Para os profissionais de TI, gestão de riscos da informação e privacidade são assuntos trabalhados há anos! Embora agora existam outras nuances, como a implementação da LGPD, o domínio sobre essa atividade é uma prática comum e necessária às organizações.
Quem detém informação e segurança sobre esses dados pode tomar melhores decisões e garantir que a empresa continue pujante no mercado.
A ESR abordou o tema em um novo Webinar, ministrado pelo especialista Gustavo Martins Pereira, para dar continuidade à discussão acerca de melhores práticas para uma eficiente gestão de riscos de segurança da informação.
Abaixo você confere os pontos destacados no evento online.
O que é Segurança da Informação?
Para entender o que é segurança da informação devemos pensar sobre quais são os cuidados que uma empresa tem com o seu principal ativo (a informação).
Assim, pensar em como conseguimos fazer com que essa informação esteja protegida de um acesso indevido.
Além disso, temos que compreender que a informação só é produzida a partir do dado existente nas estruturas de rede, portanto qual o cuidado temos para com o dado e para com a informação?
A gestão de riscos vai garantir esse zelo desde a segurança predial até uma configuração de um roteador e um firewall para acesso na internet, ou seja, sempre haverá muito a se implementar
Retomando, em linhas gerais, baseado na norma NBR ISO/IEC 27002:2013, o conceito de Segurança da Informação se refere à proteção existente sobre as informações de uma determinada empresa ou pessoa, aplicando-se tanto às informações corporativas quanto às pessoais.
Trata-se do conjunto de ferramentas e estratégias digitais que garantam a segurança dos dados de uma empresa no mundo virtual.
Em outras palavras, são as maneiras ou ferramentas encontradas para minimizar os riscos de ameaças digitais, além de garantir a plena vida dos dados de uma organização, sem que estes sofram influências externas, como vírus, invasões e outras diferentes formas de ataques de cibercriminosos.
Para isso, ou seja, para uma boa segurança da informação e um resguardo eficiente de dados, tais articulações se valem de pilares essenciais que você confere logo abaixo.
Quais são os pilares da segurança da informação?
De acordo com a norma NBR ISO/IEC 27002:2013, existem atributos da Segurança da Informação que articulam a proteção dos dados e ativos:
Confidencialidade:
Quando se fala em segurança da informação e como evitar os riscos de desestabilização da cibersegurança, é preciso pensar que ela está associada à confidencialidade como pilar desenvolvedor. De forma prática, é a garantia de que agentes sem autorização não terão acesso aos dados institucionais.
Disponibilidade:
Significa dizer que os dados devem estar disponíveis de acordo com a necessidade. Sempre que ela existir, deve ser possível acessá-los.
Integridade:
Funciona como um tipo certificação de que uma informação uma vez armazenada não poderá sofrer quaisquer tipos de alteração;
Autenticidade:
Um dos últimos, mas não menos importantes pilares que envolvem a cibersegurança é a capacidade de assegurar que informação é verdadeira. Assegurar que determinada informação pertence a A ou B, e determinar uma autoria específica, provando que o objeto avaliado não tenha passado por alguma alteração indevida.
Irretratabilidade
É a propriedade que garante a impossibilidade de negar a autoria em relação a uma transição anteriormente feita
Conformidade
Propriedade que garante que o sistema deve seguir as leis e regulamentos associados a este tipo de processo.
Quais são as fontes principais de requisitos de Segurança da Informação
Existem três fontes principais de requisitos de SI:
- Uma fonte é obtida a partir da avaliação de riscos para a organização, levando em conta objetivos globais de negócio da organização;
- Uma outra fonte é a legislação vigente, os estatutos, a regulamentação e as cláusulas contratuais que a organização, seus parceiros comerciais, contratados e provedores de serviço têm de atender além do seu ambiente sociocultural;
- A terceira fonte são os conjuntos particulares de princípios, objetivos e os requisitos do negócio para manuseio processamento, armazenamento, comunicação e arquivo da informação, que uma organização tem que devolver para apoiar suas operações
Benefícios da NBR ISO/IEC 27002:2013:
De acordo com o especialista, Gustavo Martins Pereira, seguir a norma NBR ISO/IEC 27002:2013 para uma gestão de riscos de segurança da informação reflete nos seguintes benefícios:
- Melhor conscientização sobre a segurança da informação;
- Maior controle de ativos e informações sensíveis;
- Oferece uma abordagem para implantação de políticas de controles;
- Oportunidade de identificar e corrigir pontos fracos;
- Redução de risco de responsabilidade pela não implementação de um SGSI ou determinação de políticas e procedimentos;
- Torna-se um diferencial competitivo para a conquista de clientes que valorizam a certificação;
- Melhor organização com processo e mecanismos be desenhados e geridos;
- Promove a redução de custos com a prevenção de incidentes de segurança da informação;
- Conformidade com a legislação e outras regulamentações
Gestão de riscos unida à segurança da informação
Quando se fala em gestão de riscos em relação à segurança da informação é necessário compreender que cada empresa irá aplicar rotinas diferentes, mesmo que se embase na mesma norma como a 27002.
O gestor de segurança da informação precisa conhecer a sua empresa e aplicar uma orientação personalizada, que esteja alinhada com o processo de gestão de riscos corporativos.
Dessa forma, é necessário uma abordagem sistemática de gestão de risco de segurança da informação, para se identificar as necessidades da organização em relação aos requisitos de segurança da informação e para a criação do SGSI.
A gestão de riscos de segurança da informação é um processo contínuo, parte integrante das atividades de gestão de segurança da informação, aplicada à implementação e à operação cotidiana de um SGSI.
Nesse contexto, o processo de gestão de riscos envolverá a aplicação sistemática de políticas, procedimentos e práticas para as atividades de comunicação e consulta, estabelecimento do contexto e avaliação, tratamento, monitoramento, análise crítica, registro e relato dos riscos.
______________________________
Além dos tópicos mencionados acima, o webinar da ESR ainda auxilia os participantes a estabelecerem o contexto para aplicação de uma gestão de riscos de segurança da informação com dicas práticas, além de caracterizar ativos de informação como um serviço crítico da organização que deve ser monitorado ao ponto de refletir em ações imediatas para que ele não produza um impacto negativo na instituição.
A partir disso, o gestor de risco da segurança da informação entende quem está envolvido nesse processo, levando em consideração a pirâmide essencial desse conceito – pessoas, processos e tecnologia. ;
Para assistir ao evento online na íntegra e ficar por dentro dessas dicas práticas clique aqui!
Sobre a Escola Superior de Redes (ESR)
A Escola Superior de Redes (ESR) promove a capacitação, o desenvolvimento profissional e a disseminação de conhecimento de tecnologias da informação para todo o Brasil há mais de 16 anos.
Durante a sua trajetória já atendeu mais de 1100 instituições, além de ter contribuído para a capacitação de mais de 31 mil alunos.
A escola, única parceira do maior instituto de cibersegurança do mundo, o Sans,
oferece mais de 100 cursos, distribuídos em diferentes trilhas de conhecimento.
Como expandir meu conhecimento sobre gestão de riscos na segurança da informação?
A ESR promove o curso “Gestão de Riscos de Segurança da Informação e Privacidade”, que dá ao aluno a capacidade de propor controles de segurança da informação para tratar e mitigar os riscos nas organizações.
No treinamento o participante aprende a identificar ameaças, vulnerabilidades e riscos associados à segurança da informação e a aplicar em sua organização a metodologia de gestão e análise de riscos.
Confira outros detalhes sobre essa capacitação exclusiva ESR aqui!