Sei sulla pagina 1di 1

TI x SEGURANÇA DA INFORMAÇÃO

Alguém poderia pensar que a segurança de TI e a segurança da


informação são sinônimos - afinal, a segurança da informação não é tudo
sobre computadores?

Na verdade não. O ponto básico é este - você pode ter proteções de


segurança de TI perfeitas, mas apenas um ato malicioso feito, por
exemplo, por um administrador, pode derrubar todo o sistema de TI. Esse
risco não tem nada a ver com computadores; tem a ver com pessoas,
processos, supervisão, etc.

Além disso, informações importantes podem nem estar em formato


digital; também pode ser em forma de papel - por exemplo, um contrato
importante assinado com o maior cliente, anotações pessoais feitas em
um bloco de notas de papel pelo CEO ou senhas de administrador
impressas armazenadas em um cofre.

Por isso, sempre gosto de dizer aos meus clientes - a segurança de TI é


apenas metade da segurança da informação, porque a segurança da
informação também inclui segurança física, gerenciamento de recursos
humanos, proteção legal, organização, processos etc. O objetivo da
segurança da informação é construir um sistema que leva em
consideração todos os possíveis riscos à segurança da informação
(relacionada à TI ou não) e implementa controles abrangentes que
reduzem todos os tipos de riscos inaceitáveis.

A ISO 27001 possibilita essa abordagem integrada à segurança da


informação: como mencionado anteriormente, ela requer que a avaliação
de riscos seja feita em todos os ativos da organização - incluindo
hardware, software, documentação, pessoas, fornecedores, parceiros,
etc. controles para diminuir esses riscos. Ao analisar o Anexo A da ISO 2
7001, verifica-se que apenas 37% desses controles são relacionados a TI -
todos os outros são controles que não são de TI.

Potrebbero piacerti anche