Administração da Segurança em Informática. Exercida por todos os profissionais Coordenação...

Administração da Segurança em Informática

Exercida por todos os profissionais Coordenação exercida por analista de

segurança em informática Estabelecer Práticas

• Segundo os vetores:

FONTE: GIL, Antonio de Loureiro; Segurança em Informática. São Paulo. Atlas. 2

Atuação segundo as funções administrativas• Planejamento, execução, controle e auditoria

Trabalhos realizados em nível organizacional• Operacional, tático e estratégico

Atividades da função analista de segurança em informática Integridade das informações, arquivos, bancos de dados Ciclo de vida dos sistemas aplicativos

• Desenvolvimento, manutenção e operação Treinamento dos usuários e dos profissionais de informática Situações especificas de processamento eletrônico de dados Metodologia para criação e uso de planos, normas e

procedimentos formais e informais de segurança Qualidade de segurança instalada e ações de melhoria

permanente


1. Planejamento da segurança via desenvolvimento de atividades para concepção das práticas de segurança, com a determinação de padrões de segurança desejáveis, culminando com a implantação da segurança em informática preconizada.

2. Execução da segurança: cumprimento da segurança formal planejada e disseminação da segurança informal existente.

3. Controle da segurança: conforto da segurança ocorrida com aquela planejada/almejada. Apuração dos desvios para efeito de reciclagem, com otimização, do planejamento e execução vindouros.

4. Auditoria de segurança: verificação da qualidade de processos e de resultados do planejamento, execução e controle de segurança.


1. em termos operacionais (atuação dos funcionários), ocorre o maior nível de atividade da execução/cumprimento de práticas e de procedimentos de segurança, particularmente, em face do dia-a-dia e das tarefas básicas das organizações;

2. no momento tático (atuação de chefias e gestores), a função administrativa de controle é prioritária, em face da necessidade de monitoração continuada das práticas de segurança preconizadas;

3. o estágio estratégico (atuação da alta administração) contempla a definição de diretrizes, a aprovação dos planos estabelecidos, o acompanhamento da relação “benefício/custo” da segurança, bem como a definição em instância final do nível de tolerância do risco da insegurança aceitável.



Funções

Níveis

Planejamento Execução

Controle Auditoria

Estratégico

Tático

Operacional

Situações específicas/particulares necessitam de cobertura equânime

Metodologia é palavra-chave em segurança, ou seja, padronização de processos e de resultados é fator de sucesso


Implica a atuação dos profissionais envolvidos com a tecnologia de informática em atividades dos focos:



Determinar Processos

DefinirAtividades

ElaborarNormas e

Planos

CriarSistemas deInformação

DefinirSituações

EstabelecerObjetivos

CriarCenários

Focos dePlanejamento

deSegurança

determinação dos processos a serem praticados e estabelecimento dos resultados esperados, uma vez que estabelecidas/instaladas as condições de segurança empresarial;

montagem/criação de cenários futuros, de maior probabilidade de ocorrência, para estudo de “causas” e de “conseqüências”, com a concomitante caracterização das práticas e resultados e resultados prováveis, em termos de medidas de segurança preventivas, detectivas, corretivas e restauradoras;

definição de atividades para analista de segurança em informática, para usuários e para profissionais de informática e de segurança empresarial/patrimonial;


elaboração de normas e de planos, bem como definição de softwares a serem adquiridos e de sustentação de hardware de terceiros, para situações de segurança em informática com forte potencial de ocorrência, como greve total ou paralisação parcial do sistema computacional, acarretando atrasos e processamento e conseqüentes perdas financeiras para as organizações;

criação de sistema de informação para captação de indícios e identificação de tendências, tanto de novas práticas de segurança, quanto de ocorrências com elevado poder de desestabilização do ambiente de informática;


definição de simulações e de testes que garantam/estabeleçam confiança nas medidas de segurança consideradas adequadas;

estabelecimento de objetivos, diretrizes, do perfil, dos custos e do nível de impacto da segurança em informática almejada.


Para ser executada de forma rotineira e consistente, • tendo como principais momentos:

1. sua readequação a partir dos desvios apurados pela análise dos resultados e do controle exercido em função de situações de melhoria do planejamento vigente;2. ciclos, no tempo (anual, semestral, mensal), de reformulação e de melhoria do planejamento vigente;3. reorientação de objetivos, diretrizes, foco e intensidade oriundos da alta administração.


Os Produtos finais do exercício de planejamento são padrões tanto em termos de procedimentos a serem praticados, quanto resultados a serem alcançados

Estes padrões podem ser determinados da seguinte forma: via comportamento histórico, isto é, buscamos ocorrências

futuras que guardem empatia/compatibilidade com situações análogas passadas;

por arbitragem, com a realização de brainstorming, ou ainda definição por autoridade/entidade competente;

com a realização de benchmark, em face da análise e comparação das atividades de segurança desenvolvidas por entidades/organizações com características e situações similares às nossas.



ParâmetrosVetores

Física Lógica Ocupacional Confidencialidade

Ambiental

Funções

Níveis

Analista IntegraçãoCiclo de Vida TreinamentoSituações

Metodologias

Processamento

Qualidade

A expressão que norteia a função segurança em seu momento execução é:

“Segurança em informática é responsabilidade de todos os profissionais das organizações envolvidos direta ou indiretamente com a tecnologia computacional”.


O registro das situações de insegurança tem, ainda,espaço e realce quando da execução em informática, consoante os momentos:

1. logs com as operações ocorridas quando da utilização das plataformas de informática;

2. coleta de dados para trabalho e tabulação por sistemas de monitoração da segurança em informática;

3. atas de reuniões, relatórios de atividades, depoimentos tomados, situações registradas de momentos de insegurança vivenciados em informática;

4. entrevistas, visitas, constatações, análises realizadas e amostras coletadas são, também, formas de atendimento à segurança instalada;

5. treinamento no cumprimento de planos de segurança/de contingência.


Na realidade, o atendimento a situações de insegurança ocorre

em momentos simulados, ou,

em casos reais, quando qualquer falha, deslize, má prática de medidas de segurança acarretarão danos, normalmente, irreparáveis.


REGISTRO DE SITUAÇÕES DE INSEGURANÇA É VITAL PARA A QUALIDADE DA SEGURANÇA

ORGANIZACIONAL/EM INFORMÁTICA


1. entidade (recurso humano, sensor, sistema) que, inicialmente, detecta e aciona as providências básicas para debelar/conter/controlar e informar a concretização do ato/momento inseguro;


2. recursos de retaguarda, freqüentemente, com maior poder de ação/maior nível de conhecimentos/especialização/capacidade de mobilização


help-desk quando de problemas referentes a descontinuidade operacional, atrasos, erros, má operacionalização de sistemas aplicativos em plataformas de redes de computadores, em geral;

analista de produção, scheduler, analistas de suporte quando da necessidade de reordenamento operacional para retomada rotineira dos serviços;

brigadas de incêndio, de abandono, profissionais de segurança empresarial (patrimonial, de informática, de medicina e segurança do trabalho) quando a necessidade de reforço para enfrentar situações críticas/graves de insegurança em informática;

entidades externas, como corpo de bombeiros, polícia militar e civil, consultores em segurança para operacionalização em casos de catástrofes e de ofensas graves ao patrimônio ao patrimônio e imagem organizacional.


1. confronto das causas e conseqüências flagradas nas situações/momentos de insegurança (ameaça concretizada, por agente agressor, segundo o foco de vulnerabilidade do bem, em determinado perímetro de proteção), em faces daquelas estimadas/estipuladas/delineadas como de ocorrência provável, quando da realização do planejamento;

2. análise do desempenho das medidas de proteção operacionalizadas consoante:- padrões de efetividade pretendidos;- normas de funcionamento descritas;- treinamento, de simulações de insegurança, praticado;- intensidade de proteção preventiva, detectiva, corretiva,

restauradora alcançada com as ações de segurança concretizadas;


3. realimentação dos processos de planejamento e de execução com a realização das seguintes atividades:- apresentação dos desvios ocorridos aos responsáveis por

planejamento e por execução da segurança em informática;- argumentação quanto à possibilidade de alcance dos padrões

estabelecidos e às condicionantes das mediações da execução retratadas;

- proposições de reformatação/reavaliação de padrões com discussão de alternativas, via análise de tolerância (estabelecimento de padrões dentro de faixas de limites, ou seja, definido um intervalo padrão dentro do qual as mediações da execução são consideradas adequadas), com aumento da possibilidade de alcance de desvio zero;

- explicitação de novas formas para que a execução atinja/atenda ao planejamento realizado.


É importante notar que o custo do controle não deve ser maior do que os benefícios advindos de seu exercício; desta forma, o planejamento da segurança necessita da realização de análise de risco para determinação da segurança mínima indispensável ao correto funcionamento do ambiente de informática.

A mensuração do risco a ser assumido é responsabilidade, portanto, do executivo e dos profissionais envolvidos com a plataforma de informática sob foco de segurança.


Auditoria é função administrativa de revisão das funções • planejamento, • execução e • controle


1. identificação dos momentos/situações/pontos de controle considerados de importância ao nível das demais três funções administrativas (planejamento, execução, controle), consoante os três níveis empresariais (operacional, tático e estratégico);

2. definição da técnica, consoante o momento de auditoria, a ser aplicada;

3. realização de testes nos momentos “planejamento”/ “execução”/ “controle” da segurança em informática, considerados críticos, com a conseqüente aplicação das técnicas previamente definidas;


4. análise dos testes realizados, segundo os parâmetros de auditoria:- “segurança/eficiência”;- “segurança/eficácia”;- “atendimento às regulamentações pertinentes”;

5. emissão de opinião quanto à adequacidade da segurança “planejada”, “executada” e “controlada” consoante as análises dos testes efetuados, via:a) detalhamento de plano de ação, pela área sob auditoria, como

decorrência da negociação efetuada entre os profissionais que exerceram a função “auditoria”, quanto aqueles que realizaram as funções “planejamento”/“execução”/ “controle” (recomendações para melhoria da segurança);

b) emissão de ata de reunião com as opiniões tanto de profissionais da função “auditoria” quanto daqueles das funções “planejamento”, “execução”, “controle” (recomendações para melhoria da segurança).


1. Determinação dos prazos de instalação das melhorias em processos e resultados das funções “planejamento”, “execução” e “controle” da segurança em informática, conforme acordado em “ata de reunião” ou “plano de ação” (produtos finais das auditorias de posição);

2. Avaliação do cumprimento de prazos de implantação das melhorias preconizadas (justificativas quanto a eventuais não-atendimentos a prazos);

3. Análise da efetividade das mudanças instauradas e eventuais teste para verificação da intensidade de melhorias provocadas por essas mudanças;

4. Registro, em documento apropriado, do atendimento, pelas mudanças instituídas, ao objeto de melhoria desejado.


trinômio organizacional “linhas de negócios/sistemas aplicativos/plataformas computacionais”;

trinômio do ciclo de vida dos sistemas aplicativos “desenvolvimento/operação/manutenção”;

polinômio das plataformas de informática hardware/software/peopleware/comunicação de dados/sensores;


trinômio dos níveis organizacionais “operacional/tático/estratégico”;

polinômio para registro do funcionamento dos aplicativos em nível de plataformas de informática “log-in, log de sistema, log de comunicações, log de acesso a banco de dados, log-out”;

polinômio das metodologias praticadas nos ambientes organizacionais/de informática “etapas a cumprir, procedimentos a praticar, técnicas a aplicar, documentação a produzir, produto final a alcançar”;


1. Verificação/testes/revisão da segurança física, lógica, ambiental, ocupacional e de confidencialidade do “planejamento”, “execução” e “controle” da segurança em informática;

2. Avaliação da eficiência dos processos e da eficácia dos resultados do “planejamento”, e “controle” da segurança em informática;

3. Constatação do cumprimento/atendimento às regulamentações internas (normas, diretrizes, cultura formal e informal organizacional) e externas (legislação governamental, práticas de parceiros comerciais) empresariais quando do “planejamento”, “execução” e “controle” da segurança em informática.


E termos estratégicos, as atribuições a seguir relacionadas são responsabilidade de:

a) Analista de segurança em informática empresarial;

b) Chefe/executivo/gestor de área organizacional abrangida por plataforma de informática.


desenvolver, dar manutenção e implantar plano de contingência em informática, para os sistemas aplicativos e para as plataformas de informática vigentes na empresa;

elaborar planejamento e orçamento plurianual, para projetos de segurança em informática, com detalhamento de medidas de segurança preventivas, detectivas e corretivas, que devam ser desenvolvidas, implantadas e operacionalizadas, segundo o contexto de qualidade total da segurança em informática;

estudos dos planos plurianuais empresariais e de informática, para a manutenção da tecnologia de segurança em informática em igualdade com as demais tecnologias empresariais;

acompanhar a evolução das práticas de segurança empresarial/patrimonial/em informática e a intensidade de ocorrências de situações de insegurança, nos ambientes interno e externo organizacionais, buscando identificar tendências de insegurança, com seus correspondentes binômios “Bem/Ameaça”;

administrar a evolução anual de indicadores de qualidade de segurança em informática;


Contemplar segurança em informática em planos plurianuais empresariais e de informática;

Monitorar o comportamento anual das métricas dos indicadores de qualidade de segurança em informática, de sistemas aplicativos e de plataformas de informática, que dão sustentação ás atividades de seu ambiente empresarial;


Em termos táticos, as tarefas referentes a segurança em informática desempenhadas em cada função empresarial são:

a) Analista de segurança em informática empresarial;

b) Chefe/executivo/gestor de segmento empresarial sustentado por sistemas computacionais.


Estabelecer e aplicar programa de treinamento de segurança em informática aos profissionais componentes dos ambientes empresariais atendidos por sistemas e plataformas de informática;

Realizar projetos para operacionalização de segurança em informática;

Desenvolver, implantar e acompanhar estatísticas de condições de insegurança em informática baseadas em registros de ocorrências apuradas por áreas usuárias, áreas de produção de informática, help-desk, área de administração em redes;

Operacionalizar e emitir relatórios gerenciais, com gráficos, sobre o comportamento mensal, trimestral e anual da segurança em informática.


Analisar, periodicamente, a evolução da segurança em informática, propondo mudanças, correção de rumo, definindo grau de risco aceitável, para as ocorrências de insegurança, bem como para planos e projetos de segurança;

Agir no sentido da motivação dos profissionais de sua área de atuação, quanto à estabilidade de todos no alcance da qualidade total, inclusive, com a segurança total.


Administração da Segurança em Informática. Exercida por todos os profissionais Coordenação...

Documents

Transcript of Administração da Segurança em Informática. Exercida por todos os profissionais Coordenação...