Diagnóstico de TI e Segurança da Informação

Avaliação da adequabilidade e eficiência dos sistemas de tecnologia e de proteção à informação da empresa-cliente, incluindo mas não se limitando às informações pessoais (relativo à LGPD, GDPR). Inclui a análise (i) dos riscos operacionais de tecnologia e segurança da informação, relacionados aos processos e projetos que possam impactar a integridade, disponibilidade e confidencialidade da empresa, normas internacionais e boas práticas de mercado; (ii) da estrutura de hardware, restrita aos equipamentos destinados a operacionalizar os sistemas implantados; (iii) da infraestrutura de TI, (…)

Composta da estrutura física e lógica da rede local (LAN) e rede externa (WAN), a estrutura de cabeamento e fibra ótica, o datacenter e todo o processo de controle de acesso ao ambiente de dados e controles dos ativos de TI da organização; (iv) da estrutura de sistemas (softwares) utilizados (cardápio de sistemas); (v) da efetividade dos controles internos. Também, a apreciação da compatibilidade do sistema de infraestrutura de TI às particularidades da empresa (tamanho, natureza da atividade, etc.); inter-relação entre sistemas proprietários e de terceiros e respectiva segurança da propriedade intelectual, da informação própria e de terceiros (incluindo os dados pessoais protegidos pela legislação nacional e europeia); pertinência do plano de continuidade do negócio, quando existente; e coesão e atualidade das políticas vigentes. 

Contempla, também, a avaliação do perfil da equipe e de competência dos profissionais envolvidos nas atividades de gestão administrativa tecnológica e da segurança da informação; e diagnóstico do sistema de gestão documental (físico e digital).

Referências: ISO/IEC 27000:2018 (Sistema de Gerenciamento de Segurança da Informação); ABNT NBR   ISO/IEC 38500:2018 (Tecnologia da informação – Governança da TI); ISO/IEC 20000 (Gestão de Serviços de TI); ABNT NBR ISO 22301:2013 (Sistema de Gestão de Continuidade de Negócios); ITIL – Information Technology Infrastructure Library (conjunto de melhores práticas sugeridas para garantir a qualidade nos processos de TI).

Modus Operandi: Entrevistas, testes remotos e in situ, Self Assessment

Entregáveis:

  • MGTI – Mapeamento e Gestão da Tecnologia da Informação (inclui mapeamento de processos);
  • Impacto do TI no Negócio/Diagnóstico por meio de BIA (Business Impact Analysis) e Cybersecurity;
  • Redefinição de Perfis de Acesso;
  • Nível de Maturidade Tecnológica (inclui Gap Analysis à luz das normas de referência);
  • Nível de Aderência às Leis de Proteção de Dados;
  • Listagem de problemas de TI/Mapa de Riscos: segurança, customização, barreiras, limitações, deficiências, falhas;
  • Laudo de Adequabilidade de Gestão Documental Física e Tecnológica;
  • Plano de Melhorias (PDCA – Plan, Do, Check & Act).


Nota: A avaliação dos sistemas proprietários inclui exame da sua qualidade e apuração de eventuais inconsistências em decorrência de imperícia, negligência (falha na composição do código e “fechamento de portas de acesso”) ou má fé, que podem resultar em exposição dos mesmos à agentes maliciosos internos ou externos (hackers ou crackes), colocar em risco as atividades da empresa, caso tenham o funcionamento interrompidos ou sejam retirados do ar, ou gerar dano à terceiro.

A análise tecnológica dos sistemas proprietários é integrada com o Diagnóstico de Proteção de Patentes, serviço constante do projeto e realizado pelo escritório parceiro Remer, Villaça e Nogueira Advogados (“RVN”). Os trabalhos do RVN poderão ser estendidos aos sistemas desenvolvidos em parceria (co-design) ou criados para a empresa, quando acordado a transferência da criação. A análise dos sistemas de terceiros inclui a apreciação dos termos dos contratos firmados e medidas adotadas pelas empresas terceiras para adequação às leis de proteção de dados; existência de provedor de serviços de mesmo padrão/nível técnico, caso observada a necessidade de substituição do terceiro (relativo ao Plano de Contingência e Continuidade dos Negócios).

Diagnóstico de Proteção de Patentes

Busca aprofundada, de âmbito global, cumulada com análise de inventividade, recomendações de proteção por patente/software e/ou direito autoral e/ou contrato, por invento/produto.

Objetiva identificar soluções passíveis de proteção por propriedade intelectual para apreensão de valor e/ou minimizar riscos de uso de tecnologia ou solução alheia, evitando indenizações. Especialmente relevante no âmbito de aplicativos e sistemas de integração de banco de dados.

Entregável: Laudo de Diagnóstico e Plano Diretivo de Proteção de Propriedade Intelectual.

Plano de TI e Segurança da Informação: Melhorias e Gestão Contínua

Plano de Melhorias: Proposta de iniciativas que visam a revisão das infraestruturas, práticas e rotinas, de modo a garantir aderência às normas e diretrizes de referência, reduzindo a exposição da empresa a eventos decorrentes de falha ou resultantes da inadequabilidade dos sistemas de segurança, dos controles internos.

Gestão Administrativa e Tecnológica: definição de metas, planejamento contínuo, controle permanente; tecnologias dinâmicas (gerenciamento a resposta da empresa à introdução de novas tecnologias), tecnologias estabilizadas (gerenciamento dos recursos da empresa para o uso mais eficiente), organização, barreiras.

Inclui:

  • Criação (ou revisão) de Políticas de Acesso;
  • Criação (ou revisão) Termo de Uso da Internet, Rede Corporativa, Computadores e Utilização de E-mails Corporativos;
  • Política de Segurança da Informação (PSI) – inclui orientações para acesso remoto;
  • Política de Controle de Acesso Lógico e Termo de Responsabilidade;
  • Política de Proteção de Dados;
  • Politica de Uso de Dispositivos Móveis Pessoais (BYOD- Bring Your Own Device), se aplicável/ recomendável;
  • Politica de Resposta a Incidentes;
  • Política de Descarte, Retenção de Informações e Backups;
  • Orientação aos aplicadores/guardiões das políticas em comento (“Train the Trainers”), quando à operacionalização das diretrizes, fiscalização da sua aplicação e disseminação do conteúdo;
  • Assistência na criação e implementação (ou revisão) das rotinas relativas à operacionalização das políticas listadas e outras vigentes na empresa-cliente (relativo aos controles internos controles).

Plano de Continuidade de TI e Gestão de Crise em TI

Elaboração de Guia para o esforço de recuperação das funções que atendem ao conceito de Missão Crítica do Negócio da empresa-cliente, permitindo, na ocorrência de situação de emergência, que empregados e agentes externos designados respondam assertiva e tempestivamente à situação, pela interrupção da causa e/ou de seus efeitos, tratamento dos fatores que impactam ou poderiam impactar a capacidade da empresa de executar suas funções essenciais.

Nossa abordagem inclui, mas não está limitada a:

  1. Avaliação dos riscos e estrutura de governança identificados em Diagnóstico de Compliance Digital e outros conexos;
  2. Avaliação do Diagnóstico BIA (Business Impact Analysis) e Cybersecurity;
  3. Criação e Implementação de Plano DRP¹ e BCP² em consonância da ABNT NBR ISO 22301:2013, incluindo Planos Operacionais;
  4. Protocolo de comunicação definido englobando todos os públicos (interno, cliente, mídia, investidores/associados/federados, etc.);
  5. Treinamento de planos para todos os associados;
  6. Criação de Comitê de Gestão de Crise: regulamento interno, identificação do perfil adequado dos integrantes, treinamento;
  7. Exercícios de aderência de planos;
  8. Cronogramas de manutenção definidos.

¹ DRP – Disaster Recovery Plan (Plano de Recuperação de Desastres)

² BCP – Business Continuity Plan (Plano de Continuidade de Negócios)

Nota: É prudente que o Plano de Continuidade de Negócio e Gestão de Crise esteja suportado por empresa de comunicação especializada. Também, a automatização de Processos e utilização de Portal de Continuidade de Negócios.

Teste do Plano de Continuidade de Negócios

Os exercícios de aderência têm como objetivo verificar a capacidade de recuperação dos processos de negócio em escopo, a partir do Plano de Continuidade de Negócios, seus diversos Planos Operacionais, testando toda estratégia e processos elaborados e, em última análise, validando a eficácia de todo o BCP.

O Plano de Continuidade de Negócios só será considerado implementado com o sucesso dos exercícios de aderência.