As práticas em segurança da informação (parte 1)

Sistema Target GEDWEB: a gestão do conhecimento tecnológico para a sua empresa

O novo GEDWEB se tornou um Portal Customizado das informações tecnológicas que a sua empresa necessita, disponibilizando a informação online atualizada para os usuários cadastrados em sua empresa. Ou seja, o que a sua empresa precisar de informação técnica para o seu dia a dia, como normas brasileiras, internacionais, regulamentos técnicos de qualquer país, publicações da ASQ, revistas técnicas e científicas, textos técnicos, jornais internos da empresa, cursos oferecidos para a participação dos funcionários, toda documentação organizacional, etc. A tecnologia oferecida permite a inserção de qualquer conteúdo desejado pela empresa e, o que é melhor, monitorado e atualizado online. A empresa fica com o seu GEDWEB personalizado. Clique no link para mais informações.

securityA informação é um ativo essencial para os negócios de uma organização e consequentemente precisa ser adequadamente protegida. Hoje em dia, com o ambiente de negócios cada vez mais interconectado, a maior disponibilidade de serviços web, a expansão dos dispositivos moveis como notebooks, tablets, smartphones, etc, essa proteção necessita maiores cuidados e atenção. É inegável que as informações sejam mais expostas devido a essa interconexão e consequentemente isso aumenta o risco de ameaças e vulnerabilidades. Como a maior parte das informações vitais para o sucesso de uma organização reside em sistemas computacionais, perdas de dados podem ser catastróficas. Os riscos de um negócio com sistema de segurança da informação inadequado são incalculáveis. Basicamente, Segurança da Informação é a preservação de três requisitos básicos: a confidencialidade, a integridade e a disponibilidade da informação. Ela abrange muito mais do que a segurança da informação de TI. Ela cobre a segurança de toda e qualquer informação da empresa, esteja ela em meios eletrônicos, papel, filmes, conversas ou até mesmo na mente dos funcionários.

Para se ter uma segurança da informação adequada em uma empresa, deve-se implementar controles adequados, políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware. O objetivo da segurança da informação é garantir o funcionamento da organização frente às ameaças a que ela esteja sujeita. A NBR ISO/IEC 27002 de 08/2005 – Tecnologia da informação – Técnicas de segurança – Código de prática para a gestão da segurança da informação (clique no link para mais informações) estabelece as diretrizes e os princípios gerais para iniciar, implementar, manter e melhorar a gestão da segurança da informação em uma organização. Os objetivos definidos proveem diretrizes gerais sobre as metas geralmente aceitas para a gestão da segurança da informação. Os objetivos de controle e os controles dessa norma têm como finalidade ser implementados para atender aos requisitos identificados por meio da análise/avaliação de riscos. Pode servir como um guia prático para desenvolver os procedimentos de segurança da informação da organização e as eficientes práticas de gestão da segurança, e para ajudar a criar confiança nas atividades interorganizacionais. Ela substitui a NBR ISO/IEC 17799. Segundo a norma, a informação é um ativo que, como qualquer outro ativo importante, é essencial para os negócios de uma organização e consequentemente necessita ser adequadamente protegida. Isto é especialmente importante no ambiente dos negócios, cada vez mais interconectado. Como um resultado deste incrível aumento da interconectividade, a informação está agora exposta a um crescente número e a uma grande variedade de ameaças e vulnerabilidades.

A informação pode existir em diversas formas. Ela pode ser impressa ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou por meios eletrônicos, apresentada em filmes ou falada em conversas. Seja qual for a forma apresentada ou o meio através do qual a informação é compartilhada ou armazenada, é recomendado que ela seja sempre protegida adequadamente. A Segurança da informação é a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio. Ela é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware. Estes controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados, onde necessário, para garantir que os objetivos do negócio e de segurança da organização sejam atendidos. Convém que isto seja feito em conjunto com outros processos de gestão do negócio.

A informação e os processos de apoio, sistemas e redes são importantes ativos para os negócios. Definir, alcançar, manter e melhorar a segurança da informação podem ser atividades essenciais para assegurar a competitividade, o fluxo de caixa, a lucratividade, o atendimento aos requisitos legais e a imagem da organização junto ao mercado. As organizações, seus sistemas de informação e redes de computadores são expostos a diversos tipos de ameaças à segurança da informação, incluindo fraudes eletrônicas, espionagem, sabotagem, vandalismo, incêndio e inundação. Danos causados por código malicioso, hackers e ataques de denial of service estão se tornando cada vez mais comuns, mais ambiciosos e incrivelmente mais sofisticados. A segurança da informação é importante para os negócios, tanto do setor público como do setor privado, e para proteger as infraestruturas críticas. Em ambos os setores, a função da segurança da informação é viabilizar os negócios como o governo eletrônico (e-gov) ou o comércio eletrônico (e-business), e evitar ou reduzir os riscos relevantes. A interconexão de redes públicas e privadas e o compartilhamento de recursos de informação aumentam a dificuldade de se controlar o acesso. A tendência da computação distribuída reduz a eficácia da implementação de um controle de acesso centralizado.

Muitos sistemas de informação não foram projetados para serem seguros. A segurança da informação que pode ser alcançada por meios técnicos é limitada e deve ser apoiada por uma gestão e por procedimentos apropriados. A identificação de controles a serem implantados requer um planejamento cuidadoso e uma atenção aos detalhes. A gestão da segurança da informação requer pelo menos a participação de todos os funcionários da organização. Pode ser que seja necessária também a participação de acionistas, fornecedores, terceiras partes, clientes ou outras partes externas. Uma consultoria externa especializada pode ser também necessária. Essa norma contém 11 seções de controles de segurança da informação, que juntas totalizam 39 categorias principais de segurança e uma seção introdutória que aborda a análise/avaliação e o tratamento de riscos. Cada seção contém um número de categorias principais de segurança da informação. As 11 seções (acompanhadas com o respectivo número de categorias) são: a) Política de Segurança da Informação (1); b) Organizando a Segurança da Informação (2); c) Gestão de Ativos (2); d) Segurança em Recursos Humanos (3); e) Segurança Física e do Ambiente (2); f) Gestão das Operações e Comunicações (10); g) Controle de Acesso (7); h) Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação (6); i) Gestão de Incidentes de Segurança da Informação (2); j) Gestão da Continuidade do Negócio (1); k) Conformidade (3).

Siga o blog no TWITTER

Mais notícias, artigos e informações sobre qualidade, meio ambiente, normalização e metrologia.

Linkedin: http://br.linkedin.com/pub/hayrton-prado/2/740/27a

Facebook: http://www.facebook.com/#!/hayrton.prado

Anúncios

Deixe uma Resposta

Preencha os seus detalhes abaixo ou clique num ícone para iniciar sessão:

Logótipo da WordPress.com

Está a comentar usando a sua conta WordPress.com Terminar Sessão /  Alterar )

Google photo

Está a comentar usando a sua conta Google Terminar Sessão /  Alterar )

Imagem do Twitter

Está a comentar usando a sua conta Twitter Terminar Sessão /  Alterar )

Facebook photo

Está a comentar usando a sua conta Facebook Terminar Sessão /  Alterar )

Connecting to %s

%d bloggers like this: