DevSecOps

6 jan, 2016

Estruturando o processo corporativo de segurança da informação

Publicidade

Todas as organizações precisam proteger as suas informações. Independentemente do seu tipo de negócio ou do seu porte, a proteção da informação é um fator crítico para que a organização alcance os seus objetivos corporativos. Sem informação não existe negócio. Algumas organizações estão submetidas à rígida legislação ou aos padrões de mercado, mas todas precisam desenvolver ações para cristalizar essa proteção.

Entretanto, surge uma grande questão: como estruturar essa proteção da informação? Como garantir que a proteção da informação está alinhada com os objetivos corporativos? Como garantir que todos os aspectos da segurança estão contemplados e que os controles serão implantados na prioridade adequada? E como fica o alinhamento com a governança corporativa?

Um erro conceitual e estrutural que muitas organizações executam é concentrar a proteção exclusivamente no ambiente computacional. Muitas empresas possuem a maior parte dos seus dados no ambiente digital, e pensam que apenas protegendo esse ambiente, com a implantação de ferramentas, estarão protegidas. No máximo, elas estarão meio protegidas. Elas estarão se enganando. Com certeza, não é esse o patamar que os acionistas desejam.

Para proteger adequadamente a informação da organização, é necessária uma abordagem estruturada que permita um planejamento e a priorização das ações que devem ser executadas. Entendemos que, para o sucesso da proteção da informação, é obrigatória a implantação de um Processo Corporativo da Segurança da Informação. Mas como estruturar esse processo?

Apresentamos neste artigo uma abordagem prática para o desenvolvimento e a implantação desse processo. Independentemente do tamanho da sua organização, os conceitos e as recomendações aqui apresentadas podem ser implementados. Evidentemente, precisamos de sabedoria para fazer o ajuste adequado à sua organização.

Em primeiro lugar, é necessário tomar um referencial teórico. Sugerimos a Família das Normas ISO/IEC – 27000, mais especificamente a Norma NBR ISO/IEC 27002:2013 – Tecnologia da Informação – Técnicas de Segurança – Código de prática para a gestão da segurança da informação.

Dessa maneira, podemos estruturar o Processo Corporativo de Segurança da Informação como a figura abaixo:

Processo Corporativo da Segurança da Informação

artigo edison

A seguir, detalhamos o que contempla cada um desses componentes.

Dimensão política da segurança da informação

A dimensão política de segurança da informação define as regras de como o processo corporativo de segurança da informação irá funcionar, define as responsabilidades e permite a conexão da governança da segurança com a governança corporativa. Ela é um elemento estrutural para o Processo Corporativo da Segurança da Informação.

Dimensão gestão de riscos em segurança da informação

A dimensão de riscos em segurança da informação implanta e operacionaliza as regras e controles para a existência da Gestão de Riscos de Segurança da Informação da organização. Esta dimensão facilita a priorização das ações e a continuidade do processo corporativo da segurança da informação e, consequentemente, ajuda o seu alinhamento com a governança corporativa.

Dimensão acesso lógico à informação

A dimensão de acesso à informação implanta e operacionaliza as regras e os controles necessários para um acesso seguro à informação, tanto no ambiente de tecnologia quanto no ambiente convencional. São consideradas nesta dimensão Gestão de identidade, Gestão de autenticidade, Gestão de autorização e Auditabilidade dos acessos à informação. Também são definidos os conceitos de Gestor de usuário e de Gestor da informação.

Dimensão classificação da informação

A dimensão classificação da informação implanta e operacionaliza as regras e os controles para a existência de níveis de classificação da informação no que diz respeito ao seu sigilo. Nesta dimensão, são definidos os níveis de sigilo que são utilizados para as informações sob responsabilidade da organização.

Dimensão proteção do ambiente de tecnologia da informação

Esta dimensão implanta e garante a existência de controles que protegem o ambiente digital da organização contra uso indevido do ambiente e invasões maliciosas, ataques buscando vulnerabilidades técnicas e outras ações de criminosas.

Dimensão dos recursos de tecnologia – utilizados pelos usuários

Esta dimensão define como os recursos e facilidades de tecnologia, tipo correio eletrônico, Internet, Redes Sociais e similares, devem ser utilizados pelos usuários e quais devem ser os controles e a sua rigidez, no ambiente digital da informação.

Dimensão flexibilidade operacional

A dimensão flexibilidade operacional considera como a organização vai desenvolver controles paralelos à segurança da informação, mas que influenciam fortemente a proteção da informação. São consideradas as ações para Gestão de Mudanças, Gestão de Problemas e Gestão de Recursos

Dimensão ambiente físico

A dimensão do ambiente físico define, implanta e operacionaliza as regras e os controles necessários para o acesso do usuário no ambiente físico que possui recursos de informação.

Dimensão infraestrutura

A dimensão infraestrutura define, implanta e operacionaliza as regras e os controles necessários para que a infraestrutura que suporta o ambiente físico esteja adequada e atenda aos requerimentos exigidos pelo processo corporativo de segurança da informação.

Dimensão desenvolvimento aplicativo e aquisição de produto

A dimensão desenvolvimento aplicativo e aquisição de produto define, implanta e operacionaliza as regras e os controles de segurança (obrigatórios ou desejáveis) em relação ao desenvolvimento de sistemas aplicativos ou à aquisição de programa produto. São definidos os requisitos de segurança da informação que devem ser formalmente atendidos, após a especificação do produto/sistema e antes da especificação técnica.

Dimensão modelo operativo da segurança da informação

A dimensão modelo operativo da segurança da informação define, implanta e mantém a operacionalização da área de segurança da informação da organização. Também indica como essa área funcionará, a sua posição no organograma da organização e as suas responsabilidades e limitações de atuação.

Dimensão treinamento e conscientização do usuário

A dimensão conscientização e treinamento do usuário, define, implanta e operacionaliza as regras e os controles para que exista de maneira efetiva o treinamento contínuo do usuário em segurança da informação.

Dimensão continuidade de negócio

A dimensão continuidade de negócio define, implanta e operacionaliza as regras e os controles para garantir que a organização continuará funcionando em condições mínimas aceitáveis, mesmo quando da ocorrência de uma indisponibilidade da informação. É necessária a existência do Gestor da Informação para cada informação da organização. Ele é responsável para indicar o tempo (desejado) máximo de indisponibilidade da informação no que se refere à ocorrência de uma indisponibilidade, considerando impactos financeiros, impactos de imagem e impactos operacionais.

Tratamento de incidentes de segurança da informação

Muitas vezes, este aspecto é considerado apenas no ambiente técnico. Quantitativamente, com certeza, os eventos de incidentes nesse ambiente técnico serão sempre em grande quantidade. Porém, uma Gestão de Incidentes deve contemplar todos os tipos de incidentes, inclusive no ambiente convencional.

Conclusão

Para uma efetiva proteção (eficiente e eficaz ao longo do tempo) da informação, são imprescindíveis o desenvolvimento e a implantação de um Processo Corporativo de Segurança da Informação. Recomendo que, após definir a existência desse processo, inicialmente sejam desenvolvidas as políticas e normas de segurança da informação. Esses regulamentos são elementos estruturadores, definem responsabilidades e declaram como a segurança da informação deve acontecer na organização.

Tenha sempre em mente a estrutura do Processo Corporativo da Segurança da Informação. Ele deve ser o seu orientador para a proteção da sua organização no que diz respeito à informação.