Escolar Documentos
Profissional Documentos
Cultura Documentos
179-09
Gestão da
Segurança da
Informação
Licensed to LEONARDO LUIZ DA SILVA - leosktfloripa@gmail.com - 042.722.179-09
QUEIROZ, Z. C. L. S.
SST Gestão da Segurança da Informação / Zandra Cristina
Lima Silva Queiroz
Ano: 2020
nº de p.: 8 páginas
Gestão da Segurança
da Informação
Apresentação
A gestão da segurança da informação é sempre um objetivo importante em qualquer
ambiente organizacional que lida com informações, especialmente, em modo digital.
Por isso, vamos conhecer uma ferramenta importante para suportar essa busca na
obtenção e manutenção da segurança da informação.
• tecnologia;
• pessoas;
• processos.
Tripé tecnologia, pessoas, processos
3
Licensed to LEONARDO LUIZ DA SILVA - leosktfloripa@gmail.com - 042.722.179-09
Beal (2008, p. 37) aponta que gestão da segurança utiliza do método PDCA (Plan, Do,
Check, Act), e sugere algumas ações para cada etapa.
Planejamento e execução
P = Plan, de planejar: identificar todos os processos críticos da empresa, fluxo de
informações, infraestrutura de TI (ativos), Serviços de TI.
Metodologia
Levantamento da legislação
4
Licensed to LEONARDO LUIZ DA SILVA - leosktfloripa@gmail.com - 042.722.179-09
4 Contexto da organização
4.1 Entendendo a organização e seu contexto.
5 Liderança
5.1 Liderança e comprometimento.
5.2 Política.
6 Planejamento
6.1 Ações para contemplar riscos e oportunidades.
6.1.1 Geral.
7 Apoio
7.1 Recursos
7.2 Competência
7.3 Conscientização
7.4 Comunicação
7.5.1 Geral
5
Licensed to LEONARDO LUIZ DA SILVA - leosktfloripa@gmail.com - 042.722.179-09
A norma ISO 27001 detalha as recomendações para a etapa de execução por meio
da seção 8, que trata:
8 Operação
8.1 Planejamento operacional e controle.
Avaliação e ação
C = Check, de verificar, avaliar: nesta etapa, são realizadas a avaliação do planejado
versus o executado. Este é o momento em que a organização deve possuir toda
documentação acerca dos riscos, métricas e confrontá-las com as informações
coletadas (por meio de auditoria, questionários, coleta de logs). Também estão
incluídos testes e simulações de ataques para certificação dos controles adotados,
bem com a avaliação periódica deles.
A ISO 27001 aborda as atividades necessárias dessa etapa na seção 9 que aponta o
que segue:
9 Avaliação do desempenho
9.1 Monitoramento, medição, análise e avaliação.
6
Licensed to LEONARDO LUIZ DA SILVA - leosktfloripa@gmail.com - 042.722.179-09
A = Act, de agir: momento de tomar atitude ativa mediante uma não conformidade
detectada na avaliação. Neste ínterim, a norma ISO 27001 também recomenda à
organização observar continuamente a adequação e eficácia do sistema de gestão
de segurança da organização, dando continuidade no ciclo PDCA de melhoria
contínua. Essas recomendações estão descritas nos tópicos da seção 10:
10 Melhoria
Fechamento
Neste material, entendemos que, estabelecidos os parâmetros da gestão da
segurança da informação, a organização estará apta para construir sua política de
segurança com mais consistência e adequada à sua necessidade.
7
Licensed to LEONARDO LUIZ DA SILVA - leosktfloripa@gmail.com - 042.722.179-09
Referências
ABNT – Associação Brasileira de Normas Técnicas. ABNT NBR ISO/ IEC
27002:2005. São Paulo: ABNT, 2005.