Webinsider

Acesse também por

Seções

Navegue por

Segurança - Tecnologia - Gestão

Gerenciando a segurança da informação

26 de maio de 2009, 12:02

Para desenvolver uma politica e uma cultura de segurança da informação a TI precisa antes garantir a entrega dos recursos e da informação para os usuários, além de mantê-los íntegros e confidenciais.

Por Marcos Vinícius da Silva Junior

As informações de negócio de uma organização estão dispostas em um complexo ecossistema formado por processos de negócio, pessoas e tecnologia.

Para garantir a continuidade do negócio de uma organização, é preciso assegurar que cada membro deste ecossistema esteja em conformidade com normas internas criadas pela própria organização e normatizações externas, nacionais e internacionais.

Vamos apresentar aqui um conjunto de boas práticas de mercado que ajuda a manter todos os recursos disponíveis e seguros para as tomadas de decisão da organização.

Cada organização tem seu core businness e para cada um podemos olhar e encontrar particularidades que devemos trabalhar para garanti-las também. Mas o principal objetivo nunca muda e em todos os programas de desenvolvimento de uma politica e cultura de segurança da informação vamos encontrar estes três itens:

  • Garantir disponibilidade dos recursos/informação;
  • Garantir integridade da informação;
  • Garantir confidencialidade da informação;

Mantendo os recursos disponíveis

Recursos de informação como dados, servidores, aplicações, equipamentos de telecom devem estar disponíveis à demanda e necessidade do negócio.

É preciso mapear quais são estes ativos principais - críticos - para o negócio e controlar as necessidades de atualizações de toda esta infraestrutura a fim de minimizar paradas no ambiente. Estas paradas ainda podem ser causadas por variáveis não controláveis como falhas de hardware, problemas de software, ataques a rede computacional, ausência de recursos humanos entre outras.

Para estas devemos ter o cuidado de procurar desenvolver processos detalhados para suprir quaisquer problemas que a organização possa enfrentar, quais os impactos de uma falha e quais as atitudes a serem tomadas no caso de indisponibilidade de um recurso.

Este tópico é trabalhado dentro de um item chamado de Gerenciamento de Riscos. Seguinte a isso encontramos por exemplo o Plano de Recuperação de Desastres (ou DRP, de Disaster Recovery Plan).

Os principais itens trabalhados num plano de projeto para manutenção e disponibilidade de recursos, sobretudo tecnológicos são:

  • Prevenção e detecção de ameaças a rede computacional, também monitoração e controle da rede;
  • Definição de políticas e processos de uso de recursos de rede;
  • Desativamento de recursos e serviços não necessários em servidores e aplicações;
  • Ajuste fino de servidores e aplicações (Hardening);
  • Cuidados com gerenciamento de identidades e controles de acesso a rede;
  • Definição de um plano para aplicação de patches e atualizações no ambiente;
  • Definição de um plano de contingência para os recursos e um plano para recuperação de desastres.

Garantindo a integridade da informação

Entende-se em garantir integridade da informação o trabalho de colocá-la disponível aos recursos que a utilizarão na forma de sua ultima versão valida.

O principal item desta etapa que eu gostaria de trabalhar aqui são os processos de auditoria, essenciais para a garantia de integridade das informações e recursos da organização.

Os principais objetivos desta etapa são entender os métodos como processos de negócio são aprovados e repassados, quem são seus proprietários/responsáveis e usuários e buscar ferramentas para monitorar e controlar estas alterações a fim de garantir a integridade.

Recursos como firewalls, antivírus, criptografia, assinatura digital, backup, processos e outras ferramentas devem ser usadas para garantir o bom funcionamento do ambiente.

Garantindo a confidencialidade da informação

Este ultimo tópico, porém não menos importante, é resultante do trabalho já realizado nos tópicos anteriores. Onde através de processos e ferramentas buscamos entender e mapear todos os recursos e acima de tudo assegurar as informações estratégicas para o negocio da organização.

As informações devem estar disponíveis apenas a pessoas e/ou outros recursos que tenham direito a elas. Com isso em mente podemos trabalhar para minimizar ataques a rede computacional da empresa, vazamento de dados através do envio de informações de negócio sem autorização por e-mails, impressões, cópias em dispositivos móveis, também acesso a informações de projetos e departamentos armazenadas em servidores por pessoas não autorizadas.

Sem esquecer das variáveis incontroláveis que também estão presentes aqui, como por exemplo possíveis perdas ou furtos de dispositivos como notebooks, smartphones e pendrives que porventura possam conter informações confidenciais.

Uma dica para facilitar este processo é trabalhar antes em um processo de classificação da informação, como por exemplo:

  • Confidencial - informações e recursos disponíveis a projetos e trabalhos críticos para a continuidade do negócio da organização.
  • Uso interno - informações e recursos disponíveis e gerados por departamentos e grupos de projeto, de uso restrito dentro da organização.
  • Uso público - informações que podem ou devem ser divulgadas, a fornecedores, colaboradores externos, mídias de publicidade, etc.

Este mapeamento deve ser organizado e gerenciado por um comitê de segurança da informação e os ativos avaliados, digitais ou não, devem ser entendidos junto a seus proprietário e/ou usuários, para a obtenção de melhores resultados.

O caminho é longo e o mais importante é estar sempre trabalhando nos processos criados e como adequar as novas demandas aos processos já existentes. Tome cuidado para, além de longo, o caminho não se torne doloroso. E boa sorte! [Webinsider]

.

Sobre o autor

Marcos Vinicius M. da Silva Junior (mvmarques@kahunasecurity.com) é arquiteto em segurança da informação para a Kahuna Security.

Apoio:

  • LayerDev Serviços de Webhosting Profissional

Palavras-chave relacionadas a este texto: [ programação ]

Comentários

Ninguém comentou o artigo "Gerenciando a segurança da informação"

Avisos
Os ítens com asterisco ( * ) são campos de preenchimento obrigatório.
Todos os links inseridos nos comentários possuem o atributo rel="nofollow" para impedir com que user agents (como os mecanismos de busca) sigam os links inseridos para desestimular spammers.
Todos devem se identificar através de e-mail válido.
Os e-mails dos usuários não serão divulgados no site.
Comentários:

Preencha os dados abaixo e clique em enviar

Últimas da seção Segurança - Tecnologia - Gestão

Outrolado.com.br

Leia

A fórmula para obter informações e organizá-lasAs pequenas empresas têm como obter mais informações sobre seus clientes e cruzá-las com dados coletados na internet para assim criar sistemas mais efetivos de apoio às vendas. Por Armando Ferraz Santos

Um projeto de criptografia em seis passosSeis dicas rápidas para implantar criptografia no ambiente corporativo. É preciso por mapear os ativos, entender onde a informação está, escolher uma solução, treinar o pessoal e fazer auditoria sempre. Por Marcos Vinícius da Silva Junior

Indicadores para avaliar o desempenho de projetosProjetos têm entregas e objetivos claros. E quando estão em andamento, devem ser avaliados por indicadores operacionais, além dos de impacto, efetividade e desempenho, para possíveis correções de rota. Por Armando Terribili Filho

As necessidades dos ambientes de conhecimentoA necessidades humanas começam pela sobrevivência, passam pelo bem-estar até o reconhecimento e a auto-realização. Estas, para serem atendidas, demandam cada vez mais sofisticados ambientes de conhecimento. Por Carlos Nepomuceno

Software livre traz novos modelos de negóciosGovernos, universidades e instituições de pesquisas valorizam o software livre pela maior difusão de conhecimento que proporciona. Empresas e profissionais de TI pelas novas oportunidades. Por André Luís Lima de Paula

Daniella Morier

Gestão de projetos: o equilíbrioO conflito entre balancear tempo, escopo, qualidade e custo. Por Daniella Morier

Cinco dicas para trocar seu firewall com sucessoMudar um ativo crítico da rede como um firewal nunca é tarefa fácil. Para realizar uma mudança com sucesso, siga estes cinco passos e fique atento às necessidades da sua organização. Por Marcos Vinícius da Silva Junior

Gerenciamento de projetos: organizações principais O conhecimento institucionalizado: PMI, IPMA, AIPM, PRINCE2, Project Cycle Management Guidelines - conheça as principais organizações dedicadas ao gerenciamento de projetos e suas certificações e publicações. Por André Luís Lima de Paula

Tecnisa é bom exemplo de persistência e resultadoO mercado web já está maduro e os clientes começam a entender que os resultados vêm aos poucos, um dia após o outro. Os bons exemplos não começaram ontem. Por Guilherme Schneider

Uma breve história do gerenciamento de projetosA construção das pirâmides do Egito, a montagem da Estátua da Liberdade, a Torre Eiffel, a construção da bomba atômica e a expedição do homem à Lua são exemplos históricos de gerenciamento de grandes projetos.
Por André Luís Lima de Paula

Mainframe IBM faz 45 anos e segue firme e forteO mainframe ainda é a melhor solução para consolidar o processamento de altos volumes de informações. A não ser que algo novo e totalmente inovador seja inventado, é difícil o fim desta plataforma no curto e médio prazo. Por Marcelo Tognai

Leia também

Leia no Outrolado: Migrando o Active Directory: uma fonte de consulta para gestores

Webinsider

Webinsider

Webroom Soluções Interativas

Vicente Tardin, editor ≈ desde 2000

Expediente:
Sobre o Webinsider
Como anunciar
Palestras
Fale com editor
Desenvolvimento:
Revolução Etc
Japs
Edelmar Ziegler
Webroom
LayerDev
Hands
Woombo
Alemazzariolli
Apoio:
Predicta
10'Minutos
ClickJobs
UOL
Microsoft Pequenas Empresas