentação dos controles envolvidos com a conformidade devem fazer parte da política.
Deve existir ainda uma política de conformidade, que deve ser divulgada em toda a organização. E uma vez que todos tomem consciência de suas responsabilidades, do que pode ou não ser feito e do que pode ou não ser acessado, pode-se promover ações disciplinares contra os infratores. Mas antes da implementação de procedimentos de monitoração, convém que se procure algum tipo de assessoria legal. O monitoramento precisa ser de conhecimento dos usuários, que devem assinar um documento onde concordam com essa vistoria.
CONFORMIDADE COM DIREITOS DE PROPRIEDADE INTELECTUAL
Da mesma forma, direitos de propriedade intelectual também precisam de procedimentos que garantam a conformidade com requisitos legislativos, contratuais e regulamentares. Essa proteção abrange marcas, softwares, documentos, códigos-fontes, patentes, contratos com fornecedores (no caso da utilização de metodologias próprias na execução de serviços) etc.
Com relação a softwares, os termos e condições de utilização devem ser cumpridos. Além disso, deve-se instalar apenas cópias autorizadas e licenciadas. E não se deve realizar cópias ilegais.
Deve haver um responsável pelo gerenciamento das licenças de software e essa pessoa deve manter o inventário de licenças atualizado e tomar o cuidado para que a quantidade de licenças adquiridas não seja inferior à quantidade de licenças em uso. Evidências da propriedade de licenças devem ser guardadas.
Para softwares desenvolvidos internamente, porém em equipamentos particulares, acordos de licenciamento se tornam necessários para evitar possíveis disputas de direitos de propriedade intelectual.
CONFORMIDADE COM REQUISITOS LEGAIS
Visando aumentar a transparência e a segurança dentro das organizações, além de minimizar riscos ao negócio e a ocorrência de fraudes, surgiram normas e regulamentos que, se descumpridos, podem levar até mesmo à paralisação das atividades da organização. Isso, claro, dependendo do ramo de atuação e tamanho da empresa. Tais normas e regulamentos encontram-se presentes, entre outros, na Lei Sarbanes-Oxley e na Resolução 3380 do Banco Central do Brasil.
CONFORMIDADE TÉCNICA
A verificação da conformidade técnica pode ser feita de forma manual ou por meio de ferramentas que automatizem esse processo, sempre por profissionais qualificados e autorizados ou sob a supervisão desses. A verificação inclui, por exemplo, testes de invasão e scanners de vulnerabilidades. Ao final, um relatório técnico deve ser gerado.
PROTEÇÃO DE REGISTROS ORGANIZACIONAIS
Visando atender requisitos legais, uma organização deve gerar, armazenar e manter protegidos (contra destruição, perda e falsificação) os registros de suas atividades diárias e informações financeiras.
Os registros devem ser classificados (registros de transações, registros contábeis, registros de auditoria etc.) e, de acordo com a categorização recebida, podem ser armazenados por mais ou menos tempo, com maior ou menor nível de segurança e em um tipo de mídia que seja mais apropriado que outro.
PRIVACIDADE DE INFORMAÇÕES PESSOAIS
Toda organização tem a obrigação de proteger as informações pessoais de seus funcionários, colaboradores e clientes. É também de sua responsabilidade declarar explícita e formalmente como acontece essa proteção.
Por informação pessoal podemos entender qualquer informação ou conjunto de informações que permitam identificar um indivíduo. Seja por motivos de legislação ou cláusulas contratuais, a proteção sobre esses dados é obrigação de toda organização.
Recomenda-se que haja uma política específica sobre o assunto. Entre outras orientações da política, deve-se coletar e manter apenas informações pessoais imprescindíveis para a realização do negócio. Essas informações devem ter caráter confidencial e utilizadas somente para a realização das atividades do negócio e jamais transmitidas a terceiros, a menos quando essa for uma necessidade do negócio e o terceiro mantenha os critérios de confidencialidade.
Mesmo tomando todos os cuidados na ação de promover o sigilo das informações pessoais, a organização ainda estará sujeita ao uso indevido de tais informações e, consequentemente, sujeita a reclamações. Nesse caso, os fatos precisam ser seriamente apurados e uma resposta sobre os acontecimentos deve ser dada o mais rápido possível.
CONFORMIDADE EM CONTRATOS COM TERCEIROS
No caso da terceirização de serviços, é recomendável que se procure trabalhar com outras organizações que também compartilham a preocupação com a segurança da informação. Ainda sim, é preciso tomar algumas precauções.
No contrato de serviço estabelecido com uma organização terceirizada devem estar claramente definidos os requisitos de segurança e as possíveis penalidades, inclusive com o pagamento de multa caso cláusulas contratuais sejam desrespeitadas. Isso é necessário uma vez que a empresa terceirizada muitas vezes trabalhará com informações e recursos de tecnologia da informação pertencentes à organização contratante.
A conformidade pode ser averiguada por meio do monitoramento das atividades da empresa terceirizada, incluindo a análise de trilhas de auditoria, relatórios de incidentes de segurança, testes de qualidade a respeito do serviço realizado ou produto entregue etc.
NÃO CONFORMIDADE
Uma vez constatada uma não conformidade, deve-se primeiramente descobrir a causa. Depois, tomar ações para que não aconteça novamente. Em seguida, procurar as medidas corretivas. E, por fim, avaliar a correção implementada. Para fins de auditoria, recomenda-se arquivar e manter os resultados desse tipo de análise.
MACHADO, Marcel Jacques. Segurança da Informação: uma Visão Geral sobre as Soluções Adotadas em Ambientes Organizacionais. Curitiba: UFPR, 2012. Trabalho de Graduação – Bacharelado em Ciência da Computação, Universidade Federal do Paraná, Curitiba, 2012.