Quando do desenvolvimento ou aquisição de sistemas é necessário considerar alguns controles de segurança da informação. Caso a organização não considere estes controles neste momento de desenvolvimento ou de aquisição, o custo para a organização será muito maior. E custo não está limitado ao valor financeiro. Significa também mais tempo, maior complexidade para implementar a solução, maior utilização de recursos e o mais grave: um maior risco para ocorrência de ameaças (erros e ações criminosas).
A responsabilidade pelo desenvolvimento, aquisição ou manutenção de sistemas aplicativos é da Área de Tecnologia da Informação. Porém, a Gestão Corporativa de Segurança da Informação deve exigir que os seguintes controles sejam obrigatoriamente definidos:
- Reponsabilidade explícita e formal
A Área de Tecnologia da Informação deve ser responsável por qualquer desenvolvimento, aquisição ou manutenção de sistemas aplicativos. Estas atividades podem até ser realizadas por prestadores de serviço, mas a Área de Tecnologia da Informação deve coordenar estas ações e deve verificar:
- A capacidade e conhecimento técnico do fornecedor;
- A compatibilidade com o ambiente atual;
- A compatibilidade com soluções já implantadas;
- A qualidade da documentação fornecida pelo desenvolvedor;
- As questões de direito autoral em relação ao sistema tratado.
- Tempo de recuperação em situações de indisponibilidade
A organização deve definir o tempo necessário para a recuperação do sistema de informação caso ocorra uma situação de indisponibilidade no ambiente de tecnologia. Recomendo que esta definição seja tomada pelo Gestor da Informação do sistema aplicativo.
- Informações que necessitam de criptografia
Devem ser identificadas as informações que serão criptografadas. A segurança da informação deve avaliar os algoritmos utilizados e a gestão da guarda de chave da criptografia.
- Classificação da informação
Cada informação deve ser classificada em relação ao sigilo, conforme normativo corporativo específico para sigilo da informação.
- Identificação e autenticação
Deve ser definido como o usuário será identificado e como será realizada a autenticação deste usuário, inclusive se será necessário o uso de duplo fator de autenticação.
- Autorização de acesso á informação
Pessoalmente eu defendo a implementação do conceito de Gestor da Informação, que é a pessoa autorizada pela organização para conceder ou negar o acesso de qualquer usuário á informação que está sob responsabilidade deste Gestor.
- Registros de auditoria
Devem ser definidos o que será gravado como registro de auditoria e durante quanto tempo estes registros serão guardados. Não se esqueça que em relação ao acesso à Internet, o Marco Civil da Internet dispõe de controles obrigatórios.
- Cópias de segurança dos arquivos do sistema aplicativo
Deve-se definir e implementar a existência de cópias de segurança. Esta necessidade de cópias de segurança deve considerar recuperação técnica, recuperação legal, necessidades históricas e requisitos de auditoria.
- Estruturação de testes
Os testes a serem realizados devem ser estruturados, planejados e registrados. A segurança da informação não é responsável por realizar os testes, mas ela exige que os testes sejam realizados com planejamento e qualidade.
A Dimensão de Desenvolvimento de Sistemas é uma das dimensões do Processo Corporativo da Segurança da Informação. Para o sucesso e efetividade da segurança da informação na organização é necessária a abordagem de todas as dimensões.