Conforme informei no post anterior, o levantamento macro dos ativos de informação são ponto críticos para efetiva aplicação do plano de Segurança da Informação.
no post anterior, expliquei um pouco sobre como começar a "mapear o terreno" e a partir do ponto que temos uma planta macro dos ativos, vamos adentrando nos meandros deste tipo de informação.
Vamos por um exemplo prático. Digamos que uma empresa possua um ERP que suporte os principais processos da mesma. Indo de encontro ao mapa de ativos, iremos ver como o sistema é estruturado .
segunda-feira, 20 de abril de 2009
domingo, 12 de abril de 2009
Estruturar área de Segurança da Informção - 1 - levantamento do terreno
Em continuidade ao processo de mapeamento de ativos, vale ressaltar que o levantamento de ativos não é tarefa fácil, haja vista que os processos de negócio das empresas são dependentes da interação de vários grupos que detem o conhecimento e particularidades do processo.
Sabendo deste fator de desafio, é veementemente recomendável envolver os principais interlocutores do processo (lideres e usuários chaves) para o correto mapeamento do ativo de informação.
Os processos passam por diversas etapas no seu ciclo de atividade, sendo que para nós no momento estamos interessados em proteger a informação gerada ou manipulada por tais processos.
A metodologia apresentada por Marcos Semola em seu livro (Gestão da Segurança da Informação- Editora Campus) oferece uma boa base para este levantamento :
1) Identificação dos processos de negócio
Os processos devem ser analisados sob a prisma do negócio, portanto é comum que as empresas fixem seus principais processos em pequenos grupos para depois quebrar os macro-processos em micro-processos.
Diante disto, podemos a partir da elencagem dos macro- processos partirmos em busca da informação do suporte (seja sistêmico, infra-estrutura e humano) para o funcionamento
do processo. Desta forma começaremos a traçar nossa rota do fluxo e armazenagem da informação.
Vejamos o gráfico ao lado. Nele temos identificados os macros-processos, as aplicações (sistemas) que o suportam, a base humana de sustentação do processo e todo suporte de infra-estrutura.
Temos a partir deste instante, nosso ponto de partida para detalharmos nosso mapa de riscos que envolver todo o processo.
Nosso próximo passo será o Mapeamento da relevância.
Sabendo deste fator de desafio, é veementemente recomendável envolver os principais interlocutores do processo (lideres e usuários chaves) para o correto mapeamento do ativo de informação.
Os processos passam por diversas etapas no seu ciclo de atividade, sendo que para nós no momento estamos interessados em proteger a informação gerada ou manipulada por tais processos.
A metodologia apresentada por Marcos Semola em seu livro (Gestão da Segurança da Informação- Editora Campus) oferece uma boa base para este levantamento :
1) Identificação dos processos de negócio
Os processos devem ser analisados sob a prisma do negócio, portanto é comum que as empresas fixem seus principais processos em pequenos grupos para depois quebrar os macro-processos em micro-processos.
Diante disto, podemos a partir da elencagem dos macro- processos partirmos em busca da informação do suporte (seja sistêmico, infra-estrutura e humano) para o funcionamento
do processo. Desta forma começaremos a traçar nossa rota do fluxo e armazenagem da informação.Vejamos o gráfico ao lado. Nele temos identificados os macros-processos, as aplicações (sistemas) que o suportam, a base humana de sustentação do processo e todo suporte de infra-estrutura.
Temos a partir deste instante, nosso ponto de partida para detalharmos nosso mapa de riscos que envolver todo o processo.
Nosso próximo passo será o Mapeamento da relevância.
Estruturar área de Segurança da Informção - Livros e referências
Uma boa fonte de informação sobre a estruturação de uma área de Segurança da Informação e que consulto sempre é o livro do Marcos Semola a respeito do tema.
É um bom livro em português a respeito do tema. Bem explicativo e com um foco voltado a visão executiva da área de segurança.
Além disso, o autor possui ampla experiência no assunto.
O site do autor pode ser encontrado em :
http://www.semola.com.br/
O Marcos além de ser um fera em segurança da Informação, também possui habilidades extras em fotografias, merecendo destaque em seu site de sua coleção de fotos expostas. Bem interessante!
Outra excelente fonte é o site do ISACA (www.isaca.org) que oferece ao profissional de segurança oportunidade impar de conhecimento e também de troca de experiências.
No Brasil o ISACA possui algumas filiais (que são chamados capítulos) localizados em São Paulo e Rio de Janeiro (http://www.isaca.org.br/novoportal/) onde o profissional associado ao ISACA pode encontrar outros colegas de profissão além dos eventos patrocinados pela instituição.
O ISACA não é voltado somente para Segurança da Informação. Atualmente o foco da entidade é voltado para Governança de TI, onde segurança é um dos alicerces, porém o foco é o negócio, a razão de ser e existir das empresas.
O ISACA possui algumas certificações entre as quais se destaca o certificado CISM (Certified Information Security Manager) e o CISA (Certified Information Systems Auditor). Ambos com reconhecimento mundial do conhecimento e excelência dos profissionais que os possuem.
Na certificação CISM, o ISACA oferece como fonte de leitura e orientação à prova o livro CISM REVIEW MANUAL, que é editado a cada ano com as perguntas e respostas do ano anterior, porém o mesmo é uma ótima referência para estruturação de áreas de segurança da informação.
Gestão Da Segurança Da Informação
É um bom livro em português a respeito do tema. Bem explicativo e com um foco voltado a visão executiva da área de segurança.
Além disso, o autor possui ampla experiência no assunto.
O site do autor pode ser encontrado em :
http://www.semola.com.br/
O Marcos além de ser um fera em segurança da Informação, também possui habilidades extras em fotografias, merecendo destaque em seu site de sua coleção de fotos expostas. Bem interessante!
Outra excelente fonte é o site do ISACA (www.isaca.org) que oferece ao profissional de segurança oportunidade impar de conhecimento e também de troca de experiências.
No Brasil o ISACA possui algumas filiais (que são chamados capítulos) localizados em São Paulo e Rio de Janeiro (http://www.isaca.org.br/novoportal/) onde o profissional associado ao ISACA pode encontrar outros colegas de profissão além dos eventos patrocinados pela instituição.
O ISACA não é voltado somente para Segurança da Informação. Atualmente o foco da entidade é voltado para Governança de TI, onde segurança é um dos alicerces, porém o foco é o negócio, a razão de ser e existir das empresas.
O ISACA possui algumas certificações entre as quais se destaca o certificado CISM (Certified Information Security Manager) e o CISA (Certified Information Systems Auditor). Ambos com reconhecimento mundial do conhecimento e excelência dos profissionais que os possuem.
Na certificação CISM, o ISACA oferece como fonte de leitura e orientação à prova o livro CISM REVIEW MANUAL, que é editado a cada ano com as perguntas e respostas do ano anterior, porém o mesmo é uma ótima referência para estruturação de áreas de segurança da informação.
sábado, 11 de abril de 2009
Estruturar área de Segurança da Informção - 1 - levantamento do terreno
Esta etapa pode ser chamada de inventário do ativo de informação da organização.
Toda organização possui diversos ativos de informação:
- Audio-Visual (imagens, clips, peças publicitárias, etc)
- Escrita (textos, fórmulas, plantas, documentos contábeis,etc)
- Digital (quase tudo que hoje se produz em computadores, inclusive um blog como este!)
E todos estes ativos reprentam um esforço e investimento que houve por parte da organização em gerar, distribuir, recriar e por fim gerar um capital financeiro.
Analisando do ponto de vista estratégico, podemos dizer que um CAPITAL INTELECTUAL gerou um CAPITAL MATERIAL. Em outras palavras; tudo aquilo que um grupo de pessoas motivadas pelas mais diversas formas produziram com seus conhecimento, gerou um capital financeiro para a organização.
Logo, o levantamento do terreno se constitui em tarefas de mapear onde estão localizadas estas informações para passar para o próximo passo que é o mapeamento a que ameaças estas informações estão sujeitas.
No próximo post, iremos mais a fundo sobre maneiras de mapear o terreno.
Toda organização possui diversos ativos de informação:
- Audio-Visual (imagens, clips, peças publicitárias, etc)
- Escrita (textos, fórmulas, plantas, documentos contábeis,etc)
- Digital (quase tudo que hoje se produz em computadores, inclusive um blog como este!)
E todos estes ativos reprentam um esforço e investimento que houve por parte da organização em gerar, distribuir, recriar e por fim gerar um capital financeiro.
Analisando do ponto de vista estratégico, podemos dizer que um CAPITAL INTELECTUAL gerou um CAPITAL MATERIAL. Em outras palavras; tudo aquilo que um grupo de pessoas motivadas pelas mais diversas formas produziram com seus conhecimento, gerou um capital financeiro para a organização.
Logo, o levantamento do terreno se constitui em tarefas de mapear onde estão localizadas estas informações para passar para o próximo passo que é o mapeamento a que ameaças estas informações estão sujeitas.
No próximo post, iremos mais a fundo sobre maneiras de mapear o terreno.
Assinar:
Postagens (Atom)