Yasser Baio -A Constante Evolução Da Segurança Da Informação
11
Click here to load reader
-
Upload
yasser-baio -
Category
Documents
-
view
168 -
download
1
Transcript of Yasser Baio -A Constante Evolução Da Segurança Da Informação
A Constante Evolução Da Segurança Da Informação
Vanderson C. Siewert
Departamento de pós-graduação – Faculdade de Tecnologia do SENAI de Florianópolis (CTAI – Florianópolis)
Curso de especialização em gestão da segurança da informação em redes de computadores - Pós-graduação Lato Sensu
Resumo: Este artigo trata de fundamentos de segurança da informação, da evolução, da preocupação com as informações das corporações e instituições e da sua segurança.
1. Introdução
Com o grande crescimento da rede mundial de computadores, a Internet, houve também um crescimento contínuo de transações eletrônicas, configurando uma espécie de um novo mundo, o mundo digital. Correspondências eletrônicas particulares, transações comerciais, bancárias, entre outras, passaram a ser freqüentes no mundo atual, principalmente devido à globalização do mercado. Este rápido crescimento trouxe à tona um problema, a gestão da informação, que se preocupa em administrar as informações que navegam nas redes de computadores, e também a segurança das informações que são trocadas entre usuários e aplicações.
Com o tempo os as informações ficaram cada vez mais vulneráveis. Visando resolver estes problemas, a partir da década de 1940, surgiram algumas normas técnicas que tratam de boas práticas e controles internos de Tecnologia da Informação (TI). As normas mais conhecidas e implementadas são: ITIL, Cobit, BS15000 e ISO 20000. As normas específicas de segurança da informação são: BS7799, ISO/IEC FDIS 17799:2005(E) e ABNT NBR ISO/IEC 17799:2005.
No decorrer do artigo, será abordado o que cada norma trata e quais os órgãos responsáveis por elas. Também será discutido qual norma que melhor se enquadra, conforme o objetivo a ser atingido e o seu impacto nas organizações.
O artigo será apresentado em forma de seções sendo dividido em 7 tópicos: 1. Introdução; 2. A informação e a segurança da informação; 3. Gestão da segurança da informação; 4. Normas; 5. Evolução e normas da segurança da informação; 6. Comparação entre normas e 7. Conclusão. 2. A informação e segurança da informação
Desde os primórdios o ser humano tem a necessidade de informação, seja ela visual, escrita, falada ou até mesmo no pensamento, para poderem se comunicar e evoluir. A questão da segurança da informação é algo um pouco mais recente, que foi utilizado com muita evidência, principalmente em tempos de guerra, como foi o caso da segunda guerra mundial, onde os inimigos utilizavam técnicas de criptografia, para escreverem mensagens para os outros postos de guerra.
Conforme Campos (2006), na década de 1940 já havia a preocupação de responder a pergunta: o que é informação? Para esse mesmo autor, o principal marco da preocupação com a pergunta foi a publicação do artigo “The mathematic Theory of communication urban”, escrito por Shannon e Weaver, que deu origem a uma nova ciência, a ciência da informação. Mas somente a partir de 1960, este termo foi largamente utilizado.
Segundo o dicionário Aurélio, informação é o conjunto de dados acerca de alguém ou de algo. Sendo assim pode-se dizer que a informação é a interpretação destes dados, pois de nada vale um conjunto de dados sem fazer a interpretação para se extrair o conhecimento. Estas informações podem estar armazenadas em forma impressa, em mídias (CD-ROM, discos rígidos, pen-drivers, etc), na mente das pessoas, entre outras.
Segundo Dias (2000), segurança é proteger as informações, sistemas, recursos e serviços contra erros, manipulação não autorizada e desastres para garantir a redução do impacto e diminuir a probabilidade de incidentes de segurança. Portanto, foi necessário à gestão da segurança da informação para resolver os problemas encontrados, com o menor impacto possível nas ações necessárias às informações. Mas a segurança deverá ser proporcional ao valor da informação que se quer proteger, ou seja, o custo da implantação da segurança tem que ser inversamente proporcional ao valor da informação.
A definição de informação é de forma geral igual para todas as áreas, pois informação são dados referenciais, ou seja, com informações pertinentes a alguém ou algo, isto quer dizer que qualquer formulário com os dados de um paciente, por exemplo são um conjunto de informações, porém se este formulário estiver nas mãos de uma criança, que não compreende o conteúdo dos dados, ela não terá informação alguma do paciente.
A segurança é algo mais específico de cada área, por exemplo, um policial rodoviário tem em sua mente que segurança é dirigir durante o dia sem ingestão de bebida alcoólica, já para um pai de família segurança é sinônimo de muro alto em volta de casa, entre outros. Mas na área de tecnologia da informação, que é dividida em macro áreas como, por exemplo, a segurança da informação, é garantir a integridade, disponibilidade e confidencialidade dos ativos e das informações que são os princípios básicos da segurança da informação. Sendo estes respeitados e mantidos sobre controle, a segurança da informação está garantida e com respostas aos incidentes de segurança que possam acontecer. Com estas definições pode-se dizer que é muito difícil manter e gerenciar a segurança da informação, para resolver este problema foi necessária a criação de outra área dentro da segurança da informação, a gestão da segurança da informação.
3. Gestão da segurança da informação
Com o alto fluxo de informações sendo distribuídas a todo momento nas empresas principalmente em meios eletrônicos (e-mail, sites, programas peer-to-peer, ftp, etc), houve a necessidade de gerenciar como e de que forma estas informações são tratadas e distribuídas. Para este fim surgiu um novo conceito, que chamamos de gestão da segurança da informação.
A gestão da segurança da informação não trata somente os meios eletrônicos de disseminação da informação, mas também trata as formas de como criar a cultura de segurança da informação nos usuários de tecnologia das empresas, para fazer isto da forma mais abrangente possível é utilizada uma ferramenta chamada sistema de segurança da informação (SGSI), que trata todos os procedimentos de como está sendo
garantida a segurança e quais são os planos caso uma quebra de segurança seja encontrada.
Conforme Campos (2006), o sistema de gestão da segurança da informação se baseia em três princípios básicos. Se um destes princípios for desrespeitado em qualquer momento, caracteriza a quebra da segurança da informação, o que também é conhecido como incidente de segurança.
Os princípios básicos são descritos a seguir: • Confidencialidade: garantir o segredo das informações, liberando acesso
somente às pessoas autorizadas; • Integridade: garantir que a informação não foi alterada indevidamente, ou seja, é
confiável; • Disponibilidade: garantir a disponibilidade da informação, sempre que
necessário às pessoas autorizadas; Garantir os princípios básicos mesmo com a gestão da segurança da informação,
não é tarefa fácil, considerando que a tecnologia é uma ferramenta para auxiliar na gestão da segurança e não a solução para os problemas. Esses princípios são de vital importância para a segurança da informação, se eles forem preservados, a segurança da informação será garantida e não haverá nenhum registro de incidentes de segurança. É o que coloca Serafim (2002), os incidentes de segurança que podem quebrar os princípios básicos são:
• Quebra da confidencialidade: pode ser causado por uma técnica conhecida como
engenharia social, onde um sujeito utiliza métodos de convencimento e sugestão para induzir uma pessoa, que conforme Varela (2006), é o elo mais fraco da segurança da informação, a quebrar um protocolo ou procedimento de segurança;
• Quebra de integridade: pode ser causado por uma alteração da informação, intencional ou não, em registros de banco de dados, principalmente em migrações, na falsificação de um documento, deixar cair líquidos em cima de documentos ou qualquer mídia eletrônica, entre outros;
• Quebra de disponibilidade: pode ser causado por roubo de um recurso ou documento, sistemas de computador indisponíveis, servidores inoperantes, entre outros; As empresas estão sujeitas a quebra dos princípios básicos de segurança a todo
momento, acima foram mencionadas somente alguns casos de incidentes de segurança. Os pontos principais a serem abordados são a cultura da segurança e o foco no negócio das empresas, onde devem ser feitos trabalhos de conscientização e treinamento entre os usuários e profissionais de segurança. É o que coloca Albuquerque (2006), a tecnologia disponível para garantir a segurança da informação não é eficaz se o foco for somente a tecnologia e não o objetivo de negócio das corporações. A equipe responsável deverá ter o foco em processos do negócio para não se tornar uma “refém” da tecnologia, e quem faz a administração da mesma é a equipe de infra-estrutura e de TI. O profissional de segurança deverá ser um “especialista-generalista”.
Segundo o Instituto OnLine (2006), com estas novidades em segurança da informação surge o dilema: Como permitir acesso à informações aos usuários autorizados e ao mesmo tempo como negar o acesso aos não autorizados? Este questionamento nos leva a outro: O que devemos proteger, de quem e como?
Para isto surgiram as normas que ajudam a formular, por exemplo, uma política de segurança da informação, uma política de utilização de ativos, padronização de procedimentos, aplicação de mecanismos de segurança, entre outros. 4. Norma
Mas o que é uma norma? Conforme Regazzi Filho (2000), uma norma tem o objetivo de definir regras,
padrões e instrumentos de controles para dar uniformidade a um processo, produto ou serviço. Não deve determinar somente as bases para o presente, mas também para o futuro, portanto deverá acompanhar o progresso.
As normas são procedimentos, regras, enfim ferramentas para garantir que um processo seja feito sempre igual e da maneira mais certa possível. Os objetivos das normas são discutidos abaixo:
• Comunicação: proporcionar a maneira adequada para troca de informações entre
clientes e fornecedores, garantindo a confiabilidade; • Simplificação: redução da variedade de procedimentos e tipos de produtos; • Proteção ao consumidor: possibilidade de aferir a qualidade de produtos e
serviços; • Segurança: conformidade de produtos e serviços, conforme os requisitos da
norma; • Economia: a sistematização e ordenação das atividades produtivas ou de
serviços refletem na redução de custos; • Eliminação de barreiras comerciais: evita a diversidade de regulamentos, muitas
vezes conflitantes, para produtos e serviços em diferentes países; 5. Evolução e normas da segurança da informação
A evolução da segurança da informação é constante, sendo assim, as normas, leis e regulamentações ligadas a esta área sempre estará em desenvolvimento, pois todos os dias novas brechas de segurança são encontradas e há a necessidade de novos procedimentos e mecanismos para fechá-las.
Segundo o Instituto OnLine (2006), a linha de evolução da segurança da informação aconteceu conforme a figura 1.
Figura 1 – Evolução da segurança da informação
O princípio da segurança da informação não será tratado aqui, pois foram em sua
grande maioria, publicações de artigos e relatórios fortemente incentivados pelo governo dos Estados Unidos da América (EUA). Este incentivo foi de vital importância para a segurança da informação no mundo, pois o governo norte-americano, atualmente e no passado, é o principal incentivador das questões de segurança em geral, principalmente por ser o país mais rico do planeta e ser muito visado para ataques. Os EUA são “doentes” por segurança, já tem elaborados, implementados e com treinamentos para a população, planos de contingência, de continuidade de negócios, evacuação, entre outros. Sendo especialista no assunto, o apoio dado a pesquisadores foi primordial, tanto para as necessidades do país como do mundo.
Estes documentos tiveram fortes influências principalmente com o surgimento de computadores, que antes não existiam. Como antes as informações estavam em documentos impressos e em sua grande maioria armazenados em arquivos de metal, a segurança era implementada simplesmente por trancar o arquivo.
A evolução destas publicações foram o surgimento de normas regulamentadas por órgãos de diversos países, que serão abordadas na seqüência.
As principais normas de controle e segurança da informação são: • Infomation Technology Infraestruture Library (ITIL); • Control Objectives for Information and Related Technology (COBIT); • British Standard (BS) 15000 / International Organization for Standartization
(ISO) 20000; • BS 7799 / ISO 17799; • ABNT NBR ISO/IEC 17799:2005 (norma brasileira baseada na ISO 17799).
As normas descritas acima serão tratadas de forma macro, dando ênfase principal para as normas BS 7799 e ABNT NBR ISO/IEC 17799:2005, que são as normas mais utilizadas da atualidade no Brasil.
5.1. ITIL
Segundo o Instituto OnLine (2006), o ITIL foi desenvolvido pelo governo britânico em 1989, sendo um conjunto de melhores práticas para o gerenciamento de serviços em TI (organizações em processos, infra-estrutura de TI: hardware, software, rede e aplicações).
Os objetivos do ITIL são: • Fornecer um guia para a gestão estratégica, tática e operacional para a infra-
estrutura de TI; • Reduzir riscos; • Melhorar a eficiência; • Prover compatibilidade com a ISO 9001.
As melhores práticas que cobre os processos de suporte de serviços são: gestão
de incidentes, de problemas, de mudanças, de configurações e de fornecimento. Os processos de fornecimento de serviços avaliados por esta norma são: gestão
de capacidade, financeira, de disponibilidade, de nível de serviço, e de continuidade de serviços de TI.
Esta norma não é indicada para ser utilizada de forma impar, para a prover os controles voltados para segurança da informação, visto que o foco desta norma é o gerenciamento de serviços em TI.
5.2. COBIT
Conforme o Instituto OnLine (2006), o COBIT fornece um conjunto de práticas que auxiliam a gestão e controles em TI nas empresas, com o intuito de reduzir os riscos correspondentes. Tem como tema principal a orientação aos negócios.
Fornece ferramentas para facilitar a distribuição de responsabilidades, possui 34 objetivos de controle, um para cada processo de TI, estão agrupados em 4 grandes domínios:
• Planejamento e organização; • Aquisição e implementação; • Entrega e suporte; • Monitoramento e avaliação.
Estes domínios cobrem a implantação de processos que levarão aos corretos
investimentos em TI, ou seja, através do levantamento detalhado dos processos é possível determinar onde se quer e onde é necessário investir, para atingir esse objetivo.
Os controles oferecidos por esta norma devem ser aplicados em conjunto com outra norma que trate especificamente de segurança da informação como, por exemplo, a norma ISO/IEC 17799:2005.
5.3. BS15000 / ISO 20000
Segundo o Instituto OnLine (2006), a BS 15000 foi a primeira norma formal para gestão de serviços de TI, foi desenvolvida pelo British Standards Institution (BSI)
em novembro de 2000, é baseada no modelo de processos do ITIL e fornece especificações claras para implementação de processos de gestão de TI. A norma abrange um sistema de gestão de serviços de TI e forma a base para avaliação dessa gestão.
O escopo da norma cobre os seguintes itens: • Escopo dos serviços de sistema de gestão; • Termos e definições; • Planejamento e implementação de processo de gestão de serviços; • Planejamento e implementação de gestão de novos serviços ou modificações
destes. É destinada a provedores de serviços de TI, mas no entanto pode ser aplicada a
qualquer tipo de empresa, seja ela grande ou pequena. A norma ISO 20000 é a predecessora do BS 15000, as alterações em relação ao
BS 15000 são mínimas, mas passa a ter um formato internacional mais adequado para aplicação em diversos países.
Esta norma provê modelos de processos baseados no ITIL, sendo assim trata objetivamente da gestão de serviços, devendo ser utilizada em conjunto quando o objetivo é a segurança da informação, sendo que a gestão de serviços não cobre todos os controles necessários para a segurança da informação.
5.4. BS 7799
Segundo o Instituto OnLine (2006), é um código de práticas para ser utilizado como referência para a criação de uma política de segurança.
É composta de duas partes: • Parte 1: BS 7799-1:1999 – Agrupa objetivos de controle que devem se aplicados
para encontrar o nível adequado de segurança. Os objetivos de controle explicam com mais ou menos detalhes os pontos que mais devemos trabalhar para implementar essas medidas. O foco aqui é a gestão de riscos, que tem o objetivo de auxiliar o planejamento da política de segurança da empresa, identificando os controles relevantes para seus negócios.
• Parte 2: BS 7799-2:1999 – Conforme Campos (2006), apresenta um Sistema de Gestão da Segurança da Informação (SGSI) em seis etapas. É usada para avaliar a eficiência do SGSI para qualquer aplicação, departamento ou organização como um todo. Esta avaliação é constituída de quatro fases:
o Avaliação de riscos: verifica as ameaças que podem surgir e suas vulnerabilidades, o impacto que podem ter e uma avaliação de risco em cada caso;
o Gestão de riscos: avaliados os riscos, a tarefa é reduzi-los a um nível aceitável, pode ser alcançado aplicando as medidas mencionadas na BS 7799 para prevenir os riscos em conjunto, reduzir ameaças, vulnerabilidades e impactos para poder tomar medidas, detectar riscos, reagir e recuperar-se deles;
o Implementação de meios de segurança: determinar quais riscos devem ser tratados e determinar quais são aplicáveis;
o Declaração de aplicabilidade: estabelece quais controles devem ser implementados, estes controles devem ser registrados e documentados. O registro deve mostrar onde cada ação foi executada e estes documentos e
registros devem ser revisados periodicamente, para assegurar a efetividade das ações.
Conforme Campos (2006), a parte 2 é utilizada como documento de referência para obter o certificado de gerenciamento de segurança da informação de um órgão autorizado.
Com a migração da parte 1 desta norma para a ISO/IEC 17799 e a migração da parte 2 para a ISO 27001, no Brasil elas ficaram desatualizadas, embora a parte 2 ainda é utilizada para fazer a certificação dos controles estipulados pela parte 1, mas isto está sendo abolido visto que a ISO 27001 fará a certificação.
5.5. ISO/IEC 17799:2005(E) e ABNT NBR ISO/IEC 17799:2005
Conforme Parra (2002), esta norma é um código de práticas com orientações
para gestão de segurança da informação. Apresenta descrição geral das áreas consideradas importantes de implantação ou gestão de segurança da informação na organização.
Em 2000 a ISO publicou a BS 7799 com o nome de ISO/IEC 17799:2000, onde não incluía a segunda parte da BS 7799. Era um conjunto de orientações com as melhores práticas de segurança aplicáveis em organizações de qualquer porte (CAMPOS, 2006).
Conforme Campos (2006), em 2005 a ISO publicou a segunda edição da norma, sob o título de ISO/IEC 17799:2005, que cancela e substitui a ISO/IEC 17799:2000. Nesta nova versão os controles são mais distintos, separando a forma de implementação, os requisitos e as informações adicionais.
Segundo Parra (2002), a norma ISO 17799 está dividida em 12 tópicos, como seguem:
1. Objetivo; 2. Termos e definições; 3. Política de segurança; 4. Segurança organizacional; 5. Classificação e controle dos ativos de informação; 6. Segurança de recursos humanos; 7. Segurança física e do ambiente; 8. Gerenciamento das operações e comunicações; 9. Controle de acessos; 10. Desenvolvimento e manutenção de sistemas de informação; 11. Gestão de continuidade de negócios; 12. Conformidade.
A norma está divida em 12 tópicos que são macro áreas de gestão da segurança
da informação, ou seja, está dividida assim para que a gestão seja feita da forma mais eficaz possível. Se a segurança for tratada como um todo, ou seja, sem a divisão em áreas menores, os controles não seriam tão efetivos o que certamente refletiria em uma má gestão da segurança da informação. Sendo assim as vulnerabilidades não podem ser totalmente alcançadas e a equipe responsável ficaria perdida nos processos de gestão. Como a norma é um guia de boas práticas de padrões de segurança e está dividida em 12 tópicos, a implantação pode ser feita em estágios que podem ser feitos por tópicos, ou seja, pode ser implantada a política de segurança e depois a segurança organizacional, ou vice-versa, para depois implementar as demais orientações da norma.
Dependendo do tamanho da empresa, também pode ser implementado somente um ou dois tópicos da norma, conforme a necessidade de negócio da empresa.
Conforme Parra (2002), esta norma serve como um guia prático para o desenvolvimento de padrões de segurança organizacional e auxilia na criação de procedimentos, controles e atividades confidenciais.
Como a ISO é um órgão internacional, houve a necessidade de criar uma norma alinhada com a realidade brasileira, que conforme o Instituto OnLine (2006), a norma ABNT NBR ISO/IEC 17799:2005 é a norma brasileira e é totalmente equivalente à ISO/IEC 17799:2005. Sendo assim a norma reconhecida internacionalmente pode ser implantada em qualquer empresa do Brasil, baseada nos moldes da ABNT NBR ISO/IEC 17733:2005.
Segundo Campos (2006), a ISO no irá publicar as normas de segurança da informação com uma nova numeração a família 27000, onde já é previsto o lançamento da ISO/IEC 27002 em 2007, que substituirá a atual ISO/IEC 17799. O órgão também tem o objetivo de harmonizar as normas de segurança da informação com os padrões da família 9000.
Como o objetivo da ISO é criar padrões, a norma de segurança da informação, estava um pouco bagunçada com relação a nomenclaturas. Sendo assim, a ISO decidiu publicar uma nova família que tratará somente de questões relacionadas à segurança da informação, a família 27000 e estará alinhada a família ISO 9000, que trata exclusivamente de qualidade e também é a mais conhecida entre as normas já publicadas da ISO.
A norma ISO 17799:2005 cobre os mais diversos assuntos da área de segurança da informação com muitos controles a serem atendidos para garantir a segurança das informações de uma empresa, visando a certificação, que pode ser um processo moroso, refletindo um desafio à empresa. Porém, a certificação é uma forma de demonstrar a sociedade (fornecedores, consumidores, público em geral), da preocupação que a empresa tem com a segurança das informações de seus clientes, fornecedores e até dela mesmo. Esta é uma tendência para as empresas nos próximos anos, pois além dos pontos relacionados anteriormente, também poderá ser utilizado como marketing e também poderá ser um diferencial para a competitividade no mercado atual.
6. Comparação entre as normas de segurança Norma Ponto Fraco Ponto Forte
ISO/IEC 17799 Guia genérico sem um material específico.
Tem o controle de segurança.
COBIT Trata tudo de forma generalista, não indicando como fazer.
Possui métricas, controles e processos.
ITIL A segurança e o desenvolvimento de sistemas.
Processos de operação.
Tabela 1 – Comparação entre normas
O COBIT é um framework de controle que visa garantir o alinhamento com os negócios da empresa. Ele proporciona o aumento de qualidade de serviços e informações, mas não mostra como fazer, deverá ser utilizado em conjunto com o ITIL, por exemplo. Pois sozinho não fornece nenhum controle, métrica ou processo. Tem como objetivo também a gestão de TI.
O ITIL provê sugestões das melhores práticas utilizadas para a gestão de TI, que visa o foco no negócio da empresa, para garantir a qualidade e entrega dos serviços juntamente com um custo justificável. Trata os processos de operação, ou seja, o que deve ser feito, porém deve utilizar algum framework, como por exemplo o COBIT, para fazer o gerenciamento da melhor maneira possível.
A ISO/IEC 17799, prevê as melhores práticas para garantir a segurança da informação dizendo o que deve ser feito, não se preocupando com tecnologias ou procedimentos adotados para atingir o objetivo. Para garantir o foco e alinhamento com os negócios da empresa, deve ser utilizada em conjunto com outras normas, por exemplo, o ITIL.
Levando em consideração as comparações da tabela 1, pode-se dizer que dependendo o nível de controle que a organização deseja, deve-se aplicar a norma que melhor atende estes objetivos. Somente uma norma não cobre todo o assunto e não atende todos os aspectos para alcançar um ambiente seguro, sendo assim podemos aplicar as normas em conjunto, para ter um melhor resultado no controle da segurança da informação, considerando ainda que as normas se complementem.
De forma sucinta podemos dizer que as normas podem ser aplicadas em conjunto para buscar a maior eficácia dos serviços de TI e da segurança da informação. 7. Conclusão
De forma geral, as organizações dedicam grande parte da atenção para seus ativos físicos, que podem ser medidos e financeiros, que podem ser calculados rapidamente caso seja constatado algum roubo ou fraude, mas esquecem dos ativos de informações.
Sendo a informação cada vez mais valorizada pelas instituições e organizações, a evolução da segurança da informação é evidente, pode-se afirmar que a preocupação com as normas de segurança é a principal evidência. Com isto cada vez mais as normas estarão se atualizando conforme a necessidade, pois a informação será um ativo cada vez mais considerado e terá um maior grau de importância.
O mercado também está exigindo que as empresas sejam certificadas por órgãos de normalização para que todas as transações entre elas sejam padronizadas, tanto para a troca de informações, como para a discussão entre fornecedores, consumidores e clientes. Com a certificação em uma norma de qualidade a empresa garante perante a sociedade, seus fornecedores e clientes a sua preocupação em fornecer produtos, ou serviços com um padrão de qualidade conhecido internacionalmente, isto no caso da ISO. Agora com a certificação em uma norma de segurança a empresa mostra para a sociedade, fornecedores e clientes que se preocupa com as informações trocadas entre eles e principalmente com a sua informação e conhecimento, que hoje é o seu bem mais valioso.
O fator que garante a evolução da segurança da informação de forma geral é o valor dado pela informação, tanto das empresas como pessoais. Então para que as informações sejam preservadas e distribuídas da melhor forma possível, é necessário à gestão da segurança da informação, que tem como base a integridade, confidencialidade e disponibilidade. Pode-se dizer que a segurança da informação e das normas de segurança sempre estará em constante modificação e atualização, pois a todo momento novos incidentes são registrados e também há o surgimento de novas tecnologias.
Sendo assim, o futuro da segurança da informação são melhorias, nas tecnologias, nos procedimentos, nas normas e principalmente o ser humano, que é considerado a parte mais frágil de um projeto de segurança, porque pode ser
corrompido. Para garantir que o ser humano não seja o ponto fraco, é fundamental a criação da cultura de segurança e conscientização, que deve ser constante.
Referências
Novo Dicionário Aurélio – O Dicionário da Língua Portuguesa – edição de 1999.
ALBUQUERQUE, Fábio S. de. A nova visão da área de segurança da informação. Modulo Security Magazine. [S.l.], 31 ago. 2006. Disponível em: <http://www.modulo.com.br>. Acesso em: 11 out. 2006.
CAMPOS, André L. N. Sistema de segurança da informação: controlando os riscos. Florianópolis: Visual Books, 2006.
DIAS, Cláudia. Segurança e auditoria da tecnologia da informação. Rio de Janeiro: Axcel Books, 2000.
GONÇALVES, Alex D. et al. O impacto da implementação da norma NBR ISO/IEC 17799. Modulo Security Magazine. [S.l.], 11 maio 2006. Disponível em: <http://www.modulo.com.br/comum/docs_iii_pv.jsp?catid=2&objid=475&idiom=0&pagenumber=0>. Acesso em: 11out.2006.
INSTITUTO ONLINE. Entendendo e implementando a norma ABNT NBR ISO/IEC 17799:2005: aspectos teóricos e práticos para a implantação da norma ABNT ISO/IEC 17799:2005. Revisão 1.0. p. 1-84. []. Instituto OnLine, 2006.
PARRA, Gislaine. Metodologia para análise de segurança aplicada em uma infra-estrutura de chave pública. 2002. 99f. Dissertação (Mestrado em Ciência da Computação) – Programa de Pós-Graduação em Ciência da Computação da Universidade Federal de Santa Catarina, Florianópolis.
REGAZZI FILHO, Carlos L. Normas técnicas: conhecendo e aplicando na sua empresa. Brasília: CNI, 2000.
SERAFIM, Vinícius da S. et al. Técnicas de segurança: da teoria a prática. Possos de Caldas, MG, 2002?. Disponível em: <http://ftp.inf.pucpcaldas.br/CDs/SBC2002/pdf/arq0060.pdf>. Acesso em: 11out. 2006.
VARELA, João P. et al. A questão humana na segurança da informação. [S.l.], 2006?. Disponível em: <http://wiki.di.uminho.pt/wiki/pub/Education/InformaticaJuridicaT1C/VitorNovoManuelAlmeidaJoaoVarela3.doc>. Acesso em: 11 out. 2006.
