Cibersegurança Checklist: Gestor

Versão Beta para testes e avaliações: Aguarde em breve a versão final. É um especialista em cibersegurança e quer contribuir com sua opinião sobre este checklist? Clique aqui para acessar os Contatos. 

Público alvo

Qualquer gestor de instituição, universidade ou empresa que possua TI se beneficiará da quase totalidade deste checklist, apesar do mesmo ter sido elaborado com foco nas GLAMs (galerias, bibliotecas, arquivos e museus).

Prevenção contra Ameaças Internas

– Manter um cadastro completo de todos os funcionários e voluntários da instituição, bem como de ex-funcionários e ex-voluntários.

– Elaborar uma criteriosa classificação de acesso aos dados e funções nos softwares, concedendo a cada usuário somente os perfis indispensáveis para a realização de suas atividades de rotina.

– Instalar softwares/plugins de monitoramento de atividades em websites, coleções on-line, dentre outros sistemas relevantes na rede da instituição. Assim, tudo que cada usuário fizer ficará devidamente registrado (logs). A maioria dos sistemas de gestão para GLAM já possui esta função no core (instalação padrão).

– Instalar softwares/plugins que possuam controle de versões (version control), permitindo, além da identificação das alterações realizadas por cada usuário, também o retorno para versões anteriores, se necessário.

– Manter data e horário corretas nos computadores e demais dispositivos, para adequado registro dos logs (atividades realizadas).

– Gerar periodicamente relatórios de atividades para análise e auditorias.

– Cultivar uma cultura de gerenciamento de risco (culture of risk management), promovendo sempre discussões sobre o tema e capacitação da equipe.

– Checar o passado dos novos funcionários e/ou usuários de sistemas da instituição, incluindo ficha criminal, conhecimentos prévios de informática, currículo, redes sociais e referências. (Vide FAQ do Gestor, Questão 5).

– Não subestimar funcionários com comportamentos profissionais antiéticos, vingativos e/ou sem comprometimento para com a equipe e função social da instituição (inteligência emocional).

– Desabilitar as contas de e-mail e de acesso de ex-funcionários e ex-voluntários.

Segurança na Comunicação

– Para questões internas profissionais da instituição, utilizar aplicativos seguros de gestão virtual, livres de coletas e repasses de dados, bem como de algoritmos, evitando serviços “gratuitos”, como Google (Gmail, Google Calendar, Google Drive, etc). A melhor opção, quando possível, é não utilizar programas comerciais e estruturar sua própria plataforma de gestão com softwares open source, como intranet em WordPress. Deste modo, os metadados de uso do software não serão repassados a nenhuma empresa. Dentre as opções comerciais, recomendamos o Todoist.

– Não utilizar redes sociais comerciais para organização da comunicação interna do museu, como grupos de Facebook, Instagram, etc. (Vide FAQ do Gestor, Questão 6). Com plugins como BuddyPress e bbPress é possível desenvolver sua própria rede social em WordPress.

– Para videoconferências e reuniões virtuais, utilizar preferencialmente softwares open source como o Jitsi, que não coletam, revendem ou repassam suas informações. Saiba mais sobre privacidade no Home Office e no EAD clicando aqui.

– Limitar o espaço de cada usuário para uso do e-mail (ex: 1 Gigabyte) e limitar o tamanho dos anexos dos e-mails (ex: 20 megabytes).

– Não utilizar o e-mail como repositório de arquivos e nem para transferência de arquivos muito grandes. Para isto é preferível recorrer a serviços como iCloud, Dropbox ou Firefox Send (transferência criptografada e anônima de arquivos, em um link que expira). Não utilizar Google Drive e SkyDrive.

– E-mails da instituição devem ser utilizados apenas para questões profissionais. Instruir funcionários a manterem uma conta pessoal em separado para assuntos privados, evitando abri-la nos computadores da instituição. Se possível, criptografe a comunicação por e-mail com PGP (Pretty Good Privacy). Clique aqui para criptografar via Outlook.

– Instruir os funcionários a não abrirem e-mails não solicitados, especialmente de estranhos, evitando clicar em links ou abrir anexos não esperados.

– Documentos digitalizados, disponibilizados no website da instituição, não devem possuir assinaturas, carimbos ou timbres internos (prevenção contra falsificações).

Segurança física e prevenção de ataques externos

– Possuir recepcionistas, registro de entrada e saída de pessoal e sistemas de segurança (alarmes, câmeras, etc.).

– Sempre acompanhar visitantes nas áreas técnicas e administrativas da instituição, que devem ser identificados e registrados na recepção.

– Limitar e vigiar o acesso às salas administrativas e escritórios da instituição, que devem ser acessíveis somente aos funcionários autorizados (trancar com chaves multiponto, cartões, senhas, etc.).

– Remover placas indicativas como “Entrada permitida somente para colaboradores”, “Somente Pessoal Autorizado”, “Sala de informática”, “Reserva Técnica”, “Laboratório de Conservação”, etc., que indicam para estranhos onde e como tudo funciona na instituição.

– Garantir a segurança da sala de informática com portas e fechaduras fortes, janelas com grades, câmeras e alarmes. Somente pessoal autorizado deve ter acesso.

– Manter equipamentos e backups em cofres ou, no mínimo, armários trancados.

– Manter equipamentos afixados nas mesas com travas, especialmente laptops, impedindo roubos e remoções não autorizadas.

– Criptografar discos rígidos de computadores, laptops, HDs externos e pen drives. Utilize Vera Crypt (vários sistemas operacionais), BitLock (Windows).

– Proteger a rede e os pontos wireless LANs (redes sem fio locais, também chamadas de Wi-Fi). Garanta que o sinal não seja forte o suficiente a ponto de ser captado pelo público externo ao edifício, a menos que essa seja a intenção (democratizar acesso à Internet via instituição). Neste caso, reforce os cuidados com a segurança cibernética.

– Possuir geradores e no-breaks, que são equipamentos que mantém as luzes de emergência e os computadores funcionando por um tempo, até que a energia volte. Ativar modo fail closed (o acesso aos computadores será restrito aos Administradores até que o fornecimento de energia se normalize).

– Quando possível, designar um equipamento exclusivo para realização de atividades críticas, como atualizar sistemas de gestão de coleções on-line, bibliotecas, websites, etc. Bloquear neste computador o acesso à websites desnecessários à estas atividades essenciais (ex: gmail, jogos e redes sociais).

– Mapeamento dos riscos (árvore de ataque) antes de cada exposição, especialmente as polêmicas. (Vide FAQ do Gestor, Questão 7).

– Inspecionar fisicamente os equipamentos para verificar se não houve instalações de hardware não autorizadas. Limitar a instalação de novos softwares e hardwares aos administradores.

Plano Diretor da GLAM (Subitem Cibersegurança)

– Identificar informações e sistemas a serem protegidos.

– Categorizar sistemas (por vulnerabilidade, risco, impacto se crackeado, sigilo, etc.).

– Identificar e classificar ativos de informação e dados da instituição.

– Atribuir corretamente os usuários (responsabilidades, acessos, funções, etc.).

– Mapear possíveis entradas e pontos de crackeamento (árvore de ataque, modelagem de ameaças).

– Treinar a equipe da instituição e empresas parceiras.

– Identificar recursos disponíveis que possam ser aplicados na cibersegurança (humanos, infraestrutura, financeiros, etc.).

– Estabelecer protocolos de segurança (criptografia de mensagens, manutenção e atualização de softwares e hardwares, acompanhamento de visitantes externos, política de destruição de dados e descarte de equipamentos, etc.).

– Estabelecer plano de resposta à incidentes de segurança, contingência e gestão de crises, para lidar com possíveis hackeamentos e vazamentos de dados. (Vide CSIRTs/CERT)

– Estabelecer um plano de Auditoria de Segurança: revisão periódica do Plano de Segurança vigente, sua eficácia, aplicabilidade e resultados obtidos desde a última auditoria.

– Estabelecer um plano de Hackeamento Ético: Prever sistemas a serem testados (incluir parceiros, fabricantes e redes de visitantes), os riscos envolvidos nos testes, o cronograma, os treinamentos prévios, os procedimentos para relatório e comunicação das vulnerabilidades detectadas, bem como os próximos passos necessários para executar medidas defensivas.

Procedimentos Avançados

– Mapeamento dos rastros da instituição na Internet (Footprinting): Identificação das informações públicas disponíveis sobre a instituição, seus softwares e websites. Pesquisar em:

– Considerar o uso de um serviço VPN (Virtual Private Network), que encripta as comunicações na Internet, garantindo que não sejam interceptadas e interpretadas no caminho. Não confiar em serviços gratuitos.  Recomendamos McAfee.

– Mapeamento de Vulnerabilidades: Rastrear sistemas (Metasploit).

– Comunicar ao público e imprensa acerca de vulnerabilidades descobertas em softwares e sistemas somente após as mesmas serem corrigidas pelo fabricante ou instituição.

Quer avançar mais? Leia

Open Source Security Testing Methodology Manual – OSSTMM.3
Digital isn’t Different – Collections Trust
Securing – Collections Trust
Spectrum Digital Asset Management
National Cyber Security Centre
Perceived Threats to Privacy Online: The Internet in Britain – Oxford Internet Institute
LORD, Gail; LORD, Barry (org). Manual of Digital Museum Planning. EUA: Rowman & Littlefield Publishers, 2017.

Tem recursos? Contrate:

Encryption Symantec
Qualys

Referências deste checklist

Referências do projeto Recursos Web para GLAM: Etapa Cibersegurança

Versões

Remoção de recomendação do Microsoft Teams, para redução da coleta de metadados por empresas comerciais, bem como remoção da recomendação do Collabtive, pois não temos certeza se o projeto ainda está recebendo manutenção. Acréscimo de recomendação do open source Jitsi e link para recurso sobre privacidade no Home Office e EAD.

Por Ana Cecília Rocha Veiga.

Acréscimo de recomendação para não priorizar o uso de programas comerciais na gestão de processos de projetos e, sendo possível, adotar softwares open source como Collabtive e extranet no WordPress. Com isto evita-se o repasse de metadados para as empresas.

Por Ana Cecília Rocha Veiga.

Versão inicial de autoria de Ana Cecília Rocha Veiga.