O gerenciamento da segurança é um processo muito importante que traz o benefício do controle na oferta de informações, impedindo o seu uso não autorizado. Porém, durante um bom tempo, esse processo foi ignorado e as empresas não se preocuparam (ou ainda não dão a atenção devida que este processo merece) com a segurança da informação.
À medida que os sistemas vão crescendo, o interesse sobre este assunto cresce ainda mais, principalmente quando o foco é internet e comércio eletrônico. Com a expansão de seus negócios através da internet, as empresas tendem a estar suscetíveis a riscos de intrusão.
Esse risco não pode ser deixado de lado e deve ser tratado, visto que, se não tratado, pode ocasionar um problema ao negócio.
A análise desse risco gera informações para que o gerenciamento da segurança possa determinar a segurança necessária para o negócio.
A segurança da informação traz consigo o gerenciamento da segurança da informação, que, por sua vez, visa à garantia de segurança das informações. Quando se fala de segurança, está-se referindo a tudo o que se relaciona à não vulnerabilidade a riscos conhecidos e à prevenção aos desconhecidos.
Isso só é possível quando se proporciona certa proteção aos serviços. Essa proteção tem por finalidade proteger o valor das informações que dependem de três fatores:
a. confidencialidade: proteção contra o acesso e uso não autorizados das informações;
b. integridade: informação completa, acurada e precisa;
c. disponibilidade: informação disponível conforme níveis acordados.
Objetivos
É fato que os sistemas de informação têm deixado as empresas mais dependentes de tecnologia. O desenvolvimento relâmpago da tecnologia tem deixado a infraestrutura de TI mais complexa, fazendo com que as empresas fiquem mais vulneráveis a falhas técnicas, erro humano, vírus, etc.O gerenciamento da segurança é fundamental nessa parte, visto que ajuda na manutenção do funcionamento da organização de TI.
Em geral, as organizações lidam com segurança da informação em um nível mais estratégico quando se fala em política da informação, e em um nível operacional através da aquisição de ferramentas de segurança.
Isso traz uma quebra no elo entre os níveis estratégico e tático, proporcionando investimentos em medidas que não são mais adequadas para a situação, sendo necessário adotar medidas novas e mais eficazes.
Importante: O gerenciamento da segurança tem por objetivo alinhar a segurança de TI e do negócio, garantindo que medidas eficazes de segurança da informação sejam tomadas nos níveis estratégico, tático e operacional.
Benefícios
A segurança da informação vem servir aos interesses do negócio ou da organização. Deve considerar sempre que, para a organização, existirão informações mais importantes que outras.
Para que haja uma adequação à importância que uma informação possa ter, a segurança da informação deve alcançar um equilíbrio entre medidas de segurança e o valor da informação. Um fornecimento eficiente de informações com segurança adequada é importante para a organização, por duas razões:
a. razões internas: funcionamento eficiente com informações completas e corretas, disponíveis quando necessárias;
b. razões externas: fornecer informações adequadas para o mercado ou sociedade, com segurança da informação adequada. Neste caso, a importância externa é determinada, em parte, pela interna.
O processo
Toda organização está sujeita a mudanças. Por este motivo, todas as atividades do gerenciamento da segurança precisam ser revistas continuamente para garantia de sua eficiência. O gerenciamento da segurança pode ser considerado como um ciclo interminável, de Planejar (Plan), Fazer (Do), Checar (Check) e Agir (Act), conforme ilustrado na figura a seguir:
A seguir, descrição do ciclo do gerenciamento da segurança:
Planejar
a. Produzir e, se necessário, revisar políticas gerais de segurança da informação e o conjunto de políticas de apoio associadas;
b. avaliar e/ou estabelecer os acordos de nível de serviço, acordos de nível operacional e os contratos de apoio. Essa tarefa dever estar em conjunto com o gerenciamento de nível de serviço.
Implementar
a. Implementar e comunicar as políticas de segurança;
b. classificar e gerenciar todos os ativos de informação e suas respectivas documentações;
c. segurança física e segurança pessoal; d. controlar (gerenciamento) os direitos de acesso; e. procedimentos para resolução dos incidentes de segurança; f. revisar e melhorar controles de segurança e levantamento de riscos.
Avaliar
a. Monitorar e gerenciar todos os incidentes que possam causar algum dano à segurança;
b. gerar e analisar os relatórios referentes ao volume e impacto dos incidentes de segurança;
c. realizar auditorias internas e externas e testes de segurança.
Manter
a. Elencar lições aprendidas;
b. planejar e implementar melhorias.
Controlar
c. Criar um modelo (framework) de segurança;
d. alocar responsabilidades.
Esta leitura apresentou uma explanação de como o processo de gerenciamento de segurança da informação deve garantir que a segurança da informação seja gerenciada eficazmente, diminuindo a vulnerabilidade a riscos conhecidos, garantindo a integridade, a disponibilidade e a confidencialidade da informação.
Referência
OFFICE OF GOVERNMENT COMMERCE (OGC). Introdução ao ITIL. Norwich: OGC, 2006.
Autores: Miguel Garcia Junior e Rodrigo Santana
Diego Macêdo
Sou bacharel em Sistemas de Informação pela Estácio de Sá (Alagoas), especialista em Gestão Estratégica da Tecnologia da Informação pela Univ. Gama Filho (UGF) e pós-graduando em Gestão da Segurança da Informação pela Univ. do Sul de Santa Catarina (UNISUL). Certificações que possuo: EC-Council CEH, CompTIA (Security+, CySA+ e Pentest+), EXIN (EHF e ISO 27001), MCSO, MCRM, ITIL v3. Tenho interesse por todas as áreas da informática, mas em especial em Gestão e Governança de TI, Segurança da Informação e Ethical Hacking.
Muito bom!