Segurança da Informação

Ξ Deixe um comentário

Controles de segurança da informação para a empresa pública

publicado por Diogo Guimarães

Figura - Controles de segurança da informação para a empresa públicaA Internet tem o potencial de disseminar problemas com a mesma velocidade utilizada para transportar, de um lado para o outro, as informações que trafegam em sua Infraestrutura. Não é necessário ir muito longe para entender isso. Na sociedade contemporânea, escândalos e fofocas nas redes sociais já são coisas corriqueiras (seja por maledicência, fotos comprometedoras, etc.). Na esfera Pública o risco a que as informações estão expostas é ainda maior. Até mesmo o ex-presidente Lula, um ministro do STF e outros envolvidos no caso mensalão tiveram suas informações vazadas na Internet por um Cracker. É uma exposição dupla: A da empresa e de seus agentes. Para reduzir os riscos de exposição pela Empresa Pública é imperiosa a utilização de controles como Segurança Física e nos Recursos Humanos.

O primeiro diz respeito à proteção das coisas tangíveis (isto é, proteção dos servidores, das salas aonde estes se encontram, do cabeamento de rede, do prédio e das instalações da empresa como um todo). A ideia é dificultar ao máximo o acesso ao lugar onde a informação está. Por exemplo, as antessalas podem ter recepcionistas, seguranças, dispositivos biométricos e de reconhecimento por voz. Também é interessante que as fachadas dos prédios não possuam nenhum tipo de chamariz. Isto ajuda a não chamar atenção para a atividade fim da empresa e assim evitar ataques em potencial as instalações físicas.

Ainda é possível correr riscos tendo estabelecido algo parecido com uma “fortaleza”? Sim. Basta não proteger adequadamente os ativos da empresa fora da “fortaleza” (organização). A empresa pode ser uma caixa forte na sua aparência, mas se, por exemplo, permitir que o trajeto do cabeamento de rede passe por uma área pública, onde possa ocorrer interceptação, a informação sensível que por ali trafega será facilmente obtida. Neste caso se faz necessário pensar em rotas ou meios de transmissão alternativos, blindagem eletromagnética para os cabos, etc.

O segundo controle, Recursos Humanos, diz respeito ao nível de privilégio que as pessoas da Empresa Pública, que estão autorizadas a manipular a informação, podem ter. O conceito Need to know é muito útil na aplicação deste tipo de controle. Ele define que uma pessoa só precisa acessar os sistemas necessários para realizar suas atividades. Isso implica em definir os papéis e responsabilidades de cada ator em relação a Segurança da Informação a partir de uma Política já definida. Assim, por exemplo, pode-se evitar que o operador do servidor de banco de dados tire vantagem do seu acesso (legítimo) ao servidor e se conecte (de forma ilegítima) na base para ler informações confidenciais com o intuito de propagá-las adiante.

Dessa forma funcionários, terceiros e fornecedores devem ter suas responsabilidades definidas antes da contratação e devidamente explanadas. Outra opção interessante que serve tanto a iniciativa privada como pública é ter um contrato de confidencialidade. Dessa maneira, os atores de segurança da informação que tenham acesso a informações sensíveis, antes de receber o acesso às mesmas, se comprometem a não divulgá-las. Assegurar esta concordância já é um grande progresso.

Finalmente, cumpre salientar: Qualquer medida de Segurança da Informação, por mais eficaz que seja não será capaz de eliminar totalmente todos os riscos, ameaças ou vulnerabilidades a que um sistema está exposto (ou declarar um sistema como totalmente seguro!). Elas apenas norteiam a gerência dando clareza, entendimento e principalmente foco em relação aquilo que foi priorizado no planejamento estratégico pela alta direção dando ideia sobre como proteger os ativos mais importantes da mesma. Este esforço por si só já ajuda a reduzir drasticamente os riscos, tratar as vulnerabilidades e eliminar algumas ameaças. Por essa razão se faz necessária a constante revisão e verificação da aderência das políticas e controles atualmente definidos em uma empresa para adequação a realidade do ambiente no qual a mesma se insere.

Autor

Diogo Guimarães é membro do INSTITUTO DE GERENCIAMENTO DE PROJETOS (Project Management Institute - PMI) - uma associação global de membros localizada no estado da Pennsylvania (EUA) dedicada a promover as práticas do gerenciamento de projetos bem como a defesa do Código de Ética e Conduta Profissional do Instituto. No Brasil atua como voluntário para o capítulo do Rio de Janeiro. É Instrutor da divisão de treinamentos da Oracle Corporation desde 2006. Possui mais de 10 anos na área de Tecnologia. Na Consultoria já atuou em projetos de implantação e gerência de soluções de alta disponibilidade para Banco de Dados, NF-e, SOA, Servidores de Aplicação, Desenvolvimento Web para portais corporativos, entre outros. Bacharel em Ciência da Computação pela Universidade Veiga de Almeida e Palestrante de TI. De espírito empreendedor, trabalha no Mentoring de novos produtos tecnológicos para o público em geral nas horas disponíveis. LinkedIn: http://br.linkedin.com/in/dguimaraes/

Diogo Guimarães

Comentários

You must be logged in to post a comment.

Busca

Patrocínio

Publicidade



Siga-nos!

Newsletter: Inscreva-se

Para se inscrever em nossa newsletter preencha o formulário.

Artigos Recentes