Os objectivos de protecção da segurança da informação são os pontos-chave elementares para a protecção da informação. A informação representa um valor económico significativo para cada empresa, e não apenas desde hoje. É a base da sua existência e, portanto, um pré-requisito essencial para o sucesso dos negócios. É portanto óbvio - ou pelo menos desejável - que a informação deve ser protegida. Contudo, existe ainda um grande fosso entre o desejo e a realidade.

Loading...

Quais são os objectivos de protecção da segurança da informação?

Devido a uma segurança inadequada no processamento da informação, são causados anualmente milhares de milhões de dólares em prejuízos. Mas como se pode conseguir uma protecção adequada dos bens organizacionais? E qual é a melhor forma de uma empresa começar a abordar o tema da segurança da informação?

Um sistema bem estruturado de gestão da segurança da informação (ISMS) de acordo com a ISO/IEC 27001 fornece uma base óptima para a implementação eficaz de uma estratégia de segurança holística. A norma fornece um modelo para a introdução, implementação, monitorização e melhoria do nível de protecção. Para o conseguir, as empresas e organizações devem primeiro abordar os três objectivos fundamentais de protecção da segurança da informação:

  • Confidencialidade
  • Integridade
  • Aavailability

Confidencialidade da informação

O objectivo é proteger dados confidenciais contra acesso não autorizado, quer por razões de leis de protecção de dados, quer com base em segredos comerciais abrangidos, por exemplo, pela lei Trade Secrets Act. A confidencialidade da informação e dos dados sensíveis é, portanto, assegurada se apenas as pessoas que têm acesso a ela tiverem autoridade (autorização) para o fazer. O acesso significa, por exemplo, leitura, edição (alteração) ou mesmo eliminação.

As medidas tomadas devem portanto assegurar que apenas pessoas autorizadas tenham acesso à informação confidencial - pessoas não autorizadas em nenhuma circunstância. O mesmo se aplica às informações em papel, que podem ficar desprotegidas numa secretária e convidar à leitura, ou à transmissão de dados que não possam ser acedidos no decurso do seu processamento.

Loading...

O Guia de Auditoria ISO 27001 - Anexo A

O Guia de Auditoria  ISO 27001 - Anexo A foi criado por peritos como uma ajuda de implementação prática e é ideal para melhor compreender os requisitos das normas seleccionadas. O guia é baseado na ISO/IEC 27001:2017, com a revisão da norma ISO esperada para o final de 2022.

Para as pessoas autorizadas, é também necessário especificar o tipo de acesso que devem ter, o que lhes é permitido ou exigido, e o que não estão autorizadas a fazer. Deve assegurar-se que não podem fazer o que não estão autorizadas a fazer. Os métodos e técnicas utilizados neste processo são diversos e, em alguns casos, específicos da empresa.

Se for "apenas" uma questão de visualização ou divulgação não autorizada de informação (também durante a transmissão, clássico: tráfego de correio electrónico!), podem ser utilizadas medidas criptográficas para proteger a confidencialidade, por exemplo. Se o objectivo for impedir a modificação não autorizada de informação, o objectivo de protecção "integridade" entra em jogo.

ISO/IEC 27001:2022 - Segurança de informação, cibersegurança e protecção da privacidade – sistemas de gestão de segurança de informação – Requisitos

A norma ISO revista foi publicada a 25.10.2022. A ISO/IEC 27001:2013 continua válida para um período de transição de três anos  até Outubro de 2025.

A norma está disponível no website ISO

Integridade da informação

O termo técnico integridade está ligado a vários requisitos ao mesmo tempo:

  • As alterações não intencionais da informação devem ser impossíveis, ou pelo menos detectáveis e rastreáveis. Na prática, aplica-se a seguinte gradação:
    - A integridade elevada (forte) previne alterações indesejadas.
    - A integridade baixa (fraca) pode não impedir alterações, mas assegura que as alterações (não intencionais) possam ser detectadas e, se necessário, rastreadas (rastreabilidade).
  • A fiabilidade dos dados e sistemas deve ser garantida.
  • A exaustividade da informação deve ser garantida.

As medidas destinadas a aumentar a integridade da informação também visam, portanto, a questão da autorização de acesso em conjunto com a protecção contra ataques externos e internos.

"Embora as palavras " confidencialidade" e "disponibilidade" sejam facilmente compreensíveis, quase auto-explicativas, em termos dos objectivos clássicos de protecção da segurança da informação, o termo técnico"integridade" requer alguma explicação. O que se entende por exactidão (de dados e sistemas), exaustividade ou rastreabilidade (de alterações)."

Disponibilidade da informação

A disponibilidade de informações significa que estas informações, incluindo os sistemas informáticos necessários, devem ser acessíveis a qualquer pessoa autorizada em qualquer altura e utilizáveis (funcionais) na medida do necessário. Se um sistema falhar ou se um edifício não for acessível, as informações necessárias não estarão disponíveis. Em certos casos, isto pode levar a perturbações com consequências de grande alcance, por exemplo, na manutenção dos processos.

Por conseguinte, faz sentido realizar uma análise de risco tendo em vista a probabilidade de falha de um sistema, a sua possível duração e quaisquer danos causados por uma falta de segurança informática. Contra-medidas eficazes podem ser derivadas dos resultados e executadas se o pior acontecer.

Quais são os objectivos de protecção "alargada"?

Para além dos objectivos de segurança de confidencialidade, integridade e disponibilidade, existem três objectivos de segurança adicionais. Estes incluem os dois aspectos de "compromisso" e de "responsabilização", que se complementam mutuamente. O primeiro significa garantir que um actor não pode negar a sua acção, o segundo significa que esta acção lhes pode ser atribuída de forma fiável. Ambos se resumem à identificabilidade única dos actores, e a emissão de passwords únicas é um requisito mínimo para tal.

O terceiro objectivo de protecção alargada é a "autenticidade", ou seja, a genuinidade. Uma questão simples neste contexto é: A informação é genuína - provém efectivamente da fonte especificada? Este objectivo de protecção é importante para avaliar a fiabilidade da fonte.

Man and a woman with a laptop in a server room
Loading...

A informação de valor é hoje o ouro - e também um bem a ser protegido para a sua empresa. Leia aqui as respostas às perguntas mais importantes sobre a ISO 27001.

Objectivos de protecção da segurança da informação: Conclusão

Os três objectivos de protecção mais importantes da segurança da informação são "confidencialidade", "integridade" e "disponibilidade".

Confidencialidade: Para o poder garantir, é necessário definir claramente quem está autorizado a aceder a estes dados sensíveis e de que forma. Isto está ligado a autorizações de acesso apropriadas e ao uso de técnicas criptográficas, por exemplo.

Integridade significa protecção contra alterações não autorizadas e eliminação de informação, mais a fiabilidade e exaustividade da informação. Por conseguinte, é importante que a sua empresa tome precauções para detectar rapidamente alterações aos dados ou para evitar manipulações não autorizadas a partir do zero.

A disponibilidade significa que a informação, sistemas e edifícios devem estar sempre disponíveis para pessoas autorizadas. Uma vez que as falhas do sistema, por exemplo, estão associadas a grandes riscos, deve ser realizada uma análise de risco para este complexo de tópicos. Registar aqui a probabilidade de falha, o tempo de paragem e o potencial de danos dos sistemas mais necessários.

Compromisso, responsabilidade e autenticidade são objectivos de protecção "alargada".

Ocompromisso é entendido para assegurar que um actor não possa negar as suas acções. A prestação de contas complementa este objectivo de protecção alargada, identificando claramente tal actor. A autenticidade coloca a questão: Uma informação é genuína ou digna de confiança?

DQS - O que pode esperar de nós

A segurança da informação é um tema complexo que vai muito além da segurança informática. Inclui aspectos técnicos, organizacionais e infra-estruturais. A norma internacional ISO/IEC 27001 é adequada para medidas de protecção eficazes sob a forma de um sistema de gestão da segurança da informação (ISMS).

DQS é o seu especialista para auditorias e certificações de sistemas e processos de gestão. Com 35 anos de experiência e o know-how de 2.500 auditores em todo o mundo, somos o seu parceiro de certificação competente e fornecemos respostas a todas as questões relativas à ISO 27001 e aos sistemas de gestão da segurança da informação.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch
Loading...

Temos todo o prazer em responder às suas perguntas

Quanto esforço tem de esperar para ter o seu sistema de gestão da segurança da informação certificado de acordo com a norma ISO 27001? Informe-se. Sem compromisso e sem custos.

Confiança e perícia

Os nossos textos e brochuras são escritos exclusivamente pelos nossos peritos em normas ou auditores com muitos anos de experiência. Se tiver alguma dúvida sobre o conteúdo do texto ou sobre os nossos serviços ao nosso autor, não hesite em enviar-nos um e-mail.

Autor
André Saeckel

Gestor de produto na DQS para gestão da segurança da informação. Como especialista em normas para a área de segurança da informação e catálogo de segurança de IT (infra-estruturas críticas), André Säckel é responsável pelas seguintes normas e normas específicos da indústria, entre outros: ISO 27001, ISIS12, ISO 20000-1, KRITIS e TISAX (segurança da informação na indústria automóvel). Ele também é membro do grupo de trabalho ISO/IEC JTC 1/SC 27/WG 1 como delegado nacional do Instituto Alemão de Normalização DIN.

Loading...