TI CorporativaGovernançaCOBIT - DS5 - Garantir a segurança dos sistemas

COBIT – DS5 – Garantir a segurança dos sistemas

-

Publicidade

A segurança dos sistemas e ambientes de TI é assunto crítico. Podemos verificar que boa parte da propriedade empresarial encontra-se nos meios de transferência e armazenamentos de tecnologia.

O Cobit é uma guia de boas práticas aceito mundialmente para gestão de tecnologia da informação. Dividido em  quatro domínios que possuem 34 processos e dentro destes processos temos 318 objetivos de controle, abrangendo amplamente a operação de TI.

tabela

Dentro destes domínios temos ”Entregar e Suportar” ou DS de “Delivery & Support”.

Usaremos o processo DS5 que é “Assegurar a Segurança dos Serviços” para gerir a segurança da informação em nossa empresa. Temos outros processos dentro do Cobit que complementam esta questão mas vamos focar neste especificamente. 0

O processo de gestão em segurança tem como alvo manter a integridade da informação e proteger os ativos de TI, minimizando o impacto sobre os negócios de vulnerabilidades e incidentes de segurança.

Para implementar este processo precisamos definir os papéis, responsabilidades, políticas, padrões e procedimentos.

O monitoramento, teste periódico e implementação de ações corretivas fazem parte da manutenção desta gestão.

Para alcançar estes objetivos é necessário

  1. Entender as vulnerabilidades e ameaças de segurança.
  2. Controlar acessos e permissões de usuários.
  3. Testar periodicamente a segurança.

Como medir o progresso alcançado?

  1. Quantidade de incidentes que prejudicam a reputação pública da empresa.
  2. Quantidade de sistemas onde os requisitos de segurança não são atendidos.
  3. Quantidade de violações nas permissões de acesso para usuários.

Neste processo temos os objetivos definidos abaixo.

1

Alinhar a estratégia e ações de gestão em segurança da informação com os requisitos do negócio no mais alto nível organizacional da empresa.

2

Traçar um plano abrangente com base nos requisitos do negócio que leve em consideração a infraestrutura e cultura da empresa. O plano deve ser executado através de políticas, procedimentos de segurança e investimentos em serviços, pessoal, treinamento, software e hardware.  Todo plano deve ser amplamente divulgado à todos envolvidos direta ou indiretamente.

3

Usuários, colaboradores internos, externos e temporários devem ter suas atividades identificadas e registradas. Os acessos e permissões precisam ser documentados de acordo com as funções e atribuições dos cargos. Os direitos de acesso devem ser solicitados pela gestão de usuários, aprovados pelo proprietário do sistema e implementados pelo responsável pela segurança da informação. Os logins, senhas e acessos devem ser guardados em um repositório central, de preferencia protegidos com senha e criptografia.

4

Criar um procedimento para gestão de contas de usuário, que regerá a forma para solicitação, emissão, suspensão, modificação e bloqueio de contas e seus direitos de acesso. Incluir procedimento de aprovação e concessão de direitos de acesso pelos proprietários dos dados ou sistemas. Este procedimento deve ser aplicado a todos usuários internos ou externos, inclusive administradores e usuários com privilégios.

5

Monitorar e testar periodicamente a segurança de TI para garantir os níveis aprovados e documentados. Os registros de eventos (Logs) e monitoramento devem possibilitar a prevenção e/ou detecção  de ameaças ou atividades incomuns que precisem ser tratadas.

6

Especificar e comunicar de forma objetiva o que constitui um incidente de segurança para que estes possam ser identificados rapidamente e tratados pelos processos de gestão de incidentes ou gestão de problemas.

7

Certificar que as tecnologias de segurança sejam invioláveis e que suas documentações não sejam reveladas desnecessariamente.

8

Estabelecer procedimentos e políticas de geração, mudança, revogação, destruição, distribuição, certificação, armazenamento, inserção, uso e arquivamento de chaves criptográficas com o objetivo de proteger alteração não autorizada ou revelação publica.

9

Definir medidas preventivas de detecção e correção contra malwares, vírus, worms e outras ameaças assim como atualizações de segurança de softwares e sistemas.

10

Utilizar técnicas de administração em segurança para prevenir acesso não autorizado e controlar o fluxo de informações através de firewalls, IDS, VLAN,  etc.

5-11-300x54

Definir meios para que a comunicação de dados seja feita de forma segura e que informações confidenciais trafeguem por canais confiáveis e controlados tendo seu conteúdo autenticado, comprovando o envio e recebimento.

Fonte consultada: http://www.itgi.org

Conclusão

Como podemos ver, através destes 11 objetivos dentro do processo DS5 podemos manter a integridade, confiabilidade, disponibilidade e segurança do ambiente tecnológico dentro de nossa empresa.

Contribua, comente sobre ações que trouxeram resultados efetivos na segurança de TI em sua empresa.

[Crédito da Imagem: Tecnologia – ShutterStock

Grande abraço e até a próxima!

Gleidson Rodrigueshttp://gerenciamentointegrado.blogspot.com.br/
Especialista em Gestão de TI - COBIT / PMBOK / BPM / ITIL. Administrador de Redes e Segurança da Informação. Suporte a serviços, gestão e coordenação de equipes, administração de infraestrutura e redes. Microsoft Technical Specialist Business Intelligence and Datacenter. Consultor de convergência e proficiência em Help-Desk. Escritor do blog Gerenciamento Integrado, HotPlug Segurança da Informação. Colaborador dos sites TI Especialistas, Profissionais TI e Administradores. Estratégia em redes sociais e marketing de conteúdo.

Latest news

Estratégia de comunicação para TI: 5 erros para NÃO cometer

Existem 5 erros comuns que você não pode cometer mais na comunicação da sua empresa. Se você é um MSP que busca o sucesso, acesse e confira!

Inovação e Liderança: Uma Jornada de Transformação Digital

Inovação e Liderança: Uma Jornada de Transformação DigitalNo ritmo acelerado do mundo de hoje, a combinação de inovação e empreendedorismo é fundamental para profissionais que desejam gerar impacto nas organizações. Ao longo da minha carreira, passei de funções técnicas para posições de liderança, e, nesse caminho, aprendi como a tecnologia pode ser uma força transformadora nos negócios.

IDCA – A Força Motriz por Trás da Excelência em Infraestrutura Digital

Em um mundo cada vez mais digital, a Infraestrutura Digital robusta e confiável se tornou a espinha dorsal da sociedade moderna. É nesse cenário crucial que o IDCA (International Data Center Authority) se destaca como líder mundial, moldando o presente e o futuro da indústria. Mas o que torna o IDCA tão especial?

Gerenciador de senhas: saiba como fortalecer a segurança de TI da sua empresa em 2024

Um gerenciador de senhas é uma ferramenta projetada para armazenar, organizar e gerenciar senhas de forma segura. Mas podemos mostrar que ele vai muito além disso!
Publicidade

Software para MSPs: indo além do preço ao procurar pelas ferramentas certas

Confira 5 dicas essenciais para escolher as melhores plataformas para compor o monitoramento e segurança da infraestrutura de TI dos seus clientes

Rápido, seguro e nativo: Chrome chega ao Windows no Snapdragon

"Projetamos o navegador Chrome para ser rápido, seguro e fácil de usar em desktops e dispositivos móveis, e estamos sempre procurando maneiras de levar essa experiência a mais pessoas", disse Hiroshi Lockheimer, Senior Vice President, Google.

Must read

Estratégia de comunicação para TI: 5 erros para NÃO cometer

Existem 5 erros comuns que você não pode cometer mais na comunicação da sua empresa. Se você é um MSP que busca o sucesso, acesse e confira!

Inovação e Liderança: Uma Jornada de Transformação Digital

Inovação e Liderança: Uma Jornada de Transformação DigitalNo ritmo acelerado do mundo de hoje, a combinação de inovação e empreendedorismo é fundamental para profissionais que desejam gerar impacto nas organizações. Ao longo da minha carreira, passei de funções técnicas para posições de liderança, e, nesse caminho, aprendi como a tecnologia pode ser uma força transformadora nos negócios.
- Advertisement -

You might also likeRELATED
Recommended to you