Papéis de responsabilidades na Classificação da Informação.

Classificação da Informação

Olá CyberAholic, neste post quero dar uma visão sobre os papéis de responsabilidades envolvendo a classificação da informação. Este tópico fará parte de uma série de posts envolvendo a classificação da informação. Espero que curtam e comentem.

Esses papéis são importantes para uma boa definição do processo de classificação, da rotulação e do tratamento da informação. Por meio desses papéis é possível identificar quem estará envolvido no ciclo de vida da informação, por exemplo, no descarte dela. Também considero esses papéis essenciais quando da criação da política de backup, pois eles esclarecem e ajudam a TIC na identificação da real importância daquilo que está sendo copiado para fitas ou D2D.

Os papéis são:

Proprietário da informação – é ou são as pessoas que devem classificar a informação.

Custodiante – é aquele que administra a informação. Ele faz a guarda mas não necessariamente usa a informação.

Equipe de segurança –  Gerencia todo o processo e se assegura tecnicamente sobre a classificação, rotulação e o tratamento.

Gerente de usuário – Estes gerenciam os usuários que usam a informação por necessidade de suas atividades. Este deve solicitar tais acessos à equipe de segurança e indicar o grupo de acesso correspondente. Ele também orientará os usuários sobre a importância da classificação, rotulação e tratamento. Deverá fortalecer, sempre que possível, a importância da política de classificação da informação.

Usuário final – Usa a informação na sua atividade diária.

É muito interessante sabermos os responsáveis e sensibilizar à todos por meio de conscientização, treinamento e educação para que essa política de classificação da informação tenha a força necessária para a devida proteção do conhecimento.

So stay tuned!

By TNEG – Transformação de Negócios e de pessoas.

O que é um SGSI (Sistema de Gestão da Segurança da Informação)?

SGSI

Poderíamos iniciar com outra pergunta: Como a minha empresa poderia se preparar para estar à frente do crime cibernético?

Agora poderemos iniciar respondendo melhor o que é o SGSI. O sistema de gestão da segurança da informação tem como base a fundamentação de um programa estruturado para a implantação de políticas, normas, diretrizes, procedimentos e orientações para a proteção do conhecimento e da marca da sua empresa. Portanto, é o perímetro inicial de segurança da informação contra o crime cibernético.

O sistema de gestão da segurança da informação, à luz da ABNT NBR ISO/IEC 27001, é considerada uma visão holística e planejada dos riscos de segurança da informação da empresa para a posterior implementar um conjunto de controles detalhados.

Ao contrário do que (talvez) se pensa, a implementação de controles apenas técnicos, são limitados. A identificação correta de quais controles precisam ser implementados requer planejamento detalhado e cuidadoso, contendo muitos detalhes. Um sistema de gestão da segurança da informação para ser bem sucedido deve iniciar com o apoio de todos os colaboradores da empresa. Incluindo a participação da alta direção, acionistas, fornecedores e terceiros, que por ventura executam trabalhos internamente. Portanto, podemos afirmar que o SGSI não é um assunto apenas de TI e não deveria ser. Assim, de modo geral, quando falarmos de segurança da informação, estamos dizendo que temos controles eficazes para garantir à direção e às partes interessadas internas e externas que os ativos da empresa estão razoavelmente seguros e protegidos contra danos.

Quando falamos de controles, isso pode ser entendido como uma visão particular da organização, pois dependerá dos seus critérios para a aceitação de riscos, nas opções para tratamento do risco e no enfoque geral da gestão de risco. É importante esclarecer que as empresas, conforme os seus segmentos, estão sujeitas às legislações e regulamentações diferentes. Portanto, a seleção de controles dependerá da maneira pela qual os controles interagem para a proteção dos ativos.

Para quem estiver estudando ou pesquisando a implementação de um SGSI, a orientação trivial é considerar os três pontos, de alguma forma já citados, considerados como requisitos de segurança da informação, são eles:

  • Avaliar os riscos para a empresa.
  • Avaliar a legislação vigente, os estatutos, a regulamentação e os contratos vigentes e seus parceiros comerciais.
  • A terceira parte são os conjuntos particulares de princípios, objetivos e os requisitos do negócio.

A implementação de controles, precisa ser estruturado com base na probabilidade de danos ao negócio, resultado dos problemas de segurança pela ausência desses controles.

Para exemplificar, podemos citar o principal controle, que geralmente faz parte dos primeiros trabalhos de um projeto de implantação de SGSI, a Política de Segurança da Informação (PSI).

  • Uma Política de Segurança da Informação com normas, diretrizes, procedimentos e orientações;

Algumas das normas, que geralmente fazem parte de uma política:

  • Controle de acesso físico;
  • Controle de acesso lógico;
  • Mesa limpa e tela limpa;
  • Dispositivos móveis e trabalho remoto;
  • Transferências de informações;
  • Uso aceitável de ativos;
  • Backup;
  • Segurança nas comunicações.

Nota: A Política de Segurança da Informação deve ser analisada criticamente pela alta direção periodicamente para se garantir que os controles necessários foram aplicados para o tratamento dos riscos.

Porque precisamos de um SGSI? 

Diversas reportagens nas mídias, ilustram que as ameaças cibernéticas estão elevando os seus níveis de persistência com maior sofisticação e organização. Os prejuízos causados por esses eventos podem impactar grandemente nas empresas. Segundo a última pesquisa realizada pelo Instituto Ponemon (EUA) (sexta-feira 13/11/2015), revelou que o custo anual do cyber crime nos USA custa agora 15 bilhões de dólares. Acreditasse que seja uma média de US$ 15 milhões por organização. O estudo anual, patrocinado pela HP, também revelou que o tempo médio necessário par uma organização dos EUA resolver um único ataque cibernético é agora de 46 dias, o que representa um aumento de 30% considerando o ano de 2009. Essa é uma infeliz realidade dessa sociedade do conhecimento moderna, que pode provocar paralizações e perdas financeiras ao ponto de interromper as suas operações imediatamente, enquanto outras podem sofrer a entropia ao longo do ano.

Portanto, o que tem lá fora, é o crime cibernético, este já ocupa uma posição expressiva nos registros mundiais sobre vítimas entre governos, empresas e pessoas comuns. Especificamente sobre pessoas comuns, o último número que acompanhei foi de 22 milhões de pessoas vitimizadas ao longo de 12 meses, isto é, em 2013. Sendo esse tema, crescente, podemos inferir que até 2020, 176 milhões de pessoas seriam vitimizadas por ações do crime cibernético.

Nós vivemos em um ecossistema que integra entidades, pessoas, dados conectados, ampliando a exposição aos crimes cibernéticos, em casa, na rua e no trabalho.

Visando a diminuição dessa exposição o SGSI tem como princípio de implementação, a conscientização das pessoas sobre o mundo virtual e as ameaças que existem, não apenas no aspecto corporativo, mas em suas vidas particulares. Naturalmente, este é apenas um dos movimentos da implantação, sendo necessários tantos outros para um bom projeto de SGSI.  

Concluindo

Caso o leitor esteja se perguntando por onde começar, eu lhe recomendo um diagnóstico que demonstre o estado atual da sua segurança da informação. Esse diagnóstico ou Gap Analisys, orientará todos os esforços para se adequar aos diversos controles para que o ambiente de segurança da informação tenha uma maturidade mínima para suportar as ameaças vigentes.

O que de fato, podemos afirmar, é que os processos de TI serão fortalecidos, pois a implantação de um projeto de SGSI requererá levantamentos diversos e as devidas conformidades exigidas pelo negócio. Há de se imaginar que poderão ocorrer diminuição de custos, visto que muitos processos serão reforçados com as melhores práticas do mercado nacional e internacional, diminuindo, portanto, o amadorismo na gestão de segurança da informação.

Se fosse possível fechar este tema neste momento, poderíamos dizer que você saberia responder o que fazer para estar à frente do crime cibernético.

By TNEG – Transformação de Negócios e de pessoas.

Autoconhecimento na Segurança da Informação

Autoconhecimento em SGSI

Não é raro, iniciarmos o ano discutindo os projetos em execução, que iniciaram no ano anterior, ou ainda, ajustando algumas atividades da virada de uma customização no ERP, que foi colocada em produção nos dias de natal e ano novo. Todos nós de TIC já passamos por isso, afinal de contas essa é a janela universal de mudanças.

Os dias vão passando e logo encontramos as primeiras reuniões de execução orçamentária, onde a palavra-chave é a redução de custos, contenção de despesas (OBZ), propostas com melhores retornos nos investimentos (ROI), menor tempo na recuperação dos investimentos (Payback), e assim vai o primeiro trimestre do ano.

Quando percebemos estamos dentro do vórtice das demandas, sendo que algumas delas foram ressuscitadas nas primeiras reuniões de KPI.

Essa autoestrada, para alguns, é amada e auto-realizadora e para outros é agonizante. De qualquer forma, esse é o caminho ou a jornada que escolhemos e vamos cumprir a missão.

Onde estamos? 

Essa pergunta sempre surge no meio da jornada. Ela pode ser motivada por alguém que tem interesse nas entregas da TIC ou por uma reflexão do executivo de TIC, tendo em vista que a equipe precisa de orientações.

Para outras áreas do conhecimento, ou para quem está em viagem, essa pergunta é simples e objetiva. Entretanto, para a área de TIC a resposta tem diversas vertentes e o pior cenário seria responder sem contextualizar. A pura verdade é que essa pergunta sempre acontece.

Esse é o gancho para sairmos do varejo e focar apenas em segurança da informação. Portanto, vamos perguntar novamente: Onde estamos em Segurança da Informação? 

Eu sei que é uma pergunta, igualmente, desconfortável, e sei também que ela vai acontecer com maior freqüência daqui pra frente.

De qualquer forma vamos exercitar um pouco, fazendo outras perguntas:

1) Conseguimos criar um programa de treinamento em segurança da informação para a conscientização contínua das pessoas?

2) O processo de mudanças de setor do colaborador, demissão ou nova contratação já tem a integração entre o RH e o Active Directory?

3) Conseguimos finalizar o workflow para a solicitação do aumento de caixa postal no Exchange?

4) A classificação da informação já é um processo conhecido pelos donos das informações e a rotulação já está acontecendo em todas as áreas?

Enfim, isso foi apenas um exercício. Espero que você consiga responder, positivamente, todas essas perguntas, pois elas serão feitas logo mais por um auditor externo de SGSI. Sim, isso é verdade, já viramos o ano e agora com o término do carnaval as coisas começam a acontecer numa velocidade alucinante, quando nos damos conta, chegou aquela semana de Auditoria.

Certamente que este tema está na mesa de todos os CIOs e não é fruto do último planejamento orçamentário. Este é um assunto recorrente e certamente vem passando de ano após ano. Sabemos que alguns projetos não trazem resultados tangíveis e, portanto, são postergados. Entretanto, a responsabilidade por qualquer incidente de segurança da informação recaí sobre o CIO. Portanto, esperasse que o mínimo em segurança da informação esteja implementado. Podemos considerar que o mínimo citado, é o que considero como perímetro inicial de segurança, que é a implantação do SGSI (Sistema de Gestão de Segurança da Informação).

Se o mínimo já aconteceu, pode-se responder a pergunta de ONDE ESTAMOS com elevada autoestima. Estamos pavimentando a área de Segurança da Informação para proteger o perímetro além de ferramentas.

Para onde vamos? 

Acho melhor iniciarmos a resposta, pressupondo que já começamos os trabalhos fundamentais de SGSI. Caso contrário, reconheço uma certa complexidade em responder essa pergunta e não poderia continuar escrevendo esse artigo.

Se o leitor concordar comigo, creio que o cenário futuro é absolutamente intranquilo, imprevisto e tenebroso.  O que nos dá um pouco de esperança é sabermos o que não sabemos. Isto é, eu sei o que preciso aprender.

Assim, vencemos o primeiro obstáculo da implantação ou execução dos planos do SGSI, que é a humildade de reconhecer que não vamos (nunca) prever todas as brechas em segurança da informação. São milhares de fatores, que seriam cansativos escrevê-los, então, espero que você apenas considere a complexidade do tema.

A experiência adquirida em implantações de SGSI, nos faz acreditar que existe a possibilidade de nos tornarmos mais robustos em Segurança da Informação, isto é, podemos efetivamente alcançar uma maturidade que eleva a proteção dos ativos de informação e da marca da empresa. É exatamente para onde nós vamos. Vamos buscar a maior maturidade possível em Segurança da Informação, de tal forma que possamos falar com entusiasmo que temos uma Governança em Segurança da Informação.

Concluindo e respondendo como chegaremos lá. 

Já ouvimos que caminhar 25km começa com o primeiro passo (mudei um pouco a frase comum). De tudo que foi escrito neste mini artigo, eu resumiria no seguinte: Inicie os trabalhos de SGSI, mesmo que você não tenha orçamento específico para isso.

Esse trabalho não pode mais ser considerado como um projeto a ser realizado, passando de ano a ano, isso precisa ser feito, é o mais importante e não pode estar no quadrante do urgente. Além do mais, esse tema já é recorrente nas TI pelos menos há 10 anos. Particularmente falando, acredito que as pequenas ações reforçam a argumentação na hora de vender um projeto. Se a equipe de TI já está acostumada com senhas fortes, porque não implantar nas outras áreas?

Espero que essa leitura contribua de alguma forma para o seu sucesso.

So, stay tuned.

By TNEG – Transformação de Negócios e de pessoas.

Uma abordagem mais conceitual sobre a segurança da informação.

Abordagem sobre SGSI

Não podemos ignorar o fato de que segurança é um termo genérico e que não se aplica apenas à informação.

A segurança no seu mais fundamental significado, remete-nos à proteção do nosso bem (ativo), e que ao longo da existência dos seres humanos (e outros seres), era a nossa própria vida que precisava estar segura.

Alguns provérbios, testificam e reforçam esse pensamento sobre a insegurança mais primitiva e o motivo de querermos estar seguros de alguma forma.

“A desconfiança é mãe da  segurança

“A desconfiança é a sentinela da segurança

“Na desconfiança é que está a  segurança

 

Abaixo temos um infográfico que ilustra a história da humanidade em busca de proteção e meios seguros de sobrevivência, até chegarmos aos desafios de hoje.

Fonte de inspiração: Cybersecurity and Its Ten Domains (University Of Georgia) – Adaptado pelo aluno Maurilio Benevento no formato de infográfico – Fevereiro de 2016.

Portanto, quando falamos em segurança da informação, queremos dizer que “desconfiar é a melhor arma para proteger os nossos ativos”.  É justamente a desconfiança que nos motiva em criar e inovar com proteções mais adequadas para as ameaças.

Precisamos elevar essa desconfiança para o próximo nível de preocupação, entramos, portanto, na era da Cyber Security, onde a construção de um novo infográfico precisaria ser repensado.


E acredite, não será uma tarefa fácil, exercite isso refletindo, brevemente, em cada palavra desse mosaico acima. Elas representam um esforço para garantir a segurança da informação e equilibrar o nível de desconfiança.

Mas o que isso tem a ver com Cyber Security?

Tudo! Cyber Security consiste em estratégias, política com normas e procedimentos sobre a segurança das operações no ciberespaço, que tenham abrangência e redução de ameaças, redução da vulnerabilidade, dissuasão, engajamento internacional, respostas à incidentes, resiliência e políticas de recuperação com atividades efetivas, incluindo operações em redes, garantia de informações precisas, aplicação da leis, missões militares e inteligência. Tudo isso se relacionando com harmonia e uma comunicação global bem fluida.

Talvez seja irresistível pensar no aspecto mais técnicos, entretanto, estamos no tempo da resiliência da segurança digital. Vale dizer que o líder de TI, figurará, com um papel essencial neste tema e precisará esclarecer princípios e tendências que estão transformado os negócios digitais para que suas propostas de investimentos façam sentido e sejam aceitos.

Concluindo

A educação em segurança digital precisa extrapolar os muros das organizações e chegar nos lares de cada cidadão. Essa poderia ser uma premissa para todos os novos usuários de informações públicas e privadas. Assim, é possível pensarmos numa sociedade mais consciente dos perigos digitais e criar uma nova barreira e fortalecimento da cyber security.

By TNEG – Transformação de Negócios e de pessoas.

Princípios básicos para o desenvolvimento de sistemas seguros.

Desenvolvimento seguro

Uma das áreas mais interessantes que já participei, foi a de desenvolvimento de sistemas (programador). Era uma viagem cibernética dentro dos circuitos integrados que podiam demorar dias, dependendo do desafio a ser entregue aos gestores.

Como era gostoso desenvolver um relatório em RPG (Report Program Generator) e ver o resultado saindo impresso em um formulário zebrado de 132 colunas, como se fosse mágica.

Figura 01 – Parte do código em RPG para gerar um relatório (máscara).

Para quem acha que está lendo sobre uma linguagem morta dos anos 60, fique sabendo que tem muitas vagas em aberto para programadores de RPG. Muitas empresas espalhadas pelo mundo tem programas importantes, rodando em AS-400. Será difícil acharem profissionais que ainda programam ou que acompanharam a evolução dessa linguagem, garanto que são moscas brancas.

Não preciso dizer que os tempos mudaram e que dezenas de outras linguagens foram criadas, mudando inclusive a metodologia de programação.

Na verdade o que mais mudou foi a preocupação em desenvolver códigos que fossem orientados para dissuadir as ameaças e minimizar as vulnerabilidades das camadas utilizadas.

Uma breve introdução às conformidades atuais

Os eventos que trouxeram maiores preocupações para o mundo do desenvolvimento de sistemas, foram os escândalos de grandes empresas norte americanas em 2002, culminando com a Lei Sarbanes-Oxley (SOX), dentre outras.

Você deve lembrar dos noticiários falando da Enron (energia), Worldcom (telecom), Arthur Andersen (Auditoria), entre outras que deram enormes prejuízos para os seus milhares de investidores.

Portanto, o objetivo da SOX, segundo Borgeth (2007, p.XVI) “é restaurar o equilíbrio dos mercados por meio de mecanismos que assegurem a responsabilidade da alta administração de uma empresa sobre a confiabilidade da informação por ela fornecida”.

Os efeitos dessa Lei não foram apenas no mercado norte americano, pois a SOX abrange empresas estrangeiras que tenham ações na bolsa de valores americana, isso inclui as empresas brasileiras e empresas subsidiárias americanas.

Tais leis impulsionaram o mercado de desenvolvimento de aplicações a reforçarem os aspectos de segurança da informação, isto é, agora é necessária uma avaliação de segurança para cada fase do ciclo de vida do desenvolvimento, conforme a figura abaixo.

Figura 02 – Ciclo de vida do desenvolvimento de sistemas, abstraído pelo Autor em diversas fontes e adaptado como um modelo aceitável para pequenas, médias e grandes empresas.

É esperado que as empresas que tem algum tipo desenvolvimento de sistemas, façam adaptações em seus processos para atender ao desenvolvimento seguro em todas as fases do ciclo de vida do desenvolvimento.

Por exemplo, durante a fase de requisitos, deve realizar um estudo dos riscos do projeto, incluindo orientações sobre confidencialidade, integridade, disponibilidade, controles de acesso, auditoria de registros e gerenciamento de alterações.

Podemos considerar que seja “normal” a equipe de desenvolvimento não ter expertise sobre tais assuntos de segurança da informação, surgindo, portanto, a primeira necessidade de mudança nesse ciclo de vida que é a figura de alguém de segurança da informação para avaliar essa fase. Esse alguém de segurança, é extremamente importante, pois ele seria o ponto de contato para todas as demais fases do ciclo de vida. Tendo em mente que as demais fases vão requerer outros tipos de orientações, como por exemplo, um teste de penetração antes de lançar o produto no mercado.

Abaixo um quadro da compilação de algumas leis e decretos (USA) que tornaram o desenvolvimento de sistemas mais complexo e que requer uma maior preocupação com relação ao Desenvolvimento seguro.

Figura 02 – Quadro compilado para demonstrar algumas leis e decretos que impactam no desenvolvimento de sistemas.

Muitas empresas que desenvolvem softwares para o mercado brasileiro não se preocupam com isso, pois acreditam que há uma certa distância da nossa realidade com a SOX.

Ocorre que essa postura é facilmente refutada, quando avaliamos que uma empresa que desenvolve software para o mercado nacional terá clientes que farão transações financeiras por esse software. Portanto, esses clientes poderão sofrer auditorias externas e poderá ser requisitado uma avaliação da segurança da informação onde demonstre evidências dos processos de TI e do ciclo de vida do desenvolvimento de sistemas.

A boa notícia para o programador é que essas leis ou decretos são aplicáveis aos Gerentes de TI, CFO ou ao CEO. Para o desenvolvedor, a dica é pesquisar sobre o assunto e procurar uma compreensão mais aprofundada para dar às suas aplicações a maior conformidade possível.

O desenvolvimento de aplicações tem tido um crescimento exponencial e podemos facilmente prever que esse mercado continuará por muitos anos. A questão que precisamos colocar em pauta é se nesse processo existe algum método de desenvolvimento seguro.

Não poderia deixar escapar os requisitos da ISO 27001 sobre o desenvolvimento seguro, pois esses são enfáticos em alguns pontos citados aqui.

O desenvolvimento seguro é um requisito para construir um serviço, uma arquitetura, um software e um sistema seguro. Dentre os aspectos desse desenvolvimento seguro, existem algumas recomendações ou obrigações, conforme seguem:

a) segurança no ambiente de desenvolvimento;

b) orientações sobre a segurança no ciclo de vida do desenvolvimento de software:

b1. segurança na metodologia de desenvolvimento do software;

b2. diretrizes de códigos seguros para cada linguagem de programação usada.

c) requisitos de segurança na fase do projeto;

d) pontos de verificação de segurança no cronograma do projeto;

e) repositórios seguros;

f) segurança no controle de versões;

g) conhecimentos necessários de segurança de aplicações;

h) capacidade dos desenvolvedores de evitar, encontrar e corrigir vulnerabilidades.

Tanto no desenvolvimento novo ou reuso, incluindo os trabalhos terceirizados, todos devem estar em conformidade com essas regras.

Concluindo

As implicações que o desenvolvimento de sistemas poderia ocasionar nos controles internos são evidentemente críticos. Vejo como uma tendência não muito longe, que o desenvolvimento seguro faça parte dos requisitos na contratação de um software de qualquer fornecedor.

Para esclarecer melhor, observem a seção 404 da SOX, onde consta “Avaliação do gerenciamento dos controles internos”. Aqui temos a exigência de que o gerenciamento se responsabilize pela integridade das informações financeiras, avaliando os sistemas e processos de TI e produzindo evidências de que a empresa obteve êxito na proteção às informações confidenciais.

Já ouvi algumas vezes que o SOX não é destinada à TI, entretanto, é fácil entender que as responsabilidades da TI são inúmeras, visto que 99% das transações são por meio computadorizado, ou seja, por algoritmos escritos por alguém.

By TNEG – Transformação de Negócios e de pessoas.

Um alerta sobre os ataques DDoS.

Ataque DDOS

O que é Ataque DDoS?

É muito conhecido no mercado de segurança da informação o ataque DDoS (Distributed Denial of Service).

Mas para quem ainda não está acostumado com o termo. Pode-se entender que é a tentativa de esgotar os recursos de uma rede, aplicação ou serviço de forma que usuários não possam acessa-los.

Quem acompanha a evolução do DDoS, informa que esse tipo de ataque evoluiu muito nos últimos 5 anos, com técnicas novas e com um alcance global.

Os ataques atuais são em grande volume e de difícil detecção, inclusive com alvos que deveriam nos proteger, tais como firewalls e IPSs.

Fonte: Akamai Jun/2016.

Mas esses ataques de DDoS são perigosos?

A continuidade dos negócios pode sofrer impactos imediatos por ataques de DDoS. Sem exagerar, podemos considerar que 100% das empresas no mundo, dependem da internet para sobreviverem.

Todas elas transacionam diversas negociações por meio da internet e grande parte do seu resultado é claramente dependente da disponibilidade desse acesso.

Ao contrário do que se pensa, DDoS não ameaça somente sites de e-commerce, serviços financeiros e bancários e páginas de jogos online que possuem uma necessidade óbvia da disponibilidade.
Existem diversas aplicações de missão crítica que poderiam simplesmente paralisar, diante de um ataque bem sucedido, tais como CRM, E-mail, Pedidos eletrônicos ou Automação de Vendas, Conexões com bancos na nuvem, Integrações de EDI entre a manufatura e montadoras, enfim, são inúmeras operações de negócios que sofreriam com esse ataque.

Fonte: Akamai jun/2016.

Fique atento e procure informações sobre este ataque. Revise o itens: (Firewalls, IPS/IDS, Load Balancers) e considere uma consultoria para se aprofundar no estudo da sua infraestrutura para evitar um problema maior.

So stay tuned.

By TNEG – Transformação de Negócios e de pessoas.

Acompanhe o meu site para outros assuntos relacionados: TNEG

Você sabe a maturidade em segurança da informação da sua empresa?

Diagnóstico de Maturidade em SGSI

Os executivos mundo afora sabem as suas fraquezas, ameaças, forças e oportunidades (SWOT). Conhecem o mercado financeiro, fazem muito bem a análise e planejamento financeiro e conseguem navegar bem pela dinâmica das decisões financeiras.

Como seria se esses executivos considerassem os aspectos de segurança da informação em seus planejamentos?

  • Ficariam surpresos com a quantidade de ameaças às suas informações;
  • Duvidariam que estão seguros;
  • Não acreditariam em um retorno de investimento;
  • Achariam que um projeto seria muito caro para fazer agora;
  • Temeriam a paralisação da sua infraestrutura.

 

E, talvez pensaria: E se o meu processo de negócio mais crítico ficasse indisponível por 4 horas?

É evidente que até um executivo no início de carreira sabe do que estou falando, afinal, considerar os riscos dos negócios é a parte mais trivial do escopo do seu trabalho.

A maior incerteza que temos nesse contexto é: Será que está sendo considerado junto aos fatores externos de riscos o crime cibernético e o aumento da complexidade que virá nos próximos cinco anos?

Tenho certeza que não precisamos entrar em detalhes sobre o crime cibernético e o que virá de complexidades nos próximos cinco anos, apenas observemos os sensores integrados com smartphones para aplicações populares que serão disponibilizados e estarão dentro das empresas pelo conceito BYOD. O que temos certeza é que muitas empresas estarão pisando num terreno muito escorregadio.

O diagnóstico de Segurança da Informação.

O diagnóstico de segurança da informação nada mais é do que um questionário fundamentado na ISO 27001:2013, contendo toda a abrangência das seções, objetivos e controles. Portanto, é um trabalho bem estruturado e completo para responder exatamente onde a empresa se encontra em relação à segurança da informação.

Por exemplo, vamos analisar a seção de Segurança nas Operações:

  • Existe na sua empresa um processo funcional para a gestão de mudanças?
  • Há um procedimento de iniciação ao plano de continuidade de serviços, caso ocorra um incidente grave de segurança?
  • política de backup da sua empresa prevê o registro completo das cópias e procedimentos de recuperação?
  • Quando foi a último teste de recuperação do backup?
  • Existe uma auditoria interna nas transações do ERP para se prever a quebra de integridade na base de dados?

Essas são apenas algumas questões que retratam a importância de um diagnóstico de segurança da informação.

Agora você pode imaginar quais os demais questionamentos que seriam feitos para os 114 controles que a ISO 27001 nos apresenta.

Saber a sua maturidade.

Ter a compreensão da sua maturidade em segurança da informação não significa sair investindo um caminhão de dinheiro com consultorias. Na verdade, o propósito de um diagnóstico é justamente o contrário.

Você saberá exatamente onde há ameaças, fraquezas, fortalezas e oportunidades (fazendo alusão ao SWOT, pois tem aderência) em segurança da informação.

A questão fundamental a ser criticamente analisada é, onde você deverá iniciar os trabalhos para minimizar as vulnerabilidades. E, naturalmente, o diagnóstico será a sua bússola, norteando por onde começar.

Acima um dos gráficos entregues, é uma compilação com todas as 14 seções da ISO 27001. Essa visão proporciona uma análise mais adequada sobre quais seções deve-se aprimorar os controles, para priorizar naquilo que é mais importante no momento.

Concluindo.

O cenário político e econômico do Brasil, é no momento muito crítico, todos os segmentos de negócios estão retraídos e acompanhando os desfechos para a inflação, taxas de juros, câmbio, impostos e ajustes econômicos diversos.

Isso tudo é parte de um processo que não será resolvido nos próximos meses, precisamos entender que o tempo é um recurso que não se acumula, somente o perdemos, portanto, precisamos de ações efetivas agora para a retomada futura.

Quero lhe propor esse diagnóstico GRATUITAMENTE, sem custo algum e sem nenhuma limitação nos entregáveis, ou seja, você receberá um PDF com todas as informações da sua maturidade em segurança da informação. A única coisa que você investirá será o seu tempo (em média duas horas) para responder o questionário comigo.

Caso tenha interesse, envie um e-mail para maurilio.benevento@tneg.com.br dizendo sim, eu quero um diagnóstico.

Você terá uma visão muito clara das suas fortalezas e necessidades de fortalecimento em segurança da informação e poderá na próxima oportunidade de revisão orçamentária, incluir um valor para realizar uma consultoria nessa área, preferencialmente comigo.

É importante reforçar que o diagnóstico só será feito mediante a assinatura do termo de confidencialidade e não divulgação dos dados coletados, portanto, fique tranquilo com esse aspecto. Outra prática comum para a TNEG é não divulgar os seus clientes, pois envolve a privacidade das marcas.

Aguardo o seu e-mail.

So stay tuned!

By TNEG – Transformação de Negócios e de pessoas.