Baixe o app para aproveitar ainda mais
Prévia do material em texto
Gestão da Segurança da Informação SST QUEIROZ, Z. C. L. S. Gestão da Segurança da Informação / Zandra Cristina Lima Silva Queiroz Ano: 2020 nº de p.: 8 páginas Copyright © 2020. Delinea Tecnologia Educacional. Todos os direitos reservados. 3 Gestão da Segurança da Informação Apresentação A gestão da segurança da informação é sempre um objetivo importante em qualquer ambiente organizacional que lida com informações, especialmente, em modo digital. Por isso, vamos conhecer uma ferramenta importante para suportar essa busca na obtenção e manutenção da segurança da informação. Gestão da segurança da informação A construção de um modelo de gestão da segurança da informação pela organização apoia-se em um tripé: • tecnologia; • pessoas; • processos. Tripé tecnologia, pessoas, processos Fonte: Plataforma Deduca (2020). Devemos nos lembrar que as ameaças à segurança da informação não se restringem somente ao mundo tecnológico, visto que já estudamos que as pessoas são o elo mais fraco da segurança da informação. Para minimizar os riscos, é 4 preciso construir processos e procedimentos que orientem quanto às atitudes corretas para garantir a segurança das informações das organizações. Beal (2008, p. 37) aponta que gestão da segurança utiliza do método PDCA (Plan, Do, Check, Act), e sugere algumas ações para cada etapa. O método PDCA é uma ferramenta para gestão de segurança Fonte: Plataforma Deduca (2020) Planejamento e execução P = Plan, de planejar: identificar todos os processos críticos da empresa, fluxo de informações, infraestrutura de TI (ativos), Serviços de TI. Metodologia Nesta etapa, utiliza-se a metodologia de gestão do risco para avaliação dos riscos e o impacto no caso de falhas na organização. Levantamento da legislação Importante realizar um levantamento da legislação que rege a estrutura da organização que possa impactar as informações bem como os princípios objetivos e requisitos de processamento da informação. 5 A norma ISO 27001 especifica as seções 4, 5, 6 e 7 como apoiadoras na etapa do planejamento. São elas: Seções 4, 5, 6 e 7 ISO 27001 4 Contexto da organização 4.1 Entendendo a organização e seu contexto. 4.2 Entendendo as necessidades e as expectativas das partes interessadas. 4.3 Determinando o escopo do sistema de gestão da segurança da informação. 4.4 Sistema de gestão da segurança da informação. 5 Liderança 5.1 Liderança e comprometimento. 5.2 Política. 5.3 Autoridades, responsabilidades e papéis organizacionais. 6 Planejamento 6.1 Ações para contemplar riscos e oportunidades. 6.1.1 Geral. 6.1.2 Avaliação de riscos de segurança da informação. 6.1.3 Tratamento de riscos de segurança da informação. 6.2 Objetivo de segurança da informação e planos para alcançá-los. 7 Apoio 7.1 Recursos 7.2 Competência 7.3 Conscientização 7.4 Comunicação 7.5 Informação documentada 7.5.1 Geral 7.5.2 Criando e atualizando 7.5.3 Controle da informação documentada Fonte: ABNT (2013). 6 D = Do, de executar: colocar em prática o que foi planejado, executar atividades implantação da estrutura definida no planejamento, divulgação da política de segurança, campanhas de conscientização quanto às normas e procedimentos. A norma ISO 27001 detalha as recomendações para a etapa de execução por meio da seção 8, que trata: Seção 8 ISO 27001 8 Operação 8.1 Planejamento operacional e controle. 8.2 Avaliação de riscos de segurança da informação. 8.3 Tratamento de riscos de segurança da informação. Fonte: ABNT (2013). Avaliação e ação C = Check, de verificar, avaliar: nesta etapa, são realizadas a avaliação do planejado versus o executado. Este é o momento em que a organização deve possuir toda documentação acerca dos riscos, métricas e confrontá-las com as informações coletadas (por meio de auditoria, questionários, coleta de logs). Também estão incluídos testes e simulações de ataques para certificação dos controles adotados, bem com a avaliação periódica deles. A ISO 27001 aborda as atividades necessárias dessa etapa na seção 9 que aponta o que segue: Seção 9 ISO 27001 9 Avaliação do desempenho 9.1 Monitoramento, medição, análise e avaliação. 9.2 Auditoria interna. 9.3 Análise crítica pela direção. Fonte: ABNT (2013). 7 A = Act, de agir: momento de tomar atitude ativa mediante uma não conformidade detectada na avaliação. Neste ínterim, a norma ISO 27001 também recomenda à organização observar continuamente a adequação e eficácia do sistema de gestão de segurança da organização, dando continuidade no ciclo PDCA de melhoria contínua. Essas recomendações estão descritas nos tópicos da seção 10: Seção 10 ISO 27001 10 Melhoria 10.1 Não conformidade e ação corretiva. 10.2 Melhoria contínua. Fonte: ABNT (2013). Fechamento Neste material, entendemos que, estabelecidos os parâmetros da gestão da segurança da informação, a organização estará apta para construir sua política de segurança com mais consistência e adequada à sua necessidade. 8 Referências ABNT – Associação Brasileira de Normas Técnicas. ABNT NBR ISO/ IEC 27002:2005. São Paulo: ABNT, 2005. ABNT – Associação Brasileira de Normas Técnicas. ABNT NBR ISO/IEC 27005:2011. São Paulo, 2011. ABNT – Associação Brasileira de Normas Técnicas. ABNT NBR ISO/IEC 27001:2013. São Paulo, 2013. ABNT – Associação Brasileira de Normas Técnicas. ABNT NBR ISO/IEC 27004:2017. São Paulo, 2017. BEAL, Adriana. Segurança da Informação: princípios e melhores práticas para a proteção dos ativos de informação nas organizações. São Paulo: Atlas, 2008. FONTES, Edison Luiz Gonçalves. Segurança da Informação: o usuário faz a diferença. Saraiva, 2006. GALVÃO, M. C. Fundamentos em Segurança da Informação. São Paulo: Pearson Education do Brasil, 2015. GOODRICH, Michael T.; Roberto Tamassia. Introdução à Segurança de Computadores. 1. ed. Porto Alegre: Bookman, 2013. KOLBE, A. Sistemas de Segurança da Informação na Era do Conhecimento. Curitiba: InterSaberes, 2017.
Compartilhar