A informação é um ativo de TI como qualquer outro ativo, e por isso precisa ser protegida.
Segurança é a proteção da informação contra ameaças para garantir a continuidade do negócio, minimizar o risco e maximizar o retorno.
Segurança da Informação é basicamente um ACID, como já dizia meu velho amigo Jedi.
Autenticidade
Confidencialidade
Integridade
Disponibilidade
e as vezes: Não-repúdio
Obtida a partir de um conjunto de controles, políticas, processos, procedimentos, estruturas organizacionais e funções de software e de hardware.
Computação distribuída reduz a eficácia da implementação de um controle de acesso centralizado.
A gestão de segurança da informação requer a participação de todos os membros da organização.
Fontes de requisitos de segurança da informação.
- Análise para o levantamento das ameaças e vulnerabilidades
- A legislação vigente, seja leis ou contratos com terceiros
- E os princípios organizacionais. Sei lá, uma empresa nazista pode escolher não contratar nós judeus com medo de sabotagem, sem lembrar-se que os bárbaros são eles.
E quais são as 3 fontes?
I - análise das ameaças e vulnerabilidades
II - legislação externa
III - princípios organizacionais
Os controles escolhidos devem, assim como tudo na godelagem governança de ti, estar alinhado com os requisitos do negócio.
É preciso conscientizar toda a organização, do presidente ao faxineiro, sobre a segurança de informação. TODAS AS PARTES ENVOLVIDAS. Ou seja, distribuição das DIRETRIZES e NORMAS para essas pessoas. Também estão envolvidos a questão de treinar os usuários a não clicar naqueles anúncios de você ganhou R$ 1.000.000,00 e "aumente seu pênis"
Glossário:
Ativo => Qualquer coisa que tenha valor para a organização. Para uma escola, o principal ativo são as suas crianças.
Evento => Opa... algo perturbou a força, vamos averiguar o que pode ser...
Por exemplo, um cara bem vestido, de terno e camisa bem passada, cabelo lambido, meio assexuado, dando voltas em uma escola.
Um evento pode gerar um Incidente => Um evento, ou uma série de eventos inesperados, que perturbem o andamento previsto da coisa. O cara arrumadinho entrou na escola. (Pedófilo??? Sequestrador??? Vendedor de Drogas???)
Politica => São intenções e diretrizes formalmente expressas pela direção.
Digamos: NÃO SE ADMITE PESSOAS ESTRANHAS DENTRO DA ESCOLA EM HORÁRIO LETIVO.
Essa politica é uma orientação da organização que vai orientar toda a segurança da informação. Nessa política a organização vai deixar claro que apoia essa questão e também que comprometimento da organização para assegurar essa politica.
ESSE DOCUMENTO DEVE SER PUBLICADO, PORÉM SÓ PARA AS PARTES INTERESSADAS.
Controle => É uma forma de gerenciar o risco. Inclui: políticas, procedimentos, diretrizes, práticas ou estruturas organizacionais. Podem ser de natureza administrativa, técnica, de gestão ou legal.
Esse controle é algo mais alto nível, é mais de quem tá no poder mesmo.
Não de admite pessoas estranhas no ambiente escolar.
Diretrizes => As diretrizes detalham os controles, dizem como deve ser feito para "implementar" uma política.
No caso de pessoas estranhas que tenham acesso à escola, convidar para se retirar.
Em caso de recusa, chamar as autoridades.
Nos dias de hoje, o risco de que alguém mal intencionado queira entrar em uma escola são muito altos. Todas as escolas deveriam ter planos de segurança para garantir seus ativos (crianças)
Avaliação dos Riscos => determinar o impacto daquele risco para a organização.
Se qualquer ameaça dessa tiver êxito em ter acesso a alguma criança os riscos são incalculáveis.
Tratamento de Riscos => Tentando diminuir o risco
Vamos colocar um vigia e uma câmera na entrada. Pessoas estranhas serão vistas.
Ameaça => Causa potencial de um incidente indesejado.
Pedófilos, Sequestradores, Traficantes de Drogas, Vendedores de Orgãos de Crianças, Satanistas... Muita gente ruim que se interesse em ter acesso à escola. Eles são uma ameaça. SÃO EXTERNAS.
Vunerabilidade => São fraquezas da organização, que podem ser exploradas pelos invadores. SÃO INTERNAS. Na nossa escola, o vigia não perde um capítulo de Mulheres de Areia, em uma dessas distrações alguém pode se aproveitar para ter acesso às crianças.
Ataque => concretização da ameaça.
Infelizmente o que aconteceu no caso Wellington Menezes.
Convém que a escola deva fazer uma análise de risco regularmente, para priorizar os riscos, e que essa análise seja metódica, comparável e reptível, e não na base do achômetro.
Convém também que essa escola estabeleça um escopo: Vamos proteger as crianças nos ambientes internos e escolares ou aumentar o escopo para o trajeto de algumas crianças, que utilizam ônibus para chegar em casa.
Depois o que a escola precisa saber é tratar os riscos. Avaliou... Levantou os riscos, agora temos que saber o que fazer.
Se um risco for baixo (risco de uma nave espacial vir raptar as crianças), ou for inviável trata-lo (garantir a integridade de todas as crianças também no trajeto até em casa, e de casa para a escola) então a escola tem a opção de ACEITAR ESSE RISCO.
Se a organização decidir que NÃO ACEITA ESSE RISCO, então ela terá que tomar medidas para diminuir esses riscos.
Nossa escola pode aplicar os controles necessários para diminuir o risco, transferir os riscos para terceiros, como por exemplo a escola deixar de ser escola e transformar-se apenas em uma cooperativa de professores que prestam serviços a outras escolas, ou então pode evitar os riscos, não realizando ações que possam ser arriscadas, como por exemplo um passeio no zoológico, sempre pode haver aquela criança mais traquina que vai querer alisar a cabeça do Leão.
Nesse tratamento de riscos temos que lembrar dos requisitos, aqueles que a gente já viu, os requisitos de negócio, os requisitos legais e os princípios da organização.
Temos também que considerar as restrições operacionais. Devemos lembrar que não dispomos do BOP para proteger as crianças, apenas do seu Raimundo, que sofreu um derrame o ano passado e manca de uma
==
Agora chega de metáforas e entramos no que diz NORMA mesmo.
Segurança física.
Basicamente é fornecer portões, paredes, fechar bem as janelas onde não há monitoramento, separar os ativos que são gerenciados diretamente pela organização daqueles que são gerenciados por terceiros, enfim, coisas que seguem o bom-senso.
O controle de entrada física permite que só as pessoas autorizadas tenham acesso.
Todas as pessoas que tenham acesso a uma organização, até mesmo terceiros, tenham alguma identificação visível.
Também devem ser levados em conta normas de saúde e segurança aplicáveis ( MELHOR MEMORIZAR ISSO, SAÚDE, PODE SER UMA PEGADINHA).
Note também que se você tem ativos que valem algum dinheiro, se não puder ser secreto, seja discreto. Tenha uma fachada que não seja chamativa, que não saibam que tipo de negócio funciona ali.
Segurança da Informação também envolve proteção contra ameaças externas, como terremotos, enchentes, incêndios. Como por exemplo incêndios em prédios ao lado.
Em áreas de entrega e carregamento, como se fosse a DMZ física de uma empresa, é bom isolar essa parte do resto da organização, porque pessoas estranhas à organização podem explorar essa parte. Por exemplo, identificação de quem entra, fecha as portas externas para abrir as portar internas. Remessas que chegam separadas das que saem. Também é bom chegar o conteúdo das entregas, nunca se sabe se é uma bomba.
(continua)
No comments:
Post a Comment