A segurança dos sistemas e ambientes de TI é assunto crítico. Podemos verificar que boa parte da propriedade empresarial encontra-se nos meios de transferência e armazenamentos de tecnologia.
O Cobit é uma guia de boas práticas aceito mundialmente para gestão de tecnologia da informação. Dividido em quatro domínios que possuem 34 processos e dentro destes processos temos 318 objetivos de controle, abrangendo amplamente a operação de TI.
Dentro destes domínios temos ”Entregar e Suportar” ou DS de “Delivery & Support”.
Usaremos o processo DS5 que é “Assegurar a Segurança dos Serviços” para gerir a segurança da informação em nossa empresa. Temos outros processos dentro do Cobit que complementam esta questão mas vamos focar neste especificamente.
O processo de gestão em segurança tem como alvo manter a integridade da informação e proteger os ativos de TI, minimizando o impacto sobre os negócios de vulnerabilidades e incidentes de segurança.
Para implementar este processo precisamos definir os papéis, responsabilidades, políticas, padrões e procedimentos.
O monitoramento, teste periódico e implementação de ações corretivas fazem parte da manutenção desta gestão.
Para alcançar estes objetivos é necessário
- Entender as vulnerabilidades e ameaças de segurança.
- Controlar acessos e permissões de usuários.
- Testar periodicamente a segurança.
Como medir o progresso alcançado?
- Quantidade de incidentes que prejudicam a reputação pública da empresa.
- Quantidade de sistemas onde os requisitos de segurança não são atendidos.
- Quantidade de violações nas permissões de acesso para usuários.
Neste processo temos os objetivos definidos abaixo.
Alinhar a estratégia e ações de gestão em segurança da informação com os requisitos do negócio no mais alto nível organizacional da empresa.
Traçar um plano abrangente com base nos requisitos do negócio que leve em consideração a infraestrutura e cultura da empresa. O plano deve ser executado através de políticas, procedimentos de segurança e investimentos em serviços, pessoal, treinamento, software e hardware. Todo plano deve ser amplamente divulgado à todos envolvidos direta ou indiretamente.
Usuários, colaboradores internos, externos e temporários devem ter suas atividades identificadas e registradas. Os acessos e permissões precisam ser documentados de acordo com as funções e atribuições dos cargos. Os direitos de acesso devem ser solicitados pela gestão de usuários, aprovados pelo proprietário do sistema e implementados pelo responsável pela segurança da informação. Os logins, senhas e acessos devem ser guardados em um repositório central, de preferencia protegidos com senha e criptografia.
Criar um procedimento para gestão de contas de usuário, que regerá a forma para solicitação, emissão, suspensão, modificação e bloqueio de contas e seus direitos de acesso. Incluir procedimento de aprovação e concessão de direitos de acesso pelos proprietários dos dados ou sistemas. Este procedimento deve ser aplicado a todos usuários internos ou externos, inclusive administradores e usuários com privilégios.
Monitorar e testar periodicamente a segurança de TI para garantir os níveis aprovados e documentados. Os registros de eventos (Logs) e monitoramento devem possibilitar a prevenção e/ou detecção de ameaças ou atividades incomuns que precisem ser tratadas.
Especificar e comunicar de forma objetiva o que constitui um incidente de segurança para que estes possam ser identificados rapidamente e tratados pelos processos de gestão de incidentes ou gestão de problemas.
Certificar que as tecnologias de segurança sejam invioláveis e que suas documentações não sejam reveladas desnecessariamente.
Estabelecer procedimentos e políticas de geração, mudança, revogação, destruição, distribuição, certificação, armazenamento, inserção, uso e arquivamento de chaves criptográficas com o objetivo de proteger alteração não autorizada ou revelação publica.
Definir medidas preventivas de detecção e correção contra malwares, vírus, worms e outras ameaças assim como atualizações de segurança de softwares e sistemas.
Utilizar técnicas de administração em segurança para prevenir acesso não autorizado e controlar o fluxo de informações através de firewalls, IDS, VLAN, etc.
Definir meios para que a comunicação de dados seja feita de forma segura e que informações confidenciais trafeguem por canais confiáveis e controlados tendo seu conteúdo autenticado, comprovando o envio e recebimento.
Fonte consultada: http://www.itgi.org
Conclusão
Como podemos ver, através destes 11 objetivos dentro do processo DS5 podemos manter a integridade, confiabilidade, disponibilidade e segurança do ambiente tecnológico dentro de nossa empresa.
Contribua, comente sobre ações que trouxeram resultados efetivos na segurança de TI em sua empresa.
[Crédito da Imagem: Tecnologia – ShutterStock]
Grande abraço e até a próxima!