Conheça a NBR ISO/IEC 27002 – Parte 1

Dando continuidade ao assunto Segurança da Informação, hoje será abordada a norma NBR ISO/IEC 27002 – Código de Prática para a Gestão de Segurança da Informação, que tem como objetivo “estabelecer diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização”. Mas, o que é Segurança da Informação (SI)? Significa proteger as informações consideradas importantes para a continuidade e manutenção dos objetivos de negócio da organização.

É preciso esclarecer que anteriormente esta norma era conhecida como NBR ISO/IEC 17799, mas a partir de 2007 a nova edição da ISO/IEC 17799 foi incorporada ao novo esquema de numeração como ISO/IEC 27002.

NBR ISO/IEC 27002 - Código de Prática para a Gestão de Segurança da Informação

A parte principal da norma se encontra distribuída em 11 seções, que correspondem a controles de segurança da informação, conforme apresentado a seguir.

A numeração dessas seções se inicia no número 5 (há outros aspectos descritos nas seções anteriores, mas nos concentraremos apenas na parte mais relacionada aos controles propriamente ditos).

Seção 5 – Política de Segurança da Informação

Deve ser criado um documento sobre a política de segurança da informação da organização, que deveria conter, entre outros, os conceitos de segurança da informação, o comprometimento da direção com a política, uma estrutura para estabelecer os objetivos de controle e os controles, a estrutura de análise e avaliação e gerenciamento de riscos, as políticas, princípios, normas e requisitos de conformidade de segurança da informação específicos para a organização. Essa política também deve ser comunicada a todos, bem como analisada e revisada criticamente, em intervalos regulares ou quando mudanças se fizerem necessárias.

Seção 6 – Organizando a Segurança da Informação

Para implementar a SI em uma organização, é necessária que seja estabelecida uma estrutura para gerenciá-la. Para isso, as atividades de segurança da informação devem ser coordenadas por representantes de diversas partes da organização, com funções e papéis relevantes. Todas as responsabilidades pela segurança da informação também devem estar claramente definidas. É importante ainda que sejam estabelecidos acordos de confidencialidade para proteger as informações de caráter sigiloso, bem como as informações que são acessadas, comunicadas, processadas ou gerenciadas por partes externas, tais como terceiros e clientes.

Seção 7 – Gestão de Ativos

Ativo, de acordo com a norma, “é qualquer coisa que tenha valor para a organização”. Gestão de Ativos, portanto, significa proteger e manter os ativos da organização. Para que eles sejam devidamente protegidos, devem ser primeiramente identificados e levantados, com proprietários também identificados e designados, de tal forma que um inventário de ativos possa ser estruturado e posteriormente mantido. As informações e os ativos ainda devem ser classificados, conforme o nível de proteção recomendado para cada um deles, e seguir regras documentadas, que definem qual o tipo de uso é permitido fazer com esses ativos.

Seção 8 – Segurança em Recursos Humanos

Antes de realizar a contratação de um funcionário ou mesmo de fornecedores e terceiros, é importante que cada um deles entenda suas responsabilidades e esteja de acordo com o papel que desempenhará. Portanto, as descrições de cargo e os termos e condições de contratação devem ser explícitos, especialmente no que tange às responsabilidades de segurança da informação. É importante também que quaisquer candidatos sejam devidamente analisados, principalmente se forem lidar com informações de caráter sigiloso. A intenção aqui é mitigar o risco de roubo, fraude ou mau uso dos recursos.

Durante todo o tempo em que funcionários, fornecedores e terceiros estiverem trabalhando na empresa, eles devem estar conscientes sobre as ameaças relativas à segurança da informação, bem como de suas responsabilidades e obrigações, de tal maneira que estejam preparados para apoiar a política de segurança da informação da organização. Eles também devem ser educados e treinados nos procedimentos de segurança da informação e no uso correto dos recursos de processamento da informação. É fundamental ainda que um processo disciplinar formal seja estabelecido para tratar das violações de segurança da informação.

No momento em que ocorrer o encerramento ou uma mudança na contratação, a saída de funcionários, fornecedores e terceiros deve ser feita de modo ordenado e controlado, para que a devolução de todos os equipamentos e a retirada de todos os direitos de acesso sejam concluídas.

Seção 9 – Segurança Física e do Ambiente

As instalações de processamento de informação críticas ou sensíveis devem ser mantidas em áreas seguras, com níveis e controles de acesso apropriados, incluindo proteção física. Essa proteção deve ser compatível com os riscos previamente identificados.

Os equipamentos também devem ser protegidos contra ameaças físicas e ambientais, incluindo aqueles utilizados fora do local.

Conheça a NBR ISO/IEC 27002 – Parte 2

Referência Bibliográfica

ABNT – Associação Brasileira de Normas Técnicas. ABNT NBR ISO/IEC 27002 – Tecnologia da informação – Técnicas de segurança – Código de prática para a gestão de segurança da informação. ABNT, 2005.

Aléxia Lage de Faria

Mais artigos deste autor »

Agile Coach, com experiência nas áreas de Segurança da Informação, Qualidade (ISO 9001) e Qualidade de Software.


63 Comentários

Silas Lopes
1

Aléxia, parabéns pelo post!!
O que mais me chamou a atenção nesta Norma, foi a Segurança em Recursos Humanos. Venho estudando-a a algum tempo e geralmente, a maioria dos profissionais de TI se perguntam: Mas o que o RH tem com SI??
Tem tudo!!!!
A Segurança da Informação está muito além de Segurança de sistemas, mas nem sempre isso é percebido.

Aléxia Lage
2

Oi Silas! Obrigada por deixar seu comentário. Você pegou o ponto que considero mesmo o mais importante: recursos humanos. Pense bem: por mais dispositivos que tenhamos para controles de segurança (biometria, usuário/senha, crachás, antivirus, etc), todos eles podem não proteger se, de alguma forma, o ser humano não adotar certos comportamentos condizentes com a segurança da informação. Exemplo: eu posso ter um antivirus instalado em minha máquina, mas, se eu entrar em um site ou e-mail de origem duvidosa (e que já sei que não deveria clicar ou entrar ali por causa do risco), tenho grande chance de contaminar meu computador com um trojan, e que, sem que eu perceba, se instala em meu computador e permite o roubo de informações nele existentes.
É por isso que se diz que em Segurança da Informação o elo mais fraco é o ser humano e que não existe segurança 100%. Nós, seres humanos, podemos quebrar essa corrente a qualquer momento.
Grande abraço
Aléxia Lage

Roberto Monteiro
3

Aléxia boa tarde, muito bom esse artigo que você publicou, eu estou cursando Gestão de tecnologia da informação e esse semestre estamos vendo tudo relacionado a Segurança da Informação, gostaria de umas dicas suas de sites e cursos para que eu possa me aprofundar nessa área, e por onde eu começo caso eu queira entrar nessa área, muito abrigado e tenha uma boa tarde.

Aléxia Lage
4

Olá Roberto! Obrigada por deixar seu comentário. Eu enviei um e-mail para você lhe respondendo todas as questões que me perguntou. Talvez porque a resposta tenha ficado um pouco grande, eu não consegui publicá-la aqui. Caso não tenha recebido, por favor entre em contato novamente. Grande abraço, Aléxia Lage.

Igor Bacelar
5

Olá Aléxia! Parabens, todos os seus artigos são muito bem escrito e claros. existem coisas que não se discutem, a “verdade absoluta” no que se refere a SI é, com toda a certeza, a frqueza do ser humano, seja por ser ingenuo demais, seja por ser maldoso demais, sempre caímos em erros que prejudicam demais o trabalho realizado acerca da SI.
Assim, como nosso colega Roberto, gostaria de pedir umas dicas de sites e cursos para me aprofundar mais sobre os assuntos que se referem a Segurança da Informação em ambientes corporativos.
grande abraço, parabens e sucesso.
André Igor

Aléxia Lage de Faria
6

Olá André Igor! Obrigada por deixar seu comentário. Eu enviei um e-mail para você lhe respondendo todas as questões que me perguntou, da mesma forma que fiz para o Roberto. Talvez porque a resposta tenha ficado um pouco grande, eu não consegui publicá-la aqui. Caso não tenha recebido, por favor entre em contato novamente. Grande abraço, Aléxia Lage.

Sheila Feffim
7

Oi Aléxia, primeiramente parabéns pelo artigo, que muito esclareceu sobre a norma.
Sempre gostei desta área e, TI e finalmente consegui entrar nela, na parte de auditoria.
No caso da certificação, você acha que é possível obtê-la estudando sozinha ou realmente só realizando o curso? Pretendo em seguida realizar COBIT, ITIL e outros.
Gostaria de (não abusando..rs), também te solicitar umas dicas de onde consigo mais informações acerca do assunto e sobre a realidade do mercado.
Agradeço desde já
Abraços
Sheila Feffim

Aléxia Lage
8

Olá Sheila, obrigada por deixar seu comentário! Eu não me certifiquei nessa área (certifiquei-me na área de Qualidade de Software), mas eu não tenho dúvida de que a certificação é mais fácil de conseguir com o apoio de um bom curso. Ele nos ajuda a focar no que precisamos, e costuma trazer dicas consideráveis. O problema todo que vejo é custo. Porém, eu acredito fortemente de que se estudar sozinha também terá grandes chances de conseguir: tudo dependerá exclusivamente da sua persistência, disponibilidade e determinação. Quanto as dicas que me solicita, tenho várias e como a resposta talvez tenha ficado um pouco grande, eu não consigo publicá-la aqui. Caso não tenha recebido, por favor entre em contato novamente. Grande abraço, Aléxia Lage.

Rubens Lima
9

Olá Aléxia,
Estou me formando em análise, e já tbm começando a pos em segurança da informação. Decidi por ser uma área que não irá se limitar somente a escovação de bits, mas também verificar pontos hoje esquecido ou com pouca importância. Tem alguma experiencia com políticas de segurança nas empresas que passei, mas nda tão aprofundado. Pots como o seu podem ajudar quem qr se firmar e ter experiência na área, gostei bastante, e claro se puder compartilhar alguma informação que ache revelante, ficarei agradecido.
Um abraço
Rubens

Aléxia Lage
10

Oi Rubens! Obrigada por deixar seu comentário! Comentários como o seu deixam-me feliz por saber que há pessoas como você que perceberam, claramente, a importância da Segurança da Informação. Infelizmente, ela é ainda muito negligenciada nas empresas, independentemente do porte, seja por desconhecimento, custo ou por ser mesmo considerado assunto de pouca relevância. Vá em frente, especialize-se mesmo e mantenha-se sempre bem informado e atualizado. E se há uma dica que eu possa lhe dar é esta: antivírus, firewall, sistemas para controle de acesso, etc, tudo isso é mesmo importante, mas, mais do que isso, são as pessoas. O maior foco da Segurança da Informação deveria ser na sua conscientização. Na minha opinião, o profissional que focar na educação e sensibilização das pessoas para a Segurança da Informação terá um grande diferencial, porque é nessa área onde mais acontecem os problemas. Grande abraço, Aléxia Lage

Alfredo Capitamolo
11

Olá Alexia,
Parabéns pelo seu artigo, está tudo muito claro, e um muito obrigado pois os seus artigos têm ajudado bastante.
cmpt’s
Alfredo Capitamolo

Aléxia Lage de Faria
12

Olá Alfredo! Como é gratificante receber um comentário como o seu, que nos dá um feedback de que o escrevemos é mesmo útil e ajuda as pessoas. Obrigada por deixar seu comentário! Grande abraço, Aléxia Lage.

Laylson Dennis
13

Ola Aléxia, parabens pelo seu trabalho, é muito gratificante ler textos tao bem elaborados, ainda mais de uma area que a cada dia que passa vai ganhando realmente o valor que merece, mas enfim, parabens. Gostei muito do post e queria lhe perguntar se voce tem realmente a norma completa, se sim ficaria grato se pudesse me enviar, pois realmente gostei desse assunto, desde já agradeço. Abraços
Att,
Laylson Dennis

Aléxia Lage
14

Olá Laylson! Obrigada pelo seu feedback! Quando eu elaborei o artigo acima, eu tinha acesso à norma no local onde trabalhava. Depois que saí de lá, fui trabalhar em outra área e acabei não comprando a norma. Entretanto, caso tenha interesse em adquiri-la, no formato eletrônico ou impressa, poderá fazê-lo em http://www.abntcatalogo.com.br/. Grande abraço, Aléxia Lage.

Jason Bonatelli
15

Bom.
Tenho experiência em Segurança da Informação há uns 10 anos também. Creio que tudo isso se resolva mas o mais importante são as empresas não deixar que o usuário final seja admin da máquina. Sem isso o virus nunca irá se propagar pois o mesmo necessita de um usuário com poder maiores para poder ser executado.
Além disso tudo todos os servidores devem contar a ultima versão do service pack e um antivirus muito bom rodando e claro combinado tudo isso com um hardening de sistema operacional, sala com biometria ou crachá de acesso. Senhas de Admim com complexidade com 14 caracteres entre números letras maiúsculas e caracteres especiais para não armazenarem hash e um monte de coisas.
uma politica de acesso a internet assinada pelo usuário e um log reportado ao coordenador ou gerente para tomar as devidas providências. Na verdade poucas empresas se preocupam tanto assim com segurança, ainda mais com o pensamento que a T.I é sempre o depto que mais gasta dentro da Empresa.
O dia que isso mudar, o Brasil será muito melhor em relação ao assunto SEGURANÇA DA INFORMAÇÃO !

Rodrigo Adilio Franco
17

Olá Alexia por favor vc poderia me informar quais as vantagens de implantar a ISO 27002. Se a empresa ganha insentivos com essa implantação.

Aléxia Lage de Faria
18

Olá Jason! Você tem toda a razão. O maior problema de Segurança da Informação ainda é o ser humano. Na minha opinião, ainda estamos longe, pelo menos no Brasil, de estamos mais atentos, por exemplo, com problemas relacionados a vírus. Mas acredito que, como tudo na vida que requer mudança de comportamento e conscientização, leva tempo para mudar. É só mesmo uma questão de tempo. Obrigada por deixar seu comentário. Grande abraço, Aléxia Lage.

Avatar photoAléxia Lage de Faria
19

Olá Rubens! Obrigada pelo seu feedback! Como eu disse acima em outro comentário, quando eu elaborei o artigo acima, eu tinha acesso à norma no local onde trabalhava. Depois que saí de lá, fui trabalhar em outra área e acabei não comprando a norma. Entretanto, caso tenha interesse em adquiri-la, no formato eletrônico ou impressa, poderá fazê-lo em http://www.abntcatalogo.com.br/. Grande abraço, Aléxia Lage.

Avatar photoAléxia Lage de Faria
20

Olá Rodrigo! Obrigada por deixar seu comentário!
A norma 27002 não é objeto de certificação. Entretanto, eu entendo que o principal benefício é a empresa estar segura de que seus dados e informações estão realmente protegidos e que, caso aconteça algum evento que configure em ameaça, ela também já estará preparada para enfrentá-lo. Ou seja, a empresa está sempre preparada para agir tanto proativamente, quanto reativamente.
Essa norma é ainda mais benéfica se a empresa lida com informações sigilosas e críticas, por exemplo, um banco, uma loja, etc. que armazena informações cadastrais de clientes. Dessa forma, a utilização de controles propostos nessa norma se torna ainda mais imperiosa.
Enfim, a empresa pode evitar problemas, sobretudo jurídicos, ao utilizar os controles propostos nessa norma, já que evitará até potenciais processos por parte dos clientes. Já pensou no dano à imagem da empresa caso essa situação se torne pública?
Finalizando, eu particularmente não conheço nenhum tipo de incentivo legal ou financeiro por parte dos governos, mas a idéia de implantá-la seria ótima e altamente benéfica!
Grande abraço, Aléxia Lage.

Avatar photoAléxia Lage de Faria
21

Olá Luciano! Obrigada pelo seu feedback! Quando eu elaborei o artigo acima, eu tinha acesso à norma no local onde trabalhava. Depois que saí de lá, fui trabalhar em outra área e acabei não comprando a norma. Entretanto, caso tenha interesse em adquiri-la, no formato eletrônico ou impressa, poderá fazê-lo em http://www.abntcatalogo.com.br/. Grande abraço, Aléxia Lage.

Jhonathan Henrique
22

Muito bom o post, eu ja estudei esta norma de “cabo a rabo”, ela é de fundamental apoio para uma elaboração de uma Politica de Segurança da informação onde possa ser garantido toda a segurança dos ativos das organizações.
Bom eu fiz o meu TCC em Alditoria em Politicas da Segurança da Informação e esta normal foi de total apoio no meu trbalho, pois nos da uma direção de por onde começar.
O que me deixa triste hoje e que as organizações não poem em pratica as suas politicas de Segurança da Informação, que é de fundamental importancia para a continuidade do negocio.

Aléxia Lage
23

Oi Jhonathan! Obrigada pelo retorno! Se há uma coisa que acredito é que aqui no Brasil ainda estamos engatinhando no que se refere à Segurança da Informação… Bom, pelo menos é essa minha percepção. Toda melhoria que precisa ser feita em uma organização e que requer mudança de cultura organizacional leva tempo… E paciência e persistência para acontecer e se consolidar. Nós sabemos o quão importante a SI é para o negócio em si, mas a grande maioria ainda não acordou para essa realidade e cabe a nós conscientizá-los e levar isso adiante. Pode acreditar que o ditado “água mole em pedra dura” funciona, mas leva tempo! Portanto, não desanime não, pois temos uma longa jornada pela frente! Grande abraço e obrigada por deixar seu comentário! Aléxia Lage

Andre
24

Aléxia, excelente o seu artigo. Estou fazendo um trabalho sobre o assunto e já me ajudou bastante.
Gostaria de umas dicas de sites onde posso achar mais material a respeito do assunto.
Muito Obrigado.

Aléxia Lage
25

Oi Andre! Seguem alguns links que podem lhe ajudar:
Marcos Semola: http://www.semola.com.br/
Artigos excelentes sobre segurança (às vezes vem com dados de pesquisas realizadas no mundo todo): http://idgnow.uol.com.br/seguranca/ e http://computerworld.uol.com.br/seguranca/
124 blogs sobre segurança da informação: http://sseguranca.blogspot.com/2008/12/blogs-brasileiros-sobre-seguranca-links.html
Espero que esses links possam lhe ajudar! Grande abraço e obrigada por deixar seu comentário. Aléxia Lage

zinho
26

Recentimente visitei um site que diz não existir certificação ISO 27002, mas sim ISO 27001 qual da diferença.

Aléxia Lage
27

Olá Zinho!
A norma 27001 estabelece REQUISITOS para que uma empresa adote um modelo de sistema de gestão de segurança da informação. Já a norma 27002 estabelece RECOMENDAÇÕES de controles para gestão de segurança da informação. Traduzindo para termos mais comuns, podemos dizer que a 27001 estabelece EXIGÊNCIAS e a 27002 fornece SUGESTÕES. Se você comparar como essas normas foram escritas, perceberá até que os verbos que foram usados são diferentes: na 27001 aparece muito o “DEVE” (indica exigência) e na 27002 aparece bastante o “CONVÉM” (indica sugestão).
Quando uma organização reivindica conformidade com uma norma (traduzindo, quer se certificar em uma determinada norma), ela precisa cumprir uma série de requisitos (exigências). É por isso que é possível a empresa se certificar na 27001, já que ela é constituída por um conjunto de requisitos que a organização DEVE cumprir para estar CONFORME à norma.
A 27002 é, por sua vez, um conjunto de boas práticas e diretrizes que a empresa PODE SELECIONAR para aplicar à sua realidade, não existindo portanto relação de obrigatoriedade de implementação. E é por isso que eu entendo que essa norma não é certificável, já que se trata apenas de RECOMENDAÇÕES.
Caso ainda tenha dúvida, não deixe de entrar em contato. Grande abraço, Aléxia Lage

Lidiane Santana
28

Alexia gostei da matéria publicada, estou cursando gestão da tecnologia da informação, e em redes estou aprendendo sobre a iso 27002.
Existem cursos online sobre a ISO?

Aléxia Lage
29

Oi Lidiane! Existe sim, pelo menos eu conheço um site http://www.tiexames.com.br/ cujos cursos eu recomendo e confio bastante no seu conteúdo. Já fiz diversos treinamentos ali, com um custo/benefício excelente. Lá, inclusive, você vai achar cursos sobre ISO 27001 e ISO 27002, bem como outros assuntos tão “quentes” quanto estes (ITIL, ISO 20000, CMMI, BPM, etc). Caso você se interesse fazer um deles, antes de adquiri-lo, solicite uma demonstração (tem um link dentro de cada detalhamento de curso). Assim você terá uma ideia do que pode esperar. Obrigada por deixar seu comentário! Grande abraço, Aléxia Lage

CArlos Eduardo
30

Aléxia boa tarde,
Estou estudando o material da TI Exames, mas está dificil de achar um lugar para fazer a prova em portugues.
As questões são muito diferentes dos simulados que a ti exames nos oferece?
Desde já agradeço pela ajuda
Estou sem emprego e será muito util essa certificação para recolocação no mercado de trabalho, ja tenho Itil V3 e Cobit e estou cursando pós graduação

Aléxia Lage de Faria
31

Oi Carlos Eduardo, bom dia!
Antes de mais nada, parabéns pela sua atitude. Fico muito feliz em saber que você enxerga o momento do desemprego como OPORTUNIDADE de investir ainda mais em capacitação.
Quanto à pergunta que me fez, não sei responder-lhe porque não cheguei a fazer os exames, por isso não tenho como comparar. Porém, a minha percepção é que o pessoal da TI Exames é muito, mas muito antenado e extremamente preparado sobre essas certificações. Eu particularmente acredito que os simulados realmente espelhem as questões que poderemos encontrar nos exames.
De qualquer forma, pode ter certeza que você está indo por um ótimo caminho e desejo o maior sucesso na sua jornada. Dedique-se e dê foco aos estudos nos quais pretende se certificar. Faça o maior número de simulados que puder e confie sobretudo em você. A autoconfiança é, com certeza, o maior segredo para obter a sua certificação e também um novo emprego. Tenho mais certeza ainda de que você conseguirá porque a fórmula DEDICAÇÃO + ESFORÇO = SUCESSO nunca falha!
“O segredo do sucesso na vida é um homem estar pronto para a sua oportunidade quando ela vier.” – Benjamin Disraeli
Grande abraço, Aléxia Lage

Mike
32

Olá Aléxia !
Gostaria de dizer que este post está ótimo, e que foi mencionado até em outros blogs com a referência e tive que vir até o PTI pessoalmente “virtualmente! rs” para conferir !
Parabéns !

Aléxia Lage
33

Oi Mike! Quando escrevo algo, sempre fico imaginando se o que estou dizendo é claro e pode ajudar alguém a entender um pouco mais sobre o assunto. Fico realmente feliz e muito gratificada em saber que este post pode ser, de alguma forma, útil para as pessoas. Obrigada pelo elogio e pelo feedback tão espontâneo! Grande abraço, Aléxia Lage.

Carlos Eduardo
34

Aléxia boa tarde,
Muito obrigado pelas palavras!!!
Agendei a minha prova para o dia 10/06, torça por mim!
Obrigado

Aléxia Lage
35

Oi Carlos Eduardo, boa noite! Adorei demais a notícia, isso mesmo, vá em frente! É claro que já estou torcendo desde já e acredito sinceramente que conseguirá.
Se puder e quiser, volte aqui e compartilhe sua experiência depois. Ou, se preferir, me envie um e-mail me contando como foi: [email protected]. Adoro acompanhar histórias de dedicação e consequente sucesso!
Grande abraço e boa sorte!
Aléxia Lage

Carlos Eduardo
36

Aléxia bom dia..
Fiz a prova ontem… e passei 88%
Te mandei um email com alguns agradecimentos.
Obrigado

Aléxia Lage de Faria
37

Oi Carlos, boa noite! Obrigada por ter me avisado! Como fiquei alegre ao ver sua mensagem falando que passou!!! É como lhe disse, a fórmula DEDICAÇÃO + ESFORÇO = SUCESSO nunca falha! E, posso dizer que, mesmo virtualmente, estou muito orgulhosa de você! 🙂 Parabéns, você mereceu obter sua certificação!!! E eu realmente não tive dúvidas de que a conseguiria.
Quanto ao seu e-mail, eu o recebi e já o li. Porém, quero respondê-lo com bastante calma e tempo. Farei isso no final de semana, ok?
No mais, isso merece uma comemoração! Aproveite bem o seu final de semana por conta desta conquista!
Grande abraço e parabéns,
Aléxia Lage

Fernanda
39

E mais, pessoal!!! Eu trabalhei em uma instituição financeira por 11 anos e posso falar que SI não é só dever de TI ou RH, e sim da postura dos funcionários de forma geral. O simples fato de deixar uma impressão esquecida na impressora… documentos sobre a mesa onde qualquer pessoa possa ler e obter informações de outros clientes… falar sobre problemas do trabalho em lugares públicos… normas internas… comentar algo que aconteceu durante o dia na porta ou em restaurantes… tudo isso é considerado violação das políticas de SI . Não só de instituicões financeiras, por causa do sigilo bancário, mas acredito que em todas as empresas, pois tudo isso diz respeito somente a organização, e tem pessoas por aí loucas por um descuido de um funcionário para obter informações previlegiadas de mercado…

Aléxia Lage de Faria
40

Ei Fernanda! Adorei o seu comentário porque ele trata de duas coisas que considero as bases de uma verdadeira política de segurança eficaz: que SI é dever de todos e que as pessoas precisam estar conscientes de como devem se comportar. Para isso, precisam ser capacitadas, claro. Onde você trabalhou isso deve ter sido bem conscientizado, mas destaco que ainda assim você merece meus parabéns por ter uma visão tão madura e, sobretudo, por entender que o que você faz realmente interfere na segurança da informação da empresa. De que não é uma bobagem ou “frescura”, perda de tempo. Esta é uma postura muito, mas muito profissional!!! Continue a ter esta visão, que com certeza você vai longe… Obrigada por deixar seu comentário! Grande abraço, Aléxia Lage

Ricardo Zuca
41

Bom dia Aléxia, tudo bem?
Gostaria muito de comentar este tópico sobre Segurança da Informação e Recursos Humanos, pois para termos uma política de segurança eficaz dentro da organização se faz necessário a total interação do RH para difundir isto, pois muita gente vê Segurança da Informação como somente Firewall’s, Proxy’s, Antívirus e ou configurações dos equipamentos e acabam-se esquecendo do principal fator “O HUMANO” onde se concentram as maiores vulnerabilidades que uma organização possa ter, ou seja, de que adianta termos um firewall de última geração e um profissional descontente ou desonesto responsável pelo mesmo, que que adianta termos nossas informações sigilosas guardadas conforme manda o figurino e um profissional corrompível responsavel por ela, de que adianta termos um Anti Spam ótimo e um profissional sem o devido treinamento para manusear o mesmo. Enfim, o que quero dizer é que se faz necessário prestar muita atenção no comportamento das pessoas (Recursos Humanos) e molda-las de acordo com a organização e termos uma Política de Segurança da Informação objetiva e concreta. Uma Política de Segurança da Informação não é feita somente pelo setor de Segurança da Informação, e sim, é criado um comitê no qual fazem parte o Setor de RECURSOS HUMANOS, JURÍDICO, T.I, QUALIDADE, enfim, é de extrema importancia a participação de todos para termos uma Pólitica de Segurança da Informação implementada com eficácia.
OBS: Política de Segurança da Informação não é feita para PUNIR e sim para CORRIGIR vulnerabilidades se previnir de ameaças em pontencial e causando futuros impactos ao negócio.
Certificações: NBR ISO/IEC 27002 – COBIT 4.1 – ITIL V.3 – MCP – MCITP

Aléxia Lage de Faria
42

Boa noite, Ricardo, tudo ótimo e com você? Adorei seu comentário! Suas observações são perfeitas e muito maduras, fruto provavelmente do seu aprendizado e vivência. Quisera eu que muitos enxergassem a extensão de tudo o que disse e a maioria dos problemas de Segurança da Informação simplesmente desapareceriam. Parabéns pela sua iniciativa de compartilhar conosco sua experiência e visão! Obrigada por deixar seu comentário! Grande abraço, Aléxia Lage.

Carlos Soares Dias
43

Aléxia, parabéns pela simplicidade com que tratou o assunto. Foi tranquilo entender desse jeito.

Aléxia Lage de Faria
44

Olá Carlos! Tentar ser simples e clara quando se escreve é um enorme desafio, ainda mais sobre um assunto como este. Agradeço demais ter deixado seu feedback. Foi bom saber que está dando para entender bem! Grande abraço, Aléxia Lage.

Júlio Cesar N. Albuquerque
45

Bom dia Aléxia,
Sou Administrador de banco de dados. Nossa área tem que se preocupar, e muito, com o acesso a informação. Temos um problema aqui em nosso orgão com desenvolvedores querendo ter acesso aos dados reais que ficam na base de produção. portanto é comum solicitarem carga dos dados de produção no ambiente de homologação para realizar simulações.
Você conhecem alguma orientação ou documento tecnico (RFC) que não deixe colocar dados de produção em ambiente de homologação/desenvolvimento.
Exemplo: Numa eventual auditoria por um tribunal .. pode-se questionar.. porque desenvolvedor tem acesso a dados reais. Entendo que ambiente de homologação tem que ser igual apenas em estrutura de dados, regras de negocio e objetos.
Aguardo a Ajuda, abraço,
Júlio.

Aléxia Lage de Faria
46

Boa noite, Júlio! Eu não tenho um exemplo de documento específico sobre o assunto que pudesse lhe ajudar, mas sua preocupação procede. Em uma empresa que trabalhei, tínhamos uma política de segurança geral, e outras específicas, uma inclusive voltada para a administração de banco de dados, especialmente em ambientes de desenvolvimento, de homologação e de produção. Mas eu creio que as nossas políticas funcionavam porque alguém da direção apoiava fortemente essas políticas. Políticas sem um comprometimento claro da alta direção para apoiá-las não funciona. Portanto, minha sugestão é: preocupe-se mais em sensibilizar, conscientizar e obter primeito um apoio forte da direção se for fazer uso de um documento ou de uma política para o que quer. De qualquer forma, vou tentar achar algum material que possa apoiá-lo, ok? Grande abraço, Aléxia Lage

Ana Beatriz
47

Oi Alexia….realmente muito interessante o conteúdo do post….estou interessadissima em assuntos relacionados a seguranca da informacao corporativa principalmente no que diz respeito a pessoas e processos e gostaria que vc me desse dicas de sites e cursos….ate mais!!!

Aléxia Lage de Faria
48

Olá Ana Beatriz! Que bom que você deseja se aprofundar no assunto!
Segue minha lista de sugestões de sites e artigos:
– Marcos Semola: http://www.semola.com.br/
– Artigos excelentes sobre segurança (às vezes vem com dados de pesquisas realizadas no mundo todo): http://idgnow.uol.com.br/seguranca/ e http://computerworld.uol.com.br/seguranca/
– 124 blogs sobre segurança da informação: http://sseguranca.blogspot.com/2008/12/blogs-brasileiros-sobre-seguranca-links.html
Sobre cursos:
http://www.tiexames.com.br
http://www.modulo.com.br/educacao/conheca-nossos-cursos
http://www.clavis.com.br/treinamento-ensino-a-distancia-ead/index.php
Espero que essas referências possam lhe ajudar. Um grande abraço, Aléxia Lage

Alexandre Guerreiro Tauil
49

Cara Aléxia, eu desconheço a norma 27002 e seu posto, como primeiro contato, é bastante proveitoso para termos uma noção inicial. Fica aqui registrado meu agradecimento pelo seu trabalho. Muito obrigado e um bom dia para você.

Aléxia Lage de Faria
50

Olá Ana Beatriz! Eu enviei um e-mail para você lhe informando as dicas de sites e cursos. Talvez porque a resposta tenha ficado um pouco grande, eu não consegui publicá-la aqui. Caso não tenha recebido, por favor entre em contato novamente. Grande abraço, Aléxia Lage.

Nelson Luis Ferro Leite da Silva
52

Alexia estou interessado na compra do seu livro aonde posso encontra-lo?

Aléxia Lage de Faria
53

Oi, Nelson! Agradeço o interesse, mas infelizmente não escrevi nenhum livro ainda. Bem que gostaria, mas não consegui tempo necessário para dedicar-me! Grande abraço, Aléxia Lage.

Alexandre Fragoso
54

Alexia,
Gostaria de saber se existe algum lugar, onde eu possa baixar as normas da familia 27000?
Desde já agradeço!

Carlos Ueig Cardoso Silva
55

Olá Aléxia Faria. Muito bom seu post. Incrível como fica claro que em T.I. cada dia mais está sumindo o mito do super homem. Entrando em cena o trabalho em equipe. Decisões partidas pela alta direção cada vez mais é preciso ser compreendidas por todos nas empresas para ser uma linguagem comum. Att, Carlos Cardoso

Aléxia Lage de Faria
56

Olá, Carlos! Você tem razão! Cada vez mais a TI está sendo vista, na minha opinião, corretamente, onde o papel de cada um tem sua importância no contexto de sucesso da equipe. Todos dependemos um dos outros, inclusive clientes internos e externos… Obrigada por deixar seu comentário. Abraços, Aléxia Lage

Claudio
57

Ola Aléxia, entrei no site por acaso atras de um tema o qual vc abordou aqui, sempre bato na mesma tecla de que ainda vou fazer uma pós nesta na área de segurança da informação que abranja banco de dados e outros, é uma pena que dependendo da cidade em que se encontra, as empresas não dão muita importância na área de segurança, até que se percam os dados ai sim vão pensar na segurança, gostei do seu tema pois me ajudou muito para meus estudos, muito grato.
Claudio

Aléxia Lage de Faria
58

Oi Claudio,
Realmente muitas empresas ainda não a importância devida e ainda vai levar um bom tempo ( e muitas perdas) até que realmente amadureçam e estejam prontas para cuidar de fato da segurança da informação. É uma mudança cultural e tanto, ainda mais no nosso país. E isso leva tempo. Obrigada por deixar seu comentário. Grande abraço. Aléxia Lage

Vanderli Rodrigues
59

Olá Alexia
Ao pequisar descobri, o seu post sobre SI muito me chamou a atenção sobre o assunto. Sou Brasileiro residente em Angola, embora ligado área de segurança privada em especial Hotelaria. Estou muito interessado em que me oriente ,assim como fez com outros interessados pelo seu conhecimento na matéria em enviar-me sites e matérias ligado a SI. Muito obrigado pela atenção e desejo.lhe muito sucesso. No convívio profissional temos que nos preparar cada vez mais, para suprir qualquer divergências.
Receba o meus sinceros Cumprimentos,
Vanderli Rodrigues

Daniel Marin
60

Boa tarde, Aléxia!
Gostei bastante de seu post e gostaria de um auxílio. Estou fazendo meu TCC em Segurança de Recursos Humanos, mas estou com dificuldade em encontrar material de pesquisa. Pois meu foco em específico era em realizar uma comparação entre o risco oferecido por um CLT e um Terceiro em uma organização. Sou Consultor Java Pleno e trabalho como Terceiro em um grande banco varejista, porém vejo que eles limitam para os terceiros acessos e ferramentas importantes para a realização do nosso trabalho e meio que esquecem sobre a segurança da informação quando se trata de nós, tudo que eles fazem é bloquear TODOS os acessos possíveis ao terceiros. Isso causa impacto e demora no trabalho e falha grave de segurança (ao meu ver) pois temos que recorrer aos CLT’s que possuem os acessos e eles simplesmente liberam o acesso e não acompanham o nosso trabalho. Gostaria muito mesmo de sua ajuda na busca de materiais voltados a esse tema. E Parabéns pelo seu post.
Daniel Marin

Douglas Cavalcante Lima
61

Boa tarde Aléxia,
Primeiramente gostaria de dizer que gostei muito do seu artigo. Em segundo lugar, tenho uma pergunta sobre normas ISO e outras referentes a boas práticas. Estou no último semestre do curso de Redes de Computadores e somente agora estamos tendo aulas referentes a gestão e aplicação de normas em nosso TCC. Felizmente eu fiquei com a parte de segurança (aplicação de normas, boas práticas e configuração e implantação dos ativos em si em nossa infraestrutura). A minha pergunta é referente a boas práticas que a ISO 27002 aborda. Onde eu poderia encontrar, de modo claro, um artigo que descreva onde devo posicionar meus ativos de segurança na rede de dados, como devo configurá-los para atender as normas, etc. Ou a ISO só trata de “sugestões” e você mesmo deve analisar o que deve ou não ser aplicado? Essa parte de Gestão para quem tem uma compreensão mais técnica do assunto se torna difícil quando temos que passar para o papel. Obrigado desde já Aléxia.

Dalila
62

Boa tarde Aléxia.
Gostei muito do seu artigo, mais queria saber como ficaria mais direta possível nessas perguntas abaixo.
1) O QUE É?
2) PORQUE TER?
3) QUEM PODE ADQUIRIR ?
4) QUANDO ADQUIRIR?
5) QUANTO CUSTA TER ESSA CERTIFICAÇÃO:
6) ONDE ADQUIRI?
7) COMO ADQUIRIR ?

Daniel
63

Olá;
Muitas empresas gastam muito em softwares e hardwares tentando proteger suas informações e investem muito pouco no fator humano. Na maioria das vezes a falha na proteção das informações ocorre por falta de investimento na mão-de-obra. As criminosos conhecem muito bem o poder da Engenharia Social, que permitir ter acesso à informações sigilosas ser ser intrusivo. De que adianta, criar politica de segurança, se o gerente não tem limites?

Deixe seu comentário

Seu endereço de e-mail não será publicado. Campos com * são obrigatórios!