Controles Internos de T.I. – Projeto de Segurança da Informação
Muito têm-se investido em hardwares e softwares a fim de melhorar o sistema de segurança, no entanto, somente isto, não é o suficiente, é necessário implementar um “projeto de segurança da informação”especificamente desenhado para esta finalidade, onde alguns dos aspectos que devem ser considerados para se obter uma razoável estrutura integrada, são:
Primeiramente, é preciso estabelecer e definir o nível de segurança que se espera atingir, considerando o custo versus benefício. Feito isto, é preciso identificar, avaliar e mensurar os risco envolvidos, para que sejam estabelecidos e implementados os respectivos controles, associando diretrizes, ferramentas de segurança, políticas e procedimentos, chaves de proteção e autenticação, que envolvem tanto máquinas, softwares e processos manuais.
A identificação dos riscos é essencial tanto para a determinação de ações que produzirão efeitos efetivos diante das ameaças, quanto para otimizar a relação custo benefício das ações, evitando a construção de processos e controles superdimensionados ou o inverso.
Algumas das ações e ferramentas que podem ser implementadas, são:
- Política de Segurança da informação;
- Organização da Segurança da Informação;
- Gestão e controle de ativos;
- Gestão de pessoas;
- Segurança física do ambiente corporativo;
- Gestão das operações e comunicações;
- Controle de acesso lógico;
- Aquisição, desenvolvimento e manutenção de sistemas de informação;
- Gestão da continuidade do negócio;
- Conformidade com os aspectos legais.
Em nosso próximo artigo, abrangeremos um pouco mais em detalhes esses controles e como eles funcionam no dia a dia da organização, objetivos, impactos e a melhor forma de implementação e de monitoramento.
Advisory Group
Heliezer Viana