O ativo mais valioso para uma organização ou pessoa é a informação. Este grande diferencial competitivo deve estar disponível apenas para as pessoas de direito. Elaborar e garantir critérios que protejam estas informações contra fraudes, roubos nas empresas são responsabilidades e habilidades dos gestores e analistas de segurança da informação.
Neste artigo vai encontrar alguns passos e ideias de aplicação de boas práticas para o desenvolvimento de políticas e cultura de segurança de informação.
As atividades de segurança da informação englobam o desenho, implementação, controle e monitoração de métodos e processos que visam assegurar os ativos de informação de uma organização ou pessoa.
Sua atuação numa empresa está diretamente envolvida com as áreas de negócio, principalmente com a área de tecnologia, uma vez que esta sustenta a maioria dos processos de negócio da empresa.
A sinergia da área com os projetos e departamentos da organização é caráter fundamental para a boa prática da segurança da informação no ambiente corporativo.
Para desenvolver uma política e uma cultura de segurança da informação, a TI precisa antes garantir a entrega dos recursos e da informação para os usuários, além de mantê-los íntegros e confidenciais.
As informações de negócio de uma organização estão dispostas em um complexo ecossistema formado por processos de negócio, pessoas e tecnologia.
Para garantir a continuidade do negócio de uma organização, é preciso assegurar que cada membro deste ecossistema esteja em conformidade com normas internas criadas pela própria organização e normatizações externas, nacionais e internacionais.
Apresento um conjunto de boas práticas de mercado que ajudam a manter todos os recursos disponíveis e seguros para as tomadas de decisão da organização. Cada organização tem seu core businness e para cada um podemos olhar e encontrar particularidades que devemos trabalhar para garanti-las.
O principal objetivo nunca muda e em todos os programas de desenvolvimento de uma política e cultura de segurança da informação vamos encontrar estes três itens:
Recursos de informação como dados, servidores, aplicações, equipamentos de telecomuicações devem estar disponíveis à demanda e necessidade do negócio. É preciso mapear quais são estes ativos principais - críticos - para o negócio e controlar as necessidades de atualizações de toda esta infraestrutura a fim de minimizar paradas no ambiente.
Estas paradas ainda podem ser causadas por variáveis não controláveis como falhas de hardware, problemas de software, ataques a rede computacional, ausência de recursos humanos, entre outras.
Para minimizar estes problemas é trabalhado dentro de um item chamado de Gerenciamento de Riscos. Onde encontramos por exemplo o Plano de Recuperação de Desastres (ou DRP, de Disaster Recovery Plan). Este plano consiste em trabalhar em projetos para manutenção e disponibilidade de recursos, sobretudo tecnológicos como:
Neste artigo vai encontrar alguns passos e ideias de aplicação de boas práticas para o desenvolvimento de políticas e cultura de segurança de informação.
As atividades de segurança da informação englobam o desenho, implementação, controle e monitoração de métodos e processos que visam assegurar os ativos de informação de uma organização ou pessoa.
Sua atuação numa empresa está diretamente envolvida com as áreas de negócio, principalmente com a área de tecnologia, uma vez que esta sustenta a maioria dos processos de negócio da empresa.
A sinergia da área com os projetos e departamentos da organização é caráter fundamental para a boa prática da segurança da informação no ambiente corporativo.
Para desenvolver uma política e uma cultura de segurança da informação, a TI precisa antes garantir a entrega dos recursos e da informação para os usuários, além de mantê-los íntegros e confidenciais.
As informações de negócio de uma organização estão dispostas em um complexo ecossistema formado por processos de negócio, pessoas e tecnologia.
Para garantir a continuidade do negócio de uma organização, é preciso assegurar que cada membro deste ecossistema esteja em conformidade com normas internas criadas pela própria organização e normatizações externas, nacionais e internacionais.
Apresento um conjunto de boas práticas de mercado que ajudam a manter todos os recursos disponíveis e seguros para as tomadas de decisão da organização. Cada organização tem seu core businness e para cada um podemos olhar e encontrar particularidades que devemos trabalhar para garanti-las.
O principal objetivo nunca muda e em todos os programas de desenvolvimento de uma política e cultura de segurança da informação vamos encontrar estes três itens:
- Garantir disponibilidade dos recursos/informação;
- Garantir integridade da informação;
- Garantir confidencialidade da informação.
Recursos de informação como dados, servidores, aplicações, equipamentos de telecomuicações devem estar disponíveis à demanda e necessidade do negócio. É preciso mapear quais são estes ativos principais - críticos - para o negócio e controlar as necessidades de atualizações de toda esta infraestrutura a fim de minimizar paradas no ambiente.
Estas paradas ainda podem ser causadas por variáveis não controláveis como falhas de hardware, problemas de software, ataques a rede computacional, ausência de recursos humanos, entre outras.
Para minimizar estes problemas é trabalhado dentro de um item chamado de Gerenciamento de Riscos. Onde encontramos por exemplo o Plano de Recuperação de Desastres (ou DRP, de Disaster Recovery Plan). Este plano consiste em trabalhar em projetos para manutenção e disponibilidade de recursos, sobretudo tecnológicos como:
- Prevenção e detecção de ameaças a rede computacional, monitoramento e controle da rede;
- Definição de políticas e processos de uso de recursos de rede;
- Desativamento de recursos e serviços não necessários em servidores e aplicações;
- Ajuste fino de servidores e aplicações (Hardening);
- Cuidados com a gestão de identidades e controles de acesso a rede;
- Definição de um plano para aplicação de patches e atualizações no ambiente;
- Definição de um plano de contingência para os recursos e recuperação de desastres.
Nenhum comentário:
Postar um comentário