Scribd Logo
Fazer o upload

Bem-vindo(a) ao Scribd!

  • Stão Da Segurança Da Informação

    Enviado por

    wallyveira
    43 visualizações8 páginas
    Iso27002

    Título original

    4.Gestão Da Segurança Da Informação

    Direitos autorais

    © © All Rights Reserved

    Formatos disponíveis

    PDF, TXT ou leia online no Scribd

    Você considera este documento útil?

    Este conteúdo é inapropriado?

    Denunciar este documento
    Iso27002

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    43 visualizações8 páginas

    Stão Da Segurança Da Informação

    Enviado por

    wallyveira
    Iso27002

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    de 8

    Licensed to LEONARDO LUIZ DA SILVA - leosktfloripa@gmail.com - 042.722.

    179-09

    Gestão da
    Segurança da
    Informação
    Licensed to LEONARDO LUIZ DA SILVA - leosktfloripa@gmail.com - 042.722.179-09

    QUEIROZ, Z. C. L. S.
    SST Gestão da Segurança da Informação / Zandra Cristina
    Lima Silva Queiroz
    Ano: 2020
    nº de p.: 8 páginas

    Copyright © 2020. Delinea Tecnologia Educacional. Todos os direitos reservados.


    Licensed to LEONARDO LUIZ DA SILVA - leosktfloripa@gmail.com - 042.722.179-09

    Gestão da Segurança
    da Informação

    Apresentação
    A gestão da segurança da informação é sempre um objetivo importante em qualquer
    ambiente organizacional que lida com informações, especialmente, em modo digital.
    Por isso, vamos conhecer uma ferramenta importante para suportar essa busca na
    obtenção e manutenção da segurança da informação.

    Gestão da segurança da informação


    A construção de um modelo de gestão da segurança da informação pela
    organização apoia-se em um tripé:

    • tecnologia;
    • pessoas;
    • processos.
    Tripé tecnologia, pessoas, processos

    Fonte: Plataforma Deduca (2020).

    Devemos nos lembrar que as ameaças à segurança da informação não se


    restringem somente ao mundo tecnológico, visto que já estudamos que as pessoas
    são o elo mais fraco da segurança da informação. Para minimizar os riscos, é

    3
    Licensed to LEONARDO LUIZ DA SILVA - leosktfloripa@gmail.com - 042.722.179-09

    preciso construir processos e procedimentos que orientem quanto às atitudes


    corretas para garantir a segurança das informações das organizações.

    Beal (2008, p. 37) aponta que gestão da segurança utiliza do método PDCA (Plan, Do,
    Check, Act), e sugere algumas ações para cada etapa.

    O método PDCA é uma ferramenta para gestão de segurança

    Fonte: Plataforma Deduca (2020)

    Planejamento e execução
    P = Plan, de planejar: identificar todos os processos críticos da empresa, fluxo de
    informações, infraestrutura de TI (ativos), Serviços de TI.

    Metodologia

    Nesta etapa, utiliza-se a metodologia de gestão do risco para avaliação dos


    riscos e o impacto no caso de falhas na organização.

    Levantamento da legislação

    Importante realizar um levantamento da legislação que rege a estrutura da


    organização que possa impactar as informações bem como os princípios
    objetivos e requisitos de processamento da informação.

    4
    Licensed to LEONARDO LUIZ DA SILVA - leosktfloripa@gmail.com - 042.722.179-09

    A norma ISO 27001 especifica as seções 4, 5, 6 e 7 como apoiadoras na etapa do


    planejamento. São elas:

    Seções 4, 5, 6 e 7 ISO 27001

    4 Contexto da organização
    4.1 Entendendo a organização e seu contexto.

    4.2 Entendendo as necessidades e as expectativas das partes interessadas.

    4.3 Determinando o escopo do sistema de gestão da segurança da informação.

    4.4 Sistema de gestão da segurança da informação.

    5 Liderança
    5.1 Liderança e comprometimento.

    5.2 Política.

    5.3 Autoridades, responsabilidades e papéis organizacionais.

    6 Planejamento
    6.1 Ações para contemplar riscos e oportunidades.

    6.1.1 Geral.

    6.1.2 Avaliação de riscos de segurança da informação.

    6.1.3 Tratamento de riscos de segurança da informação.

    6.2 Objetivo de segurança da informação e planos para alcançá-los.

    7 Apoio
    7.1 Recursos

    7.2 Competência

    7.3 Conscientização

    7.4 Comunicação

    7.5 Informação documentada

    7.5.1 Geral

    7.5.2 Criando e atualizando

    7.5.3 Controle da informação documentada

    Fonte: ABNT (2013).

    5
    Licensed to LEONARDO LUIZ DA SILVA - leosktfloripa@gmail.com - 042.722.179-09

    D = Do, de executar: colocar em prática o que foi planejado, executar atividades


    implantação da estrutura definida no planejamento, divulgação da política de
    segurança, campanhas de conscientização quanto às normas e procedimentos.

    A norma ISO 27001 detalha as recomendações para a etapa de execução por meio
    da seção 8, que trata:

    Seção 8 ISO 27001

    8 Operação
    8.1 Planejamento operacional e controle.

    8.2 Avaliação de riscos de segurança da informação.

    8.3 Tratamento de riscos de segurança da informação.

    Fonte: ABNT (2013).

    Avaliação e ação
    C = Check, de verificar, avaliar: nesta etapa, são realizadas a avaliação do planejado
    versus o executado. Este é o momento em que a organização deve possuir toda
    documentação acerca dos riscos, métricas e confrontá-las com as informações
    coletadas (por meio de auditoria, questionários, coleta de logs). Também estão
    incluídos testes e simulações de ataques para certificação dos controles adotados,
    bem com a avaliação periódica deles.

    A ISO 27001 aborda as atividades necessárias dessa etapa na seção 9 que aponta o
    que segue:

    Seção 9 ISO 27001

    9 Avaliação do desempenho
    9.1 Monitoramento, medição, análise e avaliação.

    9.2 Auditoria interna.

    9.3 Análise crítica pela direção.

    Fonte: ABNT (2013).

    6
    Licensed to LEONARDO LUIZ DA SILVA - leosktfloripa@gmail.com - 042.722.179-09

    A = Act, de agir: momento de tomar atitude ativa mediante uma não conformidade
    detectada na avaliação. Neste ínterim, a norma ISO 27001 também recomenda à
    organização observar continuamente a adequação e eficácia do sistema de gestão
    de segurança da organização, dando continuidade no ciclo PDCA de melhoria
    contínua. Essas recomendações estão descritas nos tópicos da seção 10:

    Seção 10 ISO 27001

    10 Melhoria

    10.1 Não conformidade e ação corretiva.

    10.2 Melhoria contínua.

    Fonte: ABNT (2013).

    Fechamento
    Neste material, entendemos que, estabelecidos os parâmetros da gestão da
    segurança da informação, a organização estará apta para construir sua política de
    segurança com mais consistência e adequada à sua necessidade.

    7
    Licensed to LEONARDO LUIZ DA SILVA - leosktfloripa@gmail.com - 042.722.179-09

    Referências
    ABNT – Associação Brasileira de Normas Técnicas. ABNT NBR ISO/ IEC
    27002:2005. São Paulo: ABNT, 2005.

    ABNT – Associação Brasileira de Normas Técnicas. ABNT NBR ISO/IEC 27005:2011.


    São Paulo, 2011.

    ABNT – Associação Brasileira de Normas Técnicas. ABNT NBR ISO/IEC 27001:2013.


    São Paulo, 2013.

    ABNT – Associação Brasileira de Normas Técnicas. ABNT NBR ISO/IEC 27004:2017.


    São Paulo, 2017.

    BEAL, Adriana. Segurança da Informação: princípios e melhores práticas para a


    proteção dos ativos de informação nas organizações. São Paulo: Atlas, 2008.

    FONTES, Edison Luiz Gonçalves. Segurança da Informação: o usuário faz a


    diferença. Saraiva, 2006.

    GALVÃO, M. C. Fundamentos em Segurança da Informação. São Paulo: Pearson


    Education do Brasil, 2015.

    GOODRICH, Michael T.; Roberto Tamassia. Introdução à Segurança de


    Computadores. 1. ed. Porto Alegre: Bookman, 2013.

    KOLBE, A. Sistemas de Segurança da Informação na Era do Conhecimento. Curitiba:


    InterSaberes, 2017.

    Você também pode gostar