A mobilidade na área de tecnologia da informação vem, já há algum tempo, transformando uma série de negócios, aumentando a produtividade de funcionários, reduzindo o tempo de resposta aos clientes e otimizando recursos, onde quer que se encontrem. Agora, finalmente, as empresas estão se dando conta do outro lado da moeda.
Ao mesmo tempo em que possibilita inúmeras oportunidades, a mobilidade traz uma série de desafios, sendo os principais, e que trataremos neste artigo, o vazamento de informações confidenciais e a contaminação quando há conexão com outras redes.
Para conseguir enfrentar e vencer esses novos desafios é fundamental utilizarmos a tática de dividir e conquistar, que nos possibilita focar em problemas individuais menores, que nos levarão a conquista da segurança para o ambiente inteiro.
Seguindo esta tática, dividiremos a proteção dos dispositivos móveis em três partes:
· Classificação das informações
· Proteção dos dispositivos móveis
· Proteção da rede contra os dispositivos móveis
Neste primeiro momento, trataremos o processo de classificação das informações, que tem como finalidade a identificação das informações da empresa, onde elas são armazenadas, como transitam ou são tratadas, quem pode acessá-las e o que podem fazer com esse acesso.
Este processo deve se iniciar com a definição da estrutura que será utilizada pelas áreas de negócio, para a classificação das informações. Esta estrutura deve direcionar a classificação, de modo a evitar que critérios muito distintos sejam utilizados pelas áreas de negócios e a garantir que procedimentos padronizados sejam utilizados para o controle das informações durante todo seu ciclo de vida, da criação da informação, passando por suas mudanças de níveis, até sua destruição.
É de fundamental importância que essa estrutura seja desenhada conforme os preceitos da cultura da empresa, de modo a não afetar sobremaneira o andamento dos negócios, ou certamente cairá em desuso. É importante também que seja definido um processo de revisão desta política, para que possa se adaptar continuamente às mudanças no ambiente de negócios.
Essa estrutura, ou política, de classificação das informações, deve ainda designar os responsáveis pelas diferentes etapas do processo de classificação e também o tratamento que será dado aos casos de desvio em relação à política. Deixando as regras claras, fica muito mais fácil garantir o apoio da alta administração e a adoção pelos usuários.
De posse dessa política, a área de segurança de informação deve atuar conjuntamente com as áreas de negócios, na identificação e na classificação das informações que utilizam, dos diferentes níveis de acesso que cada grupo de usuários deve ter sobre essas informações, onde e em que formato as mesmas podem ser armazenadas e transmitidas, e quais ações podem ser realizadas por esses usuários nas informações.
Esse trabalho de classificação deve ser então consolidado numa forma final simples, como uma matriz de relacionamentos informação x grupo de usuários x ação, que deverá ser utilizada então para a implantação dos controles que garantirão o cumprimento das premissas da política.
Cristiano Silverio é security officer da Dimension Data no Brasil
Ao mesmo tempo em que possibilita inúmeras oportunidades, a mobilidade traz uma série de desafios, sendo os principais, e que trataremos neste artigo, o vazamento de informações confidenciais e a contaminação quando há conexão com outras redes.
Para conseguir enfrentar e vencer esses novos desafios é fundamental utilizarmos a tática de dividir e conquistar, que nos possibilita focar em problemas individuais menores, que nos levarão a conquista da segurança para o ambiente inteiro.
Seguindo esta tática, dividiremos a proteção dos dispositivos móveis em três partes:
· Classificação das informações
· Proteção dos dispositivos móveis
· Proteção da rede contra os dispositivos móveis
Neste primeiro momento, trataremos o processo de classificação das informações, que tem como finalidade a identificação das informações da empresa, onde elas são armazenadas, como transitam ou são tratadas, quem pode acessá-las e o que podem fazer com esse acesso.
Este processo deve se iniciar com a definição da estrutura que será utilizada pelas áreas de negócio, para a classificação das informações. Esta estrutura deve direcionar a classificação, de modo a evitar que critérios muito distintos sejam utilizados pelas áreas de negócios e a garantir que procedimentos padronizados sejam utilizados para o controle das informações durante todo seu ciclo de vida, da criação da informação, passando por suas mudanças de níveis, até sua destruição.
É de fundamental importância que essa estrutura seja desenhada conforme os preceitos da cultura da empresa, de modo a não afetar sobremaneira o andamento dos negócios, ou certamente cairá em desuso. É importante também que seja definido um processo de revisão desta política, para que possa se adaptar continuamente às mudanças no ambiente de negócios.
Essa estrutura, ou política, de classificação das informações, deve ainda designar os responsáveis pelas diferentes etapas do processo de classificação e também o tratamento que será dado aos casos de desvio em relação à política. Deixando as regras claras, fica muito mais fácil garantir o apoio da alta administração e a adoção pelos usuários.
De posse dessa política, a área de segurança de informação deve atuar conjuntamente com as áreas de negócios, na identificação e na classificação das informações que utilizam, dos diferentes níveis de acesso que cada grupo de usuários deve ter sobre essas informações, onde e em que formato as mesmas podem ser armazenadas e transmitidas, e quais ações podem ser realizadas por esses usuários nas informações.
Esse trabalho de classificação deve ser então consolidado numa forma final simples, como uma matriz de relacionamentos informação x grupo de usuários x ação, que deverá ser utilizada então para a implantação dos controles que garantirão o cumprimento das premissas da política.
Cristiano Silverio é security officer da Dimension Data no Brasil