Auditoria em Segurança da Informação como maneira de proteger os dados da empresa

Gerentes e analistas de TI sabem que a informação e os dados de uma empresa são ativos essenciais para o negócio, sendo peças valiosíssimas no meio corporativo. E o que devemos fazer com o que tem valor para nosso negócio? A resposta é simples: proteger.

Assim, entramos na esfera da Segurança da Informação, que nada mais é do que um conjunto de estratégias cujo objetivo é gerenciar ferramentas, processos e políticas necessárias para prevenir, detectar, documentar e agir contra ameaças à informação. Em resumo: Segurança da Informação é pensar na prevenção, ou seja, em estratégias para prevenir que algum dano seja causado aos dados da organização.

A definição de Segurança da Informação baseia-se no conceito de que um negócio sofrerá sérios danos se os dados perderem um de seus atributos: confidencialidade, integridade e disponibilidade. Sendo que:

  • Confidencialidade: está relacionada à inacessibilidade da informação para pessoas ou entidades não autorizadas,
  • Integridade: a informação só pode ser alterada e excluída com autorização,
  • Disponibilidade: somente usuários ou entidades autorizadas podem ter acessão ao sistema e/ou à máquina.

Qualquer vulnerabilidade que aconteça em um dos atributos pode representar uma ameaça, ou seja, um possível ponto de ataque de terceiros. Para se proteger dessas ameaças algumas medidas são necessárias. Utilizar Firewall é uma delas e falamos sobre isso neste artigo. Existe ainda a implementação de uma política de segurança, a qual se constitui em um documento que reúne regras, normas, métodos e procedimentos que todos os funcionários devem seguir.

Um outro exemplo de medida a ser tomada para proteger os dados da empresa é a realização de Auditoria em Segurança da Informação.

O que é e como acontece uma Auditoria em Segurança da Informação?

Uma Auditoria em Segurança da Informação é uma avaliação sistemática da segurança do sistema de informação de uma empresa. Basicamente, ela busca medir o quanto o sistema está em conformidade com um conjunto de critérios estabelecidos. Ou, ainda, podemos dizer que a Auditoria em Segurança da Informação conduz uma avaliação com o objetivo de garantir que processos e infraestrutura estejam atualizados.

Durante o processo de auditoria, auditores realizam entrevistas pessoais, varredura de vulnerabilidades, análise de configurações do sistema operacional, análises de compartilhamentos de rede e análise de dados históricos. A preocupação está em como as políticas de segurança estão sendo aplicadas.

Pontos verificados por uma Auditoria

Algumas questões que as Auditorias em Segurança da Informação devem tentar responder:

  • As senhas são difíceis de quebrar?
  • Há listas de Controle de Acesso (ACL) instaladas em dispositivos de rede para controlar quem tem acesso a dados compartilhados?
  • Há logs de auditoria para registrar quem acessa os dados?
  • Os registros de auditoria são revisados?
  • As configurações de segurança para sistemas operacionais estão de acordo com as práticas de segurança da indústria?
  • Todas as aplicações desnecessárias foram eliminadas para cada sistema?
  • São aplicados patches de sistemas operacionais e de softwares? Eles estão atualizados?
  • Como é armazenada a mídia de backup? Quem tem acesso a ela? É atualizada?
  • Existe um plano de recuperação de desastres?
  • Existem ferramentas de criptografia adequadas para criptografar banco de dados? As ferramentas foram configuradas corretamente?
  • As aplicações customizadas foram escritas com segurança? Como foram testadas?
  • Como as mudanças de configuração e código são documentadas? Como os registros são revisados ​​e quem conduz a revisão?

Claro que essas são apenas algumas das questões avaliadas em uma Auditoria em Segurança da Informação. Após a condução do processo a empresa poderá avaliar, de maneira realística, se a circulação dos dados e seu armazenamento ocorrem com toda a segurança necessária. A partir dessa avaliação a empresa estará apta a tomar atitudes mais certeiras quanto à proteção de um de seus preciosos ativos: a informação.

Não esqueça da Política de Segurança de TI!

Bom, o fato é que sem uma política de segurança não tem como conduzir uma auditoria para verificar a segurança das informações. Isso porque a política é o primeiro passo para o estabelecimento de estratégias.

Portanto, caso sua organização ainda não tenha dado esse passo, sugerimos a leitura do artigo Implementando uma política de segurança de TI em sua empresa, no qual apresentamos um roteiro que pode com contribuir com a tarefa.

Caso você tenha interesse em saber mais sobre Auditoria em Segurança da Informação, entre em contato conosco! Fique também de olho em nosso Blog Scurra TI para ficar por dentro de nossos artigos e novidades. E se este post foi útil para você, fique à vontade para compartilhá-lo com seus colegas.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *