Páginas

quinta-feira, 24 de maio de 2018

SEGURANÇA DA INFORMAÇÃO

SEGURANÇA DA INFORMAÇÃO

Depois de ler o artigo, responda a seguinte enquete.
Antes de falar de informação, cuide dos dados:
DADO: Elemento que serve de base para a resolução de um problema.

DADO: É o novo petróleo.

DADO: É um ativo. É essencial para os negócios de uma organização, e necessita adequadamente ser protegido.

Governança de dados: É o gerenciamento geral de disponibilidade de dados, relevância, usabilidade, integridade e segurança em uma empresa. É um elo com o DPO e todas as áreas internas da corporação.

SEGURANÇA DA INFORMAÇÃO

Preservação da confidencialidade, integridade e disponibilidade da informação adicionalmente, outras propriedades, tais como, autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas. ABNT NBR ISO IEC 17799 2005


Antes de se mencionar segurança da informação, tem-se que garantir para a informação:
- A confidencialidade
- A integridade
- A disponibilidade
- A autenticidade
e como consequência a auditabilidade e a legalidade.
Quando falamos em segurança da informação, nos preocupamos com criptografias nas transmissões, armazenamentos, protegendo o tráfego das informações no ambiente de redes com intuito de nos proteger contra danos, perdas e acessos indevidos, e nos esquecemos que há o principio  que todos os equipamentos emitem ondas eletromagnéticas que podem ser detectadas e interpretadas, isto é designado “EfeitoTempest”, que se não for dada tratativas adequadas é uma porta aberta para a segurança da informação. Além do "Efeito Tempest" devemos dentro de um ambiente de TI termos o cuidado com as Seguintes Áreas:
Infraestrutura
Sistema de Arquivos
Sistemas Produtivos
Investir em Colaboradores que vestem a camisa da empresa
Planejamento estratégico bem definido
Recebimento de E-mails 
Não utilizar versões antigas do windows  

A pergunta que nos vem naturalmente é: De que maneira tento evitar o "efeito Tempest"?, começamos com a conscientização de todos através de um Política bem elaborada de uso de recursos de TIC, e, de uma leitura na nova LGPD.



OBSERVAÇÃO IMPORTANTE
Quando mencionamos segurança da informação no ambiente de TI, estamos falando de um dos pilares da Governança de TI, sabemos que é preciso ter um caminho a seguir, e para que dê certo, é preciso em primeiro lugar criar esta cultura dentro da empresa, para isto acontecer, é preciso ter uma área responsável para isto, se a sua empresa não tiver, crie uma área que vai trabalhar somente com a governança de TI, crie um estatuto para esta área, inclua-a no organograma, tendo como pilares de sustentação para esta área:
1) As Conformidades
3) Gerenciamento de processos,
5) Gerenciamento em segurança da informação,
6) PDTI. 
Tenha um framework que trabalhe bem as boas práticas, sugiro o ITIL(veja os links: definiçãorelacionamento do ITIL com o COBIT, como implantar ITIL), e outro próprio para a parte estratégica, sugiro o COBIT. Depois de criada a cultura, e todos os envolvidos entenderem para que é o ITIL (Serviços) e COBIT (Estratégia), verifique em que nível de maturidade a sua empresa encontra-se:
1 – Inexistente : Não há processos bem definidos.
2 – Inicial: Os processos estão na cabeça de uma só pessoa.
3 – Repetível: Existe um ou outro processo definido e várias pessoas sabem.
4 – Definido: Os processos foram mapeados, estão gravados e compartilhados na rede ou internet, mas não possui indicadores para começar o processo de melhoria.
5 – Gerenciável: Os indicadores estão definidos, começando a monitorar os indicadores.
6 – Otimizável: Os indicadores monitorados, trouxeram resultados que serão avaliados e melhorados.
Se a sua empresa estiver em um dos três níveis iniciais, comece com a implantação da cultura entre os colaboradores, depois disto a sequência supra citada virá naturalmente. Em paralelo ao citado acima comece uma gestão de mudanças,  gestão de nível de acordo de serviços, gestão de projetos, compartilhando com os lideres de área.

COMO COMEÇAR A SEGURANÇA DA INFORMAÇÃO
1 - Faça um inventário de sua base de dados, faça o levantamento de todos os seus bancos de dados, de clientes, fornecedores, parceiros e outros, e faça uma limpeza em suas bases de dados, eliminando todas as redundâncias.
2 - Desenvolva uma forma de comunicação com todos da sua base de dados, sejam pessoas físicas ou jurídicas, com o objetivo de obter autorização para contatos futuros, pois a LGPD (veja artigo 7) é bem clara com relação a contatos com clientes, pois deve haver uma autorização expressa deles.
3 - Desenvolva uma proteção dos seus dados (criptografia, assinatura digital e outros).
4 - Mantenha relatórios de acompanhamento.


POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO

Verifique se suas políticas estão alinhadas com os decretos, se não estiver, alinhe-as
Política de segurança da informação e Politica de Governança de TI não podem faltar, as mesmas estão orientadas nos decretos acima.
Politicas que envolvem Privacidade e Recursos de TI exigem a leitura da LGPD.

Grato,
Jefferson Daminelli Garcia


Nenhum comentário:

Postar um comentário