SEGURANA DA INFORMAO

O ativo mais valioso para uma organizao ou pessoa a informao. Este grande diferencial competitivo ento deve estar disponvel apenas para as pessoas de direito. Elaborar e garantir critrios que protejam estas informaes contra fraudes, roubos ou vazamentos nas empresas so responsabilidades e habilidades dos gestores e analistas de segurana da informao. Nessa cartilha voc vai encontrar alguns passos e ideias de como entregar e melhorar resultados.

O que um departamento de segurana da informao faz?:

assegurar os ativos de informao de uma organizao ou pessoa.

As atividades de segurana da

informao englobam o desenho, implementao, controle e monitorao de mtodos e processos que visam

Sua atuao numa empresa est diretamente envolvida com as reas de negcio, principalmente com a rea de tecnologia, uma vez que esta sustenta a maioria dos processos de negcio da empresa. sinergia da rea com os projetos e departamentos da organizao carter fundamental para a boa prtica da segurana da informao no ambiente corporativo. Para desenvolver uma poltica e uma cultura de segurana da informao, a TI precisa antes garantir a entregados recursos e da informao para os usurios, alm de mant-los ntegros e confidenciais. As informaes de negcio de uma organizao esto dispostas em um complexo ecossistema formado por processos de negcio, pessoas e tecnologia. Para A

garantir a continuidade do negcio de uma organizao, preciso assegurar que cada membro deste ecossistema esteja em conformidade com normas internas criadas pela prpria organizao e normatizaes externas, nacionais e internacionais. Vamos apresentar aqui um

conjunto de boas prticas de mercado que ajuda a manter todos os recursos disponveis e seguros para as tomadas de deciso da organizao. Cada organizao tem seu core businness e para cada um podemos olhar e encontrar particularidades que devemos trabalhar para garanti-las tambm. Mas o principal objetivo nunca muda e em

todos os programas de desenvolvimento de uma poltica e cultura de segurana da informao vamos encontrar estes trs itens:

Garantir disponibilidade dos recursos/informao; Garantir integridade da informao; Garantir confidencialidade da informao.

Garantindo a disponibilidade dos recursos:

Recursos de informao como dados, servidores,

aplicaes, equipamentos de telecom devem estar disponveis demanda e necessidade do negcio. preciso mapear quais so estes ativos principais crticos para o negcio e controlar as necessidades de atualizaes de toda esta infraestrutura a fim de minimizar paradas no ambiente. Estas paradas ainda podem ser causadas por variveis no controlveis como falhas de hardware, problemas de software, ataques a rede computacional, ausncia de recursos humanos, entre outras. Para estas devemos ter o cuidado de procurar desenvolver processos detalhados para suprir quaisquer problemas que a organizao possa enfrentar, quais os impactos de uma falha e quais as atitudes a serem tomadas no caso de indisponibilidade de um recurso. Este assunto

trabalhado dentro de um item chamado de Gerenciamento de Riscos. Seguinte a isso encontramos por exemplo o Plano de Recuperao de Desastres (ou DRP, de Disaster Recovery Plan). Os principais itens trabalhados num plano de projeto para manuteno e disponibilidade de recursos, sobretudo tecnolgicos so:

Preveno e deteco de ameaas a rede computacional, tambm monitorao e controle da rede; Definio de polticas e processos de uso de recursos de rede;

Desativamento de recursos e servios no necessrios em servidores e aplicaes; Ajuste fino de servidores e aplicaes (Hardening); Cuidados com gerenciamento de identidades e controles de acesso a rede; Definio de um plano para aplicao de patches e atualizaes no ambiente; Definio de um plano de contingncia para os recursos e um plano para recuperao de desastres.

Garantindo a integridade da informao:Entende-se em garantir integridade da informao o

trabalho de coloc-la disponvel aos recursos que a utilizaro na forma de sua ltima verso vlida. O principal item desta etapa que eu gostaria de trabalhar aqui so os processos de auditoria, essenciais para a garantia de integridade das informaes e recursos da organizao. Os principais objetivos desta etapa so entender os mtodos como processos de negcio so aprovados e repassados, quem so seus proprietrios/responsveis e usurios e buscar ferramentas para monitorar e controlar estas alteraes a fim de garantir a integridade. Recursos

como firewalls, antivrus, criptografia, assinatura digital, backup, processos e outras ferramentas devem ser usadas para garantir o bom funcionamento do ambiente.

Garantindo a confidencialidade da informao:

Este ltimo tpico, porm no menos importante,

resultante do trabalho j realizado nos tpicos anteriores. Onde atravs de processos e ferramentas buscamos entender e mapear todos os recursos e acima de tudo assegurar as informaes estratgicas para o negcio da organizao. As informaes

devem estar disponveis apenas a pessoas e/ou outros recursos que tenham direito a elas. Com isso em mente podemos trabalhar para minimizar ataques a rede computacional da empresa, vazamento de dados atravs do envio de informaes de negcio sem autorizao por e-mails, impresses, cpias em dispositivos mveis, tambm acesso a informaes de projetos e departamentos armazenadas em servidores por pessoas no autorizadas. Sem esquecer as variveis incontrolveis que tambm esto presentes aqui, como por exemplo possveis perdas ou furtos de dispositivos como notebooks, smartphones e pendrives que porventura possam conter informaes confidenciais.

Mudana de paradigma:

Primeiro vamos comear quebrando um paradigma. No comeo da informtica era

fcil encontrar os ativos digitais de uma empresa. Eles ficavam num lugar chamado de CPD (Central de Processamento de Dados). Hoje a coisa complicou muito! Podemos encontrar informaes das empresas circulando em notebooks, fitas de backups, pendrives, smartphones, e-mails etc. Como garantir o bom uso e a segurana das informaes crticas para o negcio agora? Apenas um firewall protegendo a rede j no adianta mais, pois os dados esto circulando por diversos meios, em diversos estados e at fora do permetro da organizao. Atravs

do uso de processos e tecnologia, a rea de segurana da informao hoje pode entregar resultados fantsticos para as empresas diminuindo sensivelmente os riscos para o negocio.

Classificao da informao:
aprovao e controle.

Todo ativo de informao deve ter um gestor como responsvel para A

classificao da informao deve ficar evidente e de fcil reconhecimento pelo usurio ou colaborador, para que este possa utilizar e compartilhar o recurso apenas com as reas de negcio que tenham acesso. Este mapeamento deve ser organizado e gerenciado por um comit de segurana da informao e os ativos avaliados, digitais ou no, devem ser entendidos junto a seus proprietrio e usurios, para a obteno de melhores resultados. Ativos digitais crticos

para a organizao (como projetos estratgicos, planilhas financeiras, relatrio de vendas etc.) so algumas das informaes estratgicas mais comuns e sensveis para as empresas e sua segurana merece total ateno. ? Confidencial informaes e recursos disponveis a projetos e trabalhos crticos para a continuidade do negcio da organizao. ? Uso interno informaes e recursos disponveis e gerados por departamentos e grupos de projeto, de uso restrito dentro da organizao. ? Uso pblico informaes que podem ou devem ser divulgadas, a fornecedores, colaboradores externos, mdias de publicidade, etc.

Entendendo os diferentes estados da informao:? Armazenada: so considerados dados

armazenados os que residem em notebooks, desktops e servidores; ? Em movimento: so considerados dados em movimento os que residem em pen drives, smartphones, CDs e emails; ? Em uso: so considerados dados em uso os que se encontram em estado de processamento (sistemas de ecommerce, bancos de dados, ERPs etc.).

Administrao e controle de senhas:

Usurios e senhas j fazem parte do dia-a-dia de todos, o que

utilizamos isto para acessar a conta do banco, o sistema da empresa, o computador de casa, etc. Garantir a segurana e o bom uso destas identidades crucial para evitarmos vazamento ou roubo de informaes. A maioria dos softwares que requerem algum tipo de autenticao para administrao da ferramenta e/ou uso de outros perfis utilizam de um conjunto formado por um nome de usurio e uma senha, como Administrator senha password pass entre outros. A mudana do nome destes usurios e senhas padro nas ferramentas deve ocorrer se possvel logo ao trmino da sua instalao. uma senha longa o suficiente. Uma boa senha possui de 8 a 12 dgitos. E quanto mais longa, melhor. No utilize palavras e nomes conhecidos. Programas de quebra de senha possuem uma base bastante aprimorada com diversos dicionrios, a fim de testar cada uma destas palavras e tentar ento quebrar esta senha. Utilize caracteres alfanumricos como nmeros, pontuao alm de tambm alternar entre letras maisculas e minsculas. Evite Faa

anotar suas senhas em papis ou divulgar para outras pessoas. Trabalhe num conjunto de caracteres que possam representar simbolicamente algo para voc e que possa ser facilmente lembrado. Use

senhas diferentes para suas contas. Obviamente mais cmodo ter apenas uma boa senha, mas em caso de furto ou vazamento, todas as contas e sistemas que voc utilizam desta senha para acesso podero ser facilmente acessados por quem se beneficiar. Mude

suas senhas com frequncia. Isto com certeza pode ajudar no caso de algum estar bisbilhotando alguma conta sua particular ou na sua empresa e no estiver deixando rastros. Sempre que

possvel utilize criptografia. Com isso voc pode garantir que apenas as pessoas autorizadas possam ter acesso a suas contas e informaes.

Gesto de identidades e acessos:

O bom desenho da infraestrutura computacional e processos de

tecnologia de extrema importncia para o controle dos acesso aos ativos de informao. Todas as mudanas nos perfis de acesso dos colaboradores devem ser documentadas e estes registros devem ficar disponveis para futuras consultas e auditorias. A rea de segurana da informao deve garantir o cumprimento dos prazos e controles para validao e concesso dos acessos.

Mudana cultural:

A poltica de segurana da informao deve ser divulgada e de fcil acesso pelos

colaboradores. Workshops e treinamentos so boas maneiras de divulg-la e orientar os usurios de como a rea de segurana da informao est trabalhando para proteger os ativos de informao da empresa e quais so as responsabilidades dos colaboradores dentro deste ecossistema. Como certo dizer que hoje qualquer processo de negcio de uma empresa depende de tecnologia e informao, a forma no mais fcil, porm melhor, de garantir interao da rea de segurana da informao para cumprimento da poltica orientar que cada projeto ou rea de negcio da empresa comunique e solicite colaborao para avaliao de riscos e implementao de controles. O contrrio disso pode demandar um esforo de venda das atividades na empresa que seguramente no apresentar bons resultados no final de cada trabalho. [Webinsider]