Geekly articles weekly

Estratégia de segurança da informação: você decidiu como seguir em frente?

Olá Meu nome é Anton Udovichenko, sou o chefe do departamento de auditoria de infosegurança. Com base na minha experiência, preparei instruções sobre como desenvolver uma estratégia de segurança da informação em uma empresa.


O desenvolvimento de uma estratégia de segurança da informação (SI) para muitas empresas parece ser uma tarefa difícil, tanto do ponto de vista da organização do próprio processo de desenvolvimento quanto da subsequente implementação prática da estratégia. Algumas empresas dizem que podem fazer sem planejamento formal, sem perder tempo e energia na elaboração de planos, justificando isso por rápidas mudanças no mercado de tecnologia que cruzam todos os seus esforços. Dada a presença de ações efetivas, essa abordagem pode levar a algum sucesso, no entanto, não só não garante sucesso no futuro, mas também coloca sérias dúvidas. O planejamento formal reduz significativamente o risco de tomar decisões erradas e serve como base para o controle subsequente e também ajuda a aumentar a prontidão para mudanças no mercado.

Como regra geral, surge a necessidade de uma estratégia de segurança da informação para empresas que já se sentem confiantes o suficiente no mercado para fazer planos para os próximos anos, mas que enfrentaram os seguintes desafios:

  • falta de correlação entre os objetivos estratégicos da empresa e as direções do desenvolvimento da segurança da informação;
  • nível insuficiente de segurança da informação dos principais processos de negócios da empresa;
  • baixo retorno do investimento no desenvolvimento da segurança da informação.

A estratégia de desenvolvimento de SI deve ser considerada como algum tipo de mapa que define pontos de referência no terreno e direciona para o objetivo. Ele permite que você alcance metas gerenciáveis, definindo limites e prioridades para decisões táticas para os responsáveis ​​pelo desenvolvimento da empresa e / ou áreas individuais. Note-se que a estratégia de segurança da informação não deve ser estática e, à medida que o fator de incerteza diminui com o tempo, a estratégia deve ser revisada e, se necessário, ajustada, estabelecendo novas prioridades para as decisões táticas.

Para quem é de interesse uma estratégia de segurança da informação?


Alguns acreditam erroneamente que a estratégia de SI é necessária apenas pelos responsáveis ​​por garantir o SI. De fato, há muito mais usuários da estratégia de SI e todos têm seu próprio interesse, os principais são:

Gestão da empresa:

  • compreender o papel da segurança da informação na implementação do conceito geral de desenvolvimento da empresa;
  • garantir coerência com a estratégia de desenvolvimento de toda a empresa;
  • entendimento dos objetivos e volume de investimentos em segurança da informação;
  • distribuição racional de investimentos;
  • ferramentas para monitorar a consecução dos objetivos.

Serviço de Tecnologia da Informação:

  • entender o papel da segurança da informação no desenvolvimento de uma empresa de TI;
  • entendimento dos requisitos por parte do IS para a arquitetura de TI de destino.

Serviço de Segurança da Informação:

  • a presença de princípios uniformes para o desenvolvimento da segurança da informação;
  • entendimento da arquitetura de destino da empresa de segurança da informação;
  • disponibilidade de um plano de ação detalhado (portfólio de projetos);
  • uma compreensão clara dos recursos necessários;
  • conformidade com a legislação e os padrões da indústria em relação à segurança da informação;
  • ferramentas para monitorar a consecução dos objetivos de SI.

O procedimento para desenvolver uma estratégia de segurança da informação


Antes de considerar as principais etapas do desenvolvimento de uma estratégia, você precisa determinar o critério de qualidade da estratégia de SI e, consequentemente, com o objetivo de desenvolvê-la, é obter respostas completas para três perguntas:

  • Quais são os objetivos estratégicos para o desenvolvimento da segurança da informação, como esses objetivos se correlacionam com os objetivos estratégicos da empresa?
  • Qual é o perfil futuro (status) da empresa de segurança da informação?
  • Quais ações precisam ser tomadas para alcançar os objetivos estratégicos do desenvolvimento da segurança da informação?

Etapa 1. Preparação. Para começar, determinaremos os parâmetros e a ordem do gerenciamento de projetos.

Principais tarefas a serem resolvidas:

  • criar uma equipe de projeto e estabelecer metas;
  • coordenação da estrutura dos dados coletados e adaptação dos modelos;
  • coordenação dos limites do projeto, estrutura e conteúdo dos documentos de relatório;
  • coordenação do processo de gerenciamento de projetos
  • determinação do procedimento para resolver problemas emergentes;
  • preparação e aprovação de um plano de trabalho.

Nesta fase, de fato, você precisa definir os principais fatores para o sucesso e alcançar os resultados desejados, a saber:

  1. Envolvimento da gerência no projeto: o desenvolvimento e a implementação da estratégia de segurança da informação devem, em primeiro lugar, ser apoiados pela gerência da empresa, que deve ser responsável por monitorar o andamento dos trabalhos, alocar os recursos necessários, bem como pela subsequente aprovação da estratégia desenvolvida.
  2. Formação da equipe do projeto: sua composição deve incluir os funcionários mais competentes e permanecer inalterada durante todo o projeto. As seguintes unidades organizacionais são diferenciadas no projeto:
    • Curador do projeto da contratada;
    • Curador do projeto por parte do Cliente;
    • comitê de direção;
    • Gerente de Projetos por parte do Empreiteiro;
    • o chefe do grupo de trabalho por parte do Cliente;
    • Equipe de projeto do contratado;
    • especialistas funcionais do lado do cliente.

  3. Declaração clara de metas, requisitos, limitações e critérios para o sucesso do projeto, que seguirão rigorosamente a direção certa e atenderão às expectativas do cliente.
  4. Desenvolvimento de um procedimento de gerenciamento de projetos: os processos de comunicação e tomada de decisão garantem a interconexão e interdependência de todas as funções de gerenciamento, alcançando a integridade e a eficácia do processo de gerenciamento. O procedimento deve prever a distribuição de poderes e responsabilidades, o procedimento para a interação dos participantes, o procedimento para coordenar os resultados intermediários e finais, o procedimento para gerenciar problemas e fazer alterações no projeto.

O resultado dessa etapa deve ser:

  • carta do projeto, cronograma de trabalho, cronograma das entrevistas necessárias;
  • estrutura de documentos e modelos de relatório para coleta de dados / documentos de relatório.

Etapa 2. Análise do estado atual da segurança da informação. O objetivo do estágio é coletar e analisar a ordem e os métodos de processamento de informações do ponto de vista da segurança da informação, o estado atual da segurança da segurança da informação.

Principais perguntas a serem respondidas:

  • Qual é o papel da segurança da informação em uma empresa?
  • Quais requisitos são a base para o funcionamento da empresa de segurança da informação?
  • Qual é o estado atual dos processos de segurança de SI?
  • Quais ferramentas de proteção de informações são usadas, seus prós e contras?
  • Quais são os requisitos de uma empresa para fornecer segurança da informação?

O estabelecimento do papel da segurança da informação na empresa define o contexto geral para o desenvolvimento de uma estratégia e é realizado em todos os níveis: gerenciamento, chefes de departamento e funcionários.

As informações são coletadas nas seguintes áreas:

  • o nível de cultura de segurança da informação na empresa;
  • É prioridade em relação aos processos de negócios;
  • o impacto da segurança da informação nos processos de negócios da empresa;
  • conscientização da gerência sobre a necessidade de segurança da informação;
  • grau de envolvimento e conscientização dos funcionários sobre questões de segurança da informação.

O próximo passo é identificar os requisitos que a empresa é obrigada a seguir ou em que decidiu voluntariamente se concentrar. Os requisitos, em essência, são a base para o funcionamento da segurança da informação, incluindo: legislação, padrões do setor, padrões nacionais e internacionais de segurança da informação, políticas de um grupo de empresas, etc.

A etapa de examinar e analisar os processos de segurança da informação é essencial, determinando amplamente o resultado de todo o projeto. Sua complexidade está na necessidade de obter informações confiáveis ​​e objetivas, suficientes para formar o futuro perfil de segurança das informações, por regra, por um tempo muito limitado. É possível distinguir três abordagens conceituais: básica, detalhada e combinada (especialista).

Abordagem básica

A abordagem envolve a análise do estado de segurança da informação para verificar se há algum nível básico de segurança. O nível básico é um determinado conjunto padrão de medidas de proteção, como regra, característica das empresas que operam no mesmo campo, para a proteção de todos ou de sistemas de informações individuais. Um conjunto típico de medidas de proteção é formado com base nas necessidades das empresas de usar algumas medidas padrão, por exemplo, para cumprir com os requisitos legais, bem como para proteger contra as ameaças mais comuns.

A abordagem básica permite gerenciar a quantidade mínima de recursos durante a análise, podendo ser implementada mesmo na forma de listas de verificação com perguntas sobre a disponibilidade de determinadas medidas e os parâmetros para sua implementação. Uma desvantagem significativa dessa abordagem é a imprecisão e as limitações das informações coletadas, pois o nível básico nem sempre pode corresponder à criticidade das informações processadas, à especificidade de seus sistemas de informação e processos de negócios. Sistemas separados de uma empresa podem ser caracterizados por diferentes graus de sensibilidade, diferentes volumes e valor das informações; o uso de medidas gerais de proteção nesse caso será logicamente incorreto.

Abordagem detalhada

Uma abordagem detalhada envolve uma pesquisa abrangente dos processos de processamento de informações e a garantia da segurança das informações da empresa. Essa abordagem inclui a identificação e avaliação de ativos de informação, a avaliação dos riscos de violação de SI, a avaliação da maturidade dos processos de SI, a análise de estatísticas de incidentes, a análise de análises públicas e relatórios regulatórios.

Os resultados de uma análise detalhada tornam possível fazer uma escolha bem fundamentada de medidas de proteção ao formar o perfil futuro de segurança da informação; no entanto, a implementação dessa abordagem exige uma quantidade significativa de dinheiro, tempo e mão de obra qualificada. Além disso, há alguma probabilidade de obsolescência dos resultados da pesquisa, pois essa abordagem pode exigir um tempo considerável.

Abordagem combinada (especialista)

A aplicação de cada uma das abordagens descritas acima tem limitações significativas e nem sempre permite coletar informações suficientes por um tempo aceitável para desenvolver razoavelmente uma estratégia de segurança da informação e formar um portfólio de projetos. Portanto, na prática, várias combinações dessas abordagens são usadas, incluindo métodos formais de análise e experiência prática de especialistas. Como regra, essa abordagem é baseada em uma análise preliminar para uma avaliação de risco de alto nível das violações da segurança da informação, dada a criticidade das informações (confidenciais), os fluxos de informações e a importância dos sistemas de informações. No futuro, uma análise detalhada é realizada para sistemas de informação de alto risco; para outros, pode ser limitada pela abordagem básica. Além disso, é realizada uma análise e descrição detalhadas dos principais processos de segurança da informação, bem como uma avaliação das ferramentas e métodos utilizados para proteger as informações, seus prós e contras.

Essa abordagem permite, com o mínimo de tempo e esforço despendido na identificação do estado atual, obter os dados necessários para formar o perfil futuro da segurança da informação. Deve-se notar apenas que a objetividade e a qualidade dos resultados da pesquisa nessa abordagem serão determinadas pela qualidade da metodologia da pesquisa e pela experiência de seu uso por especialistas.

Além disso, vale dizer que a escolha dos métodos de pesquisa e o grau de envolvimento dos funcionários serão determinados pela abordagem utilizada e pela metodologia da pesquisa. Por exemplo, a abordagem básica pode ser limitada à análise de documentos internos e perguntas com um certo número de entrevistas de funcionários-chave, enquanto as outras duas abordagens envolvem um número maior de funcionários e uma ampla gama de ferramentas:

  • análise de documentos internos;
  • questionamento;
  • entrevistas;
  • inspeção visual;
  • exame por meios técnicos especializados.

No final deste estágio, independentemente da abordagem escolhida, você deve esperar:

  • opinião de especialistas sobre o nível de desenvolvimento da empresa de segurança da informação;
  • avaliação integral do estado atual da segurança da informação;
  • Descrição dos requisitos comerciais para segurança da informação;
  • relatório e apresentação dos resultados do estágio.

Etapa 3. Desenvolvimento do perfil de destino da segurança da informação. Nesta fase, as seguintes tarefas principais são resolvidas:

  • garantir o relacionamento entre os objetivos estratégicos da empresa e as direções do desenvolvimento da segurança da informação;
  • formulação de princípios básicos da estratégia de segurança da informação;
  • determinação do perfil futuro da empresa de segurança da informação.

Um dos principais obstáculos ao desenvolvimento de uma estratégia de segurança da informação em termos de gerenciamento das expectativas da alta administração é a falta de condições iniciais claras, a saber, a estratégia de desenvolvimento da empresa com uma descrição clara de todos os aspectos em termos compreensíveis. Na prática, como regra, existe a ausência de uma estratégia de desenvolvimento para a empresa como tal, ou ela não é formalizada e, na melhor das hipóteses, pode ser formulada em palavras.

O problema da falta de uma estratégia de desenvolvimento para a empresa é resolvido pelos esforços conjuntos dos representantes de negócios, TI e SI no desenvolvimento de uma visão comum das tarefas de SI, levando em consideração os seguintes fatores:

  • que iniciativas são planejadas em toda a empresa, incluindo mudanças organizacionais, desenvolvimento de mercado e tecnologia;
  • que mudanças são planejadas nos negócios e nos processos de TI;
  • que decisões importantes dependem da confiabilidade, integridade ou disponibilidade das informações ou de seu recebimento oportuno;
  • que tipos de informações confidenciais requerem proteção;
  • que consequências podem ocorrer para a empresa após a ocorrência de um incidente de segurança da informação;
  • que mudanças no ambiente externo podem ser esperadas, incluindo as ações dos concorrentes, mudanças na legislação etc.

As respostas a essas perguntas podem ajudar a formular os objetivos de fornecer segurança da informação na empresa. Por sua vez, deve-se ter em mente que, para cada iniciativa ou ação proposta, devem ser avaliados os resultados possíveis ou desejados, os riscos de sua implementação, bem como os riscos em caso de recusa em implementar.

De fato, os princípios básicos da estratégia de SI determinam o conjunto de regras globais que devem ser seguidas ao construí-la, bem como ao escolher e implementar soluções. Os princípios são formulados dependendo dos objetivos estratégicos, processos da empresa, oportunidades de investimento, etc., portanto, geralmente são individuais para a empresa. Destacamos alguns princípios universais:

  • Integridade de SI: as soluções de software e hardware aplicáveis, bem como as medidas organizacionais, devem ser mutuamente acordadas e fornecer um nível especificado de segurança;
  • padronização e unificação: a variedade de tecnologias utilizadas deve ser minimizada, a fim de reduzir os custos de manutenção de conhecimentos e decisões, sua coordenação e integração, licenciamento e manutenção;
  • facilidade de uso: os métodos e meios utilizados para fornecer segurança da informação não devem levar a um aumento no número de ações errôneas do pessoal, enquanto esse princípio não significa simplicidade da arquitetura ou diminuição da funcionalidade;
  • privilégios mínimos: a essência do princípio é a alocação de menos direitos, o que não deve levar a uma violação do trabalho do usuário;
  • eficiência econômica: as soluções aplicadas devem se esforçar para reduzir o custo total de propriedade, aumentar o retorno do investimento e otimizar outros indicadores para avaliar a eficiência econômica dos investimentos.

A formação do futuro perfil de segurança da informação é a solução para várias tarefas parcialmente conflitantes:

  • cumprir os requisitos de segurança da informação (legislação, reguladores, fabricantes, parceiros etc.);
  • minimizar os riscos de violação do SI;
  • garantir a conformidade com as metas de negócios, levando em consideração as mudanças previstas nos processos de negócios e de TI;
  • proporcionar atratividade ao investimento em segurança da informação.

Existem muitos padrões, internacionais (ISO, COBIT, NIST, etc.) e russos (STO BR, GOST, etc.), que podem ser adotados na formação do futuro perfil de segurança da informação. No entanto, é importante lembrar aqui que nenhum padrão pode ser totalmente aplicado a todas as empresas. Portanto, você não deve desenvolver uma estratégia baseada apenas em um padrão específico ou fazer tudo sob a cópia carbono. Na análise final, todos os componentes do processo de segurança da informação devem se encaixar organicamente na lógica do desenvolvimento de negócios: por um lado, não restringe demais o desenvolvimento e, por outro, mantém os riscos dentro dos limites especificados.

Uma questão importante que também precisa ser considerada como parte da estratégia de SI é o número e as qualificações do pessoal, necessárias para garantir o cumprimento das funções básicas.Pelo menos, o modelo de competência mais simples deve ser desenvolvido, o que, além das responsabilidades do trabalho, determinará o conhecimento e as habilidades organizacionais e do setor necessários para a equipe. Ao desenvolver uma estratégia de segurança da informação, é melhor oferecer apenas as soluções que exigirão competências subsequentemente disponíveis para a empresa ou pelo menos competências que podem ser obtidas com o mínimo de esforço.

, , — . , , . , , , , , . .

:

  • , ;
  • ;
  • ;
  • .

4. . . , , .

: -, -, . IT/ - , , , , , . , . . : , -, . :

  • ;
  • ;
  • ;
  • .

, . . , , :

  • ;
  • .

, — , ? . , , , . , -. , .

:

  • ;
  • « » ;
  • ;
  • ;
  • .




, , .

.

« », , . , , — , «». , , .

.

- — , , () . , . , , .

.

, , , . , , .

.

, . , , .

, , . , .


, , . , , . , , — .

Source: https://habr.com/ru/post/pt441920/

More articles:


All Articles