1. Home >
  2. Colunas >

Arquitetura de segurança da informação

Author Photo
9:51 am - 14 de agosto de 2013

No artigo anterior comentei sobre a arquitetura corporativa. Conforme prometido, neste artigo falo sobre a arquitetura de segurança descrevendo de uma forma simples seus principais elementos. Uma arquitetura de segurança da informação deve:* possibilitar que os controles de proteção sejam implementados de forma estruturada,* ser padronizada para todas as plataformas de tecnologia,                    * considerar todos os tipos de usuários,    * atender de forma corporativa os requisitos legais,        * garantir que o acesso à informação utilize autenticação e autorização semelhantes em todos os ambientes,      * considerar a necessidade da disponibilidade dos recursos de informação para a realização do negócio corporativo,   * ter flexibilidade para manter a efetividade da proteção, e    * estar visceralmente comprometida com os requisitos do negócio. Quando se busca uma arquitetura se deseja que exista uma solução (ou estrutura de solução) que seja válida para a corporação e não apenas para departamentos específicos que quando considerados juntos, a solução parece um conjunto de retalhos diferentes costurados de maneira artesanal. Cada organização deve construir a sua arquitetura de segurança. O que existe em comum entre as empresas são os tipos de elementos que devem ser considerados nessa arquitetura. Citamos abaixo alguns desses tipos. a) Estrutura básica.                                                                               É necessário que uma arquitetura tenha uma base teórica. A utilização da Norma ISO 17799 (ou com seu novo nome ISO 27002) é uma boa opção. b) Diversas plataformas                                                                         Os controles de segurança devem ser possíveis de serem implementados em todas as plataformas de tecnologia, evidentemente considerando as características e limitações de cada plataforma. c) Gestão de usuário                                                                             A identidade do usuário é a ligação da pessoa real com o usuário virtual. Esse elemento (identidade) precisa ter uma gestão que garanta os controles adequados para o seu nascimento, sua existência na organização e seu encerramento como usuário válido. d) Gestão de acesso à informação                                                        As regras para a liberação (e posterior cancelamento) de acesso à informação bem como a possível ferramenta de tecnologia que implementará esse controle, formam um conjunto de ações que necessita estar definido na arquitetura. e) Conformidade                                                                                   Os aspectos legais e outros requerimentos que a organização deve seguir obrigatoriamente, devem ser considerados em uma visão corporativa possibilitando uma única implementação. Questões que atinjam áreas específicas, continuam tendo uma abordagem corporativa porém com uma implementação específica. f) Continuidade de negócio                                                                   O processo de identificação da necessidade da organização em relação ao tempo de recuperação dos recursos de negócio quando de situações de contingência quando da ocorrência de  um desastre, deve ser comum a todas as áreas da organização e considerar soluções corporativas, mesmo que a aplicação seja pontual. g) Produtos de segurança                                                                     A implementação de vários aspectos citados acima, exige a utilização de programas produto que devem estar alinhados com a arquitetura técnica e arquitetura de sistemas. h) Comprometimento com o negócio                                                    Devem existir ações formalizadas que garantam que os controles de segurança estão visceralmente interligados às necessidades do negócio. Participação no desenho da implementação de novos negócios, conhecimento dos planos estratégicos da organização e forte interação com a Governança Corporativa e Governança de TI são ações concretas que possibilitam garantir que as ações de segurança existem para sustentar a realização do negócio. i) Pessoas                                                                                              A responsabilidade de cada usuário deve estar atrelada às funções profissionais na organização. O cumprimento das regras estabelecidas deve ser um fator considerado na avaliação de cada pessoa. O processo de treinamento e conscientização em segurança da informação é corporativo e faz parte do programa de capacitação em recursos humanos da organização. A definição dos itens descritos acima constrói uma arquitetura de segurança da organização. Lembro que não existe uma arquitetura de segurança única. Existem elementos comuns que devem ser considerados na construção de uma arquitetura de segurança. Evidentemente você pode identificar algum aspecto que não considerei (por esquecimento ou por prioridade) e que em sua opinião deve ser considerado. Minha sugestão é que você acrescente o mesmo e defina como esse elemento deverá ser preenchido/definido. Uma arquitetura é uma estrutura que possibilita a existência de controles com abordagem sistêmica e busca soluções corporativas. Uma ferramenta pode implementar uma arquitetura definida. Isto deve acontecer sempre nesta seqüência: definição de arquitetura e depois a ferramenta. Nunca deve ser ao contrário! Edison Fontes, CISM, CISA Gerente Senior CPM Braxis. Associado InfoSec Council, ABSEG e ISACA. [email protected]  

Notícias relacionadas

Notícias
IT Forum e Deloitte anunciam parceria para o Prêmio Executivo de TI de 2024
Notícias
Projeto de energia solar na Amazônia receberá US$ 25 mil da Nextracker
Notícias
Clicksign anuncia nova marca e quer dobrar receita em 2024
Notícias
Fraudes de identidade são percebidas por 80% dos usuários na América Latina
Ver todas as noticias

Newsletter de tecnologia para você

Os melhores conteúdos do IT Forum na sua caixa de entrada.