Questões de Tecnologia da Informação - Princípios da Segurança da Informação - Tribunal de Contas do Estado do Espírito Santo

O escopo da análise dos riscos deve sempre atuar sobre toda a organização.

A NBR ISO/IEC 15999 estabelece as bases para a gestão de riscos em segurança da informação e a NBR ISO/IEC 27005 trata da gestão de continuidade de negócios.

Gerenciar os riscos é um dos principais processos da gestão de segurança da informação, pois visa identificar, avaliar e priorizar riscos para, em seguida, se poder aplicar, de forma coordenada e econômica, os recursos para minimizar, monitorar e controlar a probabilidade e o impacto de eventos negativos, de modo a se reduzir o risco a um nível aceitável.

No sentido de ganhar agilidade na identificação, avaliação e priorização dos riscos, o gestor de segurança da informação pode deixar de consultar a alta direção, sem que isso acarrete prejuízo à gestão de riscos.

A gestão de segurança da informação pode arbitrar alguns riscos a priori e realizar o tratamento do risco sem prejuízo dos resultados.

Mesmo utilizando sistemas tecnológicos de segurança de fornecedores e tecnologias estrangeiras, é possível manter um nível adequado de segurança nacional, com algum nível de vazamento permitido.

O sistema de regulamentação atual das telecomunicações no Brasil proporciona algumas possibilidades de exploração de vulnerabilidades, mas é suficiente para garantir o controle das comunicações no país.

A aprovação do marco civil da Internet brasileira deverá elevar o nível de segurança para o cidadão e para o governo brasileiro e deverá impedir que ocorram novos vazamentos de informação.

A proteção de informações estratégicas de uma nação deve ser feita por tecnologias desenvolvidas no país, sem backdoor, auditáveis, com uso de criptografia de estado, por empresas e recursos humanos credenciados, pela normatização e implantação de eficientes sistemas de gestão da informação nas organizações.

Os atributos de confidencialidade, disponibilidade e integridade de proteção das informações de interesse nacional estão sendo atingidos, sendo os vazamentos algo comum e tolerado dentro de uma certa margem.

O estabelecimento de controles que ajustem o nível de segurança para o tratamento da informação classificada deve ser diferenciado em função da natureza da informação quanto a valor, requisitos legais, grau de sensibilidade, grau de criticidade e necessidade de compartilhamento.

O uso de biometria como mecanismo de autenticação do usuário no acesso aos sistemas de informação é cada dia mais utilizado e tem a vantagem de rápida implantação com baixo custo.

Devido aos constantes ataques aos usuários do sistema bancário, é cada vez mais comum a adoção de mecanismos de autenticação com base em segundo fator de autenticação para o acesso bancário. Nesses casos, o usuário entra com a sua senha duas vezes consecutivas para autenticar o seu acesso.

Para a segurança da informação, todas as informações são igualmente importantes. A isonomia na classificação da informação garante que todas as informações devem ser protegidas.

Um dos controles de acesso aos sistemas de informação mais utilizados é a identificação pelo uso de login do tipo usuário e senha. A vantagem nesse tipo de controle de acesso relacionase ao seu baixo custo e à possibilidade de se garantir o não repúdio no acesso.

A análise de mercado para avaliar as ameaças concorrenciais para o negócio é função direta dos gestores de segurança da informação.

A fusão e expansão do negócio são rotineiramente analisadas pela área de segurança da informação.

Os processos de inovação devem ser geridos pelos gestores de segurança da informação, tendo em vista a grande importância desses temas para a continuidade dos negócios.

Os elementos de gestão de incidentes de segurança da informação, gestão da continuidade do negócio e conformidade também são foco de preocupação direta da área gestão de segurança da informação.

O controle financeiro da organização deve ser objeto de interferência direta da gestão de segurança da informação.