As informações de negócio de uma organização estão dispostas em um complexo ecossistema formado por processos de negócio, pessoas e tecnologia. Vamos apresentar aqui um conjunto de boas práticas de mercado que ajuda a manter todos os recursos disponíveis e seguros para as tomadas de decisão da organização.
26/05/09 - Para desenvolver uma politica e uma cultura de segurança da informação a TI precisa antes garantir a entrega dos recursos e da informação para os usuários, além de mantê-los íntegros e confidenciais. - Marcos Vinícius da Silva Junior
As informações de negócio de uma organização estão dispostas em um complexo ecossistema formado por processos de negócio, pessoas e tecnologia. Para garantir a continuidade do negócio de uma organização, é preciso assegurar que cada membro deste ecossistema esteja em conformidade com normas internas criadas pela própria organização e normatizações externas, nacionais e internacionais. Vamos apresentar aqui um conjunto de boas práticas de mercado que ajuda a manter todos os recursos disponíveis e seguros para as tomadas de decisão da organização.
Cada organização tem seu core businness e para cada um podemos olhar e encontrar particularidades que devemos trabalhar para garanti-las também. Mas o principal objetivo nunca muda e em todos os programas de desenvolvimento de uma politica e cultura de segurança da informação vamos encontrar estes três itens: • Garantir disponibilidade dos recursos/informação;
• Garantir integridade da informação;
• Garantir confidencialidade da informação;
Mantendo os recursos disponíveis
Recursos de informação como dados, servidores, aplicações, equipamentos de telecom devem estar disponíveis à demanda e necessidade do negócio. É preciso mapear quais são estes ativos principais - críticos - para o negócio e controlar as necessidades de atualizações de toda esta infraestrutura a fim de minimizar paradas no ambiente. Estas paradas ainda podem ser causadas por variáveis não controláveis como falhas de hardware, problemas de software, ataques a rede computacional, ausência de recursos humanos entre outras.
Para estas devemos ter o cuidado de procurar desenvolver processos detalhados para suprir quaisquer problemas que a organização possa enfrentar, quais os impactos de uma falha e quais as atitudes a serem tomadas no caso de indisponibilidade de um recurso. Este tópico é trabalhado dentro de um item chamado de Gerenciamento de Riscos. Seguinte a isso encontramos por exemplo o Plano de Recuperação de Desastres (ou DRP, de Disaster Recovery Plan).
Os principais itens trabalhados num plano de projeto para manutenção e disponibilidade de recursos, sobretudo tecnológicos são:
• Prevenção e detecção de ameaças a rede computacional, também monitoração e controle da rede;
• Definição de políticas e processos de uso de recursos de rede;
• Desativamento de recursos e serviços não necessários em servidores e aplicações;
• Ajuste fino de servidores e aplicações (Hardening);
• Cuidados com gerenciamento de identidades e controles de acesso a rede;
• Definição de um plano para aplicação de patches e atualizações no ambiente;
• Definição de um plano de contingência para os recursos e um plano para recuperação de desastres.
Garantindo a confidencialidade da informação
Este ultimo tópico, porém não menos importante, é resultante do trabalho já realizado nos tópicos anteriores. Onde através de processos e ferramentas buscamos entender e mapear todos os recursos e acima de tudo assegurar as informações estratégicas para o negocio da organização.
As informações devem estar disponíveis apenas a pessoas e/ou outros recursos que tenham direito a elas. Com isso em mente podemos trabalhar para minimizar ataques a rede computacional da empresa, vazamento de dados através do envio de informações de negócio sem autorização por e-mails, impressões, cópias em dispositivos móveis, também acesso a informações de projetos e departamentos armazenadas em servidores por pessoas não autorizadas.
Sem esquecer das variáveis incontroláveis que também estão presentes aqui, como por exemplo possíveis perdas ou furtos de dispositivos como notebooks, smartphones e pendrives que porventura possam conter informações confidenciais. Uma dica para facilitar este processo é trabalhar antes em um processo de classificação da informação, como por exemplo:
Confidencial - informações e recursos disponíveis a projetos e trabalhos críticos para a continuidade do negócio da organização.
Uso interno - informações e recursos disponíveis e gerados por departamentos e grupos de projeto, de uso restrito dentro da organização.
Uso público - informações que podem ou devem ser divulgadas, a fornecedores, colaboradores externos, mídias de publicidade, etc.
Este mapeamento deve ser organizado e gerenciado por um comitê de segurança da informação e os ativos avaliados, digitais ou não, devem ser entendidos junto a seus proprietário e/ou usuários, para a obtenção de melhores resultados.
O caminho é longo e o mais importante é estar sempre trabalhando nos processos criados e como adequar as novas demandas aos processos já existentes. Tome cuidado para, além de longo, o caminho não se torne doloroso. E boa sorte!
FONTE: Webinsider - UOL
Baseado nos documentos visitados
Normas recomendadas para você
NBRISO/IEC15288 de 08/2017
Engenharia de sistemas e software - Processos de ciclo de vida de sistema
NBRISO/IEC27002 de 11/2013
Tecnologia da informação - Técnicas de segurança - Código de Prática para controles de segurança da informação
NBRISO/IEC14598-2 de 08/2013
Engenharia de software - Avaliação de produto - Parte 2: Planejamento e gestão
NBRISO/IEC24762 de 10/2014
Tecnologia da informação - Técnicas de segurança - Diretrizes para os serviços de recuperação após um desastre na tecnologia da informação e de comunicação
ABNT ISO/IEC TR15504-6 de 10/2013
Tecnologia da informação - Avaliação de processo Parte 6: Exemplo de modelo de avaliação de processo de ciclo de vida de sistema
NBRISO/IEC38500 de 11/2018
Tecnologia da informação - Governança da TI para a organização
NBRISO/IEC14598-5 de 12/2017
Tecnologia de informação - Avaliação de produto de software - Parte 5: Processo para avaliadores
NBRISO/IEC14598-6 de 10/2004
Engenharia de software - Avaliação de produto - Parte 6: Documentação de módulos de avaliação
NBRISO/IEC14598-3 de 05/2013
Engenharia de software - Avaliação de produto - parte 3: Processo paa desenvolvedores
NBRISO/IEC27011 de 04/2019
Tecnologia da informação - Técnicas de segurança - Diretrizes para gestão da segurança da informação para organizações de telecomunicações baseadas na ABNT NBR ISO/IEC 27002
NBRISO/IEC27005 de 10/2019
Tecnologia da informação — Técnicas de segurança — Gestão de riscos de segurança da informação
NBRISO/IEC20000-1 de 03/2020
Tecnologia da informação - Gestão de serviços - Parte 1: Requisitos do sistema de gestão de serviços
NBRISO/IEC14598-1 de 08/2013
Tecnologia de informação - Avaliação de produto de software - Parte 1: Visão geral
NBRISO/IEC20000-2 de 01/2021
Tecnologia da informação - Gestão de serviço - Parte 2: Orientação para aplicação de sistemas de gestão de serviço
ABNT ISO/IEC TR15504-7 de 05/2015
Tecnologia da informação - Processos de avaliação Parte 7: Avaliação da maturidade de uma organização
NBRISO/IEC27004 de 08/2017
Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Monitoramento, medição, análise e avaliação
NBRISO/IEC27001 de 11/2013
Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Requisitos
NBRISO/IEC14598-4 de 05/2013
Engenharia de software - Avaliação de produto - Parte 4: Processo para adquirentes