Home / Blog / 12 valores que qualificam sua rede! Baseado na 27002 ABNT ISO/IEC!

12 valores que qualificam sua rede! Baseado na 27002 ABNT ISO/IEC!

12i Certifficação baseada 27002 Norma ABNT

O que fazemos para estar mais seguros? Como transformar a Equipe de TI em uma gestora com cultura de segurança da informação? Leia 12 valores que qualificam sua rede! Baseado na 27002 ABNT NBR ISO/IEC!

A cultura pode ser a questão. A Equipe de TI precisa ter autoridade e precisa estar alinhada com a direção da empresa, que é na verdade, quem determina a cultura. Os  primeiros a serem engajados na Segurança da Informação, são os diretores. A autoridade e transformação das ações em cultura de segurança, é uma atribuição de diretoria. A Equipe de TI precisa ser consultora, e é parte fundamental para a execução.

Este processo, que impõe transformação da cultura, tem que vir de cima, da diretoria, com respaldo e autoridade. A resistência dos usuários às regras e boas práticas, só serão minimizadas, se esta transformação, for atitude firme de gestão.

Idealizamos as condições:

 

  1. Verde (Acima de 95% das conformidades OK)
  2. Amarelo (Entre 60% e 95% das conformidades OK)
  3. Vermelho (Abaixo de 60% com as conformidades OK)

O relatório, além de gerar o SELO DE QUALIFICAÇÃO, também registra o que será preciso fazer para se adequar, criando um Compromisso de Ajustamento de Conduta. Embora seja um parecer VOLUNTÁRIO da empresa ou da direção, adequar-se as condições de boas práticas da segurança da informação, é uma questão de prevenção e de sobrevivência.

Quer saber como está a sua empresa, responda o questionário, não tem custo!

Também não haverá custo para emissão do Relatório de Qualificação 12i!

Selo 12i - Segurança da Informação Indicca

 

12 valores que qualificam sua rede! Baseado na 27002 ABNT NBR ISO/IEC!

1 – Políticas existentes

As políticas precisam estar descritas, qualificando o que se pode, o que não se pode fazer; 

As políticas definem as questões relacionadas a interação dos usuários com as informações da empresa e suas condições de privacidade

As políticas também definem a gestão de contingência, garantindo a sobrevivência do negócio diante de um desastre

2 – Ações e Atitudes implementadas (Segurança da Informação)

Uma vez que a política tenha definido o que se precisa fazer, resta executar

As ações e atitudes que forem implementadas precisam ser acompanhadas e monitoradas

3 – Gestão de ativos (Controle de Patrimônio; Monitoramento; )

O monitoramento é a parte mais crítica do processo, a rotina de gestão, precisa estar alinhada a visualização do status funcional dos equipamentos de rede

A gestão significa monitoramento

O monitoramento é a ação de prevenção que vai disparar protocolos de correção e até edições das políticas

A gestão é uma questão de gerar cultura de Segurança da Informação

Tenha cultura de Segurança da Informação Indicca

4 – RH

O setor que gerencia pessoas também precisa estar alinhado e entendendo das políticas e cultura da Segurança da Informação

O usuário que inicia na empresa ou que é desligado, no processo de aquisição ou de demissão tem ações para ser cumprida e customizada

O perfil do usuário define que tipo de direitos e restrição terá, sua assinatura (Login), as conformidades de Segurança da Informação que precisará aceitar e conviver; O setor de RH neste momento é um braço de apoio da TI

Este protocolo de alinhamento precisa estar alinhado com a diretoria e também com todas as áreas que vão estar tratando da Segurança da Informação, ou seja toda a empresa.

5 – Gestão de Ambiente (Segurança física)

Se definimos o perfil do usuário, seus direitos e suas restrições, controle de acesso é algo natural, precisa de existir;

Catracas interligadas a rede e gerando LOGs de movimentação, acesso, com tempo, data e tudo que for relacionado para que um processo de auditoria seja eficiente 

A segurança da informação será eficiente se a empresa tiver controle e gestão monitorada e assistida. Se jundo com está assistência houver tomada de decisão diante de falha no processo;

6 – Gestão de Contingência e segurança por aplicativos

Na segurança da Informação haverá proteção quanto ao acesso, quanto ao uso e monitoramento do que acontece. Haverá possibilidade de auditar e garantir responsabilidade para quem fizer ou deixar de fazer. 

É preciso ter cópias de segurança, plano de recuperação para desastre, evitando que seja improvisada a solução de recuperação; As cópias deverão estar formatadas de acordo com necessidade de tempo de recuperação. Algumas que tenham maior demanda de tempo para garantir a informação, deverão ser usadas no caso de haver dúvida da integridade das cópias de recuperação rápida.

Também é preciso ter proteção via aplicativos, automatizando a segurança contra Vírus e Ataques Cibernéticos ou não; 

Todo processo de gestão da contingência precisa ser transparente para os diretores e responsáveis pela informação, resguardado as condições de privilégios definida no perfil do usuário.

7 – Gestão de Acesso (Ampliado)

Uma vez que já temos alinhamento com o RH, gestão física de acesso, até mesmo a assinatura com dimensionamento de privilégios via login, agora podemos trabalhar a questão de Gestão de uso e acesso, criar um protocolo que além de monitorar, gere relatórios e avalie vulnerabilidades e/ou falhas de condutas;

A segurança da informação só será eficiente se minimizarmos as vulnerabilidades, se a cultura de segurança estiver ativa e operacional, se houver tomada de decisão de acordo com as políticas e sua interação com os usuários

8 – Aplicação (Processo + Continuado)

A aplicação, no seu processo de construção e customização, mesmo nas atualizações, precisará seguir os  protocolos e políticas de Segurança da Informação. As conformidades precisam estar alinhadas não apenas para os usuários, mas também com o código que garante a segurança dos dados e informações;

Como estar CERTO, dentro das Boas Práticas da Informática, e não ter correção dos Sistemas Operacionais, porque os mesmo não estão legais com os fabricantes? As licenças de Software precisam estar legais dentro das condições informadas pelo fabricante. Somente esta condição permitirá manter os aplicativos atualizados e corrigidos, e as falhas identificadas e publicadas, reduzindo assim, as condições de vulnerabilidade. 

A TI precisa ter a gestão das licenças, das versões e até das atualizações necessárias que precisam ser feitas no dia a dia, estando sempre alinhada com os fornecedores e suporte de suas aplicações. Sejam estas de tecnologia aberta ou não.

Como pedir aos usuários para fazer o certo, se está conduta não é seguida pela empresa diante dos fornecedores da mesma?

Tenha cultura de Segurança da Informação Indicca CIPA

9 – Gestão de Incidente

Fazendo uma similaridade com a CIPA, Comissão Interna de Proteção de Acidentes, a gestão de incidentes relacionadas a TI, precisam ser precisas. O controle pode servir para ações corretivas mais rápidas e implementação de atitudes preventivas que evitem reincidência de falhas conhecidas;

Uma vez aue se permita entender a estatística dos incidentes, poderá haver, não apenas implementações nas Políticas de prevenção, mas treinamento de uso, melhoria nos processos e até nas funcionalidades e/ou controles automáticos de proteção a falhas.

10 – Gestão de Continuidade

Com todas as conformidades alinhadas até agora, a continuidade é uma recorrência aplicada a sobrevivência. 

O valor da informação da empresa, pode garantir diferencial de valor no mercado. A confiança e confidencialidade, precisam estar garantidas e monitoradas;

As informações que garantem a operação funcionando, não podem se perder numa falha. A falta das informações que não forem recuperadas, poderá comprometer a condição financeira não tendo como cobrar, ou gerando perda de créditos, não tendo como efetuar pagamentos.

Muitos negócios dependem de prazos para apresentação de conformidades, como por exemplo, advogados, meio ambiente, processos com responsabilidade civil. A perda de dados, pode justificar a interrupção de uma operação e até de uma empresa. 

A continuidade depende da capacidade de recuperar os dados e informações da empresa, diante de uma falha. 

11 – Conformidades

O critério de conformidade resume um pouco de tudo, considerando a gestão, monitoramento desta condição de Segurança da Informação. 

O acompanhamento de regras que são impostas, como Conformidades Trabalhistas, ou Ambientais e ou de Segurança do Trabalho, precisam estar alinhadas com as regras e conformidades da Segurança da Informação e com as Boas Práticas impostas por estas conformidades.

O Selo 12i – Certificação de Conformidade baseado na 27002 ABNT NBR ISO/IEC é uma reflexão, baseada nas respostas de um usuário que tenha conhecimento da empresa e das regras que existem para que ele funcione.

Esta reflexão, busca melhorar a condição e criar um diferencial na garantia de continuidade do negócio, minimizando riscos. Valendo que o conhecimento pode justificar tomada de atitude, mudança na cultura e transformação robusta na direção da eficiência e qualidade de operação.

27002 ABNT NBR ISO/IEC

2 comentários

  • As políticas de boas práticas sempre foram deixadas de lado na cultura do TI nacional. Estamos trabalhando com algumas empresas multinacionais, nas quais podemos observar como essas normas são levadas à sério. Sendo assim, observamos que a adoção das práticas de segurança é um caminho certo e natural. Muitas dessas práticas já são adotadas em vários de nossos clientes. Faça um contato com a Indicca e saiba como deixar seu ambiente mais seguro.

Faça um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *