Home > Edison Fontes

Arquitetura da segurança da informação

Edison Fontes

21/12/2018 às 9h48

Foto:

Para desenvolver, aprimorar, implantar e dar sustentabilidade na proteção de dados da organização é necessário a definição da Arquitetura de Segurança que estamos seguindo. Sem esta definição não podemos responder adequadamente questões teóricas, de poder e práticas do porque estamos implementando e gastando recursos da organização na proteção da informação.

A figura acima é fruto da experiência de mais de três décadas de dedicação profissional ao tema segurança da informação.

Descrevemos abaixo de maneira resumida o que é cada um dos blocos da figura acima. Evidentemente cada bloco é um novo portal de controles e características que precisaremos conhecer e detalhar, para assim implementar na nossa organização.

  1. Processo Organizacional de Segurança da Informação.

É o processo que tem por objetivo garantir a adequada proteção da informação da informação sob responsabilidade da organização de maneira continua ao longo do tempo. Este processo define, implanta, coordena, supervisiona ou realiza controles para garantir a privacidade, o sigilo, a integridade, a autenticidade, a legalidade, a auditabilidade e a disponibilidade da informação.

Como diremos adiante, a Norma NBR ISSO/IEC 27002 – Tecnologia da informação – Técnicas de segurança – Código de prática para a gestão da segurança da informação, ABNT, 2013, é um de nossos direcionadores, definimos conceitualmente o Processo Organizacional de Segurança da Informação.

 

  1. Governança da Segurança da Informação

É a estrutura organizacional ligada à Governança Corporativa que permite garantir que as atividades de segurança da informação estão sendo executadas e direcionadas em conformidade com os objetivos da organização. A Figura 3 apresenta a Governança da Segurança da Informação.

 

  1. Direcionadores

São elementos que são tomados por base para a definição dos controles de segurança da informação. Como direcionadores obrigatórios existem a legislação brasileira, tipo a Lei de Proteção de Dados Pessoais, o Marco Cível da Internet e a Lei de Crimes Informáticos; a legislação internacional, tipo o Regulamento Europeu (EU) 2016/679 que trata de Proteção de Dados Pessoais; e padrões de mercado que a organização deve seguir, tipo PCI – Padrões de Segurança de Dados da Industria de Cartões de Pagamento ou Resoluções da Agência Reguladora.

 

 

  1. Gestão da Segurança da Informação

É o conjunto de ações gerenciadas que têm o objetivo garantir que o processo está controlado e sendo implementado conforme previsto e aprovado pela organização. É recomendado que seja designado um profissional experiente para exercer as funções de Gestor de Segurança da Informação. A dedicação ou se este profissional é da própria organização ou um consultor, dependerá do porte, tipo de negócio e características da organização.

  1. Planejamento de Ações 

É necessário que exista um planejamento de ações de segurança da informação para, pelo menos, o período dos próximos três anos. Evidentemente este planejamento deve ser consequência de uma avaliação da maturidade dos controles de segurança da informação existentes na atualidade na organização e como consequência, a definição de uma priorização das ações. Este planejamento, em conformidade com a Governança da Segurança da Informação, deve ser aprovado pelo Corpo Diretivo da Organização.

A Arquitetura da Segurança da Informação proporciona a estrutura que a organização precisa seguir, baseada em necessidades de negócio. A Segurança da Informação não existe por si só. Não existe para satisfazer o ego de profissionais de proteção de dados. Bem como, ela não é exigente por acaso. Tudo acontece porque a organização tem objetivos definidos pelo Corpo Diretivo e que precisam ser atingidos. A Segurança da Organização possibilita que a organização atinja seus objetivos, no que depende do recurso informação.

Como está a segurança da informação da sua organização?

Prof. Ms. Edison Fontes, CISM, CISA, CRISC

Segurança da Informação, Proteção de Dados Pessoais, Gestão de Risco, Continuidade de Negócio.

edison@pobox.com

Núcleo Consultoria em Segurança

www.nucleoconsult.com.br

 

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter Newsletter por e-mail