Ataques cibernéticos recentes na África do Sul demonstraram como a África do Sul é vulnerável a crimes cibernéticos. As tendências mostraram que o setor público na África do Sul experimentou um grande volume de incidentes cibernéticos. Isso não é uma surpresa dada a grande quantidade de dados e informações processados no setor público. A Diretiva sobre Segurança da Informação do Serviço Público, que foi emitida nos termos da Lei do Serviço Público de 1994 sob o regulamento 94 dos Regulamentos do Serviço Público, é, portanto, uma política muito bem-vinda para o setor público.
A diretiva procura principalmente fornecer orientação sobre os princípios, práticas e procedimentos de governança de segurança da informação para proteger os ativos de tecnologia no setor público. Aplica-se a todos os departamentos nacionais e provinciais, componentes do governo e funcionários empregados nos termos da Lei.
Qualquer falha no cumprimento da Diretiva será tratada nos termos da seção 16A da Lei, que inclui ações disciplinares contra chefes de departamentos governamentais e funcionários.
Papéis e responsabilidades
São vários os papéis identificados na Diretiva como fundamentais para a sua implementação, nomeadamente:
chefes de departamentos governamentais;
o “Diretor de Tecnologia da Informação do Governo”;
o “Diretor de Segurança da Informação do Departamento”; e
o Comitê Diretivo departamental de TIC.
Estas partes são responsáveis por, entre outros:
processos relacionados à segurança cibernética;
nuvem e segurança de rede;
armazenamento e destruição de informações;
cópias de segurança;
recuperação de desastres e continuidade de negócios;
revisão de ativos de software e tecnologia;
realização de conscientização e treinamento em segurança da informação para reduzir os riscos de segurança cibernética;
reconhecer e relatar ataques cibernéticos; e
como lidar adequadamente com dados confidenciais.
Gestão de segurança da informação
Cada departamento deve ter uma política de segurança da informação em vigor. A política de segurança da informação deve estar alinhada com o disposto na Diretiva. Além disso, todas as políticas de recursos humanos devem incluir um resumo da política de segurança da informação para que todos os funcionários tenham conhecimento dela antes de iniciar qualquer trabalho no departamento.
Desenvolvimento e manutenção de sistemas de informação
Antes de quaisquer desenvolvimentos e aprovações, os desenvolvimentos de aplicativos e sistemas ou quaisquer outras alterações nos sistemas devem ser documentados. Os desenvolvimentos ou alterações nas aplicações e sistemas devem seguir uma abordagem estruturada formal que preze a segurança da informação ao longo do ciclo de desenvolvimento. Será importante garantir que sejam celebrados contratos adequados entre o departamento e o desenvolvedor que abordem, como o desenvolvimento do sistema será realizado pelos níveis de serviço, procedimentos de controle de mudanças e custos para implementação de tais mudanças, entre outras coisas.
O ambiente de teste e desenvolvimento deve ser separado do ambiente de produção. Essa separação protege os ambientes de produção de modificações ou interrupções que podem ocorrer no ambiente de teste e desenvolvimento. Sempre que possível, o funcionário responsável pelo desenvolvimento não deve ter acesso aos sistemas de produção. A aprovação e confirmação do novo sistema de TIC deve satisfazer todos os requisitos de segurança necessários antes que o sistema seja usado em um ambiente de produção de departamento.
Acesso à rede
Cada computador pertencente a uma parte externa deve ser examinado para garantir que seu software antivírus esteja atualizado antes que a autorização para acessar a rede de um departamento seja concedida. Para acompanhar as autorizações de acesso à rede, o Diretor de Segurança da Informação do Departamento manterá e revisará um registro de usuários autorizados de acesso externo, bem como os níveis de acesso fornecidos. A revisão acontecerá trimestralmente ou ad hoc.
Na revisão, o Diretor de Segurança da Informação do Departamento avaliará se o acesso ainda é necessário com base na verificação de que existe um requisito comercial válido que justifique o acesso da parte externa à rede do departamento. Quando um contrato com uma parte externa termina, a parte externa deve devolver a propriedade do governo em sua posse. O acesso da parte externa a uma rede governamental também será encerrado.
Direito de propriedade intelectual
Qualquer sistema, incluindo software, informações, código-fonte e documentos de design do sistema, criados por e/ou em nome do departamento serão propriedade intelectual do governo e não podem ser copiados, vendidos, alugados ou removidos sem o consentimento explícito por escrito do autoridade executiva competente.
Classificação da Informação
As informações do governo devem ser armazenadas em servidores de rede departamentais. Os backups de dados que contêm informações confidenciais devem ser criptografados. Todas as informações serão classificadas usando a matriz de classificação de sensibilidade abaixo:
informações públicas: informações que foram aprovadas pela administração para divulgação ao público;
informações confidenciais: informações que são de natureza privada ou sensível e devem ser restritas àqueles com uma necessidade comercial legítima de acesso às informações; e
informações secretas: esta classificação se aplica às informações de negócios mais confidenciais destinadas ao uso estrito dentro de um departamento e restritas àqueles com uma necessidade comercial legítima de acessar as informações.
Dados e informações estão se tornando mais importantes à medida que a economia digital cresce, e é imperativo que dados e informações sejam armazenados e manuseados com segurança para manter sua confidencialidade, integridade e disponibilidade. A diretriz estabelece as normas a serem seguidas pelos órgãos públicos em relação à segurança da informação, que devem ser implementadas por cada órgão governamental de acordo.
Nossa equipe de especialistas em segurança cibernética possui profunda experiência em assessorar entidades do setor público e provedores de serviços privados de TI em relação às políticas e procedimentos de segurança da informação apropriados e preparar contratos de serviços de TI. Se você precisar de assistência com essas políticas e acordos, entre em contato com qualquer membro de nossa equipe.
Você também deve gostar
-
O Intrincado Mundo das Importações e Exportações entre Países: Desafios e Oportunidades
-
A Revolução Tecnológica nos Céus: Inovações que Estão Transformando a Aviação
-
Como a Tecnologia Vem Transformando a Saúde Financeira Pessoal
-
Revolução Tecnológica na Área da Saúde: Transformando a Medicina Moderna
-
A Simbiose da Tecnologia e Globalização Impulsionando o Crescimento Empresarial