*Por Julliana Nunes
Com o uso cada vez mais intenso e amplo da TI, os sistemas informatizados vêm crescendo significativamente, incrementando sua complexidade e interconectividade, mudando a forma em que as organizações conduzem seus negócios e induzindo maior vulnerabilidade a ameaças internas e externas.
Consequentemente, tornou-se necessário a estruturação e monitoração de controles para mitigar os riscos relacionados à TI, sendo esse o objetivo do ITGC – Information Technology General Controls, controles gerais da tecnologia da informação.
ITGC – CONTROLES GERAIS DA TECNOLOGIA DA INFORMAÇÃO
Existem 6 principais controles gerais da tecnologia da informação:
- Gestão de acesso físico e lógico;
- Gerenciamento de mudanças;
- Gerenciamento de incidentes;
- Gerenciamento de backup;
- Ambiente físico;
- Continuidade de negócio.
Esses controles devem ser definidos, aplicados e monitorados continuamente por meio de auditorias internas e/ ou externas, com intuito de sempre melhorar sua eficiência e maturidade, acompanhando e seguindo frameworks como ISO 27001, NIST e melhores práticas do mercado.
Além dos controles é de extrema importância que os processos sejam documentados em políticas, normas ou manuais, estabelecendo as diretrizes e objetivos a serem seguidos e regras a serem cumpridas por todos da organização e partes interessadas.
GESTÃO DE ACESSO FÍSICO E LÓGICO
O controle de acesso físico e lógico consiste nos processos de conceder, revogar, alterar e revisar todos os acessos da organização. As solicitações de acessos devem ser formalizadas por meio de formulários, e-mail ou ferramenta, e aprovadas pelos gestores responsáveis. Com isso, a organização se resguarda e se protege de atividades executadas indevidamente pelos colaboradores e terceiros com acesso a seu ambiente
Para usuários afastados ou desligados da organização, as revogações dos acessos devem ocorrer tempestivamente evitando acesso indevido às informações críticas. As revisões periódicas garantem que erros no processo da gestão de acesso sejam detectados e corrigidos garantindo que os acessos estejam de acordo com as necessidades do usuário e aderentes as necessidades do negócio.
GERENCIAMENTO DE MUDANÇAS
O gerenciamento de mudanças baseia-se num processo formal para todos os sistemas críticos da organização onde determina as exigências para realização de mudanças rotineiras e emergenciais no ambiente de produção de sistemas corporativos. Esse processo deve apresentar, no mínimo, níveis de aprovações, relatórios de mudanças realizadas, emergenciais e homologadas bem como assegurar a realização de testes em ambientes segregados da produção sendo necessário manter um registro de aprovações antes da implantação no ambiente de produção.
Deve ser estabelecido por meio de um fluxo padrão o atendimento para executar as mudanças de infraestrutura contendo minimamente critérios para a classificação de impacto e urgência das mudanças, aprovações das áreas de negócios, prazos estabelecidos para execução e encerramento das mudanças.
A ausência desses procedimentos pode ocasionar em mudanças não autorizadas, aumentando o risco de sistemas em desacordo com as necessidades da organização e instabilidade no ambiente de produção.
GERENCIAMENTO DE INCIDENTES
São considerados incidentes de segurança da informação e segurança cibernética todas as situações de ataques e de violação ou descumprimento dos controles de proteção de informações que coloquem em risco os dados, sistemas e equipamentos de TI da organização, fazendo-os ficarem indisponíveis, funcionarem de maneira incorreta, imprecisa ou permitindo o acesso indevido por pessoas não autorizadas, afetando a confidencialidade, disponibilidade e integridade dos ativos e informações.
Para o tratamento de incidentes e problemas, os eventos devem ser registrados de forma efetiva, permitindo a realização de uma análise crítica, a fim de mitigar o impacto sobre o ambiente da organização, visto que a análise destes incidentes propicia a criação de soluções duradouras, diminuindo a incidência de problemas e aumentando a estabilidade dos serviços de TI.
Procedimentos internos contendo o plano de ação e resposta a incidentes de TI e segurança da informação detalhando todas as etapas de identificação devem ser documentados, assim como, classificação de incidentes, tempos de reação e resolução por prioridade (SLA), tipologias que podem ser registrados, grupos solucionadores, medidas para mitigação, investigação e educação das equipes de tratamento.
GERENCIAMENTO DE BACKUP
Os procedimentos e rotinas devem estar formalizados para a realização de backup e restore, possibilitando a continuidade das operações em casos de emergência em que os operadores responsáveis não estejam presentes ou em uma eventual falha do backup.
Os testes de restore devem ser elaborados e executados periodicamente sendo importante documentar os resultados obtidos, considerando informações como responsável pela documentação, data da realização, hora da execução e identificação da mídia recuperada.
As das fitas de backup devem ser armazenadas em local apropriado e segregado do ambiente de TI, visando à continuidade das operações em caso de paradas não previstas e necessidade de recuperação de dados. Usualmente, as empresas contratam empresas especializadas na salvaguarda das fitas, mantendo procedimentos de retirada e entrega das fitas de acordo com as políticas estabelecidas pela empresa contratante.
AMBIENTE FÍSICO
Os controles de ambiente físico visam manter medidas de segurança ao acesso ae equipamentos críticos que estão armazenados nos ambientes que contém informações críticas da organização como o Data Center.
Todas as atividades dentro desses ambientes devem ser monitoradas e previamente autorizadas por um colaborador responsável e somente pessoas necessárias devem ter acesso a essas instalações.
Para aprimoramento da segurança do ambiente de controle do Data Center, existem equipamentos que podem ser implementados, como:
- Equipamento condicionador de ar redundante;
- Porta corta fogo, que visa proteger de forma total o Data Center contra incêndio;
- Controle interno de temperatura, umidade e detecção antecipada de fumaça;
- Sistema de detecção e contenção de incêndio automatizado;
- Nobreaks e Gerador de energia;
- Racks para armazenamento dos servidores;
- Extintor de incêndio CO2 próximo a porta;
- Câmeras de segurança;
- Piso elevado.
É necessário definir uma periodicidade de manutenção preventiva e corretiva para que os equipamentos operem corretamente sem nenhum imprevisto.
Ademais, banco de dados, estações de trabalho, provedores e servidores devem conter configurações de firewall, redundâncias para continuidade de negócios e análises periódicas de vulnerabilidade para maior segurança. Assim como é necessário monitorar a capacidade das CPUs, memórias, discos, serviços com o objetivo de determinar suas mudanças na utilização dos recursos da rede. Uma vez mapeadas estas mudanças, é possível conduzir um planejamento mais preciso a longo prazo em relação a recursos adicionais.
CONTINUIDADE DE NEGÓCIO
Em função da crescente dependência das empresas em relação aos seus sistemas computadorizados de processamento de dados para conduzir e executar as atividades do negócio, se fez necessário por meio da consolidação de informações a definição de planos de continuidade, gerenciamento de crises e recuperação de desastres. O intuito da estruturação desses processos para a gestão da continuidade de negócios da organização é:
- Garantir a continuidade do processamento de dados mediante a eventuais desastres ou impactos;
- Minimizar perdas decorrentes da interrupção das atividades usuais de processamento de dados;
- Manter em níveis aceitáveis o número de decisões tomadas sob pressão num eventual desastre ou contingência.
A preparação de um plano de contingência deve contemplar minimamente os possíveis desastres e contingências potenciais, identificar os aplicativos computadorizados considerados críticos para a organização para priorizar sua restauração, elaborar procedimentos específicos a serem seguidos em caso de desastre ou contingência. Executar testes periódicos e simulações emergenciais visando garantir a efetividade dos controles e das diretrizes estabelecidas em documentações, realizar a melhoria contínua nos processos estruturados e acompanhar e tratar os riscos identificados através de planos de ação.
CONSIDERAÇÕES FINAIS
A aplicação dos controles de TI se tornou fundamental no cenário atual para melhor segurança no ambiente organizacional. Os controles apresentados acima foram alguns exemplos principais que estão no mercado de trabalho no momento, mas vale ressaltar que existem outros como:
- Monitoramento de Jobs;
- Gestão de Patches;
- Logs de auditoria;
- Parametrização de senhas;
- Gestão de contas genéricas e administrativas;
- Segregação de função;
- Gestão de vulnerabilidades.
Importante salientar que os processos deverão ser avaliados periodicamente para manter a eficiência e maturidade dos controles. O monitoramento deverá ser contínuo, avaliando e acompanhando sua funcionalidade com o intuito de identificar continuamente pontos de melhoria.
Garantir um ambiente de TI estruturado e seguro trará mais confiabilidade internamente entre os colaboradores e com os parceiros de negócio, além de melhorar a performance dos processos da organização e reduzir custos em longo prazo.
— Julliana Nunes é GRC and Information Security Senior Consultant | [SAFEWAY]
Como podemos Ajudar?
A SAFEWAY é uma empresa de consultoria em Segurança da Informação reconhecida pelos seus clientes por oferecer soluções de alto valor agregado por meio de projetos que atendam integralmente às necessidades do negócio. Em 14 anos de experiência, acumulamos diversos projetos de sucesso que nos renderam credibilidade e destaque em nossos clientes, os quais constituem em grande parte as 100 maiores empresas do Brasil.
Hoje por meio de 25 parcerias estratégicas com fabricantes globais e de nosso SOC, a SAFEWAY é considerada uma one stop shopping com as melhores soluções de tecnologia, processos e pessoas. Possuímos tanto a habilidade técnica quanto a experiência necessária para auxiliar sua empresa no processo de estruturação de controles e preparação do ambiente para implantação de SGSI, SGS ou SGCN e, consequentemente, certificação de operações, serviços ou empresas as normas ISO27001, ISO20000 ou ISO22301.
Com o intuito de apoiar as empresas nesse processo de avaliação e adequação aos requisitos da LGPD, a [SAFEWAY] possui em seu portfólio de serviços, o Cybersecurity Health Check cujo objetivo é executar um diagnóstico dos controles de CyberSecurity, Segurança da Informação e Privacidade de Dados implementados na sua empresa, contemplando os pilares de Processos, Pessoas e Tecnologia.
Por meio do Cybersecurity Health Check, são identificados os riscos associados a segurança da informação e privacidade dos processos e atividades internas, os controles existentes e avaliados novos controles de acordo com o porte de sua organização para aumentar o nível de maturidade e compliance, de acordo com as boas práticas de segurança da informação. Caso deseje mais informações, entre em contato com um de nossos especialistas!
