Ativos Críticos. Saiba como classificar e melhorar a segurança


ATIVOS
É tudo aquilo que tem valor para a empresa; pode ser algo tangível ou intangível: instalações, máquinas, informações, etc.

AMEAÇA

As Ameaças têm duas origens:

1. Ambiental – Causada por fenômeno natural.
2. Humana – Causada por ação de pessoas que pode ser acidental e intencional.



ALGUMAS DAS VULNERABILIDADES DE SEGURANÇA MAIS COMUNS:

1. Ambiente físico
Controle de acesso a locais onde contenham informações estratégicas guardadas em meio físico. Alguns exemplos: Um armário onde contém arquivos importantes e os responsáveis não possui um controle das chaves ou simplesmente deixa aberto.

2. Ambiente lógico
Ambiente ligado diretamente a TI. Cuidar para que, pessoas não autorizadas,obtenham acesso esse ativo.

3. A questão comportamental
Trata-se do ativo diretamente relacionado às pessoas. Informações confidenciais ou reservadas da empresa. Muitas vezes, funcionários conversam no celular, nos corredores, em locais públicos sem o devido cuidado. Demanda um esforço maior por parte da equipe de Gestão de Riscos visando criar uma cultura de segurança dentro da organização. As pessoas são o elo mais fraco neste contexto. Por exemplo: o documento mais sigiloso da companhia foi trancado em um cofre super seguro. Será que a chave deste cofre está seguro? Será que não esqueceram de trancar o cofre? Ou, mesmo que sejam tomados todos os cuidados com a tranca ou guarda das chaves, o engenheiro social sabe que o acesso àquela informação desejada deve ser através da pessoa que cuida destas informações; ele irá tentar (usando vários métodos persuasivos) para convencer a pessoa a abrir ocofre. Abrir um notebook durante o vôo ou em outro ambiente público com a telamostrando informações reservadas, etc.

Um ativo difícil de ser controlado, pois depende exclusivamente das pessoas. As pessoas expõem a organização ou agem de forma a neutralizaras ameaças. Adotar ações no sentido de desenvolver na empresa à culturasobre a importância em adotar cuidados no que se refere a segurança das informações, é algo bastante eficaz.

ERROS CLÁSSICOS DE SEGURANÇA

Exemplos de erros clássicos de segurança que causam riscos à organização:

1. Erro de desingner (são erros de projetos)
2. Falta de procedimentos ou procedimentos inadequados
3. Falta de cultura de segurança.
O Brasil, por exemplo, não possui em sua característica uma cultura de proteção das informações. Isso é um grande problema. Claro, há exceções. Na Petrobras, por exemplo, em época de pré-sal, deve priorizar muito os ativos críticos (tangíveise intangíveis) de modo a garantir a integridade das informações estratégicas sob pena do concorrente tirar proveito disso.

MEDIDAS DE SEGURANÇA

Classificação das informações

A identificação dos ativos que necessitam de proteção é o passo fundamental para o estabelecimento de normas e procedimentos de segurança. Quais são os ativos considerados críticos para a organização? É importante para garantir a integridadedos ativos críticos.

O mapeamento dos Ativos Críticos deve ser realizado de acordo a relevância para o negócio da organização.

AÇÕES QUE REDUZEM A VULNERABILIDADE

1. O cumprimento de Normas e Procedimentos.
2. O controle de Acesso de Pessoas e Veículos – apenas pessoas autorizadase identificadas devem ter acesso à empresa.

O nível de segurança vai depender do tipo de negócio ou ativos protegidos por cada organização.
A Equipe de Gestão de Riscos deverá avaliar às necessidades de segurança da organização para, a partir daí, definir o nível de segurança.

CONTRIBUI PARA O AUMENTO DA VULNERABILIDADE:

1. Ausência de Normas e Procedimentos.
2. Cultura inadequada de trabalho e falhas de profissionais. Um pequeno descuido pode deixar os ativos críticos vulneráveis e as ameaças com maior risco de se concretizarem.

ESTRUTURAÇÃO DA SEGURANÇA

1. CODINS: Acesso controlado à informações ou equipamentos controlados
2. CFTV: Monitoramento por câmeras 24 horas.
3. Portas com alarmes e comunicação direta com a segurança.

Observações: Nos lugares remotos, o controle é mais difícil.

Lembrando: Existem vulnerabilidades nas questões de: Segurança Física, Segurança Lógica e Segurança comportamental.

Um fator relevante para o funcionamento das ações voltadas para à proteçãodos ativos críticos é a socialização, junto à força de trabalho, sobre as normas eprocedimentos.

As informações sobre segurança da informação pode ser socializada:

1. Criação de Padrões disponíveis em banco de dados (intranets);
2. Cursos internos direcionados para o público de interesse.
3. Realização de palestras.
4. Campanhas internas.
Em qualquer empresa, independente de seu porte ou nicho de mercado, aproteção dos seus Ativos, sobretudo os classificados como Críticos é tão importante quando à própria sobrevivência da empresa. Logo, a equipe responsável pela gestão de riscos deve começar pela classificação dos ativos e adotar ações no sentido de proteger tais ativos. Uma tarefa complexa que deve ser traçada através de metodologias científicas e levar em conta que o ser o humano, neste processo, é o mais difícil de controlar. Que, Normas eProcedimentos, por si só, não bastam; é preciso que sejam cumpridos.

Ações no sentido de conscientizar a força de trabalho para os cuidados necessário para a proteção dos ativos críticos da empresa é importante, pois a questão comportamental é algo que depende da consciência das pessoas; difícil decontrolar.

Já parou para pensar como são cuidados os ativos de sua empresa? Conte-nos algo a respeito!
Veja outros artigos relacionados no portal De-Segurança.com.br
Twitter: @deseguranca

Adenilson Guedes
Criador e editor do site  http://www.de-seguranca.com.br. Adenilson Guedes é Graduado em Gestão de Segurança Empresarial e Pós Graduado em Consultoria Empresarial com ênfase em Segurança Corporativa. Coordena todas as atividades do De-Segurança, revisa e edita as notícias.

Comentários

Postar um comentário

Postagens mais visitadas deste blog

Resetar Senhas do DVR Stand Alone

Confira passo-a-passo para Configurar ma câmera IP - Vivotek

Entendendo o Código do Crachá - Wiegand 26.