Gerenciamento de segurança de TI: Desenhando uma segurança

Desenhando um plano de segurança para uma organização
Author

Jayanthi Manikandan

Last updated November 2, 2016


  • 883 Views

O objetivo final de todos os conceitos de segurança é garantir que os ativos de negócios e tecnologia de uma organização estejam bem protegidos e não comprometidos de forma alguma. Veremos como um profissional de segurança da informação desenhará um plano de segurança para garantir que essa meta seja alcançada. Discutiremos a sequência de etapas que podem ser empregadas em um plano de segurança. Isso dará uma visão de 360 ​​graus do domínio Segurança da Informação .

  1. O primeiro passo de um plano de segurança será realizar uma análise de lacunas. A “análise de lacunas” identificará vulnerabilidades dentro da infraestrutura. Em seguida, identificaremos drivers de negócios, drivers de recursos humanos, drivers financeiros e drivers de tecnologia dentro da organização.
  2. Depois que os drivers forem identificados, o próximo passo será acoplar as vulnerabilidades, sugerindo recomendações baseadas nas “melhores práticas”. Novas políticas, padrões terão que ser criados para suprir as vulnerabilidades.
  3. O pessoal de segurança apropriado terá o dever de implementar as várias seções de recomendações.
  4. Uma vez criadas novas políticas, elas terão que ser transmitidas para toda a organização por meio de programas de conscientização de segurança.
  5. Por fim, o gerenciamento deve saber que o plano de segurança foi bem-sucedido e que os controles de segurança apropriados foram instalados. Isso é feito empregando as métricas e o plano de medição.

Vamos discutir o plano de segurança em mais detalhes:

1. Realizando análise de lacunas:
“Uma avaliação de lacunas é a comparação entre o que existe dentro de uma corporação e o que é necessário” (Landoll) A própria análise de lacunas consiste em várias etapas e pode ser feita em cada setor. Simplificando, uma análise de análise de lacunas políticas de segurança existentes , proteções de tecnologia como firewalls, VPNs, servidores, processos de continuidade de negócios e padrões de controle de acesso em relação aos padrões exigidos . Esses padrões exigidos podem ser diretrizes da HIPAA ou diretrizes da ISO17799. A 'análise de lacunas' exporá vulnerabilidades (como vírus, vazamento de dados, assinaturas de vírus desatualizadas etc.) dentro do ambiente corporativo e as etapas de correção que serão executadas. Todos os roteadores, firewalls, softwares antivírus serão verificados e faltam "lacunas".

2. Identificando os drivers dentro de uma organização:
Em seguida, identificaremos os impulsionadores de negócios em uma organização. O que são drivers de negócios? Os impulsionadores de negócios “para uma empresa de software podem ser produtos superiores, inovação tecnológica, excelente marketing e suporte contínuo ao cliente” (techopedia) Vamos mapear as lacunas que faltam para os impulsionadores de negócios da organização e mostrar como os negócios serão afetados.

3. As etapas de correção serão tomadas:
Depois que as lacunas ausentes forem encontradas e as vulnerabilidades detectadas, as etapas de correção serão executadas e novas recomendações serão feitas. Recomendações serão feitas com base nas publicações do NIST e de acordo com as “melhores práticas”. Por exemplo, a publicação NIST SP 800-14 (“Princípios e Práticas Geralmente Aceitos para Proteger Sistemas de Tecnologia da Informação”) é para todas as organizações que buscam um plano básico de segurança. “Práticas recomendadas” podem recomendar a instalação do software antivírus atual em todos os sistemas e / ou criptografia de e-mail. Essas recomendações serão mapeadas para os direcionadores de negócios para mostrar que os riscos para a organização foram eliminados. As recomendações devem ser aprovadas pela gerência.

4. Mapear o pessoal de segurança para implementar os novos controles de segurança:
Os diferentes membros da equipe de segurança, como o CISO, o técnico de segurança e o agente sênior de segurança de informações da agência, receberão as tarefas apropriadas para implementar o plano de segurança e implementar os diversos controles.

5. Conscientização de segurança será implementada:
Uma comunicação eficaz tem que ser feita para informar o resto da organização das novas políticas e salvaguardas. Isso será feito por meio de programas de treinamento de conscientização de segurança. Os conceitos de conscientização de segurança devem ser ousados ​​e criativos e chamar a atenção do usuário. Deve esclarecer os funcionários sobre as novas políticas e as novas regras de segurança dentro da organização.

6. Métricas e Plano de Medição:
Depois de implementar os controles de segurança, o gerenciamento deve saber que o plano de segurança que foi criado é bem-sucedido. Utilizaremos um plano de medição apropriado para mostrar isso. As várias publicações do NIST fornecem uma visão sobre a execução de um plano de medição. Por exemplo, a publicação do NIST 800-55 é o “Guia de Medição de Desempenho para Segurança da Informação”.

Os dados serão coletados em diferentes intervalos de tempo e os resultados serão medidos de acordo com diferentes critérios. Um plano de Segurança da Informação é bem-sucedido quando o plano de medição mostra uma melhoria ao longo de um período de tempo. Nós vimos uma visão de 360 ​​graus do plano de Segurança da Informação cobrindo a maioria dos conceitos e as razões pelas quais eles estão sendo feitos. Um plano de segurança, uma vez criado e implementado, garantirá que os ativos físicos e os ativos de informações de qualquer organização não sejam comprometidos de forma alguma.

Bibliografia

Landoll, D. A Avaliação de Riscos de Segurança Manual. techopedia . (nd) Retirado 24 de janeiro de 2014, de Business Drivers: http://www.techopedia.com/definition/28013/business-driver

About the Author

Jayanthi Manikandan has a Master’s degree in Information Systems with a specialization in Information Security from Detroit, USA. She also holds a certificate from the National Security Agency. Additionally, she is also a Sun certified Java Programmer and a Sun certified web component developer.


{{detail.h1_tag}}

{{detail.display_name}}
{{author.author_name}} {{author.author_name}}

{{author.author_name}}

{{detail.full_name}}

Published on {{detail.created_at| date}} {{detail.duration}}

  • {{detail.date}}
  • Views {{detail.downloads}}
  • {{detail.time}} {{detail.time_zone_code}}

Registrants:{{detail.downloads}}

Downloaded:{{detail.downloads}}

About the {{detail.about_title && detail.about_title != null ? detail.about_title : 'On-Demand Webinar'}}

About the {{detail.about_title && detail.about_title != null ? detail.about_title : 'Webinar'}}

Hosted By

Profile

{{author.author_name}}

{{author.author_name}}

{{author.about_author}}

About the {{detail.about_title && detail.about_title != null ? detail.about_title : 'Ebook' }}

About the {{detail.about_title && detail.about_title != null ? detail.about_title : 'Ebook' }}

View {{detail.about_title && detail.about_title != null ? detail.about_title : 'On-Demand Webinar'}}

Webcast

Register Now!

Download the {{detail.about_title && detail.about_title != null ? detail.about_title : 'Ebook'}}!

First Name*
Last Name*
Email*
Company*
Phone Number*

View {{detail.about_title && detail.about_title != null ? detail.about_title : 'On-Demand Webinar'}}

Webcast

Register Now!

{{detail.about_title && detail.about_title != null ? detail.about_title : 'Webinar'}} Expired

Download the {{detail.about_title && detail.about_title != null ? detail.about_title : 'Ebook'}}

Email
{{ queryPhoneCode }}
Phone Number

Show full article video

Name Date Place
{{classRoomData.Date}} {{classRoomData.Place}} View Details

About the Author

{{detail.author_biography}}

About the Author

{{author.about_author}}