Cadastre-se

CADASTRO

Em caso de não possuir CPF, por favor entre em contato conosco clicando aqui.

Ao informar meus dados, eu concordo com a Política de Privacidade

ReCaptcha
Entrar
Escola Superior de Redes

Data da publicação:

16/09/2022

O que é gestão de riscos da segurança da informação

Escola Superior de Redes

Compartilhar

Para os profissionais de TI, gestão de riscos da informação e privacidade são assuntos trabalhados há anos! Embora agora existam outras nuances, como a implementação da LGPD, o domínio sobre essa atividade é uma prática comum e necessária às organizações.

Quem detém informação e segurança sobre esses dados pode tomar melhores decisões e garantir que a empresa continue pujante no mercado. 

A ESR abordou o tema em um novo Webinar, ministrado pelo especialista Gustavo Martins Pereira, para dar continuidade à discussão acerca de melhores práticas para uma eficiente gestão de riscos de segurança da informação.

Abaixo você confere os pontos destacados no evento online. 

O que é Segurança da Informação? 

Para entender o que é segurança da informação devemos pensar sobre quais são os cuidados que uma empresa tem com o seu principal ativo (a informação). 

Assim, pensar em como conseguimos fazer com que essa informação esteja protegida de um acesso indevido.

Além disso, temos que compreender que a informação só é produzida a partir do dado existente nas estruturas de rede, portanto qual o cuidado temos para com o dado e para com a informação?

gestão de riscos vai garantir esse zelo desde a segurança predial até uma configuração de um roteador e um firewall para acesso na internet, ou seja, sempre haverá muito a se implementar 

Retomando, em linhas gerais, baseado na norma NBR ISO/IEC 27002:2013, o conceito de Segurança da Informação se refere à proteção existente sobre as informações de uma determinada empresa ou pessoa, aplicando-se tanto às informações corporativas quanto às pessoais. 

 Trata-se do conjunto de ferramentas e estratégias digitais que garantam a segurança dos dados de uma empresa no mundo virtual. 

Em outras palavras, são as maneiras ou ferramentas encontradas para minimizar os riscos de ameaças digitais, além de garantir a plena vida dos dados de uma organização, sem que estes sofram influências externas, como vírus, invasões e outras diferentes formas de ataques de cibercriminosos.

Para isso, ou seja, para uma boa segurança da informação e um resguardo eficiente de dados, tais articulações se valem de pilares essenciais que você confere logo abaixo. 

Quais são os pilares da segurança da informação?

De acordo com a norma NBR ISO/IEC 27002:2013, existem atributos da Segurança da Informação que articulam a proteção dos dados e ativos: 

Confidencialidade: 

Quando se fala em segurança da informação e como evitar os riscos de desestabilização da cibersegurança, é preciso pensar que ela está associada à confidencialidade como pilar desenvolvedor. De forma prática, é a garantia de que agentes sem autorização não terão acesso aos dados institucionais.

Disponibilidade: 

Significa dizer que os dados devem estar disponíveis de acordo com a necessidade. Sempre que ela existir, deve ser possível acessá-los.

Integridade: 

Funciona como um tipo certificação de que uma informação uma vez armazenada não poderá sofrer quaisquer tipos de alteração;

Autenticidade: 

Um dos últimos, mas não menos importantes pilares que envolvem a cibersegurança é a capacidade de assegurar que informação é verdadeira. Assegurar que determinada informação pertence a A ou B, e determinar uma autoria específica, provando que o objeto avaliado não tenha passado por alguma alteração indevida. 

Irretratabilidade 

É a propriedade que garante a impossibilidade de negar a autoria em relação a uma transição anteriormente feita

Conformidade 

Propriedade que garante que o sistema deve seguir as leis e regulamentos associados a este tipo de processo. 

Quais são as fontes principais de requisitos de Segurança da Informação 

Existem três fontes principais de requisitos de SI:

  1. Uma fonte é obtida a partir da avaliação de riscos para a organização, levando em conta objetivos globais de negócio da organização;
  2. Uma outra fonte é a legislação vigente, os estatutos, a regulamentação e as cláusulas contratuais que a organização, seus parceiros comerciais, contratados e provedores de serviço têm de atender além do seu ambiente sociocultural;
  3. A terceira fonte são os conjuntos particulares de princípios, objetivos e os requisitos do negócio para manuseio processamento, armazenamento, comunicação e arquivo da informação, que uma organização tem que devolver para apoiar suas operações 

Benefícios da NBR ISO/IEC 27002:2013:

De acordo com o especialista, Gustavo Martins Pereira, seguir a norma NBR ISO/IEC 27002:2013 para uma gestão de riscos de segurança da informação reflete nos seguintes benefícios: 

  • Melhor conscientização sobre a segurança da informação; 
  • Maior controle de ativos e informações sensíveis; 
  • Oferece uma abordagem para implantação de políticas de controles; 
  • Oportunidade de identificar e corrigir pontos fracos;
  • Redução de risco de responsabilidade pela não implementação de um SGSI ou determinação de políticas e procedimentos;
  • Torna-se um diferencial competitivo para a conquista de clientes que valorizam a certificação;
  • Melhor organização com processo e mecanismos be desenhados e geridos;
  • Promove a redução de custos com a prevenção de incidentes de segurança da informação;
  • Conformidade com a legislação e outras regulamentações

Gestão de riscos unida à segurança da informação 

Quando se fala em gestão de riscos em relação à segurança da informação é necessário compreender que cada empresa irá aplicar rotinas diferentes, mesmo que se embase na mesma norma como a 27002. 

O gestor de segurança da informação precisa conhecer a sua empresa e aplicar uma orientação personalizada, que esteja alinhada com o processo de gestão de riscos corporativos.

Dessa forma, é necessário uma abordagem sistemática de gestão de risco de segurança da informação, para se identificar as necessidades da organização em relação aos requisitos de segurança da informação e para a criação do SGSI.

A gestão de riscos de segurança da informação é um processo contínuo, parte integrante das atividades de gestão de segurança da informação, aplicada à implementação e à operação cotidiana de um SGSI.

Nesse contexto, o processo de gestão de riscos envolverá a aplicação sistemática de políticas, procedimentos e práticas para as atividades de comunicação e consulta, estabelecimento do contexto e avaliação, tratamento, monitoramento, análise crítica, registro e relato dos riscos. 

______________________________

Além dos tópicos mencionados acima, o webinar da ESR ainda auxilia os participantes a estabelecerem o contexto para aplicação de uma gestão de riscos de segurança da informação com dicas práticas, além de caracterizar ativos de informação como um serviço crítico da organização que deve ser monitorado ao ponto de refletir em ações imediatas para que ele não produza um impacto negativo na instituição.
A partir disso, o gestor de risco da segurança da informação entende quem está envolvido nesse processo, levando em consideração a pirâmide essencial desse conceito – pessoas, processos e tecnologia. ;

Para assistir ao evento online na íntegra e ficar por dentro dessas dicas práticas clique aqui!

Sobre a Escola Superior de Redes (ESR)

A Escola Superior de Redes criou uma trilha completa de treinamentos práticos em segurança da informação, com cursos voltados para capacitar profissionais a proteger sistemas e dados críticos com eficácia. O melhor de tudo: você pode acessar tudo em um só clique.

Com parcerias estratégicas com líderes globais como CompTIA e Ascend, a ESR oferece uma formação robusta, baseada nas necessidades reais do mercado e nas últimas tendências de cibersegurança.

Essa trilha foi desenvolvida com uma metodologia própria, que prepara o aluno para identificar riscos, agir preventivamente e responder rapidamente a incidentes, garantindo a segurança digital da sua organização.o.

Como expandir meu conhecimento sobre gestão de riscos na segurança da informação? 

A ESR promove o curso “Gestão de Riscos de Segurança da Informação e Privacidade”, que dá ao aluno a capacidade de propor controles de segurança da informação para tratar e mitigar os riscos nas organizações. 

No treinamento o participante aprende a identificar ameaças, vulnerabilidades e riscos associados à segurança da informação e a aplicar em sua organização a metodologia de gestão e análise de riscos.

Confira outros detalhes sobre essa capacitação exclusiva ESR aqui!

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

posts recentes

  • 17 materiais de TI gratuitos para quem precisa se atualizar em tecnologia
    Governança de TI

    17 materiais de TI gratuitos para quem precisa se atualizar em tecnologia

    Materiais de TI gratuitos precisam fazer parte da rotina profissional de qualquer pessoa que atua trabalha ou deseja atuar trabalhar em tecnologia da informação e, também, da de líderes que desejam implementar uma estratégia de gestão de conhecimento nos times corporativos.  Em um setor marcado por ciclos tecnológicos cada vez mais curtos, alta interdependência entre […]

    05/03/2026
  • Inteligência Artificial para TI
    Inteligência Artificial

    Guia de inteligência artificial para TI: aplicações, fundamentos e muito mais

    Para assimilar este Guia de inteligência artificial para TI, você vai percorrer o seguinte trajeto: Cada um desses tópicos se desdobrará em discussões relevantes e atualizadas sobre o tema para criar uma estrutura que apresente como a IA funciona, por que ela se tornou indispensável para os profissionais de tecnologia e como utilizá-la de forma […]

    26/02/2026
  • Cloud híbrida vs multicloud
    Computação em Nuvem

    Cloud híbrida vs. multicloud: diferenças, usos e como escolher a melhor estratégia

    A discussão sobre cloud híbrida vs. multicloud ganha nova relevância em 2026, especialmente diante de um cenário marcado pela revisão de contratos de nuvem, pela sistematização do uso da inteligência artificial nas empresas e pela crescente pressão por eficiência financeira.  Após um ciclo intenso de adoção, muitas organizações passaram a reavaliar suas estratégias de nuvem […]

    19/02/2026
  • Treinamento em TI no setor público
    Temas Diversos

    Treinamento em TI no setor público: otimize projetos governamentais

    O treinamento em TI no setor público, sobretudo em projetos governamentais estratégicos, consolidou-se como um pilar para a eficiência da prestação de serviços. Afinal, a eficiência é um princípio constitucional da administração pública e deve também orientar a maturidade digital dos órgãos.  Dessa forma, não se trata de implantar sistemas isolados, mas, sim, de capacitar […]

    12/02/2026
  • Cursos de Governança de TI
    Governança de TI

    Cursos de governança de TI imperdíveis para você se especializar!

    Já sabe quais cursos de governança de TI podem gerar resultados reais na sua carreira? Este guia vai ajudar você a estruturar um plano de estudos estratégico e adequado para o cenário digital moderno.  Em meio à transformação digital acelerada, ao uso intensivo de dados, à inteligência artificial e à pressão regulatória crescente, a tecnologia […]

    05/02/2026
  • businesspeople planning glass wall 1
    Métodos Ágeis e Inovação

    Cultura ágil no setor público: mitos, desafios e o que tem dado certo

    Por que falar de cultura ágil no setor público é cada vez mais relevante? A pressão por serviços públicos mais eficientes, transparentes e acessíveis não surge apenas por causa do movimento de transformação digital. Ela decorre de um cenário mais amplo, marcado por restrições orçamentárias, aumento da complexidade regulatória e maior exigência por resultados mensuráveis […]

    29/01/2026
Ver todos os posts >