Please enable JavaScript.
Coggle requires JavaScript to display documents.
Sistema de Gestão de Segurança da Informação (SGSI) (Fatores Críticos de…
Sistema de Gestão de Segurança da Informação (SGSI)
Definições e Conceitos
Informação
Ativo
essencial os negócios de uma organização.
Meios de armazenamento: digital, material...
Meios de transmissão: correio, eletrônico, comunicação verbal...
Gerenciamento
Gerenciamento envolve atividades para direcionar, controlar e melhorar continuamente a estrutura de uma organização.
As atividades de gerenciamento incluem o ato, a maneira ou a prática de organizar, manipular, dirigir, supervisionar e controlar recursos.
Em termos de um SGSI, o gerenciamento envolve a supervisão e a tomada de decisões necessárias para atingir os objetivos comerciais através da proteção dos ativos de informação da organização.
Segurança da Informação
Confidencialidade, Integridade e Disponibilidade (CID)
Aplicação e gerenciamento de medidas de seguranças da informação apropriadas
Garante sucesso e continuidade aos negócios
Minimiza o impacto nos incidentes de segurança da informação
Alcançada a partir da aplicação de um conjunto de controles escolhidos através do processo de gerenciamento de riscos.
Este controle necessitam ser especificados, implementados, monitorados, revisados e melhorados (quando necessário).
Sistema de Gestão
Inclui estrutura organizacional, políticas, atividades de planejamento, responsabilidades, práticas, procedimentos, processos e recursos.
Em termos de segurança da informação, um sistema de gerenciamento permite que uma organização:
melhorar os planos e atividades de uma organização;
cumprir os objetivos de segurança da informação da organização;
cumprir regulamentos, legislação e mandatos da indústria;
gerenciar ativos de forma organizada que facilite a melhoria contínua e o ajuste às metas organizacionais atuais;
Princípios para implementação
1 - Consciência da necessidade de segurança da informação.
2 - Avaliação de risco determinando controles apropriados para alcançar um nível de risco aceitável.
3 - Atribuição de responsabilidades.
4 - Prevenção e detecção ativa de incidentes de segurança da informação.
5 - Reavaliação contínua da segurança da informação e a realização de mudanças, se necessário.
Porque um SGSI é importante?
Essencial para atividades de gerenciamento de risco.
1 - Apoiar e trás eficácia para os meios técnicos de segurança da informação
2 - Obter garantia de que seus ativos de informação estão adequadamente protegidos contra ameaças
3 - Melhorar continuamente o controle de seu ambiente
Estabelecendo, monitorando, mantendo e melhorando um SGSI
1 - Identificar as informações e seus requisitos de segurança.
2 - Avaliar os riscos de segurança da informação e tratar riscos de segurança da informação.
3 - Selecionar e implementar controles para gerenciar riscos inaceitáveis.
4 - Monitorar, manter e melhorar a eficácia dos controles.
Para garantir que o SGSI esteja efetivamente protegendo os ativos de informações é necessário que as etapas (a) - (d) sejam continuamente repetidas para identificar mudanças nos riscos, nas estratégias e/ou objetivos de negócios da organização.
Benefícios de um SGSI
Os benefícios resultarão principalmente na redução dos riscos de SI
(probabilidade x impacto)
.
Principais benefícios
1 - Um framework estruturado para implementar, operar e manter um SGSI alinhado com as necessidades da organização.
2 - Assistência na administração e gestão de SI, no contexto de gestão de riscos corporativos e governança.
3 - Práticas de SI bem aceitas globalmente, proporcionando a organização adotar e melhoras os controles relevantes.
4 - Aumentar a confiança dos interessados (parceiros de negócios) que exigirem a certificação ISO 27001.
Fatores Críticos de Sucesso do SGSI
1 - Política, objetivos e atividades de segurança da informação alinhados aos objetivos de negócio.
2 - Estrutura para projetar, implementar, monitorar, manter e melhorar a segurança da informação consistente com a cultura organizacional
3 - Comprometimento de todos os níveis de gestão, especialmente a alta administração.
4 - Compreensão dos requisitos de proteção de ativos de informação alcançados através da aplicação da
gestão de risco de segurança da informação (ISO 27005).
5 - Um programa efetivo de conscientização, treinamento e educação em segurança da informação.
6 - Processo de gerenciamento de incidentes de SI.