Text page

A gestão de segurança da informação

O que deve ser feito em relação ao trabalho remoto? Quais são os termos e condições de contratação? Como pode ser feita a classificação da informação? Como deve ser realizada a retirada ou ajuste dos direitos de acesso? Essas e outras questões estão sendo mostradas no texto sobre os controles de segurança da informação.

31/01/2018 - Equipe Target

NBR ISO/IEC 27002 de 11/2013: código de prática para controles de segurança da informação

A NBR ISO/IEC 27002 de 11/2013 - Tecnologia da informação - Técnicas de segurança - Código de Prática para controles de segurança da informação fornece diretrizes para práticas de gestão de segurança da informação e normas de segurança da informação para as organizações, incluindo a seleção, a implementação e o gerenciamento de controles, levando em consideração os ambientes de risco da segurança da informação da organização. É projetada para ser usada por organizações que pretendam: selecionar controles dentro do processo de implementação de um sistema de gestão da segurança da informação baseado na NBR ISO/IEC 27001; implementar controles de segurança da informação comumente aceitos; e desenvolver seus próprios princípios de gestão da segurança da informação.

Confira algumas dúvidas relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

O que deve ser feito em relação ao trabalho remoto?

Quais são os termos e condições de contratação?

Como pode ser feita a classificação da informação?

Como deve ser realizada a retirada ou ajuste dos direitos de acesso?

Qual deve ser a política para o uso de controles criptográficos?

O que deve ser realizado em relação à reutilização ou descarte seguro de equipamentos?

As organizações de todos os tipos e tamanhos (incluindo o setor privado e público, organizações comerciais e sem fins lucrativos), coletam, processam, armazenam e transmitem informações em diferentes formatos, incluindo o eletrônico, físico e verbal (por exemplo, conversações e apresentações). O valor da informação vai além das palavras escritas, números e imagens: conhecimento, conceitos, ideias e marcas são exemplos de formas intangíveis da informação.

Em um mundo interconectado, a informação e os processos relacionados, sistemas, redes e pessoas envolvidas nas suas operações são informações que, como outros ativos importantes, têm valor para o negócio da organização e, consequentemente, requerem proteção contra vários riscos. Os ativos são objeto de ameaças, tanto acidentais como deliberadas, enquanto que os processos, sistemas, redes e pessoas têm vulnerabilidades inerentes.

As mudanças nos processos e sistemas do negócio ou outras mudanças externas (como novas leis e regulamentações), podem criar novos riscos de segurança da informação. Desta forma, em função das várias maneiras nas quais as ameaças podem se aproveitar das vulnerabilidades para causar dano à organização, os riscos de segurança da informação estão sempre presentes. Uma segurança da informação eficaz reduz estes riscos, protegendo a organização das ameaças e vulnerabilidades e, assim, reduzindo o impacto aos seus ativos.

A segurança da informação é alcançada pela implementação de um conjunto adequado de controles, incluindo políticas, processos, procedimentos, estrutura organizacional e funções de software e hardware. Estes controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados, quando necessário, para assegurar que os objetivos do negócio e a segurança da informação da organização sejam atendidos.

Um sistema de gestão da segurança

da informação (SGSI), a exemplo do especificado na NBR ISO/IEC 27001, considera uma visão holística e coordenada dos riscos de segurança da informação da organização, para implementar um conjunto de controles de segurança da informação detalhado, com base na estrutura global de um sistema de gestão coerente. Muitos sistemas de informação não têm sido projetados para serem seguros, na ótica da NBR ISO/IEC 27001 e desta norma.

A segurança que pode ser alcançada através de meios técnicos é limitada e está apoiada por procedimentos e gerenciamentos apropriados. A identificação de quais controles devem ser implementados requer planejamento e atenção cuidadosa em nível de detalhes. Um sistema de gestão da segurança da informação bem-sucedido requer apoio de todos os funcionários da organização.

Isto pode também exigir a participação de acionistas, fornecedores ou outras partes externas. Orientações de especialistas externos podem também ser necessárias. De um modo geral, uma segurança da informação eficaz também garante à direção e a outras partes interessadas que os ativos da organização estão razoavelmente seguros e protegidos contra danos, agindo como um facilitador dos negócios.

Em linhas gerais, é essencial que uma organização identifique os seus requisitos de segurança da informação. Existem três fontes principais de requisitos de segurança da informação. Uma delas é a avaliação de riscos para a organização, levando-se em conta os objetivos e as estratégias globais de negócio da organização. Por meio da avaliação de riscos, são identificadas as ameaças aos ativos e as vulnerabilidades destes, e realizada uma estimativa da probabilidade de ocorrência das ameaças e do impacto potencial ao negócio.

Igualmente, a legislação vigente, os estatutos, a regulamentação e as cláusulas contratuais que a organização, seus parceiros comerciais, contratados e provedores de serviço têm que atender, além do seu ambiente sociocultural. Também os conjuntos particulares de princípios, objetivos e os requisitos do negócio para o manuseio, processamento, armazenamento, comunicação e arquivo da informação, que uma organização tem que desenvolver para apoiar suas operações.

Os recursos empregados na implementação dos controles precisam ser balanceados com base na probabilidade de danos ao negócio, resultado dos problemas de segurança pela ausência desses controles. Os resultados de uma avaliação de risco ajudarão a orientar e determinar as ações de gestão apropriadas e as prioridades para gerenciar os riscos de segurança da informação e a implementação dos controles selecionados para proteger contra estes riscos.

A NBR ISO/IEC 27005 fornece diretrizes sobre gestão de riscos de segurança da informação, incluindo orientações sobre avaliação de riscos, tratamentos de riscos, aceitação de riscos, comunicação de riscos, monitoramento e análise crítica dos riscos. Já os controles podem ser selecionados desta norma ou de outros conjuntos de controles, ou novos controles podem ser projetados para atender às necessidades específicas, conforme apropriado.

A seleção de controles de segurança da informação depende das decisões da organização, baseadas nos critérios para aceitação de risco, nas opções para tratamento do risco e no enfoque geral da gestão de risco aplicado à organização, e convém que a seleção destes controles também esteja sujeita a todas as legislações e regulamentações nacionais e internacionais relevantes. A seleção de controles também depende da maneira pela qual os controles interagem para prover uma proteção segura.

Alguns dos controles nesta norma podem ser considerados princípios básicos para a gestão da segurança da informação e podem ser aplicados à maioria das organizações. Os controles são explicados em mais detalhes no campo diretrizes para implementação.

A informação tem um ciclo de vida natural, desde a sua criação e origem, armazenamento, processamento, uso e transmissão, até a sua eventual destruição ou obsolescência. O valor e os riscos aos ativos podem variar durante o tempo de vida da informação (por exemplo, revelação não autorizada ou roubo de balanços financeiros de uma companhia é muito menos importante depois que eles são formalmente publicados), porém a segurança da informação permanece importante em algumas etapas de todos os estágios.

Os sistemas de informação têm ciclos de vida nos quais eles são concebidos, especificados, projetados, desenvolvidos, testados, implementados, usados, mantidos e, eventualmente, retirados do serviço e descartados. Convém que a segurança da informação seja considerada em cada estágio. O desenvolvimento de sistemas novos e mudanças nos sistemas existentes são oportunidades para as organizações atualizarem e melhorarem os controles de segurança, levando em conta os incidentes reais e os riscos de segurança da informação, projetados e atuais.

FONTE: Equipe Target

Baseado nos documentos visitados

Normas recomendadas para você

Cabeamento estruturado para edifícios comerciais
NBR14565 de 09/2019

Cabeamento estruturado para edifícios comerciais

Equipamento de tecnologia da informação - Características de imunidade - Limites e métodos de medição
NBRIEC/CISPR24 de 02/2022

Equipamento de tecnologia da informação - Características de imunidade - Limites e métodos de medição

Segurança da informação, segurança cibernética e proteção da privacidade - Governança da segurança da informação
NBRISO/IEC27014 de 09/2021

Segurança da informação, segurança cibernética e proteção da privacidade - Governança da segurança da informação

Tecnologia de informação - Técnicas criptográficas de dados - Modos de operação de um algoritmo de cifração de blocos padrão - Padronização
NBR12964 de 09/1993

Tecnologia de informação - Técnicas criptográficas de dados - Modos de operação de um algoritmo de cifração de blocos padrão - Padronização

Tecnologia da informação - Gestão de serviços - Parte 1: Requisitos do sistema de gestão de serviços
NBRISO/IEC20000-1 de 03/2020

Tecnologia da informação - Gestão de serviços - Parte 1: Requisitos do sistema de gestão de serviços

Tecnologia da informação - Técnicas de segurança - Código de prática para controles de segurança da informação com base ABNT NBR ISO/IEC 27002 para serviços em nuvem
NBRISO/IEC27017 de 07/2016

Tecnologia da informação - Técnicas de segurança - Código de prática para controles de segurança da informação com base ABNT NBR ISO/IEC 27002 para serviços em nuvem

Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Requisitos
NBRISO/IEC27001 de 11/2013

Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Requisitos

Tecnologia da informação - Governança da TI para a organização
NBRISO/IEC38500 de 11/2018

Tecnologia da informação - Governança da TI para a organização

Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Orientações
NBRISO/IEC27003 de 04/2020

Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Orientações

Tecnologia da informação - Formato aberto de documento para aplicações de escritório (OpenDocument) v1.0
NBRISO/IEC26300 de 05/2008

Tecnologia da informação - Formato aberto de documento para aplicações de escritório (OpenDocument) v1.0

Tecnologia da informação — Técnicas de segurança — Gestão de riscos de segurança da informação
NBRISO/IEC27005 de 10/2019

Tecnologia da informação — Técnicas de segurança — Gestão de riscos de segurança da informação

Tecnologia da informação - Avaliação de processo - Parte 4: Orientação no uso para melhoria do processo e determinação da potencialidade do processo
NBRISO/IEC15504-4 de 02/2008

Tecnologia da informação - Avaliação de processo - Parte 4: Orientação no uso para melhoria do processo e determinação da potencialidade do processo

Tecnologia da informação - Técnicas de segurança - Especificação para redação digital
NBRISO/IEC27038 de 12/2014

Tecnologia da informação - Técnicas de segurança - Especificação para redação digital

Tecnologia da informação - Técnicas de segurança - Diretrizes para gestão da segurança da informação para organizações de telecomunicações baseadas na ABNT NBR ISO/IEC 27002
NBRISO/IEC27011 de 04/2019

Tecnologia da informação - Técnicas de segurança - Diretrizes para gestão da segurança da informação para organizações de telecomunicações baseadas na ABNT NBR ISO/IEC 27002

Tecnologia de informação - Teclados em equipamentos de processamento de dados - Conjunto numérico - Padronização
NBR10347 de 08/1991

Tecnologia de informação - Teclados em equipamentos de processamento de dados - Conjunto numérico - Padronização

Tecnologia da informação - Técnicas de segurança - Código de Prática para controles de segurança da informação
NBRISO/IEC27002 de 11/2013

Tecnologia da informação - Técnicas de segurança - Código de Prática para controles de segurança da informação

Tecnologia da informação - Técnicas de segurança - Diretrizes para a prontidão para a continuidade dos negócios da tecnologia da informação e comunicação
NBRISO/IEC27031 de 08/2019

Tecnologia da informação - Técnicas de segurança - Diretrizes para a prontidão para a continuidade dos negócios da tecnologia da informação e comunicação

Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Monitoramento, medição, análise e avaliação
NBRISO/IEC27004 de 08/2017

Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Monitoramento, medição, análise e avaliação

Tecnologia da informação - Método para determinar o rendimento de cartuchos de toner para impressoras eletrofotográficas monocromáticas e para dispositivos multifuncionais que contenham componenetes de impressora
NBRISO/IEC19752 de 03/2021

Tecnologia da informação - Método para determinar o rendimento de cartuchos de toner para impressoras eletrofotográficas monocromáticas e para dispositivos multifuncionais que contenham componenetes de impressora

Segurança da informação, segurança cibernética e proteção da privacidade - Diretrizes para auditoria de sistemas de gestão da segurança da informação
NBRISO/IEC27007 de 05/2021

Segurança da informação, segurança cibernética e proteção da privacidade - Diretrizes para auditoria de sistemas de gestão da segurança da informação

Tecnologia de informação - Teclados em equipamentos de processamento de dados - Conjunto alfanumérico - Padronização
NBR10346 de 08/1991

Tecnologia de informação - Teclados em equipamentos de processamento de dados - Conjunto alfanumérico - Padronização

Tecnologia da informação - Gestão de serviço - Parte 2: Orientação para aplicação de sistemas de gestão de serviço
NBRISO/IEC20000-2 de 01/2021

Tecnologia da informação - Gestão de serviço - Parte 2: Orientação para aplicação de sistemas de gestão de serviço

Tecnologia da informação - Computação em nuvem - Visão geral e vocabulário
NBRISO/IEC17788 de 12/2015

Tecnologia da informação - Computação em nuvem - Visão geral e vocabulário

Tecnologia da informação — Diretrizes para o processamento de interceptação telemática judicial
NBR16386 de 06/2015

Tecnologia da informação — Diretrizes para o processamento de interceptação telemática judicial

Segurança da informação - Diretrizes para classificação, rotulação, tratamento e gestão da informação
NBR16167 de 12/2020

Segurança da informação - Diretrizes para classificação, rotulação, tratamento e gestão da informação

Tecnologia de informação - Gerência de senhas - Procedimento
NBR12896 de 11/1993

Tecnologia de informação - Gerência de senhas - Procedimento

Equipamento de tecnologia da informação - Características de radioperturbação - Limites e métodos de medição
NBRIEC/CISPR22 de 02/2022

Equipamento de tecnologia da informação - Características de radioperturbação - Limites e métodos de medição

Tecnologia de informação - Código Brasileiro para Intercâmbio de Informação - Padronização
NBR9611 de 02/1991

Tecnologia de informação - Código Brasileiro para Intercâmbio de Informação - Padronização

Tecnologia da informação — Técnicas de segurança — Diretrizes para identificação, coleta, aquisição e preservação de evidência digital
NBRISO/IEC27037 de 12/2013

Tecnologia da informação — Técnicas de segurança — Diretrizes para identificação, coleta, aquisição e preservação de evidência digital

Tecnologia da Informação - Técnicas de segurança - Diretrizes para segurança cibernética
NBRISO/IEC27032 de 06/2015

Tecnologia da Informação - Técnicas de segurança - Diretrizes para segurança cibernética

Tecnologia da informação - Avaliação de processo - Parte 3: Orientações para realização de uma avaliação
NBRISO/IEC15504-3 de 02/2008

Tecnologia da informação - Avaliação de processo - Parte 3: Orientações para realização de uma avaliação