2. Politica de Segurança da Informação
O plano de continuidade de negócios possibilita o funcionamento
da organização em um nível aceitável nas situações de
contingência onde há indisponibilidade dos recursos de
informação. A impossibilidade de realizar as suas operações traz
sérios impactos financeiros, operacionais e de imagem.
A gestão de riscos deve ser um processo que inclui a identificação,
análise, avaliação, tratamento, aceitação, comunicação,
monitoramento e revisão do risco, onde se deve analisar todos os
riscos inerentes às atividades da organização.
3. A informação é um ativo que possui grande
valor, devendo ser adequadamente
utilizada e protegida contra ameaças e
riscos.
Os equipamentos e sistemas que viabilizam a atividade de acesso
eletrônico à rede corporativa e à conexão com a Internet, assim como as
informações geradas, recebidas, armazenadas e transmitidas compõem
patrimônio da Organização e, como tal, devem ser entendidos e
protegidos.
4. Assim Abordando alguns aspectos a serem
revistos na organização:
Deve ser envolvida a área de TI e principalmente a de segurança da
informação no planejamento das ações de negócios da organização.
o Para que então a equipe de Tecnologia da Informação possa sugerir
um planejamento estratégico para a segurança da informação da
empresa.
Criação de documentação, planejamento e implementação corretiva
para prevenir a reincidência de um incidente de segurança da
informação.
5. Segurança física do ambiente
Segurança física do ambiente de processamento dos dados de informação
da empresa.
o Restrição de acesso ao local do Data Center, começando com
proteção a janela do departamento do TI.
o Barreiras físicas para impedir entradas não autorizada ao local que
armazena e centraliza todos os dados da organização.
o Implantação de proteção contra fogo, incêndio natural ou
provocado.
o Controle para diminuir os riscos provocados com excesso de poeira e
fumaça no local de processamento de dados e arquivamento das
informações.
o Informar aos visitantes procedimentos de segurança da informação,
restrição de acessos, exigência de identificação visual.
6. Segurança física do ambiente
Segurança física do ambiente de processamento dos dados de informação
da empresa.
o Monitoramento de imagens de segurança do Data Center e
armazenamento das imagens em local separado do mesmo. Para
assim evitar possíveis danos ao local de processamento das
informações de ladrões e vândalos que tiverem o intuito de eliminar
gravações dos vídeos das câmeras de segurança.
o Realização de manutenção preventiva periodicamente em nobreak e
geradores de energia elétrica para evitar possível transtorno com a
falta e interrupção de energia elétrica.
o Instalação de iluminação de emergência no Data Center para facilitar
procedimentos de segurança nos equipamentos que processam as
informações cruciais da organização.
o Proteção de cabos e rotas de alternativa contra interrupção
indesejáveis da rede logica.
7. Gerenciamento
Gerenciamento das operações e comunicações.
o Armazenamento de copias e backup de segurança dos sistemas em
locais separados, distantes e seguro do local principal do
processamento das informações. Para em caso de danos no local
principal as copias estarem em total segurança.
o Proteção física e ambiental do local de armazenamento da cópia
de segurança. Para o backup permanecer confiável em momentos
necessários e utilização.
8. Gerenciamento
Gerenciamento das operações e comunicações.
o Definição de restrição e utilização de mídias removíveis no ambiente
da corporação. Para evitar entrada de software maliciosos invisíveis
e causar possível perda e desvio de informações indesejáveis a
empresa.
o Implementação de padronização na utilização de correio eletrônico
e política de troca de informação.
o Controle especial e padrão forte de criptografia de senha em todos
os tipos de acesso do usuário ao software e correio eletrônico
empresarial.
9. Controle de acesso a software
Controle de acessos a software, correio eletrônico, rede coorporativa da
organização.
o Desenvolvimento e padrão formal para cadastramento, regras e
direitos de acessos dos usuários em geral.
o Criação de processos de conscientização de criação e uso de
senhas. Para evitar vazamento de senha e assim facilitar acessos
indesejáveis a rede da organização.
o Divisão de redes corporativa e visitantes, para impedir acessos
indesejáveis. Assim bloqueando acesso de terceiros a rede e
informações coorporativa.
10. Controle de acesso a software
Controle de acessos a software, correio eletrônico, rede coorporativa da
organização.
o Registo de acessos bem sucedidos e mal sucedidos (fracassados) a
rede empresarial. Para poder investigar, rastrear e descobrir possíveis
invasores a rede e informação da empresa.
o Restringir tempo de funcionamento automaticamente aos serviços e
sistemas da empresa. Bloqueando acesso ao sistema, e-mail e demais
serviços cruciais evitando tentativa de acesso não autorizado e perda
de informação. Ou seja, desativar o funcionamento de acesso aos
sistemas da corporação para evitar acesso mão autorizado.
o Limitação de tentativa a acesso aos sistemas da corporação, evitando
tentativa de logon não autorizado. Desconectado os usuários após um
tempo de inatividade do uso de sistemas e demais recursos da rede
corporativa.
11. Ocorrência de desastre
Elaboração de um plano de continuidade de negócio que deve ser aplicado
na ocorrência de um desastre que indisponiblize recursos computacionais e
humano.
o Identificação e elaborar o tratamento para eventos que podem causar
interrupção nos processos do negócio.
o Realizar periodicamente avaliações dos riscos focando nas ameaças
que podem indisponibilizar os recursos da informação.
o Criação de um plano estratégico de compartilhamento de
conhecimento para o negócio da organização não ficar na
dependência de um único centro do conhecimento.
o Processo de treinamento e investimento na equipe de TI visando o
crescimento do conhecimento conjunto em busca de aperfeiçoamento
da área da tecnologia e segurança das informações da organização.
12. Verificação de vulnerabilidade
Verificação continua de vulnerabilidades entorno de toda a área de
tecnologia da informação.
o Bloqueio e proteção contra possíveis entradas e contaminação de
vírus. Aonde podem facilitar perda e roubo de informações cruciais
para a organização.
o Restringir acesso a pastas compartilhadas nas nuvens. Para evitar
desvio de informações.
o Fechar portas de usuários com equipamentos e dispositivos moveis
que possam vir a estar contaminados com vírus invisíveis aos diversos
bloqueios tecnológicos.
13. Integração da TI com RH:
Departamento de Recursos humanos deve trabalhar em parceria com o TI para
elaboração de termo de condição de funcionários, colaboradores, fornecedores
e terceiros em relação à segurança da informação e confiabilidade,
estendendo-se após o período do vínculo com a organização.
o Definição de processos da segurança da informação.
o Treinamento e conscientização dos colaboradores, fornecedores e
terceiros em relação as políticas adotas dentro e fora da organização
em relação a segurança da informação.
o Estabelecer processos disciplinares com colaboradores quando
necessário ao cometer quebras de segurança.
o Deve ser informado antecipadamente quando possível o planejamento
de desligamento de um funcionário da empresa, para que o
departamento de TI possa se precaver com o encerramento de acesso
aos sistemas, correio eletrônico, e demais acessos do usuário. Assim
precavendo e protegendo a empresa de possíveis desvios de dados.
14. Elaboração de documentação:
Departamento de TI deve elaborar documentação de política de
segurança da informação, contendo uma definição, seus objetivos e a
importância da segurança no uso e proteção da informação.
o Direção da empresa deve apoiar os objetivos do princípios da
segurança da informação.
15. Desenvolvimento de Plano de Política de
tecnologia da informação e segurança
Elaboração e desenvolvimento de um plano de política de tecnologia da
informação e segurança da informação envolvendo todas as áreas da
empresa em um intuito único de fechar portas e limitar possível vazamento
e perda de informação indesejável.
16. Informação deve ser Protegido
Por princípio, a segurança da informação deve ser adequadamente
gerenciada e protegida contra roubo, fraude, espionagem, perda não-
intencional, acidentes e outras ameaças, devendo abranger três aspectos
básicos.
o Confidencialidade: somente pessoas devidamente autorizadas pela
empresa devem ter acesso à informação.
o Integridade: somente alterações, supressões e adições autorizadas
pela empresa devem ser realizadas nas informações.
o Disponibilidade: a informação deve estar disponível para as pessoas
autorizadas sempre que necessário ou demandado.
17. Segurança da Informação
Yusef Sad
o Cursando Pós Graduação Segurança da Informação e Gestão de Risco.
o Graduado em Analise e Desenvolvimento de Sistemas
o Técnico em Informática e Telecomunicação