Perguntas para avaliar a efetividade do processo de segurança

Transcrição

1 Perguntas para avaliar a efetividade do processo de segurança Questionário básico de Segurança da Informação com o objetivo de ser um primeiro instrumento para você avaliar, em nível gerencial, a efetividade do processo de segurança de informação da sua organização. Esse questionário é limitado e não cobre todos os controles que devem existir em um processo de segurança da informação. Porém, ele considera os principais controles e possibilita que com as respostas recebidas sejam feitas recomendações da implementação de controles e/ou uma nova avaliação desta forma mais detalhada. Em uma avaliação mais detalhada os aspectos técnicos e seus controles, que variam para cada organização, devem ser considerados. Foram tomados por base itens da Norma NBR ISO/IEC por ser um padrão internacional e já publicado no Brasil. Quanto mais forte a resposta for sim, mais efetivo está o processo segurança da informação na organização. Este questionário pode ser utilizado considerando toda a organização ou parte dela. Para a resposta de cada questão, existe o seguinte padrão de avaliação: 0 Não se aplica. 1 Resposta: NÃO. 2 Solução em planejamento inicial. 3 Está planejada a implantação da solução. 4 Parcialmente implementada. Instável. Ainda não confiável. 5 Possui o mínimo de atendimento aos requisitos. 6 Prestes a ser melhorada. 7 Quase totalmente implementada. Satisfatório para situações normais. 8 Está funcionando bem. 9 Totalmente implementada. 10 Solução implementada é referência de mercado (Melhor da classe).

2 Fatores críticos de sucesso Quando do planejamento das ações de negócio da organização existe o envolvimento da área de segurança da informação? O executivo da área de segurança da informação participa de comitê (ou equivalente) que analisa os requisitos necessários para a implementação dos futuros produtos e serviços da organização? Existem de forma explicita os objetivos de negócio e a forma de atuação da organização? Existe definido o orçamento e demais recursos para o processo de gestão de segurança da informação? A direção da organização valida periodicamente (pelo menos uma vez por ano) o direcionamento e prioridades da implementação dos controles de segurança da informação? Política de segurança da Informação Existe um documento principal de política de segurança da informação definindo as diretrizes e filosofia da organização em relação ao uso e proteção da informação? O documento principal de política de segurança e proteção da informação foi assinado pelo presidente da organização ou executivo de nível equivalente? Existem outros regulamentos que complementam e detalham como os objetivos descritos na política principal de segurança da informação podem e devem ser alcançados? Existe um processo que garanta a atualidade dos regulamentos de segurança? É garantido que todos os usuários de informação conhecem os regulamentos de segurança de informação existentes? A política de segurança da informação está coerente com o código da ética e demais políticas corporativas? A política de segurança da informação está coerente com a legislação do pais? Organizando a Segurança da Informação Existe uma estrutura organizacional com a responsabilidade de coordenar o processo de segurança da informação? A área responsável pelo processo de segurança da informação tem definido formalmente suas possibilidades, escopo de atuação, estrutura de recursos e plano de ação? Foi dado conhecimento a todos os usuários da informação da existência da área responsável pelo processo de segurança da informação? A área responsável pelo processo de segurança da informação possui conhecimento atualizado em relação à legislação a que a organização deve se submeter e em relação às melhores práticas de proteção da informação? A área responsável pelo processo de segurança da informação não está subordinada à área de tecnologia da informação e possui autonomia suficiente para definir os requisitos de segurança da informação para toda a organização? Gestão de ativos Existe uma política de classificação da informação que define os níveis de sigilo e indica para cada um deles como deve ser tratada a informação? Existe definido para toda informação apresentada para o usuário (transação, tela,

3 relatório,documento) o nível de sigilo? Existe definido para toda informação apresentada para o usuário (transação, tela, relatório,documento) o gestor da informação? Existe definido pata toda informação armazenada no ambiente computacional o custodiante da informação? O gestor da informação é o responsável pela liberação (ou não) do acesso à informação pelo usuário? Existe um processo que garanta que novos recursos de informação possam ser utilizados pelo negócio, porém considerando um nível de segurança adequado e definido mais rapidamente que o habitual? Existe procedimento definido para o descarte de equipamentos garantindo que as informações serão devidamente apagadas antes do ativo ser liberado? Segurança em recursos humanos Existe um processo de conscientização e treinamento de usuários em segurança da informação? Cada usuário participa do processo de conscientização e treinamento em segurança da informação pelo menos uma vez por ano? Todo tipo de usuário (funcionário, prestador de serviço, estagiário) participa do processo de conscientização e treinamento em segurança da informação? Todo usuário antes de iniciar suas atividades profissionais na organização recebe orientações em relação à segurança da informação e toma conhecimento dos regulamentos existentes? Cada usuário formaliza o seu conhecimento dos regulamentos da organização em relação à segurança da informação através da assinatura de um documento? Segurança Física e do ambiente Cada pessoa tem autorização de acesso físico apenas aos ambientes que necessita acessar para desempenhar as suas funções profissionais na organização? O acesso físico das áreas da organização é controlando, impedindo que pessoas não autorizadas acessem ambientes em que não estão autorizadas? O acesso físico de cada pessoa fica registrado, permitindo uma auditoria? Para os ambientes restritos o controle de acesso obriga o acesso individual e evita que alguém entre de carona quando uma pessoa autorizada acessa o ambiente? Os visitantes são identificados individualmente e tem registradas suas entrada e saída dos ambientes? Existe o monitoramento e a gravação de imagens dos principais pontos de acesso ao ambiente físico, pontos de vigilância e do perímetro do terreno? As imagens são armazenadas durante um período previamente estabelecido, podendo ser recuperadas neste período? As imagens são guardadas em um local protegido adequadamente de forma que não seja possível (ou muito difícil) o roubo delas com o objetivo de desaparecimento de provas? As pessoas são avisadas de que o ambiente é monitorado e gravado? Foi feita uma análise das ameaças existentes por causa da vizinhança e consequente gestão dos riscos? Foi feita uma análise de risco contemplando as principais ameaças (incêndio, roubo, enchentes, vazamento de água) e foram planejadas e desenvolvidas medidas preventivas e corretivas?

4 Existe um processo contínuo garantindo a efetividade das medidas de controle existentes? Existe um controle para a saída e entrada de material? Existem pontos de vigilância que cobrem todo ambiente físico da organização, bem como a periferia do terreno/ambiente? Sempre que possível é utilizado material retardante a fogo, que dificulta o início e a propagação do incêndio? É realizado treinamento de combate a incêndio pelo menos uma vez por ano para todo o pessoal? Existe sinalização de emergência indicando as saídas e saídas de emergência? Gerenciamento de operações e comunicações Existe documentação dos processos e procedimentos relativos aos recursos de informação? A documentação existente é suficiente para que outro profissional com o mesmo conhecimento técnico consiga executar as atividades do profissional original? Foi analisada a questão da segregação de função e está garantido que este controle está implementado? No ambiente computacional existe a separação do ambiente de produção (onde estão os sistemas que suportam o negócio) e em relação aos demais ambientes? É proibida a execução no ambiente de produção de programas em teste ou em situação de homologação? A passagem de programas para o ambiente de produção é feita de maneira controlada, registrada e fazendo parte de um processo de gestão de mudanças? Antes da passagem de programas para a produção foi feito um processo de teste e homologação para garantir que o que será implantado em produção possui uma qualidade e uma efetividade adequadas? Todo o processo de passagem de programa para o ambiente de produção pode ser auditado? A troca de informações com parceiros considera a autorização do gestor da informação de forma semelhante quando da liberação da informação para uso interno na organização? Os serviços prestados por terceiros são monitorados e gerenciados de maneira que possa ser feita uma avaliação desse prestador de serviço? Para cada recurso de informação são consideradas questões de manutenção, efetividade da empresa que realiza essa manutenção, vida útil do recurso, opções de substituição e tempo necessário para essa substituição? Controle de acesso A identificação do usuário é única e individual para qualquer tipo de usuário? Existe a garantia de não existência de identificações genéricas? Em situações de exceção em que programas ou similar precisam ter identificação, existe um processo formalizado para garantir que esta situação está registrada e possui restrição de uso? A cadeia de caracteres que formam a identificação do usuário possibilita fazer a ligação com os dados complementares e descritivos do usuário? Quando a autenticação é feita através de senha, essa senha é secreta e de conhecimento exclusivamente do usuário? É declarado nas políticas que o usuário é responsável pelo acesso realizado com a sua identificação e autenticação?

5 Todo o acesso realizado ou tentativa de acesso ao/no ambiente computacional é gravado e guardado durante um tempo previamente definido pela segurança da informação? Existe formalmente a função de gestor da informação, que é a pessoa que autoriza (ou não) o acesso à informação por qualquer pessoa da organização? O gestor da informação foi formalizado pelo processo de segurança da informação e é de conhecimento de todas as pessoas a sua existência e responsabilidade? A informação é apenas liberada para o usuário após a autorização do gestor da informação? O processo de liberação de acesso da informação para o usuário é formalizado e registrado, permitindo auditoria? Existe um processo de revalidação periódica pelo gestor, dos usuários que estão autorizados a acessar a informação que esse gestor autoriza? Existe um processo automático que retire os acessos do usuário quando ele é transferido para outra área organizacional? Existe um processo automático que retire (ou suspenda) a identificação do usuário quando ele encerra seu relacionamento profissional com a organização? Existe um processo de gestão da identidade de usuário, garantindo o padrão de tratamento da identidade para todas as plataformas de tecnologia? Existe uma gestão de autenticação de usuário que defina os requisitos mais ou menos rígidos para a autenticação do usuário, dependendo do canal de acesso ou equipamento que o usuário está utilizando? Quando do uso de senhas, o arquivo de senhas é criptografado? Existe uma política para a definição de uso (ou não) de criptografia quando do armazenamento, apresentação e transmissão de dados? Quando do uso de criptografia, foi considerado a situação de perda de chaves e o impacto dessa situação? Quando do uso de criptografia no ambiente computacional principal da organização, foi definida a forma de guardar as chaves? Quando existe tratamento de dados da organização por parte de prestadores de serviço, é garantido que esses terceiros possuem o mesmo nível de proteção da organização? Aquisição, desenvolvimento e manutenção de sistemas É utilizada uma metodologia de desenvolvimento de sistemas, e essa metodologia é de conhecimento de todos os desenvolvedores (funcionários e terceiros)? Existe na metodologia de desenvolvimento de sistemas uma etapa para a especificação dos requisitos de segurança da informação antes do desenho lógico da solução? A documentação exigida pela metodologia de desenvolvimento de sistemas é suficiente para que outro profissional com o mesmo conhecimento técnico possa substituir um desenvolvedor de sistemas? Cada desenvolvedor de sistemas tem acesso apenas aos programas e outros elementos que são necessários para o desempenho das suas funções profissionais na organização? Cada novo desenvolvedor que começar a trabalhar para a organização, seja como funcionário ou seja como prestador de serviço, recebe treinamento sobre os padrões e forma de trabalhar da organização? Existe um efetivo controle de versão para os programas e outros elementos construídos pelos desenvolvedores, garantido a integridade dos mesmos durante o processo de desenvolvimento? Existem pelo menos três ambientes computacionais: de desenvolvimento, de teste e de produção?

6 O ambiente de produção não é acessado pelos usuários desenvolvedores para realizar atividades de desenvolvimento, teste ou similar? Quando da correção de sistemas aplicativos, sempre se faz a alteração e teste no ambiente de não produção e somente após essa etapa passa-se a nova versão para o ambiente de produção? Quando em situações de exceção for necessária a alteração diretamente no ambiente de produção, existe um processo que exige uma autorização específica e possibilita a realização de auditoria? Os dados para a realização de testes são realizados com dados criados para o teste ou com dados mascarados do ambiente de produção? Em situações de exceção, quando for necessário realizar testes com dados reais do ambiente de produção, existe um processo formal que garante que o gestor da informação autorizou o seu uso para esse teste? O acesso aos programas e outros elementos de desenvolvimento são acessados apenas pelos desenvolvedores que precisam desses elementos para o desenvolvimento dos aplicativos? Quando da aquisição de produtos são considerados vários aspectos da solução da solução, inclusive o grau de certeza da continuidade do fornecedor no mercado de tecnologia? Existe um processo de garantia de qualidade desde a especificação da necessidade da área de negócio? Existe um processo rigoroso em relação à gestão de alterações de escopo, produtos e outros elementos da solução original? Existem cópias de segurança suficientes para recuperação do ambiente de desenvolvimento de sistemas? Existe definido e acordado o nível de disponibilidade do ambiente computacional de desenvolvimento de sistemas? Gestão de incidentes de segurança da informação Existe um processo estruturado para o tratamento de incidentes de segurança da informação? A prioridade de ações a ser feita em consequência de ocorrência de incidente de segurança da informação considera o negócio da organização? Existe a integração da gestão de incidentes de segurança da informação com um processo de gestão de incidentes da organização? Existe uma integração da gestão de incidentes de segurança da informação com o processo de gestão de problemas? O processo de tratamento de incidentes de segurança da informação gera informações que possibilitam um melhor planejamento para a proteção do ambiente de tecnologia? Existe formalmente um acordo de nível de serviço para a resolução de incidentes de segurança da informação? Existe um canal de comunicação onde o usuário possa registrar a ocorrência de um incidente, preservando a sua identidade, porém podendo acompanhar a pesquisa desse incidente e conclusões definidas pela organização? Gestão da continuidade de negócio Existe um plano de continuidade de negócio para ser seguido quando da ocorrência de um desastre que indisponibilize recursos de informação? É realizada periodicamente uma avaliação de risco com foco nas ameaças que podem indisponibilizar recursos de informação e podem parar ou degradar em muito o desempenho

7 da realização do negócio? A estratégia para suportar situações de contingência foi escolhida em função de atender os requisitos de recuperação do negócio, considerando o estudo de um custo-benefício? As áreas dos negócios foram responsáveis pela definição do tempo desejável para a recuperação dos recursos de informação necessários para a realização do negócio? A solução adotada foi validada pela direção executiva da organização e aceita formalmente? Considerando que o escopo e cenário do plano desenvolvido são restritos, existe um planejamento de aumento de escopo e variedade de cenários? Existe um manual atualizado que define os procedimentos a serem feitos quando da ocorrência de uma situação de contingência? Todos os envolvidos foram treinados considerando as orientações formalizadas no manual do plano de continuidade de negócio? Existe um processo formal que garanta que o manual do plano de continuidade de negócio está sempre atualizado? São realizados testes periódicos para a utilização do plano de continuidade de negócio? Cada teste é planejado adequadamente e contém no mínimo descrito o objetivo, o escopo, os participantes, a responsabilidade dos participantes, o planejamento das ações, o tempo previsto das ações, o tempo real das ações ao longo do teste e registro das ocorrências do teste? Existem cópias de segurança considerando aspectos de operação, de auditoria, histórico e legal guardadas de forma segura, suficientes para uma recuperação da informação? Conformidade Existe de forma explícita o conjunto de legislação, regulamentos de segmentos de negócio, regras da corporação (para organizações multinacionais) e requisitos éticos que a organização é obrigada a cumprir? Esse conjunto de requisitos é de conhecimento dos usuários que tratam a informação da organização para desenvolver sistemas, proteger a mesma e definir procedimentos de recuperação dos recursos de informação? A área jurídica interage fortemente com a área de segurança da informação e com a área de tecnologia da informação, com o objetivo de garantir a conformidade da organização com a legislação e demais regulamentos? Existe processos que defina e formalize os requisitos necessários para que possam ser realizados procedimentos de auditoria e de performance computacional? Existe um processo que garanta a atualização constante da organização em relação à legislação e demais regulamentos que a organização precisa estar em conformidade? As cópias de segurança da informação são guardadas em um local com o mesmo nível de segurança do local original? Havendo transporte físico da cópia de segurança, ele é realizado em embalagens específicas para esse tipo de deslocamento? São feitos testes periódicos das cópias de segurança da informação em relação ao acesso e à integridade da informação?