Gesto da Segurana da Informao

O objetivo apresentar o processo de gesto de

segurana da informao com todas as suas etapas, buscando
adequar esse processo realidade das organizaes, tornando a
gesto de segurana uma questo com uma soluo plausvel
para a Organizao.
Classificao e Ciclo de Vida da Informao

Para proteger a informao necessrio saber o quanto

ela vital ou essencial, a ponto de merecer cuidados especiais.
Para isso, elas precisam ser classificadas quanto ao seu
nvel de confidencialidade (sigilo), integridade ou mesmo ao
nvel de criticidade de acesso (disponibilidade).
Classificao e Ciclo de Vida da Informao

Um modelo interessante de classificao da informao o

utilizado pelo governo federal, classificando as suas informaes
quanto ao sigilo.
O decreto 5.301 de dezembro de 2004 (Decreto, 2004,
seo I), da classificao segundo o grau de sigilo, Art 5, as
informaes so classificadas em ultra-secretas, secretas,
confidenciais e reservadas, em razo do seu teor ou contedo.
Vejamos em que consiste cada tipo de sigilo:
Classificao e Ciclo de Vida da Informao

Ultra-secretos: so dados ou informaes referentes

soberania e integridade territorial nacionais, a planos e
operaes militares, s relaes internacionais do Pas, a
projetos de pesquisa e desenvolvimento cientfico e
tecnolgico de interesse da defesa nacional e a programas
econmicos, cujo conhecimento no autorizado pode
acarretar dano excepcionalmente grave segurana da
sociedade e do Estado;
Classificao e Ciclo de Vida da Informao

Secretos: so dados ou informaes referentes a sistemas,

instalaes, programas, projetos, planos ou operaes de
interesse da defesa nacional, a assuntos diplomticos e de
inteligncia e a planos ou detalhes, programas ou instalaes
estratgicos, cujo conhecimento no autorizado pode
acarretar dano grave segurana da sociedade e do Estado;
Classificao e Ciclo de Vida da Informao
Confidenciais: so dados ou informaes que, no interesse do
Poder Executivo e das partes, devem ser de conhecimento restrito
e cuja revelao no-autorizada possa frustrar seus objetivos ou
acarretar dano segurana da sociedade e do Estado;
Reservados: so dados ou informaes cuja revelao no
autorizada pode comprometer planos, operaes ou objetivos
neles previstos ou referidos.
Classificao e Ciclo de Vida da Informao

Outro fator interessante a ser considerado na gesto de

segurana da informao o seu Ciclo de Vida. Ele dividido em
5 fases, e para cada fase, a informao tratada/manipulada por
ativos, sejam eles fsicos, lgicos ou humanos, tornando-se
vulnervel e sofrendo riscos, desde a sua criao at a sua
eliminao do sistema.
Ciclo de
vida da
informao
Aspectos da Gesto de Segurana da
Informao

Poderia ser dito que proteger as informaes garantir que

elas estejam no sejam acessadas por pessoas no autorizadas,
estarem sempre disponveis quando necessrias, e que sejam
confiveis.
Essa tarefa um duelo travado todo dia por qualquer equipe
responsvel em gerir a segurana da informao em uma empresa.
O grande desafio a ser superado pela equipe de segurana :
Aspectos da Gesto de Segurana da
Informao

Garantir que a segurana da informao seja uma

preocupao de todos na empresa e em sua cadeia de valor:
acionistas, executivos, funcionrios, clientes, fornecedores,
parceiros, agncias reguladoras e o governo.
Garantir tambm que a segurana da informao esteja
adequada s necessidades da empresa, proporcionando a
proteo adequada s informaes e aos sistemas da empresa, no
que se refere confidencialidade, integridade, disponibilidade e
legalidade das informaes.
Aspectos da Gesto de Segurana da
Informao

Pode-se afirmar que gerir segurana da informao um

grande desafio, pois essa deve se manter alinhada ao negcio,
garantindo que as metas sejam alcanadas, e que haja o retorno
de valores, bem como gerenciar os riscos a um nvel considerado
aceitvel.
Aspectos da Gesto de Segurana da
Informao
A gesto de segurana da informao tem como objetivos o
planejamento, a execuo, o monitoramento e a manuteno da
melhoraria da segurana da informao de forma contnua. Por
conseguinte, gesto de segurana da informao visa aumentar o
planejamento adequado, a execuo e a evoluo em conformidade
com as necessidades do negcio da organizao.
Dessa forma, para que a gesto de segurana da informao
possa ajudar no negcio e com a governana na organizao, ela
dever ser governada pelos nveis hierrquicos que compem a
organizao, agregando valor estratgico, com isso, sendo
compreendida e reconhecida como fundamental para o negcio da
organizao.
Aspectos da Gesto de Segurana da
Informao

A prxima figura apresenta os resultados desejados com a

gesto de segurana da informao na empresa.
Ela busca aumentar a disponibilidade dos servios de TI que
do suporte aos processos do negcio, reduzindo as interrupes
e prejuzos, melhorando a capacidade produtiva, aumentando os
lucros, melhorando a imagem da empresa e proporcionando
novos negcios.
Resultados da gesto de segurana da
informao
 Requisitos de Negcio para a Gesto de Segurana da
Informao

Os requisitos de
negcio para a gesto
de segurana da
informao esto
dividido em 5
componentes, conforme
apresentado:
 Requisitos comerciais

Relao cliente/stakeholders: (partes interessadas): so

especificados os requisitos de contrato, por exemplo, acordos de
confidencialidade ou de no divulgao, responsveis por refletir
as necessidades de proteo das informaes manipuladas.
Divulgao (Marketing): divulgar a importncia, a vantagem
competitiva e o diferencial do produto que tratado e entregue
com segurana.
 Requisitos comerciais

Estratgia: demonstrar aos parceiros comerciais, clientes,

fornecedores o compromisso com a segurana da informao.
Tecnologia: possuir uma ferramenta de gesto de segurana da
informao que realmente fornea controle e confiana aos seus
colaboradores, clientes, entre outros.
 Requisitos legais

Regulamentos internos: possuir regulamentos ou regimentos

internos, requisitos contratuais documentados que sirvam como
referncia na criao de normas de segurana da informao.
Direitos autorais: possuir procedimentos adequados para
garantir os requisitos legais, regulamentares e contratuais na
garantia da manuteno dos direitos e patentes, no que tange a
utilizao e manipulao de projetos, sistemas, livros etc.
 Requisitos legais

Regras de uso de recursos: possuir regras que especifiquem o

uso dos recursos organizacionais dentro da empresa.
Investigao: possuir regras que estabeleam poderes
investigativos, a quem for de direito, na ocorrncia de incidentes
de segurana.
Gerenciamento das Fronteiras da Informao

Gerncia das barreiras que compem os permetros externos e

das conexes com a Internet, Intranet, Extranet e conexes
remotas de funcionrios. Gerncia de redes de clientes e parceiros
e VPNs (Virtual Private Network).
Gerncia dos acordos de nvel de servios (SLAs), contratos,
acordos de nvel de gerncia (SLM) e acordos com terceiros.
 Compartilhando a informao com parceiros

Os tipos de informaes que so tratados por um sistema de gesto

de segurana da informao:
Internas: so as informaes que a organizao no gostaria que a
concorrente soubesse (projetos, planilhas financeiras)
Clientes/Compradores/Fornecedores: informaes que eles
gostariam que no fossem divulgadas (volume de compra, preo de
venda).
Informaes que necessitam ser compartilhadas com outros
parceiros: informaes que iro colaborar na execuo de um
projeto, por exemplo.
A Importncia da Gesto da Segurana da
Informao

Atualmente, a Gesto da Segurana da Informao vem

ganhando importncia dentro das organizaes, assumindo um
novo significado e tendo como principal objetivo estar alinhado e
direcionado aos diversos desafios proporcionados pelo seu
negcio.
A Gesto de Segurana da Informao visa a agregar
valores e elementos estratgicos para evoluo e extenso
prtica da organizao.
 A Importncia da Gesto da Segurana da
Informao
Em paralelo, a adoo
da Gesto em TI, em conjunto
das melhores prticas da
gesto da segurana conforme
a ISO 27001 e 27002,
juntamente com os
frameworks COBIT e ITIL,
ajudam a tornar tudo isso
possvel.
 Desafios da Gesto de Segurana da
Informao

A Gesto de Segurana da Informao um grande desafio por

si s.
Entretanto, os desafios da gesto da segurana da informao
podem ser divididos, inicialmente, em 3 grupos: o que proteger,
como proteger e como garantir a proteo.
 Desafios da Gesto de Segurana da
Informao

O desafio inicial, - determinar o que proteger - talvez o

mais complexo e quem sabe o mais difcil de ser sobrepujado.
O problema consiste em identificar o problema com os
seus diversos detalhes e dividi-lo em etapas de forma a permitir
um maior detalhamento na sua anlise.
O fator crtico do sucesso para determinar o problema
consiste em identificar todos os problemas, sejam eles externos
ou internos, que interfiram na segurana da organizao.
 Desafios da Gesto de Segurana da
Informao

o momento de mapear todas as caractersticas fsicas,

lgicas e de pessoal, isto , possuir uma anatomia da organizao.
Ele pode ser dividido em 3 etapas:
Levantar necessidades: coletar todas as informaes
necessrias soluo de segurana da informao todos os
ativos de informao (hardware, software, peopleware etc.),
problemas, necessidades e expectativas de segurana. O desafio
est em realmente mapear a situao real.
 Desafios da Gesto de Segurana da
Informao

Avaliar: consiste basicamente em verificar a conformidade de

todos os problemas, ativos, necessidade e expectativas de
segurana. O desafio est em uma avaliao mais prxima da
realidade da organizao.
Analisar: ter ao fim do processo o real risco da empresa, isto , o
que deve ser protegido de forma que a empresa alcance os seus
objetivos de negcio. O desafio est em mapear e identificar a
situao atual da organizao, suas ameaas, vulnerabilidades,
impactos, ou seja, o seu risco real.
Desafios da Gesto de Segurana da
Informao
 Desafios da Gesto de Segurana da
Informao

O segundo desafio, como proteger, pode ser considerado a

fase mais trabalhosa de ser executada. Ele tambm dividido em 3
etapas:
Planejar: uma vez determinado o que proteger, so necessrias
condies para planejar a soluo de segurana. O grande desafio
planejar uma soluo o mais prximo da anlise.
 Desafios da Gesto de Segurana da
Informao

Implantar: o grande desafio da implantao seguir o projeto a

risca. Implantar tudo o que previsto complexo, pois como se
diz na gria: o papel aceita tudo.
Implementar: a implementao seja talvez um dos desafios
menos complicados. O grande desafio dessa fase consiste em
buscar ferramentas adequadas s necessidades do projeto.
 Desafios da Gesto de Segurana da
Informao

O ltimo desafio manter a proteo planejada e

implementada, em outras palavras, garantir a proteo. Nesse
momento, encontramos as seguintes etapas:
Conscientizao de Usurios, Manter e Compliance
Desafios da Gesto de Segurana da
Informao

Conscientizao de usurios: a conscientizao dos usurios

um grande desafio, tendo em vista que as pessoas sempre sero
o elo mais fraco do processo de gesto de segurana.
Atualmente, podem ser utilizadas ferramentas que ajudam a criar,
manter e divulgar polticas de segurana da informao, dando
tambm a possibilidade de avaliar o nvel de aderncia da
corporao poltica.
 Desafios da Gesto de Segurana da
Informao

Manter: o grande desafio de manter a soluo de segurana

atualizada com as novas necessidades de segurana. Consiste em
acompanhar as evolues das ameaas que a organizao sofre
no dia a dia, ou atender as novas demandas de mercado que so
criadas em funo da evoluo ou criao de novos processos de
negcio.
Compliance: o termo compliance uma referncia no que tange
a atender regulamentaes, padres e obter certificaes.
Consiste em uma tarefa complexa, pois o grande desafio estar
em conformidade com esses elementos.