Como é o processo de gestão dos riscos da segurança da informação

Acompanhando as inovações tecnológicas, o Sistema Target CENWin 6.1 oferece aos usuários de Normas Técnicas, três opções de aquisição e uma melhor utilização do documento em meio eletrônico:

– Norma Técnica em formato digital, com direito a 02 (duas) impressões. A partir da terceira impressão, o cliente passa a ser tarifado por cada impressão, no valor de uma norma em formato digital CENWin e, na quinta cópia impressa, recebe a Norma Digital CENWin Plus, com direito à impressão ilimitada do texto da Norma Técnica. Para que as impressões sejam realizadas neste formato, o usuário deverá estar on-line ao executar as solicitações.

– Norma Técnica em formato digital, que permite aos usuários do Sistema Target CENWin 6.1, número ilimitado de impressões, sem a necessidade de estar on-line.

– Norma Técnica em formato digital com direito a 02 (duas) impressões através do Sistema Target CENWin 6.1, acompanhada de uma cópia em formato impresso, com uma ficha técnica e relatório descritivo que proporciona, de forma simples, clara e confiável, acesso rápido às informações necessárias para o correto uso e controle dos documentos técnicos dentro da organização.

A Target assume o compromisso com o Meio Ambiente e proporciona aos seus clientes meios efetivos para a redução de impressões e maior utilização de documentos digitais, que garantem um melhor acesso às informações.

Utilize documento digital e, antes de imprimir, pense no seu compromisso com o Meio Ambiente.

http://www.cenwin.com.br/

securityFoi publicada pela ABNT a norma NBR ISO/IEC 27005 que fornece as diretrizes para o processo de gestão de riscos de segurança da informação, estando de acordo com os conceitos especificados na NBR ISO/IEC 27001 e foi elaborada para facilitar uma implementação satisfatória da segurança da informação tendo como base uma abordagem de gestão de riscos. Uma visão de alto nível do processo de gestão de riscos é especificada na ABNT NBR ISO 31000:2009.

Contudo, o processo de gestão de riscos de segurança da informação pode ser iterativo para o processo de avaliação de riscos e/ou para as atividades de tratamento do risco. Um enfoque iterativo na execução do processo de avaliação de riscos torna possível aprofundar e detalhar a avaliação em cada repetição, além de permitir minimizar o tempo e o esforço despendidos na identificação de controles e, ainda assim, assegura que os riscos de alto impacto ou de alta probabilidade possam ser adequadamente avaliados.

Primeiramente, o contexto é estabelecido. Em seguida, executa-se um processo de avaliação de riscos. Se ele fornecer informações suficientes para que se determinem de forma eficaz as ações necessárias para reduzir os riscos a um nível aceitável, então a tarefa está completa e o tratamento do risco pode continuar. Por outro lado, se as informações forem insuficientes, executa-se uma outra iteração do processo de avaliação de riscos, revisando-se o contexto (por exemplo, os critérios de avaliação de riscos, de aceitação do risco ou de impacto), possivelmente em partes limitadas do escopo.

A eficácia do tratamento do risco depende dos resultados do processo de avaliação de riscos. Deve-se notar que o tratamento de riscos envolve um processo cíclico para: avaliar um tratamento do risco; decidir se os níveis de risco residual são aceitáveis; gerar um novo tratamento do risco se os níveis de risco não forem aceitáveis; e avaliar a eficácia do tratamento. É possível que o tratamento do risco não resulte em um nível de risco residual que seja aceitável. Nessa situação, pode ser necessária uma outra iteração do processo de avaliação de riscos, com mudanças nas variáveis do contexto (por exemplo, os critérios para o processo de avaliação de riscos, de aceitação do risco e de impacto), seguida por uma fase adicional de tratamento do risco.

A atividade de aceitação do risco tem de assegurar que os riscos residuais sejam explicitamente aceitos pelos gestores da organização. Isso é especialmente importante em uma situação em que a implementação de controles é omitida ou adiada, por exemplo, devido aos custos. Durante o processo de gestão de riscos de segurança da informação, é importante que os riscos e a forma com que são tratados sejam comunicados ao pessoal das áreas operacionais e gestores apropriados. Mesmo antes do tratamento do risco, informações sobre riscos identificados podem ser muito úteis para o gerenciamento de incidentes e pode ajudar a reduzir possíveis prejuízos.

A conscientização dos gestores e pessoal no que diz respeito aos riscos, à natureza dos controles aplicados para mitigá-los e às áreas definidas como de interesse pela organização, auxilia a lidar com os incidentes e eventos não previstos da maneira mais efetiva. Convém que os resultados detalhados de cada atividade do processo de gestão de riscos de segurança da informação, assim como as decisões sobre o processo de avaliação de riscos e sobre o tratamento do risco sejam documentados. A NBR ISO/IEC 27001:2006 especifica que os controles implementados no escopo, limites e contexto do SGSI devem ser baseados no risco. A aplicação de um processo de gestão de riscos de segurança da informação pode satisfazer esse requisito. Há vários métodos através dos quais o processo pode ser implementado com sucesso em uma organização. Convém que às organização use o método que melhor se adeque a suas circunstâncias, para cada aplicação específica do processo.

Em um Sistema de Gestão de Segurança da Informação (SGSI), a definição do contexto, o processo de avaliação de riscos, o desenvolvimento do plano de tratamento do risco e a aceitação do risco fazem parte da fase “planejar”. Na fase “executar” do SGSI, as ações e controles necessários para reduzir os riscos a um nível aceitável são implementados de acordo com o plano de tratamento do risco. Na fase “verificar” do SGSI, os gestores determinarão a necessidade de revisão da avaliação e tratamento do risco à luz dos incidentes e mudanças nas circunstâncias. Na fase “agir”, as ações necessárias são executadas, incluindo a reaplicação do processo de gestão de riscos de segurança da informação.

Entrada: Todas as informações sobre a organização relevantes para a definição do contexto da gestão de riscos de segurança da informação.

Ação: Convém que o contexto externo e interno para gestão de riscos de segurança da informação seja estabelecido, o que envolve a definição dos critérios básicos necessários para a gestão de riscos de segurança da informação (item 7.2), a definição do escopo e dos limites (7.3) e o estabelecimento de uma organização apropriada para operar a gestão de riscos de segurança da informação (7.4).

Diretrizes para implementação: É essencial determinar o propósito da gestão de riscos de segurança da informação, pois ele afeta o processo em geral e a definição do contexto em particular. Esse propósito pode ser:

• Suporte a um SGSI;

• Conformidade legal e evidência da devida diligência (due diligence);

• Preparação de um plano de continuidade de negócios;

• Preparação de um plano de resposta a incidentes;

• Descrição dos requisitos de segurança da informação para um produto, um serviço ou um mecanismo

Saída: A especificação dos critérios básicos; o escopo e os limites do processo de gestão de riscos de segurança da informação; e a organização responsável pelo processo. Dependendo do escopo e dos objetivos da gestão de riscos, diferentes métodos podem ser aplicados. O método também pode ser diferente para cada iteração do processo. Convém que um método de gestão de riscos apropriado seja selecionado ou desenvolvido e leve em conta critérios básicos, como: critérios de avaliação de riscos, critérios de impacto e critérios de aceitação do risco.

Além disso, convém que a organização avalie se os recursos necessários estão disponíveis para:

• Executar o processo de avaliação de riscos e estabelecer um plano de tratamento de riscos;

• Definir e implementar políticas e procedimentos, incluindo implementação dos controles selecionados;

• Monitorar os controles;

• Monitorar o processo de gestão de riscos de segurança da informação.

O critérios para a avaliação de riscos devem ser desenvolvidos para avaliar os riscos de segurança da informação na organização, considerando os seguintes itens:

• O valor estratégico do processo que trata as informações de negócio;

• A criticidade dos ativos de informação envolvidos;

• Requisitos legais e regulatórios, bem como as obrigações contratuais;

• Importância, do ponto de vista operacional e dos negócios, da disponibilidade, da confidencialidade e da integridade;

• Expectativas e percepções das partes interessadas e consequências negativas para o valor de mercado (em especial, no que se refere aos fatores intangíveis desse valor), a imagem e a reputação

Além disso, o pesquisador Walter Wong acaba de defender tese de doutorado na Faculdade de Engenharia Elétrica e de Computação (FEEC) da Unicamp. Em seu trabalho, desenvolvido parcialmente na Universidade de Helsinque, na Finlândia, ele propõe um modelo de segurança adequado a uma nova arquitetura da rede. “O que estamos propondo é que a segurança deixe de ser baseada no endereço de IP [Internet Protocol] e passe a ser balizada pelo conteúdo”, afirma o autor do estudo, que foi orientado no Brasil pelo professor Maurício Ferreira Magalhães. Wong contou com bolsa concedida pela Coordenação de Aperfeiçoamento de Pessoal de Nível Superior (Capes), órgão do Ministério da Educação.

De acordo com o pesquisador, quando a internet atual foi criada, os idealizadores não podiam imaginar no que ela se transformaria. A segurança não era exatamente a principal preocupação na época, dado que a proposta inicial era ligar pontos distantes fisicamente para promover a transferência de bits. Com o passar do tempo, porém, as pessoas passaram a utilizar a rede para uma série de atividades, como consumir conteúdos, fazer compras e pagar contas, entre outras. “Ou seja, hoje temos uma nave espacial funcionando sobre uma base simples”, compara Wong. O grande problema relativo à segurança da Web, segundo ele, é que o seu princípio está baseado no IP, que é representado por um número. Este, além de identificar o endereço, identifica também o usuário ou provedor.

É aí que surge um imbróglio, conforme o engenheiro da computação. “Quando a internet foi criada, isso fazia sentido, pois as máquinas eram imensas e dificilmente seriam transferidas de lugar. Hoje, porém, nós temos notebooks, celulares e tablets que nos proporcionam mobilidade. Ou seja, não é razoável identificar um host (hospedeiro) pelo seu endereço físico, visto que ele pode se deslocar para qualquer lugar do mundo”, explica. Ademais, continua Wong, quando uma pessoa se conecta à rede para fazer uma compra num determinado site, por exemplo, ela não faz ideia de onde o provedor dessa empresa está de fato localizado. “Trata-se de uma relação de confiança. Entretanto, essa confiança poderia ser ampliada se a arquitetura da internet permitisse basear a segurança no conteúdo e não no endereço IP”, reforça.

Para chegar à sua proposta, Wong teve que trabalhar com o desenvolvimento de softwares e algoritmos específicos. A ideia central foi estabelecer um mecanismo de autenticação de dados eficiente e explícito, de forma independente do host de onde os conteúdos foram obtidos. Explicando melhor: por esse novo modelo, a rede passa a ser orientada a conteúdos. Assim, a pessoa que se conectar à internet para, hipoteticamente, baixar um vídeo no Youtube não precisará mais se preocupar se o servidor está nos Estados Unidos, China ou Brasil. “As credenciais estarão vinculadas ao próprio conteúdo. Nesse caso, o usuário poderá até mesmo baixar algo vindo de um servidor inseguro ou suspeito, pois terá certeza de que o conteúdo é original e seguro”, afirma o engenheiro da computação.

Atualmente, informa Wong, diversos grupos estão envolvidos em pesquisas relacionadas à Internet do Futuro. Ele mesmo participou de um que reúne universidades e empresas europeias. O pesquisador fez parte do seu estágio no exterior no Centro de Pesquisa da Ericsson, na própria Finlândia. O grupo desenvolveu um protótipo interligando algumas empresas e instituições na Europa, que têm trabalhado com alguns aplicativos. Como prova de conceito, tem funcionado muito bem. O pesquisador esclarece, ainda, que os estudos nessa área estão divididos em basicamente duas correntes. Uma delas trabalha com a perspectiva da evolução da Internet. A outra pretende partir do zero para propor uma nova arquitetura para a rede. É nesta que o trabalho de Wong está inserido.

Mais informações sobre a norma NBR ISO/IEC 27005 de 11/2011 – Tecnologia da informação – Técnicas de segurança – Gestão de riscos de segurança da informação

Siga o blog no TWITTER

Mais notícias, artigos e informações sobre qualidade, meio ambiente, normalização e metrologia.

Linkedin: http://br.linkedin.com/pub/hayrton-prado/2/740/27a

A certificação em responsabilidade social permite à empresa atuar com ética, respeitar o meio ambiente e dizer um basta à discriminação

NORMAS COMENTADAS

Fácil de utilizar, com explicações úteis e necessárias, ilustrações com tabelas e figuras, e comentários pertinentes, feitos por profissionais especializados, que participaram diretamente do desenvolvimento da norma técnica em questão, a versão comentada das normas é um grande diferencial para quem deseja obter o máximo dos requisitos e diretrizes da norma de forma rápida, ágil e econômica.

R$ 706,20

R$ 605,00

R$ 349,36

Após obter a certificação NBR 16001, a organização passa a operar com lealdade na concorrência, se preocupar com o desenvolvimento social, o meio ambiente, a promoção da diversidade e o combate à discriminação no trabalho, além de ter um compromisso com o desenvolvimento dos empregados.

SOCIALO consumidor, atualmente, passou de um agente passivo de consumo para ser um agente de transformação social por meio do exercício do seu poder de compra, uso e descarte de produtos, de sua capacidade de poder privilegiar empresas que tinham valores outros que não somente o lucro na sua visão de negócios. Assim, sociedade civil e empresas passam a estabelecer parcerias na busca de soluções, diante da convicção de que o Estado sozinho não é capaz de solucionar a todos os problemas e a responder a tantas demandas. A partir desse fato, nasceu o movimento da responsabilidade social em busca da inclusão social, da promoção da cidadania, da preservação ambiental e da sustentabilidade planetária, na qual todos os setores têm responsabilidades compartilhadas e cada um é convidado a exercer aquilo que lhe é mais peculiar, mais característico. Para que isso ocorra, a ética e a transparência são princípios fundamentais no modo de fazer negócios e de relacionar-se com todas as partes interessadas.

Os setores produtivos e empresariais ganharam um papel particularmente importante pelo seu poder econômico e sua capacidade de formular estratégias e concretizar ações, assumindo a responsabilidade dos impactos – positivos e negativos – destas ações no contexto social e ambiental em que operam. Essa nova postura de compartilhamento de responsabilidades, não implica, entretanto, em menor responsabilidade dos governos. Ao contrário, fortalece o papel inerente ao governo de grande formulador de políticas públicas de grande alcance, visando o bem comum e a equidade social, aumentando sua responsabilidade em bem gerenciar a sua máquina, os recursos públicos e naturais na sua prestação de contas à sociedade. Além disso, pode e deve ser o grande fomentador, articulador e facilitador desse novo modelo que se configura de fazer negócios.

Por tudo isso surgiu no Brasil em 2004 a norma NBR 16001, que permite às organizações implementarem e obterem a certificação em responsabilidade social, estabelecendo os requisitos mínimos relativos a um sistema da gestão da responsabilidade social e permitindo à organização formular e implementar uma política e objetivos que levem em conta os requisitos legais e outros, seus compromissos éticos e sua preocupação com a promoção da cidadania; do desenvolvimento sustentável; e transparência das suas atividades. De acordo com o presidente da Target. Mauricio Ferraz de Paiva, a norma objetiva prover às organizações os elementos de um sistema da gestão da responsabilidade social eficaz, passível de integração com outros requisitos de gestão, de forma a auxiliá-las a alcançar seus objetivos relacionados com os aspectos da responsabilidade social. “Não se pretende criar barreiras comerciais não tarifárias, nem ampliar ou alterar as obrigações legais de uma organização, já que a norma não prescreve critérios específicos de desempenho da responsabilidade social e se aplica a qualquer organização que deseje implantar, manter e aprimorar um sistema da gestão da responsabilidade social; assegurar-se de sua conformidade com a legislação aplicável e com sua política da responsabilidade social; apoiar o engajamento efetivo das partes interessadas; demonstrar conformidade ao realizar uma autoavaliação e emitir uma autodeclaração e buscar a certificação do seu sistema da gestão da responsabilidade social por uma organização externa”.

Dessa forma, os requisitos da norma são genéricos para que possam ser aplicados a todas as organizações. A sua aplicação dependerá de fatores como a política da responsabilidade social da organização, a natureza de suas atividades, produtos e serviços e da localidade e das condições em que opera. Em linhas gerais, a adoção e a implementação, de forma sistemática, de um conjunto de técnicas da gestão da responsabilidade social podem contribuir para a obtenção de resultados ótimos para todas as partes interessadas. Contudo, segundo Paiva, a adoção da norma não garantirá, por si só, resultados ótimos. “Para atingir os objetivos da responsabilidade social, convém que o sistema da gestão da responsabilidade social estimule as organizações a considerarem a implementação da melhor prática disponível, quando apropriado e economicamente exequível. O conceito de responsabilidade social é frequentemente associado à concepção de desenvolvimento sustentável desenvolvido pela Comissão Brundtland e aceito pela conferência da ONU, realizada no Rio de Janeiro em 1992.

Muitas das atividades associadas com a responsabilidade social refletem as três dimensões da sustentabilidade – econômica, ambiental e social – conceitos descritos como sustentabilidade. O atendimento aos requisitos da norma não significa que a organização é socialmente responsável, mas que possui um sistema da gestão da responsabilidade social. As comunicações da organização, tanto internas quanto externas, deverão respeitar esse preceito”, explica ele.
Deve ser ressaltado que duas organizações que desenvolvam atividades similares, mas que apresentem níveis diferentes de desempenho de responsabilidade social, podem, ambas, atender aos seus requisitos. Essa norma está fundamentada na metodologia conhecida como PDCA (Plan-Do-Check-Act). Esta pode ser brevemente descrita como:
Planejar (Plan): estabelecer os objetivos e processos necessários para se produzirem resultados em conformidade com a política da responsabilidade social da organização;
Fazer (Do): implementar os processos;
Verificar (Check): monitorar e medir os processos em relação à política de responsabilidade social e aos objetivos, metas, requisitos legais e outros, e reportar os resultados;
Atuar (Act): tomar ações para melhorar continuamente o desempenho ambiental, econômico e social do sistema da gestão.

Muitas organizações gerenciam suas operações pela aplicação de um sistema de processos e suas interações, que pode ser denominada de “abordagem de processos”. Como o PDCA pode ser aplicado a todos os processos, as duas metodologias são consideradas compatíveis. Por fim, o presidente da Target aponta para a importância de se ter uma uma política da responsabilidade social que deve as boas práticas de governança; o combate à pirataria, sonegação, fraude e corrupção; as práticas leais de concorrência; os direitos da criança e do adolescente, incluindo o combate ao trabalho infantil; os direitos do trabalhador, incluindo o de livre associação, de negociação, a remuneração justa e benefícios básicos, bem como o combate ao trabalho forçado; a promoção da diversidade e combate à discriminação (por exemplo: cultural, de gênero, de raça/etnia, idade, pessoa com deficiência); o compromisso com o desenvolvimento profissional; a promoção da saúde e segurança; a promoção de padrões sustentáveis de desenvolvimento, produção, distribuição e consumo, contemplando fornecedores, prestadores de serviço, entre outros; a proteção ao meio ambiente e aos direitos das gerações futuras; e a realização de ações sociais de interesse público.

Para mais informações sobre a NBR 16001 de 11/2004, clique no link abaixo:

NBR16001 – Responsabilidade social – Sistema da gestão – Requisitos

Siga o blog no TWITTER

Mais notícias, artigos e informações sobre qualidade, meio ambiente, normalização e metrologia.

Linkedin: http://br.linkedin.com/pub/hayrton-prado/2/740/27a