Monitorando e medindo a gestão da segurança da informação

Normas técnicas comentadas

Confira quais as normas comentadas disponíveis. Elas oferecem mais facilidade para o entendimento e são muito mais fáceis de usar: http://www.target.com.br/portal_new/produtossolucoes/NBR/Comentadas.aspx

NBR 14039
Instalações elétricas de média tensão de 1,0 kV a 36,2 kV. Possui 140 páginas de comentários 
NBR 5410
Instalações elétricas de baixa tensão – Comentada – para windows, versão 2004
 NBR ISO 9001 – COMENTADA
Sistemas de gestão da qualidade – Requisitos

Segundo a ISO IEC 27003, deve-se compreender que o monitoramento é um processo contínuo e que, como tal, em seu projeto convém levar em consideração o estabelecimento do seu processo, bem como o projeto das reais necessidades e atividades de monitoramento. Essas atividades precisam de uma coordenação, que também faz parte do projeto. Os objetivos de monitoramento podem ser determinados pela combinação entre as informações previamente estabelecidas pelos ativos e pelo escopo, e os resultados da análise de riscos e seleção de controles. Convém que esses objetivos de monitoramento incluam: o que detectar, quando e em comparação com o quê.

Em termos práticos, as atividades e os processos previamente estabelecidos e os ativos relacionados são o escopo básico para o monitoramento (item “Comparando-se com o quê” supracitado). Para projetar o monitoramento, pode ser necessário fazer uma seleção que abranja os ativos considerados importantes do ponto de vista da segurança da informação. Convém que também sejam feitas considerações sobre o tratamento de riscos e a seleção de controles em atividades e processos. Isso irá definir tanto “O que observar” quanto o “Quando”.

Como o monitoramento pode apresentar aspectos legais, é essencial que o projeto do monitoramento seja verificado, de modo que ele não tenha quaisquer implicações legais. Para garantir que o monitoramento seja verdadeiramente efetivo, é importante coordenar e realizar o projeto final de todas as atividades de monitoramento.

CLIQUE NAS FIGURAS PARA UMA MELHOR VISUALIZAÇÃO

O fluxo do processo de monitoramento

 

A fim de manter o nível de segurança da informação, convém que os controles de segurança da informação considerados apropriados sejam aplicados corretamente; que os incidentes de segurança sejam detectados e tratados tempestivamente; e que o desempenho do sistema de gerenciamento de segurança da informação seja regularmente monitorado. Além disso, convém que verificações sejam regularmente realizadas, para saber se todos os controles estão sendo aplicados e implementados conforme previsto no plano de segurança da informação. Convém, ainda, que tais verificações envolvam aquelas feitas sobre os controles técnicos (por exemplo, quanto à configuração), e que os controles organizacionais (por exemplo, processos, procedimentos e operações) estejam em conformidade.

Igualmente, as verificações devem ser feitas principalmente visando à reparação de defeitos. Se o resultado dessas verificações for aceitável, é importante que os motivos do aceite sejam ratificados por todos os envolvidos, sendo esse o maior objetivo das verificações. É importante que, durante a verificação, haja discussões com os participantes sobre possíveis saídas para os problemas, e que soluções adequadas fiquem pré-prontas.

As verificações devem ser preparadas cuidadosamente para garantir que elas consigam atingir seus objetivos da maneira mais eficiente possível, e que ao mesmo tempo causem o mínimo possível de interrupção na rotina de trabalho. Convém também que se coordene previamente, com a direção, a implementação geral de verificações. As atividades de concepção podem ser finalizadas de três formas básicas diferentes: relatórios de incidente; verificação ou não conformidade de funcionalidades de controles; e outras verificações regulares.

Já o processo de medição deve ser feito perfeitamente integrado ao ciclo do Sistema de Gestão da Segurança da Informação (SGSI) e usado para efeitos de melhoria contínua dos processos e resultados relacionados à segurança da informação no projeto ou na organização. Isto é conhecido como um programa de medição de segurança da informação, conforme a ISO IEC 27004. A concepção desse programa convém que seja vista da perspectiva do ciclo do SGSI.

Para a satisfação das expectativas e necessidades, espera-se que os sistemas de gestão apresentem funções como, por exemplo, estruturação do tão indispensável PDCA; medição da validação de resultados e de sua efetividade; e fornecimento de feedback ao gerente dos processos quanto aos resultados da medição. Para estabelecer as medições corretas, as informações geradas previamente são essenciais, em especial: a política do SGSI, incluindo escopo e limites; o resultado da análise/avaliação de riscos; a seleção de controles; os objetivos de controle; os objetivos específicos de segurança da informação; e os processos e recursos especificados, e suas classificações. Em geral, quanto maior e mais complexa for uma organização, mais extenso será o programa de medição necessário.

Contudo, também o nível de risco geral afeta a extensão do programa de medição. Se o impacto de uma incipiente segurança da informação for gravoso, uma organização proporcionalmente menor pode precisar um programa de medição mais abrangente para abranger seus riscos do que uma organização maior que não enfrenta o mesmo impacto. A extensão do programa de medição pode ser avaliada com base na seleção de controles que precisarão ser adotados e nos resultados da análise de risco.

Ao estabelecer o escopo para o Programa de Medição de Segurança da Informação que será implementado, convém que se tenha cuidado para que não obter um grande número de objetos. Se houver muitos objetos, pode ser interessante dividir o programa em partes. O escopo dessas partes pode ser visto como medições separadas para fins de comparação, mas seu propósito principal prevalece: o de que uma combinação das medições fornece uma indicação para avaliar a efetividade do SGSI.

Esses subescopos são normalmente uma unidade organizacional cujos limites podem ser claramente definidos. Uma combinação, entre certos objetos que sirvam a vários processos da organização e certas medições de objetos de subescopos, pode resultar num escopo apropriado para o Programa de Medição de Segurança da Informação. Isso também pode ser visto como uma série de atividades do SGSI que podem ser tidas como feitas a partir de dois ou mais processos e/ou objetos.

Portanto, a efetividade do SGSI todo pode ser calculada com base na medição dos resultados desses dois ou mais processos/objetos. Como o objetivo é medir a efetividade do SGSI, é importante que os objetivos de controle e os controles também sejam mensurados. Uma hipótese é ter uma quantidade suficiente de controles e outra hipótese bem diferente é que esses controles serem suficientes para avaliar a efetividade do SGSI.

Dois aspectos de efetividade de medição com o processo PDCA do SGSI e exemplos de processos da organização

 

Ao usar os resultados das medições para avaliar a efetividade do SGSI, dos objetivos de controle e também dos controles, é essencial que a direção conheça o escopo do Programa de Medição de Segurança da Informação. Convém que, antes de iniciar os trabalhos, a pessoa responsável pelo programa de medição obtenha aprovação do escopo do Programa de Medição de Segurança da Informação por parte da direção.

Importante observar que o requisito relacionado à medição da efetividade na ISO IEC 27001:2005 é “a medição de controles ou de séries de controles.”, conforme 4.2.2 d na ISO IEC 27001:2005. Também o requisito relacionado à efetividade do SGSI como um todo na ISO IEC 27001:2005 é somente uma “revisão da efetividade do SGSI inteiro”, e “a medição do SGSI inteiro” não é necessária, conforme 0.2.2 na ISO IEC 27001:2005.

A efetiva execução das medições pode ser feita utilizando pessoal interno, externo ou combinação de ambos. Tamanho, estrutura e cultura da organização são fatores a serem considerados na avaliação do uso de recursos internos ou externos. Organizações de pequeno e médio porte obtêm mais benefícios com a utilização de apoio externo do que as organizações maiores. Dependendo da cultura da organização, o uso de recursos externos pode também dar resultados mais válidos. E se a organização estiver acostumada a auditorias internas, os recursos internos podem ser tão válidos quanto os externos.

Siga o blog no TWITTER 

Mais notícias, artigos e informações sobre qualidade, meio ambiente, normalização e metrologia.

 Glossário Técnico Gratuito

Disponível em três línguas, a ferramenta permite procurar termos técnicos traduzidos do português para o inglês e para o espanhol. Acesse no link http://www.target.com.br/portal_new/ProdutosSolucoes/GlossarioTecnico.aspx?ingles=1&indice=A

A Mata Atlântica continua a sumir do mapa

Glossário Técnico Gratuito

Disponível em três línguas, a ferramenta permite procurar termos técnicos traduzidos do português para o inglês e para o espanhol. Acesse no link http://www.target.com.br/portal_new/ProdutosSolucoes/GlossarioTecnico.aspx?ingles=1&indice=A

A Mata Atlântica concentra cerca de 70% da população brasileira e abrange 15 estados brasileiros das regiões sul, sudeste, centro-oeste e nordeste. Por causa da diversidade do regime pluviométrico, temperatura, topografia e solos, dentre outros aspectos, esse bioma caracteriza-se pela variedade de fitofisionomias e pela complexidade de aspectos bióticos. Dentre os seis biomas brasileiros, ela tem sido, historicamente, o mais mapeado por causa da sua relevância ambiental e descaracterização sofrida ao longo dos anos. Trata-se do bioma brasileiro com menor porcentagem de cobertura vegetal natural. Apesar disso, a Mata Atlântica ainda possui uma importante parcela da diversidade biológica do país, com várias espécies endêmicas (mais de 20.000 espécies de plantas, 261 espécies de mamíferos, 688 espécies de pássaros e os seus recursos hídricos abastecem uma população que ultrapassa 120 milhões de brasileiros.

Segundo um relatório do Ministério do Meio Ambiente (MMA) e do Instituto Brasileiro do Meio Ambiente e dos Recursos Naturais Renováveis (Ibama), apesar da maioria dos seus fragmentos serem relativamente pequenos, ou seja, menor que 100 hectares, seus remanescentes regulam o fluxo dos mananciais hídricos, asseguram a fertilidade do solo, controlam o clima e protegem escarpas e encostas das serras. Em termos geológicos, destacam-se as rochas pré-cambrianas e as rochas sedimentares da Bacia do Paraná. A paisagem é dominada por grandes cadeias de montanhas, além de platôs, vales e planícies de toda a faixa continental atlântica do leste brasileiro.

Para o desenvolvimento do monitoramento do Bioma Mata Atlântica, foram obtidas, ao todo, 312 imagens digitais. Destas, 105 cenas foram dos sensores orbitais LandsaT TM de 2002, 105 cenas do sensor Landsat TM de 2008 e 107 cenas do sensor CBERS-2B CCD de 2008. Essas imagens foram obtidas da página eletrônica do Instituto Nacional de Pesquisas Espaciais (INPE) e foram registradas (ajustes geométrico de posicionamento) por meio do software ESRI ArcGIS, mantendo a projeção original UTM (datum SAD69), tendo como referência cenas Landsat geocover do GLCF (Global Land Cover Facility). Tais imagens, antes de sua correção geométrica, foram processadas no software SPRING para fins de correções radiométricas.

Como resultado, pode-se dizer que a área dos remanescentes de vegetação da Mata Atlântica, em 2002, com o refinamento da escala e da área mínima de detecção, era de 22,54% e, em 2008, observa-se uma diminuição para 22,25%. Todas essas estatísticas foram baseadas na área total do bioma que é 1.103.961 km², ou seja, mais de 110 milhões de hectares Nesse sentido, em números absolutos, a Mata Atlântica teve sua cobertura vegetal original e secundária reduzida de 248.808 km² para 245.664 km². Portando, o bioma sofreu uma perda de aproximadamente 0,28% entre 2002 e 2008.

No tocante ao desmatamento, a Mata Atlântica teve a sua cobertura vegetal nativa suprimida, entre 2002 a 2008, em 2.742 km², o que representa uma taxa anual média nesses seis anos de 457 km²/ano. Isto significa que a Mata Atlântica perdeu, em média, 0,04% de sua cobertura vegetal nativa por ano, no período analisado. A distribuição de áreas antropizadas ensejou uma análise mais aprofundada, de modo que foi possível dimensionar a ocorrência das ações antrópicas por unidades espaciais importantes às ações de gestão e controle ambiental por parte do MMA e do Ibama. A análise de distribuição dos polígonos por estados federativos, por exemplo, identificou que a Mata Atlântica foi mais desmatada entre 2002 e 2008 nos estados de Minas Gerais, Bahia, Paraná e Santa Catarina.

Os 20 municípios que tiveram a maior quantidade de supressão de vegetação nativa da Mata Atlântica entre 2002 e 2008 representaram 22% de supressão da vegetação nativa no bioma como um todo no período considerado. Desses 20 municípios, oito pertencem ao Estado de Minas Gerais, seis ao Estado do Paraná, três da Bahia, dois de Santa Catarina e um do Rio Grande do Sul.

O maior fragmento de florestas remanescentes (1.109.546 hectares ou 7% de floresta contínua) está localizado na Serra do Mar, entre os estados de São Paulo e Rio de Janeiro. Os segundo e o terceiro maiores fragmentos equivalem a 508.571 ha (na zona costeira do Paraná) e 382.422 ha (na zona costeira da Santa Catariana). O somatório desses três fragmentos equivale a 13% de floresta remanescente com fragmentos maiores que 50 hectares. Na classe floresta, 83,4% correspondem a fragmentos menores que 50 ha. Esses fragmentos menores equivalem a 20,2% do total de floresta remanescente.

Siga o blog no TWITTER

Mais notícias, artigos e informações sobre qualidade, meio ambiente, normalização e metrologia.

EMAIL-QUALIDADE

Aumente as suas vendas com o e-mail marketing

A comunicação com os seus clientes de qualidade, meio ambiente, metrologia e normalização ficou mais fácil, rápida e eficaz. Saiba como, clicando aqui.