Considerações Iniciais
Considerações Iniciais
A Segurança da Informação deve permear todos os campos de conhecimento em termos de Tecnologia da Informação e Comunicação, sendo calcada em três grandes pilares, quais sejam: pessoas, políticas/procedimentos e mecanismos tecnológicos.
Além disso, ela compreende diversas dimensões que influenciam, em todo ou em parte, as diversas iniciativas em Tecnologia da Informação e Comunicação. Para fins desta Orientação Técnica, são adotadas as seguintes dimensões, sem prejuízo de outras possibilidades a serem estabelecidas por cada Órgão Setorial para consecução de seus processos de negócio:
- Confidencialidade: propriedade de não estar disponível ou não ser revelado para indivíduos, entidades ou processos não autorizados;
- Integridade: propriedade de completude e fidedignidade;
Disponibilidade: propriedade de estar acessível e usável para atender tempestivamente à demanda de uma pessoa, processo, ou entidade autorizada; - Autenticidade: propriedade de que uma pessoa, organização, entidade, documento ou informação é de fato o que ela diz ser;
Irretratabilidade: também conhecida como não-repúdio, é a capacidade de provar a ocorrência de determinado evento ou ação, bem como provar a sua autoria ou responsabilidade; - Rastreabilidade: capacidade de detectar a ocorrência de determinado evento ou ação, prover caracterização adequada do fato e determinar a sua autoria;
- Confiabilidade: propriedade de obter comportamentos e resultados de forma prevista e consistente;
Utilidade: propriedade de agregar ou gerar valor em termos organizacionais; e - Consciência: ato e estado de conhecimento, internalização e adoção de determinada informação como tendo valor relevante em termos pessoais e/ou organizacionais
Em termos de gestão, a Segurança da Informação é baseada em Elementos Fundamentais e dividida em diversas Áreas de Gestão.
Figura 1: Elementos Fundamentais e Áreas de Gestão de
Segurança da Informação. (adaptado do Gartner)
Os Elementos Fundamentais são:
- I. Aquisições;
- II. Políticas, Padrões e Culturas;
- III. Pessoas;
- IV. Mudanças;
- V. Riscos.
As Áreas de Gestão são:
- I. Gestão de Vulnerabilidades e Ameaças;
- II. Monitoramento e Operações;
- III. Infraestrutura e Rede;
- IV. Identidades e Acessos;
- V. Nuvem;
- VI. Endpoints e Dispositivos Móveis;
- VII. Dados e Aplicações.