Português
English 
Deutsch 
日本語 
Español 
Hrvatski 
This entry was posted on Thursday, December 16th, 2010 at 08:49 and is filed under Main. You can follow any responses to this entry through the RSS 2.0 feed. You can skip to the end and leave a response. Pinging is currently not allowed.
Algumas pessoas podem até pensar que esses dois termos são sinônimos, afinal, a segurança da informação não está totalmente relaciona a computadores?
Não necessariamente. O ponto principal é este: você pode ter medidas perfeitas de segurança de TI, mas apenas um ato malicioso feito, por exemplo, pelo administrador pode trazer todo o sistema de TI abaixo. Esse risco não tem nada a ver com computadores, tem a ver com as pessoas, processos, supervisão etc.
Além disso, informações importantes podem não estar em formato digital, podem estar no papel. Por exemplo, um importante contrato assinado com o maior cliente, anotações pessoais feitas pelo diretor executivo, ou senhas de administrador impressas e armazenadas em um cofre.
É por isso que eu sempre digo aos meus clientes que a segurança de TI é 50% da segurança da informação, porque a segurança da informação também compreende a segurança física, a gestão de recursos humanos, a proteção jurídica, a organização, os processos etc. O objetivo da segurança da informação é construir um sistema que leve em consideração todos os possíveis riscos para a segurança da informação (relacionados, ou não, à TI) e implementar controles abrangentes que reduzam todos os tipos de riscos inaceitáveis.
Essa abordagem integrada para a segurança da informação é muito bem definida na ISO 27001, a principal norma internacional sobre gestão da segurança da informação. Em suma, ela exige que a avaliação de riscos seja feita em todos os ativos da organização, incluindo hardware, software, documentação, pessoas, fornecedores, parceiros etc., e que controles aplicáveis sejam escolhidos para diminuir esses riscos.
A ISO 27001 oferece 133 controles em seu Anexo A. Fiz uma rápida análise dos controles, e os resultados são os seguintes:
- controles relacionados à TI: 46%
- controles relacionados à organização/documentação: 30%
- controles de segurança física: 9%
- proteção jurídica: 6%
- controles relacionados à relação com fornecedores e compradores: 5%
- controles de gestão de recursos humanos: 4%
O que significa tudo isso em termos de segurança da informação/implementação da ISO 27001? Esse tipo de projeto não deve ser visto como um projeto de TI, porque, como tal, é provável que nem todas as partes da organização estejam dispostas a participar. Deve ser visto como um projeto de toda a empresa, do qual todas as pessoas relevantes de todas as unidades de negócios devem participar: alta administração, equipe de TI, especialistas jurídicos, gestores de recursos humanos, equipe da segurança física, o lado comercial da organização etc. Sem essa abordagem, você vai acabar trabalhando com segurança de TI, e isso não irá protegê-lo dos maiores riscos.
Você também pode conferir o webinar ISO 27001 Foundations Part 3: Annex A overview (treinamento vendido comercialmente).
This post is also available in: Inglês, Alemão, Japonês, Espanhol, Croata
