Gerenciando a segurança da informação

26/05/2009 12:02

Por: Marcos Vinícius da Silva Junior

Para desenvolver uma politica e uma cultura de segurança da informação a TI precisa antes garantir a entrega dos recursos e da informação para os usuários, além de mantê-los íntegros e confidenciais.

As informações de negócio de uma organização estão dispostas em um complexo ecossistema formado por processos de negócio, pessoas e tecnologia.

Para garantir a continuidade do negócio de uma organização, é preciso assegurar que cada membro deste ecossistema esteja em conformidade com normas internas criadas pela própria organização e normatizações externas, nacionais e internacionais.

Vamos apresentar aqui um conjunto de boas práticas de mercado que ajuda a manter todos os recursos disponíveis e seguros para as tomadas de decisão da organização.

Cada organização tem seu core businness e para cada um podemos olhar e encontrar particularidades que devemos trabalhar para garanti-las também. Mas o principal objetivo nunca muda e em todos os programas de desenvolvimento de uma politica e cultura de segurança da informação vamos encontrar estes três itens:

• Garantir disponibilidade dos recursos/informação;
• Garantir integridade da informação;
• Garantir confidencialidade da informação;

Mantendo os recursos disponíveis

Recursos de informação como dados, servidores, aplicações, equipamentos de telecom devem estar disponíveis à demanda e necessidade do negócio.

É preciso mapear quais são estes ativos principais - críticos - para o negócio e controlar as necessidades de atualizações de toda esta infraestrutura a fim de minimizar paradas no ambiente. Estas paradas ainda podem ser causadas por variáveis não controláveis como falhas de hardware, problemas de software, ataques a rede computacional, ausência de recursos humanos entre outras.

Para estas devemos ter o cuidado de procurar desenvolver processos detalhados para suprir quaisquer problemas que a organização possa enfrentar, quais os impactos de uma falha e quais as atitudes a serem tomadas no caso de indisponibilidade de um recurso.

Este tópico é trabalhado dentro de um item chamado de Gerenciamento de Riscos. Seguinte a isso encontramos por exemplo o Plano de Recuperação de Desastres (ou DRP, de Disaster Recovery Plan).

Os principais itens trabalhados num plano de projeto para manutenção e disponibilidade de recursos, sobretudo tecnológicos são:

• Prevenção e detecção de ameaças a rede computacional, também monitoração e controle da rede;
• Definição de políticas e processos de uso de recursos de rede;
• Desativamento de recursos e serviços não necessários em servidores e aplicações;
• Ajuste fino de servidores e aplicações (Hardening);
• Cuidados com gerenciamento de identidades e controles de acesso a rede;
• Definição de um plano para aplicação de patches e atualizações no ambiente;
• Definição de um plano de contingência para os recursos e um plano para recuperação de desastres.

Garantindo a integridade da informação

Entende-se em garantir integridade da informação o trabalho de colocá-la disponível aos recursos que a utilizarão na forma de sua ultima versão valida.

O principal item desta etapa que eu gostaria de trabalhar aqui são os processos de auditoria, essenciais para a garantia de integridade das informações e recursos da organização.

Os principais objetivos desta etapa são entender os métodos como processos de negócio são aprovados e repassados, quem são seus proprietários/responsáveis e usuários e buscar ferramentas para monitorar e controlar estas alterações a fim de garantir a integridade.

Recursos como firewalls, antivírus, criptografia, assinatura digital, backup, processos e outras ferramentas devem ser usadas para garantir o bom funcionamento do ambiente.

Garantindo a confidencialidade da informação

Este ultimo tópico, porém não menos importante, é resultante do trabalho já realizado nos tópicos anteriores. Onde através de processos e ferramentas buscamos entender e mapear todos os recursos e acima de tudo assegurar as informações estratégicas para o negocio da organização.

As informações devem estar disponíveis apenas a pessoas e/ou outros recursos que tenham direito a elas. Com isso em mente podemos trabalhar para minimizar ataques a rede computacional da empresa, vazamento de dados através do envio de informações de negócio sem autorização por e-mails, impressões, cópias em dispositivos móveis, também acesso a informações de projetos e departamentos armazenadas em servidores por pessoas não autorizadas.

Sem esquecer das variáveis incontroláveis que também estão presentes aqui, como por exemplo possíveis perdas ou furtos de dispositivos como notebooks, smartphones e pendrives que porventura possam conter informações confidenciais.

Uma dica para facilitar este processo é trabalhar antes em um processo de classificação da informação, como por exemplo:

• Confidencial - informações e recursos disponíveis a projetos e trabalhos críticos para a continuidade do negócio da organização.
• Uso interno - informações e recursos disponíveis e gerados por departamentos e grupos de projeto, de uso restrito dentro da organização.
• Uso público - informações que podem ou devem ser divulgadas, a fornecedores, colaboradores externos, mídias de publicidade, etc.

Este mapeamento deve ser organizado e gerenciado por um comitê de segurança da informação e os ativos avaliados, digitais ou não, devem ser entendidos junto a seus proprietário e/ou usuários, para a obtenção de melhores resultados.

O caminho é longo e o mais importante é estar sempre trabalhando nos processos criados e como adequar as novas demandas aos processos já existentes. Tome cuidado para, além de longo, o caminho não se torne doloroso. E boa sorte! [Webinsider]

.