As práticas em segurança da informação (parte final)

NORMAS TÉCNICAS INTERNACIONAIS

Assessoria em normas internacionais e estrangeiras: a Target oferece a consultoria definitiva que sua empresa precisa em normalização internacional e estrangeira: a melhor maneira de assegurar a confiabilidade de suas informações e de manter-se atualizado com relação aos padrões de qualidade de produtos e serviços do mundo.

Pesquisas: entendemos sua necessidade e localizamos, com rapidez e eficiência, diversos tipos de normas em entidades de normalização de qualquer parte do mundo.

Gerenciamento: informamos sobre o status das normas de seu acervo, e sobre qualquer alteração, revisão ou publicação de novas normas de seu interesse. A partir daí, você decide se vai ou não atualizar suas normas.

Tradução: uma equipe de profissionais, especializados em normalização e traduções técnicas, está apta a fornecer o melhor serviço de tradução de normas internacionais e estrangeiras. Os serviços de tradução também oferecem a formatação e adequação da norma dentro dos padrões das Normas Brasileiras.

Para solicitações ou mais informações, clique aqui

securityE como estabelecer requisitos de segurança da informação? É de fundamental importância que uma organização identifique os seus requisitos de segurança da informação. Uma das maneiras para se identificar esses requisitos é através da análise e avaliação de riscos para a organização, levando-se em conta os objetivos e as estratégias globais de negocio da organização. Assim, serão identificadas as ameaças aos ativos de informação bem como as vulnerabilidades destes, de forma a realizar uma estimativa da probabilidade de ocorrência dessas ameaças e do impacto potencial aos negócios. Os resultados da análise e avaliação dos riscos, nortearão as ações gerenciais apropriadas e as prioridades no sentido de proteger os ativos de informação desses riscos. É essencial que uma organização identifique os seus requisitos de segurança da informação. Existem três fontes principais de requisitos de segurança da informação. Uma fonte é obtida a partir da análise/avaliação de riscos para a organização, levando-se em conta os objetivos e as estratégias globais de negócio da organização. Por meio da análise/avaliação de riscos, são identificadas as ameaças aos ativos e as vulnerabilidades destes, e realizada uma estimativa da probabilidade de ocorrência das ameaças e do impacto potencial ao negócio.

Uma outra fonte é a legislação vigente, os estatutos, a regulamentação e as cláusulas contratuais que a organização, seus parceiros comerciais, contratados e provedores de serviço têm que atender, além do seu ambiente sociocultural. A terceira fonte é um conjunto particular de princípios, objetivos e os requisitos do negócio para o processamento da informação que uma organização tem que desenvolver para apoiar suas operações. Dessa forma, os requisitos de segurança da informação são identificados por meio de uma análise/avaliação sistemática dos riscos de segurança da informação. Os gastos com os controles precisam ser balanceados de acordo com os danos causados aos negócios gerados pelas potenciais falhas na segurança da informação. Os resultados da análise/avaliação de riscos ajudarão a direcionar e a determinar as ações gerenciais apropriadas e as prioridades para o gerenciamento dos riscos da segurança da informação, e para a implementação dos controles selecionados para a proteção contra estes riscos. Convém que a análise/avaliação de riscos seja repetida periodicamente para contemplar quaisquer mudanças que possam influenciar os resultados desta análise/avaliação. As informações adicionais sobre a análise/avaliação de riscos de segurança da informação podem ser encontradas no item 4.1 “Analisando/avaliando os riscos de segurança da informação”.

Uma vez que os requisitos de segurança da informação e os riscos tenham sido identificados e as decisões para o tratamento dos riscos tenham sido tomadas, convém que controles apropriados sejam selecionados e implementados para assegurar que os riscos sejam reduzidos a um nível aceitável. Os controles podem ser selecionados a partir dessa nrma ou de um outro conjunto de controles ou novos controles podem ser desenvolvidos para atender às necessidades específicas, conforme apropriado. A seleção de controles de segurança da informação depende das decisões da organização, baseadas nos critérios para aceitação de risco, nas opções para tratamento do risco e no enfoque geral da gestão de risco aplicado à organização, e convém que também esteja sujeito a todas as legislações e regulamentações nacionais e internacionais, relevantes. Alguns dos controles nessa norma podem ser considerados como princípios básicos para a gestão da segurança da informação e podem ser aplicados na maioria das organizações. Esses controles são explicados em mais detalhes no item “Ponto de partida para a segurança da informação”.

As informações adicionais sobre seleção de controles e outras opções para tratamento de risco podem ser encontradas em 4.2 “Tratamento dos riscos de segurança da informação”. Um certo número de controles pode ser considerado um bom ponto de partida para a implementação da segurança da informação. Estes controles são baseados tanto em requisitos legais como nas melhores práticas de segurança da informação normalmente usadas. Os controles considerados essenciais para uma organização, sob o ponto de vista legal, incluem, dependendo da legislação aplicável: proteção de dados e privacidade de informações pessoais (ver 15.1.4); proteção de registros organizacionais (ver 15.1.3); direitos de propriedade intelectual (ver 15.1.2). Os controles considerados práticas para a segurança da informação incluem: documento da política de segurança da informação (ver 5.1.1); atribuição de responsabilidades para a segurança da informação (ver 6.1.3); conscientização, educação e treinamento em segurança da informação (ver 8.2.2); processamento correto nas aplicações (ver 12.2); gestão de vulnerabilidades técnicas (ver 12.6); gestão da continuidade do negócio (ver seção 14); gestão de incidentes de segurança da informação e melhorias (ver 13.2).

Esses controles se aplicam para a maioria das organizações e na maioria dos ambientes. Convém observar que, embora todos os controles nessa norma sejam importantes e devam ser considerados, a relevância de qualquer controle deve ser determinada segundo os riscos específicos a que uma organização está exposta. Por isto, embora o enfoque acima seja considerado um bom ponto de partida, ele não substitui a seleção de controles, baseado na análise/avaliação de riscos. E quais os fatores críticos de sucesso? A experiência tem mostrado que os seguintes fatores são geralmente críticos para o sucesso da implementação da segurança da informação dentro de uma organização: política de segurança da informação, objetivos e atividades, que reflitam os objetivos do negócio; uma abordagem e uma estrutura para a implementação, manutenção, monitoramento e melhoria da segurança da informação que seja consistente com a cultura organizacional; comprometimento e apoio visível de todos os níveis gerenciais; um bom entendimento dos requisitos de segurança da informação, da análise/avaliação de riscos e da gestão de risco; divulgação eficiente da segurança da informação para todos os gerentes, funcionários e outras partes envolvidas para se alcançar a conscientização; distribuição de diretrizes e normas sobre a política de segurança da informação para todos os gerentes, funcionários e outras partes envolvidas; provisão de recursos financeiros para as atividades da gestão de segurança da informação; provisão de conscientização, treinamento e educação adequados; estabelecimento de um eficiente processo de gestão de incidentes de segurança da informação; implementação de um sistema de medição que seja usado para avaliar o desempenho da gestão da segurança da informação e obtenção de sugestões para a melhoria.

Siga o blog no TWITTER

Mais notícias, artigos e informações sobre qualidade, meio ambiente, normalização e metrologia.

Linkedin: http://br.linkedin.com/pub/hayrton-prado/2/740/27a

Facebook: http://www.facebook.com/#!/hayrton.prado

Anúncios

Amizade em redes sociais X testemunho em processo trabalhista

Aterramento: Fatos e Mitos na Proteção de Instalações e de Equipamentos Sensíveis contra Descargas Atmosféricas - Presencial ou Ao Vivo pela Internet

Curso: Aterramento: Fatos e Mitos na Proteção de Instalações e de Equipamentos Sensíveis contra Descargas Atmosféricas

Modalidade: Presencial ou Ao Vivo pela Internet *

Dias: 05 e 06 de dezembro

Horário: 09:00 às 17:00 horas

Carga Horária: 16h

Professor: Antônio Roberto Panicali

Preço: A partir de 3 x R$ 257,81

(*) O curso permanecerá gravado e habilitado para acesso pelo prazo de 30 dias a partir da data da sua realização.

Apresentação de novos conceitos e técnicas de projeto que resultem em maior eficiência dos sistemas de proteção contra os efeitos de surtos gerados internamente ou devidos às descargas atmosféricas. Para atender à demanda daqueles que não podem se locomover até as instalações da Target, tornamos disponível este curso Ao Vivo através da Internet. Recursos de última geração permitem total aproveitamento à distância. Os cursos oferecidos pela Target são considerados por seus participantes uma “consultoria em sala”, ou seja, o participante tem a possibilidade de interagir com renomados professores, a fim de buscar a melhor solução para problemas técnicos específicos e particulares.

Inscreva-se Saiba Mais

A Subseção 2 Especializada em Dissídios Individuais (SDI-2) do Tribunal Superior do Trabalho (TST) começou a discutir se recados trocados entre amigos de redes sociais constituem prova de amizade íntima suficiente para caracterizar a suspeição de testemunha em ação trabalhista. De acordo com o advogado Fabiano Zavanella, sócio do Rocha, Calderon e Advogados Associados e especialista em relações trabalhistas, para toda e análise jurídica, partir do caso concreto é algo que merece cautela, afinal a casuística nem sempre é saudável para a sustentação dos institutos ou propriamente da construção da Ciência do Direito. “É óbvio que a situação posta para decisão do julgador gera necessidade da pacificação do conflito e isto se dá através da aplicação da lei, porém não mais da regra de subsunção e sim através de um junção de fatores e pressupostos do ordenamento mediante sopesamento de valores e princípios”, comenta o advogado explicando que no tocante a chamada contradita pelo argumento da amizade íntima, o artigo 829 da CLT dispõe: “a testemunha que for parente até o terceiro grau civil, amigo íntimo ou inimigo de qualquer das partes, não prestará compromisso e seu depoimento valerá como simples informação”.

Zavanella comenta que o objetivo da norma é evitar o mascaramento da verdade através do depoimento tendencioso, ou seja, uma situação de exceção, já que é dever do julgador buscar a verdade na sua forma melhor possível, quer dizer, com maior amplitude de provas ou elementos que possam formar seu convencimento e assim distribuir de forma equânime a Justiça. Se a Constituição assegura o devido processo legal, o acesso a Justiça, o direito de ação, a imparcialidade do julgador, a motivação das decisões judiciais como corolários que devem ser preservados e perseguidos, no processo isso não se pode ignonar, ou seja, o simples fato de alguém adicionar outrem em redes sociais, não configura a chamada amizade íntima extraída do texto legal.

“As relações de amizade, no sentido estrito da palavra, são relações fraternas, muitas vezes configurando irmãos apenas de sobrenomes diferentes, que constroem histórias ou experiências de vida marcantes e conjunta, isto pode até nascer em um ambiente de trabalho e transcender para vida pessoal, porém não dá para banalizar”, pontua o advogado questionando a quantidade de pessoas que estudamos juntos, brincamos, trabalhamos e tinhamos como supostos amigos e que na primeira mudança de rotina (da escola, da rua, do labor) nunca mais vimos nem ouvimos falar. “Nessa linha, as redes sociais atuam como uma pseudo aproximação ou forma moderna de relacionamento, mas as limitações são evidentes e aqui talvez resida um maior cuidado ou necessidade de regramento por parte das empresas e, sobretudo, bom senso das pessoas, que se expõem de forma demasiada criando esteriótipos ou preconceitos que pela velocidade da informação, depõem contra sua imagem e por vezes até o caráter e poucos não são os casos, aliás, bastante rotineiro, em que departamentos de pessoas nas empresas sérias e organizadas triam o modo de vida, as preferência, convicções, postura do candidato, através das redes sociais, antes de definir por sua contratação”, adverte. Segundo Zavanella, o mundo, inevitavelmente, é um imenso reallity show, mas o julgador e principalmente o processo do trabalho, ainda detém a árdua tarefa, mesmo se tratando de um ramo patrimonial, perseguir a verdade ou se aproximar ao máximo dela para harmonizar e dar a sociedade o sentimento de pacificação social que é premissa fundamental e função do Poder Judiciário.

Empresas de alto crescimento

Em 2010, havia 33.320 empresas de alto crescimento, que são aquelas que aumentaram em 20% ao ano o número de empregados, por um período de três anos. Elas ocuparam 5 milhões de pessoas e pagaram R$ 88 bilhões em salários e outras remunerações. Dessas, 32.863 eram classificadas como empresas de alto crescimento orgânico (EAC), ou seja, o aumento de pessoal ocupado foi feito através de contratações, e não por fusões ou incorporações. As empresas de alto crescimento orgânico representavam 1,5% do total de empresas com pelo menos uma pessoa assalariada e foram responsáveis por gerar mais da metade (50,3%) dos novos postos de trabalho assalariados do Brasil entre 2007 e 2010. Do total de 5,4 milhões de novos empregos criados na economia no período, 2,7 milhões estavam nas empresas de alto crescimento. As empresas de alto crescimento orgânico, em 2010, ocuparam 4,3 milhões de assalariados e pagaram R$ 67 bilhões em salários e outras remunerações. No entanto, os salários médios pagos foram menores (2,4 salários mínimos) que as empresas ativas com funcionários assalariados (2,9 salários mínimos) e o quadro de empregados teve 8,8% a menos de mulheres e 28,0% a menos de pessoas com ensino superior completo. Apesar do seu valor adicionado médio (R$6,5 milhões) ter sido 115,2% maior que as empresas ativas com dez ou mais empregados (R$3,1 milhões), sua produtividade do trabalho média foi 25,5% menor. (R$ 46,0 milhões contra R$ 61,8 milhões por pessoal ocupado).

Estes dados são revelados pelo estudo Estatísticas de Empreendedorismo 2010, resultado de uma pareceria entre o IBGE e o Instituto Empreender Endeavor Brasil. A publicação analisa o desempenho das empresas, o emprego gerado por elas e indicadores como valor adicionado e produtividade. Em 2010, o foco foram as empresas de alto crescimento (EAC) orgânico. As cinco atividades econômicas responsáveis pelas maiores criações de ocupações nas EAC orgânico foram: indústrias de transformação (568,8 mil); atividades administrativas e serviços complementares (553,7 mil); construção (551,0 mil); comércio; reparação de veículos automotores e motocicletas (420,6 mil); e transporte, armazenagem e correio (204,1 mil). A idade média das EAC orgânico, em 2010, foi de 13,6 anos. Além disso, cerca de 70% das EAC orgânico concentravam-se nas regiões Sudeste e Sul em 2010. O Sudeste também detinha o maior percentual de empregados (52,9%), mas o Nordeste apareceu em segundo lugar, ocupando 19,7% do pessoal, seguido pelo Sul, com 14,9%. O Nordeste também apresentava a maior média de pessoas ocupadas por unidade local (77), seguido por Sudeste (69), Norte (64), Centro-Oeste (58) e Sul (48). A pesquisa também traz informações sobre as chamadas empresas gazelas, empresas de alto crescimento mais novas. Entre elas, 3.722 empresas tinham até cinco anos (G5) e 12.328, entre cinco e oito anos (G8). A publicação completa pode ser acessada no link http://www.ibge.gov.br/home/estatistica/economia/empreendedorismo/2010/default.shtm