Os objetivos de proteção da segurança da informação são os pontos-chave elementares para a proteção da informação. A informação representa um valor econômico significativo para cada empresa, e não apenas desde hoje. É a base da sua existência e, portanto, um pré-requisito essencial para o sucesso dos negócios. É portanto óbvio - ou pelo menos desejável - que a informação deve ser protegida. Contudo, existe ainda um grande fosso entre o desejo e a realidade.
Loading...
Quais são os objetivos de proteção da segurança da informação?
Devido a uma segurança inadequada no processamento da informação, são causados anualmente milhares de milhões de dólares em prejuízos. Mas como se pode conseguir uma proteção adequada dos bens organizacionais? E qual é a melhor forma de uma empresa começar a abordar o tema da segurança da informação?
Um sistema bem estruturado de gestão da segurança da informação (ISMS) de acordo com a ISO/IEC 27001 fornece uma base ótima para a implementação eficaz de uma estratégia de segurança abrangente. A norma fornece um modelo para a introdução, implementação, monitorização e melhoria do nível de proteção. Para o conseguir, as empresas e organizações devem primeiro abordar os três objetivos fundamentais de proteção da segurança da informação:
- Confidencialidade
- Integridade
- Disponibilidade
Objetivos de proteção da segurança da informação: Confidencialidade da informação
O objetivo é proteger dados confidenciais contra acesso não autorizado, quer por razões de leis de proteção de dados, quer com base em segredos comerciais abrangidos, por exemplo, pela lei Trade Secrets Act. A confidencialidade da informação e dos dados sensíveis é, portanto, assegurada se apenas as pessoas que têm acesso a ela tiverem autoridade (autorização) para o fazer. O acesso significa, por exemplo, leitura, edição (alteração) ou mesmo eliminação.
As medidas tomadas devem portanto assegurar que apenas pessoas autorizadas tenham acesso à informação confidencial - pessoas não autorizadas em nenhuma circunstância. O mesmo se aplica às informações em papel, que podem ficar desprotegidas numa secretária e convidar à leitura, ou à transmissão de dados que não possam ser acedidos no decurso do seu processamento.
Loading...
Nosso Guia de Auditoria ISO 27001 - Anexo A foi criado por especialistas líderes como uma ajuda prática de implementação e é ideal para entender melhor os requisitos padrão selecionados. A diretriz é baseada na ISO/IEC 27001:2017, com uma revisão da norma ISO prevista para o final de 2022.
Para as pessoas autorizadas, é também necessário especificar o tipo de acesso que devem ter, o que lhes é permitido ou exigido, e o que não estão autorizadas a fazer. Deve assegurar-se que não podem fazer o que não estão autorizadas a fazer. Os métodos e técnicas utilizados neste processo são diversos e, em alguns casos, específicos da empresa.
Se for "apenas" uma questão de visualização ou divulgação não autorizada de informação (também durante a transmissão, clássico: tráfego de correio eletrônico!), podem ser utilizadas medidas criptográficas para proteger a confidencialidade, por exemplo. Se o objetivo for impedir a modificação não autorizada de informação, o objetivo de proteção "integridade" entra em jogo.
ISO/IEC 27001:2022-10 – Segurança da informação, segurança cibernética e proteção da privacidade – Sistemas de gerenciamento de segurança da informação – Requisitos
A norma ISO revisada foi publicada em 25.10.2022. A ISO/IEC 27001:2013 ainda é válida por um período de transição de três anos até outubro de 2025.
Integridade das informações
O termo técnico integridade está ligado a vários requisitos ao mesmo tempo:
- As alterações não intencionais da informação devem ser impossíveis, ou pelo menos detectáveis e rastreáveis. Na prática, aplica-se a seguinte gradação:
- A integridade elevada (forte) previne alterações indesejadas.
- A integridade baixa (fraca) pode não impedir alterações, mas assegura que as alterações (não intencionais) possam ser detectadas e, se necessário, rastreadas (rastreabilidade). - A fiabilidade dos dados e sistemas deve ser garantida.
- A exaustividade da informação deve ser garantida.
As medidas destinadas a aumentar a integridade da informação também visam, portanto, a questão da autorização de acesso em conjunto com a proteção contra ataques externos e internos.
"Embora as palavras " confidencialidade" e "disponibilidade" sejam facilmente compreensíveis, quase auto-explicativas, em termos dos objetivos clássicos de proteção da segurança da informação, o termo técnico "integridade" requer alguma explicação. O que se entende por exatidão (de dados e sistemas), exaustividade ou rastreabilidade (de alterações)."
Objetivos de proteção da segurança da informação: Disponibilidade da informação
A disponibilidade de informações significa que estas informações, incluindo os sistemas informáticos necessários, devem ser acessíveis a qualquer pessoa autorizada em qualquer altura e utilizáveis (funcionais) na medida do necessário. Se um sistema falhar ou se um edifício não for acessível, as informações necessárias não estarão disponíveis. Em certos casos, isto pode levar a perturbações com consequências de grande alcance, por exemplo, na manutenção dos processos.
Por conseguinte, faz sentido realizar uma análise de risco tendo em vista a probabilidade de falha de um sistema, a sua possível duração e quaisquer danos causados por uma falta de segurança informática. Contra-medidas eficazes podem ser derivadas dos resultados e executadas se o pior acontecer.
Quais são os objetivos de proteção "alargada"?
Para além dos objetivos de segurança de confidencialidade, integridade e disponibilidade, existem três objetivos de segurança adicionais. Estes incluem os dois aspectos de "compromisso" e de "responsabilização", que se complementam mutuamente. O primeiro significa garantir que um ator não pode negar a sua ação, o segundo significa que esta ação lhes pode ser atribuída de forma confiável. Ambos se resumem à identificabilidade única dos atores, e a emissão de senhas únicas é um requisito mínimo para tal.
O terceiro objetivo de proteção alargada é a "autenticidade", ou seja, a genuinidade. Uma questão simples neste contexto é: A informação é genuína - provém efetivamente da fonte especificada? Este objetivo de proteção é importante para avaliar a confiabilidade da fonte.
Loading...
A informação de valor é hoje o ouro - e também um bem a ser protegido para a sua empresa. Leia aqui as respostas às perguntas mais importantes sobre a ISO 27001.
Objetivos de proteção da segurança da informação: Conclusão
Os três objetivos de proteção mais importantes da segurança da informação são "confidencialidade", "integridade" e "disponibilidade".
Confidencialidade: Para o poder garantir, é necessário definir claramente quem está autorizado a acessar estes dados sensíveis e de que forma. Isto está ligado a autorizações de acesso apropriadas e ao uso de técnicas criptográficas, por exemplo.
Integridade significa proteção contra alterações não autorizadas e eliminação de informação, mais a confiabilidade e exaustividade da informação. Por conseguinte, é importante que a sua empresa tome precauções para detectar rapidamente alterações aos dados ou para evitar manipulações não autorizadas a partir do zero.
A disponibilidade significa que a informação, sistemas e edifícios devem estar sempre disponíveis para pessoas autorizadas. Uma vez que as falhas do sistema, por exemplo, estão associadas a grandes riscos, deve ser realizada uma análise de risco para este complexo de tópicos. Registar aqui a probabilidade de falha, o tempo de paragem e o potencial de danos dos sistemas mais necessários.
Compromisso, responsabilidade e autenticidade são objetivos de proteção "alargada".
O compromisso é entendido para assegurar que um ator não possa negar as suas ações. A prestação de contas complementa este objetivo de proteção alargada, identificando claramente tal ator. A autenticidade coloca a questão: Uma informação é genuína ou digna de confiança?
DQS - O que pode esperar de nós
A segurança da informação é um tema complexo que vai muito além da segurança informática. Inclui aspectos técnicos, organizacionais e infra-estruturais. A norma internacional ISO/IEC 27001 é adequada para medidas de proteção eficazes sob a forma de um sistema de gestão da segurança da informação (ISMS).
A DQS é o seu especialista para auditorias e certificações de sistemas e processos de gestão. Com 35 anos de experiência e o know-how de 2.500 auditores em todo o mundo, somos o seu parceiro de certificação competente e fornecemos respostas a todas as questões relativas à ISO 27001 e aos sistemas de gestão da segurança da informação.
Loading...
Temos todo o prazer em responder às suas perguntas
Quanto esforço tem de esperar para ter o seu sistema de gestão da segurança da informação certificado de acordo com a norma ISO 27001? Informe-se. Sem compromisso e sem custos.
Confiança e experiência
Os nossos textos e brochuras são escritos exclusivamente pelos nossos especialistas em normas ou auditores com muitos anos de experiência. Se tiver alguma dúvida sobre o conteúdo do texto ou sobre os nossos serviços ao nosso autor, não hesite em enviar-nos um e-mail.
Boletim Informativo DQS
Inscreva-se na nossa newsletter e mantenha-se informado!
Autor
André Säckel
Gestor de produto na DQS para gestão da segurança da informação. Como especialista nas normas para a área de segurança da informação e catálogo de segurança de TI (infra-estruturas críticas), André Säckel é responsável pelas seguintes normas e normas específicas da indústria, entre outras: ISO 27001, ISIS12, ISO 20000-1, KRITIS e TISAX (segurança da informação na indústria automotiva). Ele também é membro do grupo de trabalho ISO/IEC JTC 1/SC 27/WG 1 como delegado nacional do Instituto Alemão de Normalização DIN.
Loading...