{"id":10922,"date":"2017-03-16T00:07:01","date_gmt":"2017-03-16T00:07:01","guid":{"rendered":"https:\/\/multiacademstg.wpengine.com\/27001academy\/?p=10922"},"modified":"2022-12-28T22:10:15","modified_gmt":"2022-12-28T22:10:15","slug":"a-seguranca-da-informacao-deve-se-concentrar-na-protecao-de-ativos-conformidade-ou-governanca-corporativa","status":"publish","type":"post","link":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/blog\/2017\/03\/16\/a-seguranca-da-informacao-deve-se-concentrar-na-protecao-de-ativos-conformidade-ou-governanca-corporativa\/","title":{"rendered":"A seguran\u00e7a da informa\u00e7\u00e3o deve se concentrar na prote\u00e7\u00e3o de ativos, conformidade ou governan\u00e7a corporativa?"},"content":{"rendered":"

Tradicionalmente, a seguran\u00e7a da informa\u00e7\u00e3o tem sido percebida como uma atividade que foi constru\u00edda em torno da prote\u00e7\u00e3o de ativos de informa\u00e7\u00f5es sens\u00edveis – afinal, era isso que a primeira revis\u00e3o (2005) da ISO 27001<\/a>, e sua predecessora BS 7799-2, tamb\u00e9m enfatizavam. Essas normas exigiam que as empresas identificassem todos os ativos e, em seguida, constru\u00edssem as salvaguardas (ou seja, a defesas) em torno desses ativos.<\/p>\n

Mas, na \u00faltima d\u00e9cada, surgiram outras formas de olhar para a seguran\u00e7a da informa\u00e7\u00e3o: sendo a seguran\u00e7a principalmente um trabalho de conformidade e que a seguran\u00e7a faz parte de um controle interno, isto \u00e9, parte da governan\u00e7a corporativa. (Nota: este post do blog adaptou o modelo apresentado no artigo Information assurance: Strategic alignment and competitive advantage<\/a>.)<\/p>\n

Assim, qual destas tr\u00eas abordagens \u00e9 a melhor de se usar?<\/p>\n

Seguran\u00e7a da informa\u00e7\u00e3o como uma abordagem de prote\u00e7\u00e3o de ativos de informa\u00e7\u00e3o \/ Seguran\u00e7a da TI<\/h2>\n

Esta abordagem tradicional de proteger os ativos veio da filosofia que existe na seguran\u00e7a f\u00edsica h\u00e1 milhares de anos – voc\u00ea tem um ativo f\u00edsico e, em seguida, constr\u00f3i um per\u00edmetro de seguran\u00e7a \u00e0 sua volta. (Veja tamb\u00e9m: Seguran\u00e7a F\u00edsica na ISO 27001: Como proteger as \u00e1reas seguras<\/a>.)<\/p>\n

Essa abordagem tradicional foi assumida principalmente por departamentos de TI que desenvolveram a tecnologia de seguran\u00e7a de TI – por exemplo, firewalls, prote\u00e7\u00e3o antiv\u00edrus, sistemas de detec\u00e7\u00e3o de intrusos, etc. – em torno dos ativos que eles queriam proteger. (Veja tamb\u00e9m: Seguran\u00e7a da informa\u00e7\u00e3o ou seguran\u00e7a de TI?<\/a>)<\/p>\n

E essa abordagem funcionou bem para a seguran\u00e7a f\u00edsica; no entanto, o problema \u00e9 que agora com servi\u00e7os em nuvem, dispositivos m\u00f3veis, insiders, backdoors, hackers, etc. – est\u00e1 se tornando realmente dif\u00edcil definir o per\u00edmetro de seguran\u00e7a em torno de ativos de informa\u00e7\u00f5es e depois construir os controles em torno deles; Obviamente, algo mais \u00e9 necess\u00e1rio.<\/p>\n

Seguran\u00e7a da informa\u00e7\u00e3o como um trabalho de conformidade<\/h2>\n

Uma vez que a prote\u00e7\u00e3o de informa\u00e7\u00f5es confidenciais corporativas e \/ ou privadas est\u00e1 se tornando uma quest\u00e3o muito importante, os governos – assim como os clientes – est\u00e3o adotando uma abordagem mais proativa e definindo v\u00e1rios requisitos de seguran\u00e7a da informa\u00e7\u00e3o por meio de leis, regulamentos e contratos. (Veja tamb\u00e9m: Como identificar os requisitos de partes interessadas do SGSI na ISO 27001<\/a>.)<\/p>\n

E ent\u00e3o, as empresas est\u00e3o come\u00e7ando a se concentrar em cumprir todos esses requisitos – na maioria dos casos, isso \u00e9 feito atrav\u00e9s da escrita de v\u00e1rias pol\u00edticas e procedimentos, mas este tipo de abordagem “marcar o item ao escrever a documenta\u00e7\u00e3o\u201d n\u00e3o resolve a principal situa\u00e7\u00e3o \u2013 como diminuir o n\u00famero de incidentes de seguran\u00e7a ao tornar os processos nas empresas mais seguros.<\/p>\n

Seguran\u00e7a da informa\u00e7\u00e3o como parte do controle interno \/ governan\u00e7a corporativa<\/h2>\n

Esta abordagem \u00e9 mais t\u00edpica para as grandes organiza\u00e7\u00f5es que querem saber exatamente quem \u00e9 respons\u00e1vel pelo que, quais relat\u00f3rios s\u00e3o enviados para quem, quem tem que tomar quais decis\u00f5es, etc. Estes tipos de organiza\u00e7\u00f5es basicamente querem reduzir o risco de algo dar errado, embora muitas vezes elas n\u00e3o tenham um processo formal de gest\u00e3o de risco.<\/p>\n

Esta abordagem se encaixa muito bem com a abordagem de conformidade; no entanto, existem muitas empresas a tomar que assumem esta abordagem sem o \u201cempurr\u00e3o\u201d da conformidade. A desvantagem desta abordagem \u00e9 que a comunica\u00e7\u00e3o geralmente \u00e9 de sentido \u00fanico – a partir da sede da empresa para cada departamento – desta forma, \u00e9 muito dif\u00edcil de explicar para a alta ger\u00eancia os problemas reais que s\u00e3o enfrentados nas opera\u00e7\u00f5es do dia-a-dia quando se trata de amea\u00e7as, vulnerabilidades ou dificuldades de ado\u00e7\u00e3o de novas regras corporativas.<\/p>\n

Uma abordagem combinada<\/h2>\n

Agora, a quest\u00e3o \u00e9: qual dessas tr\u00eas abordagens deve ser a sua guia? Se voc\u00ea olhar para a revis\u00e3o 2013 da ISO 27001, ent\u00e3o a resposta \u00e9: nenhuma. Ou, para ser mais preciso, a ISO 27001: 2013 exige que voc\u00ea misture todas essas abordagens em um \u00fanico sistema de gerenciamento baseado na abordagem de risco. (Veja tamb\u00e9m: Avalia\u00e7\u00e3o e tratamento de riscos segundo a ISO 27001 \u2013 6 etapas b\u00e1sicas<\/a>.)<\/p>\n

A ISO 27001:2013 requer que voc\u00ea realize a avalia\u00e7\u00e3o e tratamento dos riscos<\/a>, e escolha os controles<\/a>\u00a0mais apropriados para sua informa\u00e7\u00e3o; ela tamb\u00e9m requer que voc\u00ea identifique todos os requisitos legais e regulat\u00f3rios, e os requisitos de seus parceiros e clientes, para, em seguida, cumprir com os mesmos; finalmente, a ISO 27001: 2013 exige que voc\u00ea configure um sistema de gerenciamento com fun\u00e7\u00f5es e responsabilidades claramente definidas, medi\u00e7\u00e3o, relat\u00f3rios e fun\u00e7\u00f5es de auditoria interna.<\/p>\n

Ent\u00e3o, qual \u00e9 o ponto aqui? N\u00e3o se deixe enganar ao ver uma dessas abordagens como sua principal filosofia de seguran\u00e7a da informa\u00e7\u00e3o \u2013 o que seria um erro, porque voc\u00ea n\u00e3o seria capaz de proteger suas informa\u00e7\u00f5es corretamente.<\/p>\n

Clique aqui para fazer o download gratuito do artigo: \u00a0<\/em>Integration of Information Security, IT and Corporate Governance<\/a> para aprender<\/em>\u00a0mais sobre como integrar a seguran\u00e7a da informa\u00e7\u00e3o com outras fun\u00e7\u00f5es da organiza\u00e7\u00e3o.<\/em><\/p>\n

N\u00f3s agradecemos a Rhand Leal<\/a> pela tradu\u00e7\u00e3o para o portugu\u00eas.<\/p>\n","protected":false},"excerpt":{"rendered":"

Tradicionalmente, a seguran\u00e7a da informa\u00e7\u00e3o tem sido percebida como uma atividade que foi constru\u00edda em torno da prote\u00e7\u00e3o de ativos de informa\u00e7\u00f5es sens\u00edveis – afinal, era isso que a primeira revis\u00e3o (2005) da ISO 27001, e sua predecessora BS 7799-2, tamb\u00e9m enfatizavam. Essas normas exigiam que as empresas identificassem todos os ativos e, em seguida, …<\/p>\n","protected":false},"author":26,"featured_media":10923,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[310],"tags":[906],"class_list":["post-10922","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-blog-pt-br","tag-iso-27001-pt-br"],"acf":[],"_links":{"self":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts\/10922","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/users\/26"}],"replies":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/comments?post=10922"}],"version-history":[{"count":0,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts\/10922\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/media\/10923"}],"wp:attachment":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/media?parent=10922"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/categories?post=10922"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/tags?post=10922"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}