por Eliud Eliizondo Moya
O nível de consciência na segurança da informação nas organizações é maior do que nunca. No entanto, parece que não é possível manter a atenção suficiente para avançar junto com novas tecnologias e ameaças, que podem ser colocadas em risco os ativos mais importantes das empresas: informações.
a primeira coisa a nos perguntar sobre como protegemos nossos ativos mais preciosos: estamos guiando a segurança da informação para o caminho certo?
Responda honestamente esta questão e Fazer uma análise a este respeito nos ajudará a identificar elementos fundamentais que devem ser considerados em uma estratégia de segurança corporativa, para que seja capaz de fornecer um benefício real para a organização e que não sejam vistos como despesas desnecessárias, exclusivas das áreas de Tecnologia da informação (IT).
Para enfrentar esta questão, devemos expandir nossa visão para descobrir que a segurança da informação não Depende apenas das áreas de TI ou de um grupo seleto de pessoas dentro da instituição, mas é encontrada em cada componente do negócio.
Para obtener este enfoque es necesario analizar tres grandes temas, los cuales debemos considerar como parte de una estrategia corporativa:
Un programa de gestión de seguridad de la información
Este debe contar con el patrocinio de la alta dirección, con el fin de poder representar y responder a todo o negócio. Lembre-se de que buscamos uma gestão adequada da segurança dos ativos da informação e estas não são encontradas apenas em sistemas informáticos, mas também devem se preocupar com os espaços físicos de toda a organização.
Um programa adequado de gerenciamento de segurança deve estar alinhado com a estratégia corporativa, o que torna a segurança em um facilitador de negócios e um elemento para alcançar que os riscos sejam transformados em oportunidades. O acima pode ser alcançado definindo uma estratégia e um plano de maturidade, através da análise de riscos de segurança nos processos de negócios, que permite identificar pontos fortes, fraquezas e requisitos nestes.
Além disso, é uma excelente atividade para aumentar a consciência nos líderes das diferentes áreas da empresa sobre os riscos e cuidados existentes que devem ter com a informação que Custodiante.
Apenas considere que os pontos fortes, riscos e requisitos de segurança em cada processo devem ser identificados e detalhados pelos líderes e responsáveis por transportá-los. As áreas de TI e segurança da informação só podem funcionar como moderadores desta atividade.
Neste programa de gerenciamento, tópicos como:
· Governo modelo e segurança · continuidade de negócios (BCP / DRP) · Análise e gerenciamento de riscos · Treinamento e consciência
· Métricas e relatórios de segurança
Administração de ameaças e vulnerabilidades
Segurança inclui pessoas, processos e tecnologia. Cabe destacar que este último punto juega un rol muy importante debido a la gran cantidad de información de negocio que se encuentra resguardada en los sistemas informáticos, la cual se transmite a través de Internet utilizando soluciones en la Nube, los sitios web de la organización o O e-mail. Em muitas ocasiões, este conteúdo não é transmitido por meio confiável e seguro, por isso pode ser interceptado ou mesmo alterado durante o envio.
Após a construção do quebra-cabeça de uma estratégia de segurança corporativa, devemos conhecer nossos pontos fortes, identificar ameaças tecnológicas e abordar os riscos aos quais o negócio é exposto. Isso é conseguido realizando avaliações técnicas em infraestrutura de TI e sistemas de informática.
Recomenda-se que esta atividade não seja executada apenas executando uma ferramenta simples, mas é eles Envolva profissionais experientes sobre o assunto para coordenar os esforços e identificar as rotas que alguém malicioso poderia levar, com o objetivo de roubar ou alterar informações comerciais.
É incrível como, hoje, muitas organizações estão expostas a um indivíduo, em menos de 5 minutos, assumem a identidade de qualquer funcionário, incluindo membros gerenciais, o email. Esta situação é muito difícil para uma ferramenta identificá-la claramente; No entanto, uma pessoa com conhecimento de hackers muito básico (comumente chamado de script kiddie), pode fazê-lo facilmente quando não há controles adequados.
deve ser considerado que, embora essas atividades São técnicos, devemos apresentar os pontos fortes, riscos e ameaças aos níveis de gestão em uma linguagem de negócios, que podem ser percebidos como a organização pode ser afetada por não participar de tais riscos e ameaças. Exemplos disso são os danos à imagem, sanções da Autoridade para a não conformidade, roubo de dinheiro através do processo de contas a pagar, etc.
Uma administração adequada de ameaças e vulnerabilidades deve incluir:
· Testes de hacking ético
· Avaliação da arquitetura tecnológica
· Análise de segurança em aplicações e celulares
· Segurança no ciclo de vida do desenvolvimento de sistemas de computador
· Análise de segurança em nuvem
Proteção de dados, privacidade e conformidade
De que a lei federal de proteção de dados pessoal foi publicado em posse de indivíduos, inúmeras empresas – independentemente de sua vez ou setor – realizaram diagnósticos de conformidade e melhorias em processos que exigem algum tratamento ou gerenciamento de dados pessoais; Tudo isso, a fim de realizar as ordenanças da referida lei.
É muito importante formalizar o que esta e outras leis ou regulamentos que buscam a proteção e a privacidade de quaisquer dados que estão nas mãos das empresas; No entanto, é muito comum observar a separação entre os esforços feitos para proteger informações críticas do negócio e os dados que devem ser protegidos por uma obrigação de uma lei ou norma.
Você só tem que considerar que os pontos fortes, riscos e requisitos de segurança em cada processo de negócios devem ser identificados e detalhados pelos líderes e responsáveis por transportá-los.
Não devemos isolar a questão da segurança da informação; É necessário buscar o alinhamento da estratégia, os processos, o plano de maturidade e o modelo de segurança com esses elementos que exigem a organização, especialmente aqueles relacionados à proteção e à privacidade dos dados.
Além da conformidade, existem outros fatores que é importante considerar durante a proteção e privacidade dos dados:
· um governo de dados.
· O plano de proteção, incluído na estratégia de segurança da informação corporativa.
· O programa para a prevenção de vazamento.
Finalmente, você tem que refletir sobre o caminho que está tomando a segurança das informações dentro da organização e comece a trabalhar em conjunto com todas as áreas, Para definir e executar uma estratégia que é mais facilitador para o cumprimento dos objetivos e, obviamente, proteger este ativo vital: as informações.