Vamos dar um olhar ao que a série de normas ISO 27000 tem a respeito da gestão dos sistemas de comunicação e o estabelecimento de procedimentos de operação além de opções para implementar os controles sugeridos.
Precisamente um dos 10 pilares básicos da norma ISO 27001 enfoca-se nos mecanismos que deveria adotar uma organização para assegurar a operação correta e segura dos recursos sobre os quais manipula-se a informação corporativa. Por sua vez devem ficar claras as responsabilidades e os procedimentos para a gestão e operação destes recursos. Cabe dentro da gestão, os procedimentos para a resposta ante incidentes e os procedimentos de configuração e operação segura de aplicações.
Na página da Agência Nacional de Segurança (NSA) dos Estados Unidos há um parágrafo onde proveem uma série de guias de configuração segura para uma série de aplicações de código aberto e licenciadas. Além disso podem-se encontrar outra série de guias para manejar de forma segura a informação, inclusive até como destruí-la de forma segura. Deveriam-se documentar e manter os procedimentos de operação e colocá-los à disposição de todos os usuários que o necessitem.
Contudo a correta configuração dos sistemas é importante que as tarefas e as áreas vinculadas nestes temas tenham uma adequada segregação de funções, com o objetivo de diminuir a possibilidade de que apresente um uso mal intencionado ou não autorizado dos ativos de informação da organização.
Dentro deste domínio de controle, também sugere-se estabelecer procedimentos periódicos para garantir um adequado respaldo da informação em cópias de segurança, incluindo as provas que garantem seu correto funcionamento. Estas implementações de backup devem satisfazer todos os requerimentos legais. Por exemplo, para o setor financeiro, tem implementções específicas e as expectativas próprias do negócio no qual opera a empresa. Isto consegue-se com uma adequada análise de riscos, que permita focar os esforços nos ativos de informação mais relevantes para o negócio.
Com respeito a infraestrutura de comunicação, deve-se manter a segurança da informação não somente que troca-se dentro da empresa como também daquela que saia de uma entidade externa. Esta segurança deve partir de uma política onde fiquem estipulados os acordos de intercambio de qualquer informação, sejam física ou eletronicamente. Isto inclui os canais alternativos que devam utilizar-se no caso de uma contingência. Pontualmente a norma ISO/IEC 27010, proporciona controles específicos para implementar, manter e melhorar a segurança da informação nas comunicações dentro da organização e feita ao exterior.
Para a proteção da integridade do software e portanto da informação que maneja-se é necessário prevenir que os sistemas sejam atacados por algum código malicioso, ja sejam nos equipamentos de escritório, equipamentos portáteis ou móveis. Para este caso os controles tecnológicos de uma solução de segurança como ESET Endpoint Security devem permitir a detecção, prevenção e recuperação contra malware. Estas medidas tecnológicas devem combinar-se com medidas que incluem a educação e formação dos usuários. Desde ESET Latinoamérica contamos com recursos gratuitos que neste ponto podem ajudar as empresas com a Plataforma Educativa ESET.
Destaca ainda neste domínio de controle, a recomendação da norma de cuidar da informação que inclui-se nas mensagens de e-mail. Pontualmente ter muito cuidado com a informação que deixa-se nos metadados, já que muitas vezes este tipo de informação podem conter dados frágeis como por exemplo nomes de usuários ou rotas nos servidores. É conveniente utilizar ferramentas para eliminar os metadados antes de compartilhar ou publicar documentos.
Lembre-se que a segurança da informação tem êxito através da integração de diferentes medidas de segurança. Não serve muito ter unicamente o último em tecnologia, é necessário complementar com a educação dos usuários e adoção das medidas de gestão mais indicados segundo o negócio.
H.Camilo Gutiérrez Amaya
Especialista de Awareness & Research