Segurança da Informação – Ambiente de controles

Não há dúvidas de que a T.I. deva cuidar e zelar pela segurança da informação, para isso é fundamental possuir uma boa governança baseada em processos e controles.

É importante entender que risco é algo inerente a qualquer negócio, sendo assim, faz-se necessário identificá-lo e mapeá-lo, evitando a interrupção dos serviços, acessos indevidos, divulgação de informações não autorizadas ou perda de dados.

Como exemplo, vamos analisar o risco de acessos indevidos aos sistemas de informação por empregados da empresa. Esta fragilidade geralmente está associada a aspectos tais como: i) falta de um processo de avaliação de direitos de acessos; ii) ausência de processo de comunicação entre o RH e a T.I. após o desligamento de funcionários ou transferência de departamento, iii) ausência ou manutenção da matriz de segregação de função (processo conhecido como SoD “Segregation of Duties”), iv) ausência da atividade de verificação de acessos, etc.

Para efetuar o controle do processo de gestão de usuários e direitos de acesso, sugerimos algumas ações, sendo:

• Desenvolver política de segurança da informação.
• Desenvolver o processo de manutenção de usuário e direitos de acessos, lembrando que é de suma importância a comunicação entre a T.I. e o RH.
• Desenvolver e designar a atividade de análise de acessos.

Há muitos outros controles e processos para a área de T.I., e eles devem ser implementados a fim de se obter uma boa governança da área. Segue alguns controles:

• Política de backup;
• Plano de contingência e recuperação de negócio;
• Gerenciamento de mudança – “Change Management”;
• Plano de continuidade de negócio, BCP “Business Continuity Plan”;
• Segurança física da sala dos servidores – “Data Room/Data Center);
• Plano de treinamento;
• Uso de software de segurança como firewall e antivírus;
• Bloqueio de conteúdos não autorizados da internet;
• Outros.

Mazars Brasil | Advisory Group