Aula 1 - Gestão de Segurança da Informação

Segurança da Informação

É importante saber estabelecer a diferença entre:

 

• Segurança da Informação
• Segurança de TI (Tecnologia da Informação)

 

A Segurança da Informação é muito mais abrangente que a Segurança de TI. Envolve o estudo e planejamento sobre os processos relativos ao negócio da instituição / empresa. A segurança de TI é um conjunto de procedimentos técnicos objetivando ativos de redes, servidores, aplicativos, estações clientes, etc.

 

O planejamento e execução da política de segurança da informação depende do tipo de negócio da instituição.

Aspectos importantes da Segurança da Informação contemplam as seguintes questões:

• tempo de retenção da informação
• modalidades/classes de acesso da informação

Necessidade da Auditoria

Diretrizes e normas são implementadas através de procedimentos técnicos. Uma vez que esses procedimentos foram planejados e executados é necessário gerenciar uma auditoria dos registros de sucesso ou insucesso. A auditoria precisa mostrar se os procedimentos são aplicados e qual o retorno que estão gerando.

Integração com os usuários    

                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          

A integração dos usuários no processo de planejamento de segurança da informação é crítico. É importante diferenciar treinamento de concientização.

 

• Treinamento: habilidades técnicas
• Concientização: visão da importância e do valor 

Plano de Contingência

Os planos de contingência devem abranger não somente a reposição de ativos físicos mas também os recursos humanos. Um funcionário doente ou com problemas familiares deve ser considerado como um problema que precisa de um plano de contingência.

 

Determinação da Realidade de Segurança da Informação

Para determinar a realidade de segurança da informação em uma empresa é necessário:

 

1. Entendimento do Negócio
2. Análise de Aderência: esta análise é baseada na ISO 27002.
3. Análise de Risco

 

Caso de Controle de Segurança da Informação - Gerência de Usuários Centralizada

• Controle de acesso através de Single Signon
• Enquadramento do RH junto com o NTI
• Controle e configuração de usuários centralizado, jamais usuários locais. Para isso existe um usuário administrador local único.
  

Comunicação de Incidentes

A comunicação de incidentes também precisa ser planejada de tal forma que as informações corretas possam ser transmitidas e os danos minimizados.

Propriedades dos Serviços de Segurança

• Confidencialidade
• Autenticidade
• Integridade

A partir dessas propriedades fundamentais temos outras derivadas:

• Não repúdio
• Conformidade
• Controle de Acesso
• Disponibilidade

Histórico de Incidentes

O histórico de incidentes é importante na Análise/Avaliação de Riscos. Permite determinar a incidência de um risco e assim melhor avaliar seu impacto.

Análise e Avaliação de Riscos

A análise e avaliação de riscos deve nortear a consolidação de uma gestão de segurança da informação. Esta avaliação apresentará quais os custos para cada operação e se é possível ou não assumir determinados riscos.

Descrição de Normas de Gestão de Segurança da Informação

 

Questões para Discussão

1. Como é gerenciado os incidentes de segurança na minha instituição ?
2. O que é considerado confidencial na minha instituição ?
3. Como deve ser conformado o Comitê Gestor de Segurança da Informação na minha instituição ?