Baixe o app para aproveitar ainda mais
Prévia do material em texto
1. Introdução A informação é o ativo mais valioso de diversas organizações dos mais diversos segmentos no mercado. Os riscos relacionados aos ativos de informação devem ser devidamente identificados e analisados a fim de especificar medidas de segurança. A complexidade no manuseio das informações tornou-se uma das atividades mais críticas em uma organização, uma vez que seus ativos mais valiosos estão expostos a ataques, manipulações e extravios por pessoas más intencionadas. 2. Desenvolvimento O escopo é proteger as informações sigilosas e estratégicas dos clientes da organização nos setores de auditoria contábil e consultoria tributária, referente algumas definições: · Assegura-se de que o objetivo da segurança da informação está alinhado com as estratégias de negócio da empresa; · Determinar recursos; · Determinar papeis de responsabilidade de segurança da informação e avaliar riscos incluindo a identificação de sistema de informação e de contratuais; Em relação definições de políticas segundo aos autores Coelho, Araújo e Bezerra (2014), a segurança da informação é resultado de um conjunto de controles que devem ser estabelecidos, implementados, monitorados, analisados e continuamente melhorados, com intuito de atender às necessidades de negócios e segurança da organização. · Incidente de Segurança: Qualquer evento adverso relacionado à segurança; · Ativo: Qualquer coisa que tenha valor para a organização e para os seus negócios; · Ameaças: Qualquer evento que explore vulnerabilidades. Causa potencial de um incidente indesejado, que pode gerar danos à organização ou sistema; · Vulnerabilidade: qualquer fraqueza que possa ser explorada e comprometa a segurança de um sistema de informação; · Confidencialidade: Compreende proteção de dados transmitidos contra ataques não autorizados, envolve medidas de controle de acesso e criptografia; · Autenticidade: Garantir que uma comunicação é autentica. Origem e destino podem verificar identidade da outra parte envolvida na comunicação; · Integridade: Garantia contra ataques aos ativos, por meio de alterações ou remoções não autorizadas; · Não repúdio: Compreende o serviço que previne uma origem ou destino de negar a transmissão de mensagens; As etapas de implantação deve estabelecer o monitoramento e análise crítica em seu ambientes de trabalho: · Executando os procedimentos de monitoramento e análise crítica; · Avaliar os requisitos de segurança dos controles; · Propondo a aplicação de ferramentas que auxiliam a segurança da informação; · Auditorias internas; Alguns desses passos mencionados são a base para sucesso da implantação do SGSI em uma organização. Segundo a Norma ABTN (2006), uma organização que deseja uma melhoria contínua e atinja os objetivos definidos pela empresa: · Com adoção do processo de PCDA “Plan-Do-Check-Act” para estruturar todos os processos; · Plan (planejar): Estabelecer a política de segurança da informação, os objetivos, processos e procedimentos do SGSI; · Do (fazer): Implementar e operar a política, os procedimentos, controle e processos; · Check (checar): Monitorar, analisar criticamente, realizar auditorias e medir o desempenho dos processos; · Act (agir): Manter e melhorar, por meio de ações corretivas e preventivas; · A norma ISSO/IEC 27002 está estruturado em 11 ações ao todo, são 133 controles divididos em: · Política de segurança da informação · Organização da segurança da informação · Gestão de ativos · Segurança em recursos humanos · Segurança física · Gerenciamento das operações e comunicações Sem execução de um plano de melhoria continua os processos podem apresentar falhas. 3. Conclusão A implantação de um SGSI é sem dúvida uma solução que viabiliza a eficácia da entrega e suporte dos serviços, garantindo a continuidade das atividades da empresa Consulte Service. 4. Referências Associação Brasileira de Normas Técnicas – ABNT (Norma NBR-ISO/IEC 27001:2006) Associação Brasileira de Normas Técnicas – ABNT (Norma NBR-ISO/IEC NBR 27002:2005) Jule Hintzbergen,Kees Hintzbergen, André Smulders,Hans Baars: Fundamentos de Segurança da Informação; com base na ISO 27001 e na ISO 27002
Compartilhar