A Mainroad anunciou recentemente ter sido a empresa escolhida pela RTP para prestar serviços de Auditoria de Segurança e Comunicações. No âmbito do projecto analisou e avaliou a concepção da Infra-estrutura tecnológica da empresa, bem como as políticas e processos de segurança definidos e implementados na RTP. Do trabalho, comunicou na altura, resultou a definição de um plano de acção visando a segurança de informação de negócio da RTP.
O TeK aproveitou o anúncio para falar com Carla Raquel Zibreira, Manager - Information Security & Business Continuity Management da Mainroad para perceber que aspectos se revelam mais críticos em operações deste tipo e que principais fragilidade são normalmente detectadas durante o processo. Também pedimos à responsável para apontar boas práticas que resultem normalmente de uma análise deste género.
[caption]
[/caption]
TeK: Nos projectos que realizam nesta área, como este, que aspectos se revelam mais críticos e que principais fragilidades encontram nas empresas?
Carla Zibreira: O principal aspecto crítico é normalmente a inexistência de informação/documentação completa e actualizada da infra-estrutura tecnológica, quer ao nível de redes e ou de sistemas.
Ao nível das fragilidades posso apontar a frequente inexistência de uma estratégia transversal e consistente de concepção, planeamento e gestão de infra-estruturas de TI e SI que considere requisitos de segurança da informação.
A dispersão ou até mesmo inexistência de responsabilidades claras de segurança da informação a todos os níveis da organização é outra lacuna frequente, assim como a existência da percepção dos processos de negócio críticos para a organização. Esta é uma situação que impede uma gestão focada e eficaz das infra-estruturas tecnológicas da organização cliente.
Também detectamos com frequência a inexistência de uma política de segurança da informação que defina as directrizes para a sua implementação, e respectivos processos e procedimentos que reflictam a sua implementação, bem como a inexistência de mecanismos de controlo (contratos, garantias, níveis de serviço, etc.), de forma generalizada, que permita controlar a relação da organização cliente com terceiras entidades e assim salvaguardar os interesses mútuos.
TeK: Em termos de boas práticas pode apontar três aspectos que resultem normalmente de uma análise deste género?
C.Z.:Destaco a documentação da infra-estrutura tecnológica da organização cliente e a realização de uma avaliação de risco para que a organização cliente, de forma consciente, conheça os processos críticos para o negócio, assim como a respectiva informação de valor e desta forma possa melhor orientar os seus esforços e recursos para a gestão da infra-estrutura tecnológica. Finalmente, e acordo com os resultados da auditoria, a organização cliente deverá de seguida iniciar um processo de melhoria da sua arquitectura de segurança (níveis de segurança de perímetro, segregação de serviço de IT, etc.), a nível de redes e sistemas.
Pergunta do Dia
Veja também
Em destaque
-
Multimédia
O melhor do céu e da Terra em imagens de eclipses, nebulosas e desafios planetários -
App do dia
Tem uma agenda cheia de tarefas? Sectograph ajuda a gerir o tempo com um "relógio" interativo -
Site do dia
Perde tempo a escrever um rascunho de texto por causa das correções? Teste o site do dia Flowdrafter -
How to TEK
Como planear os locais a visitar nas férias e em grupo no Google Maps
Comentários