Como implantar um Sistema de Gestão de Segurança da Informação – SGSI – parte 8
A criptografia é uma das técnicas com maior assertividade no controle da informação, assim a organização deve assegurar o uso efetivo para proteger a confidencialidade, autenticidade e integridade da informação.
Uma política deve ser desenvolvida e implementada para uso de controles criptográficos.
Uma política deve ser desenvolvida e implementada para proteção e ciclo de vida das chaves criptográficas.
Agora no item 11 da norma, vamos tratar de segurança física e do ambiente, pois devemos prevenir o acesso físico não autorizado, danos e interferência com recursos de processamento das informações da organização.
Perímetro, áreas que contenham as instalações de processamento da informação como as informações criticas ou sensíveis da organização.
Controle apropriados de entrada física devem ser implementado para assegurar que somente pessoas autorizadas tenham acesso permitido.
Devem ser projetada segurança física apropriada e aplicada para escritórios, salas e instalações. Proteção contra ameaças externas e do meio-ambiente como desastres naturais, ataques maliciosos ou acidentais.
Deve ser desenvolvido procedimentos para trabalhos em áreas seguras.
Pontos de acessos como áreas de entrega e de carregamento, onde pessoas não autorizadas possam entrar nas instalações, devem ser controlados e, se possível, isolados das instalações de processamento da informação, para evitar o acesso não autorizado.
Impedir perdas, danos, furtos, roubos, comprometimento de ativos e interrupção das operações da organização, os equipamentos devem ser colocados em local protegido para reduzir os riscos de ameaças e perigos do meio-ambiente, bem como as oportunidades de acessos não autorizados.
Os equipamentos devem ser protegidos contra a falta de energia elétrica e outras interrupções causadas por faltas de utilidades.
O cabeamento de energia e de telecomunicações que transporta dados ou dá suporte aos serviços de informação deve ser protegido contra intercepção, interferência ou danos.
Os equipamentos devem ter uma manutenção correta para assegurar a sua disponibilidade e integridade permanente.
Equipamentos, informação ou software não devem ser retirados do local sem autorização prévia.
Devem ser tomadas medidas de segurança para ativos que operem fora do local, levando em conta os diferentes riscos decorrentes do fato de se trabalhar fora das dependências da organização.
Todos os equipamentos que contenham mídias de armazenamento de dados devem ser examinados antes antes do descarte, para assegurar que todos os dados sensíveis e softwares licenciados tenham sido removidos ou sobre gravados com segurança.
A organização deve assegurar que equipamentos sem monitoração tenham a proteção adequada.
Devem ser adotado uma política de mesa limpa de papéis e mídias de armazenamento removíveis e uma política de tela limpa para recursos de processamento da informação.
Documentar os procedimentos operacionais e manter disponíveis a todos os usuários que deles necessitem.
Um processo de gestão de mudança deve ser implementado para gerenciar os processos de negocio, recursos de processamento da informação e nos sistemas que afetam a segurança da informação, devem ser controladas. Deve ser previsto um processo para mudanças emergenciais para permitir uma implementação rápida e controlada de mudanças necessárias para resolver um incidente.
Um processo de gestão de capacidade deve ser implementado para monitorar a utilização dos recursos e as projeções devem ser feitas para necessidade de capacidade futura para garantir o desempenho requerido do sistema.
Ambientes de desenvolvimento e testes devem ser separados do ambiente de produção para reduzir os acessos ou modificações não autorizadas aos ambientes operacionais.
Devem ser implementados controles de detecção, prevenção e recuperação para proteger contra malware, combinado com um adequado programa de conscientização do usuário, além de prevenção e detecção de software não autorizado, uso de websites maliciosos, conhecidos ou suspeitos. Reduzir o numero de vulnerabilidades que possam ser exploradas pelos malwares.
Cópias de segurança devem ser mantidas de todas as informações, softwares e imagens de sistemas regularmente, além de testes para garantir a integridade. Níveis de segurança física e ambientais devem ser consistentes com a criticidade das informações armazenadas nas instalações principais, a execução do backup deve ser monitorado para verificar falhas da programação dos backups, garantindo assim a sua completeza.
Sempre que possivel as copias de segurança devem ser armazenadas em localidades remotas o suficiente para garantir a proteção em caso de algum desastre na unidade principal da organização.
Registros de logs de eventos das atividades de usuários, exceções, falhas e outros eventos de segurança da informação devem ser produzidos, mantidos e analisados criticamente, devem ser protegidos contra falsificação e acesso não autorizado.
As atividades de administradores e operadores de sistemas devem ser registrados e analisado criticamente, os relógios de todos os sistemas de processamento de informação, devem ser sincronizado com uma fonte de tempo precisa.
Controlar a instalação de softwares em sistemas operacionais para garantir a integridade dos sistemas operacionais.
Controle de vulnerabilidades deve ser obtida em tempo hábil, vulnerabilidades técnicas dos sistemas em uso, avaliada a exposição da organização e estas vulnerabilidades e medidas apropriadas para lidar com os riscos associados.
Criação de regras definindo critérios para a instalação de softwares pelos usuários devem ser estabelecidos, a organização deve definir uma política restrita de tipos de softwares que os usuários podem instalar.
Atividades de auditoria envolvendo a verificação de sistemas operacionais devem ser planejados e acordados para minimizar interrupções dos processo do negócio.
No próximo post irei abordar a segurança nas comunicações item 13 da norma.