A Mainroad anunciou recentemente ter sido a empresa escolhida pela RTP para prestar serviços de Auditoria de Segurança e Comunicações. No âmbito do projecto analisou e avaliou a concepção da Infra-estrutura tecnológica da empresa, bem como as políticas e processos de segurança definidos e implementados na RTP. Do trabalho, comunicou na altura, resultou a definição de um plano de acção visando a segurança de informação de negócio da RTP.

O TeK aproveitou o anúncio para falar com Carla Raquel Zibreira, Manager - Information Security & Business Continuity Management da Mainroad para perceber que aspectos se revelam mais críticos em operações deste tipo e que principais fragilidade são normalmente detectadas durante o processo. Também pedimos à responsável para apontar boas práticas que resultem normalmente de uma análise deste género.

[caption]Carla Zibreira[/caption]

TeK: Nos projectos que realizam nesta área, como este, que aspectos se revelam mais críticos e que principais fragilidades encontram nas empresas?
Carla Zibreira: O principal aspecto crítico é normalmente a inexistência de informação/documentação completa e actualizada da infra-estrutura tecnológica, quer ao nível de redes e ou de sistemas.
Ao nível das fragilidades posso apontar a frequente inexistência de uma estratégia transversal e consistente de concepção, planeamento e gestão de infra-estruturas de TI e SI que considere requisitos de segurança da informação.
A dispersão ou até mesmo inexistência de responsabilidades claras de segurança da informação a todos os níveis da organização é outra lacuna frequente, assim como a existência da percepção dos processos de negócio críticos para a organização. Esta é uma situação que impede uma gestão focada e eficaz das infra-estruturas tecnológicas da organização cliente.
Também detectamos com frequência a inexistência de uma política de segurança da informação que defina as directrizes para a sua implementação, e respectivos processos e procedimentos que reflictam a sua implementação, bem como a inexistência de mecanismos de controlo (contratos, garantias, níveis de serviço, etc.), de forma generalizada, que permita controlar a relação da organização cliente com terceiras entidades e assim salvaguardar os interesses mútuos.

TeK: Em termos de boas práticas pode apontar três aspectos que resultem normalmente de uma análise deste género?
C.Z.:Destaco a documentação da infra-estrutura tecnológica da organização cliente e a realização de uma avaliação de risco para que a organização cliente, de forma consciente, conheça os processos críticos para o negócio, assim como a respectiva informação de valor e desta forma possa melhor orientar os seus esforços e recursos para a gestão da infra-estrutura tecnológica. Finalmente, e acordo com os resultados da auditoria, a organização cliente deverá de seguida iniciar um processo de melhoria da sua arquitectura de segurança (níveis de segurança de perímetro, segregação de serviço de IT, etc.), a nível de redes e sistemas.