Segurana - Tecnologia

Gerenciando a segurana da informao26/05/2009 12:02

Por: Marcos Vincius da Silva Junior

Para desenvolver uma politica e uma cultura desegurana da informao a TI precisa antes garantir aentrega dos recursos e da informao para osusurios, alm de mant-los ntegros e confidenciais.As informaes de negcio de uma organizao esto dispostas em um complexoecossistema formado por processos de negcio, pessoas e tecnologia.

Para garantir a continuidade do negcio de uma organizao, preciso assegurar quecada membro deste ecossistema esteja em conformidade com normas internas criadaspela prpria organizao e normatizaes externas, nacionais e internacionais.

Vamos apresentar aqui um conjunto de boas prticas de mercado que ajuda a mantertodos os recursos disponveis e seguros para as tomadas de deciso da organizao.

Cada organizao tem seu core businness e para cada um podemos olhar e encontrarparticularidades que devemos trabalhar para garanti-las tambm. Mas o principalobjetivo nunca muda e em todos os programas de desenvolvimento de uma politica ecultura de segurana da informao vamos encontrar estes trs itens:

Garantir disponibilidade dos recursos/informao;Garantir integridade da informao;Garantir confidencialidade da informao;

Mantendo os recursos disponveisRecursos de informao como dados, servidores, aplicaes, equipamentos de telecomdevem estar disponveis demanda e necessidade do negcio.

preciso mapear quais so estes ativos principais - crticos - para o negcio e controlaras necessidades de atualizaes de toda esta infraestrutura a fim de minimizar paradasno ambiente. Estas paradas ainda podem ser causadas por variveis no controlveiscomo falhas de hardware, problemas de software, ataques a rede computacional,ausncia de recursos humanos entre outras.

Para estas devemos ter o cuidado de procurar desenvolver processos detalhados parasuprir quaisquer problemas que a organizao possa enfrentar, quais os impactos deuma falha e quais as atitudes a serem tomadas no caso de indisponibilidade de um

IMPRIMIR http://webinsider.uol.com.br/print.php?id=4674

1 de 3 26/05/2009 12:25

recurso.

Este tpico trabalhado dentro de um item chamado de Gerenciamento de Riscos.Seguinte a isso encontramos por exemplo o Plano de Recuperao de Desastres (ouDRP, de Disaster Recovery Plan).

Os principais itens trabalhados num plano de projeto para manuteno edisponibilidade de recursos, sobretudo tecnolgicos so:

Preveno e deteco de ameaas a rede computacional, tambm monitorao econtrole da rede;Definio de polticas e processos de uso de recursos de rede;Desativamento de recursos e servios no necessrios em servidores eaplicaes;Ajuste fino de servidores e aplicaes (Hardening);Cuidados com gerenciamento de identidades e controles de acesso a rede;Definio de um plano para aplicao de patches e atualizaes no ambiente;Definio de um plano de contingncia para os recursos e um plano pararecuperao de desastres.

Garantindo a integridade da informaoEntende-se em garantir integridade da informao o trabalho de coloc-la disponvelaos recursos que a utilizaro na forma de sua ultima verso valida.

O principal item desta etapa que eu gostaria de trabalhar aqui so os processos deauditoria, essenciais para a garantia de integridade das informaes e recursos daorganizao.

Os principais objetivos desta etapa so entender os mtodos como processos denegcio so aprovados e repassados, quem so seus proprietrios/responsveis eusurios e buscar ferramentas para monitorar e controlar estas alteraes a fim degarantir a integridade.

Recursos como firewalls, antivrus, criptografia, assinatura digital, backup, processos eoutras ferramentas devem ser usadas para garantir o bom funcionamento do ambiente.

Garantindo a confidencialidade da informaoEste ultimo tpico, porm no menos importante, resultante do trabalho j realizadonos tpicos anteriores. Onde atravs de processos e ferramentas buscamos entender emapear todos os recursos e acima de tudo assegurar as informaes estratgicas parao negocio da organizao.

As informaes devem estar disponveis apenas a pessoas e/ou outros recursos quetenham direito a elas. Com isso em mente podemos trabalhar para minimizar ataques arede computacional da empresa, vazamento de dados atravs do envio de informaesde negcio sem autorizao por e-mails, impresses, cpias em dispositivos mveis,tambm acesso a informaes de projetos e departamentos armazenadas emservidores por pessoas no autorizadas.

Sem esquecer das variveis incontrolveis que tambm esto presentes aqui, como porexemplo possveis perdas ou furtos de dispositivos como notebooks, smartphones ependrives que porventura possam conter informaes confidenciais.

IMPRIMIR http://webinsider.uol.com.br/print.php?id=4674

2 de 3 26/05/2009 12:25

Uma dica para facilitar este processo trabalhar antes em um processo declassificao da informao, como por exemplo:

Confidencial - informaes e recursos disponveis a projetos e trabalhos crticospara a continuidade do negcio da organizao.Uso interno - informaes e recursos disponveis e gerados por departamentos egrupos de projeto, de uso restrito dentro da organizao.Uso pblico - informaes que podem ou devem ser divulgadas, a fornecedores,colaboradores externos, mdias de publicidade, etc.

Este mapeamento deve ser organizado e gerenciado por um comit de segurana dainformao e os ativos avaliados, digitais ou no, devem ser entendidos junto a seusproprietrio e/ou usurios, para a obteno de melhores resultados.

O caminho longo e o mais importante estar sempre trabalhando nos processoscriados e como adequar as novas demandas aos processos j existentes. Tomecuidado para, alm de longo, o caminho no se torne doloroso. E boa sorte![Webinsider]

.

Sobre o Autor

Marcos Vinicius M. da Silva Junior(mvmarques@kahunasecurity.com) arquiteto em segurana da informao para aKahuna Security.

Url original: http://webinsider.uol.com.br/index.php/2009/05/26/gerenciando-a-seguranca-da-informacao/ Publicada em: 26/05/2009 12:02 Impresso em: 26/05/2009[editor] vtardin@webinsider.com.br

IMPRIMIR http://webinsider.uol.com.br/print.php?id=4674

3 de 3 26/05/2009 12:25