A governança de dados em tecnologia da informação (TI)

Sobre a governança de dados é importante fornecer orientação para uma comunidade mais ampla, incluindo: gerentes executivos, empresas externas ou especialistas técnicos, como especialistas em direito ou contabilidade, associações de retalhistas ou industriais ou organismos profissionais, provedores de serviços internos e externos (incluindo consultores), e auditores.

A NBR ISO/IEC 38505-1 de 01/2020 – Tecnologia da Informação — Governança da TI – Parte 1: Aplicação da ABNT NBR ISO/IEC 38500 à governança de dados fornece princípios orientadores para os membros de estruturas de governança de organizações (que podem incluir proprietários, diretores, parceiros, gerentes executivos ou similares) sobre o uso eficaz, eficiente e aceitável de dados em suas organizações, por meio de: aplicação dos princípios e modelo de governança da NBR ISO/IEC 38500 à governança de dados, asseguramento às partes interessadas de que, se os princípios e práticas propostas por este documento forem seguidos, eles podem confiar na governança de dados da organização, informação e orientação às estruturas de governança sobre o uso e proteção de dados em sua organização, e estabelecimento de um vocabulário para a governança de dados.

Este documento também pode fornecer orientação para uma comunidade mais ampla, incluindo: gerentes executivos, empresas externas ou especialistas técnicos, como especialistas em direito ou contabilidade, associações de retalhistas ou industriais ou organismos profissionais, provedores de serviços internos e externos (incluindo consultores), e auditores. Embora este documento analise a governança de dados e o seu uso em uma organização, a orientação sobre o arranjo de implementação para a governança efetiva da TI em geral é encontrada na ISO/IEC TS 38501. Os construtos na ISO/IEC TS 38501 podem ajudar a identificar os fatores internos e externos relacionados à governança da TI e ajudar a determinar os resultados benéficos e identificar evidências de sucesso.

Este documento se aplica à governança do uso atual e futuro dos dados que são criados, coletados, armazenados ou controlados por sistemas de TI, e afeta os processos de gestão e as decisões relacionadas aos dados. Este documento define a governança de dados como um subconjunto ou domínio da governança da TI, que em si é um subconjunto ou domínio organizacional ou, no caso de uma corporação, governança corporativa. Este documento é aplicável a todas as organizações, incluindo empresas públicas e privadas, entidades governamentais e organizações sem fins lucrativos. Este documento é aplicável às organizações de todos os tamanhos, das menores às maiores, independentemente da extensão e da sua dependência dos dados.

Acesse algumas perguntas relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Quais são os princípios, modelo e aspectos para uma boa governança de dados?

Como pode ser descrita a atividade armazenar?

Como pode ser descrita a atividade distribuir?

Quais as orientações para a governança de dados ‒ princípios?

O objetivo deste documento é fornecer princípios, definições e um modelo para as estruturas de governança usarem ao avaliar, dirigir e monitorar o manuseio e o uso de dados em suas organizações. Este documento é uma norma orientativa de alto nível, com base em princípios. Além de fornecer uma ampla orientação sobre a função da estrutura de governança, incentiva as organizações a usarem normas apropriadas para sustentar a sua governança de dados.

Todas as organizações usam dados e a maior parte desses dados é armazenada eletronicamente nos sistemas de TI. Com o advento da computação em nuvem, a realização do potencial da internet das coisas e o uso crescente de análises de big data, os dados estão se tornando mais fáceis de gerar, coletar, armazenar e extrair para obter informações úteis. Essa enxurrada de dados traz uma necessidade urgente e responsabilidade para as estruturas de governança assegurarem que oportunidades valiosas sejam aproveitadas e que dados confidenciais estejam seguros e protegidos.

Este documento foi preparado para fornecer diretrizes aos membros das estruturas de governança para aplicar uma abordagem baseada em princípios à governança de dados, de modo a aumentar o valor dos dados e, ao mesmo tempo, diminuir os riscos associados a esses dados.

A NBR ISO/IEC 38500 fornece princípios e modelos para as estruturas de governança das organizações orientarem o uso atual e planejarem o uso futuro da tecnologia da informação (TI), e é para esse fim que esse documento se aplica. Assim como na NBR ISO/IEC 38500, este documento é dirigido principalmente à estrutura de governança de uma organização e será aplicado igualmente, independentemente do tamanho da organização ou de sua indústria ou setor.

A governança é distinta da gestão e, portanto, há a preocupação em avaliar, dirigir e monitorar o uso de dados, em vez da mecânica de armazenar, recuperar ou gerenciar os dados. Dito isto, um entendimento de algumas técnicas e técnicas de gerenciamento de dados é descrito para enunciar as possíveis estratégias e políticas que podem ser direcionadas pela estrutura de governança.

A boa governança de dados auxilia as estruturas de governança para assegurar que o uso de dados em toda a organização contribua positivamente com o desempenho da organização por meio de: inovação em serviços, mercados e negócios; implementação e operação apropriadas dos ativos de dados; clareza de responsabilidade e responsabilização pela proteção e pelo potencial para agregar valor; e minimização de consequências adversas ou não intencionais. Convém que as organizações com boa governança de dados sejam: organizações confiáveis para os proprietários de dados e usuários de dados fazerem transações; capazes de fornecer dados confiáveis para compartilhamento; protetoras da propriedade intelectual e outros valores derivados dos dados; organizações com políticas e práticas para dissuadir hackers e atividades fraudulentas; preparadas para minimizar o impacto das violações de dados; cientes de quando e como os dados podem ser reutilizados; capazes de demonstrar boas práticas no manuseio dos dados.

Este documento estabelece princípios para o uso eficaz, eficiente e aceitável de dados. As estruturas de governança, ao assegurar que suas organizações sigam esses princípios, serão auxiliadas na gestão de riscos e no incentivo à exploração de oportunidades decorrentes do manuseio seguro e da interpretação precisa da qualidade dos dados. A boa governança dos dados também ajuda as estruturas de governança a garantirem a conformidade com as obrigações (regulatórias, legislativas, contratuais) referentes ao uso e tratamento aceitáveis dos dados.

Este documento estabelece um modelo para a governança de dados. O risco de as estruturas de governança não cumprirem suas obrigações é mitigado, dando a devida atenção ao modelo, aplicando adequadamente os princípios. A provisão inadequada da governança de dados pode expor uma organização a vários riscos, incluindo: penalidades pelo descumprimento da legislação, especialmente legislação relacionada às medidas de privacidade exigidas; perda de confidencialidade dos dados da empresa, por exemplo, receitas ou especificações de projeto; perda de confiança das partes interessadas, incluindo parceiros comerciais, clientes e público; incapacidade de realizar funções organizacionais críticas devido à falta de dados confiáveis ou pertinentes para os negócios; aumento da concorrência por meio do uso estratégico de dados pelos concorrentes.

As estruturas de governança podem ser responsabilizadas por: violações de privacidade, spam, saúde e segurança, legislação e regulamentos de manutenção de registros; não conformidade com normas obrigatórias relativas à segurança e responsabilidade social; questões relacionadas aos direitos de propriedade intelectual. Os membros da estrutura de governança são responsáveis pela governança dos dados e são responsáveis pelo uso eficaz, eficiente e aceitável dos dados pela organização.

A autoridade, a responsabilidade e a responsabilização da estrutura de governança pelo uso efetivo, eficiente e aceitável de dados surgem de sua responsabilidade geral pela governança da organização e de suas obrigações com as partes interessadas externas, incluindo os reguladores. O foco principal do papel da estrutura de governança de dados é assegurar que a organização obtenha valor dos investimentos em dados e TI associado, enquanto gerencia os riscos e leva em consideração as restrições.

Além disso, convém que a estrutura de governança assegure que haja um entendimento claro de quais dados estão sendo usados pela organização e com que finalidade, e que exista um sistema de gestão eficaz para assegurar que as obrigações, como proteção de dados, privacidade e respeito para propriedade intelectual, possam ser cumpridas. Convém que a estrutura de governança estabeleça mecanismos de supervisão para a governança de dados que sejam apropriados ao nível de dependência do negócio em relação aos dados.

Convém que a estrutura de governança tenha uma compreensão clara da importância dos dados para as estratégias de negócios da organização, bem como o potencial risco estratégico para a organização do uso destes dados. Convém que o nível de atenção que uma estrutura de governança dá aos dados seja baseado nestes fatores. Convém que a estrutura de governança assegure que seus membros e mecanismos de governança associados (como auditoria, gestão de riscos e comitês relacionados), bem como gerentes, tenham o conhecimento e a compreensão necessários sobre a importância dos dados.

A estrutura de governança pode estabelecer um subcomitê para ajudar a estrutura de governança a supervisionar o uso de dados da organização do ponto de vista estratégico. A necessidade de um subcomitê depende da importância dos dados para a organização e seu tamanho. Convém que a estrutura de governança assegure que um framework apropriado de governança seja estabelecido para a governança e gestão dos dados.

Convém que a estrutura de governança monitore a eficácia dos mecanismos de governança e gestão dos dados, requerendo processos como auditorias e avaliações independentes para obter a garantia de que a governança seja eficaz. Os aspectos específicos da governança de dados que são introduzidos neste documento são os descritos a seguir.

– Valor: os dados são a matéria-prima para o conhecimento útil. Alguns dados podem não ser muito valiosos, enquanto outros dados são extremamente valiosos para a organização. No entanto, este valor não é conhecido até que seja usado pela organização e, portanto, todos os dados são de interesse da estrutura de governança, que, em última análise, é responsável por eles. O termo valor, neste caso, também inclui a qualidade e a quantidade dos dados, sua atualidade, o contexto (que é o dado em si) e o custo de seu armazenamento, manutenção, uso e descarte.

– Risco: diferentes classes de dados trazem diferentes níveis de risco, e convém que a estrutura de governança entenda os riscos dos dados e como direcionar os gerentes para gerenciar esses riscos. Os riscos não se manifestam apenas em violações de dados, mas também no mau uso dos dados, bem como nos riscos competitivos envolvidos em não utilizar adequadamente os dados.

– Restrições: A maioria dos dados vem com restrições em seu uso. Algumas delas são impostas externamente à organização por meio de legislação, regulamentação ou obrigações contratuais, e incluem questões de privacidade, direitos autorais, interesses comerciais e assim por diante. Outras restrições sobre os dados incluem obrigações éticas ou sociais ou políticas organizacionais que restringem o uso dos dados. Estratégias e políticas são requeridas para explicar estas restrições em qualquer uso dos dados pela organização.

Os dados e o seu uso pelas organizações estão se tornando cada vez mais importantes para todas as organizações e suas partes interessadas. Ao aplicar os princípios, modelos e aspectos específicos da governança de dados descritos neste documento, convém que as estruturas de governança sejam capazes de realizar ações que maximizem seus investimentos em uso de dados, gerenciem os riscos envolvidos e forneçam boa governança para a sua organização.

A figura acima mostra as áreas de responsabilização de dados dentro de uma organização. Os elementos do mapa são descritos abaixo. Para qualquer organização e para qualquer tipo de negócio, o mapa identifica os tópicos que são de interesse sob uma perspectiva de governança. Embora os processos e implementações reais sejam de responsabilidade do gerenciamento, as linhas indicam tanto o fluxo de dados quanto o mecanismo de bloqueio, onde é necessário assegurar que as políticas e estratégias de governança estejam implementadas e que as responsabilizações sejam atendidas.

Os aspectos específicos de dados da governança no contexto destas responsabilizações são discutidos em mais detalhes na Seção 9. O foco deste documento é a governança dos dados, e convém que não seja confundido com a gestão de dados. Considerando que a estrutura de governança está preocupada com a aplicação dos princípios de governança, conforme descrito na Seção 7, o campo da gestão de dados tem métodos bem definidos para o processamento dos dados, bem como mecanismos para garantir a confidencialidade, integridade e disponibilidade desses dados. Um exemplo de ciclo de vida de gestão de dados é mostrado na figura abaixo

A atividade coletar inclui o processo de aquisição, coleta e criação de dados, aprendendo com decisões anteriores tomadas e contextos adicionais extraídos de outros conjuntos de dados (internos ou externos). Os dados existem em muitas formas e podem ser criados e coletados para uso pela organização de várias maneiras diferentes, incluindo os seguintes aspectos descritos a seguir.

— Entrada de dados: a entrada de dados é obtida usando aplicativos dentro da organização [por exemplo, em um sistema ERP (Enterprise Resource Planning) ou aplicativo de e-mail] ou externamente por meio de um site, aplicativo móvel ou aplicativo similar.

— Transações de outros sistemas: a entrada de dados ou a atualização feita em outros sistemas pode fluir para o sistema da organização por meio do EDI (Electronic Data Interchange) ou outros processos de interface.

— Sensores: uma quantidade crescente de dados é ingerida na organização por meio de sistemas de máquinas, como sensores. Os sensores abrangem uma ampla variedade de dispositivos de aquisição de dados, incluindo registros de sites, fontes de mídias sociais e dispositivos de internet das coisas os quais incluem dispositivos do dia a dia, desde simples sensores de temperatura até TV, carros, semáforos e edifícios. Os dados dos sensores também podem incluir sinais potencialmente urgentes, como alertas e alarmes.

— Novo contexto: os dados dos relatórios podem ser combinados com outros dados para fornecer informações adicionais, que , por sua vez, retornam à organização. Em muitos casos, estes dados adicionais fornecem um novo contexto aos dados originais e podem precisar ser tratados de maneira diferente dos dados originais. Novos dados contextuais podem vir de decisões que podem dar relevância ou valor aos dados existentes.

— Assinatura: os dados podem se tornar disponíveis para a organização por meio de uma assinatura de um feed de dados ou de um armazenamento de dados virtual.

A imunidade de eletroeletrônicos a perturbações eletromagnéticas

O objetivo desta norma é estabelecer uma referência comum para avaliação da imunidade funcional do equipamento eletroeletrônico quando sujeito a perturbações conduzidas, induzidas por campos de RF.

A NBR IEC 61000-4-6 de 12/2019 – Compatibilidade eletromagnética (EMC) – Parte 4-6: Técnicas de medição e ensaio — Imunidade a perturbação conduzida, induzida por campos de radiofrequência está relacionada aos requisitos de imunidade conduzida de equipamentos eletroeletrônicos a perturbações eletromagnéticas provenientes de transmissores intencionais de radiofrequência na faixa de 150 kHz a 80 MHz. Exclui-se do escopo desta publicação o equipamento que não tenha no mínimo um fio e/ou cabo condutor (como de alimentação de energia, linha de sinal ou conexão de terra), por meio do qual os campos perturbadores possam ser captados pelo equipamento.

Os métodos de ensaio são definidos nesta parte da NBR IEC 61000-4 para avaliar o efeito que os sinais perturbadores conduzidos, induzidos pela radiação eletromagnética, têm sobre o equipamento em questão. A simulação e medição destas perturbações conduzidas não são adequadamente exatas para a determinação quantitativa de efeitos. Os métodos de ensaio definidos são estruturados com o objetivo básico de estabelecer repetibilidade adequada em várias instalações laboratoriais para análise quantitativa de efeitos.

O objetivo desta norma é estabelecer uma referência comum para avaliação da imunidade funcional do equipamento eletroeletrônico quando sujeito a perturbações conduzidas, induzidas por campos de RF. O método de ensaio documentado nesta parte descreve um método consistente de avaliação de imunidade de um equipamento ou sistema contra um fenômeno definido. Como descrito no Guia IEC 107, esta é uma publicação básica de EMC para uso pelos comitês da IEC. Como também declarado no Guia 107, os comitês de produto da IEC são responsáveis por determinar se esta norma é ou não aplicável, e se aplicável, eles são responsáveis por determinar o nível de ensaio apropriado e critério de desempenho.

Acesse alguns questionamentos relacionados a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Qual o parâmetro principal da combinação do dispositivo de acoplamento e desacoplamento?

O que são as redes de acoplamento e desacoplamento (CDN)?

Quais as funções dos dispositivos de injeção tipo alicate?

O que são as redes de desacoplamento?

A fonte de perturbação coberta por esta parte da ABNT NBR IEC 61000-4 é basicamente um campo eletromagnético, proveniente de um transmissor de RF intencional, que pode atuar ao longo de todo o comprimento dos cabos conectados ao equipamento instalado. As dimensões do equipamento perturbado, principalmente uma subparte de um sistema maior, são supostamente pequenas se comparadas com o comprimento de onda do sinal interferente.

Os condutores que entram e saem do equipamento sob ensaio – ESE (isto é, de alimentação, linhas de comunicação, cabos de interface) comportam-se como redes de antenas receptoras passivas e caminhos de condução do sinal tanto para sinais intencionais como não intencionais. Entre estas redes de cabos, o equipamento suscetível está sujeito ao fluxo de correntes através do equipamento.

Assume-se que sistemas de cabos conectados a um equipamento estejam em modos ressonantes (dipolo aberto ou dobrado de λ/4, λ/2), e como tal são representados por dispositivos de acoplamento e desacoplamento com impedância em modo comum de 150 Ω com relação ao plano de referência de terra. Onde possível, o ESE é ensaiado através de sua conexão entre duas impedâncias de 150 Ω em modo comum: uma fornecida pela fonte de RF e a outra fornecida pelo caminho de retorno de corrente.

A fonte de perturbação coberta por esta parte é basicamente um campo eletromagnético, proveniente de um transmissor de RF intencional, que pode atuar ao longo de todo o comprimento dos cabos conectados ao equipamento instalado. As dimensões do equipamento perturbado, principalmente uma subparte de um sistema maior, são supostamente pequenas se comparadas com o comprimento de onda do sinal interferente.

O gerador de ensaio inclui todos os equipamentos e componentes utilizados para fornecer, na porta de entrada de cada dispositivo de acoplamento, o sinal perturbador no nível e no ponto requerido. Um arranjo típico inclui os elementos seguintes que podem ser separados ou integrados em um ou vários instrumentos de ensaio: geradores de RF, G1, capazes de cobrir a faixa de passagem de interesse e de serem modulados em amplitude por uma onda senoidal de 1 kHz, com um índice de modulação de 80 %.

Eles devem possuir um controle manual (por exemplo, frequência, amplitude, índice de modulação) ou no caso de sintetizadores, devem ser programáveis nos tamanhos de passo dependentes da frequência e tempos de permanência na frequência. O atenuador T1 (tipicamente 0 dB … 40dB), de faixa de frequência adequada para controlar o nível de saída da fonte perturbadora. T1 é opcional e pode estar incluído no gerador de RF. A chave de RF S1, por meio do qual o sinal de RF pode ser ligado ou desligado durante o ensaio de imunidade do ESE. S1 é opcional e pode ser incluída no gerador de RF.

Os amplificadores de potência de faixa larga, AP, podem ser necessários, a fim de amplificar o sinal se a potência de saída do gerador de RF for insuficiente. Os filtros passa-baixa (FPB) e/ou filtros passa-alta (FPA) podem ser necessários parar evitar interferência causada por harmônicas ou sub-harmônicas em alguns tipos de equipamentos sob ensaio, por exemplo, receptores de RF. Quando requerido, eles devem ser inseridos entre o amplificador de potência de faixa larga, AP, e o atenuador T2.

O atenuador T2, (fixo ≥ 6 dB), com potências nominais suficientes. T2 é fornecido para reduzir o VSWR ao amplificador de potência causado pela incompatibilidade do dispositivo de acoplamento. T2 pode ser incluído em um dispositivo de acoplamento e desacoplamento, e pode ser deixado fora do circuito se a impedância de saída do amplificador de potência de faixa larga permanecer dentro das especificações em quaisquer condições de carga.

Os dispositivos de acoplamento e desacoplamento devem ser utilizados para o acoplamento apropriado do sinal perturbador (ao longo de toda a faixa de frequência, com impedância de modo comum definida na porta do ESE) nos vários cabos conectados ao ESE e para impedir que os sinais aplicados afetem outros dispositivos, equipamentos e sistemas que não estejam submetidos ao ensaio. Os dispositivos de acoplamento e desacoplamento podem ser combinados em uma única caixa (uma CDN ou um alicate EM) ou podem consistir das várias partes.

Os dispositivos de acoplamento e desacoplamento preferenciais são as CDN, isso por razões de reprodutibilidade de ensaio e de proteção dos EA. O parâmetro principal das redes de acoplamento e desacoplamento, a impedância de modo comum vista na porta de conexão do ESE. Se CDN não são aplicáveis ou disponíveis no mercado, outros métodos de injeção podem ser utilizados.

Embora os requisitos nesta norma sejam especificados para a faixa de frequência de 150 kHz até 80 MHz, a faixa de frequência aplicável depende da instalação normal e das condições de operação do equipamento a ser ensaiado. Por exemplo: um equipamento pequeno, alimentado por bateria, com dimensão total menor que 0,4 m e sem quaisquer cabos metálicos conectados a ele, não precisa ser ensaiado abaixo de 80 MHz, porque é pouco provável que a energia de RF induzida resultante do campo EM perturbador prejudique o dispositivo.

Em geral, a frequência final será 80 MHz. Em alguns casos, onde equipamento de pequenas dimensões for considerado (dimensão < λ/4), normas específicas de produtos podem prescrever que a frequência final seja estendida até um máximo de 230 MHz. Os dispositivos de acoplamento e desacoplamento, neste caso, devem então atender ao parâmetro de impedância de modo comum, visto na porta do ESE.

Quando este método de ensaio for utilizado até frequências mais altas, os resultados são influenciados por: dimensões do equipamento, tipo (s) de cabo (s) de interconexão utilizado (s), e disponibilidade de CDN especiais etc. Recomenda-se que diretrizes adicionais para aplicação apropriada do ensaio sejam fornecidas nas normas específicas dos produtos.

A frequência inicial depende da capacidade do equipamento, incluindo seus cabos de conexão, de receber uma grande quantidade de energia de RF do campo EM perturbador. Três situações diferentes são consideradas. Equipamento alimentado por bateria (dimensão < λ/4) que não tem conexão à terra nem a qualquer outro equipamento e que não é utilizado durante carregamento de bateria não necessita ser ensaiado de acordo com esta norma. Para equipamento alimentado por bateria (dimensão ≥ λ/4), seu tamanho, incluindo o comprimento máximo dos cabos conectados, determina a frequência inicial.

Equipamento conectado à rede de energia elétrica, mas não conectado a quaisquer outros equipamentos ou cabos. A fonte de alimentação é fornecida através de um dispositivo de acoplamento e desacoplamento e o equipamento é carregado por uma mão artificial. A frequência inicial é 150 kHz. Equipamento conectado à rede de energia elétrica que também é conectada através de cabos de telecomunicações ou de controle e de Entrada/Saída, para outros equipamentos isolados ou não isolados.

A gestão de riscos em segurança da informação

Uma abordagem sistemática de gestão de riscos de segurança da informação é necessária para se identificar as necessidades da organização em relação aos requisitos de segurança da informação e para criar um sistema de gestão de segurança da informação (SGSI) que seja eficaz.

A NBR ISO/IEC 27005 de 10/2019 – Tecnologia da informação — Técnicas de segurança — Gestão de riscos de segurança da informação fornece as diretrizes para o processo de gestão de riscos de segurança da informação. Este documento estabelece os conceitos gerais especificados na NBR ISO/IEC 27001 e foi elaborado para facilitar uma implementação satisfatória da segurança da informação tendo como base uma abordagem de gestão de riscos. O conhecimento dos conceitos, modelos, processos e terminologias descritos na NBR ISO/IEC 27001 e na NBR ISO/IEC 27002 é importante para um entendimento completo deste documento. Este documento é aplicável a todos os tipos de organização (por exemplo: empreendimentos comerciais, agências governamentais, organizações sem fins lucrativos), que pretendam gerenciar os riscos que podem comprometer a segurança da informação da organização.

Acesse algumas dúvidas relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Quais são os critérios para a aceitação do risco?

Qual o propósito da identificação de riscos?

Como fazer a identificação das vulnerabilidades?

Como executar uma avaliação das consequências?

Como fazer a determinação do nível de risco?

Este documento fornece diretrizes para a gestão de riscos de segurança da informação em uma organização. Entretanto, este documento não fornece um método específico para a gestão de riscos de segurança da informação. Cabe à organização definir sua abordagem ao processo de gestão de riscos, considerando, por exemplo, o escopo de um sistema de gestão de segurança (SGSI), o contexto da gestão de riscos e o seu setor de atividade econômica. Há várias metodologias que podem ser utilizadas de acordo com a estrutura descrita neste documento para implementar os requisitos de um SGSI.

Este documento é baseado no método de identificação de riscos de ativos, ameaças e vulnerabilidades, que não é mais requerido pela NBR ISO/IEC 27001. Existem outras abordagens que podem ser usadas. Este documento não contém orientação direta sobre a implementação dos requisitos do SGSI fornecidos na NBR ISO/IEC 27001.

Este documento é aplicável a gestores e pessoal envolvidos com a gestão de riscos de segurança da informação em uma organização e, quando apropriado, em entidades externas que dão suporte a essas atividades. Uma abordagem sistemática de gestão de riscos de segurança da informação é necessária para se identificar as necessidades da organização em relação aos requisitos de segurança da informação e para criar um sistema de gestão de segurança da informação (SGSI) que seja eficaz. Convém que esta abordagem seja adequada ao ambiente da organização e em particular esteja alinhada com o processo maior de gestão de riscos corporativos.

Convém que os esforços de segurança lidem com riscos de maneira efetiva e no tempo apropriado, onde e quando forem necessários. Convém que a gestão de riscos de segurança da informação seja parte integrante das atividades de gestão da segurança da informação e seja aplicada tanto à implementação quanto à operação cotidiana de um SGSI.

Convém que a gestão de riscos de segurança da informação seja um processo contínuo. Convém que o processo defina o contexto interno e externo, avalie os riscos e os trate usando um plano de tratamento a fim de implementar as recomendações e decisões. Convém que a gestão de riscos analise os possíveis acontecimentos e suas consequências, antes de decidir o que será feito e quando será feito, a fim de reduzir os riscos a um nível aceitável.

Convém que a gestão de riscos de segurança da informação contribua para o seguinte: identificação de riscos; processo de avaliação de riscos em função das consequências ao negócio e da probabilidade de sua ocorrência; comunicação e entendimento da probabilidade e das consequências destes riscos; estabelecimento da ordem prioritária para tratamento do risco; priorização das ações para reduzir a ocorrência dos riscos; envolvimento das partes interessadas nas decisões de gestão de riscos tomadas e para informação sobre a situação da gestão de riscos; eficácia do monitoramento do tratamento do risco; monitoramento e análise crítica periódica dos riscos e do processo de gestão de riscos; coleta de informações de forma a melhorar a abordagem da gestão de riscos; treinamento de gestores e pessoal sobre os riscos e as ações para mitigá-los.

O processo de gestão de riscos de segurança da informação pode ser aplicado à organização como um todo, a uma área específica da organização (por exemplo: um departamento, um local físico, um serviço), a qualquer sistema de informações, a controles já existentes, planejados ou apenas a aspectos particulares de um controle (por exemplo: o plano de continuidade de negócios). Uma visão de alto nível do processo de gestão de riscos é especificada na NBR ISO 31000 e apresentado na figura abaixo.

A figura abaixo apresenta como este documento é aplicado ao processo de gestão de riscos. O processo de gestão de riscos de segurança da informação consiste na definição do contexto (Seção 7), processo de avaliação de riscos (Seção 8), tratamento do risco (Seção 9), aceitação do risco (Seção 10), comunicação e consulta do risco (Seção 11) e monitoramento e análise crítica de riscos (Seção 12).

Como mostra a figura acima, o processo de gestão de riscos de segurança da informação pode ser iterativo para o processo de avaliação de riscos e/ou para as atividades de tratamento do risco. Um enfoque iterativo na execução do processo de avaliação de riscos torna possível aprofundar e detalhar a avaliação em cada repetição. O enfoque iterativo permite minimizar o tempo e o esforço despendidos na identificação de controles e, ainda assim, assegura que riscos de alto impacto ou de alta probabilidade possam ser adequadamente avaliados.

Primeiramente, o contexto é estabelecido. Em seguida, executa-se um processo de avaliação de riscos. Se ele fornecer informações suficientes para que se determine de forma eficaz as ações necessárias para reduzir os riscos a um nível aceitável, então a tarefa está completa e o tratamento do risco pode ser realizado. Por outro lado, se as informações forem insuficientes, executa-se uma outra iteração do processo de avaliação de riscos, revisando-se o contexto (por exemplo: os critérios de avaliação de riscos, de aceitação do risco ou de impacto), possivelmente em partes limitadas do escopo.

A eficácia do tratamento do risco depende dos resultados do processo de avaliação de riscos. Notar que o tratamento do risco envolve um processo cíclico para: avaliar um tratamento do risco; decidir se os níveis de risco residual são aceitáveis; gerar um novo tratamento do risco se os níveis de risco não forem aceitáveis; e avaliar a eficácia do tratamento.

É possível que o tratamento do risco não resulte em um nível de risco residual que seja aceitável. Nessa situação, pode ser necessária uma outra iteração do processo de avaliação de riscos, com mudanças nas variáveis do contexto (por exemplo: os critérios para o processo de avaliação de riscos, de aceitação do risco e de impacto), seguida por uma fase adicional de tratamento do risco (ver figura acima, Ponto de Decisão 2).

A atividade de aceitação do risco tem de assegurar que os riscos residuais sejam explicitamente aceitos pelos gestores da organização. Isto é especialmente importante em uma situação em que a implementação de controles é omitida ou adiada, por exemplo, devido aos custos. Durante o processo de gestão de riscos de segurança da informação, é importante que os riscos e a forma com que são tratados sejam comunicados ao pessoal das áreas operacionais e gestores apropriados.

Mesmo antes do tratamento do risco, informações sobre riscos identificados podem ser muito úteis para gerenciar incidentes e ajudar a reduzir possíveis prejuízos. A conscientização dos gestores e pessoal em relação aos riscos, à natureza dos controles aplicados para mitigá-los e às áreas definidas como de interesse pela organização, auxiliam a lidar com os incidentes e eventos não previstos da maneira mais efetiva.

Convém que os resultados detalhados de cada atividade do processo de gestão de riscos de segurança da informação, assim como as decisões sobre o processo de avaliação de riscos e sobre o tratamento do risco (representadas pelos dois pontos de decisão na figura acima), sejam documentados. A NBR ISO/IEC 27001 especifica que os controles implementados no escopo, limites e contexto do SGSI devem ser baseados em risco. A aplicação de um processo de gestão de riscos de segurança da informação pode satisfazer a esse requisito. Há várias abordagens pelas quais os controles podem ser determinados para implementar as opções de tratamento do risco escolhidas.

Verificação, qualificação, certificação: qual destas ferramentas de teste é a mais adequada?

Normas comentadas

NBR 14039 – COMENTADA de 05/2005Instalações elétricas de média tensão de 1,0 kV a 36,2 kV – Versão comentada.

Nr. de Páginas: 87

NBR 5410 – COMENTADA de 09/2004Instalações elétricas de baixa tensão – Versão comentada.

Nr. de Páginas:209

Richard Landim, especialista em produtos da Fluke Networks Brasil

À medida que as redes crescem e se transformam, o desempenho do cabeamento torna-se crítico no que diz respeito à qualidade do serviço entregue. Os administradores e usuários estão constantemente demandando novas tecnologias, serviços e melhor performance, o que, inevitavelmente, requer infraestrutura de rede avançada, confiável e segura.

Neste cenário, as ferramentas de teste de cabeamento tornaram-se essenciais para que instaladores, empreiteiros e técnicos garantam a qualidade e evitem falhas na infraestrutura da rede. Essencialmente existem três maneiras para se testar uma instalação de cabeamento: verificação, qualificação e certificação. Mas é preciso analisar cada tipo de teste para que o usuário certifique-se qual ferramenta melhor atende às suas necessidades.

O cabeamento está conectorizado corretamente? Os testes de verificação respondem a esta pergunta. Para o cabeamento de cobre, essas ferramentas de baixo custo e simples de utilizar realizam funções de continuidade básicas, como pinagem e geração de tons. A pinagem dirá que cada par está conectado aos pinos certos em plugues (machos) e soquetes (fêmeas) com bons contatos nas terminações, enquanto que a geração de tons é usada para auxiliar na identificação de um cabo específico em um grupo ou em uma extremidade remota.

Alguns testadores de verificação incluem um recurso de reflectometria no domínio do tempo (Time Domain Reflectometer, TDR) para ajudar a determinar a distância até a extremidade de um cabo ou um local de problema. Esse tipo de ferramenta também é capaz de detectar se um switch está conectado ao cabo sob teste.

No caso da fibra, um localizador visual de falhas (Visual Fault Locator, VFL) pode servir como ferramenta de identificação, à medida que verifica a continuidade das conexões de fibra para ajudar a encontrar interrupções, conectores e fusões com problemas. Além disso, o localizador visual de falhas verifica a polaridade e a orientação apropriadas das fibras em caixas de passagem, cassetes e DIOs.

Embora a verificação seja ideal para o troubleshooting e realmente a primeira linha de defesa na descoberta de problemas de cabeamento, a maioria dos testes de cabo exige mais do que uma simples verificação. Como consequência, raramente é o único método utilizado, a menos que esteja testando aplicações apenas de voz POTS (serviço telefônico convencional) rodando sobre cabos de voz simples como os de Categoria 3.

Sozinhos, os testes de verificação não averiguarão a capacidade do cabeamento para comportar aplicações específicas. E certamente não resultarão na capacidade de garantir as normas de conformidade necessárias para uma garantia de fabricante.

O cabeamento pode suportar a aplicação desejada? Os testadores de qualificação incluem a funcionalidade de verificação, porém são mais sofisticados, capazes de qualificar a largura de banda do cabeamento. A qualificação fornece as informações necessárias para determinar se o cabeamento sob teste suportará a sinalização para aplicações específicas.

Combinados com o recurso de verificação, os testadores de qualificação também são excelentes ferramentas na solução de problemas. São ideais para pequenas adições, movimentos e alterações ou para a configuração de uma rede temporária que precisa estar qualificada a uma tecnologia de rede específica.

Também podem ajudar a decidir se uma planta de cabeamento existente precisa ser atualizada para comportar uma nova aplicação. Mas como os testes de verificação, a qualificação não realiza a certificação exigida pelos fabricantes de cabeamento ou pelas normas atuais.

O cabeamento cumpre as normas do setor? Os testadores de certificação são a única resposta para esta pergunta. Usados por instaladores/fornecedores e gerentes de unidades empresariais para assegurar que o novo cabeamento satisfaça plenamente aos requisitos das normas de cabeamento como a nova TIA-568.3-D, uma ISO 11801 ou a nossa ABNT NBR 14565, a certificação é a mais rigorosa de todos os testes de cabo. É exigida pelos fabricantes de cabeamento para receber uma garantia.

A certificação inclui todos os testes que entram na verificação e na qualificação, mas também realizam várias medições por meio de faixas de frequência definidas previamente e compara os resultados detalhados aos padrões definidos pela TIA, ISO ou demais órgãos reguladores como a ABNT. Os resultados determinam aprovação ou reprovação de acordo com a norma e indicam se uma ligação está em conformidade com uma categoria ou classe específica de cabo, como a categoria 6A ou EA. Isso, por sua vez, diz qual aplicação esse link é capaz de suportar.

Embora a decisão de utilizar testes de verificação, qualificação ou certificação de cabeamento, em última análise, se trate do que o cliente necessita, os testadores de certificação que atendem as normas do setor são os únicos capazes de oferecer o suporte e a segurança financeira necessária. Qualquer outra escolha põe a responsabilidade única de garantia sobre você. E com um custo médio do link de pelo menos R$200 para uma instalação comercial, qualquer valor em risco é muito significativo.

Os riscos de ameaças móveis e as cópias de segurança de dados

VÍDEO EXPLICATIVO

Treinamento Prático ASP 3.0 – Disponível pela Internet

Introdução à linguagem e objetos intrínsecos.

Apesar da grande popularização dos dispositivos móveis, os usuários ainda subestimam os riscos que correm ao se conectarem. Segundo uma pesquisa realizada pela Kaspersky Lab e pela B2B International, 28% dos usuários sabem nada ou muito pouco sobre malware móvel. Infelizmente, esta falta de conhecimento é benéfica aos cibercriminosos.

A pesquisa mostra que, dentre os aparelhos com sistema Android, somente 58% dos smartphones e 63% dos tablets estão protegidos por alguma solução antivírus enquanto, no geral, 31% dos smartphones e 41% dos tablets nem sequer estão protegidos por uma senha. A conduta despreocupada dos usuários talvez se deva ao fato de que 28% deles não sabem da existência de ameaças cibernéticas dirigidas a dispositivos móveis e 26% sabem, porém não se preocupam com elas.

Para piorar o cenário, dentre os Androids desprotegidos, 18% contém as informações que os criminosos mais querem encontrar: senhas dos cartões de banco, senhas de e-banking e outros dados financeiros. 24% dos mesmos usuários armazenam as senhas das redes sociais, e-mails pessoais e de trabalho, VPN (rede privada virtual) e outros recursos sensíveis. Mesmo os usuários que não se preocupam em proteger seus dispositivos com senhas, armazenam em seus smartphones e-mails pessoais (49%), e-mails de trabalho (18%), e “dados que não querem que ninguém veja” (10%).

Ainda de acordo com a pesquisa, usuários de Android enfrentam ameaças online com mais frequência do que os usuários de Windows*. Estes últimos têm mais conhecimento dos perigos da internet e 90% deles costumam proteger seus dispositivos. Desta forma, a pesquisa descobriu que, em um período de 12 meses, 41% dos usuários de smartphones e 36% dos usuários de tablets possuem aplicativos maliciosos; as contas de serviço de 18% dos usuários de smartphones e de 24% dos usuários de tablets foram hackeadas, enquanto os ciberataques financeiros afetaram 43% dos usuários de smartphones e 50% dos usuários de tablets. Contabilizando todos os sistemas de diferentes plataformas móveis, a média de ataques soma 31% (aplicativos maliciosos), 14% (invasão de contas de serviços online) e 43% (ciberataques financeiros) – significativamente menor do que apenas os valores da plataforma Android.

“O fato das ameaças para dispositivos móveis crescerem não surpreende, já que os dispositivos estão fazendo cada vez mais e muitas pessoas passaram a utiliza-los. É claro que isto atrai os fraudadores. Para que não se tornem vítimas, aconselhamos que os usuários protejam seus dispositivos contra ciberameaças, especialmente se armazenam dados financeiros”, explica Victor Yablokov, diretor da Kaspersky Lab.

Outro estudo concluiu que aproximadamente um quarto dos usuários (24%) que mantinha cópias de segurança dos seus dados em dispositivos físicos perdeu tais informações. No mundo moderno, em que a informação tem valor crescente, é importante não apenas criar cópias dos arquivos, mas fazê-lo de forma correta.

O estudo relevou que, embora a vasta maioria (92%) dos entrevistados mantenha informações confidenciais — como correspondência privada, fotos, senhas ou dados financeiros — em seus dispositivos, menos de um terço opta por fazer cópias de segurança para prevenir eventuais perdas. Além disso, 29% dos usuários não toma qualquer medida de segurança deste gênero e 11% admitiram que não pretendem fazê-lo no futuro.

O estudo revela ainda que mesmo quem faz cópias de segurança não tem a garantia de não perder os arquivos. Os dispositivos de armazenamento físico, tais como discos externos ou memórias flash, continuam sendo os mais populares: 87% dos entrevistados mantiveram as suas cópias guardadas neste tipo de dispositivo, enquanto apenas 12% usaram serviços na nuvem. Contudo, dentre os que preferem os métodos físicos de armazenamento, 24% já sofreram alguma perda irreversível de informação, como resultado do extravio, avaria ou roubo do dispositivo.

“Optar por fazer backups de forma sistemática, permite tomar conta dos dados de maneira eficaz. Decida quais informações são mais valiosas para você e crie cópias de segurança regularmente. A melhor maneira é manter a informação importante em pastas criptografadas, guardadas tanto em suportes físicos como na nuvem. Isto irá proteger os seus dados mesmo se acontecer algo de extraordinário que leve à destruição de um dos mecanismos de armazenamento dos seus dados”, afirma Elena Kharchenko, responsável pela gestão de produtos para consumidores da Kaspersky Lab.

O novo trabalho escravo

slaveHayrton Rodrigues do Prado Filho

De acordo com o artigo 149 do Código Penal brasileiro, são elementos que caracterizam o trabalho análogo ao de escravo: condições degradantes de trabalho (incompatíveis com a dignidade humana, caracterizadas pela violação de direitos fundamentais coloquem em risco a saúde e a vida do trabalhador), jornada exaustiva (em que o trabalhador é submetido a esforço excessivo ou sobrecarga de trabalho que acarreta a danos à sua saúde ou risco de vida), trabalho forçado (manter a pessoa no serviço através de fraudes, isolamento geográfico, ameaças e violências físicas e psicológicas) e servidão por dívida (fazer o trabalhador contrair ilegalmente um débito e prendê-lo a ele). Os elementos podem vir juntos ou isoladamente.

O termo trabalho análogo ao de escravo deriva do fato de que o trabalho escravo formal foi abolido pela Lei Áurea em 13 de maio de 1888. Até então, o Estado brasileiro tolerava a propriedade de uma pessoa por outra não mais reconhecida pela legislação, o que se tornou ilegal após essa data.

Assim, não é apenas a ausência de liberdade que faz um trabalhador escravo, mas sim de dignidade. Todo ser humano nasce igual em direito à mesma dignidade. E, portanto, todos nascem com os mesmos direitos fundamentais que, quando violados, arrancam dessa condição e os transformam em coisas, instrumentos descartáveis de trabalho. Quando um trabalhador mantém sua liberdade, mas é excluído de condições mínimas de dignidade, há também a caracterização do trabalho escravo.

Atualmente, as empresas inseriram as novas tecnologias em todos os seus setores e o numero de postos de trabalho despencou. Isso gerou certa preocupação entre os especialistas de economia e sociologia. Eles concordaram que um modo de amenizar esse fenômeno industrial era reduzir o numero de horas trabalhadas, sem perda salarial.

Ao mesmo tempo em que ela extinguiu certos postos de trabalho, ela também criou novos. Só que esse avanço no mercado de trabalho foi tão rápido, que os trabalhadores não conseguiram acompanhar essa mudança, e acabaram ficando desempregados pela falta da nova qualificação profissional exigida. E esse é um problema social de muitas pessoas hoje, não apenas nos países subdesenvolvidos, mas nos desenvolvidos também.

Uma vez que isso ocorreu no mundo todo, a demanda para alguns cargos ocupacionais importantes aumentaram pela falta da mão de obra qualificada. O que alavancou a competitividade entre os profissionais no mercado de trabalho. Antigamente muitas profissões eram indispensáveis na sociedade, como por exemplo, a profissão de alfaiate. Em certa época não havia outra forma de uma pessoa se vestir se não recorrendo a um alfaiate.

Hoje a demanda de roupas aumentou tão exponencialmente, que a mão de obra manual não consegue dar mais conta do recado numa sociedade que vive do mundo industrial. Um mundo onde as máquinas imperam sobre a mão de obra manual, com mais velocidade e qualidade, e descarta os seres humanos de executarem tal função ou funções. Essa é a realidade atual do mercado de trabalho.

As empresas também passaram a oferecer aos trabalhadores um celular e um notebook de última geração. O tempo todo eles carregam essas máquinas e passaram a ser um eterno teletrabalhador ambulante. Difícil falar em horas extras para esses trabalhadores cuja jornada não é fiscalizada pelo empregador.

Não há como quantificar, pela flexibilidade na contratação, que não exige presença, o tempo efetivamente trabalhado, despendido com cada tarefa, e o tempo livre de que fez uso o empregado, aplicando-se o artigo 62 da CLT (que desobriga o empregador a pagar eventuais horas extras, quando a fixação de horário da jornada é incompatível com a atividade externa à empresa). O vínculo de emprego tutelado pela CLT, no entanto, está configurado e garantido. As empresas podem se resguardar de possíveis abusos, ajustando as exatas condições de trabalho, resultados e remuneração, no momento da contratação.

Quer dizer, o trabalhador vai para casa, após a jornada regular de trabalho, e é contatado para solucionar demandas por meio de do telefone, dos e-mails, etc. Nesse caso, é claro há o regime de horas extras, principalmente se verificada a habitualidade da prática. E cabe ao trabalhador, no caso de demanda judicial, provar seu direito de receber por elas.

Na verdade, as horas extraordinárias devem ser entendidas como tempo à disposição do empregador e não parece plausível que as empresas sejam oneradas por práticas unilaterais (muitas vezes, até imbuídas de má-fé) dos empregados. Uma das precauções que as empresas podem adotar é o bloqueio do acesso remoto a seus sistemas e limitação do uso de telefones celulares e computadores corporativos. Caso o trabalhador, após o cumprimento de jornada regular, tenha a obrigação de ficar de prontidão para atender a qualquer chamado imediatamente, terá direito, ainda, ao adicional de sobreaviso pelas horas em que esteve aguardando uma possível tarefa.

A tecnologia caminha muito mais rápido do que a legislação, gerando uma série de possíveis situações a serem reguladas. A questão torna-se ainda mais complexa, levando-se em conta que a legislação trabalhista não pode ser entrave às necessidades do mercado moderno e não pode inviabilizar o ajuste de condições de trabalho mais flexíveis e benéficas a empregados e empregadores. Enquanto isso,  será que esse tipo de operação se configura como um trabalho escravo?

No fundo, o processo de modernização tecnológica não ocorreu dissociado da lógica da acumulação capitalista, uma vez que a introdução das tecnologias é produzida pelo capital e não pelo trabalho. As mudanças marcadas pelas inovações técnicas e organizacionais demonstram a penetração da automatização nos processos de trabalho, o que acarretou paralelamente a implantação de novos paradigmas organizacionais.

Marco Civil da Internet: o que muda para você?

COLETÂNEAS DE NORMAS TÉCNICAS

Coletânea Série Transportes

Coletânea Digital Target com as Normas Técnicas, Regulamentos, etc, relacionadas à Transportes!
Saiba Mais…

Qualidade

Alessandro Ragazzi

Tenho lido (e assistido) nos últimos dias uma enxurrada de comentários sobre o chamado Marco Civil da Internet. Com alguns conhecimentos legais e quase nenhum sobre informática, fui procurar entender, sob o ponto de vista jurídico – e aguardando explicações do ponto de vista técnico , o que este assunto tem a  ver comigo – e com o leitor! Na verdade, o chamado Marco Civil é uma nova legislação, que dispõe sobre algumas regras ligadas à rede mundial de computadores (internet). Ela estabelece alguns princípios que, se descumpridos, poderão gerar multas e indenizações. Os principais pontos são:

1- NEUTRALIDADE – o Marco Civil estabelece a neutralidade da rede. Na prática, isso significa que os provedores de internet não poderão fazer distinções de velocidade entre os diversos conteúdos e sites (Ex: maior velocidade para textos e menor para vídeos, ou maior para alguns tipos de sites e menor para outros). Evidentemente, os provedores continuarão a vender seus pacotes com velocidades diferenciadas, mas isso sem distinguir entre o tipo de conteúdo dos sites.

2- PRIVACIDADE – Os dados e as comunicações entre usuários  terão seu sigilo garantido. Apenas com o consentimento expresso do usuário, ou através de ordem judicial, estas comunicações e dados poderão ser divulgados.

3- QUALIDADE DO SERVIÇO – O texto garante que apenas na falta de pagamento o serviço poderá ser cortado. Além disso, os contratos deverão estabelecer de forma clara quanto a qualidade do serviço prestado.

4- EXCLUSÃO DE CONTEÚDO – Os sites não poderão mais retirar os conteúdos postados ou divulgados pelos internautas, a não ser por decisão judicial. A única exceção diz respeito à imagens pornográficas envolvendo terceiros, quando estes terceiros, ou seus representantes legais, reclamarem sobre o conteúdo. Esta garantia vem ao encontro dos (e não “de encontro aos”) princípios da liberdade de expressão e de imprensa, estabelecidos em nossa Constituição e um dos pilares da democracia. Assim, ainda que um texto se revele calunioso ou ofensivo, caberá à parte prejudicada solicitar ao Poder Judiciário a sua retirada, bem como a indenização para reparar a ofensa cometida.

5- ARMAZENAMENTO DE DADOS – As empresas terão que armazenar por um ano o IP (identidade de quem acessa a rede) e a data de acesso, para efeitos de investigações criminais. Esta determinação parece um dos pontos a ser mais questionado na Justiça, pois, na prática permite o acesso por parte de autoridades  a conteúdos publicados tempos atrás.

Teremos, a partir de agora, um  crescimento nas discussões que envolvem “privacidade x segurança”. Esta discussão, entretanto, toma contornos distintos, dependendo da época em que é travada. Num momento de depredações, violência exagerada , criminalidade em alta, questionar o armazenamento pode ser considerado contraditório. Veremos como estas novas regras serão utilizadas por nosso Governo, mas alertamos… a forma mais segura de se controlar um povo é controlar a sua informação!

Siga o blog no TWITTER

Mais notícias, artigos e informações sobre qualidade, meio ambiente, normalização e metrologia.

Linkedin: http://br.linkedin.com/pub/hayrton-prado/2/740/27a

Facebook: http://www.facebook.com/#!/hayrton.prado

Skype: hayrton.prado1