Segurança da Informação

Ξ Deixe um comentário

Ciclo de vida da segurança

publicado por Abian Laginestra

Figura - Ciclo de vida da segurançaFalar abertamente no ciclo de vida das soluções e serviços que a TI disponibiliza na empresa é fundamental para um departamento vitorioso.

Os serviços de Segurança de TI, vão desde o desenvolvimento de políticas de segurança até o suporte da detecção de intrusão.

Estas considerações são aplicáveis ​​(em diferentes graus) para cada serviço, dependendo do tamanho, tipo, complexidade, custo e criticidade dos serviços que estão sendo considerados e as necessidades específicas do organização de implementação ou a contratação de serviços para SI.

Os tomadores de decisão de TI devem pensar sobre os custos envolvidos e os requisitos de segurança subjacentes, bem como o impacto potencial das suas decisões sobre a missão organizacional, operações, estratégia, funções, pessoal e arranjos com fornecedores de serviços.

O nível de atrito entre Security e negócio é o eterno trade-off dessa pasta.

Abaixo quando citar “Prestador de serviço”, podemos entender também como a equipe interna.

Comumente as seis fases do ciclo de vida de segurança de TI são:

Fase 1 – Iniciação:

A Alta Administração da organização determina se ela deve investigar se a implementação de um Serviço de Segurança de TI pode melhorar a eficácia da organização. Segurança possui de maneira indissociável um componente de atrito com áreas de negócio e o desafio é mitigar essa questão.

Fase 2 – Avaliação:

A organização determina a postura do atual ambiente de segurança usando métricas e identifica as necessidades e soluções viáveis.

Fase 3 – Decisão:

Avaliar as possíveis soluções, desenvolver o business case e especificar os atributos de uma solução com arranjo de serviço aceitável a partir do conjunto de opções disponíveis.

Fase 4 – Implantação:

A empresa seleciona e contrata os prestadores de serviços, desenvolve um arranjo de serviço e implementa a solução.

Fase 5: Operação:

A empresa garante o sucesso operacional, monitorando de forma consistente os prestadores de serviço e o desempenho da segurança da organização em relação às necessidades identificadas. Avaliação periódica das alterações ao nível dos riscos e ameaças a fim de a empresa garantir a segurança organizacional, normalmente essa fase é ajustada conforme necessidade do processo para manter uma postura de segurança aceitável.

Fase 6 – Encerramento:

A organização garante uma transição suave quando o serviço termina ou é descontinuado.

Naturalmente cada empresa deve realizar sua própria análise das necessidades, avaliando, selecionando, implementando e supervisionando o serviço de segurança de TI para melhor atender a sua visão, missão e objetivos.

Eu diria que um bom ponto de partida é tornar objeto de estudo os guias do NIST para as equipes de TI.

Abaixo uma pequena lista das publicações especiais do NIST que podem ser úteis na prestação de informações sobre serviços específicos e tecnologias:

* SP 800-30: Guia de Gestão de Risco para Sistemas de Informação Tecnologia
* SP 800-32: Introdução à Tecnologia de Chaves Públicas e Infra-Estrutura Federal PKI
* SP 800-33: Modelos técnicas para a Segurança da Informação Tecnologia
* SP 800-34: Planejamento de Contingência para Sistemas de Informação Tecnologia
* SP 800-41: Uma Introdução ao Firewall Firewalls e Política
* SP 800-42: Orientação sobre Teste de Segurança de Rede
* SP 800-48: Wireless Network Security: 802.11, Bluetooth e dispositivos portáteis
* SP 800-50: A construção de uma consciência de segurança de Tecnologia da Informação e Programa de Formação
* SP 800-53: Recomendado Controles de Segurança para Sistemas de Informação Federal (mais específico no cenário USA)

Finalizando, os guias são fundamentalmente norteadores, mas dada as características inerentes a cada empresa sempre será mais fácil ou complicado implementar o que eles recomendam. A dica é não esmorecer diante das dificuldades, principalmente se a organização ainda está no nível 2 e 1 de acordo com o COBIT. Levantar voo é a parte mais complicada.

[Crédito da Imagem: Ciclo de Vida – ShutterStock]

Autor

Profissional com 20 anos de experiência nas áreas de tecnologia, compliance e administrativa de empresas, com forte preocupação em segurança da informação e aderência regulatória. Possui larga experiência na área de Ciência da Computação, com ênfase em Sistemas de Informação. MBA em Gestão da Segurança da Informação pelo INFNET, e graduado pela EBAPE - Fundação Getúlio Vargas.

Abian Laginestra

Comentários

You must be logged in to post a comment.

Busca

Patrocínio

Publicidade



Siga-nos!

Newsletter: Inscreva-se

Para se inscrever em nossa newsletter preencha o formulário.

Artigos Recentes