BUSCA

Links Patrocinados

Destaques NetSaber:
- Apostilas para Concursos Públicos
- Resumo de O Mundo de Sofia
- Telecurso 2000
- Apostila para Concursos
- Apostilas de Direito
- Apostilas de Contabilidade
- Resumo de O Guarani
- Resumo de Iracema
- Resumo de Dom Quixote
- Apostilas de Inglês
- Resumo de Dom Casmurro
- Apostilas de Informática
- Resumo de A Moreninha
- Apostilas para Vestibular
- Resumo de A Arte da Guerra
- Receitas Culinárias
- Dicionário de Português
- Frases e Citações
- Interpretação dos Sonhos
- Fontes Grátis
- Notícias
- Artigos
- Artigos sobre Fisioterapia
- Livros de Machado de Assis
- Livros de Casimiro de Abreu
- Download de Livros
- Livros de Filosofia
- Livros de Administração
- Livros de Direito
- Livros de Agronomia

Norma ISO 19791 A Norma ISO 19791 ajuda e listar diagnósticos da segurança para um determinado escopo definido, através da identificação dos ativos de informação envolvidos e do mapeamento de todas as ameaças relacionadas a estes. Para cada ameaça deve ser determinado o nível de risco envolvido. Déve-se tratar detalhadamente a questão de análise de riscos, apresentando diversas opções e estratégias de condução da análise de riscos que podem ser escolhidas em função do tempo, do orçamento existente e dos objetivos. Após esta fase, a atividade de decidir a estratégia de gestão de riscos é de grande utilidade. Após o diagnóstico dos riscos, deve-se definir junto à alta administração da empresa, quais os níveis de risco aceitáveis e não-aceitáveis. Entre os não aceitáveis, pode-se escolher uma entre as seguintes opções: - Reduzir o nível de risco: através da aplicação de controles de segurança. - Aceitar o risco: considerar que ele existe, mas não aplicar qualquer controle. - Transferir o risco: repassar a responsabilidade de segurança a um terceiro, como, por exemplo, o gerenciamento de um CPD. - E por fim, negar o risco: esta é a opção menos recomendada. A análise de riscos pode ser tanto quantitativa, ou seja, baseada em estatísticas, numa análise histórica dos registros de incidentes de segurança, quanto qualitativa, baseada em conhecimento e geralmente realizada por especialistas. Não é possível afirmar com certeza qual é a melhor abordagem, uma vez que cada uma delas fornece uma ferramenta valiosa para a estruturação das atividades de identificação de riscos. A abordagem quantitativa se baseia nas informações coletadas no processo qualitativo. Ferramentas computacionais específicas para computar os dados de análise de risco podem ser de grande utilidade nesta fase. Devido a sua agilidade, geralmente as empresas tendem a adotar o modelo qualitativo, que não requer cálculos complexos. Independente do método adotado, uma Análise de Riscos deve contemplar algumas atividades, como o levantamento de ativos a serem analisados, definição de uma lista de ameaças e identificação de vulnerabilidades nos ativos. A norma ISO/IEC 17799 surgiu num momento em que as organizações de todo o mundo passaram a investir muito mais em segurança da informação, muitas vezes sem orientação. Devido à sua notoriedade, a norma ISO 17799 passou a ser referenciada como sinônimo de segurança da informação. Porém, a idéia de que a implantação da segurança da informação em uma organização se resume à verificação de alguns controles sugeridos pela norma ISO/IEC 17799 é um grande mal entendido. A norma contempla ao todo 127 controles, porém nem sempre é necessária a adoção de todos estes mecanismos para se atingir o patamar de segurança desejado. Isto exige uma seleção criteriosa dos controles a partir da realização de uma análise de risco. Além disso, é necessária a integração de outros padrões e normas (algumas vezes menos conhecidos), mas que podem ser de grande importância na gestão de segurança da informação em uma determinada organização. ISO/IEC 19791 fornece extensões ao padrão ISO/IEC 15408 a qual providencia suporte para áreas específicas de funcionalidade de segurança em IT que existem em produtos e sistemas. Entretanto, ela não captura certos aspectos do sistema operacional que devem ser precisamente especificados para sua efetiva avaliação como um sistema. Existem problemas fundamentais em consideração a definição e uso do termo sistema. IOS/IEC 15408, com seus focos em avaliação de produto, usa o termo sistema para incluir somente na tecnologia da informação aspectos do sistema. O termo sistema operacional, como é usado dentro de relatório técnico, cobre a combinação de pessoal, procedimentos e processos integrados com tecnologia baseada em funções e mecanismos, aplicados juntos para estabelecer um nívelaceitável de risco residual em um ambiente operacional definido. Um relatório de análise de risco deve conter identificação e classificação de ativos e processos de negócio, análise de ameaças e vulnerabilidades, e análise e parametrização de riscos e definição de tratamento dos riscos.