O RGPD vem exigir uma atenção cuidada para quem lida com dados pessoais obrigando à implementação de práticas de segurança da informação, cabe ao responsável pelo tratamento adotar medidas técnicas operacionais para salvaguardar a confidencialidade, a integridade, a disponibilidade e a autenticidade da informação.
De forma simplificada, é necessário deferir uma Política de Segurança na qual cada colaborador assuma a responsabilidade no que respeita aos seus direitos e aos seus deveres, na utilização das ferramentas informáticas, bem como nos comportamentos do dia-a-dia, inclusivé no cuidado com os documentos físicos que contenham dados pessoais.
Estes comportamentos são simples e devem fazer parte da cultura de segurança da informação que deve ser incutida partindo do mais alto nível e fomentada todos os dias entre os colaboradores.
Autenticação
Os privilégios de acesso de cada colaborador devem ser definidos mediantes as suas funções, com procedimentos de composição de uma palavra-passe forte, exigindo a composição de 3 dos 4 conjuntos de caracteres: letras minúsculas (a..z), letras maiúsculas (A..Z), números (0..9) e caracteres especiais (~! @ # $ % ^ & * () _ + | `- = \ {} []:”;'<>?,. /):
– Administradores de Sistemas e Bases de Dados deve ser complexa e ter no mínimo 13 carateres, sendo alterada no máximo a cada 180 dias;
– Utilizadores deve ter no mínimo 9 carateres, sendo alterada no máximo a cada 90 dias.
Deveres de Utilização
As credenciais de autenticação (utilizador/palavra-passe) devem ser únicas e intransmissível, e os utilizadores devem ter os seguintes deveres:
– Não gravar as passwords de forma automática nos sistemas e nos browsers;
– Não utilizar as mesmas passwords para os sistemas da organização e sistemas pessoais;
– Utilizar passwords seguras mas fáceis de memorizar;
– Manter passwords confidenciais;
– Memorizar as passwords, não devendo ser escritas em papéis ou locais visíveis;
– Mudar as passwords regularmente, mesmo nos sistemas que não o obriguem a fazê-lo;
– Guardar as passwords em softwares encriptados – KeePass Safe;
Cuidados
Na operação diária, os utilizadores devem estar sensibilizados para a Política de Segurança e com os procedimentos operacionais da segurança informação, adotando os seguintes cuidados:
– Bloquear o computador sempre que ausente, utilizando a combinação das teclas (Windows + L);
– Não tirar “screenshots” ou fotografias quando há dados pessoais ou sensíveis no ecrã;
– Não guardar dados sensíveis localmente no computador;
– Não utilizar o verso de fotocópias com dados pessoais como folhas de rascunho;
– Guardar todas as pastas com dados pessoais em armários com portas fechadas à chave, ou seja em local seguro e de acesso condicionado;
– Não fornecer qualquer informação com dados pessoais pelo telefone, a menos que seja possível certificar a identidade da pessoa que solicita a informação;
