Gerência de Operações e comunicações
Gestão de Mudanças
Em todo processo de modificação sempre ocorre algum tipo de impacto, seja ela positiva ou negativa. O objetivo da gestão de mudanças é minimizar os impactos negativos (como quebra de integridade do sistema ou falhas de segurança) provocados pela implantação das modificações, ou seja , gestão de mudanças é o processo de identificar novos requerimentos de segurança quando ocorrem mudanças no sistema.
Gerir mudanças é uma tarefa que requer planejamento, controle, comunicação e monitoramento da implantação.
A gestão de mudanças deverá documentar todos os processos de implementação, antes de serem aplicados no ambiente produtivo, essa documentação deverá ser revisada e atualizada durante e depois do processo de mudança, a fim de mantê-lo atualizado.
O ciclo de vida de um processo de gestão de mudanças passa pelos seguintes itens:
· Requisição de mudança
· Escolha do responsável pela mudanças
· Identificação e registro das mudanças significativas
· Avaliação de risco impactos potenciais das mudanças
· Planejamento da mudança
· Testes das mudanças
· Criação de procedimentos de recuperação
· Procedimento formal de aprovação das mudanças propostas
· Comunicação
· Implementação das mudanças
· Documentação
Separação de Recursos de Desenvolvimento, Teste e Produção
Com o objetivo de reduzir os riscos de acessos ou modificações não autorizadas aos sistemas operacionais, é necessário separar os recursos de desenvolvimento, teste e produção. Esses três ambientes deverão ter recursos de hardware e software semelhantes. Porém, os dados reais, necessários para a execução dos serviços da organização, armazenados em arquivos e bancos de dados, somente existirão no ambiente de produção, enquanto dados fictícios existirão nos ambientes de desenvolvimento e teste. Esta precaução evitará que os dados reais seja perdidos ou danificados em outros processos.
Outro cuidado importante, que o acesso a cada ambiente seja feito apenas por pessoal destinado a sua ária de atuação.
Gerenciamento de Serviços Terceirizados
Por questão de segurança envolvidas no processo de contratação de serviços de terceiros, requerem cuidados para não expor a organização, um vez que suas informações estarão acessíveis a uma parte externa. Contratar um serviço de terceirização, requer uma avaliação profunda da empresa a ser contratada, observando, por exemplo, seu histórico, o tempo de atuação no mercado, referências de outros clientes que a contrataram, a qualidade do serviço prestado e a qualificação dos profissionais.
Terceirizar é um processo que deve ser mantido através de acordos de entrega de serviço, onde são explicitados os controles de segurança, as definições de serviços e níveis de entrega.
Nos contratos firmado com os prestadores de serviços deve ficar claro que eles são integralmente responsáveis por suas ações, estando sujeitos à monitoração interna e as leis em vigor.
Monitoramento e Análise Crítica de Serviços Terceirizados
O monitoramento e análise crítica de serviços terceirizados, objetivam a avaliação do desempenho do serviço terceirizado e dos possíveis problemas e incidentes de segurança da informação. A norma sugere o envolvimento de processos e relações de gerenciamento de serviços entre as parte para:
· Monitorar níveis de desempenho de serviços
· Analisar os relatórios de serviços produzidos por terceiros
· Agendar reuniões de análise de progresso
· Fornecer para análise informações sobre incidentes de segurança da informação
· Analisar trilhas de auditoria e registros de eventos
· Resolver e gerenciar problemas identificados
Controles Contra Códigos Maliciosos
Segundo a norma ABNT ISO/17799:2005, recomenda que sejam implantados controles de detecção, prevenção e recuperação para proteger contra códigos maliciosos, bem como procedimentos de conscientização dos usuários, para isso ela propõe uma serie de medidas:
· Implantação de política de proibição de uso de software não autorizados
· Medidas de proteção contra riscos inerentes à importação de arquivos e software
· Atualização periódica de software de detecção e remoção de códigos maliciosos
· Verificação, antes
Assinar:
Postar comentários (Atom)
Nenhum comentário:
Postar um comentário