Segurança da informação e proteção de dados na rotina do Técnico Administrativo Penitenciário

Por que segurança da informação é parte da rotina administrativa

Na unidade prisional, o Técnico Administrativo Penitenciário lida diariamente com dados sensíveis e documentos institucionais (prontuários, processos, relatórios, ofícios, listas de movimentação, registros de visitantes, informações de saúde, dados de servidores e terceirizados). Segurança da informação é o conjunto de medidas para evitar acesso indevido, alteração não autorizada, perda, vazamento ou indisponibilidade dessas informações, seja em papel, sistemas internos, e-mail institucional ou mídias de armazenamento.

Tríade CIA: confidencialidade, integridade e disponibilidade

Confidencialidade

Conceito: garantir que apenas pessoas autorizadas acessem a informação. Em ambiente penitenciário, isso inclui impedir que dados de internos, rotinas operacionais e informações de servidores circulem fora dos canais institucionais.

Exemplo prático: prontuário físico deixado sobre a mesa durante atendimento pode ser fotografado por visitante ou visto por pessoa sem necessidade de acesso.

Integridade

Conceito: assegurar que a informação não seja alterada indevidamente e que permaneça correta e completa. Alterações em relatórios, registros de movimentação ou dados cadastrais podem gerar riscos operacionais e jurídicos.

Exemplo prático: edição não autorizada em planilha de controle de visitas pode permitir entrada indevida ou gerar inconsistência em auditoria.

Continue em nosso aplicativo

Você poderá ouvir o audiobook com a tela desligada, ganhar gratuitamente o certificado deste curso e ainda ter acesso a outros 5.000 cursos online gratuitos.

ou continue lendo abaixo...

Baixar o aplicativo

Disponibilidade

Conceito: garantir que a informação esteja acessível quando necessária por quem tem autorização. Indisponibilidade de sistemas, perda de documentos ou falhas de backup podem paralisar rotinas e comprometer prazos.

Exemplo prático: relatório mensal não pode ser enviado porque o arquivo foi salvo apenas no computador local que apresentou falha.

Autenticação, senhas e identidade digital

Autenticação

Conceito: processo de confirmar que o usuário é quem diz ser (login, senha, token, biometria, certificado). A autenticação correta reduz risco de acesso indevido a sistemas e caixas de e-mail institucionais.

Senhas: boas práticas e passo a passo

Conceito: senha é um segredo de acesso; quando fraca ou reutilizada, facilita invasões e vazamentos.

Passo a passo prático para criar e manter senhas seguras:

• Crie senhas longas (preferencialmente com 12+ caracteres) usando frase-senha (ex.: combinação de palavras com variações).
• Evite dados óbvios: nome, matrícula, datas, nome da unidade, sequências (12345) e padrões (qwerty).
• Use senhas diferentes para sistemas diferentes; não reutilize a mesma senha do e-mail em outros serviços.
• Não compartilhe senha por telefone, mensagem ou bilhete; suporte técnico legítimo não solicita senha.
• Ative autenticação em dois fatores (2FA) quando disponível.
• Troque a senha imediatamente se houver suspeita de vazamento, acesso indevido ou phishing.

Cenário de risco: servidor anota senha em post-it colado no monitor; qualquer pessoa que passe pela sala pode acessar sistemas e consultar dados sensíveis.

Medida corretiva: remover anotações expostas, redefinir senhas, orientar equipe e registrar a ocorrência conforme fluxo interno.

Phishing e engenharia social: como identificar e reagir

Phishing

Conceito: tentativa de enganar o usuário para que forneça credenciais, clique em links maliciosos ou abra anexos infectados, geralmente por e-mail, SMS ou mensagens.

Sinais comuns: urgência (“bloqueio imediato”), pedido de senha, link encurtado, remetente parecido com o oficial, erros de escrita, anexos inesperados, solicitação fora do procedimento.

Passo a passo prático ao receber e-mail suspeito no e-mail institucional:

• Não clique em links e não abra anexos.
• Verifique o remetente completo (não apenas o nome exibido) e o domínio.
• Confirme a solicitação por canal oficial alternativo (telefone institucional/ramal) usando contatos conhecidos, não os do e-mail suspeito.
• Encaminhe a mensagem para o canal interno de TI/segurança (conforme norma local) ou reporte pelo mecanismo oficial do e-mail.
• Apague a mensagem após orientação do setor responsável, mantendo evidências se solicitado.

Cenário de risco: e-mail “Atualize seu cadastro para manter acesso ao sistema” direciona para página falsa; ao digitar login e senha, o usuário entrega credenciais.

Medida corretiva: trocar senha imediatamente, comunicar TI/segurança, verificar acessos recentes e, se necessário, bloquear conta e registrar incidente.

Malware (vírus, ransomware) e cuidados com anexos e mídias

Malware

Conceito: software malicioso que pode roubar dados, espionar, apagar arquivos ou criptografar informações (ransomware). Em unidades prisionais, o impacto pode incluir indisponibilidade de relatórios, vazamento de dados pessoais e interrupção de rotinas administrativas.

Boas práticas:

• Não instalar programas sem autorização; usar apenas softwares homologados.
• Não conectar pendrives desconhecidos; utilizar mídias institucionais e, quando previsto, realizar verificação antivírus.
• Desconfiar de anexos executáveis e documentos com macros; abrir apenas quando necessário e de fonte confirmada.
• Manter sistema e antivírus atualizados conforme política de TI (sem “desativar proteção” para facilitar tarefas).

Cenário de risco: arquivo “Relatório_urgente.xlsm” com macro maliciosa criptografa a pasta de documentos do setor.

Medida corretiva: desconectar o equipamento da rede, comunicar imediatamente TI/segurança, não tentar “resolver sozinho” instalando ferramentas, preservar evidências e acionar restauração por backup conforme procedimento.

Backup e versionamento: garantindo disponibilidade e recuperação

Backup

Conceito: cópia de segurança para recuperar dados após falhas, exclusão acidental, corrupção ou ataque. Backup não é “copiar e esquecer”; precisa ser periódico, protegido e testado.

Passo a passo prático para rotina segura de backup (quando aplicável ao setor):

• Identifique quais arquivos são críticos (processos digitalizados, relatórios, planilhas de controle, modelos oficiais).
• Salve em repositório institucional autorizado (servidor interno, GED, pasta de rede) em vez de apenas no computador local.
• Use versionamento quando disponível (histórico de versões reduz risco de perda por edição indevida).
• Confirme periodicidade definida (diária/semanal) e verifique se o backup está ocorrendo.
• Teste restauração periodicamente (amostra), conforme orientação de TI.

Cenário de risco: relatório mensal é salvo apenas na área de trabalho; após atualização do sistema, o arquivo é perdido.

Medida corretiva: recuperar via backup institucional (se existir), ajustar rotina para salvar em local corporativo e orientar equipe.

Controle de acesso e princípio do menor privilégio

Controle de acesso

Conceito: conjunto de regras e mecanismos que definem quem pode acessar quais informações e o que pode fazer (ler, editar, excluir, imprimir). Deve seguir o princípio do menor privilégio: cada pessoa acessa apenas o necessário para sua função.

Aplicações típicas:

• Perfis diferentes em sistemas (consulta x edição x administração).
• Pastas de rede com permissões por setor.
• Controle de chaves/armários para documentos físicos.
• Registro de logs (rastreabilidade de acessos e alterações).

Cenário de risco: um usuário com perfil de edição altera dados de prontuário sem necessidade funcional.

Medida corretiva: revisar perfis, solicitar ajuste formal de permissões, auditar logs e registrar a ocorrência conforme norma.

Manuseio de dados sensíveis e documentos institucionais

Dados sensíveis na prática

Conceito: informações que, se expostas, podem causar danos ao interno, à segurança institucional ou a servidores (dados pessoais, saúde, decisões administrativas, rotinas, endereços, contatos, informações de familiares, ocorrências). O tratamento deve ser restrito, com finalidade definida e circulação mínima.

Boas práticas no dia a dia:

• Evitar imprimir sem necessidade; quando imprimir, recolher imediatamente na impressora.
• Não fotografar documentos com celular pessoal; usar meios institucionais autorizados quando houver procedimento.
• Não comentar casos em locais públicos (corredores, recepção, transporte) ou com pessoas sem necessidade de saber.
• Ao enviar documentos, conferir destinatário, anexos e nível de sigilo; usar canais institucionais.
• Guardar documentos físicos em armários/arquivos com controle; não deixar pilhas expostas.

Política de mesa limpa (clean desk)

Conceito: prática de manter a estação de trabalho sem documentos sensíveis expostos quando não estiver em uso, reduzindo risco de acesso indevido e extravio.

Passo a passo prático ao se ausentar da mesa:

• Recolha prontuários, processos e relatórios e guarde em local apropriado (gaveta/armário trancado, conforme norma).
• Vire documentos com dados sensíveis para baixo se houver manuseio momentâneo.
• Bloqueie a tela do computador (atalho do sistema) e nunca deixe sessão aberta.
• Retire rascunhos com dados pessoais; descarte em recipiente apropriado (fragmentação/trituração quando previsto).
• Não deixe crachá, chaves, carimbos e senhas anotadas sobre a mesa.

Uso de dispositivos, armazenamento e mobilidade

Dispositivos (computadores, celulares, pendrives)

Conceito: cada dispositivo é um ponto de entrada e de saída de dados. O uso deve seguir regras institucionais para evitar vazamento e contaminação por malware.

Boas práticas:

• Utilizar apenas equipamentos autorizados para atividades de trabalho; evitar uso de e-mail institucional em dispositivos pessoais quando não permitido.
• Não conectar dispositivos desconhecidos; se houver necessidade de transferência, usar meios institucionais (pasta de rede, GED, solução corporativa).
• Manter bloqueio automático de tela e senha forte no dispositivo, quando aplicável.
• Evitar armazenamento local de longo prazo; preferir repositórios institucionais com controle de acesso.

Armazenamento e compartilhamento de arquivos

Conceito: armazenamento seguro envolve local autorizado, permissão adequada e rastreabilidade. Compartilhar arquivo não é “encaminhar para qualquer um”; deve haver finalidade e autorização.

Passo a passo prático antes de compartilhar um documento:

• Classifique o conteúdo: contém dados pessoais/sensíveis? É sigiloso? É restrito ao setor?
• Escolha o canal correto: sistema institucional, pasta com permissão, e-mail institucional com destinatários mínimos.
• Revise o arquivo: remova dados desnecessários, versões antigas e metadados quando aplicável.
• Defina permissão: leitura ou edição; prazo de acesso quando houver.
• Registre o envio quando o procedimento exigir (protocolo/controle interno).

Boas práticas no e-mail institucional

Conceito: e-mail institucional é canal oficial e pode ser auditado conforme normas. Deve ser usado com linguagem adequada e com cuidados de segurança.

Checklist prático antes de enviar:

• Confirme destinatários (Para/Cc/Cco) e evite incluir pessoas sem necessidade.
• Use Cco quando houver lista grande para reduzir exposição de endereços.
• Revise anexos: enviar o arquivo correto, versão correta e sem dados além do necessário.
• Evite links externos desnecessários; prefira anexos ou repositórios institucionais autorizados.
• Não encaminhe correntes, arquivos executáveis ou conteúdos sem relação com o serviço.
• Desconfie de pedidos fora do padrão (ex.: “envie lista de internos”, “envie dados de servidor”) e valide por canal oficial.

Cenário de risco: envio de relatório com dados pessoais para endereço errado por autocompletar.

Medida corretiva: comunicar imediatamente a chefia e o responsável por segurança/TI, solicitar exclusão ao destinatário, registrar incidente e revisar procedimento para reduzir recorrência (ex.: desativar autocompletar, usar listas oficiais, dupla checagem).

Resposta a incidentes: o que fazer quando algo dá errado

Incidente de segurança

Conceito: evento que compromete ou pode comprometer confidencialidade, integridade ou disponibilidade (ex.: perda de documento, e-mail enviado errado, suspeita de invasão, malware, acesso indevido, extravio de mídia).

Passo a passo prático de resposta inicial (primeiras ações):

• Conter: se for digital, desconecte da rede quando houver suspeita de malware; se for físico, recolha e isole documentos expostos.
• Preservar evidências: não apagar arquivos/logs por conta própria; guarde e-mails suspeitos, horários, telas e mensagens.
• Comunicar: informe imediatamente a chefia e o canal interno de TI/segurança conforme norma (quanto mais cedo, menor o dano).
• Registrar: descreva o ocorrido com data/hora, sistemas envolvidos, pessoas impactadas e ações já tomadas.
• Corrigir: após orientação, redefinir senhas, ajustar permissões, restaurar backup, recolher documentos, revisar fluxos.

Erros comuns a evitar:

• Tentar “resolver sozinho” instalando programas ou removendo evidências.
• Omitir o incidente por medo de responsabilização, aumentando o impacto.
• Continuar usando o equipamento suspeito conectado à rede.

Cenários de risco típicos e medidas corretivas

1) Prontuário físico extraviado no setor

Risco: vazamento de dados sensíveis, responsabilização administrativa, comprometimento de rotinas.

Medidas corretivas:

• Interromper circulação do documento e realizar busca imediata em locais de manuseio.
• Comunicar chefia e seguir protocolo interno de extravio.
• Verificar controles de retirada/devolução e ajustar (assinatura, registro, guarda).
• Reforçar mesa limpa e guarda em armário trancado.

2) Acesso indevido por computador desbloqueado

Risco: consulta/alteração de dados, envio de e-mails em nome do servidor, fraudes.

Medidas corretivas:

• Bloqueio automático de tela e orientação de bloqueio manual ao se ausentar.
• Revisão de logs e troca de senha se houver suspeita.
• Aplicar segregação de perfis e menor privilégio.

3) Pendrive com relatórios perdido

Risco: vazamento de dados e perda de controle sobre cópias.

Medidas corretivas:

• Comunicar imediatamente e registrar incidente.
• Priorizar armazenamento em repositório institucional; evitar mídias removíveis.
• Quando permitido, usar criptografia institucional e controle de empréstimo de mídias.

4) E-mail com anexo sensível enviado a destinatário externo

Risco: exposição de dados e quebra de sigilo.

Medidas corretivas:

• Comunicar chefia e segurança/TI; solicitar exclusão formal ao destinatário.
• Registrar o ocorrido e revisar fluxo de validação de destinatários/anexos.
• Adotar dupla checagem e listas de distribuição oficiais.

Exercícios situacionais (estilo prova)

1) Mesa limpa e confidencialidade

Ao retornar do intervalo, você percebe que deixou sobre a mesa um processo com dados pessoais de interno e a sala ficou aberta por alguns minutos. Indique: (a) qual princípio foi colocado em risco; (b) duas ações imediatas; (c) uma medida preventiva para evitar recorrência.

2) Phishing no e-mail institucional

Chega um e-mail com o assunto “Atualização obrigatória de senha” e um link para “validar credenciais”. O texto tem tom de urgência e o remetente parece oficial, mas o domínio é diferente. Descreva o passo a passo correto de verificação e reporte, e cite dois sinais de phishing presentes.

3) Integridade de registros

Você identifica que uma planilha de controle de visitas foi alterada e há inconsistências, mas ninguém assume a mudança. Aponte: (a) qual pilar da tríade CIA está envolvido; (b) como o controle de acesso e logs ajudam; (c) uma medida de correção no processo.

4) Malware e contenção

Um servidor abriu um anexo e o computador começou a apresentar mensagens de criptografia de arquivos. Indique as primeiras ações (contenção e comunicação) e o que não deve ser feito para não agravar o incidente.

5) Disponibilidade e backup

O setor precisa enviar um relatório hoje, mas o arquivo foi apagado. Explique como a política de backup e versionamento reduz esse risco e descreva um procedimento adequado de armazenamento para documentos críticos.