Uso aceitável¶
Objetivo¶
Esta página oferece um guia prático para o uso cotidiano da tecnologia na Cafh. Ela ajuda voluntários, pessoas colaboradoras e parceiros de confiança a cuidar de sistemas, ensinamentos, registros e da área de membros de forma estável e humana.
Por que esta página importa¶
O cuidado digital nasce de hábitos comuns. Um clique apressado, um arquivo copiado ou uma mensagem enviada sem pausa pode abrir mais problemas que um ataque complexo. Regras claras e próximas ajudam pessoas com níveis técnicos diferentes a agir com confiança e cuidado. Isso mantém em melhor estado o portal, o conteúdo para membros e os registros compartilhados.
Riscos que esta página busca reduzir¶
- Phishing e malware
- Dados sensíveis em serviços pessoais
- Divulgação pública de material restrito
- Uso desordenado de ferramentas novas
- Privilégios amplos sem necessidade
- Erros que não são reportados a tempo
Expectativas¶
Estas expectativas marcam a base diária do trabalho digital da Cafh. Não pedem que cada pessoa pense como técnica. Dão hábitos simples que reduzem risco em muitos papéis e níveis de experiência.
- Utilizar contas institucionais somente para atividades autorizadas.
- Usar o gerenciador de senhas da Cafh para credenciais compartilhadas ou críticas.
- Ativar autenticação multifator em cada serviço crítico.
- Instalar software apenas de fontes aprovadas ou confiáveis.
- Evitar armazenar informações sensíveis em serviços pessoais ou não gerenciados.
- Reportar mensagens suspeitas, malware ou divulgações acidentais imediatamente.
Área de membros e ensinamentos¶
Esta área pede cuidado extra. Reúne material compartilhado com membros e material ligado ao estudo e à formação. O risco principal não é só a perda. O risco principal é a divulgação em espaços que não correspondem ao propósito do conteúdo.
- Tratar o conteúdo para membros como conteúdo restrito.
- Compartilhar livros, ensinamentos e material de estudo só por canais aprovados.
- Não publicar conteúdo para membros em ferramentas públicas nem em redes públicas.
- Guardar arquivos e rascunhos no local aprovado para esse trabalho.
Dispositivos e contas¶
Uma disciplina diária clara sobre dispositivos e contas evita muitos problemas. A meta não é controle pesado. A meta é ter menos surpresas, mais clareza de responsabilidade e melhor recuperação.
- Dispositivos compartilhados devem usar contas nominais na operação normal.
- Contas inativas devem ser desativadas de imediato.
- Perda ou roubo de dispositivo deve ser comunicado no mesmo dia.
- Privilégios administrativos devem ficar no menor grupo possível.
Dispositivos pessoais usados para tarefas da Cafh¶
A maior parte das pessoas da Cafh usa seus próprios telefones e computadores para tarefas da Cafh. Isso faz parte real do modo de trabalho da organização. A Cafh não pode exigir um produto, um sistema operacional ou uma ferramenta de proteção igual para todos os dispositivos pessoais. Ela ainda pode definir práticas de base para acesso a sistemas e dados da Cafh.
Quando um dispositivo pessoal é usado para tarefas da Cafh:
- Manter sistema operacional, navegador e aplicativos principais atualizados
- Usar bloqueio de tela e criptografia nativa do dispositivo
- Manter o trabalho da Cafh dentro de apps, armazenamento ou sessões aprovadas
- Evitar cópias locais de arquivos restritos
- Usar cópias locais só para tarefa breve e clara
- Apagar downloads da Cafh ao encerrar a tarefa
- Separar o trabalho da Cafh de apps pessoais de compartilhamento e de contas familiares compartilhadas
- Evitar trabalho admin em dispositivos públicos ou emprestados
- Reportar no mesmo dia perda, roubo, malware ou comportamento suspeito do dispositivo
Estas medidas reduzem risco mesmo sem gestão central completa pela Cafh.
Tabela modelo de auto revisão de dispositivo pessoal¶
| Membro | Dispositivo usado para a Cafh | Tipo de acesso | Bloqueio de tela | Atualizações em dia | Arquivos locais restritos | Última revisão |
|---|---|---|---|---|---|---|
| Ana R. | Laptop pessoal | Admin e registros | Sim | Sim | Não | 2026-04-15 |
| Marta S. | Telefone pessoal | E-mail e redes sociais | Sim | Sim | Não | 2026-04-18 |
| Luis M. | Laptop pessoal | Suporte de membros e acesso a dados | Sim | Sim | Exportação temporária apenas | 2026-04-20 |
Ferramentas novas¶
Ferramentas novas costumam parecer pequenas no início. Um piloto pequeno pode abrir novas cópias de dados, novos caminhos admin e custos de longo prazo. Esta revisão dá à Cafh uma pausa antes que essa mudança vire costume.
Para cada ferramenta nova, revisar:
- Localização e retenção dos dados
- Controles de acesso e papéis
- Opções de exportação e recuperação
- Impacto contratual ou de custos
- Compatibilidade com as políticas vigentes
Nenhuma ferramenta nova deve ser usada para trabalho da Cafh antes da revisão do comitê. A revisão pode ser breve para ferramentas de baixo risco. Ela deve ser mais profunda para ferramentas que guardam dados de membros, conteúdo oficial ou acessos admin.
Lista de revisão de ferramentas¶
A lista dá ao comitê um olhar comum. Evita que a decisão fique apoiada só em comodidade ou entusiasmo. Ajuda a comparar ferramentas de baixo e alto risco com as mesmas perguntas de base.
Antes da aprovação, o comitê deve confirmar:
- Qual problema a ferramenta resolve
- Qual equipe ou quais pessoas vão usá-la
- Quais dados da Cafh entrarão na ferramenta
- Se esses dados são públicos, internos ou restritos
- Onde os dados ficam armazenados
- Quem controla a conta e a cobrança
- Se a Cafh pode controlar admins, MFA e recuperação
- Se a ferramenta permite exportação e eliminação
- Se o fornecedor dá um caminho claro de suporte
- Se a ferramenta se encaixa nas regras de incidentes e privacidade da Cafh
Gatilhos de alto risco¶
Algumas ferramentas pedem revisão mais lenta e registro mais forte. Estes casos tocam dados, identidade, voz pública ou a cadeia central do serviço. Por isso o comitê deve tratá-los com mais cuidado.
A revisão deve ser tratada como de alto risco quando uma ferramenta:
- Guarda dados de membros
- Guarda registros internos do comitê
- Guarda ensinamentos ou material de estudo só para membros
- Controla e-mail oficial, domínios, DNS ou redes sociais
- Recebe acesso admin à nuvem ou aos sistemas do site
- Usa IA sobre conteúdo da Cafh ou dados de membros
- Não tem caminho claro de exportação ou saída
Tabela modelo de revisão de ferramentas¶
| Ferramenta | Propósito | Dados usados | Nível de risco | Responsável na Cafh | Controles-chave | Decisão | Data de revisão |
|---|---|---|---|---|---|---|---|
| Zoom | Reuniões e capacitação | Dados internos de reuniões | Médio | Coordenação do comitê | MFA, papéis de anfitrião, controle de gravações, caminho de suporte | Aprovada | 2026-10-01 |
| Plataforma de registros de membros | Registros de membros | Dados restritos de membros | Alto | Responsável por membros | Exportação, eliminação, controle de acesso, backups, termos de privacidade | Aprovada com revisão | 2026-07-01 |
| Ferramenta de colaboração de design | Rascunhos de conteúdo público | Conteúdo público e interno em rascunho | Médio | Responsável por comunicação | Dono admin, compartilhamento de arquivos, caminho de saída | Aprovada | 2026-09-15 |
| Nova ferramenta de escrita com IA | Rascunhos de resumos e traduções | Texto público e notas internas em rascunho | Alto | Delegado do comitê | Tratamento de dados, revisão humana, exportação, limites de uso de IA | Pendente | 2026-05-15 |
Curso de conscientização sobre cibersegurança e uso seguro de IA¶
A Cafh deve manter um curso de conscientização para membros que usam sistemas oficiais, tratam dados de membros, publicam conteúdo ou têm acesso admin. Este curso dá uma base comum para o cuidado digital do dia a dia. Ele ajuda o comitê a reduzir erros evitáveis e a construir uma linguagem comum de resposta.
O curso deve ser concluído:
- Antes de conceder acesso admin, de publicação ou de recuperação
- Durante a entrada de membros com tarefas digitais
- A cada 12 meses como reciclagem
- Após um incidente maior ou uma mudança importante de política
Tabela modelo do curso¶
| Módulo | Temas principais | Resultado prático |
|---|---|---|
| Proteção diária de contas | senhas, gerenciador de senhas, MFA, caminhos de recuperação, bloqueio de dispositivos | As pessoas sabem como proteger acessos oficiais |
| Segurança em dispositivos pessoais | atualizações, bloqueio de tela, cópias locais, dispositivos compartilhados, reporte no mesmo dia | As pessoas sabem como reduzir risco em um contexto voluntário |
| Phishing e atividade suspeita | páginas falsas, links maliciosos, engenharia social, mensagens incomuns | As pessoas sabem quando parar e reportar |
| Dados de membros e privacidade | dados restritos, regras de compartilhamento, armazenamento aprovado, exportações, deveres de privacidade | As pessoas sabem quais dados pedem cuidado extra |
| Canais oficiais e marca | e-mail oficial, redes sociais, voz pública, caminhos de aprovação | As pessoas sabem usar canais oficiais com cuidado |
| Reporte de incidentes e suporte | casos urgentes, casos padrão, reportes de abuso, evidência, caminho de escalonamento | As pessoas sabem o que reportar e o que registrar |
| Uso seguro de IA | usos permitidos, usos restritos, revisão humana, viés, dados de membros, ensinamentos | As pessoas sabem como a IA pode ajudar e onde ela deve parar |
Tabela modelo de acompanhamento da capacitação¶
| Membro | Papel | Nível de acesso | Data do curso | Próxima reciclagem | Notas |
|---|---|---|---|---|---|
| Ana R. | Membro do comitê | Admin | 2026-04-15 | 2027-04-15 | Curso completo concluído |
| Marta S. | Responsável por comunicação | Publicação | 2026-04-18 | 2027-04-18 | Precisa rever módulo de escalonamento com fornecedores |
| Luis M. | Suporte de membros | Acesso a dados | 2026-04-20 | 2027-04-20 | Curso completo concluído |
Resposta a incidentes¶
Um reporte cedo vale mais que uma explicação perfeita. O aviso rápido dá tempo para reduzir dano, guardar evidência e chamar as pessoas certas. Erros, exceções e incidentes de segurança devem ser comunicados no mesmo momento. O responsável digital registra o caso e inicia a contenção.