As práticas em segurança da informação (parte final)

NORMAS TÉCNICAS INTERNACIONAIS

Assessoria em normas internacionais e estrangeiras: a Target oferece a consultoria definitiva que sua empresa precisa em normalização internacional e estrangeira: a melhor maneira de assegurar a confiabilidade de suas informações e de manter-se atualizado com relação aos padrões de qualidade de produtos e serviços do mundo.

Pesquisas: entendemos sua necessidade e localizamos, com rapidez e eficiência, diversos tipos de normas em entidades de normalização de qualquer parte do mundo.

Gerenciamento: informamos sobre o status das normas de seu acervo, e sobre qualquer alteração, revisão ou publicação de novas normas de seu interesse. A partir daí, você decide se vai ou não atualizar suas normas.

Tradução: uma equipe de profissionais, especializados em normalização e traduções técnicas, está apta a fornecer o melhor serviço de tradução de normas internacionais e estrangeiras. Os serviços de tradução também oferecem a formatação e adequação da norma dentro dos padrões das Normas Brasileiras.

Para solicitações ou mais informações, clique aqui

securityE como estabelecer requisitos de segurança da informação? É de fundamental importância que uma organização identifique os seus requisitos de segurança da informação. Uma das maneiras para se identificar esses requisitos é através da análise e avaliação de riscos para a organização, levando-se em conta os objetivos e as estratégias globais de negocio da organização. Assim, serão identificadas as ameaças aos ativos de informação bem como as vulnerabilidades destes, de forma a realizar uma estimativa da probabilidade de ocorrência dessas ameaças e do impacto potencial aos negócios. Os resultados da análise e avaliação dos riscos, nortearão as ações gerenciais apropriadas e as prioridades no sentido de proteger os ativos de informação desses riscos. É essencial que uma organização identifique os seus requisitos de segurança da informação. Existem três fontes principais de requisitos de segurança da informação. Uma fonte é obtida a partir da análise/avaliação de riscos para a organização, levando-se em conta os objetivos e as estratégias globais de negócio da organização. Por meio da análise/avaliação de riscos, são identificadas as ameaças aos ativos e as vulnerabilidades destes, e realizada uma estimativa da probabilidade de ocorrência das ameaças e do impacto potencial ao negócio.

Uma outra fonte é a legislação vigente, os estatutos, a regulamentação e as cláusulas contratuais que a organização, seus parceiros comerciais, contratados e provedores de serviço têm que atender, além do seu ambiente sociocultural. A terceira fonte é um conjunto particular de princípios, objetivos e os requisitos do negócio para o processamento da informação que uma organização tem que desenvolver para apoiar suas operações. Dessa forma, os requisitos de segurança da informação são identificados por meio de uma análise/avaliação sistemática dos riscos de segurança da informação. Os gastos com os controles precisam ser balanceados de acordo com os danos causados aos negócios gerados pelas potenciais falhas na segurança da informação. Os resultados da análise/avaliação de riscos ajudarão a direcionar e a determinar as ações gerenciais apropriadas e as prioridades para o gerenciamento dos riscos da segurança da informação, e para a implementação dos controles selecionados para a proteção contra estes riscos. Convém que a análise/avaliação de riscos seja repetida periodicamente para contemplar quaisquer mudanças que possam influenciar os resultados desta análise/avaliação. As informações adicionais sobre a análise/avaliação de riscos de segurança da informação podem ser encontradas no item 4.1 “Analisando/avaliando os riscos de segurança da informação”.

Uma vez que os requisitos de segurança da informação e os riscos tenham sido identificados e as decisões para o tratamento dos riscos tenham sido tomadas, convém que controles apropriados sejam selecionados e implementados para assegurar que os riscos sejam reduzidos a um nível aceitável. Os controles podem ser selecionados a partir dessa nrma ou de um outro conjunto de controles ou novos controles podem ser desenvolvidos para atender às necessidades específicas, conforme apropriado. A seleção de controles de segurança da informação depende das decisões da organização, baseadas nos critérios para aceitação de risco, nas opções para tratamento do risco e no enfoque geral da gestão de risco aplicado à organização, e convém que também esteja sujeito a todas as legislações e regulamentações nacionais e internacionais, relevantes. Alguns dos controles nessa norma podem ser considerados como princípios básicos para a gestão da segurança da informação e podem ser aplicados na maioria das organizações. Esses controles são explicados em mais detalhes no item “Ponto de partida para a segurança da informação”.

As informações adicionais sobre seleção de controles e outras opções para tratamento de risco podem ser encontradas em 4.2 “Tratamento dos riscos de segurança da informação”. Um certo número de controles pode ser considerado um bom ponto de partida para a implementação da segurança da informação. Estes controles são baseados tanto em requisitos legais como nas melhores práticas de segurança da informação normalmente usadas. Os controles considerados essenciais para uma organização, sob o ponto de vista legal, incluem, dependendo da legislação aplicável: proteção de dados e privacidade de informações pessoais (ver 15.1.4); proteção de registros organizacionais (ver 15.1.3); direitos de propriedade intelectual (ver 15.1.2). Os controles considerados práticas para a segurança da informação incluem: documento da política de segurança da informação (ver 5.1.1); atribuição de responsabilidades para a segurança da informação (ver 6.1.3); conscientização, educação e treinamento em segurança da informação (ver 8.2.2); processamento correto nas aplicações (ver 12.2); gestão de vulnerabilidades técnicas (ver 12.6); gestão da continuidade do negócio (ver seção 14); gestão de incidentes de segurança da informação e melhorias (ver 13.2).

Esses controles se aplicam para a maioria das organizações e na maioria dos ambientes. Convém observar que, embora todos os controles nessa norma sejam importantes e devam ser considerados, a relevância de qualquer controle deve ser determinada segundo os riscos específicos a que uma organização está exposta. Por isto, embora o enfoque acima seja considerado um bom ponto de partida, ele não substitui a seleção de controles, baseado na análise/avaliação de riscos. E quais os fatores críticos de sucesso? A experiência tem mostrado que os seguintes fatores são geralmente críticos para o sucesso da implementação da segurança da informação dentro de uma organização: política de segurança da informação, objetivos e atividades, que reflitam os objetivos do negócio; uma abordagem e uma estrutura para a implementação, manutenção, monitoramento e melhoria da segurança da informação que seja consistente com a cultura organizacional; comprometimento e apoio visível de todos os níveis gerenciais; um bom entendimento dos requisitos de segurança da informação, da análise/avaliação de riscos e da gestão de risco; divulgação eficiente da segurança da informação para todos os gerentes, funcionários e outras partes envolvidas para se alcançar a conscientização; distribuição de diretrizes e normas sobre a política de segurança da informação para todos os gerentes, funcionários e outras partes envolvidas; provisão de recursos financeiros para as atividades da gestão de segurança da informação; provisão de conscientização, treinamento e educação adequados; estabelecimento de um eficiente processo de gestão de incidentes de segurança da informação; implementação de um sistema de medição que seja usado para avaliar o desempenho da gestão da segurança da informação e obtenção de sugestões para a melhoria.

Siga o blog no TWITTER

Mais notícias, artigos e informações sobre qualidade, meio ambiente, normalização e metrologia.

Linkedin: http://br.linkedin.com/pub/hayrton-prado/2/740/27a

Facebook: http://www.facebook.com/#!/hayrton.prado

Anúncios

Deixe uma Resposta

Preencha os seus detalhes abaixo ou clique num ícone para iniciar sessão:

Logótipo da WordPress.com

Está a comentar usando a sua conta WordPress.com Terminar Sessão /  Alterar )

Google photo

Está a comentar usando a sua conta Google Terminar Sessão /  Alterar )

Imagem do Twitter

Está a comentar usando a sua conta Twitter Terminar Sessão /  Alterar )

Facebook photo

Está a comentar usando a sua conta Facebook Terminar Sessão /  Alterar )

Connecting to %s

%d bloggers like this: