Indisponibilidade de sistema pode causar prejuízo de R$ 1 bilhão

1 de fevereiro de 2012
Compartilhe

O Jornal a Folha de S.Paulo informou que Caixa Econômica Federal pode gerar para os cofres públicos uma perda de R$ 1 bilhão. Durante o período de setembro de 2008 a agosto de 2009, o sistema de informática responsável pelas informações relativas a determinados papéis da dívida pública brasileira, ficou fora do ar. Fato esse que impediu a conferência correta dos respectivos valores, os quais acabaram sendo negociados com prejuízo para o governo brasileiro. A saída do sistema foi atribuída a um erro da empresa de informática terceirizada.

É uma situação que tem tudo para ser esclarecida: gestão de incidentes; acordos de nível de serviço; participação dos gestores da informação nas definições de tempo máximo de indisponibilidade de sistemas e serviços; políticas de segurança; planos de continuidade de negócio e formalização de todos estes (e demais) controles definidos pela norma brasileira, baseada na norma internacional NBR ISO/IEC 27002:2005. Fundamentando-se nesses controles e suas evidências, será possível avaliar o porque do erro e quais providências poderão e deverão ser tomadas.

Todas as organizações podem aprimorar seus controles em segurança da informação, analisando sempre os incidentes que acontecem consigo e com as outras organizações.

Pensando em segurança da informação, sua organização precisa:
a) Ter uma política de segurança da informação:
Na qual serão definidas as responsabilidades das pessoas relacionadas à informação.
b) Implantação do conceito de Gestor da Informação:

Toda a informação da empresa precisa ter um responsável pela definição dos critérios de disponibilidade, integridade e sigilo.
c) Tempo de indisponibilidade de sistemas:
O gestor da informação deve definir qual o tempo máximo que um sistema ou serviço poderá ficar indisponível; e também o que deve ser feito durante esse período de indisponibilidade (Controles manuais? E se esta parte do negócio da organização fica sem funcionar?), e de integridade (Se algum procedimento for realizado fora do sistema, como se garantirá a confiabilidade destas informações?).
d) Registros para auditoria
Todas as ações feitas nos sistemas de informática, ou as ações realizadas de maneira convencional (no papel), devem ser obrigatoriamente registradas para permitir que auditorias e investigações identifiquem o que foi feito; e se foi erro, o porque os controles existentes não foram suficientes para impedi-lo.
e) Proteção da informação é da organização:
A Área de Segurança da Informação tem a responsabilidade de garantir a existência do processo de proteção da informação, no ambiente computacional e no ambiente convencional. Esta área deve garantir que as responsabilidades estão definidas e os controles existem. Porém, a definição de quão rígidos serão estes controles, deverá ser definida pelos gestores da informação, que deverão considerar o risco para a organização e a conformidade com a legislação que a organização está submetida.

Este fato foi noticiado nos jornais por conta dos valores envolvidos e por se tratar de um possível prejuízo para o dinheiro público. Mas, quantas organizações podem estar sofrendo prejuízos por não terem implantado adequadamente os controles de segurança? São 133 controles definidos pela Norma NBR ISO/IEC 27002:2005. Existem outras normas da família 27000 (todas dedicadas à segurança da informação), porém estes controles são básicos e estruturais.

E a sua organização, como está?

*Edison Fontes, CISM, CISA. Consultor. Professor de Segurança da Informação dos cursos de pós-graduação da FIAP. Colunista do Information Week. Autor dos livros: Praticando a Segurança da Informação (Editora Brasport); Segurança da Informação: o usuário faz a diferença! (Editora Saraiva); e Vivendo a Segurança da Informação (Editora Sicurezza). Atua na área de Segurança da Informação desde 1989.

Leia o blog do professor Edison Fontes no site da Information Week

Últimas Notícias
Inclusão de IA em MBAs capacita profissionais para carreiras do futuro Leia mais
UMBLOCO, STARTUP ACELERADA PELA ROCK NEW VENTURES É SELECIONADA PARA PARTICIPAR DO WEB SUMMIT LISBON 2024 Leia mais
MAIS DE 80 PROJETOS SÃO PREMIADOS NO NEXT 2024, EVENTO PROMOVIDO PELA FIAP Leia mais
MBA em Tecnologia potencializa carreira de líderes em diversos setores Leia mais

Nosso site armazena cookies para coletar informações e melhorar sua experiência. Gerencie seus cookies ou consulte nossa política.

Prosseguir

Configure seus cookies

Pensando em nossos alunos, fazemos o uso de cookies para melhorar a experiência de navegação em nosso site e otimizar constantemente os nossos serviços. Os cookies armazenam temporariamente algumas informações básicas da sua interação com as nossas páginas.

Cookies indispensáveis

Estes cookies não podem ser desativados pois são necessários para que o site funcione corretamente ou para melhorar o desempenho funcionalidades diversas. Eles estão relacionados com a realização de login no Portal do Aluno, o preenchimento de formulários, contagem de visitas para a medição de performance de páginas, entre outros. Todos armazenados sem a possibilidade de identificação pessoal. Ao configurar seu navegador para bloquear esses cookies, algumas partes do site podem não funcionar.

Cookies de publicidade

Habilitado

Estes cookies são estabelecidos por nossos parceiros de publicidade e podem ser usados para compor um perfil sobre seus interesses e, a partir disso, mostrar anúncios relevantes para você em outros sites. As informações armazenadas são baseadas na identificação exclusiva do seu navegador e dispositivo de internet, sem armazenar diretamente informações pessoais. Ao configurar seu navegador para bloquear esses cookies, você terá menos publicidade direcionada.