O conjunto de medidas para a garantia da segurança dos sistemas em uma empresa varia muito de acordo com seus sistemas e processos de negócio. Medidas distintas devem ser empregadas na proteção de mainframes, servidores de baixa plataforma, estações de trabalho e redes de comunicação.

Para cada aplicação crítica da empresa, diferentes controles devem ser empregados para endereçar a prevenção, identificação e resposta às ameaças que podem ser classificadas em três níveis de impacto às informações da empresa:

 Integridade: perdas ou danos às informações armazenadas nos sistemas;
 Disponibilidade: parada dos sistemas e/ ou das redes de comunicação entre sistemas ou redes para acesso aos sistemas;
 Confidencialidade: roubo de dinheiro, propriedade intelectual, informações confidenciais e estratégicas à organização por meio da invasão de sistemas vulneráveis.

Uma análise de segurança de sistemas, realizada por pessoal qualificado, seja interno ou externo, deve considerar, de forma macro, algumas etapas essenciais, a seguir:

 Avaliar junto à alta administração da empresa os objetivos corporativos de segurança da informação versus processos de negócio com base nos ativos e perda financeira envolvida. Para isso devem-se obter políticas, normas e procedimentos de segurança formalizados (se estes existirem);
 Mapear os processos gerenciais e aplicações de negócio, redes, interfaces envolvidas, junto a gerência técnica (operacional e TI) a serem objeto da análise;
 Definir quais os controles que melhor atendam aos requisitos do negócio, considerando o ambiente de TI da empresa, bem como: Segurança Lógica, Segurança Física, Contingências Operacionais e TI, Contratos de Terceiros, Gerenciamento de Projetos de TI, Gerenciamento de Mudanças, Problemas e Incidentes, Metodologia de Desenvolvimento de Sistemas, Operações e afins;
 Avaliar o grau de exposição das aplicações aos riscos, por meio de teste e comparação dos controles implementados com base nas boas práticas de mercado, junto ao corpo gerencial e de TI da empresa (como: operadores, analistas de sistemas, administradores de rede, suporte técnico), e medir grau da exposição desta aplicação de negócio considerando vulnerabilidades internas (como: configuração indevida, ausência de conscientização, falta de procedimentos) ou externas (como: Hackers, legislação, satisfação dos clientes);
 Enumerar recomendações com o objetivo de minimizar “a materialização” dos riscos identificados;
 Discutir as recomendações com os gestores envolvidos e elaborar um plano de ação, com datas definidas para determinar tarefas de alta, média e baixa prioridade, conforme a urgência necessária, na implementação destas recomendações e manutenção de níveis aceitáveis de segurança nas aplicações de missão crítica da empresa.

Alessandro Manotti – alessandromanotti@hotmail.com

Profissional há nove anos na área Auditoria de Sistemas e Segurança da Informação, atuando em instituições financeiras e consultorias no Brasil e Exterior.