segurana da informao com todas as suas etapas, buscando adequar esse processo realidade das organizaes, tornando a gesto de segurana uma questo com uma soluo plausvel para a Organizao. Classificao e Ciclo de Vida da Informao
Para proteger a informao necessrio saber o quanto
ela vital ou essencial, a ponto de merecer cuidados especiais. Para isso, elas precisam ser classificadas quanto ao seu nvel de confidencialidade (sigilo), integridade ou mesmo ao nvel de criticidade de acesso (disponibilidade). Classificao e Ciclo de Vida da Informao
Um modelo interessante de classificao da informao o
utilizado pelo governo federal, classificando as suas informaes quanto ao sigilo. O decreto 5.301 de dezembro de 2004 (Decreto, 2004, seo I), da classificao segundo o grau de sigilo, Art 5, as informaes so classificadas em ultra-secretas, secretas, confidenciais e reservadas, em razo do seu teor ou contedo. Vejamos em que consiste cada tipo de sigilo: Classificao e Ciclo de Vida da Informao
Ultra-secretos: so dados ou informaes referentes
soberania e integridade territorial nacionais, a planos e operaes militares, s relaes internacionais do Pas, a projetos de pesquisa e desenvolvimento cientfico e tecnolgico de interesse da defesa nacional e a programas econmicos, cujo conhecimento no autorizado pode acarretar dano excepcionalmente grave segurana da sociedade e do Estado; Classificao e Ciclo de Vida da Informao
Secretos: so dados ou informaes referentes a sistemas,
instalaes, programas, projetos, planos ou operaes de interesse da defesa nacional, a assuntos diplomticos e de inteligncia e a planos ou detalhes, programas ou instalaes estratgicos, cujo conhecimento no autorizado pode acarretar dano grave segurana da sociedade e do Estado; Classificao e Ciclo de Vida da Informao Confidenciais: so dados ou informaes que, no interesse do Poder Executivo e das partes, devem ser de conhecimento restrito e cuja revelao no-autorizada possa frustrar seus objetivos ou acarretar dano segurana da sociedade e do Estado; Reservados: so dados ou informaes cuja revelao no autorizada pode comprometer planos, operaes ou objetivos neles previstos ou referidos. Classificao e Ciclo de Vida da Informao
Outro fator interessante a ser considerado na gesto de
segurana da informao o seu Ciclo de Vida. Ele dividido em 5 fases, e para cada fase, a informao tratada/manipulada por ativos, sejam eles fsicos, lgicos ou humanos, tornando-se vulnervel e sofrendo riscos, desde a sua criao at a sua eliminao do sistema. Ciclo de vida da informao Aspectos da Gesto de Segurana da Informao
Poderia ser dito que proteger as informaes garantir que
elas estejam no sejam acessadas por pessoas no autorizadas, estarem sempre disponveis quando necessrias, e que sejam confiveis. Essa tarefa um duelo travado todo dia por qualquer equipe responsvel em gerir a segurana da informao em uma empresa. O grande desafio a ser superado pela equipe de segurana : Aspectos da Gesto de Segurana da Informao
Garantir que a segurana da informao seja uma
preocupao de todos na empresa e em sua cadeia de valor: acionistas, executivos, funcionrios, clientes, fornecedores, parceiros, agncias reguladoras e o governo. Garantir tambm que a segurana da informao esteja adequada s necessidades da empresa, proporcionando a proteo adequada s informaes e aos sistemas da empresa, no que se refere confidencialidade, integridade, disponibilidade e legalidade das informaes. Aspectos da Gesto de Segurana da Informao
Pode-se afirmar que gerir segurana da informao um
grande desafio, pois essa deve se manter alinhada ao negcio, garantindo que as metas sejam alcanadas, e que haja o retorno de valores, bem como gerenciar os riscos a um nvel considerado aceitvel. Aspectos da Gesto de Segurana da Informao A gesto de segurana da informao tem como objetivos o planejamento, a execuo, o monitoramento e a manuteno da melhoraria da segurana da informao de forma contnua. Por conseguinte, gesto de segurana da informao visa aumentar o planejamento adequado, a execuo e a evoluo em conformidade com as necessidades do negcio da organizao. Dessa forma, para que a gesto de segurana da informao possa ajudar no negcio e com a governana na organizao, ela dever ser governada pelos nveis hierrquicos que compem a organizao, agregando valor estratgico, com isso, sendo compreendida e reconhecida como fundamental para o negcio da organizao. Aspectos da Gesto de Segurana da Informao
A prxima figura apresenta os resultados desejados com a
gesto de segurana da informao na empresa. Ela busca aumentar a disponibilidade dos servios de TI que do suporte aos processos do negcio, reduzindo as interrupes e prejuzos, melhorando a capacidade produtiva, aumentando os lucros, melhorando a imagem da empresa e proporcionando novos negcios. Resultados da gesto de segurana da informao Requisitos de Negcio para a Gesto de Segurana da Informao
Os requisitos de negcio para a gesto de segurana da informao esto dividido em 5 componentes, conforme apresentado: Requisitos comerciais
Relao cliente/stakeholders: (partes interessadas): so
especificados os requisitos de contrato, por exemplo, acordos de confidencialidade ou de no divulgao, responsveis por refletir as necessidades de proteo das informaes manipuladas. Divulgao (Marketing): divulgar a importncia, a vantagem competitiva e o diferencial do produto que tratado e entregue com segurana. Requisitos comerciais
Estratgia: demonstrar aos parceiros comerciais, clientes,
fornecedores o compromisso com a segurana da informao. Tecnologia: possuir uma ferramenta de gesto de segurana da informao que realmente fornea controle e confiana aos seus colaboradores, clientes, entre outros. Requisitos legais
Regulamentos internos: possuir regulamentos ou regimentos
internos, requisitos contratuais documentados que sirvam como referncia na criao de normas de segurana da informao. Direitos autorais: possuir procedimentos adequados para garantir os requisitos legais, regulamentares e contratuais na garantia da manuteno dos direitos e patentes, no que tange a utilizao e manipulao de projetos, sistemas, livros etc. Requisitos legais
Regras de uso de recursos: possuir regras que especifiquem o
uso dos recursos organizacionais dentro da empresa. Investigao: possuir regras que estabeleam poderes investigativos, a quem for de direito, na ocorrncia de incidentes de segurana. Gerenciamento das Fronteiras da Informao
Gerncia das barreiras que compem os permetros externos e
das conexes com a Internet, Intranet, Extranet e conexes remotas de funcionrios. Gerncia de redes de clientes e parceiros e VPNs (Virtual Private Network). Gerncia dos acordos de nvel de servios (SLAs), contratos, acordos de nvel de gerncia (SLM) e acordos com terceiros. Compartilhando a informao com parceiros
Os tipos de informaes que so tratados por um sistema de gesto
de segurana da informao: Internas: so as informaes que a organizao no gostaria que a concorrente soubesse (projetos, planilhas financeiras) Clientes/Compradores/Fornecedores: informaes que eles gostariam que no fossem divulgadas (volume de compra, preo de venda). Informaes que necessitam ser compartilhadas com outros parceiros: informaes que iro colaborar na execuo de um projeto, por exemplo. A Importncia da Gesto da Segurana da Informao
Atualmente, a Gesto da Segurana da Informao vem
ganhando importncia dentro das organizaes, assumindo um novo significado e tendo como principal objetivo estar alinhado e direcionado aos diversos desafios proporcionados pelo seu negcio. A Gesto de Segurana da Informao visa a agregar valores e elementos estratgicos para evoluo e extenso prtica da organizao. A Importncia da Gesto da Segurana da Informao Em paralelo, a adoo da Gesto em TI, em conjunto das melhores prticas da gesto da segurana conforme a ISO 27001 e 27002, juntamente com os frameworks COBIT e ITIL, ajudam a tornar tudo isso possvel. Desafios da Gesto de Segurana da Informao
A Gesto de Segurana da Informao um grande desafio por
si s. Entretanto, os desafios da gesto da segurana da informao podem ser divididos, inicialmente, em 3 grupos: o que proteger, como proteger e como garantir a proteo. Desafios da Gesto de Segurana da Informao
O desafio inicial, - determinar o que proteger - talvez o
mais complexo e quem sabe o mais difcil de ser sobrepujado. O problema consiste em identificar o problema com os seus diversos detalhes e dividi-lo em etapas de forma a permitir um maior detalhamento na sua anlise. O fator crtico do sucesso para determinar o problema consiste em identificar todos os problemas, sejam eles externos ou internos, que interfiram na segurana da organizao. Desafios da Gesto de Segurana da Informao
o momento de mapear todas as caractersticas fsicas,
lgicas e de pessoal, isto , possuir uma anatomia da organizao. Ele pode ser dividido em 3 etapas: Levantar necessidades: coletar todas as informaes necessrias soluo de segurana da informao todos os ativos de informao (hardware, software, peopleware etc.), problemas, necessidades e expectativas de segurana. O desafio est em realmente mapear a situao real. Desafios da Gesto de Segurana da Informao
Avaliar: consiste basicamente em verificar a conformidade de
todos os problemas, ativos, necessidade e expectativas de segurana. O desafio est em uma avaliao mais prxima da realidade da organizao. Analisar: ter ao fim do processo o real risco da empresa, isto , o que deve ser protegido de forma que a empresa alcance os seus objetivos de negcio. O desafio est em mapear e identificar a situao atual da organizao, suas ameaas, vulnerabilidades, impactos, ou seja, o seu risco real. Desafios da Gesto de Segurana da Informao Desafios da Gesto de Segurana da Informao
O segundo desafio, como proteger, pode ser considerado a
fase mais trabalhosa de ser executada. Ele tambm dividido em 3 etapas: Planejar: uma vez determinado o que proteger, so necessrias condies para planejar a soluo de segurana. O grande desafio planejar uma soluo o mais prximo da anlise. Desafios da Gesto de Segurana da Informao
Implantar: o grande desafio da implantao seguir o projeto a
risca. Implantar tudo o que previsto complexo, pois como se diz na gria: o papel aceita tudo. Implementar: a implementao seja talvez um dos desafios menos complicados. O grande desafio dessa fase consiste em buscar ferramentas adequadas s necessidades do projeto. Desafios da Gesto de Segurana da Informao
O ltimo desafio manter a proteo planejada e
implementada, em outras palavras, garantir a proteo. Nesse momento, encontramos as seguintes etapas: Conscientizao de Usurios, Manter e Compliance Desafios da Gesto de Segurana da Informao
Conscientizao de usurios: a conscientizao dos usurios
um grande desafio, tendo em vista que as pessoas sempre sero o elo mais fraco do processo de gesto de segurana. Atualmente, podem ser utilizadas ferramentas que ajudam a criar, manter e divulgar polticas de segurana da informao, dando tambm a possibilidade de avaliar o nvel de aderncia da corporao poltica. Desafios da Gesto de Segurana da Informao
Manter: o grande desafio de manter a soluo de segurana
atualizada com as novas necessidades de segurana. Consiste em acompanhar as evolues das ameaas que a organizao sofre no dia a dia, ou atender as novas demandas de mercado que so criadas em funo da evoluo ou criao de novos processos de negcio. Compliance: o termo compliance uma referncia no que tange a atender regulamentaes, padres e obter certificaes. Consiste em uma tarefa complexa, pois o grande desafio estar em conformidade com esses elementos.