Diagnóstico de TI e Segurança da Informação
Avaliação da adequabilidade e eficiência dos sistemas de tecnologia e de proteção à informação da empresa-cliente, incluindo mas não se limitando às informações pessoais (relativo à LGPD, GDPR). Inclui a análise (i) dos riscos operacionais de tecnologia e segurança da informação, relacionados aos processos e projetos que possam impactar a integridade, disponibilidade e confidencialidade da empresa, normas internacionais e boas práticas de mercado; (ii) da estrutura de hardware, restrita aos equipamentos destinados a operacionalizar os sistemas implantados; (iii) da infraestrutura de TI, (…)
Composta da estrutura física e lógica da rede local (LAN) e rede externa (WAN), a estrutura de cabeamento e fibra ótica, o datacenter e todo o processo de controle de acesso ao ambiente de dados e controles dos ativos de TI da organização; (iv) da estrutura de sistemas (softwares) utilizados (cardápio de sistemas); (v) da efetividade dos controles internos. Também, a apreciação da compatibilidade do sistema de infraestrutura de TI às particularidades da empresa (tamanho, natureza da atividade, etc.); inter-relação entre sistemas proprietários e de terceiros e respectiva segurança da propriedade intelectual, da informação própria e de terceiros (incluindo os dados pessoais protegidos pela legislação nacional e europeia); pertinência do plano de continuidade do negócio, quando existente; e coesão e atualidade das políticas vigentes.
Contempla, também, a avaliação do perfil da equipe e de competência dos profissionais envolvidos nas atividades de gestão administrativa tecnológica e da segurança da informação; e diagnóstico do sistema de gestão documental (físico e digital).
Referências: ISO/IEC 27000:2018 (Sistema de Gerenciamento de Segurança da Informação); ABNT NBR ISO/IEC 38500:2018 (Tecnologia da informação – Governança da TI); ISO/IEC 20000 (Gestão de Serviços de TI); ABNT NBR ISO 22301:2013 (Sistema de Gestão de Continuidade de Negócios); ITIL – Information Technology Infrastructure Library (conjunto de melhores práticas sugeridas para garantir a qualidade nos processos de TI).
Modus Operandi: Entrevistas, testes remotos e in situ, Self Assessment
Entregáveis:
- MGTI – Mapeamento e Gestão da Tecnologia da Informação (inclui mapeamento de processos);
- Impacto do TI no Negócio/Diagnóstico por meio de BIA (Business Impact Analysis) e Cybersecurity;
- Redefinição de Perfis de Acesso;
- Nível de Maturidade Tecnológica (inclui Gap Analysis à luz das normas de referência);
- Nível de Aderência às Leis de Proteção de Dados;
- Listagem de problemas de TI/Mapa de Riscos: segurança, customização, barreiras, limitações, deficiências, falhas;
- Laudo de Adequabilidade de Gestão Documental Física e Tecnológica;
- Plano de Melhorias (PDCA – Plan, Do, Check & Act).
Nota: A avaliação dos sistemas proprietários inclui exame da sua qualidade e apuração de eventuais inconsistências em decorrência de imperícia, negligência (falha na composição do código e “fechamento de portas de acesso”) ou má fé, que podem resultar em exposição dos mesmos à agentes maliciosos internos ou externos (hackers ou crackes), colocar em risco as atividades da empresa, caso tenham o funcionamento interrompidos ou sejam retirados do ar, ou gerar dano à terceiro.
A análise tecnológica dos sistemas proprietários é integrada com o Diagnóstico de Proteção de Patentes, serviço constante do projeto e realizado pelo escritório parceiro Remer, Villaça e Nogueira Advogados (“RVN”). Os trabalhos do RVN poderão ser estendidos aos sistemas desenvolvidos em parceria (co-design) ou criados para a empresa, quando acordado a transferência da criação. A análise dos sistemas de terceiros inclui a apreciação dos termos dos contratos firmados e medidas adotadas pelas empresas terceiras para adequação às leis de proteção de dados; existência de provedor de serviços de mesmo padrão/nível técnico, caso observada a necessidade de substituição do terceiro (relativo ao Plano de Contingência e Continuidade dos Negócios).
Diagnóstico de Proteção de Patentes
Busca aprofundada, de âmbito global, cumulada com análise de inventividade, recomendações de proteção por patente/software e/ou direito autoral e/ou contrato, por invento/produto.
Objetiva identificar soluções passíveis de proteção por propriedade intelectual para apreensão de valor e/ou minimizar riscos de uso de tecnologia ou solução alheia, evitando indenizações. Especialmente relevante no âmbito de aplicativos e sistemas de integração de banco de dados.
Entregável: Laudo de Diagnóstico e Plano Diretivo de Proteção de Propriedade Intelectual.
Plano de TI e Segurança da Informação: Melhorias e Gestão Contínua
Plano de Melhorias: Proposta de iniciativas que visam a revisão das infraestruturas, práticas e rotinas, de modo a garantir aderência às normas e diretrizes de referência, reduzindo a exposição da empresa a eventos decorrentes de falha ou resultantes da inadequabilidade dos sistemas de segurança, dos controles internos.
Gestão Administrativa e Tecnológica: definição de metas, planejamento contínuo, controle permanente; tecnologias dinâmicas (gerenciamento a resposta da empresa à introdução de novas tecnologias), tecnologias estabilizadas (gerenciamento dos recursos da empresa para o uso mais eficiente), organização, barreiras.
Inclui:
- Criação (ou revisão) de Políticas de Acesso;
- Criação (ou revisão) Termo de Uso da Internet, Rede Corporativa, Computadores e Utilização de E-mails Corporativos;
- Política de Segurança da Informação (PSI) – inclui orientações para acesso remoto;
- Política de Controle de Acesso Lógico e Termo de Responsabilidade;
- Política de Proteção de Dados;
- Politica de Uso de Dispositivos Móveis Pessoais (BYOD- Bring Your Own Device), se aplicável/ recomendável;
- Politica de Resposta a Incidentes;
- Política de Descarte, Retenção de Informações e Backups;
- Orientação aos aplicadores/guardiões das políticas em comento (“Train the Trainers”), quando à operacionalização das diretrizes, fiscalização da sua aplicação e disseminação do conteúdo;
- Assistência na criação e implementação (ou revisão) das rotinas relativas à operacionalização das políticas listadas e outras vigentes na empresa-cliente (relativo aos controles internos controles).
Plano de Continuidade de TI e Gestão de Crise em TI
Elaboração de Guia para o esforço de recuperação das funções que atendem ao conceito de Missão Crítica do Negócio da empresa-cliente, permitindo, na ocorrência de situação de emergência, que empregados e agentes externos designados respondam assertiva e tempestivamente à situação, pela interrupção da causa e/ou de seus efeitos, tratamento dos fatores que impactam ou poderiam impactar a capacidade da empresa de executar suas funções essenciais.
Nossa abordagem inclui, mas não está limitada a:
- Avaliação dos riscos e estrutura de governança identificados em Diagnóstico de Compliance Digital e outros conexos;
- Avaliação do Diagnóstico BIA (Business Impact Analysis) e Cybersecurity;
- Criação e Implementação de Plano DRP¹ e BCP² em consonância da ABNT NBR ISO 22301:2013, incluindo Planos Operacionais;
- Protocolo de comunicação definido englobando todos os públicos (interno, cliente, mídia, investidores/associados/federados, etc.);
- Treinamento de planos para todos os associados;
- Criação de Comitê de Gestão de Crise: regulamento interno, identificação do perfil adequado dos integrantes, treinamento;
- Exercícios de aderência de planos;
- Cronogramas de manutenção definidos.
¹ DRP – Disaster Recovery Plan (Plano de Recuperação de Desastres)
² BCP – Business Continuity Plan (Plano de Continuidade de Negócios)
Nota: É prudente que o Plano de Continuidade de Negócio e Gestão de Crise esteja suportado por empresa de comunicação especializada. Também, a automatização de Processos e utilização de Portal de Continuidade de Negócios.
Teste do Plano de Continuidade de Negócios
Os exercícios de aderência têm como objetivo verificar a capacidade de recuperação dos processos de negócio em escopo, a partir do Plano de Continuidade de Negócios, seus diversos Planos Operacionais, testando toda estratégia e processos elaborados e, em última análise, validando a eficácia de todo o BCP.
O Plano de Continuidade de Negócios só será considerado implementado com o sucesso dos exercícios de aderência.