Política de segurança da informação & Infraestrutura – Parte I

Bom em minha primeira publicação no blog, pretendia falar sobre política de segurança da informação, como desenvolve – lá , o que consultar, iria explanar todas as expectativas do negocio, entre outras questões.

Do que adianta elaborar uma política abrangente, alinhada ao negocio , se a infraestrutura não pode suportar? Um exemplo disso seria incluir na política que todas as ações do colaborador é gerando um registro do evento para futuras auditorias, que a empresa se reserva o direito de acessar e analisar todos os dados gerados pelo colaborador. Na área de segurança os textos acima são utilizados em larga escala na elaboração das PSI e no momento que olhamos para a infraestrutura vemos que ela não suporta esse tipo de auditoria, que os logs gerados pelos sistemas são apenas para fins de monitoração do estado dos sistemas “e algumas vezes nem isso.”

Vejo como primeiro passo para a elaboração de uma política de segurança da informação em conformidade com o negocio e mais importante em conformidade com a infraestrutura disponível, é analisar o core business da empresa e definir o que se pretende proteger, partindo desse ponto, analisar a infraestrutura como um todo para verificar se há mudanças à serem feitas e elaborar um plano de ação para elas e após ou durante a execução dos acertos a política possa ser desenhada e moldada para a empresa.

Muitas empresas vêem a área de segurança da informação como inviável para o pequeno negocio mais vamos ver de outro ponto de vista.

Um dos primeiros passos da empresa para a segurança da informação é implantar um Proxy com um sistema de “White List” ou de “Black List”, mas as empresas pecam em ao invés de planejar que cada pessoa tem necessidades específicas e não cria perfis para grupos de usuários específicos, então cria a exceção para o usuário, onde esses usuários depois de algum tempo se tornam comum na empresa.

Na minha opinião para uma implantação do Proxy sem causar tanto impacto para a empresa, vá nas áreas, entreviste os usuários, colete o maior numero de informações possíveis dos acessos deles na internet. Após esse trabalho o Proxy deve ser implantado com a “White List” aplicado por perfil, tomando o cuidado para que não seja criado perfis de mais, isso acaba complicando o gerenciamento do sistema. Os Proxy devem ser integrado com LDAP possibilitando o vinculo do usuário de rede com o usuário de internet e simplificando o cadastro de novos usuários.

Nas próximas publicações vou comentar sobre firewall, segmentação de rede, anti spam, centralizadores de logs, entre outras ferramentas.

Política de segurança da informação x Infraestrutura – Parte II

Ricardo Lino

Profissional de Tecnologia da Informação há 17 anos, tendo os últimos 7 anos na área de Segurança da Informação, Risco&Fraude e Compliance, projetando e definindo as melhores soluções, alinhando as melhores práticas de mercado as metas de negócio, provendo transformações internamente e externamente mantendo uma Governança de segurança da informação, gestão de risco para elevar a maturidade das empresas, são o que eu faço melhor.

One thought on “Política de segurança da informação & Infraestrutura – Parte I

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.