Definição das necessidades de termos de segurança informática

Agosto 2015

Fase de definição


A fase de definição das necessidades em termos de segurança é a primeira etapa para a implementação de uma política de segurança.

O objectivo consiste em determinar as necessidades da organização, fazendo uma verdadeira análise do sistema de informação, seguidamente estudar os diferentes riscos e a ameaça que representam para aplicar uma política de segurança adaptada.


A fase de definição comporta assim três etapas :

  • A identificação das necessidades
  • A análise dos riscos
  • A definição da política de segurança

Identificação das necessidades

A fase de identificação das necessidades consiste inicialmente em fazer o inventário do sistema de informação, nomeadamente para os elementos seguintes:

  • Pessoas e funções;
  • Materiais, servidores e os serviços que emitem;
  • Cartografia da rede (plano de endereçamento, topologia física, topologia lógica, etc.);
  • Lista dos nomes de domínio da empresa;
  • Infra-estrutura de comunicação (routers, comutadores, etc.) 
  • Dados sensíveis.




Análise dos riscos

A etapa de análise dos riscos consiste em posicionar os diferentes riscos, avaliar a sua probabilidade e, por último, estudar o seu impacto.

A melhor abordagem para analisar o impacto de uma ameaça consiste em considerar o custo dos prejuízos que causaria (por exemplo, ataque a um servidor ou deterioração de dados vitais para a empresa).

Nesta base, pode ser interessante elaborar um quadro dos riscos e a sua potencialidade, ou seja a sua probabilidade de ocorrerem, afectando-lhes níveis escalonados de acordo com uma tabela a definir, por exemplo :

  • Sem objecto (ou improvável): a ameaça não tem razão de ser;
  • Fraco: a ameaça tem pouca possibilidade de acontecer;
  • Média: a ameaça é real;
  • Elevado: a ameaça tem grandes possibilidades de ocorrer.

Definição da política de segurança

A política de segurança é o documento de referência que define os objectivos desejados em matéria de segurança e os meios aplicados para os garantir.

A política de segurança define diversas regras, de procedimentos e de boas práticas que permitem assegurar um nível de segurança conforme às necessidades da organização.

Tal documento deve necessariamente ser conduzido como um verdadeiro projecto que associa representantes dos utilizadores e leva ao mais elevado nível da hierarquia, para que seja aceite por todos. Quando a redacção da política de segurança for terminada, as cláusulas relativas ao pessoal devem ser-lhes comunicadas, a fim de dar à política de segurança o máximo de impacto.

Métodos

Existem numerosos métodos que permitem criar uma política de segurança. Eis uma lista não exaustiva dos principais métodos :

Para uma leitura offline, é possível baixar gratuitamente este artigo no formato PDF:
Definicao-das-necessidades-de-termos-de-seguranca-informatica .pdf

Veja também


Definition of Needs in Terms of IT Security
Definition of Needs in Terms of IT Security
Definición de necesidades en términos de seguridad informática
Definición de necesidades en términos de seguridad informática

Bestimmung des Bedarfs in Sachen Informatiksicherheit
Bestimmung des Bedarfs in Sachen Informatiksicherheit
Définition des besoins en terme de sécurité de l'information
Définition des besoins en terme de sécurité de l'information
Definizione dei bisogni in termini di sicurezza informatica
Definizione dei bisogni in termini di sicurezza informatica
Este documento, intitulado « Definição das necessidades de termos de segurança informática »a partir de CCM (br.ccm.net) está disponibilizado sob a licença Creative Commons. Você pode copiar, modificar cópias desta página, nas condições estipuladas pela licença, como esta nota aparece claramente.