A importância da Gestão da Segurança da Informação

Melhores práticas devem ser incorporadas pelas organizações modernas para assegurar o monitoramento contínuo dos dados e a integridade das informações corporativas.

O avanço acelerado das Tecnologias da Informação e da Comunicação nos últimos anos, em especial a Internet e a mobilidade constituiu a Sociedade da Informação e do Conhecimento.

A nova era tecnológica tem trazido importantes ganhos para a humanidade, proporcionando crescimento e produtividade; mas, em contrapartida, tem colocado as organizações diante de riscos inerentes ao acesso ou ao ataque às informações armazenadas nos sistemas computacionais corporativos.

A informação, ativo cada vez mais valorizado, impacta diretamente na continuidade dos negócios e na sua credibilidade. Por conta disso, as empresas têm buscado soluções para mitigar esses riscos, estabelecendo um conjunto de boas práticas por meio de políticas de segurança gerenciadas em diferentes instâncias com funções e responsabilidades bem definidas. Tudo isso para assegurar o nível de segurança adequado ao negócio.

Este é o conceito de Gestão da Segurança da Informação que abrange a criação de processos voltados ao monitoramento contínuo da integridade das informações, à prevenção de ataques e ao furto dos dados, assegurando em casos emergenciais o pronto restabelecimento dos sistemas e o acesso seguro às informações das companhias.

No nosso país, o Comitê Brasileiro sobre as Normas de Gestão de Segurança da Informação (série 27000) é responsável por normatizar essa questão. O grupo é formado por especialistas que colaboram com a ISO (International Organization for Standardization) para o desenvolvimento de padrões  internacionais nesta esfera.

As normas de Gestão da Segurança da Informação se fundamentam em 10 premissas básicas aplicadas em qualquer tipo de organização, sendo elas:

– Política de Segurança da Informação

– Segurança Organizacional

– Classificação e controle dos ativos de informação

– Segurança em pessoas

– Segurança Física e Ambiental

– Gerenciamento das operações e comunicações

– Controle de Acesso

– Desenvolvimento de Sistemas e Manutenção

– Gestão da continuidade do negócio e a Conformidade.

Essas premissas abrangem o conjunto de melhores práticas a serem seguidas pelas companhias tais como: a estruturação do plano diretor de segurança e de contingência; a definição da política de segurança da informação; a análise de riscos, vulnerabilidades e testes de invasão; a implementação de controles de segurança; autenticação e autorização.

Toda essa orientação está prevista no Sistema de Gestão da Segurança da Informação (SGSI), um conjunto de processos e procedimentos, baseado em normas ISO, implementado para prover segurança no uso dos ativos tecnológicos de uma empresa. Tal sistema deve ser seguido por todos aqueles que se relacionam direta ou indiretamente com a infraestrutura de TI da organização.

A implantação do SGSI envolve primeiramente a análise de riscos na infraestrutura de TI para identificar os pontos vulneráveis e as falhas nos sistemas que deverão ser corrigidos. Em seguida, são definidos processos para detectar e responder aos incidentes de segurança e procedimentos para auditoria.

Este sistema garante segurança e integridade às informações das organizações. “Os bancos quando implementaram as primeiras soluções de internet banking ainda não possuíam soluções avançadas de Segurança da Informação alinhadas a esse conceito e tiveram grandes prejuízos com os roubos virtuais”, comenta José Antonio Antonioni, Diretor de Qualidade e Competitividade da SOFTEX, organização não-governamental que promove atividades de inovação e desenvolvimento por meio da educação, cultura e treinamento apropriados, de natureza técnica e mercadológica em Tecnologia de Software.

Com foco nas ameaças iminentes e na evolução constante da tecnologia, o Comitê Brasileiro trabalha neste momento no desenvolvimento de novas normativas relacionadas aos programas de auditoria do SGSI.

Essas diretrizes irão orientar a condução de auditorias internas e externas de acordo com a ISO/IEC 27001:2005 (Sistemas de Gestão de Segurança da Informação – Requisitos) formando auditores líderes no SGSI com capacidade analítica para identificar eventuais riscos e/ou  oportunidades de melhoria no processo de Segurança da Informação.

A expectativa do Comitê é que as organizações realizem, o mais breve possível, a reestruturação da área de auditoria atualizando o conhecimento dos auditores e aplicando essas novas metodologias.

Fonte: GWS

Sou bacharel em Sistemas de Informação pela Estácio de Sá (Alagoas), especialista em Gestão Estratégica da Tecnologia da Informação pela Univ. Gama Filho (UGF) e pós-graduando em Gestão da Segurança da Informação pela Univ. do Sul de Santa Catarina (UNISUL). Certificações que possuo: EC-Council CEH, CompTIA (Security+, CySA+ e Pentest+), EXIN (EHF e ISO 27001), MCSO, MCRM, ITIL v3. Tenho interesse por todas as áreas da informática, mas em especial em Gestão e Governança de TI, Segurança da Informação e Ethical Hacking.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *