Facebook-f Instagram

Gerenciando a segurança da informação

Share on facebook
Share on twitter
Share on linkedin
Share on whatsapp
Share on telegram
Share on pocket

As informações de negócio de uma organização estão dispostas em um complexo ecossistema formado por processos de negócio, pessoas e tecnologia.

Para garantir a continuidade do negócio de uma organização, é preciso assegurar que cada membro deste ecossistema esteja em conformidade com normas internas criadas pela própria organização e normatizações externas, nacionais e internacionais.

Vamos apresentar aqui um conjunto de boas práticas de mercado que ajuda a manter todos os recursos disponíveis e seguros para as tomadas de decisão da organização.

Cada organização tem seu core businness e para cada um podemos olhar e encontrar particularidades que devemos trabalhar para garanti-las também. Mas o principal objetivo nunca muda e em todos os programas de desenvolvimento de uma politica e cultura de segurança da informação vamos encontrar estes três itens:

  • Garantir disponibilidade dos recursos/informação;
  • Garantir integridade da informação;
  • Garantir confidencialidade da informação;

Mantendo os recursos disponíveis

Recursos de informação como dados, servidores, aplicações, equipamentos de telecom devem estar disponíveis à demanda e necessidade do negócio.

É preciso mapear quais são estes ativos principais – críticos – para o negócio e controlar as necessidades de atualizações de toda esta infraestrutura a fim de minimizar paradas no ambiente. Estas paradas ainda podem ser causadas por variáveis não controláveis como falhas de hardware, problemas de software, ataques a rede computacional, ausência de recursos humanos entre outras.

Para estas devemos ter o cuidado de procurar desenvolver processos detalhados para suprir quaisquer problemas que a organização possa enfrentar, quais os impactos de uma falha e quais as atitudes a serem tomadas no caso de indisponibilidade de um recurso.

Este tópico é trabalhado dentro de um item chamado de Gerenciamento de Riscos. Seguinte a isso encontramos por exemplo o Plano de Recuperação de Desastres (ou DRP, de Disaster Recovery Plan).

Os principais itens trabalhados num plano de projeto para manutenção e disponibilidade de recursos, sobretudo tecnológicos são:

  • Prevenção e detecção de ameaças a rede computacional, também monitoração e controle da rede;
  • Definição de políticas e processos de uso de recursos de rede;
  • Desativamento de recursos e serviços não necessários em servidores e aplicações;
  • Ajuste fino de servidores e aplicações (Hardening);
  • Cuidados com gerenciamento de identidades e controles de acesso a rede;
  • Definição de um plano para aplicação de patches e atualizações no ambiente;
  • Definição de um plano de contingência para os recursos e um plano para recuperação de desastres.

Garantindo a integridade da informação

Entende-se em garantir integridade da informação o trabalho de colocá-la disponível aos recursos que a utilizarão na forma de sua ultima versão valida.

O principal item desta etapa que eu gostaria de trabalhar aqui são os processos de auditoria, essenciais para a garantia de integridade das informações e recursos da organização.

Os principais objetivos desta etapa são entender os métodos como processos de negócio são aprovados e repassados, quem são seus proprietários/responsáveis e usuários e buscar ferramentas para monitorar e controlar estas alterações a fim de garantir a integridade.

Recursos como firewalls, antivírus, criptografia, assinatura digital, backup, processos e outras ferramentas devem ser usadas para garantir o bom funcionamento do ambiente.

Garantindo a confidencialidade da informação

Este ultimo tópico, porém não menos importante, é resultante do trabalho já realizado nos tópicos anteriores. Onde através de processos e ferramentas buscamos entender e mapear todos os recursos e acima de tudo assegurar as informações estratégicas para o negocio da organização.

As informações devem estar disponíveis apenas a pessoas e/ou outros recursos que tenham direito a elas. Com isso em mente podemos trabalhar para minimizar ataques a rede computacional da empresa, vazamento de dados através do envio de informações de negócio sem autorização por e-mails, impressões, cópias em dispositivos móveis, também acesso a informações de projetos e departamentos armazenadas em servidores por pessoas não autorizadas.

Sem esquecer das variáveis incontroláveis que também estão presentes aqui, como por exemplo possíveis perdas ou furtos de dispositivos como notebooks, smartphones e pendrives que porventura possam conter informações confidenciais.

Uma dica para facilitar este processo é trabalhar antes em um processo de classificação da informação, como por exemplo:

  • Confidencial – informações e recursos disponíveis a projetos e trabalhos críticos para a continuidade do negócio da organização.
  • Uso interno – informações e recursos disponíveis e gerados por departamentos e grupos de projeto, de uso restrito dentro da organização.
  • Uso público – informações que podem ou devem ser divulgadas, a fornecedores, colaboradores externos, mídias de publicidade, etc.

Este mapeamento deve ser organizado e gerenciado por um comitê de segurança da informação e os ativos avaliados, digitais ou não, devem ser entendidos junto a seus proprietário e/ou usuários, para a obtenção de melhores resultados.

O caminho é longo e o mais importante é estar sempre trabalhando nos processos criados e como adequar as novas demandas aos processos já existentes. Tome cuidado para, além de longo, o caminho não se torne doloroso. E boa sorte! [Webinsider]

.

Avatar de Marcos Vinícius da Silva Junior

Marcos Vinicius M. da Silva Junior é consultor em segurança da informação.

Share on facebook
Share on twitter
Share on linkedin
Share on whatsapp
Share on telegram
Share on pocket

Mais lidas

Mais conteúdos

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Ei, posso ajudar?

O Webinsider pode ajudar no planejamento e conteúdo de sua empresa de várias maneiras. Chame o editor Vicente Tardin pelo WhatsApp agora mesmo.

Fale conosco agora

Nossas especialidades

Melhore o seu site

Suas redes sociais mais vivas

Consultoria para o seu negócio

Projetos de conteúdo

Fale conosco agora
  • 2024
  • Webinsider.
  • Todos os direitos reservados
Facebook-f Instagram