Você está na página 1de 12

Segurança

Inserir Título
de Aqui
Inserir Título Aqui
Informação
Introdução a conceitos relevantes de Segurança da Informação

Responsável pelo Conteúdo:


Prof. Dr. Sandro Pereira de Melo

Revisão Textual:
Prof. Dra. Selma Aparecida Cesarin
Introdução a conceitos relevantes
de Segurança da Informação

Nesta unidade, trabalharemos os seguintes tópicos:


• Introdução ao Tema
• Orientações para leitura Obrigatória
• Material Complementar

Fonte: iStock/Getty Images


Objetivos
• Estudar sobre a administração e a organização da Segurança da Informação, a análise e
a elaboração de Políticas de segurança, das normas e padrões e conceitos relacionados à
segurança lógica e à segurança física das informações dentro de uma Organização, bem
como os aspectos tecnológicos da segurança da informação e as boas práticas

Caro Aluno(a)!

Normalmente, com a correria do dia a dia, não nos organizamos e deixamos para o
último momento o acesso ao estudo, o que implicará o não aprofundamento no material
trabalhado ou, ainda, a perda dos prazos para o lançamento das atividades solicitadas.

Assim, organize seus estudos de maneira que entrem na sua rotina. Por exemplo, você
poderá escolher um dia ao longo da semana ou um determinado horário todos ou alguns
dias e determinar como o seu “momento do estudo”.

No material de cada Unidade, há videoaulas e leituras indicadas, assim como sugestões


de materiais complementares, elementos didáticos que ampliarão sua interpretação e
auxiliarão o pleno entendimento dos temas abordados.

Após o contato com o conteúdo proposto, participe dos debates mediados em fóruns de
discussão, pois estes ajudarão a verificar o quanto você absorveu do conteúdo, além de
propiciar o contato com seus colegas e tutores, o que se apresenta como rico espaço de
troca de ideias e aprendizagem.

Bons Estudos!
UNIDADE
Introdução a conceitos relevantes de Segurança da Informação

Introdução ao Tema
É parte do mundo corporativo a visão do valor da Informação como um ativo
importante que precisa ser protegido. Diante dessa demanda, pensar em Segurança
da Informação é uma necessidade. As empresas que se enquadram nesse contexto,
buscam seguir as recomendações de melhores práticas, com o objetivo de mitigar a
possibilidade de ameaças. Diante disso, processos como a elaboração de Política de
Segurança, Análise de Gerenciamento de Risco, Análise de Impacto ao Negócio (BIA)
e Plano de Continuidade do Negócio (PCN) são como pedras angulares de qualquer
elaboração de Plano de Gestão em TI.

Investir em software ou hardware é muito mais do que comprar Tecnologia, pois


a definição da Tecnologia que será utilizada nos próximos anos em um PDI (Plano
Diretor de Informática) ou em qualquer outro a que se dê esse tipo de planejamento
demandará ter em mente alinhamento com o negócio e demandará, também, que seja
uma solução alinhada com a Segurança da Informação.

Outro ponto relevante é que investir em Segurança da Informação também não é


uma tarefa simples; demanda o alinhamento com o negócio, objetivando garantir o
CID (Confiabilidade, Integridade e Disponibilidade), com o objetivo de proteger tudo
que a Corporação define como ativo, considerando os processos, as pessoas e a
Tecnologia.

Dentro desse cenário, a norma BS7799 foi criada pelo BSI (do inglês British
Standards Institution). Escrita pelo Departamento de Indústria e Comércio do
Governo do Reino Unido, com o objetivo de ajudar as empresas a construírem políticas
de segurança concisas e efetivas para todos os ativos da empresa a partir de uma
contextualização, tendo como visão os princípios da Segurança da Informação e, ainda,
possibilitar à Empresa buscar a certificação de seus processos, pois, posteriormente,
a BS7799 tornou-se ISO.

No Brasil, normas de Gestão de Segurança da Informação (SGSI) são vinculadas


pela ABNT. Em um passo recente, desde 2007, a BS7799 foi incorporada como ISO/
IEC 17799 e, posteriormente, passou a ser chamada de ISO/IEC 27002. Atualmente,
a família de normas do grupo 27000 é composta pelas seguintes normas:
· ISO/IEC 27000:2014 – Information Security Management Systems –
Overview and VOCABULARY;
· ABNT NBR ISO/IEC 27001:2013 – Sistemas de Gestão da Segurança da
Informação – Requisitos;
· ABNT NBR ISO/IEC 27002:2013 – Código de Prática para Controles de
Segurança da Informação;
· ABNT NBR ISO/IEC 27003:2011 – Diretrizes para Implantação de um
Sistema de Gestão da Segurança da Informação;
· ABNT NBR ISO/IEC 27004:2010 – Gestão da Segurança da Informação –
Medição;
· ABNT NBR ISO/IEC 27005:2011 – Gestão de Riscos de Segurança da
Informação;

6
·· ABNT NBR ISO/IEC 27011:2009 – Diretrizes para Gestão da Segurança
da Informação para Organizações de Telecomunicações baseadas na ABNT
NBR ISO/IEC 27002;
·· ABNT NBR ISO/IEC 27014:2013 – Governança de Segurança da
Informação;
·· ABNT NBR ISO/IEC 27031:2015 – Diretrizes para a Prontidão para a
Continuidade dos Negócios da Tecnologia da Informação e Comunicação;
·· ABNT NBR ISO/IEC 27037:2013 – Diretrizes para Identificação, Coleta,
Aquisição e Preservação de Evidência Digital;
·· ABNT NBR ISO/IEC 27038:2014 – Especificação para Redação Digital.

Esses números significativos de normas que tratam da mesma temática que é a


Segurança da Informação só ratificam a importância do tema e a necessidade de
especializar para atuar nesse cenário.

É fato que teremos inovações nos processos da Empresa, a aquisição de novas


Tecnologias, mas atrelado a tudo isso, a questão da Segurança da Informação será
um desafio presente e necessário. A informação é o ativo de maior valor de uma
corporação e precisa ser protegida.

Para proteger a Informação, são demandadas habilidades específicas, como


classificá-las para que seja possível identificar o que é importante para a Corporação e
qual o grau de sua importância.

Informações diferentes terão diferentes níveis de importância. Ter a capacidade


de identificar quais as vulnerabilidades que podem expor o negócio e quais tipos de
ameaça poderiam ser gerados e, ainda, quais riscos precisam ser mitigados, para
superar esses e outros desafios, requer o uso de boas práticas fundamentadas em
normas e metodologias confiáveis.

Não esquecendo que a Gestão da Segurança da Informação é um atividade cíclica,


todos os processos e controles deverão ser avaliados constantemente para validar a
eficácia e, se necessário, processos e controles deverão ser melhorados.

Em suma, a tarefa não é simples e o requerimento de habilidades específicas, obriga


que o profissional seja qualificado. Por outro lado, todos esses desafios criam um
cenário de oportunidade para todo aquele que focar na capacitação dos domínios de
competências inerentes à Segurança da Informação.

7
7
UNIDADE
Introdução a conceitos relevantes de Segurança da Informação

Orientações para leitura Obrigatória


Recomendo a leitura do artigo:
Modelo de Avaliação da Maturidade da Segurança da Informação, disponível em:
https://goo.gl/q3uKXO

8
Material Complementar
Indicações para saber mais sobre os assuntos abordados nesta Unidade:

  Sites
O que é Segurança da informação
https://goo.gl/us84zD

 Livros
Fundamentos de Segurança de Sistemas de Informaçã
Fundamentos de Segurança de Sistemas de Informação (Cód: 6846523), de KIM,
David; SOLOMON, Michael G., da Editora LTC.

 Vídeos
Guerra cibernética a Arte da Guerra Virtual Documentário
https://youtu.be/lK1gW7kVoOw
Aaron Swartz
https://youtu.be/rkxWLsyylUw
Tratamento de Incidentes de Seguranca na Internet, explicado pelo NIC.br
https://youtu.be/flu6JPRHW04
GTS 24: Soluções em Software Livre para segurança em redes
https://youtu.be/BklcsuqUaBc

9
9
UNIDADE
Introdução a conceitos relevantes de Segurança da Informação

Referências
ABNT NBR ISO/IEC 27001:2013 – Sistemas de gestão da segurança da informação –
Requisitos. Brasil, 2013.

ABNT NBR ISO/IEC 27001:2013 – Tecnologia da informação – Técnicas de segurança


Sistemas de gestão de segurança da informação – Requisitos, ABNT. Brasil, 2013.

ABNT NBR ISO/IEC 27002:2013 – Código de prática para controles de Segurança da


Informação. Brasil, 2013.

ABNT NBR ISO/IEC 27003:2011 – Diretrizes para Implantação de um Sistema de


Gestão da Segurança da Informação. Brasil, 2011.

ABNT NBR ISO/IEC 27004:2010 – Gestão da Segurança da Informação – Medição.


Brasil, 2010.

ABNT NBR ISO/IEC 27005:2011 – Gestão de riscos de segurança da informação.


Brasil, 2011.

ABNT NBR ISO/IEC 27011:2009 – Diretrizes para Gestão da Segurança da Informação


para Organizações de Telecomunicações baseadas na ABNT NBR ISO/IEC 27002.
Brasil, 2019.

ABNT NBR ISO/IEC 27014:2013 – Governança de Segurança da Informação.


Brasil, 2013.

ABNT NBR ISO/IEC 27031:2015 – Diretrizes para a Prontidão para a Continuidade


dos Negócios da Tecnologia da Informação e Comunicação. Brasil, 2015.

ABNT NBR ISO/IEC 27037:2013 – Diretrizes para identificação, Coleta, Aquisição e


Preservação de Evidência Digital. Brasil, 2013.

ABNT, NBR ISO/IEC 27001 – Código de Prática para a Gestão da Segurança da


Informação. Brasil: 2008.

BEAL, A. Segurança da Informação, Princípios e Melhores Práticas para a Proteção dos


Ativos de Informação nas Organizações. São Paulo: Atlas, 2008.

GALVÃO, M. C. Fundamentos em segurança da informação São Paulo: Pearson, 2015.

10