3 Gestao_da_Seguranca_da_Informacao

Prévia do material em texto

Gestão da 
Segurança da 
Informação
 
SST
QUEIROZ, Z. C. L. S.
Gestão da Segurança da Informação / Zandra Cristina 
Lima Silva Queiroz 
Ano: 2020
nº de p.: 8 páginas
Copyright © 2020. Delinea Tecnologia Educacional. Todos os direitos reservados.
3
Gestão da Segurança 
da Informação
Apresentação
A gestão da segurança da informação é sempre um objetivo importante em qualquer 
ambiente organizacional que lida com informações, especialmente, em modo digital. 
Por isso, vamos conhecer uma ferramenta importante para suportar essa busca na 
obtenção e manutenção da segurança da informação.
Gestão da segurança da informação
A construção de um modelo de gestão da segurança da informação pela 
organização apoia-se em um tripé: 
• tecnologia;
• pessoas;
• processos.
Tripé tecnologia, pessoas, processos 
Fonte: Plataforma Deduca (2020).
Devemos nos lembrar que as ameaças à segurança da informação não se 
restringem somente ao mundo tecnológico, visto que já estudamos que as pessoas 
são o elo mais fraco da segurança da informação. Para minimizar os riscos, é 
4
preciso construir processos e procedimentos que orientem quanto às atitudes 
corretas para garantir a segurança das informações das organizações.
Beal (2008, p. 37) aponta que gestão da segurança utiliza do método PDCA (Plan, Do, 
Check, Act), e sugere algumas ações para cada etapa.
O método PDCA é uma ferramenta para gestão de segurança 
Fonte: Plataforma Deduca (2020)
Planejamento e execução
P = Plan, de planejar: identificar todos os processos críticos da empresa, fluxo de 
informações, infraestrutura de TI (ativos), Serviços de TI. 
Metodologia
Nesta etapa, utiliza-se a metodologia de gestão do risco para avaliação dos 
riscos e o impacto no caso de falhas na organização.
Levantamento da legislação 
Importante realizar um levantamento da legislação que rege a estrutura da 
organização que possa impactar as informações bem como os princípios 
objetivos e requisitos de processamento da informação.
5
A norma ISO 27001 especifica as seções 4, 5, 6 e 7 como apoiadoras na etapa do 
planejamento. São elas:
Seções 4, 5, 6 e 7 ISO 27001
4 Contexto da organização 
4.1 Entendendo a organização e seu contexto.
4.2 Entendendo as necessidades e as expectativas das partes interessadas.
4.3 Determinando o escopo do sistema de gestão da segurança da informação.
4.4 Sistema de gestão da segurança da informação.
5 Liderança 
5.1 Liderança e comprometimento.
5.2 Política.
5.3 Autoridades, responsabilidades e papéis organizacionais.
6 Planejamento
6.1 Ações para contemplar riscos e oportunidades.
6.1.1 Geral.
6.1.2 Avaliação de riscos de segurança da informação.
6.1.3 Tratamento de riscos de segurança da informação.
6.2 Objetivo de segurança da informação e planos para alcançá-los.
7 Apoio 
7.1 Recursos
7.2 Competência
7.3 Conscientização
7.4 Comunicação
7.5 Informação documentada
7.5.1 Geral
7.5.2 Criando e atualizando
7.5.3 Controle da informação documentada
 
Fonte: ABNT (2013).
6
D = Do, de executar: colocar em prática o que foi planejado, executar atividades 
implantação da estrutura definida no planejamento, divulgação da política de 
segurança, campanhas de conscientização quanto às normas e procedimentos.
A norma ISO 27001 detalha as recomendações para a etapa de execução por meio 
da seção 8, que trata:
Seção 8 ISO 27001
8 Operação 
8.1 Planejamento operacional e controle.
8.2 Avaliação de riscos de segurança da informação.
8.3 Tratamento de riscos de segurança da informação.
 
Fonte: ABNT (2013).
Avaliação e ação
C = Check, de verificar, avaliar: nesta etapa, são realizadas a avaliação do planejado 
versus o executado. Este é o momento em que a organização deve possuir toda 
documentação acerca dos riscos, métricas e confrontá-las com as informações 
coletadas (por meio de auditoria, questionários, coleta de logs). Também estão 
incluídos testes e simulações de ataques para certificação dos controles adotados, 
bem com a avaliação periódica deles.
A ISO 27001 aborda as atividades necessárias dessa etapa na seção 9 que aponta o 
que segue:
Seção 9 ISO 27001
9 Avaliação do desempenho
9.1 Monitoramento, medição, análise e avaliação.
9.2 Auditoria interna.
9.3 Análise crítica pela direção.
 
Fonte: ABNT (2013).
7
A = Act, de agir: momento de tomar atitude ativa mediante uma não conformidade 
detectada na avaliação. Neste ínterim, a norma ISO 27001 também recomenda à 
organização observar continuamente a adequação e eficácia do sistema de gestão 
de segurança da organização, dando continuidade no ciclo PDCA de melhoria 
contínua. Essas recomendações estão descritas nos tópicos da seção 10:
Seção 10 ISO 27001
10 Melhoria
10.1 Não conformidade e ação corretiva.
10.2 Melhoria contínua.
 
Fonte: ABNT (2013).
Fechamento
Neste material, entendemos que, estabelecidos os parâmetros da gestão da 
segurança da informação, a organização estará apta para construir sua política de 
segurança com mais consistência e adequada à sua necessidade.
8
Referências
ABNT – Associação Brasileira de Normas Técnicas. ABNT NBR ISO/ IEC 
27002:2005. São Paulo: ABNT, 2005.
ABNT – Associação Brasileira de Normas Técnicas. ABNT NBR ISO/IEC 27005:2011. 
São Paulo, 2011.
ABNT – Associação Brasileira de Normas Técnicas. ABNT NBR ISO/IEC 27001:2013. 
São Paulo, 2013.
ABNT – Associação Brasileira de Normas Técnicas. ABNT NBR ISO/IEC 27004:2017. 
São Paulo, 2017.
BEAL, Adriana. Segurança da Informação: princípios e melhores práticas para a 
proteção dos ativos de informação nas organizações. São Paulo: Atlas, 2008.
FONTES, Edison Luiz Gonçalves. Segurança da Informação: o usuário faz a 
diferença. Saraiva, 2006.
GALVÃO, M. C. Fundamentos em Segurança da Informação. São Paulo: Pearson 
Education do Brasil, 2015.
GOODRICH, Michael T.; Roberto Tamassia. Introdução à Segurança de 
Computadores. 1. ed. Porto Alegre: Bookman, 2013.
KOLBE, A. Sistemas de Segurança da Informação na Era do Conhecimento. Curitiba: 
InterSaberes, 2017.