{"id":4869,"date":"2010-12-16T08:49:53","date_gmt":"2010-12-16T08:49:53","guid":{"rendered":"https:\/\/multiacademstg.wpengine.com\/27001academy\/blog\/010\/12\/16\/seguranca-da-informacao-ou-seguranca-de-ti\/"},"modified":"2022-07-17T15:43:47","modified_gmt":"2022-07-17T15:43:47","slug":"seguranca-da-informacao-ou-seguranca-de-ti","status":"publish","type":"post","link":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/blog\/2010\/12\/16\/seguranca-da-informacao-ou-seguranca-de-ti\/","title":{"rendered":"Seguran\u00e7a da informa\u00e7\u00e3o ou seguran\u00e7a de TI?"},"content":{"rendered":"

O n\u00famero de controles foi atualizado de acordo com a revis\u00e3o de 2013 da ISO 27001.<\/em><\/p>\n

Algumas pessoas podem at\u00e9 pensar que esses dois termos s\u00e3o sin\u00f4nimos, afinal, a seguran\u00e7a da informa\u00e7\u00e3o n\u00e3o est\u00e1 totalmente relaciona a computadores?<\/p>\n

N\u00e3o necessariamente. O ponto principal \u00e9 este: voc\u00ea pode ter medidas perfeitas de seguran\u00e7a de TI, mas apenas um ato malicioso feito, por exemplo, pelo administrador pode trazer todo o sistema de TI abaixo. Esse risco n\u00e3o tem nada a ver com computadores, tem a ver com as pessoas, processos, supervis\u00e3o etc.<\/p>\n

Al\u00e9m disso, informa\u00e7\u00f5es importantes podem n\u00e3o estar em formato digital, podem estar no papel. Por exemplo, um importante contrato assinado com o maior cliente, anota\u00e7\u00f5es pessoais feitas pelo diretor executivo, ou senhas de administrador impressas e armazenadas em um cofre.<\/p>\n

\u00c9 por isso que eu sempre digo aos meus clientes que a seguran\u00e7a de TI \u00e9 50% da seguran\u00e7a da informa\u00e7\u00e3o, porque a seguran\u00e7a da informa\u00e7\u00e3o tamb\u00e9m compreende a seguran\u00e7a f\u00edsica, a gest\u00e3o de recursos humanos, a prote\u00e7\u00e3o jur\u00eddica, a organiza\u00e7\u00e3o, os processos etc. O objetivo da seguran\u00e7a da informa\u00e7\u00e3o \u00e9 construir um sistema que leve em considera\u00e7\u00e3o todos os poss\u00edveis riscos para a seguran\u00e7a da informa\u00e7\u00e3o (relacionados, ou n\u00e3o, \u00e0 TI) e implementar controles abrangentes que reduzam todos os tipos de riscos inaceit\u00e1veis.<\/p>\n

Essa abordagem integrada para a seguran\u00e7a da informa\u00e7\u00e3o \u00e9 muito bem definida na ISO 27001<\/a>, a principal norma internacional sobre gest\u00e3o da seguran\u00e7a da informa\u00e7\u00e3o. Em suma, ela exige que a avalia\u00e7\u00e3o de riscos seja feita em todos os ativos da organiza\u00e7\u00e3o, incluindo hardware, software, documenta\u00e7\u00e3o, pessoas, fornecedores, parceiros etc., e que controles aplic\u00e1veis sejam escolhidos para diminuir esses riscos.<\/p>\n

A ISO 27001 oferece 114 controles em seu Anexo A. Fiz uma r\u00e1pida an\u00e1lise dos controles, e os resultados s\u00e3o os seguintes:<\/p>\n