TI CorporativaSegurança da InformaçãoSistema de Gestão de Segurança da Informação (SGSI) –...

Sistema de Gestão de Segurança da Informação (SGSI) – Parte I

-

Publicidade

Sistema de Gestão de Segurança da Informação (SGSI) – Parte ISGSI

É um sistema não necessariamente informatizado, embasado nas normas NBR ISO/IEC 27001:2006 e NBR ISO/IEC 27002:2006*.

SGSI torna-se pré-requisito à ser implementado em ambientes corporativos, educacionais, industriais, governamentais e qualquer outro que tenha por objetivo resguardar ambientes que criam, manipulam ou destroem informações relevantes.

O sistema será informatizado, caso seja necessário, conforme a peculiaridade de cada negócio (ambiente). Pois a Segurança da Informação (SI) é norteada por boas práticas, mudança de hábitos e cultura conforme o tópico “Impactos Culturais” (parte 2 do artigo) e não apenas definidas por bons softwares e ferramentas de apoio.

Tecnologias e ferramentas de apoio como segurança

Muitos gerentes, analistas e consultores de TI dentre outros, equivocadamente associam Segurança da Informação (SI) e sua totalidade a: Antivírus, Antispyware, Antiphishing, Firewall, criptografia, soluções de DLP (Data Loss Prevention), ferramentas de monitoramento, ambientes de desenvolvimento segregados, tolerância a falhas, salas cofre e muitos outros. Entretanto estes são simplesmente alguns dos requisitos de segurança que aliados a procedimentos, políticas e processos compõem a prática de SI. Notem que ainda não citei o Compliance pois nos dará conteúdo para mais um artigo ao qual falaremos em um futuro breve. Desta forma softwares e soluções informatizadas utilizados isoladamente são apenas paliativos que maquiam o ambiente e fornecem a falsa sensação de segurança.

Espinha dorsal do sistema

Conforme citado no primeiro tópico, as referências utilizadas são as normas, através delas e de um mapeamento prévio melhor explanado no tópico “O que Proteger?”, a PSI (Política de Segurança da Informação) é desenvolvida.

A PSI contempla as boas práticas de SI adaptadas ao cenário de cada empresa, se tornando base para criação de procedimentos e processos, juntamente com as demais políticas do âmbito de negócio e tecnologia. Após criada a PSI e antes de sua divulgação, a diretoria possui a incumbência de aprová-la e principalmente apoiá-la, pois, será fonte de consulta para tudo que envolver segurança seja ela física ou lógica.

O que proteger?

Pois bem, foram comentadas as tecnologias, normas, políticas e duas conclusões já são visíveis:

  1. O SGSI nos dará muito trabalho para implementar;
  2. Como protegeremos tudo?

Nos limitaremos apenas a segunda conclusão devido nosso tempo, claro que não será simples implementar, porém tudo obviamente ficaria mais trabalhoso do que apenas uma parte.

Desta forma, o que deverá ser protegido será definido pela diretoria e departamentos estratégicos da empresa, pois existem informações mais relevantes do que outras, de cunho competitivo inclusive no aspecto legal, as quais devem ter um tratamento diferenciado e o objetivo do SGSI é exatamente este, o tratamento adequado a informações do tipo restritas, sejam elas  comerciais, financeiras, políticas ou até mesmo legais. O foco é definir quem são elas, cada empresa possui suas particularidades em seus respectivos segmentos e ninguém melhor do que a própria empresa para definir  quais informações são importantes.

Uma vez definido o que é importante (entenda crítico) para o negócio, o SGSI baseado na PSI e com o apoio da tecnologia aplicará as medidas necessárias para classificar e tratar estas informações.

Os passos abaixo fazem parte da manipulação destas informações:

  1. Saber quais processos de negócios envolvem ou geram estas informações;
  2. Estar claro quem deve ter acesso;
  3. Quais os tipos de acesso existirão;
  4. Quem será o dono desta (s) informação (ões);
  5. Existir classificação da informação (Pública, Restrita ou Confidencial);
  6. Auditoria e Monitoramento periódico;
  7. Como descartar a informação;
  8. Existirem termos de Responsabilidade e Confidencialidade;
  9. Estar definida uma matriz de responsabilidades;

Estes são alguns dos passos que o SGSI deverá ter bem definido para manter a confidencialidade destas informações.

Na parte – II deste artigo abordaremos a:

  • Equipe de SGSI
  • Organograma corporativo
  • Impactos culturais
  • Considerações finais

Me enviem seus comentários

*Existem outras normas as quais tratam assuntos específicos de segurança que não serão contempladas neste artigo.

[Crédito da Imagem: Segurança da Informação – ShutterStock]

Everton Almeida
Everton Almeida possui experiência de 8 anos na área de Tecnologia da Informação, atuou em diversos projetos de consultoria, assessoria e auditoria nos mais variados segmentos, dentre eles indústria, metalúrgicas, bancos, prestadores de serviços e governo os quais se destacam: TECBAN (Banco 24 horas), TIVIT, CIP ( Comissão Interbancária de pagamentos) e SESGE ( Secretaria de Segurança de Grandes Eventos), sendo este último o projeto de integração dos sistemas das forças armadas e corporações governamentais, atualmente é Analista de Governança Sr. no Atacadista Roldão.Linkedin: br.linkedin.com/in/evertonalmeid/

Latest news

Gerenciador de senhas: saiba como fortalecer a segurança de TI da sua empresa em 2024

Um gerenciador de senhas é uma ferramenta projetada para armazenar, organizar e gerenciar senhas de forma segura. Mas podemos mostrar que ele vai muito além disso!

Software para MSPs: indo além do preço ao procurar pelas ferramentas certas

Confira 5 dicas essenciais para escolher as melhores plataformas para compor o monitoramento e segurança da infraestrutura de TI dos seus clientes

Rápido, seguro e nativo: Chrome chega ao Windows no Snapdragon

"Projetamos o navegador Chrome para ser rápido, seguro e fácil de usar em desktops e dispositivos móveis, e estamos sempre procurando maneiras de levar essa experiência a mais pessoas", disse Hiroshi Lockheimer, Senior Vice President, Google.

Convergir segurança física e TI garante maior proteção para instalações, redes e negócios

Hoje, com o aumento das violações de dados em todo o mundo e as regulamentações de privacidade evoluindo rapidamente, é mais importante do que nunca que segurança física e TI trabalhem juntas para proteger instalações e infraestrutura de rede.
Publicidade

Evoluindo de modelos LLM para modelos LAM

Os modelos LAMs marcam um avanço fundamental na inteligência artificial, transcendendo as capacidades convencionais de geração de texto dos LLMs. Ao contrário dos LLMs que respondem com texto, os LAMs captam a intenção por trás da linguagem humana, decifrando objetivos complexos. Eles então traduzem esses objetivos em ações do mundo real, como por exemplo, filtrar e-mails com base em suas tarefas agendadas.

O impacto da IA generativa nas memórias RAM e SSDs: Um olhar sobre o futuro do hardware

Algoritmos de IA otimizados podem reduzir o uso de RAM ao aplicar técnicas como computação distribuída e processamento eficiente de dados, garantindo uma melhor utilização da memória disponível. Da mesma forma, um uso eficiente dos SSDs pode minimizar o impacto das operações de entrada/saída (I/O) no desempenho.

Must read

Gerenciador de senhas: saiba como fortalecer a segurança de TI da sua empresa em 2024

Um gerenciador de senhas é uma ferramenta projetada para armazenar, organizar e gerenciar senhas de forma segura. Mas podemos mostrar que ele vai muito além disso!

Software para MSPs: indo além do preço ao procurar pelas ferramentas certas

Confira 5 dicas essenciais para escolher as melhores plataformas para compor o monitoramento e segurança da infraestrutura de TI dos seus clientes
- Advertisement -

You might also likeRELATED
Recommended to you