Auditoria E Analise De Segurança Da Informaçao

INTRODUÇÃO

O Planejamento é fator crítico para a Segurança da Informação, e o Plano Diretor de Segurança (PDS) é o instrumento para este fim. Deve ser DINÂMICO e FLEXÍVEL, apontando o CAMINHO e os PASSOS (Atividades) para a IMPLEMENTAÇÃO da SOLUÇÃO e atender as necessidades de segurança do negócio, de forma a operar sob RISCO CONTROLADO. É peculiar a cada empresa, e por isso não há como usar outro modelo, por mais sucesso que tenha se obtido através dele.

Os processos de auditoria e análise de risco são uma componente importante na definição da política de segurança da informação e segurança informática. O principal objetivo de um programa de auditoria e análise de risco é identificar os ativos inerentes à organização, as suas metodologias e processos estimando o risco associado. Desta forma consegue-se a proteger a organização e não apenas a infra-estrutura informática. Uma auditoria ou análise de risco é um processo que deve ser encarado do ponto de vista da administração da organização, e não apenas da área de tecnologias de informação, pois o seu âmbito é bastante mais abrangente.

PLANO DIRETOR DE SEGURANÇA

O inicio da modelagem de um PDS está relacionado com o levantamento de informações do negócio, em busca das vulnerabilidades, ameaças potenciais, impactos e conseqüentemente, riscos. Para isso, é fundamental conhecer profundamente as regras do negócio, bem como as demandas decorrentes do business plan. Nesta fase inicial, mapeia-se o relacionamento entre os processos de negócio e a infra-instrutura física, tecnológica e humana da empresa, através das aplicações que manipulam as informações. É um processo de autoconhecimento.

Modelagem de um PDS:

• Profundo conhecimento do negócio.

• Levantamento de informações do negócio.

• Mapear relevância dos processos críticos.

• Estudar impactos (CIDAL).

• Estudo de Prioridades (GUT).

• Estudo de Perímetro.

• Estudo de Atividades.

A identificação dos processos de negócios críticos que serão o alvo das atividades de Segurança da Informação pode ser conhecida através de entrevistas e brainstorm com os principais gestores com representatividade na empresa. São fundamentais a identificação dos processos mais sensíveis e as necessidades físicas, tecnológicas e humanas para que cada um deles possa suportar o negócio como um todo. Estes são os ativos a serem protegidos. Nessa identificação, é importante utilizar unidades de medida compatíveis com os processos em questão e suas variáveis, de forma a permitir um diferenciamento em termos de sensibilidade.

Identificação dos Processos de Negócios – Resultados Esperado:

• Mapeamento dos Processos Críticos para a operação da empresa.

• Identificação dos gestores-chave dos processos mapeados.

• Inicio da integração e comprometimento dos gestores-chave.

• Inicio do entendimento do funcionamento do negócio.

No mapeamento da relevância, já se conhece os Planos de Negócios e suas variáveis, e nível de sensibilidade para a continuidade do negócio. Agora deve-se mapear a relevância de cada um deles, de forma que se possa priorizar objetivamente as atividades que comporão a solução, dedicando mais investimentos onde for mais sensível. Nesta fase é importante o envolvimento de gestores com a visão corporativa necessária para orientar essa priorização, com imparcialidade e visão global do negócio.

Mapeamento da Relevância – Resultados Esperado:

• Mapeamento da relevância dos processos de negócio críticos.

• Envolvimento dos gestores com visão holística do negócio.

• Percepção dos fatores importantes considerados pelos gestores envolvidos.

AUDITORIA E ANÁLISE DE SEGURANÇA DA INFORMAÇÃO

SEGURANÇA FISICA E LÓGICA

A segurança física tem como objetivo proteger equipamentos e informações contra usuários não autorizados, prevenindo o acesso a esses recursos.

A segurança física deve se basear em perímetros predefinidos nas imediações dos recursos computacionais, podendo ser explícita como uma salacofre,

ou implícita, como áreas de acesso restrito.

A segurança física pode ser abordada sob duas formas:

• Segurança de acesso - trata das medidas de proteção contra o acesso físico não autorizado;

• Segurança ambiental – trata da prevenção de danos por causas naturais.

Recomendações para o controle do acesso físico

Deve-se instituir formas de identificação capazes de distinguir funcionários de visitantes e categorias diferenciadas de funcionários, se for o caso.

Solicitar a devolução de bens de propriedade da empresa (crachás, chaves, etc), quando o visitante se retira ou quando o funcionário é retirado de suas funções.

Controle de entrada e saída de materiais, equipamentos, pessoal, etc, registrando a data, horários e responsável.

No caso de visitantes, restringir a circulação destes nas dependências da empresa e, se necessário, acompanhá-los até o local de destino.

Instalar sistemas de proteção e vigilância 24 h dia.

Supervisionar a atuação de equipes terceirizadas (limpeza, manutenção predial, vigilância, etc).

Não instalar em áreas de acesso público equipamentos que permitam o acesso à rede interna da corporação.

Orientar

...