Como implantar um Sistema de Gestão de Segurança da Informação – SGSI – parte 9
Iremos abordar hoje mais um tema do Sistema de Gestão de Segurança da Informação a Segurança nas Comunicações item 13 da norma, aqui ela afirma que a rede deve ser gerenciada e controlada para proteger as informações nos sistemas e aplicações, além disso características de segurança devem ser levados em conta como níveis de serviço e requisitos de gerenciamento dos serviços de rede que devem ser identificados e incluídos em qualquer acordo de serviços de redes, tanto para serviços de rede providos internamente como também terceirizados.
Grupos de serviços de rede, usuários e sistemas de informação devem ser segregados em redes distintas.
Manter a segurança das informações transferidas interna e externamente, uma política, procedimentos e controles formais, devem ser estabelecidos para proteger a transferência de informações em todos os tipos de recursos de comunicação, devem ser estabelecidos acordos para transferências segura de informação do negócio entre a organização e partes externas.
As mensagens devem ser adequadamente protegidas, assim como acordos de confidencialidade ou acordo de não divulgação que reflitam as necessidades da organização devem ser identificados, analisados criticamente e documentados.
Em aquisição, desenvolvimento e manutenção de sistemas deveremos garantir a segurança das informações, assim incluiremos os requisitos relacionados à segurança da informação nas especificações de sistemas ou nas melhorias de sistemas existentes.
Os serviços de informação que transitam em redes publicas devem ser protegidas de atividades fraudulentas, disputas contratuais, divulgação e modificação não autorizada, também devemos proteger transações de serviços para prevenir transmissões incompletas, erros de roteamento, alterações não autorizadas de mensagens, divulgação não autorizada, duplicação ou reapresentação de mensagem não autorizada.
Elaborar e aplicar uma política para desenvolvimento seguro de sistemas e softwares realizados dentro da organização, mudanças em sistemas devem ser controladas por procedimentos formais de controle de mudanças.
Após mudança nas plataformas operacionais as aplicações críticas do negócio devem ser analisadas e testadas para garantir a integridade da aplicação ou impacto na operação da organização.
Modificações em pacotes de softwares devem ser evitadas e devem estar limitadas a mudanças estritamente necessárias e devem ser controladas.
Princípios da engenharia de sistemas seguros devem ser estabelecidos, documentados, mantidos e aplicados para qualquer implementação de sistemas de informação.
A organização deve estabelecer e manter um ambiente de desenvolvimento seguro em todo o ciclo de desenvolvimento do sistema.
Para desenvolvimento terceirizado a organização deve supervisionar e monitorar o desenvolvimento dos sistemas.
Testes de segurança do sistema devem ser realizados durante o desenvolvimento, testes de aceitação e critérios relacionados devem ser estabelecidos para novos sistemas de informação, atualizações e novas versões.
A organização deve garantir a proteção de dados de testes, que devem ser selecionados com cuidado, protegidos e controlados.
No item 15 trataremos do relacionamento na cadeia de suprimento, para isso deveremos primeiramente elaborar uma política de segurança de informação para fornecedores e partes externas, para mitigar os riscos associados com o acesso dos fornecedores aos ativos de informação da organização.
Todos os aspectos de segurança da informação devem ser identificados e acordados com cada fornecedor que possa acessar, processar, armazenar, comunicar, ou prover componentes da infraestrutura de TI para a organização, esses acordos devem contemplar os riscos associados a cadeia de suprimentos de produtos ou serviços de TIC.
A organização deverá monitorar, analisar criticamente e auditar a intervalos planejados a entrega dos serviços nos níveis e requisitos acordados com os fornecedores.
Mudanças no serviços, manutenção e melhorias das políticas de segurança da informação, dos procedimento e controles existentes, devem ser gerenciados levando-se em conta a criticidade para o negócio, dos sistemas e processos envolvidos, e reavaliado os riscos associados.
No próximo post iremos tratar de Incidentes de Segurança da Informação item 16 da norma, item 17 Aspectos de Segurança da Informação da Gestão da Continuidade do Negócio e por fim o item 18 Conformidade, com isso concluímos a primeira série de postagens.