Por que a segurança da informação deve ser contínua?

Por que a segurança da informação deve ser contínua

• Entender a natureza dos ataques é fundamental
• Novas tecnologias trazem consigo novas vulnerabilidades
• Novas formas de ataques são criadas
• Aumento da conectividade resulta em novas possibilidades de ataques
• Existência tanto de ataques direcionados quanto de ataques oportunísticos
• A defesa é mais complexa do que o ataque (hacker explora um ponto vulnerável, você protege vários pontos)
• Aumento dos crimes digitais

Ativos

É qualquer elemento que tenha valor para a empresa.

Tipos de Ativo

• Ativos Humanos: referem-se a tudo que o indivíduo pode gerar de benefício para as organizações por meio de sua experiência, conhecimento, criatividade e habilidade para resolver problemas, visto de forma criativa e dinâmica.
• Financeiros: ativo financeiro é um valor mobiliário que representa direitos sobre ativos reais que podem ser tangíveis (edifícios, equipamentos, etc) ou intangíveis (conhecimentos tecnológicos, marcas, patentes, etc).
• Físicos: Prédios fábricas, equipamentos, manutenção, segurança, utilização, etc.
• Propriedade Intelectual: São ideias originais que por si não geram resultado financeiro, mas quando aplicadas a produtos e serviços agregam valor a estes. Alguns ativos de Propriedade Intelectual são Marcas, Patentes, Desenhos Industriais, Direitos Autorais, Direitos Conexos, Segredos Industriais, Know How, etc.
• Ativos da Informação e TI: Dados digitalizados, informações e conhecimento sobre clientes, desempenho de processos, finanças, sistemas de Informação, etc.
• Ativos de Relacionamento: Relacionamento dentro da empresa, marca e reputação junto a clientes, fornecedores, unidades de negócio, órgãos reguladores, concorrentes, revendas autorizadas, etc.

Continuação

Incidente de Segurança da Informação: Indicado por um simples ou por uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação.

Partes Externas: Provedores de serviços, clientes, gerenciamento de serviços de segurança, operação de call center, recursos de terceirização, consultores, auditores, desenvolvedores de produtos de software e sistemas de TI, pessoal de limpeza, pessoal temporário, estagiário e contratações de curta duração.

Termos e Definições Relacionados

• Conformidade: Atendimento a um requisito
• Não conformidade: Não atendimento a um requisito
• Ação corretiva: Ação para eliminar a causa de uma não conformidade identificada ou outra situação indesejável
• Ação preventiva: Ação para eliminar a causa de uma potencial não conformidade ou outra situação potencialmente indesejável
• Auditoria: Processo sistemático, documentado e independente para obter evidência da auditoria e avaliá-la objetivamente para determinar a extensão na qual os critérios de auditoria são atendidos
• Análise Crítica: Atividade realizada para determinar a pertinência, adequação e eficácia do que está sendo examinado, para alcançar os objetivos estabelecidos
• Parte interessada: Pessoa ou grupo que tem um interesse no desempenho ou no sucesso de uma organização, também conhecidos como stakeholders (clientes, acionistas, pessoas que atuam na organização, fornecedores, sociedade, parceiros)

Termos e Definições Relacionados

• Recursos de processamento da informação: Qualquer sistema de processamento da informação, serviço ou infraestrutura, ou as instalações físicas que os abriguem
• Risco: Combinação da probabilidade de um evento e de suas consequências
• Ameaça: Causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização. Vai existir sempre
• Vulnerabilidade: Fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças. Ponto Fraco
• Segurança da Informação: Preservação da confidencialidade, integridade e da disponibilidade da informação. Adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade podem estar envolvidas
• Confidencialidade: Propriedade de que a informação não esteja disponível, ou seja, revelada a indivíduos, entidades ou processos não autorizados. Acesso ao necessário somente, nada mais, nada menos
• Integridade: Propriedade de proteger a exatidão e completeza de ativos
• Disponibilidade: Propriedade de tornar acessível e utilizável sob demanda, por fontes autorizadas. No momento necessário e atualizada
• Política: Intenções e diretrizes globais formalmente expressas pela direção
• Diretriz: Descrição que ostenta o que deve ser feito e como, para se alcançarem os objetivos estabelecidos nas políticas
• Procedimento: Forma específica de executar uma atividade ou um processo. Deve estar no papel, documentado
• Controle: Forma de gerenciar o risco, incluindo políticas, procedimentos, diretrizes. Práticas ou estruturas organizacionais que podem ser de natureza administrativa, técnica, de gestão ou legal. Termo também utilizado como sinônimo para proteção ou contramedida
• Análise de Risco: Uso sistemático de informações para identificar fontes e estimar o risco
• Avaliação de Risco: Processo de comparar o risco estimado com critério de risco pré-definidos para determinar a importância do risco
• Gestão de Riscos: Atividades direcionadas para direcionar e controlar uma organização no que se refere a riscos. Geralmente inclui a análise, a avaliação, o tratamento, a aceitação e a comunicação de riscos
• Tratamento do Risco: Processo de seleção e implementação de medidas (controles) para modificar um risco
• Evento de Segurança da Informação: Ocorrência identificada de um sistema, serviço ou rede, que indica uma possível violação de política de segurança da informação ou falha de controles. Uma situação previamente desconhecida, que possa ser relevante para a segurança da informação