Gestão operacional
Introdução
A prática de Gerenciamento Operacional (OM) concentra-se em atividades para garantir que a segurança seja mantida ao longo das funções de suporte operacional. Embora essas funções não sejam executadas diretamente por um aplicativo, a segurança geral do aplicativo e seus dados depende de seu desempenho adequado. Implantar um aplicativo em um sistema operacional não suportado, com vulnerabilidades não corrigidas, ou não armazenar mídia de backup de forma segura pode tornar as proteções incorporadas no aplicativo irrelevantes. As funções abrangidas por essa prática incluem, mas não se limitam a: provisionamento, administração e descomissionamento de sistemas; provisionamento e administração de bancos de dados; e backup, restauração e arquivamento de dados.
Modelo
Fundamentos e práticas
Implementar práticas básicas de proteção de dados.
Desativar aplicativos e serviços não utilizados conforme identificado. Gerenciar atualizações/migrações de clientes individualmente.
Processos gerenciados e responsivos
Desenvolver um catálogo de dados e estabelecer uma política de proteção de dados.
Desenvolver processos repetíveis de desativação para sistemas/serviços não utilizados e para migração de dependências legadas. Gerenciar roteiros de migração legados para clientes.
Monitoramento ativo e resposta
Automatizar a detecção de não conformidade com a política e auditar periodicamente a conformidade. Revisar e atualizar regularmente o catálogo de dados e a política de proteção de dados.
Gerenciar proativamente os roteiros de migração, tanto para dependências sem suporte no final da vida útil quanto para versões legadas de software entregue.
Como implementar?
Práticas Básicas de Proteção de Dados: Implemente práticas básicas para garantir a proteção dos dados operacionais. Isso inclui o uso de técnicas de criptografia, controle de acesso adequado, proteção contra perda de dados e outras medidas de segurança para garantir a confidencialidade, integridade e disponibilidade dos dados.
Desenvolvimento de Catálogo de Dados e Política de Proteção de Dados: Crie um catálogo de dados que identifique e classifique as informações sensíveis e críticas para a organização. Estabeleça uma política de proteção de dados que defina as diretrizes e requisitos para o manuseio e armazenamento adequados dessas informações.
Detecção Automatizada de Não Conformidades e Auditoria: Implemente ferramentas e sistemas automatizados para detectar não conformidades com a política de proteção de dados. Realize auditorias periódicas para verificar a conformidade e identificar áreas que precisam ser corrigidas ou aprimoradas.
Revisão e Atualização Regular: Faça revisões regulares do catálogo de dados e da política de proteção de dados para garantir que estejam atualizados e reflitam as mudanças na infraestrutura, nos aplicativos e nas regulamentações de segurança. Realize atualizações conforme necessário para manter a conformidade com os padrões atuais.
Desativação de Aplicativos e Serviços Não Utilizados: Identifique e desative aplicativos e serviços que não são mais necessários ou utilizados. Gerencie as atualizações e migrações de clientes individualmente, garantindo que eles estejam usando versões suportadas e livres de vulnerabilidades.
Desenvolvimento de Processos de Desativação e Migração: Crie processos repetíveis para desativar sistemas e serviços não utilizados e para migrar de dependências legadas. Gerencie roteiros de migração legados para clientes, fornecendo orientações e suporte durante o processo de migração.
Gerenciamento Proativo de Roteiros de Migração: Proativamente gerencie os roteiros de migração, especialmente para dependências que atingiram o fim da vida útil ou versões legadas de software entregue. Certifique-se de que os clientes estejam cientes das atualizações disponíveis e forneça orientações para que possam migrar para versões mais recentes e seguras.
Last updated