O papel das políticas de segurança nas organizações - Parte II

Prévia do material em texto

<p>1Comunicação Oral e Escrita</p><p>1</p><p>O papel das políticas de</p><p>segurança nas organizações –</p><p>Parte II</p><p>Olá, novamente, estudante! No podcast anterior, conversamos um pouco</p><p>sobre o papel das políticas de segurança nas organizações.</p><p>Agora que você já está familiarizado com os princípios da Segurança da</p><p>Informação, vamos identificar os pontos básicos que devem ser mapeados</p><p>pelos profissionais de Segurança da Informação ao iniciarem suas atividades</p><p>profissionais em uma nova organização.</p><p>Ao todo, são 11 os principais pontos. Confira:</p><p>• Determine o padrão – Padronização (ISO27001, PCI-DSS, NIST, CNSS etc.);</p><p>• Conscientização/treinamento/capacitação para os especialistas;</p><p>• Autorização de acesso (físico e lógico);</p><p>• Privacidade dos dados e da informação;</p><p>• Sistemas de monitoramento (SIEM – Gerenciamento e Correlação de Eventos</p><p>de Segurança);</p><p>• Proteção contra invasão (Interna e externa);</p><p>• Proteção contra pragas (vírus, ransomware, phishing, fishing etc.);</p><p>• Proteção contra vazamentos de dados (criminosos e/ou acidentais);</p><p>• Solução da crise e lições aprendidas;</p><p>• Monitoramento, tratamento e aceite de riscos; e, por fim,</p><p>• Apresentação dos resultados da segurança.</p><p>Comunicação Oral e Escrita2</p><p>2</p><p>Agora, vamos falar um pouco mais de cada um desses pontos. Primeiro: como</p><p>determinar o padrão de segurança que a empresa precisa?</p><p>Os padrões são como uma receita – eles listam as etapas que devem ser</p><p>executadas. Uma organização deve gerenciar os requisitos estabelecidos no</p><p>padrão de segurança exigido ou recomendado de acordo com a sua área de</p><p>atuação ou operação. Isso significa que, se você trabalha em uma empresa e</p><p>está buscando um padrão de segurança, você deve atentar-se ao tipo de negócio</p><p>e às regulamentações necessárias para a operação. Então, busque saber quais</p><p>são os requisitos para a operação da empresa, em seguida faça uma lista de tudo</p><p>que é necessário e uma lista do que é desejável. Esse é um bom início.</p><p>No que se refere à conscientização/treinamento/capacitação para os</p><p>especialistas, crie um plano de conscientização para os usuários da empresa,</p><p>elabore um treinamento que seja abrangente, mas que fale diretamente</p><p>com o usuário final. Lembre-se de que, na maioria dos casos, os usuários não</p><p>possuem e não precisam da mesma capacitação técnica dos especialistas. Logo,</p><p>treinamentos tem que ser direcionado e personalizado para que possa atender</p><p>os objetivos. A capacitação do especialista é fundamental para assegurar o uso</p><p>adequado, bem como extrair o melhor que se pode ter das ferramentas que</p><p>foram adquiridas para a área de segurança.</p><p>Quanto à autorização de acesso (físico e lógico) e a sistemas de</p><p>monitoramento (SIEM - Gerenciamento e Correlação de Eventos de Segurança),</p><p>imagine que vários profissionais de TI fazem uso diário de usuários Root ou</p><p>Admin e, acidentalmente, ocorre uma falha que gera um evento de vazamento</p><p>de dados de milhões de titulares enquanto um dos profissionais estava fazendo</p><p>uma mudança qualquer. Considerando que vários profissionais fazem uso do</p><p>mesmo usuário indiscriminadamente, quem será responsabilizado? Saiba</p><p>que, muito além de buscar por culpados, os controles de acessos físicos e</p><p>lógicos e a autorização são fatores fundamentais para garantir e assegurar</p><p>a responsabilidade por eventos de segurança, falhas sistêmicas, fraudes,</p><p>perda de dados etc. Quando os profissionais estão devidamente autorizados</p><p>e monitorados durante a sua jornada de trabalho, remota ou presencial, sua</p><p>responsabilidade aumenta e, com isso, os eventos causadores de falhas ou</p><p>invasões são drasticamente reduzidos.</p><p>Em relação à privacidade dos dados e da informação, o Brasil faz parte do</p><p>seleto grupo de países que possuem uma lei específica de proteção de dados,</p><p>3</p><p>chamada LGPD – Lei Geral de Proteção Dados do titular. Essa lei assegura que</p><p>toda empresa que trata dados pessoais deve ter instrumentos de proteção</p><p>necessários para os dados dos titulares, entre outras coisas. A privacidade de</p><p>dados é coisa séria e as sanções contra as empresas que não cuidam dos dados</p><p>dos titulares é severa e tem potencial para extinguir a empresa e criminalizar os</p><p>responsáveis por qualquer evento de vazamento de dados.</p><p>Por isso, procure identificar, em todas as áreas da empresa, onde há dados</p><p>pessoais e dados pessoais sensíveis. Após isso, verifique se todas as diretrizes da</p><p>LGPD foram seguidas e se estão em vigor para manter esses dados seguros. Isso</p><p>se chama Mapa de Dados e faz parte da segurança da informação da empresa.</p><p>Sobre a proteção contra invasão, contra pragas e contra vazamentos</p><p>de dados, é preciso assumir a responsabilidade pela área de segurança</p><p>da informação da empresa tem em mente que você precisa, quase que</p><p>imediatamente, fazer uma varredura para saber quais são as ferramentas e</p><p>dispositivos que foram instalados ou adquiridos para auxiliar na proteção contra</p><p>qualquer ameaça com potencial para gerar prejuízos financeiros, de imagem e</p><p>de credibilidade da empresa.</p><p>Para a resolução de crises, riscos e lições aprendidas depois de fazer uma</p><p>análise das vulnerabilidades nas áreas da empresa, você terá condições de</p><p>elaborar o mapa de riscos e desenvolver o monitoramento e o tratamento</p><p>necessário para eventuais riscos. Lembre-se que alguns riscos fazem parte do</p><p>negócio e, por isso, devem ser minimizados, porém são considerados riscos</p><p>aceitos pela empresa.</p><p>Você deve buscar por eventos do passado, eventos que aconteceram e que</p><p>tiveram os resultados identificados ou não. Você deve entender o ocorrido e criar</p><p>um mapa de soluções e um mapa de lições aprendidas para no caso de o evento</p><p>repetir, você e sua equipe tenham condições de resolver em tempo hábil e com</p><p>o mínimo de impacto para a empresa.</p><p>Tão importante quanto identificar e criar mapas de riscos e de dados sensíveis,</p><p>criar modelos gerenciais e desenvolver pessoas é saber apresentar os dados</p><p>que foram coletas, os eventos que foram registrados, as fraudes que foram</p><p>combatidas, os riscos que foram minimizados, os riscos que foram aceitos etc. É</p><p>saber apresentar corretamente, uma vez que tudo isso deve compor um relatório</p><p>que deve ser apresentado para alta direção da empresa. Recomendamos que</p><p>esse relatório seja trimestralmente apresentado e que nele haja gráficos de fácil</p><p>interpretação, isso fará com que a área de segurança da informação tenha cada</p><p>4</p><p>vez mais visibilidade, que está alinhada com os propósitos na empresa e que os</p><p>recursos financeiros que foram investidos trouxeram ganhos e produtividade.</p><p>Toda empresa que almeja um modelo de Segurança da Informação baseado</p><p>nas melhores práticas globais deve levar em conta alguns, tais como políticas,</p><p>normas e procedimentos. Perceba que:</p><p>• As políticas são as diretrizes e devem ser orientadas e apoiadas pelo Nível</p><p>Estratégico da empresa, ou seja, pela alta direção.</p><p>• As normas são regras, essas regras são de responsabilidade do Nível Tático da</p><p>empresa, ou seja, pelos gerentes e supervisores.</p><p>• Os procedimentos são o modo como as coisas devem ser feitas, isto é, os pa-</p><p>drões, e são executadas pelo Nível Operacional da empresa.</p><p>• Todas as informações devem ser previamente coletadas, tratadas e compila-</p><p>das, métricas devem ser estipuladas e, finalmente, relatórios gerenciais de-</p><p>senvolvidos.</p><p>Observe que as evidências são os resultados das métricas, dos artefatos</p><p>criados, dos controles etc. Todos os envolvidos diretamente são responsáveis por</p><p>gerar e manter as evidências – com elas, os relatórios gerenciais são preenchidos</p><p>para que haja uma tomada de decisão.</p><p>As tomadas de decisão podem ser no sentido da ação, da espera e também do</p><p>aceite e convivência com o risco. Quase sempre, isso acontece quando o risco faz</p><p>parte do negócio. Com essa apresentação de resultados, você certamente terá</p><p>cada vez mais recursos para contratar profissionais, adquirir melhores produtos</p><p>e serviços para a área.</p><p>Com isso, você pôde conferir alguns itens essenciais das políticas de</p><p>segurança da informação aplicadas hoje e para o</p><p>futuro!</p><p>Me despeço por aqui e até mais!</p>