Investimentos para proteger a informação nem sempre freiam as ações dos crackers.

Somos dependentes da tecnologia da informação. Ela se tornou parte integrante do cotidiano da nossa vida privada e nos negócios. Utilizamos o internet banking para pagar contas, acessamos redes sociais para interagir com nossos amigos e clientes, publicamos informações corporativas e pessoais através do Twitter etc.

Embora ofereçam funcionalidades inéditas, essas novas tecnologias também introduzem novos riscos e um ambiente mais difícil de controlar e monitorar. Uma vulnerabilidade de segurança terá um grande impacto na vida pessoal e nos negócios corporativos.

Todos estão preocupados com a privacidade de suas informações e perdas nos negócios. Conseqüentemente, a segurança da informação hoje é parte da governança corporativa. Podemos constatar que os investimentos em segurança estão ligados ao risco real de uma vulnerabilidade impactar sua vida pessoal ou os negócios da sua empresa.

Hoje as pessoas estão preocupadas em ter um firewall pessoal, um bom antivírus e antispam instalados. As empresas realizam avaliação de risco para auxiliar os tomadores de decisão. Mas a segurança da informação exige uma melhoria contínua dos processos, e isso não está ocorrendo.

Vulnerabilidades

As empresas continuam com os mesmos problemas após investirem em tecnologias de segurança, tais como firewalls, antispam, sistema de detecção de intrusos, antivírus etc. Os hackers provaram que é possível acessar informações confidencias (pessoais ou corporativas) explorando vulnerabilidades nas aplicações, atropelando todas as tecnologias de segurança comentadas anteriormente.

Toda vez que especialistas mundiais em assuntos sobre segurança da informação discutem avaliação do Sistema de Gestão da Segurança da Informação (SGSI), a pergunta mais comum é: “como avaliar o nível de maturidade do SGSI em uma organização?.”

A realidade é que, na opinião de alguns especialistas que tentam utilizar alguma metodologia sobre níveis de maturidade para os processos focados na segurança da informação, tais modelos são subjetivos ou estão incompletos.

Sempre que a oportunidade se apresenta, diretores e gerentes de TI, bem como consultores e analistas de segurança da informação, costumam fazer precisamente essas perguntas sobre a avaliação do nível de maturidade do SGSI: como eu sei a situação atual da minha empresa em relação à segurança? Quais processos precisam de melhoria de acordo com a estratégia da organização? Os investimentos em segurança estão resolvendo os problemas? Os resultados obtidos estão na mesma proporção do que gastamos?

O objetivo da avaliação do nível de maturidade de segurança da informação pode ser definido como a soma de "melhores práticas" para diagnóstico e avaliação de maturidade do SGSI em uma organização.

Padrões

Dessa forma, a organização consegue mapear a situação atual, estabelecer e monitorar passo-a-passo as melhorias dos processos rumo à estratégia da organização e comparar com a situação das melhores organizações no segmento (benchmarking) e com padrões internacionais (por exemplo, ISO/IEC 27002).

Devem também desenvolver um plano de crescimento da maturidade estruturado em efetuar uma ligação entre o planejamento estratégico da empresa e a segurança da informação. Assim, os objetivos de segurança podem ser mais bem avaliados.

Embora existam muitos profissionais preocupados com essas questões, a mais proveitosa sempre foi identificar quais processos precisam de melhoria de acordo com a estratégia da organização.

Seja como for, é importante observar que a criação de um plano de crescimento a curto e longo prazos é indispensável para tornar os processos avaliados mais robustos e precisos.

É possível ainda registrar as dimensões presentes em cada nível de maturidade. Ou seja, a organização irá identificar a taxa de satisfação das necessidades de negócios e objetivos de segurança de acordo com o alinhamento estratégico, competência comportamental, estrutura organizacional, informatização, metodologia e competência técnica.

O assunto ganhou destaque há pouco tempo por meio de relatos críticos de organizações que necessitam de um guia para ações das melhorias dos processos de segurança da informação.

É importante comentar também que o diagnóstico e a avaliação do nível de maturidade de segurança da informação representa a metodologia mais adequada para demonstrar quão hábil uma organização está em relação à gestão dos processos de segurança da informação.

Denny Roger é diretor da EPSEC e da Associação Brasileira de Segurança da Informação (Abrasinfo), membro Comitê Brasileiro sobre as normas de gestão de segurança da informação (série 27000), especialista em análise de risco, projetos de redes seguras e perícia forense. E-mail: denny@epsec.com.br.


http://idgnow.uol.com.br/seguranca/mente_hacker/idgcoluna.2009-12-14.8546420650/

Aprovação da lei de crimes digitais depende de acordo político

Júlio Semeghini, deputado federal, indica que o melhor seria unir parte do que veio do Senado e parte do que veio da Câmara.   [leia mais]

EPSEC comemora seu segundo ano de vida

A EPSEC estará comemorando seu segundo ano de vida. Esta comemoração marca não apenas um ciclo completo de grandes resultados no mercado de segurança da informação, mas simboliza também a força inovadora de uma empresa que acompanha as constantes transformações do mercado.   [leia mais]

CEO da EPSEC é presença confirmada na 19ª Edição Congresso CNASI – Latinoamericano

O executivo irá apresentar a palestra “Avaliação do nível de maturidade do Sistema de Gestão da Segurança da Informação (SGSI) das empresas brasileiras”, onde os congressistas poderão conhecer alguns dos resultados dos projetos de Governança da Segurança da Informação desenvolvidos no Brasil.   [leia mais]

Serviços de gestão de segurança são os que mais crescerão no país

O levantamento aponta que 50% das empresas entrevistadas afirmaram que irão investir em serviços de gestão de segurança nos próximos anos, parcela que foi de 48% no que diz respeito aos aportes em serviços de gestão de dados móveis e de 41% em relação aos serviços gerenciados de storage.   [leia mais]

Faculdade Estácio de Sá debaterá sobre a carreira na área de segurança da informação

Marcado para amanhã (12/08), em Florianópolis, palestra da EPSEC apresentará as técnicas utilizadas no Cybercrime e a carreira na área de segurança da informação.   [leia mais]

Mais de 20 profissionais participam do curso de SGSI da EPSEC

Em mais uma participação no Congresso Latino-Americano de Auditoria de TI, Segurança da Informação e Governança, a EPSEC cumpriu seu objetivo de apresentar aos participantes como é possível criar um SGSI.   [leia mais]

Investir em tecnologias modernas e baratas é bom, mas traz riscos

Compras são baseadas nas funcionalidades. Mas o correto é identificar que ferramenta atende às metodologias de segurança da organização.   [leia mais]

V Fórum de Governança de TI termina com sucesso em Santa Catarina

EPSEC foi destaque durante o evento apresentando o Futuro da Governança da Segurança da Informação.   [leia mais]

EPSEC participa do V Fórum de Governança de TI

O evento ocorrerá na próxima quarta-feira (28/07) e reunirá especialistas em Governança, Gerenciamento de Projetos e Segurança da Informação.   [leia mais]

EPSEC comemora crescimento sustentável

O EP75 prossegue sua trilha de crescimento com novos os projetos internacionais e o rápido crescimento no Brasil.   [leia mais]

EPSEC irá a Angola e regionalizará o curso de Governança da Segurança da Informação

Com o início da primeira turma agendada para Setembro, a EPSEC, sediada no Brasil, tem a ambição em tornar-se polo de conhecimento em Segurança da Informação em Angola.   [leia mais]

EPSEC promove curso no Congresso Latino-Americano de Auditoria de TI, Segurança da Informação e Governança

Um dos destaques do evento, que acontece entre os dias 03 à 05 de Agosto, será o curso sobre o “Sistema de Gestão da Segurança da Informação” ministrado pelo sócio fundador da EPSEC, Denny Roger.   [leia mais]

Governança da Segurança da Informação é tema de curso em Brasília

A EPSEC realizará o treinamento entre os dias 28 à 30 de julho, com carga horária de 24 horas distribuídos nos 3 dias. O curso “Governança da Segurança da Informação”, visa direcionar a elaboração e implementação de um Sistema de Gestão da Segurança da Informação (SGSI).   [leia mais]

EPSEC participa do CNASI Courses & Training

O CNASI, tradicional evento para profissionais das áreas de Auditoria de TI, Segurança da Informação e Governança, inova em sua forma de transmitir conhecimento e antecipa ao mercado, em maneira totalmente inédita, cursos de 8 horas cada, os temas de maior destaque no CNASI – Congresso Latinoamericano de Auditoria de TI, Segurança da Informação e Governança, nas edições de São Paulo, Rio de Janeiro e Brasília. Equipe da EPSEC já está confirmada para ministrar o curso sobre Sistema de Gestão da Segurança da Informação.   [leia mais]

Fórum sobre de Governança de TI termina com avanços para a Segurança da Informação

Terminou nesta quinta-feira (24/06) o V Fórum SUCESU-SC de Governança de TI, da qual participaram CIOs e executivos representando os Estados de Santa Catarina, Rio Grande do Sul, Paraná e São Paulo. O encontro contou com uma palestra da EPSEC, em conjunto com a TrueIT, apresentando os avanços da Governança da Segurança da Informação.   [leia mais]