Implementação da Segurança
Depois de se familiarizar com as ameaças e vulnerabilidades do ambiente, identificados na análise de riscos ou depois da definição formal das intenções e atitudes da organização que estão definidas na política de segurança da informação, devemos tomar algumas medidas para a implementação das ações de segurança recomendas ou estabelecidas.
Devemos instalar ferramentas, divulgar regras, conscientizar os usuários sobre o valor das informações, configurarem os ambientes. Devemos escolher e implementar cada medida de proteção para contribuir com a redução das vulnerabilidades e conseqüentemente, do risco.
Cada medida deve ser selecionada de tal forma, quando em operação, alcance os propósitos definidos. Esses propósitos precisam ser muito claros.
É inútil definir regras para criar e utilizar senhas difíceis de descobrir se os usuários as compartilham ou escrevem em bilhetes e as colam ao lado do monitor.
O exemplo a segui nos permite ter uma idéia do que é necessário para proteção dos ativos na empresa:
· Controle de acesso ao recurso da rede
· Proteção contra vírus
· Segurança para equipamentos portáteis
· ICP – Infra – Estrutura de Chaves Públicas
· Detecção e controle de invasões
· Firewall
· Vpn – Virtual Private Network
· Acesso remoto seguro
· Segurança de correio eletrônico
· Segurança para aplicativos
· Monitoramento e gerenciamento da segurança
· Segurança em comunicação móvel
· Segurança para servidores
Plano de Segurança
A partir da política de segurança, são definidas as ações que devem ser implementadas (ferramentas de software ou hardware, campanhas de conscientização, treinamento) para alcançar o maior nível de segurança.
O plano de segurança deve se basear em um cronograma detalhado e conter, para cada ação, os seguintes pontos descritos:
· Ponto a Considerar
· Descrição
· Exemplo
Plano de Ação
Uma vez definido e aprovado o plano de segurança começa a definição do plano de Ação para as medidas que devem ser implementadas.
Um plano de ação pode ter vários formatos, mas deve apresentar as seguintes características:
· Objetivos bem definidos
· Coerência
· Seqüência
· Flexibilidade
Para concluir um plano de ação correto, é necessário seguir uma ordem rígida para completar cada um de seus elementos. Isso ajuda a não esquecer fatores importantes.
Recomendações dos Fabricantes
É muito importante que as recomendações dos fabricantes dos produtos sejam conhecidas antes da implementação.
Suporte
Pode ser necessária a ajuda de profissionais com a experiência adequada para execução de determinadas.
Planejamento da Implantação
Algumas das coisas a implantar (aplicativos, equipamentos, campanhas de divulgação e conscientização) podem durar vários dias e afetar a vários ambientes, processos e pessoas da organização. Nesses casos, sempre é útil um planejamento separado.
Plataforma de Testes
Em alguns casos, uma plataforma de testes e necessária para avaliar a solução e reduzir os possíveis riscos sobre o ambiente de produção.
Metodologia de Implementação
Ao realizar a implementação propriamente dita e muito importante segui uma metodologia que:
· Defina como dar os passos necessários para executar um plano de ação
· Mantenha um mesmo padrão de qualidade na implementação sem importar quem está executando.
Registro das atividades
Depois da implementação de uma nova medida de segurança, é importante manter o registro do que foi implementado, este registro tem como objetivos principais:
· Manter o controle de todas as medidas implementadas
· Aproveitar a experiência acumulada
As Normas de Segurança da informação
Segundo o Aurélio = Norma é aquilo que se estabelece como base ou medida para a realização de alguma coisa. As normas contribuem para fazer com que os processos de fabricação e fornecimento de produtos e serviços sejam mais eficientes, seguros e limpos.
Diversas normas foram criadas especificamente para o tratamento da questão sobre a segurança da informação.
· ITIL – Infornation Technology Infraestructure Library
· Cobit – Control Objectives for Information and Related Technology
· BS 15000/ISSO 20000 – Normas de Gestão de Serviços
· BS 7799 – British Standard 7799
· ISSO/IEC 17799:2005
Nenhum comentário:
Postar um comentário