Prioridade na Segurança da Informação

Por: Max Gorissen

São muitas as empresas que hoje prestam serviços especializados na Segurança da Informação. Contudo, a grande maioria das empresas são integradores/ distribuidores de produtos de informática que, como não poderia deixar de ser, priorizam as soluções que protegem a informação que trafega e/ ou é armazenada nos servidores e computadores de seus clientes, como única maneira de se garantir a segurança.

Do meu ponto de vista, apesar desta ser uma etapa importante da segurança da informação, se os sistemas não estiverem totalmente desprotegidos ou correndo risco iminente de ataque, considero a proteção da informação através de soluções computacionais, o último passo em um projeto de segurança.

Apenas para esclarecer, a informação pode existir em diversas formas. Ela pode ser impressa ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou por meios eletrônicos, apresentada em filmes ou falada em conversas. Seja qual for à forma apresentada ou o meio através do qual a informação é compartilhada ou armazenada, é recomendado que ela seja sempre protegida adequadamente.

Segurança da informação é a proteção da informação através da disseminação do conceito de segurança contra vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócios.

A política da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware. Estes controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados, onde necessário, para garantir que os objetivos do negócio e de segurança da organização sejam atendidos. Convém que isso seja feito com outros processos de gestão do negócio.

Como podemos ver, um projeto de segurança da informação deve partir do princípio de que a informação encontra-se distribuída dentro da empresa em vários níveis e locais físicos, não somente em computadores e, por esse motivo, a identificação destes requer um planejamento cuidadoso e uma grande atenção aos detalhes.

Para isso, o mapeamento e a análise de todo o fluxo de informações e da infraestrutura de TI com foco em acessos, falhas de segurança, pontos vulneráveis a ataques, serviços oferecidos (terceiros), aplicativos, equipamentos de redes e sistemas operacionais, dentre outros, devem ser estudados junto com o desenvolvimento e implementação de uma Política de Segurança com base em normas e padrões de gestão internacionais de segurança (NBR ISO/IEC 17799), considerando as características gerenciais, operacionais e culturais de cada empresa.

A Política de Segurança é o conjunto de diretrizes, normas e procedimentos que devem ser seguidos com o objetivo de conscientizar e orientar os funcionários, clientes, parceiros e fornecedores sobre como gerenciar, distribuir e proteger as informações e ativos da empresa.

Como podem ver o desenvolvimento desta fornecerá as diretrizes para a implantação das corretas soluções de segurança computacional.


Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s