|
 Antes de investir capital em segurança o ideal é que se promova um levantamento da situação atual, identificar e definir prioridades de ação são fundamentais no processo de conquista da excelência em Segurança da Informação. A NECESSIDADE Os riscos de segurança são identificados através de uma avaliação metódica dos processos, pessoas e tecnologia. Os gastos com controles precisam ser pesados contra os prováveis prejuízos resultantes de falhas na segurança. Técnicas de avaliação de riscos podem ser aplicadas a toda a organização ou apenas a partes dela, bem como a sistemas de informação individuais, componentes de sistemas específicos ou serviços onde isto for praticável, realístico e útil. Dentre diversas necessidades destacamos: • Levantar e classificar os riscos relacionados à segurança da informação e consequentemente ao negócio; • Atuar de forma estratégica na solução dos problemas relacionados a sistemas e processos vulneráveis ao negócio • Minimizar ao máximo os riscos de parada nos serviços de TI; • Minimizar as perdas em casos de incidentes relacionados ao negócio. Os resultados desta avaliação ajudarão a guiar e determinar a ação gerencial adequada e as prioridades para gerir os riscos de segurança e implementar controles selecionados para proteger contra esses riscos. O processo de avaliar riscos e selecionar controles pode precisar ser executado diversas vezes para cobrir diferentes partes da organização ou sistemas de informação individuais. É importante executar revisões periódicas dos riscos de segurança e dos controles implementados para: • Levar em conta as mudanças nas prioridades e necessidades do negócio; • Considerar novas ameaças e vulnerabilidades;
• Confirmar que os controles permanecem eficazes e apropriados. As revisões devem ser executadas em diferentes níveis de profundidade, dependendo dos resultados das avaliações anteriores e das mudanças nos níveis de riscos que a gerência está preparada para aceitar. As avaliações de riscos frequentemente são executadas primeiro em um nível superior, como uma forma de priorizar recursos nas áreas de alto risco e depois em um nível mais detalhado, para tratar riscos específicos. Toda vulnerabilidade é definida como uma falha no projeto ou implementação de um software, sistema operacional ou até a física dos ativos de rede, que quando explorada resulta na violação da segurança em uma corporação. Essa violação pode ser feita remotamente ou presencialmente (física). É indispensável que os trabalhos sejam realizados para reduzir ao máximo essas vulnerabilidades e diminuir os riscos ao seu negócio.  A Alerta Security é capaz de levantar e analisar todos os itens relacionados à segurança da informação com o objetivo de gerar um diagnóstico do ambiente corporativo, levando em consideração as rotinas do negócio e a classifi cação dos riscos. O Serviço é composto dos seguintes módulos e seguem as normas de classificação e procedimentos descritos na ISO IEC NBR 17799. ALOCAÇÃO DO PESSOAL Objetivo: Reduzir os riscos de erros humanos, roubos, fraudes ou uso indevido das facilidades. As responsabilidades de segurança devem ser tratadas no estágio de recrutamento incluídas em contratos e monitoradas durante o tempo que o colaborador estiver no emprego. Os candidatos em potencial devem ser adequadamente selecionados especialmente para funções sensíveis. Todos os empregados e usuários terceirizados das facilidades de processamento de informações devem assinar um contrato de confidencialidade (não divulgação). TREINAMENTO DOS USUÁRIOS Objetivo: Assegurar que os usuários se conscientizem das preocupações e ameaças à segurança das informações, e estejam equipados para apoiar a política de segurança organizacional no curso de seu trabalho normal. Os usuários devem ser treinados nos procedimentos de segurança e no uso correto das facilidades de processamento de informações para minimizar os possíveis riscos de segurança.
SEGURANÇA FÍSICA E AMBIENTAL
Objetivo: Impedir acesso não autorizado, danos ou interferência às instalações físicas e às informações da organização e impedir perda, danos ou comprometimento de ativos e interrupção das atividades do negócio.
ANÁLISE DO AMBIENTE DE REDE PÚBLICO (ambiente de internet)
Objetivo: Impedir que aplicações voltadas à internet estejam vulneráveis, através de correções e ajustes no ambiente de rede, políticas de controle de acesso físico e lógico. Nesse módulo são realizadas as seguintes análises: • Teste cego remoto - Levantamento de vulnerabilidades das aplicações expostas; • Teste de intrusão agressivo;
• Realização de testes em ambientes de pré-produção com o objetivo de mensurar o nível de segurança (não recomendado em ambientes de produção);
• Avaliação do ambiente: análise de configurações e processos;
• Avaliação física do ambiente: visa avaliar os riscos nas instalações dos equipamentos e o acesso físico. ANÁLISE DO AMBIENTE PRIVADO (rede local) Os computadores e servidores são utilizados em uma corporação para realizar inúmeras tarefas que a princípio são divididas em duas categorias: Missão Crítica: Nessa categoria são enquadrados os servidores, roteadores, firewalls ou todo o ativo de rede que tem atuação sistêmica.
São equipamentos e serviços que devem sempre estar disponíveis a todos os usuários da empresa e sua parada resulta em prejuízos. • Avaliação das instalações do Centro de Processamento de Dados (CPD) da empresa;
• Avaliação dos sistemas de backup e gerenciamento de mídias;
• Avaliação da proteção contra códigos maliciosos;
• Avaliação da política de controle de acesso ao ambiente de missão crítica;
• Manutenção de logs;
• Gerenciamento de redes e serviços;
• Gerenciamento de acesso dos usuários e privilégios;
• Análise do plano de continuidade do negócio; Missão Operacional: Aqui são enquadrados todas as estações e ativos de rede distribuídos pela empresa e seus respectivos usuários e colaboradores, bem como terceiros, parceiros e clientes. • Avaliação do controle de acesso físico e lógico às estações;
• Avaliação do controle de acesso ao sistema operacional;
• Avaliação do controle de acesso às aplicações;
• Avaliação da proteção contra códigos maliciosos;
• Avaliação das políticas de acesso à web;
• Avaliação das políticas de correio eletrônico;
• Políticas de acesso à rede;
• Avaliação dos métodos de autenticação dos usuários;
• Política de utilização de computadores portáteis.
Como resultado desse processo seguirá um relatório completo de todas as avaliações realizadas com todas as recomendações para que a empresa se enquadre nas normas de segurança da ISO IEC NBR 17799.
|
