Estratégia para segurança da informação numa organização

A segurança da informação assenta em quatro pilares fundamentais, definidos na ISO/IEC 27002, a saber:

Confidencialidade, Integridade, Disponibilidade e Autenticidade

A confidencialidade garante que só pessoas autorizadas têm acesso a determinada informação, isto é normalmente garantido por um controlo de acessos, seja por password, token, impressão digital, etc. A confidencialidade é quebrado, e os sistema deixa de ser seguro, quando alguém consegue aceder a informação para a qual não tinha privilégios de acesso.

Por sua vez a integridade, garante que determinado  conteúdo não foi adulterado, ou seja por exemplo determinado documento assinado com um certificado digital não pode ser alterado garantido assim a sua validade, dentro a integridade pode ainda existir o atributo da autenticidade que garante que determinada pessoa executou determinado acto no sistema e que não o pode repudiar.

Por último a disponibilidade é o que nos garante que o acesso à informação está sempre disponível, seja por sistemas redundantes, backups ou planos de disaster recovery.

Para a definição de uma estratégia, o primeiro passo seria determinar a qual a informação mais valiosa para a organização, bem com a identificação de todos os seus sistemas de informação, neste caso seria feito um levantamento exaustivo do hardware e software utilizado, fabricantes e versões.

Paralelamente seria traçado um plano de consciencialização para todos os membros da organização independentemente do seu papel , ou seja desde o CEO até ao distribuidor de correio, este plano assentaria em várias sessões onde eram demonstrados ataques de engenharia social e o inerente perigo de divulgação de informação pessoal na internet bem como a necessidade de ter e respeitar vários tipos de acesso à informação da organização.

Após o levantamento do hardware  e software, seria feito um plano para actualizar todos os sistemas e substituir os que fossem obsoletos ou descontinuados, esta tarefa seria cíclica usando por exemplo um Nessus para o varrimento dos sistemas em procura de vulnerabilidades.

Do ponto de vista de acessos, deveria ser implementada uma política forte de controlo de acessos à informação bem como de logs, para que em caso de fuga de informação seja possível identificar a fonte, ou seja forte controlo de acessos e separação de funções, por exemplo os Recursos humanos não necessitam de ter acesso a informação de aquisições. O princípio a implementar seria sempre o de negar acesso a tudo e depois ir dando acesso consoante o perfil de utilizador.

Seria também muito importante desenhar sistemas que dessem garantias  da disponibilidade em caso de ataques do tipo denial of service, bem como implementar um sistema de backup não centralizado geograficamente.

Seria fundamental ainda a identificação do risco de cada sistema de informação da organização, tendo em conta que não existem sistemas 100% seguros, é importante estar consciente do risco que cada sistema acarreta para que em consciência quem decide saber do impacto que pode ter na organização a quebra da segurança da informação e qual o nível de probabilidade ou seja o risco de isso acontecer.

Todo este planeamento deve ser confidencial, dado que o livre acesso ao plano pode ser usado nos ataques contra o sistema de informação da organização.

 

About the Author:

CISO | Ethical Hacker | Security Evangelist | InfoSec Researcher | Speaker | Red Team Leader “Não é preciso ter olhos abertos para ver o sol, nem é preciso ter ouvidos afiados para ouvir o trovão. Para ser vitorioso você precisa ver o que não está visível.”

Deixe o seu comentário

%d bloggers like this: