N1 - SGSI

Prévia do material em texto

1. Introdução
A informação é o ativo mais valioso de diversas organizações dos mais diversos segmentos no mercado. Os riscos relacionados aos ativos de informação devem ser devidamente identificados e analisados a fim de especificar medidas de segurança. A complexidade no manuseio das informações tornou-se uma das atividades mais críticas em uma organização, uma vez que seus ativos mais valiosos estão expostos a ataques, manipulações e extravios por pessoas más intencionadas. 
2. Desenvolvimento
O escopo é proteger as informações sigilosas e estratégicas dos clientes da organização nos setores de auditoria contábil e consultoria tributária, referente algumas definições: 
· Assegura-se de que o objetivo da segurança da informação está alinhado com as estratégias de negócio da empresa; 
· Determinar recursos; 
· Determinar papeis de responsabilidade de segurança da informação e avaliar riscos incluindo a identificação de sistema de informação e de contratuais;
Em relação definições de políticas segundo aos autores Coelho, Araújo e Bezerra (2014), a segurança da informação é resultado de um conjunto de controles que devem ser estabelecidos, implementados, monitorados, analisados e continuamente melhorados, com intuito de atender às necessidades de negócios e segurança da organização.
· Incidente de Segurança: Qualquer evento adverso relacionado à segurança;
· Ativo: Qualquer coisa que tenha valor para a organização e para os seus negócios;
· Ameaças: Qualquer evento que explore vulnerabilidades. Causa potencial de um incidente indesejado, que pode gerar danos à organização ou sistema;
· Vulnerabilidade: qualquer fraqueza que possa ser explorada e comprometa a segurança de um sistema de informação;
· Confidencialidade: Compreende proteção de dados transmitidos contra ataques não autorizados, envolve medidas de controle de acesso e criptografia;
· Autenticidade: Garantir que uma comunicação é autentica. Origem e destino podem verificar identidade da outra parte envolvida na comunicação;
· Integridade: Garantia contra ataques aos ativos, por meio de alterações ou remoções não autorizadas;
· Não repúdio: Compreende o serviço que previne uma origem ou destino de negar a transmissão de mensagens;
As etapas de implantação deve estabelecer o monitoramento e análise crítica em seu ambientes de trabalho:
· Executando os procedimentos de monitoramento e análise crítica;
· Avaliar os requisitos de segurança dos controles;
· Propondo a aplicação de ferramentas que auxiliam a segurança da informação;
· Auditorias internas;
Alguns desses passos mencionados são a base para sucesso da implantação do SGSI em uma organização.
Segundo a Norma ABTN (2006), uma organização que deseja uma melhoria contínua e atinja os objetivos definidos pela empresa:
· Com adoção do processo de PCDA “Plan-Do-Check-Act” para estruturar todos os processos;
· Plan (planejar): Estabelecer a política de segurança da informação, os objetivos, processos e procedimentos do SGSI;
· Do (fazer): Implementar e operar a política, os procedimentos, controle e processos;
· Check (checar): Monitorar, analisar criticamente, realizar auditorias e medir o desempenho dos processos;
· Act (agir): Manter e melhorar, por meio de ações corretivas e preventivas;
· A norma ISSO/IEC 27002 está estruturado em 11 ações ao todo, são 133 controles divididos em:
· Política de segurança da informação
· Organização da segurança da informação
· Gestão de ativos
· Segurança em recursos humanos
· Segurança física
· Gerenciamento das operações e comunicações
 Sem execução de um plano de melhoria continua os processos podem apresentar falhas.
3. Conclusão
A implantação de um SGSI é sem dúvida uma solução que viabiliza a eficácia da entrega e suporte dos serviços, garantindo a continuidade das atividades da empresa Consulte Service.
4. Referências
Associação Brasileira de Normas Técnicas – ABNT (Norma NBR-ISO/IEC 27001:2006)
Associação Brasileira de Normas Técnicas – ABNT (Norma NBR-ISO/IEC NBR 27002:2005)
Jule Hintzbergen,Kees Hintzbergen, André Smulders,Hans Baars: Fundamentos de Segurança da Informação; com base na ISO 27001 e na ISO 27002