Como implantar um Sistema de Gestão de Segurança da Informação – SGSI – parte 7
Na sétima parte da nossa serie Sistema de Gestão de Segurança da Informação iremos tratar de gestão de ativos, item 8 da norma.
Inventariar os ativos de recursos e processamento informação.
Existem basicamente dois tipos de ativos:
- Ativos primários, processos e atividades do negócio e informação;
- Ativos de suporte e infraestrutura, ativos que dão suporte aos ativos primários como hardware, software, rede, recursos humanos, instalações físicas e estrutura da organização.
Após inventariado, assegurar que sejam classificados e protegidos adequadamente, garantir que o ativo é manuseado adequadamente incluindo em seu descarte.
A responsabilidade pelos ativos é necessário garantir o uso aceitável com regras claras, documentação e que seja aplicado e reconhecido por todos da organização.
A devolução do ativo deve ser obrigatória para todos os funcionários e partes externas da organização que estejam em posse após o encerramento das atividades ou contrato.
Durante o período de encerramento do contrato a organização deve controlar cópias não autorizadas de suas informações por todas as partes.
Toda a informação deve ser classificada de acordo com o seu valor para a organização, requisitos legais, sensibilidade, e criticidade para evitar modificação ou revelação não autorizada.
Deve ser definido um rótulo para a informação e procedimentos apropriado para rotular e tratar a informação adequadamente, além de procedimentos para o manuseio de acordo com o esquema da classificação da informação pela organização.
O tratamento das mídias deve ser aplicado para prevenir a divulgação, modificação, remoção ou destruição de informações armazenadas nas mídias, como implementação de procedimentos para o gerenciamento de mídias removíveis.
As mídias também devem ser descartadas de forma segura, protegendo contra acesso não autorizado ou uso inapropriado, no transporte e transferência de mídias físicas, devem ser protegidas de serem corrompidas além das demais situações.
A Gestão de ativos são atividades importantes para a proteção de informações de propriedade intelectual, deverá ser implementado por exemplo lacres de controle, criptografia, controles em planilhas de propriedade, para classificação poderá ser usado como exemplo os rótulos, Uso Interno, Restrita e Confidencial.
No item 9 iremos abordar o controle de acesso para limitar o acesso à informação e aos recursos de processamento da informação, para isso uma política de controle de acesso deve ser documentada, implementada, divulgada e analisada criticamente, baseando-se nos critérios de segurança da informação e dos negócios.
Acessos a redes e serviços de redes somente devem ser liberados após terem sidos autorizados a usar.
Um processo de registro e cancelamento de usuário deve ser implementado para atribuir direito de acesso aos recursos de rede.
O provisionamento de acessos deve ser implementado para conceder, revogar os direitos de acesso do usuário para todos os tipos de usuários em todos os tipos de sistemas e serviços.
Os acessos privilegiados devem ser restritos e controlados e revisados regularmente.
Um processo formal de gerenciamento de informação de autenticação secreta (senha) deve ser implementado e controlada.
Os proprietários dos ativos deverão revisar e analisar criticamente os direitos de acessos de usuários a intervalos regulares, os direitos de acessos de todos os funcionários e partes externas devem ser retirados após o encerramento das atividades, contratos ou acordos, ou ajustados após a mudança destas atividades.
Os usuários devem ser orientados a manter confidencial suas senhas de acesso as informações e serviços.
O acesso a informação e as funções do sistema devem ser restritos, processos seguros de entrada e saída de sistemas devem ser implementados sempre que aplicável e necessário.
Sistema de senhas devem ser interativos e assegurar senhas de qualidade.
O uso de programas utilitários que podem ser capazes de sobrepor os controles dos sistemas deve ser restrito e controlado.
O acesso ao código fonte de programas deve ser restrito e controlado, sempre que possível ferramentas de auditoria e controle de versionamento é recomendável.
Para a próxima publicação iremos entrar no item 10 da norma e trataremos de criptografia.
Parabéns pelo artigo, muito didático e importante para a GSI.
Obrigado Jeferson.