Você sabe o que é Segurança da Informação? Um Sistema de Gestão de Segurança da Informação (SGSI) define uma abordagem organizacional para que os dados e informações de uma empresa estejam protegidos. Isso inclui instrumentos para monitorar, analisar, implementar e estabelecer a Segurança da Informação utilizando diversas estratégias, controles, políticas e planos.
O SGSI se baseia em normas ISO/IEC para prover segurança no uso dos ativos tecnológicos de uma empresa. Mais especificamente centralizado nas Normas ISO/IEC 27001 e 27002, o sistema estabelecido deve ser seguido por todos que se relacionam direta ou indiretamente com a infraestrutura de TI da organização, desde os funcionários até os fornecedores e parceiros.
É um processo contínuo composto por um conjunto de engrenagens e que em seu início implica na implementação e depois na manutenção e constante aprimoramento de uma série de processos que permitem o gerenciamento eficiente das informações.
É possível criar um modelo próprio de gerenciamento que considere todos os fatores essenciais para sua eficiência, bastando levar em conta o tamanho e o segmento de seu negócio.
Embora não exista um passo-a-passo para a implementação de um gerenciamento padrão considere os seguintes aspectos que contribuirão para a conquista de bons resultados:
Nesse artigo falamos sobre:
A norma 27001 adota o modelo PDCA (Plan-Do-Check-Act) sendo necessário portanto planejar o estabelecimento (Plan), Implementar (Do), Monitorar e melhorar (Check) e Manter (Act) o SGSI.
O planejamento pode ser dividido em duas etapas. Na primeira são necessárias as seguintes atividades: avaliação da situação atual da empresa diante da Segurança da Informação, análise de risco, definição dos controles que são compatíveis com o tamanho e o segmento de negócio da empresa, documentação da declaração de aplicabilidade (SOA). Já num segundo momento, as atividades necessárias são: estabelecimento de políticas, processos, departamentos e procedimentos para gestão da segurança da informação, os quais definem a abordagem e os objetivos da Segurança da Informação.
Implementação do SGSI com operação da política de segurança, controles, medidas, processos e procedimentos. Deve conter a formulação de um plano de tratamento de riscos, implementar controles, programas de conscientização e treinamento. Além disso nessa fase deve começar o efetivo gerenciamento das operações e recursos de SGSI e a pronta detecção de eventos de SI e resposta a incidentes.
Avaliação da eficiência e eficácia do sistema de gestão e apresentação de resultados. Comparação entre desenho alcançado e diretrizes definidas, valendo-se de métricas. Análise crítica de riscos, escopo e condução de auditorias internas em intervalos planejados. Atualização do plano de segurança da informação de acordo com os resultados do monitoramento e análise crítica.
Executar ações corretivas e preventivas com base nos resultados de auditoria e análise crítica em busca de constante aprimoramento e ganho de eficiência. Implementação de melhorias identificadas e comunicação às partes interessadas de acordo com os objetivos pretendidos.
Obtenha o respaldo da alta administração e estabeleça um esforço conjunto, com uma estrutura adequada para a tomada de decisões como um Forum ou Comitê de Segurança que possa efetivar o que for determinado como governança da segurança da informação. A Gestão de Segurança não deve ser um projeto isolado gerenciado por um único colaborador, mas sim um compromisso de todos.
Ativos são todos os recursos que agregam valor a um negócio. Cada empresa tem suas particularidades e precisa definir quais são as informações importantes e quais ativos de informação que devem ser protegidos. Podem existir informações sensíveis de cunho competitivo e ou legal que precisem de um tratamento diferenciado.
Uma vez definido os ativos é preciso saber quais processos do negócio que envolvem ou geram estas informações; quais tipos e quem terá acesso; qual a classificação da informação (pública, restrita ou confidencial); termos de responsabilidade e confidencialidade; auditoria e monitoramento periódico e como descartar adequadamente a informação.
Entenda de acordo com melhores práticas reconhecidas da indústria e critérios estabelecidos como padrões a diferença entre sua performance de segurança atual e a desejada. Esse diagnóstico de brechas ou o GAP Analysis pode ser aplicável a qualquer normativo de adequação e é também muito útil em outras certificações além da ISO/IEC 27001.
Saiba as possíveis consequências para o seu negócio em caso de incidente disruptivo através de uma Análise de Impacto do Negócio (a chamada BIA, Business Impact Analysis). Identifique os processos críticos para a operação e priorize adequadamente de maneira proporcional ao possível impacto.
Estime todos os elementos necessários para a implementação da ISO / IEC 27001 em termos de recursos, tempo, investimento e pessoas e, por fim, planeje a implementação de maneira eficiente e com prazo máximo de 1 ano para que as mudanças de riscos, prioridades em relação a proteção de ativos e aparição de novas ameaças não tornem o sistema de gerenciamento desatualizado.
Os riscos à Segurança da Informação são ameaças que impedem o alcance dos objetivos de uma organização. A gestão de riscos começa com um bom planejamento de infraestrutura, serviços, políticas e metodologias.
A Gestão de Riscos de TI envolve a identificação, análise e classificação por prioridade de cada risco identificado levando em consideração o possível impacto e probabilidade de que seja explorado. Tudo o que gira em torno de TI pode contribuir para aumentar ou diminuir o risco por isso essa avaliação deve ocorrer de maneira contínua.
Deve existir um plano de resposta aos riscos que forem identificados com ações a serem tomadas para seu gerenciamento. Devem ser atribuídos papéis e responsabilidades sobre os perigos que forem detectados. Entre as possíveis ações a partir da identificação de um risco podemos citar:
Evitar: tomar ações que eliminem completamente o risco;
Mitigar: redução da probabilidade e ou do impacto da possível exploração do risco;
Transferir: envolver um terceiro que será responsabilizado pelo risco;
Aceitar: monitorar continuamente e estabelecer mecanismos de alerta e de resposta em caso de concretização.
Uma abordagem bem sucedida em Segurança da Informação deve contemplar uma estratégia de segurança em profundidade, ou seja, em diversas camadas e depende de três fatores fundamentais para formar uma defesa eficiente da organização.
Usuários são a peça-chave da segurança. Devem compreender e assimilar os princípios básicos para uma conduta segura, como a escolha de uma senha forte, navegação por VPN em locais públicos, saber identificar emails ou comportamentos suspeitos.
As organizações devem estabelecer processos e procedimentos bem definidos para que possa nortear a Governança da Segurança da Informação de forma clara para toda a empresa.
Política de senhas, processo de gestão de vulnerabilidade e Plano de resposta à incidentes são alguns dos processos essenciais para que a empresa possa agir proativamente e saber como lidar em caso de ataques bem sucedidos. Como identificar vulnerabilidades, proteger sistemas, detectar e responder as ameaças? Como se recuperar de um cyber ataque bem sucedido?
Essa é a camada que requer maior investimento e que precisa se adaptar mais rapidamente frente às novidades constantes das áreas de negócio. Para que os processo de segurança da sejam efetivos e automatizados, é essencial a adoção de tecnologias especializadas para o estabelecimento do programa de segurança da informação na profundidade necessária para proteger o negócio.
Algumas tecnologias essenciais para proteção incluem firewalls de última geração, filtros DNS, VPN, proteção contra malware, antivírus e soluções para segurança de email. Firewalls de aplicação (WAF), sistemas de detecção de intrusos (IDS/IPS), scanners e varreduras de vulnerabilidade, análise de anomalias na rede também fazem parte da higiene básica da Cyber-segurança.
O primeiro passo antes de iniciar a construção de um programa de segurança da informação é realizar uma avaliação de risco. O National Institute of Standards and Technology (NIST) desenvolveu o Cyber Security Framework, um guia de mapeamento de risco e adoção de melhores práticas para definir controles, proteger os ativos, monitorar e responder aos incidentes. Existem outros padrões e metodologias mais simplificadas na internet.
As metodologias e boas práticas para condução de avaliação de risco focam em três áreas principais: identificar os ativos que são essenciais para os processos de negócio e que processam ou armazenam informações confidenciais ou sensíveis; identificar ameaças, conformidades e riscos enfrentados por esses ativos e informações; entendimento dos danos que sua organização pode sofrer caso essas informações sejam perdidas ou expostas indevidamente. Nesta avaliação, devem ser consideradas as regulamentações e leis em vigor que afetem os seu segmento, tais como as leis de privacidade (LGPD e GDPR), BACEN 4.658 (instituições financeiras) e 3.909 (instituições de pagamento), PCI-DSS (processamento de cartões de crédito), entre outros.
Com base no resultado da avaliação de risco, deve-se adotar uma abordagem top-down, na qual os líderes, diretores e acionistas entendam os riscos apoiem a promoção de uma cultura de Segurança da Informação e Privacidade em todas as práticas e áreas do negócio. Desta forma, toda organização estará alinhada à importância da segurança e atenta à riscos e comportamentos anômalos.
Em seguida à avaliação de risco, deve ser desenvolvido o plano do programa de segurança da informação com visão de 2 a 3 anos, considerando os pontos de atenção mais relevantes, os ativos e informações mais críticos para o negócio. Esse plano deve prever o desenvolvimento e implementação de processos, as tecnologias necessárias para construir e estabelecer um programa de segurança da informação e capacitação da equipe técnica.
Sua implantação envolve, no geral:
Apesar de, à primeira vista, parecer uma tarefa trabalhosa e complicada, comece pequeno e foque em seus ativos e dados mais sensíveis, escalando seus esforços conforme seu programa de segurança ganha força e maturidade.
A utilização de uma plataforma para governança e gestão integrada da segurança da informação fornecerá uma visão dos riscos associados aos seus ativos dentro do contexto do negócio e irá facilitar a priorização e acompanhamento das ações necessárias para garantir uma postura proativa e diminuir os riscos de um cyber ataque ser bem sucedido.