Segurança
Segurança é o ponto mais importante de um sistema de Gerenciamento Eletrônico de Documentos. Informações valiosas, confidenciais, podem chegar a mãos erradas. A organização dos documentos é a melhor estratégia para a segurança da informação.
Como fazer garantir a implantação de um sistema seguro?
1. Ter um plano de acesso restrito por área e assunto.
1.1. A primeira ação é criar classes de acesso que irão impedir a consulta de certos documentos por determinados grupos de usuários.
Por exemplo: documentos de RH só podem ser consultado pela equipe de RH, documentos médicos só podem ser consultados pelos médicos do trabalho da empresa, planejamento estratégico da empresa só pode ser consultado pelos diretores, memorandos corporativos só podem ser consultados por funcionários, comunicados à imprensa podem ser consultados por todo mundo.
Isso deve ser cuidadosamente planejado e ao longo do tempo revisto.
1.2. Criar uma estrutura de índices (novamente os índices!) para se enquadrarem nestas categorias de classes que foram previstas.
2. Ter um sistema que não permita acesso ao documento por "fora" da aplicação.
Existem sistemas com as famosas portas dos fundos e acessos de usuários por fora da aplicação que romperiam com as regras de segurança.
Isso é difícil de testar, mas links com acesso ao documento direto, usuários com logins no banco de dados são implantações suspeitas.
3. Possuir log e relatório de auditoria de acesso dos usuários:
Estes relatórios são importantes para que seja feita uma análise frequente de quais usuários (mesmo autorizados) estão fazendo pesquisas, downloads suspeitos ou incomuns para a posição dele.
Infelizmente, os maiores responsáveis por fraudes e vazamento de informações confidenciais são funcionários das empresas.
4. Ter uma regra (e punição) que obriga ao colaborador guardar documentos de interesse da empresa dos sistemas de GED e nunca em pendrives, sites gratuitos da web, etc.
Como fazer garantir a implantação de um sistema seguro?
1. Ter um plano de acesso restrito por área e assunto.
1.1. A primeira ação é criar classes de acesso que irão impedir a consulta de certos documentos por determinados grupos de usuários.
Por exemplo: documentos de RH só podem ser consultado pela equipe de RH, documentos médicos só podem ser consultados pelos médicos do trabalho da empresa, planejamento estratégico da empresa só pode ser consultado pelos diretores, memorandos corporativos só podem ser consultados por funcionários, comunicados à imprensa podem ser consultados por todo mundo.
Isso deve ser cuidadosamente planejado e ao longo do tempo revisto.
1.2. Criar uma estrutura de índices (novamente os índices!) para se enquadrarem nestas categorias de classes que foram previstas.
2. Ter um sistema que não permita acesso ao documento por "fora" da aplicação.
Existem sistemas com as famosas portas dos fundos e acessos de usuários por fora da aplicação que romperiam com as regras de segurança.
Isso é difícil de testar, mas links com acesso ao documento direto, usuários com logins no banco de dados são implantações suspeitas.
3. Possuir log e relatório de auditoria de acesso dos usuários:
Estes relatórios são importantes para que seja feita uma análise frequente de quais usuários (mesmo autorizados) estão fazendo pesquisas, downloads suspeitos ou incomuns para a posição dele.
Infelizmente, os maiores responsáveis por fraudes e vazamento de informações confidenciais são funcionários das empresas.
4. Ter uma regra (e punição) que obriga ao colaborador guardar documentos de interesse da empresa dos sistemas de GED e nunca em pendrives, sites gratuitos da web, etc.
Comentários
Postar um comentário