ISO 17799:2000
O que é segurança de informações?
Informações são ativos que, como qualquer outro ativo importante para os negócios, possuem valor para uma organização e consequentemente precisam ser protegidos adequadamente. A segurança de informações protege as informações contra uma ampla gama de ameaças, para assegurar a continuidade dos negócios, minimizar prejuízos e maximizar o retorno de investimentos e oportunidades comerciais.
As informações podem existir sob muitas formas. Podem ser impressas ou escritas em papel, armazenadas eletronicamente, enviadas pelo correio ou usando meios eletrônicos, mostradas em filmes, ou faladas em conversas. Qualquer que seja a forma que as informações assumam, ou os meios pelos quais sejam compartilhadas ou armazenadas, elas devem ser sempre protegidas adequadamente. A segurança de informações é aqui caracterizada como a preservação de:
a) confidencialidade: garantir que as informações sejam acessíveis apenas àqueles
autorizados a terem acesso;
b) integridade: salvaguardar a exatidão e inteireza das informações e métodos de processamento;
c) disponibilidade: garantir que os usuários autorizados tenham acesso às informações e ativos associados quando necessário.
A segurança das informações é obtida através da implementação de um conjunto adequado de controles, que podem ser políticas, práticas, procedimentos, estruturas organizacionais e funções de software. Esses controles precisam ser estabelecidos para assegurar que os objetivos de segurança específicos da organização sejam alcançados.
Por que é necessária a segurança de informações
As informações e os processos, sistemas e redes que lhes dão suporte são ativos importantes para os negócios. A confidencialidade, a integridade e a disponibilidade das informações podem ser essenciais para manter a competitividade, o fluxo de caixa, a rentabilidade, o atendimento à legislação e a imagem comercial.
Cada vez mais, as organizações e seus sistemas de informação e redes enfrentam ameaças de segurança vindas das mais diversas fontes, incluindo fraudes através de computadores, espionagem, sabotagem, vandalismo, incêndio ou enchentes. Fontes de prejuízos tais como vírus de computador, hackers e ataques de negação de serviços têm se tornado mais comuns, mais ambiciosos e cada vez mais sofisticados. Devido à dependência de sistemas e serviços de informação, as organizações estão mais vulneráveis às ameaças contra a segurança. A interconexão de redes públicas e privadas e o compartilhamento de recursos de informação aumentam a dificuldade de se conseguir controle de acesso. A tendência ao processamento distribuído vem enfraquecendo a efetividade do controle central especializado.
Muitos sistemas de informação não foram projetados para serem seguros. A segurança que pode ser obtida através de meios técnicos é limitada, e deveria ser apoiada por procedimentos e gestão adequados. Identificar quais controles devem ser implementados exige um planejamento cuidadoso e atenção aos detalhes. A gestão da segurança de informações precisa, no mínimo, da participação de todos os empregados da organização. Também pode exigir a participação de fornecedores, clientes ou acionistas. Consultoria especializada de organizações externas também pode ser necessária.
Os controles para segurança das informações são consideravelmente mais baratos e mais eficazes se incorporados no estágio de especificação de necessidades e projeto.
Como estabelecer os requisitos de segurança
É essencial que uma organização defina seus requisitos de segurança. Existem três fontes principais.
1) A primeira fonte é derivada da avaliação dos riscos contra a organização. Através da avaliação de riscos as ameaças aos ativos são identificadas, a vulnerabilidade e a probabilidade de ocorrência são avaliadas e o impacto potencial é estimado.
2) A segunda fonte são as exigências legais, estatutárias, regulamentadoras e contratuais que uma organização, seus parceiros comerciais, empreiteiros e fornecedores de serviços precisam atender.
3) A terceira fonte é o conjunto específico de princípios, objetivos e requisitos para processamento de informações que uma organização desenvolveu para dar suporte a suas operações.
Informações são ativos que, como qualquer outro ativo importante para os negócios, possuem valor para uma organização e consequentemente precisam ser protegidos adequadamente. A segurança de informações protege as informações contra uma ampla gama de ameaças, para assegurar a continuidade dos negócios, minimizar prejuízos e maximizar o retorno de investimentos e oportunidades comerciais.
As informações podem existir sob muitas formas. Podem ser impressas ou escritas em papel, armazenadas eletronicamente, enviadas pelo correio ou usando meios eletrônicos, mostradas em filmes, ou faladas em conversas. Qualquer que seja a forma que as informações assumam, ou os meios pelos quais sejam compartilhadas ou armazenadas, elas devem ser sempre protegidas adequadamente. A segurança de informações é aqui caracterizada como a preservação de:
a) confidencialidade: garantir que as informações sejam acessíveis apenas àqueles
autorizados a terem acesso;
b) integridade: salvaguardar a exatidão e inteireza das informações e métodos de processamento;
c) disponibilidade: garantir que os usuários autorizados tenham acesso às informações e ativos associados quando necessário.
A segurança das informações é obtida através da implementação de um conjunto adequado de controles, que podem ser políticas, práticas, procedimentos, estruturas organizacionais e funções de software. Esses controles precisam ser estabelecidos para assegurar que os objetivos de segurança específicos da organização sejam alcançados.
Por que é necessária a segurança de informações
As informações e os processos, sistemas e redes que lhes dão suporte são ativos importantes para os negócios. A confidencialidade, a integridade e a disponibilidade das informações podem ser essenciais para manter a competitividade, o fluxo de caixa, a rentabilidade, o atendimento à legislação e a imagem comercial.
Cada vez mais, as organizações e seus sistemas de informação e redes enfrentam ameaças de segurança vindas das mais diversas fontes, incluindo fraudes através de computadores, espionagem, sabotagem, vandalismo, incêndio ou enchentes. Fontes de prejuízos tais como vírus de computador, hackers e ataques de negação de serviços têm se tornado mais comuns, mais ambiciosos e cada vez mais sofisticados. Devido à dependência de sistemas e serviços de informação, as organizações estão mais vulneráveis às ameaças contra a segurança. A interconexão de redes públicas e privadas e o compartilhamento de recursos de informação aumentam a dificuldade de se conseguir controle de acesso. A tendência ao processamento distribuído vem enfraquecendo a efetividade do controle central especializado.
Muitos sistemas de informação não foram projetados para serem seguros. A segurança que pode ser obtida através de meios técnicos é limitada, e deveria ser apoiada por procedimentos e gestão adequados. Identificar quais controles devem ser implementados exige um planejamento cuidadoso e atenção aos detalhes. A gestão da segurança de informações precisa, no mínimo, da participação de todos os empregados da organização. Também pode exigir a participação de fornecedores, clientes ou acionistas. Consultoria especializada de organizações externas também pode ser necessária.
Os controles para segurança das informações são consideravelmente mais baratos e mais eficazes se incorporados no estágio de especificação de necessidades e projeto.
Como estabelecer os requisitos de segurança
É essencial que uma organização defina seus requisitos de segurança. Existem três fontes principais.
1) A primeira fonte é derivada da avaliação dos riscos contra a organização. Através da avaliação de riscos as ameaças aos ativos são identificadas, a vulnerabilidade e a probabilidade de ocorrência são avaliadas e o impacto potencial é estimado.
2) A segunda fonte são as exigências legais, estatutárias, regulamentadoras e contratuais que uma organização, seus parceiros comerciais, empreiteiros e fornecedores de serviços precisam atender.
3) A terceira fonte é o conjunto específico de princípios, objetivos e requisitos para processamento de informações que uma organização desenvolveu para dar suporte a suas operações.
Comentários