Segurança da informação e o desenvolvimento de sistemas

Quando do desenvolvimento ou aquisição de sistemas é necessário considerar alguns controles de segurança da informação. Caso a organização não considere estes controles neste momento de desenvolvimento ou de aquisição, o custo para a organização será muito maior. E custo não está limitado ao valor financeiro. Significa também mais tempo, maior complexidade para implementar a solução, maior utilização de recursos e o mais grave: um maior risco para ocorrência de ameaças (erros e ações criminosas).

A responsabilidade pelo desenvolvimento, aquisição ou manutenção de sistemas aplicativos é da Área de Tecnologia da Informação. Porém, a Gestão Corporativa de Segurança da Informação deve exigir que os seguintes controles sejam obrigatoriamente definidos:

  1. Reponsabilidade explícita e formal

A Área de Tecnologia da Informação deve ser responsável por qualquer desenvolvimento, aquisição ou manutenção de sistemas aplicativos. Estas atividades podem até ser realizadas por prestadores de serviço, mas a Área de Tecnologia da Informação deve coordenar estas ações e deve verificar:

  • A capacidade e conhecimento técnico do fornecedor;
  • A compatibilidade com o ambiente atual;
  • A compatibilidade com soluções já implantadas;
  • A qualidade da documentação fornecida pelo desenvolvedor;
  • As questões de direito autoral em relação ao sistema tratado.
  1. Tempo de recuperação em situações de indisponibilidade

A organização deve definir o tempo necessário para a recuperação do sistema de informação caso ocorra uma situação de indisponibilidade no ambiente de tecnologia. Recomendo que esta definição seja tomada pelo Gestor da Informação do sistema aplicativo.

  1. Informações que necessitam de criptografia

Devem ser identificadas as informações que serão criptografadas. A segurança da informação deve avaliar os algoritmos utilizados e a gestão da guarda de chave da criptografia.

  1. Classificação da informação

Cada informação deve ser classificada em relação ao sigilo, conforme normativo corporativo específico para sigilo da informação.

  1. Identificação e autenticação

Deve ser definido como o usuário será identificado e como será realizada a autenticação deste usuário, inclusive se será necessário o uso de duplo fator de autenticação.

  1. Autorização de acesso á informação

Pessoalmente eu defendo a implementação do conceito de Gestor da Informação, que é a pessoa autorizada pela organização para conceder ou negar o acesso de qualquer usuário á informação que está sob responsabilidade deste Gestor.

  1. Registros de auditoria

Devem ser definidos o que será gravado como registro de auditoria e durante quanto tempo estes registros serão guardados. Não se esqueça que em relação ao acesso à Internet, o Marco Civil da Internet dispõe de controles obrigatórios.

  1. Cópias de segurança dos arquivos do sistema aplicativo

Deve-se definir e implementar a existência de cópias de segurança. Esta necessidade de cópias de segurança deve considerar recuperação técnica, recuperação legal, necessidades históricas e requisitos de auditoria.

  1. Estruturação de testes

Os testes a serem realizados devem ser estruturados, planejados e registrados. A segurança da informação não é responsável por realizar os testes, mas ela exige que os testes sejam realizados com planejamento e qualidade.

A Dimensão de Desenvolvimento de Sistemas é uma das dimensões do Processo Corporativo da Segurança da Informação. Para o sucesso e efetividade da segurança da informação na organização é necessária a abordagem de todas as dimensões.