A gestão dos riscos da segurança da informação

 Curtos-Circuitos e Seletividade em Instalações Elétricas Industriais – Conheça as Técnicas e Corretas Especificações – Presencial ou Ao Vivo pela Internet – A partir de 3 x R$ 257,81 (56% de desconto)

 Sistemas de Informações Tecnológicas Target Gedweb

 Inspetor de Conformidade das Instalações Elétricas de Baixa Tensão de acordo com a NBR 5410 – Presencial ou Ao Vivo pela Internet – A partir de 3 x R$ 320,57 (56% de desconto)

 Portal Target – Saiba como é fácil ter acesso às Informações Tecnológicas

Atualmente, os riscos da Tecnologia da Informação (TI) estão presentes em todas empresas, não importando o seu porte. Dessa forma, existe uma distinção clara no mundo corporativo. De um lado as empresas que ainda não sofreram – ou pelo menos não sabem que sofreram – um incidente, que só priorizam as políticas quando é necessário assegurar o cumprimento de normas. E as que sabem que conviveram com incidentes e priorizam a política independente de outros fatores para interromper a atividade de risco.

A NBR ISO/IEC 27005 contém a descrição do processo de gestão de riscos de segurança da informação e das suas atividades. As informações sobre o contexto histórico são apresentadas na Seção 5. Uma visão geral do processo de gestão de riscos de segurança da informação é apresentada na Seção 6. Todas as atividades de gestão de riscos de segurança da informação apresentadas na Seção 6 são descritas nas seguintes seções:

• Definição do contexto na Seção 7,

• Processo de avaliação de riscos na Seção 8,

• Tratamento do risco na Seção 9,

• Aceitação do risco na Seção 10,

• Comunicação e consulta do risco na Seção 11,

• Monitoramento e análise crítica de riscos na Seção 12.

Informações adicionais para as atividades de gestão de riscos de segurança da informação são apresentadas nos anexos. A definição do contexto é detalhada no Anexo A (Definindo o escopo e os limites do processo de gestão de riscos de segurança da informação). A identificação e valoração dos ativos e a avaliação do impacto são discutidas no Anexo B. O Anexo C dá exemplos de ameaças típicas e o Anexo D apresenta vulnerabilidades e métodos para avaliação de vulnerabilidades. Exemplos de abordagens para o processo de avaliação de riscos de segurança da informação são apresentados no Anexo E. Restrições relativas à modificação do risco são apresentadas no Anexo F. As diferenças nas definições entre a NBR ISO/IEC 27005:2008 e a NBR ISO/IEC 27005:2011 são apresentadas no Anexo G. As atividades de gestão de riscos, como apresentadas da Seção 7 até a Seção 12, estão estruturadas da seguinte forma:

Entrada: Identifica as informações necessárias para realizar a atividade.

Ação: Descreve a atividade.

Diretrizes para implementação: Fornece diretrizes para a execução da ação. Algumas destas diretrizes podem não ser adequadas em todos os casos. Assim sendo, outras maneiras de se executar a ação podem ser mais apropriadas.

Saída: Identifica as informações resultantes da execução da atividade.

Uma abordagem sistemática de gestão de riscos de segurança da informação é necessária para identificar as necessidades da organização em relação aos requisitos de segurança da informação e para criar um sistema de gestão de segurança da informação (SGSI) que seja eficaz. Convém que essa abordagem seja adequada ao ambiente da organização e, em particular, esteja alinhada com o processo maior de gestão de riscos corporativos. Convém que os esforços de segurança lidem com os riscos de maneira efetiva e no tempo apropriado, onde e quando forem necessários. Convém que a gestão de riscos de segurança da informação seja parte integrante das atividades de gestão de segurança da informação e que seja aplicada tanto à implementação quanto à operação cotidiana de um SGSI.

Convém que a gestão de riscos de segurança da informação seja um processo contínuo e que o processo defina os contextos interno e externo, avalie os riscos e trate os riscos usando um plano de tratamento a fim de implementar as recomendações e decisões, a gestão de riscos analise os possíveis acontecimentos e suas consequências, antes de decidir o que será feito e quando será feito, a fim de reduzir os riscos a um nível aceitável. Admite que a gestão de riscos de segurança da informação contribua para:

• A identificação de riscos;

• O processo de avaliação de riscos em função das consequências ao negócio e da probabilidade de sua ocorrência;

• A comunicação e entendimento da probabilidade e das consequências destes riscos;

• O estabelecimento da ordem prioritária para tratamento do risco;

• A priorização das ações para reduzir a ocorrência dos riscos;

• O envolvimento das partes interessadas quando as decisões de gestão de riscos são tomadas e para que elas sejam mantidas informadas sobre a situação da gestão de riscos;

• A eficácia do monitoramento do tratamento dos riscos;

• O monitoramento e análise crítica periódica dos riscos e do processo de gestão de riscos;

• A coleta de informações de forma a melhorar a abordagem da gestão de riscos;

• O treinamento de gestores e pessoal a respeito dos riscos e das ações para mitigá-los.

O processo de gestão de riscos de segurança da informação pode ser aplicado à organização como um todo, a uma área específica da organização (por exemplo, um departamento, um local físico, um serviço), a qualquer sistema de informações, a controles já existentes, planejados ou apenas a aspectos particulares de um controle (por exemplo, o plano de continuidade de negócios).

Mais informações sobre a norma, clique no link:

NBR ISO/IEC 27005 – Tecnologia da informação – Técnicas de segurança – Gestão de riscos de segurança da informação

Siga o blog no TWITTER

Mais notícias, artigos e informações sobre qualidade, meio ambiente, normalização e metrologia.

Linkedin: http://br.linkedin.com/pub/hayrton-prado/2/740/27a

Facebook: http://www.facebook.com/#!/hayrton.prado