Segurança da Informação

Ξ 1 comentário

Sistema de Gestão de Segurança da Informação (SGSI) – Parte I

publicado por Everton Almeida

Sistema de Gestão de Segurança da Informação (SGSI) – Parte ISGSI

É um sistema não necessariamente informatizado, embasado nas normas NBR ISO/IEC 27001:2006 e NBR ISO/IEC 27002:2006*.

SGSI torna-se pré-requisito à ser implementado em ambientes corporativos, educacionais, industriais, governamentais e qualquer outro que tenha por objetivo resguardar ambientes que criam, manipulam ou destroem informações relevantes.

O sistema será informatizado, caso seja necessário, conforme a peculiaridade de cada negócio (ambiente). Pois a Segurança da Informação (SI) é norteada por boas práticas, mudança de hábitos e cultura conforme o tópico “Impactos Culturais” (parte 2 do artigo) e não apenas definidas por bons softwares e ferramentas de apoio.

Tecnologias e ferramentas de apoio como segurança

Muitos gerentes, analistas e consultores de TI dentre outros, equivocadamente associam Segurança da Informação (SI) e sua totalidade a: Antivírus, Antispyware, Antiphishing, Firewall, criptografia, soluções de DLP (Data Loss Prevention), ferramentas de monitoramento, ambientes de desenvolvimento segregados, tolerância a falhas, salas cofre e muitos outros. Entretanto estes são simplesmente alguns dos requisitos de segurança que aliados a procedimentos, políticas e processos compõem a prática de SI. Notem que ainda não citei o Compliance pois nos dará conteúdo para mais um artigo ao qual falaremos em um futuro breve. Desta forma softwares e soluções informatizadas utilizados isoladamente são apenas paliativos que maquiam o ambiente e fornecem a falsa sensação de segurança.

Espinha dorsal do sistema

Conforme citado no primeiro tópico, as referências utilizadas são as normas, através delas e de um mapeamento prévio melhor explanado no tópico “O que Proteger?”, a PSI (Política de Segurança da Informação) é desenvolvida.

A PSI contempla as boas práticas de SI adaptadas ao cenário de cada empresa, se tornando base para criação de procedimentos e processos, juntamente com as demais políticas do âmbito de negócio e tecnologia. Após criada a PSI e antes de sua divulgação, a diretoria possui a incumbência de aprová-la e principalmente apoiá-la, pois, será fonte de consulta para tudo que envolver segurança seja ela física ou lógica.

O que proteger?

Pois bem, foram comentadas as tecnologias, normas, políticas e duas conclusões já são visíveis:

  1. O SGSI nos dará muito trabalho para implementar;
  2. Como protegeremos tudo?

Nos limitaremos apenas a segunda conclusão devido nosso tempo, claro que não será simples implementar, porém tudo obviamente ficaria mais trabalhoso do que apenas uma parte.

Desta forma, o que deverá ser protegido será definido pela diretoria e departamentos estratégicos da empresa, pois existem informações mais relevantes do que outras, de cunho competitivo inclusive no aspecto legal, as quais devem ter um tratamento diferenciado e o objetivo do SGSI é exatamente este, o tratamento adequado a informações do tipo restritas, sejam elas  comerciais, financeiras, políticas ou até mesmo legais. O foco é definir quem são elas, cada empresa possui suas particularidades em seus respectivos segmentos e ninguém melhor do que a própria empresa para definir  quais informações são importantes.

Uma vez definido o que é importante (entenda crítico) para o negócio, o SGSI baseado na PSI e com o apoio da tecnologia aplicará as medidas necessárias para classificar e tratar estas informações.

Os passos abaixo fazem parte da manipulação destas informações:

  1. Saber quais processos de negócios envolvem ou geram estas informações;
  2. Estar claro quem deve ter acesso;
  3. Quais os tipos de acesso existirão;
  4. Quem será o dono desta (s) informação (ões);
  5. Existir classificação da informação (Pública, Restrita ou Confidencial);
  6. Auditoria e Monitoramento periódico;
  7. Como descartar a informação;
  8. Existirem termos de Responsabilidade e Confidencialidade;
  9. Estar definida uma matriz de responsabilidades;

Estes são alguns dos passos que o SGSI deverá ter bem definido para manter a confidencialidade destas informações.

Na parte – II deste artigo abordaremos a:

  • Equipe de SGSI
  • Organograma corporativo
  • Impactos culturais
  • Considerações finais

Me enviem seus comentários

*Existem outras normas as quais tratam assuntos específicos de segurança que não serão contempladas neste artigo.

[Crédito da Imagem: Segurança da Informação – ShutterStock]

Autor

Everton Almeida possui experiência de 8 anos na área de Tecnologia da Informação, atuou em diversos projetos de consultoria, assessoria e auditoria nos mais variados segmentos, dentre eles indústria, metalúrgicas, bancos, prestadores de serviços e governo os quais se destacam: TECBAN (Banco 24 horas), TIVIT, CIP ( Comissão Interbancária de pagamentos) e SESGE ( Secretaria de Segurança de Grandes Eventos), sendo este último o projeto de integração dos sistemas das forças armadas e corporações governamentais, atualmente é Analista de Governança Sr. no Atacadista Roldão. Linkedin: br.linkedin.com/in/evertonalmeid/

Everton Almeida

Comentários

You must be logged in to post a comment.

Busca

Patrocínio

Publicidade



Siga-nos!

Newsletter: Inscreva-se

Para se inscrever em nossa newsletter preencha o formulário.

Artigos Recentes