A central de whitepapers de tecnologia da COMPUTERWORLD
Tecnologia
Gestão de riscos reforça segurança da informação
A publicação especial norte-americana 800-53 detalha os Controles de Seguranças Recomendados para Sistemas e Organizações de Informações Federais.
IDG News Service
A Publicação Especial 800-53 (SP, sigla em inglês), do Instituto Nacional de Padrões e Tecnologias norte-americano (NIST), fornece uma estrutura unificada para obter segurança de informação e um sistema de análises de risco eficaz em todo o governo federal dos Estados Unidos. As atividades da Estrutura de Gestão de Riscos incluem seis passos:
1- Classificar informações e os sistemas de informações que cuidam dos dados;
2 - Selecionar os controles de segurança apropriados;
3 - Integrar os controles de segurança;
4 - Avaliar a eficácia e eficiência dos controles de segurança integrados;
5 - Autorizar a operação do sistema de informação;
6 - Monitorar e registrar o estado de segurança do sistema;
Essas tarefas são detalhadas em outros registros do NIST. O SP 800-53 dá foco ao segundo passo e é voltado aos novos sistemas de informação, além dos sistemas já existentes e prestadores de serviços.
Para iniciar o processo de gestão, cada organização usa outras normas do governo norte-americano obrigatórias para identificar a categoria de segurança das informações e de seus respectivos sistemas. Outra norma designa o nível de impacto de cada sistema de informação (baixo, moderado ou alto).
Esse nível de impacto identifica o significado de uma falha para a organização. Outros padrões utilizados são: Norma Federal de Processamento de Informação (FIPS) 199, Padrões para Classificação de Segurança de Informação e Sistemas de Informação Federais e o FIPS 200, Requerimentos Mínimos de Segurança para Informação e Sistemas de Informação Federais.
Depois, cada instituição escolhe os controles adequados à sua informação e o nível de risco de seus sistemas de informação, usando causas típicas como ameaças vitais. Cabe à instituição estabelecer as chances de que algum problema afete o sistema, bem como avaliar o impacto de uma possível falha. Feita a escolha, os controles podem ser integrados ou entendidos, de acordo com a necessidade.
O passo seguinte é o desenvolvimento de um plano de segurança. Os documentos são usados para comprovar se os controles de segurança são adequados para proteger todas as operações. Futuras análises das decisões sobre as gestões se tornam a base para autorizar as operações dos sistemas de informações da organização. Um oficial sênior recebe a função de liberar os processos.
Com as operações autorizadas, a organização inicia a monitoração contínua da eficácia dos controles aplicados. Essa tarefa facilita futuras decisões de modificação ou atualização do plano de segurança.
O SP 800-53 também define 11 programas de gestão de controles de segurança para a organização. No próximo artigo, o consultor de programas de gestões, Paul J. Brusil, que forneceu as informações, discutirá o repositório global de controles de segurança apresentados no SP 800-53.
Cloud computing é difícil?
O ITBOARD materializa a nova plataforma de conversas do Século XXI. Concentra o diálogo sobre tecnologia e inovação movido a tweets de quem está imerso nesses assuntos. ENTRE NA CONVERSA
