Os ativos de uma organização, são os bens móveis, imóveis e até mesmos
intangíveis, como a informação armazenada em meios diversos e abordaremos as responsabilidades pelos ativos, como inventariá-los,classificá-los e como rotular a informação.
Responsabilidade Pelos Ativos
As informações de uma organização podem ser identificadas como um ativo como tantos outros tradicionais (imóveis, móveis, equipamentos, etc.). Assim, ele possui um valor e deve ser classificado e valorado. Para que os ativos sejam protegidos, é necessário que possua um proprietário. O proprietário pode ser uma pessoa ou entidade autorizada à controlar o uso e a segurança dos ativos, tornando-se o responsável pelos mesmos.
Inventário dos Ativos
Objetivo: procura classificar os ativos de informação,de acordo com sua importância para o negócio em si.
O ponto inicial para a gestão dos ativos é a identificação do que é um ativo e quais
são eles dentro de nossa organização. Para se ter um levantamento mais fidedigno,
podemos agrupá-los por área e solicitar que a alta direção nomeie um gestor
(proprietário) da informação. Cada área deve realizar um levantamento, ou inventário, destes ativos. Para o sucesso desta etapa torna-se importante que os gestores sejam instruídos quanto aos tipos de ativos e como classificá-los, para manter um controle de seu estado e
numa segunda etapa conceder as permissões de acesso adequadas a cada um.
Proprietário (Gestor) dos Ativos
Responsável por:
. Responder pelo ativo
. Cuidar da manutenção dos ativos
. Classificá-lo quanto a:
. Confidencialidade,
. Integridade e
. Disponibilidade
Para que se tenha um controle efetivo dos ativos é essencial que cada ativo de
informação dentro de uma organização possua uma pessoa responsável, essa
pessoa é denominada “proprietário” do ativo. Apesar de a palavra proprietário expressar posse, o proprietário é apenas uma pessoa designada pela empresa para responder pelo ativo e classificá-lo quanto à sua necessidade de confidencialidade, integridade e disponibilidade. Por estes motivos muitos autores preferem chamá-lo de gestor do ativo. A utilização do termo
“gestor” ao invés do termo “proprietário” pode evitar futuros problemas de interpretação.
Uso Aceitável dos Ativos
Além de proprietário, os ativos da empresa possuem usuários. É importante que sejam criadas regras que irão compor a política da empresa quanto a permissões de uso das informações e de ativos associados aos recursos de processamento das informações. Cada usuário deve conhecer e cumprir essa política para uso dos recursos, a fim de não comprometer a empresa e ao próprio usuário. Exemplos de ativos que necessitam de cuidados especiais quanto ao seu uso são: Internet,Correio eletrônico,Estações de trabalho (a estação de trabalho do usuário, assim como sua mesa ou cadeira pertence exclusivamente à empresa e deve ser tratado como
um recurso precioso),Notebooks.
Rótulos e Tratamento da Informação
. Sensíveis
. Confidenciais
. Privadas
. Proprietárias
. Públicas
Cabe a cada empresa analisar quantos e quais níveis de classificação deverão ser utilizados para classificar seus ativos de informação quanto à sua confidencialidade,não existindo uma forma única definida para tal.
SEGURANÇA EM RECURSOS HUMANOS
A implantação da segurança depende mais das pessoas que a conduzem do que dos recursos utilizados. Não basta que se utilizem as melhores ferramentas, sem que os usuários estejam comprometidos com a segurança da informação.Desta forma é necessário que consideremos os usuários (funcionários, fornecedores e terceiros) em três momentos de sua vida profissional na organização: antes da contratação, durante a execução das suas funções profissionais e quando do encerramento de suas atividades profissionais para a organização.
Antes da Contratação
Cada função profissional deve ter suas responsabilidades explicitamente definidas e
de conhecimento das pessoas que vão exercer um cargo na organização. Antes da
contratação o candidato deve entender sua função profissional e concordar com o
papel que vai desempenhar. As responsabilidades do cargo e suas características
devem estar definidas em um documento que descreve as condições de contratação.
Papéis e Responsabilidades
Na descrição da função profissional, as responsabilidades relativas à segurança da
informação devem incluir exigências de seguir a política de segurança, proteger
ativos, executar as orientações e relatar situações de riscos.
Durante a Contratação
Durante o exercício das funções profissionais para a organização, precisamos
garantir que a pessoa:
. Esteja consciente dos controles necessários para a manutenção do nível
adequado de segurança;
. Saiba quais são suas responsabilidades;
. Apóie a política de segurança e demais regulamentos.
. Seja conscientizada quanto a educação e treinamento em segurançada informação;
. Passa por um processo disciplinar
Encerramento ou Mudança da Contratação
Quando do encerramento do trabalho ou mudança do tipo de atividade o usuário deve perder o acesso aos recursos de informação que não mais precisará acessar. Deve-se ter definido como ficarão as informações da organização que eram utilizadas pelo usuário que está encerrando suas atividades ou mudando de tipo de trabalho e tambem deve-se fazera devolução dos ativos e a retirada dos direitos de acesso. A orientação básica é que o funcionamento do negócio não pode ser impactado.
SEGURANÇA FÍSICA DO AMBIENTE
O objetivo de segurança física é o de prover um ambiente seguro para todos os ativos da organização, incluindo atividades envolvendo sistemas de informação.
Ameaças a Segurança Física
Efeitos da natureza
. Falhas em sistemas de suprimento
. Ameaças humanas (sabotagens, armas, etc.)
. Ameaças por motivação política (terrorismo, espionagem industrial)
Controle de Entrada Física
Uso de:
. Funcionários e terceiros sempre identificados atravéz de crachá com foto;
. Visitantes devem ser identificados e acompanhados por um responsável;
. Controles adicionais em locais com informações sensíveis;
. Revisão periódica dos controle de acesso.
Proteção Contra Ameaças Externas e do Meio Ambiente
. Revise as instalações elétricas e hidráulicas;
. Evite material de fácil combustão nessas áreas;
. Se possível use sala-cofre para proteção máxima;
. Crie backups e armazene-os em local distante deste ambiente.
Trabalhando em Áreas Seguras
Ambientes considerados seguros não devem ser identificados a fim de dificultar sua localização por quem não é autorizado para estar lá. Somente aqueles que precisarem acessá-lo devem conhecer sua localização dentro da organização e quais os métodos de acesso e mecanismos de proteção dos mesmos.
Acesso do Público, Áreas de Entrega e de Carregamento
O acesso a área de entrega deve:
. Materiais sejam inspecionados e registrados;
. Não dar acesso a outras áreas;
. Protegidas enquanto abertas;
. Separar o que entra e o que sai.
. Ser restrito a pessoal autorizado;
Manutenção dos Equipamentos
Devem ser periódicas e haver registros de execução
. Obedecer recomendações de fabricantes
. Feitas por pessoal autorizado
. Falhas devem ser registradas
Reutilização e Alienação Segura dos Equipamentos
No descarte substituição ou recuperação de equipamentos:
. Remova todos os dados sensíveis
. Destrua fisicamente em caso de descarte
. Em caso de recuperação, avalie a necessidade real
Nenhum comentário:
Postar um comentário