Requisitos de segurança na aquisição de sistemas de informação

Por: Max Gorissen

Os sistemas de informação incluem sistemas operacionais, de infraestrutura, aplicações de negócios, produtos de prateleira e aplicações desenvolvidas pelo usuário.

Contudo, muitas empresas ao comprar ou desenvolver um determinado sistema destinado a apoiar o processo de negócio, não leva em conta que a sua implementação pode ser crucial para a segurança da informação.

Muitas falhas de segurança se encontram “embutidas” nos sistemas desenvolvidos ou adquiridos e podem permitir a ocorrência de erros, perdas, acessos e modificações não autorizados ou até o mau uso das informações. Por este motivo, é importante que antes da implementação de novos sistemas de informação os requisitos de segurança sejam identificados e testados.

Para dar um exemplo, o Windows XP da Microsoft®, disponibiliza o Windows Update que oferece as mais recentes atualizações de segurança e outras atualizações importantes, além de drivers de dispositivo e outros recursos disponíveis parar computadores com Windows.

O mesmo deve ser considerado nos outros sistemas a serem utilizados.

Mudando este exemplo e pensando em um produto que não seja comprado na “prateleira”, é importante que um processo formal de aquisição e testes seja realizado e que o contrato com o fornecedor leve em consideração os requisitos de segurança estipulados pela empresa.

No caso em que funcionalidades de segurança de um produto não satisfaçam os seus requisitos, é importante que seja realizada uma análise do risco que está sendo introduzido, considerando também os controles necessários para minimizá-lo antes de se efetivar a compra do produto.

Por outro lado, quando novas funcionalidades são incorporadas ao sistema e percebesse que estas acarretam riscos à segurança, convém que as mesmas sejam desativadas ou que a estrutura de controles proposta seja analisada criticamente para determinar se há vantagem na utilização das funcionalidades em questão.

Esta prevenção, não só evita os problemas de segurança mencionados anteriormente como também minimiza custos já que, problemas identificados no estágio anterior à implementação, são muito mais baratos de solucionar do que aqueles identificados posteriormente.


Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

w

Connecting to %s