• CIBERSEGURANÇA

Gestão de Recursos: realizando a Segurança da Informação

Por
Edison Fontes
-
0

A Gestão de Recursos muitas vezes é deixada em segundo plano e somente aparece como controle crítico, quando aparecem dificuldades para o andamento do Programa de Segurança da Informação, Cibersegurança, Proteção da Privacidade, Continuidade de Negócio e Resiliência Digital.

Muitos profissionais pensam que ter uma listagem dos recursos significa uma gestão de recursos. Não é! Quem pensa assim não compreende a estrutura e arquitetura de um programa de segurança da informação. Além do que, para a maioria das organizações, mesmo esta listagem, normalmente está longe de ter a completude dos recursos da organização.

Mas, o que é Gestão de Recursos? Simplificando, "Gestão de Recursos é um conjunto de controles e meta controles referentes a recursos de informação que permitem a existência de um efetivo programa de segurança da informação", Edison Fontes, 2024.

Com o objetivo de facilitar o entendimento, cito abaixo os principais controles e/ou metas relacionados à segurança da informação necessários para a Gestão de Recursos de Informação. Neste momento estamos considerando equipamentos, softwares, ambientes de informação e similar.

  1. Inventário

É necessário um inventário completo de todos os Recursos de Informação, considerando o ambiente da organização.

É necessário ter a certeza da completude deste conjunto de recursos. Isto é, é necessário a garantia de que todos os recursos existentes no ambiente da organização, ou no ambiente considerado, estão formalmente relacionados.

  1. Gestor do Recurso de Informação

É o colaborador (nome e sobrenome) responsável pelo recurso. Por uma facilidade, algumas vezes se coloca a área e se define que o Gestor da Área é o Gestor do Recurso. Pode -se indicar área, mas preferencialmente é melhor nome e sobrenome do profissional.

O Gestor do Recursos Informação é o profissional que toma conta do recurso. Ele pode não fazer todos os controles sobre o recurso, mas ele tem a obrigação de garantir que todos os controles existem para o recurso e que o recurso possui as condições necessárias para ser operacionalizado de maneira efetiva e protegida.

  1. Responsável – Monitoramento de proteção de perímetro

O Recurso de Informação deve ter uma proteção para o seu perímetro. Isto é, aquilo que chega para o recurso deve ser aceito se for correto e adequado, e deve ser rejeitado se for algo indevido, seja por erro ou seja por ação criminosa.

O monitoramento deve ser inteligente e não apenas um permite ou não permite. Ele deve considerar o comportamento do ambiente externo e se possível ser proativo, deixando de ser apenas reativo.

  1. Responsável – Monitoramento de funcionamento

O Recurso de Informação deve ser monitorado em relação à sua performance, seu crescimento e sua capacidade. 

Muitos processos de negócio já pararam porque um arquivo interno ou uma tabela de um Recurso de Informação ultrapassou seu limite. Este fato é um sinal vermelho indicando que não existe este monitoramento.

  1. Responsável – Monitoramento de comunicação com outros recursos

O Recurso de Informação precisa ter documentado com quais são os outros Recursos de Informação que ele se relaciona, isto é, como os recursos estão de maneira direta ou indiretamente conectados. Este controle identifica situações em que um Recurso de Informação está conectado (direta ou indiretamente) com ambientes fora do controle da organização e caso este ambiente externo sofra uma invasão, a organização pode receber esta invasão.

  1. Responsável – Monitoramento das versões dos componentes

Todos os componentes de um Recurso de Informação devem estar com suas versões atualizadas, ou planejadas de atualização. É necessário a identificação do responsável por esta atualização.

  1. Responsável – Implantação do recurso 

Profissional/área responsável por implantar o recurso no ambiente de tecnologia e garantir treinamento e todas as ações necessárias em uma ação de implantação.

  1. Responsável – Treinamento de usuário

O usuário que vai interagir com este recurso precisa de treinamento periódico e considerando a rotatividade de pessoal.

  1. Responsável – Gestão de Mudanças

Quando necessária alteração neste recurso de informação, deve existir um profissional ou uma área responsável pela Gestão de Mudanças.

  1. Responsável – Gestão de Incidentes – Gestão de Problemas

Quando da ocorrência de um incidente, uma pessoa ou área deve ser responsável pelo registro de incidente e depois na transformação deste incidente em problema. E como problema, deve achar a causa raiz e resolver o problema, ou gerar uma Carta de Risco.

Conclusão

Na minha prática estes são os principais controles que obrigatoriamente devem estar formalizados e evidentemente funcionando de uma maneira efetiva.

Um Controle acima de todos, é o Controle da Completude. Precisamos garantir que todos os recursos de informação existentes foram contemplados. Este é um controle que normalmente é negligenciado. Quantos e incidentes e problemas aconteceram porque existia um recurso de informação que ninguém sabia, e "surgiu do nada". Porém comprometeu a sustentabilidade da operação de negócio.

O Gestor de Segurança da Informação juntamente com todas as áreas que possuem Recursos de Informação são responsáveis por garantir este controle de Gestão dos Recursos de Informação.

Evidentemente existem outros controles e muitas outras situações específicas sobre esta questão. Mas, em todas as situações precisamos ter uma efetiva Gestão de Recursos

Com certeza sua organização tem peculiaridades. Podemos conversar sobre este tema. Abraços.

Edison Fontes, CISO at NAVA – Technology for business

ARTIGOS RELACIONADOSMais do autor

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.