A segurança da informação alcançada por um conjunto adequado de controles
Redação
O valor da informação vai além das palavras, escritas, números e imagens: conhecimentos, conceitos, ideias e marcas são exemplos de formas intangíveis de informação. Em um mundo interconectado, informações e outros ativos associados merecem ou requerem proteção contra várias fontes de risco, sejam naturais, acidentais ou deliberadas. A segurança da informação é alcançada por meio da implementação de um conjunto adequado de controles, incluindo políticas, regras, processos, procedimentos, estruturas organizacionais e funções de software e hardware. Para atender aos seus objetivos específicos de segurança e negócios, a organização deve definir, implementar, monitorar, analisar criticamente e aprimorar esses controles quando necessário. Um sistema de gestão de segurança da informação (SGSI), como o especificado na NBR ISO/IEC 27001, precisa fornecer uma visão holística e coordenada dos riscos de segurança da informação da organização, a fim de determinar e implementar um conjunto abrangente de controles de segurança da informação na estrutura geral de um sistema de gestão coerente. O nível de segurança que só pode ser alcançado por meio de medidas tecnológicas é limitado e convém que seja apoiado por atividades de gestão e processos organizacionais adequados. Identificar quais controles convém que estejam implementados requer um planejamento cuidadoso e atenção aos detalhes durante a realização do tratamento de riscos. Um SGSI bem-sucedido requer o apoio de todo o pessoal da organização. Também pode requerer a participação de outras partes interessadas, como acionistas ou fornecedores. Um SGSI apropriado, adequado e eficaz fornece garantia à direção da organização e a outras partes interessadas de que suas informações e outros ativos associados estão mantidos razoavelmente seguros e protegidos contra ameaças e danos, permitindo assim que a organização atinja os objetivos de negócios declarados. Há um conjunto de referência de controles genéricos de segurança da informação, incluindo orientação para implementação.
Da Redação –
Um dos controles mais importante são os princípios de engenharia para sistemas de segurança sejam estabelecidos, documentados, mantidos e aplicados a qualquer atividade de desenvolvimento de sistemas. Esse propósito via assegurar que os sistemas de informação sejam projetados, implementados e operados com segurança dentro do ciclo de vida de desenvolvimento. A orientação é que os princípios de engenharia de segurança sejam estabelecidos, documentados e aplicados às atividades de engenharia do sistema de informação.
A segurança deve ser projetada em todas as camadas de arquitetura (negócios, dados, aplicações e tecnologia). As novas tecnologias devem ser analisadas com relação aos riscos de segurança e que o design deve ser analisado criticamente em relação aos padrões de ataque conhecidos. Os princípios de engenharia seguros fornecem orientação sobre técnicas de autenticação do usuário, controle de sessão segura e validação de dados e higienização.
Os princípios de engenharia de sistemas seguros devem incluir a análise de toda a gama de controles de segurança necessários para proteger as informações e...