Artigo/Notícia:

  Segurança no Acesso de Prestadores de Serviço
  Data:   3/11/2004
  Autor:   Fernando Nicolau F. Ferreira
  Fonte:   FERNANDOFERREIRA.COM
   
 

Devido ao corte de despesas e diminuição de custos as empresas possuem um grande número de prestadores de serviços contratados. Estes profissionais, que geralmente não participam das atividades cotidianas de uma determinada organização, podem representar sérios riscos à segurança das informações (perda da confidencialidade, integridade e disponibilidade).

Muitos dos prestadores de serviços são contratados para atuarem em áreas como, suporte-técnico aos usuários, desenvolvimento de sistemas, produção, operação, CPD e, até mesmo, constituírem a área de Segurança da Informação. Não podemos esquecer também do pessoal que efetua o serviço de limpeza, segurança patrimonial e outros serviços terceirizados. Nestes casos, estes prestadores possivelmente não farão uso de nenhum sistema informatizado crítico, entretanto, terão acesso livre a determinadas áreas da organização.

A norma NBR ISO/IEC 17799, cláusula 4.2, é bastante clara quanto aos acessos, sejam eles físicos ou lógicos: “Onde existir uma necessidade de negócio para este acesso de prestadores de serviços, convém que seja feita uma avaliação dos riscos envolvidos para determinar as possíveis implicações na segurança e os controles necessários. Convém que os controles sejam acordados e definidos através de contrato assinado com os prestadores de serviços.”

Diante disto, deve-se incluir nas políticas organizacionais procedimentos e controles para avaliação de riscos ante a concessão dos acessos. Devem ser avaliados os locais de trabalho (escritórios, sala de servidores, CPD e etc.), assim como, quais informações (sejam elas em meio eletrônico ou papel) este prestador de serviço poderá ter acesso.

Como melhor prática recomendada pela norma NBR ISO/IEC 17799, para cada acesso deve ser preparado um documento formal contendo, pelo menos:

bullet Nome do prestador de serviço;
bullet Nome do solicitante (superior hierárquico direto);
bullet Nome da empresa contratada (se aplicável);
bullet Justificativa para o acesso à determinada(s) localidade(s) ou sistema(s) de informação(ões);
bullet Data de início e período de validade da autorização;
bullet Comprovante assinado do “Termo de Confidencialidade e Responsabilidade” das informações; e
bullet Assinaturas de todos os envolvidos.

Podemos agregar diversos controles como, por exemplo, refletir nos contratos firmados com os prestadores de serviços que eles são integralmente responsáveis por suas ações, estando sujeitos a monitoração interna e às leis em vigor.

Além do contrato de prestação de serviços, destaco alguns dos aspectos relevantes que devem ser obrigatoriamente observados quando o assunto for a “Segurança no Acesso de Prestadores de Serviço”, como a utilização de câmeras de vídeo e crachás / pontos eletrônicos para monitorar o acesso físico em um determinado local, assim como, a utilização de logs de acesso e atividade nos sistemas de informação.

Como descrevi no segundo parágrafo deste artigo, até mesmo as áreas de segurança da informação são compostas por prestadores de serviço. Entretanto, como melhor prática de mercado, nunca podemos terceirizar a gestão desta área estratégica da organização.
       
       
                    
       
 

Contribua enviando seus artigos e publicações para webmaster@fernandoferreira.com.