CSO (Chief Security Officer) Gestor da Segurana da Informao,
As principais propriedades que orientam a anlise, o planejamento e a
implementao de uma poltica de segurana so: confidencialidade, integridade e disponibilidade. A Segurana deixou de ser submetida aos domnios da TI para se tornar uma nova rea que responde ao vice-presidente ou ao gestor de operaes, ganhando oramento prprio, salas especficas e, logo, prazos e demandas a serem atendidos. Um dos maiores dilemas da Segurana da Informao est relacionado com a proteo dos ativos e a compreenso da amplitude desse conceito dentro da empresa. questo relacionada com a Segurana da Informao, que tambm causa preocupao, que se trata de um investimento sem fim, pois medida em que ela vai se fortalecendo os ataques tambm se sofisticam cada vez mais. Especialistas de segurana reconhecem que afirmar ser 100% seguro algo precipitado e arriscado, mas apontam que educao profissional, processos e tecnologia formam um trip resistente no combate ao crime eletrnico. o plano deve considerar questes estratgicas, tticas e operacionais de negcios, atrelando-as a trs tipos bsicos de risco: humano, tecnolgico e fsico. A Segurana da Informao deve estar atrelada a um amplo Programa de Segurana da Informao, que se constitui de pelo menos trs fases principais: 1. Realizar o levantamento e a classificao dos ativos da empresa.
2. Avaliar o grau de risco e de vulnerabilidade desses ativos, testar suas falhas e definir o que pode ser feito para aperfeioar a segurana.
3. A infraestrutura de tecnologias, envolvendo tanto aquisio de ferramentas quanto configurao e instalao de solues, criao de projetos especficos e recomendaes de uso.
Antivrus: Faz a varredura de arquivos maliciosos disseminados pela Internet ou correio eletrnico. Balanceamento de carga: Ferramentas relacionadas capacidade de operar de cada servidor da empresa. Vale lembrar que um dos papeis da segurana corporativa garantir a disponibilidade da informao, algo que pode ser comprometido se no houver acompanhamento preciso da capacidade de processamento da empresa. Sistema Detector de Intruso (IDS, da sigla em ingls): Como complemento do firewall, o IDS se baseia em dados dinmicos para realizar sua varredura, como por exemplo, pacotes de dados com comportamento suspeito, cdigos de ataque, etc. Varredura de vulnerabilidades: Produtos que permitem corporao realizar verificaes regulares em determinados componentes de sua rede, como servidores e roteadores. Rede Virtual Privada (VPN, da sigla em ingls): Uma das alternativas mais adotadas pelas empresas na atualidade, as VPNs so canais em forma de tnel, fechados, utilizados para o trfego de dados criptografados entre divises de uma mesma companhia, parceiros de negcios. Criptografia: Utilizada para garantir a confidencialidade das informaes. Firewall: Atua como uma barreira e cumpre a funo de controlar os acessos. O firewall umsoftware, mas tambm pode incorporar um hardware especializado. Autenticao: Processo de identificao de pessoas, para disponibilizar acesso. Baseia-se em algo que o indivduo saiba (uma senha, por exemplo), com algo que ele tenha (dispositivos como tokens, cartes inteligentes, certificados digitais) e, em algo que ele seja (leitura de ris, linhas das mos). Integradores: Permitem centralizar o gerenciamento de diferentes tecnologias que protegem as operaes da companhia. Mais que uma soluo, trata-se de um conceito. Sistemas antispam: eliminam a maioria dos e-mails no solicitados. Software de backup: So programas para realizar cpias dos dados para que, em alguma situao de perda, quebra de equipamentos ou incidentes inusitados, a empresa possa recuper- los. Pela complexidade de cada uma das etapas compreendidas em um projeto de segurana, especialistas recomendam que a empresa desenvolva a implementao baseando-se em projetos independentes.
Quando se fala em tecnologia necessrio considerar trs pilares do mesmo tamanho, apoiados uns nos outros para suportar um peso muito maior. Esses trs pilares so as tecnologias, osprocessos e as pessoas. No adianta fortalecer um deles, sem que todos os trs no estejam equilibrados. Certificao
A certificao de Segurana da Informao pode ser dependente e/ou independente de fabricantes e bem til para o desenvolvimento da carreira. As credenciais atreladas a fabricantes, como as da Cisco e da Microsoft, por exemplo, so meios importantes para conseguir as habilidades necessrias ao cargo. No entanto, elas precisam vir acompanhadas de certificaes que demonstrem uma ampla base de conhecimento e experincia. As certificaesCertified Information Systems Security Professional (CISSP) e Certified Information Systems Auditor (CISA) so timas opes.
Uma boa dica para quem pretende se profissionalizar na rea de Segurana da Informao obter certificaes de uma associao de segurana profissional para ajudar a impulsionar a carreira.
Falhas comuns: senhas fracas Sistemas de backup falhos
Cada vez mais a monitoria do profissional no uma escolha, mas uma obrigao do gerenciamento de risco. Controles de segurana sugeridos por normas de segurana podem ser um caminho mais vivel para suportar parmetros de auditoria e conformidade para toda a companhia.
A empresasa deve declarar claramente que monitora, Listar o que rastreado, Descrever o que procura, e Detalhar as consequncias de violaes.