Olá amigos,
Todos nós que trabalhamos na área de tecnologia da informação sabemos o quão importante é para uma organização ter em mãos informações estratégicas, que farão dela líder de mercado. É atrás desse tipo de informação que muitas organizações jogam sujo para obter sucesso, e é para se proteger desse tipo de perigo que muitas empresas estão montando verdadeiros times (equipes) especializados em SEGURANÇA DA INFORMAÇÃO.
Nós na qualidade de profissionais da área de tecnologia da informação, temos o dever de orientar os responsáveis pelas decisões estratégicas do perigo ao qual estão expostos, e alerta-los das consequências da negligenciação de tais perigos.
Fazendo algumas pesquisas pela Internet pude perceber que não temos muitas informações sobre como montar um documento sugerindo a criação de um escritório de segurança da informação, e por isso resolvi postar esse artigo.
Gostaria de deixar bem claro que esse artigo é apenas uma sugestão, e fica a cargo do profissional responsável por redigir o documento acrescentar ou não mais informações.
Feitas as devidas considerações, vamos ao que interessa !!!
1) Primeiro passo: Conseguir o apoio da Diretoria.
A primeira coisa a se fazer é conseguir o apoio da diretoria, o que é extremamente complicado e exige muita habilidade. Quando falamos em apoio nos referimos a: investimento em tecnologia de ponta + investimento em mão de obra especializada + treinamentos e apoio político (para fazer valer o que o escritório definir). Tudo isso que acabamos de citar envolve muito dinheiro, e por isso temos que justificar muito bem a proposta que será apresentada.
1.1) Exemplo de proposta
Senhor(es) Diretor(es),
Apresentamos a esta Diretoria uma proposta de implantação de uma área de Security Office (Escritório de Segurança) para a nossa empresa.
Fazendo algumas pesquisas pela Internet pude perceber que não temos muitas informações sobre como montar um documento sugerindo a criação de um escritório de segurança da informação, e por isso resolvi postar esse artigo.
Gostaria de deixar bem claro que esse artigo é apenas uma sugestão, e fica a cargo do profissional responsável por redigir o documento acrescentar ou não mais informações.
Feitas as devidas considerações, vamos ao que interessa !!!
1) Primeiro passo: Conseguir o apoio da Diretoria.
A primeira coisa a se fazer é conseguir o apoio da diretoria, o que é extremamente complicado e exige muita habilidade. Quando falamos em apoio nos referimos a: investimento em tecnologia de ponta + investimento em mão de obra especializada + treinamentos e apoio político (para fazer valer o que o escritório definir). Tudo isso que acabamos de citar envolve muito dinheiro, e por isso temos que justificar muito bem a proposta que será apresentada.
1.1) Exemplo de proposta
Senhor(es) Diretor(es),
Apresentamos a esta Diretoria uma proposta de implantação de uma área de Security Office (Escritório de Segurança) para a nossa empresa.
Tal proposta se baseia no fato da empresa não possuir uma política de segurança da informação bem definida, e também auxiliar na prevenção de possíveis roubos de informações estratégicas para a organização, e na disseminação de vírus, trojans, e demais códigos maliciosos.
Como atualmente os dados de nossos clientes e fornecedores são nossos ativos mais importantes , devemos proteger fielmente tais informações, tornando nossa empresa mais competitiva e oferecer um diferencial para nossos futuros clientes.
Este documento contém todas as informações que deverão ser consideradas para realizar a implantação de um Security Office, bem como os seus custos operacionais e de pessoal envolvido e também os prazos dos projetos que farão parte desta implantação.
Estaremos à disposição para quaisquer dúvidas referentes a esta implantação e demais esclarecimentos operacionais.
Sem mais para o momento, aguardamos um retorno.
2) Segundo passo: Montar um documento com tudo o que deve ser considerado para montar um Escritório de Segurança.
Para tal podemos seguir a seguinte estrutura:
Este documento contém todas as informações que deverão ser consideradas para realizar a implantação de um Security Office, bem como os seus custos operacionais e de pessoal envolvido e também os prazos dos projetos que farão parte desta implantação.
Estaremos à disposição para quaisquer dúvidas referentes a esta implantação e demais esclarecimentos operacionais.
Sem mais para o momento, aguardamos um retorno.
2) Segundo passo: Montar um documento com tudo o que deve ser considerado para montar um Escritório de Segurança.
Para tal podemos seguir a seguinte estrutura:
-
Missão;
-
Objetivos;
-
Organograma do Security Office;
-
Atribuições dos profissionais;
-
Perfil dos profissionais;
-
Quantidade de profissionais;
-
Principais projetos;
-
Justificativa e conclusão (Mais detalhada).
2.1) Missão
Neste tópico você vai explicar para os diretores da empresa que tipo de trabalho será realizado no Escritório de Segurança da Informação. Para tal podemos tomar por exemplo o seguinte texto.
2.1.1) Exemplo de missão
A principal missão de nosso escritório será identificar, avaliar e administrar os riscos ás informações da organização. Considera-se de sua responsabilidade determinar dentre as opções existentes aquela que melhor se enquadra na redução dos riscos identificados na análise do ambiente de TI (Tecnologia da Informação).
2.2) Objetivos
No tópico de Objetivos iremos falar sobre o resultado de todo o trabalho realizado no cumprimento das missões.
2.2.1) Exemplo de Objetivos
Proteger toda as informações contra suas ameaças potenciais, de forma a manter a continuidade dos negócios, minimizando os danos e maximizando o retorno dos investimentos.
2.3) Organograma do Security Office
2.4) Atribuições dos profissionais
Nas atribuições dos profissionais descreveremos quais são as responsabilidades de cada membro do escritório.
2.4.1) Exemplo de Atribuições de profissionais
-
Chief Security Officer: Age como o diretor do setor, respondendo diretamente à diretoria da empresa, busca e define projetos, prioridades, delega tarefas aos coordenadores;
-
Coordenadores de Equipe: Coordenação de projetos, seleção de pessoal e equipes para a execução dos projetos de segurança;
-
Analistas de Segurança: São responsáveis pela realização de análises de riscos e definição de ativos. Implantação e configuração de hardware e software voltados à segurança;
-
Técnicos de Segurança: Implantação e configuração de hardware e software voltados à segurança;
-
Response Team: Equipe especializada em análise e tratamento de incidentes de segurança dentro da empresa, esta equipe pode ser formada por analistas e técnicos, tendo um conhecimento diferenciado, uma metodologia e procedimentos para a execução de tarefas críticas.
2.5) Perfil dos profissionais
Neste tópico definiremos o conhecimento e a experiência mínima que cada componente do escritório deve ter.
2.5.1) Exemplo de perfil dos profissionais
-
Chief Security Officer: Perfil executivo, tomador das decisões macro-estratégicas da companhia, responsável por buscar e apresentar projetos, participante da modelagem do plano diretor de segurança da informação da empresa, com formação generalista, experiências que cubram o espectro técnico e gerencial. Possuir habilidades de liderança e bom relacionamento interpessoal por ter que atuar na integração entre os diversos setores da empresa;
-
Coordenadores de Projeto: Formação universitária completa em cursos relacionados em T.I. (Engenheiros ou Analistas de Sistemas), especialização em segurança de sistemas, experiência em engenharia de software, gestão de segurança, gestão de pessoal, gestão de projetos, liderança, conhecimento em criação e definição de políticas de segurança, controles de defesa;
-
Analistas de Segurança: Os analistas devem possuir formação universitária completa na área de TI, experiência em instalação e configuração de controles de segurança de perímetro, conhecimento de políticas de segurança; Desejável especialização em segurança; Experiência em análise de vulnerabilidade, análise de riscos, projetos de segurança de perímetro, geração e implantação de normas de segurança, treinamento de pessoal;
-
Técnicos de Segurança: Formação a acadêmica voltada a TI, ou cursos específicos de segurança e/ou instalação e configuração de controles de segurança. Instalação, configuração de hardware e software, redes, sistemas operacionais;
-
Response team: formado por analistas e técnicos de segurança.
2.6) Quantidade de profissionais
Aqui definiremos a quantidade de cada grupo de profissionais que farão parte da equipe de especialistas.
2.6.1) Exemplo da quantidade de profissionais
OBS: Só lembrando que essa é apenas uma sugestão, a quantidade de funcionários varia de acordo com o tamanho e necessidade da empresa.
2.7) Principais projetos
Neste tópico definiremos os principais projetos que deverão ser implementados para montar uma infra-estrutura descente para o escritório funcionar corretamente.
Para cada projeto consideraremos os seguintes iténs:
- Objetivos;
- Custos;
- Prioridade;
- Prazo;
- Recursos.
2.7.1) Exemplo dos principais projetos
2.7.1.1) Esclarecimento da importância de segurança na empresa
-
Objetivos: Palestras educacionais de aproximadamente trinta minutos, para grupos de quinze a vinte funcionários. O treinamento será ministrado por dois analistas de segurança, com a finalidade de apresentar aos funcionários da empresa a nova área de segurança, seus objetivos e esclarecer sobre a necessidade e importância da colaboração de cada funcionário para com a segurança dos sistemas da empresa.
- Custos: Zero.
- Prioridade: Alta.
- Prazo: Uma semana de palestra.
-
Recursos: Auditório, 20 pessoas por palestra, Data show, 2 Analistas de Segurança.
2.7.1.2) Criação de uma política de restrição de máquina e de usuário
-
Objetivos: Aplicar uma política de restrição de máquina e de usuário, com o objetivo de restringir o acesso do usuário no seu equipamento e aplicar um perfil que atenda as necessidades de sua função. Com esta medida evitaremos a instalação de programas não autorizados e também modificações no ambiente operacional do usuário.
- Custos: Zero.
- Prioridade: Alta.
- Prazo: 15 dias.
-
Recursos: 2 Analistas de Segurança, servidores controladores do domínio e as estações de trabalho.
2.7.1.3) Implantação de firewall para proteção da rede interna
-
Objetivos: Criação de um firewall com filtragem de pacotes para proteção das redes internas.
-
Custos: Firewall XXX, modelo YYY que custa R$ 5.000,00, por ser altamente expansível para outras funcionalidades e de alta performance.
- Prioridade: Alta.
- Prazo: 30 dias.
- Recursos: 1 Analista de Segurança.
2.7.1.4) Criação de um servidor de antivírus corporativo
-
Objetivos: Proteção da rede interna com a criação de um servidor de antivírus corporativo.
-
Custos: R$ 5.335,31 para a compra de um Servidor XXX, modelo YYY, com processador ZZZ 1.6 Ghz, HD WWW de 160 Gigas com velocidade de 7.200 RPM, 4Gb de memória. R$ 2.000,00 para a aquisição do XXX-Antivirus Corporate Edition.
- Prioridade: Alta.
- Prazo: 45 dias.
- Recursos: 1 a 2 Técnicos de Segurança.
2.7.1.5) Implantação de uma política de restrição de acesso a Internet e e-mail externo
-
Objetivos: Formalizar o acesso à Internet e e-mail externo. Permitindo o acesso somente a usuários que a função exige. Esta medida melhora o acesso à Internet da empresa garantindo maior largura de banda para os usuários que realmente precisam do acesso.
- Custos: Zero.
- Prioridade: Média.
- Prazo: 60 dias.
- Recursos: 1 Analista de Segurança e 1 Servidor Firewall.
2.7.1.6) Instalação de um sistema de filtro de conteúdo
-
Objetivos: A produtividade é imprescindível para a empresa, e para isso o acesso racional dos recursos de rede é fundamental. Com o sistema a empresa terá um controle das páginas visitadas e o poder de restringir categorias não necessárias à função do usuário.
- Custos: R$ 25,00 por usuário.
- Prioridade: Média.
- Prazo: 90 dias.
-
Recursos: 1 Analista de Segurança, 1 Servidor para instalar o serviço de filtro de conteúdo Web XXX.
2.7.1.7) Segmentação da rede com VLANs
-
- Custos: Zero (se já existirem switches na empresa).
- Prioridade: Média.
- Prazo: 120 dias.
-
Recursos: 4 Técnicos de Segurança e 4 Analistas de Segurança.
2.8) Justificativa e conclusão (Mais detalhada)
Aqui iremos justificar de forma mais detalhada a necessidade de uma equipe dedicada de segurança. Podemos acrescentar gráficos, tabelas comparativas e outros recursos para simplificar o entendimento da diretoria.
2.8.1) Exemplo de justificativa e conclusão
Hoje, ameaças tais como ataques externos de hacker, indisponibilidade de serviços ou equipamentos, infecções por vírus, programas maliciosos, funcionários descontentes, incêndio, ataque terrorista entre outros, podem impactar drasticamente a produtividade da empresa.
São ameaças à integridade, disponibilidade e confidencialidade que colocam em risco a continuidade dos negócios.
Analisar os recursos estratégicos de uma empresa, criar políticas de segurança adequadas, definir o nível de risco dos ativos e apresentar propostas que minimizem o impacto em caso de ocorrência de um incidente, são os principais desafios designados à área de Security Office.
Devido ao acesso a informação que a equipe se Security Office terá, concluímos que por questões de segurança o mais indicado é a criação de uma equipe interna.
É claro que não descartamos a possibilidade de utilizar empresas externas para a execução de certos projetos relacionados com a segurança, mas não o gerenciamento da estrutura do Security Office.
Desta forma a equipe interna terá melhor autonomia para adequar certos padrões de segurança ao perfil da organização.
2.9) Complementos
Para enriquecer o seu projeto segue abaixo uma lista de sites interessantes:
1 comentários:
artigo muito bem feito, parabens!!!
Postar um comentário