A confiabilidade da informação eletrônica

Com o crescimento da internet e o uso massivo de tecnologias da informação, a quantidade de dados gerados e disponibilizados tem crescido exponencialmente. Nesse contexto, é estabelecido um ciclo virtuoso de oferta e demanda, pois o aumento da necessidade de dados e informações impulsiona o desenvolvimento das Tecnologias da Informação e da Comunicação (TIC).

digital2Hayrton Rodrigues do Prado Filho –

Hoje, a evolução da capacidade e do volume de ferramentas tecnológicas viabilizou um crescimento expressivo da produção de dados e informações. Cumpre destacar que na atual dinâmica mundial, essa demanda por informações passa a se diversificar, seja pela sua rapidez na sua atualização, na sua distribuição geográfica ou ainda, em áreas do conhecimento que ainda apresentem carências na produção de informações a seu respeito.

Este tema passa a ganhar maior relevância quando se é observado os prognósticos referentes ao volume de dados que serão produzidos nas próximas décadas. O volume de dados digitais gerados cresceu de 166 Exabytes para 988 Exabytes. Já há a previsão de que o volume de dados alcance a casa dos 40.000 Exabytes ou 40 Zettabytes (ou 40 trilhões de Gigabytes).

Atualmente, há diferentes potenciais para o uso massivo de grandes volumes dados na economia global, conhecido como Big Data. Existem cinco grandes maneiras em que usando grande quantidade de dados podem criar valor. Pode ajudar a descobrir um valor significativo nas bases de dados mediante a geração de informação transparente e utilizável em maior frequência.

Em segundo lugar, as organizações poderão cada vez mais, criar e armazenar dados transacionais em formato digital, e obter informações muito mais precisas e detalhadas sobre diversas áreas, por exemplo, equilibrando seus estoques com as perspectivas de venda dos próximos meses ou semanas e com isto melhorar o seu desempenho. Em terceiro lugar, o Big Data permite o aprimoramento da relação com os clientes, viabilizando uma extração e segmentação cada vez maior do perfil dos clientes de uma empresa.

Em quarto lugar, as análises sofisticadas pode melhorar substancialmente a tomada de decisões. E ainda, pode ser utilizado para melhorar e criar uma nova geração de produtos e serviços. Por exemplo, os fabricantes estão usando dados obtidos de sensores incorporados em produtos para criar pós-venda ofertas de serviços inovadores, como a manutenção proativa (medidas preventivas que se realizam antes de ocorrer uma falha sequer são notados).

Assim, à medida que o mundo físico se torna mais digital, o crime, que era enraizado no mundo real se tornou predominante na internet. De milhares de sites hackeados até malwares espalhados por falsos arquivos de celulares. Ao longo da última década, o número de ameaças à segurança de sistemas aumentou. Conforme os profissionais de TI se esforçam para se manterem atentos aos últimos desafios para proteger seus ambientes, eles devem navegar em um campo de jogo cada vez mais complicado.

Uma ameaça à segurança do sistema é um evento malicioso ou uma ação direcionada para interromper a integridade dos sistemas informáticos corporativos ou pessoais. A motivação é comprometer os dados para fins de exploração.

Além disso, o impacto crescente das mídias sociais e a conexão com a segurança cibernética tem sido outra história. A mídia social deveria ser um grande libertador, democratizar e trazer uma nova transparência para a política e a sociedade, mas acabou por se tornar uma plataforma para fake news, desinformação e propaganda.

Lembre-se, qualquer um pode escrever uma notícia falsa e fazer parecer legítimo e, em muitos casos, essas histórias são baseadas em fatos. Por exemplo, você pode lembrar as histórias de palhaços assustadores que atravessavam bairros no início de 2017, o que era realmente uma notícia real. No entanto, você também pode lembrar que esses palhaços estavam cometendo assassinatos. Isso é falso, nunca aconteceu, mas por essas histórias aparecerem em sites legítimos, as pessoas acreditaram nisso.

O spyware geralmente invade computadores por meio de downloads de software. Shareware e freeware, além de compartilhamento de arquivos peer-to-peer, são pontos de infecção típicos. Como os trojans, o spyware pode roubar informações confidenciais, mas também são usadas como ferramentas publicitárias. A intenção é reunir informações de um usuário monitorando a atividade da internet e transmitindo isso para um invasor.

A indústria precisa aprender com seus erros ao inovar e construir dispositivos para funcionar de forma interconectada com a internet. Muitas das melhores práticas de segurança podem ser alavancadas, como o endurecimento dos sistemas, o uso de protocolos seguros para comunicação ou a instalação das atualizações, correções e pacotes mais recentes.

Parece que os hackers capazes estão em toda parte e seu crescente foco na internet das coisas (IoT) é uma progressão natural, pois eles estão procurando atuar onde os dados do mundo estão fluindo. A boa notícia é que o cenário de tendências de segurança da informação já está se ajustando às novas demandas desta ampla rede. A má notícia é que estamos longe daquela utopia, na qual a IoT gerencia a segurança automaticamente pelos mesmos dispositivos interligados e fornece uma infraestrutura segura para usuários e suas informações pessoais.

Em qualquer profissão a ética profissional é fundamental, a ética profissional estabelece o relacionamento em clientes e o profissional. Na computação, por ser uma área altamente técnica, em que dificilmente o cliente entende a complexidade de um software, ou sistema em geral, a cada dia que passa as notícias sobre fraudes das mais diversas formas são cada vez mais comuns. Como os computadores e os sistemas computacionais estão cada vez mais presentes em nossas vidas, os problemas éticos relacionados aos profissionais da computação aumentaram bastante neste período. Existem diversos meios de se transmitir informações confidencias de empresas ou órgão públicos. Em muitos casos, o profissional que deveria zelar pelo sigilo da informação, é o que comete esse tipo de crime.

Alguns dos profissionais da área de Tecnologia da Informação são responsáveis pela manutenção de grandes bases de dados e têm acesso diretamente aos mesmos. Empresas podem guardar qualquer informação sobre seus clientes, como por exemplo, quanto costuma gastar, sua idade, sexo, profissão, quais os gostos pessoais, que tipo de produtos ele mais compra. Com isso, empresas de marketing têm lançado novas estratégias para alcançar potenciais consumidores. O marketing virtual tem mudado as estratégias de muitas empresas, que agora vendem seus produtos e serviços via Internet, reduzindo custos e sendo mais eficientes e eficazes.

Alguns resultados desagradáveis do aumento da coleta de informações, como o aumento de mensagens na caixa do correio eletrônico, até podem ser aceitos como o preço da evolução. Por exemplo, o acesso de uma companhia de seguros aos registros médicos de uma pessoa para determinar o grau de risco de um contrato, é potencialmente danoso ao indivíduo.

Hoje em dia, uma das maiores preocupações é a invasão indiscriminada e o roubo de informações dos usuários da web e das empresas. Já há algum tempo explodem escândalos ligados à obtenção ilícita de dados de usuários, relacionados a falhas de segurança que expõem dados vitais dos mesmos (como números de cartões de crédito) e até referentes à comercialização de informações pessoais. As chamadas políticas de privacidade estão em cheque.

Cada invasão ou roubo tem suas características e talvez até seja possível se defender. Se ainda não existem leis adequadas para punir atos desta natureza, o que podemos fazer é denunciar, esclarecer, protestar, exigir, informar, forçar, boicotar, etc.

Há tempos atrás, a utilização dos computadores era privilégio de poucos, a preocupação com as novas modalidades de crimes ou a utilização dos meios eletrônicos para a prática de delitos já conhecidos era restrita apenas a alguns especialistas. Entretanto, com o crescimento do número de usuários, sobretudo na internet, os crimes praticados através da rede cresceram na mesma proporção. Entre os mais comuns estão os vários tipos de fraudes financeiras, pornografia infantil e juvenil, além de ameaças políticas, raciais e sexuais

A NBR 16167 de 04/2013 – Segurança da Informação — Diretrizes para classificação, rotulação e tratamento da informação estabelece as diretrizes básicas para classificação, rotulação e tratamento das informações de acordo com sua sensibilidade e criticidade para a organização, visando o estabelecimento de níveis adequados de proteção. As pessoas somente devem possuir acesso às informações que sejam necessárias, direta ou indiretamente, ao desenvolvimento de suas atividades de trabalho e demais responsabilidades associadas.

Como diretrizes gerais, a norma recomenda que as informações de propriedade da Organização ou de terceiros, utilizadas durante as atividades da organização, sejam classificadas de acordo com o nível de sensibilidade que representam para o negócio para indicar a necessidade, prioridade e o nível esperado de proteção quando de seu tratamento pelos colaboradores. Convém que o papel de “proprietário da informação” seja definido e que este seja responsável por sua classificação e definição do grupo de acesso.

O proprietário da informação pode delegar esta atividade para os responsáveis pelos processos que geram as informações, porém a responsabilidade continua sendo do proprietário. No caso de dúvidas sobre a classificação de determinada informação, recomenda-se recorrer ao proprietário da informação. Convém que os proprietários das informações cuidem para que todas as informações sob sua responsabilidade sejam classificadas e rotuladas.

Convém que o papel de Agentes de Mudança/Transformação seja definido nas áreas da organização, visando facilitar a implantação da cultura de classificação da informação, o acompanhamento das ações realizadas e o suporte às dúvidas dos usuários da informação. Convém que seja atribuída a todos os colaboradores a responsabilidade por tratar as informações de acordo com sua classificação e com as diretrizes de tratamento estabelecidas pela organização. Convém que seja desenvolvido um processo amplo de conscientização, treinamento e educação, visando disseminar a cultura de classificação e tratamento da informação.

Convém que seja implantado um processo de auditoria, monitoramento e medição para verificação da aderência do processo de classificação e tratamento da informação e obtenção de sugestões de melhoria. Convém que, no processo de classificação, seja considerado o valor da informação, os requisitos legais, a sensibilidade, a criticidade, o prazo de validade (ou vida útil), a necessidade de compartilhamento e restrição, a análise de riscos e os impactos para o negócio. Convém que os proprietários das informações realizem sua classificação de acordo com os critérios definidos nessa norma e considerem: o momento em que a informação é gerada ou inserida nos processos da organização; o momento em que é identificada uma informação que ainda não foi classificada.

Convém que o processo de classificação de uma determinada informação contemple a análise crítica periódica a intervalos regulares, visando assegurar que o nível de classificação e proteção está adequado, pois podem ocorrer alterações na classificação durante o ciclo de vida da informação. Neste contexto, pode ocorrer a reclassificação da informação quando: for identificada uma informação incorretamente classificada; ocorrer mudanças no contexto de sensibilidade das informações durante seu ciclo de vida; atender aos requisitos legais ou mudanças em processos internos da Organização; vencer o prazo de temporalidade da classificação de uma determinada informação ou classe de informação; vencer o prazo de manutenção da informação nos processos da Organização (fim do ciclo de vida da informação).

Todos os usuários precisam comunicar ao proprietário da informação a inexistência ou inconsistência na classificação da informação; entretanto, a responsabilidade por definir ou rever a classificação é do proprietário da informação. Convém que informações de origem externa que participam dos processos da organização, como relatórios de terceiros, informações e documentos de clientes e fornecedores, correspondências etc., sejam tratadas de acordo com o nível de criticidade e sensibilidade definido pelo responsável externo. Convém que seja considerado o estabelecimento de acordo com terceiros para a correta identificação da classificação e tratamento entre as organizações, visando o compartilhamento seguro das informações. Convém que atenção especial seja dada na interpretação dos rótulos de classificação sobre documentos de outras organizações, que podem ter definições diferentes para rótulos iguais ou semelhantes aos usados. (NBR ISO IEC 27002:2005 -7.2.1). Informações de origem externa são aquelas que não são de propriedade da organização.

Convém que a organização considere a criação de classes de informação para simplificar a tarefa de classificação. Convém que o processo de classificação da informação seja considerado para definição dos requisitos de segurança da informação dos ambientes físicos que armazenam informações sensíveis. Deve ser considerada pela Organização a instalação de controles apropriados, como por exemplo, a instalação de sistemas adequados e controle de acesso, monitoração por CFTV, etc. Convém que a organização considere a viabilidade de utilização de um sistema informatizado para apoiar o processo de classificação, rotulação e tratamento da informação.

A NBR ISO 18829 de 08/2018 – Gerenciamento de documentos – Avaliação das implementações de GCC/GEDDA – Confiabilidade identifica as atividades e operações que uma organização precisa executar ou ter executado para avaliar se a informação armazenada eletronicamente (IAE) é ou foi mantida em um (uns) ambiente (s) fidedigno (s) e confiável (is). Estes ambientes utilizam tecnologias de gerenciamento de conteúdo ou tecnologias de gerenciamento de documentos de arquivo comumente designados como Gestão de Conteúdo Corporativo (GCC) ou Gestão Eletrônica de Documentos e Documentos de Arquivo (GEDDA), aplicando políticas e programas de gerenciamento de documentos de arquivo organizacionais.

O ISO/TR 15801 e a ISO 15489 (todas as partes) estabeleceram os padrões e as melhores práticas associadas à implementação de ambientes confiáveis de gestão de documentos de arquivo/ambientes de gestão de documentos. No entanto, uma norma é necessária para especificar a metodologia utilizada para avaliar estes tipos de ambientes de gestão de documentos de arquivo/gestão de documentos, independentemente das tecnologias atualmente empregadas pela organização. Este documento estabelece a metodologia de avaliação a ser seguida para identificar o nível de conformidade organizacional com essas normas em relação à confiabilidade das informações armazenadas nestes ambientes.

Este documento é aplicável aos sistemas GCC existentes ou planejados. Estabelecer a existência de um sistema confiável é um passo importante para documentar a fidedignidade da IAE mantida neste sistema ou ambiente. Este documento é desenvolvido para ser utilizado por organizações que avaliam confiabilidade dos ambientes existentes de gestão de documentos de arquivo/gestão de documentos. Este documento identifica todas as atividades obrigatórias e as áreas que precisam ser examinadas por um profissional, ou profissionais, com conhecimento técnico e operacional completo das tecnologias e metodologias específicas que estão sendo examinadas, além de entender os processos e atividades de gestão de documentos de arquivo.

Este documento fornece uma metodologia para organizações que procuram avaliar se o ambiente da GCC está em conformidade com os conceitos-chave de confiabilidade e fidedignidade da informação, como identificado nos ISO/TR 15801 e ISO/TR 22957. Atualmente muitas organizações são requisitadas para assegurar que a informação armazenada eletronicamente, relacionada ao negócio delas (IAE), é produzida, armazenada e eventualmente eliminada de forma segura, a fim de estabelecer a autenticidade, a acurácia da IAE, a segurança e a confiabilidade da organização.

Este documento identifica atividades e operações que uma organização precisa seguir, a fim de: assegurar que qualquer informação armazenada eletronicamente (IAE) seja produzida e mantida de forma fidedigna e confiável durante todo o ciclo de vida da IAE, e avaliar sistemas existentes de Gestão de Conteúdo Corporativo (GCC) ou de Gestão Eletrônica de Documentos e Documentos de Arquivo (GEDDA) para conformidade com as normas ISO aplicáveis.

A ISO 15489, o ISO/TR 15801 e o ISO/TR 22957 fornecem às organizações orientação para o desenvolvimento de seus sistemas de Gestão de Conteúdo Corporativo (GCC). No entanto, pode também ser necessário que as organizações forneçam provas auditáveis de que estes sistemas oferecem um ambiente seguro para a IAE, que atenda a quaisquer obrigações legais, técnicas e políticas da organização e que cumpra os padrões ISO aplicáveis. Qualquer solução confiável de GCC/GEDDA precisa estar apta a ser auditada, com resultados reprodutíveis. Há também a necessidade de ser um método verificável, de forma independente, das reivindicações dos fornecedores de software e hardware, de que a informação está segura, protegida e armazenada de forma confiável.

As organizações precisarão assegurar que sua documentação de suporte reflita estes requisitos. Embora as soluções padronizadas da GCC sejam suscetíveis de serem auditadas e possam ser facilmente verificadas, as soluções de armazenamento não padronizadas ou proprietárias podem não fornecer uma trilha de auditoria completa, dificultando a verificação de forma independentemente dos requisitos de segurança em soluções GCC/GEDDA desenvolvidas por fornecedores. Independente da tecnologia de armazenamento ser padronizada ou proprietária, a organização enfrenta a mesma necessidade de verificar se a solução GCC/GEDDA está em conformidade com todos os requisitos aplicáveis.

Os sistemas GCC confiáveis devem assegurar que as informações gerenciadas possam ser reproduzidas de forma fidedigna e impedir modificações ou alterações não autorizadas no conteúdo ou nos metadados a elas associados. Isso inclui qualquer IAE gerada a partir de vários aplicativos de escritório que utilizem fontes externas para “completar” o documento/documentos de arquivo, então produzido(s) e/ou impresso(s)/salvo(s), conforme determinado pela organização.

O resultado desta avaliação padronizada deve incluir um relatório detalhado abrangendo informações suficientes que permitam que a organização determine como melhor abordar quaisquer áreas identificadas como não estando em total conformidade. Recomenda-se que o relatório também inclua, detalhando tecnologia (se apropriado), recomendações, políticas e procedimentos relacionados à gestão de documentos/documentos de arquivo necessário(s) para prover plena conformidade.

Um elemento-chave deste padrão de avaliação é fornecer informações detalhadas à organização, relacionadas à confiabilidade geral do seu ambiente GCC, juntamente com recomendações sobre como abordar as áreas avaliadas que não estejam em conformidade com os padrões associados à GCC e às normas relacionadas à gestão de documentos de arquivo. Após a conclusão de qualquer avaliação de conformidade com a NBR ISO 18829, a equipe de avaliação deve elaborar um relatório detalhado, contendo no mínimo alguns tópicos.

Uma necessidade de negócio e/ou um caso de negócio. Esta seção deve incluir uma descrição do processo de avaliação de documentos de arquivo realizado, uma lista dos resultados para documentos de arquivo físicos e eletrônicos, e questões relacionadas aos negócios que foram identificadas ao longo da avaliação. Uma seção de análise que forneça informações detalhadas associadas a um conjunto claro de registros objetivos e princípios relativos a documentos de arquivo e gerenciamento de informação, para alcançar uma estrutura de informação de documentos de arquivo mensurável e consistente, totalmente isolada do viés individual e organizacional.

Anteriormente referido como PGDAGA (“Princípios de Gestão de Documentos de Arquivo Geralmente Aceitos”), agora é referido no setor de gestão de documentos de arquivo como os “Princípios” que especificam níveis muito específicos de maturidade do programa de gestão de documentos de arquivo. Uma seção de análise de gap tecnológicos, que fornece uma descrição de todas tecnologias relevantes atualmente em uso pela organização relativa à GCC, gestão de documentos de arquivo, armazenamento ou produção de documento/documento de arquivo.

Uma seção de recomendações técnicas e relacionadas a documentos de arquivo. Esta seção deve incluir recomendações associadas à alteração do estado atual de gestão de documentos de arquivo para estabelecer um ambiente GCC confiável. Qualquer avaliação confiável do sistema GCC deve começar com uma revisão dos processos e procedimentos associados a todo o ambiente em que a IAE é gerenciada.

Isso inclui revisar não apenas os processos e procedimentos vigentes, mas também a documentação das práticas do negócio (DPN). Uma avaliação deve ser feita considerando: como é feita a captura de documentos de arquivo, documentos ou informações (ou seja, como a cópia em papel é convertida em formato eletrônico, como a IAE existente é recebida e processada etc.); como o sistema gerencia, audita e assegura a informação eletrônica; e como o sistema (incluindo o hardware) assegura que o armazenamento das informações esteja seguro, impedindo alterações, modificações e/ou eliminações não autorizadas.

Se o DPN estiver disponível, os processos e procedimentos existentes devem ser comparados à documentação, para determinar a conformidade e/ou áreas que precisam ser melhoradas, incluindo revisão de como: todos os procedimentos GCC serão seguidos, a informação é ou foi importada/digitalizada, indexada e verificada, o sistema é e foi protegido contra acesso não autorizado, os documentos são e foram protegidos contra modificações ou alterações não autorizadas, a modificação autorizada dos documentos tem sido/foi e é gerenciada, incluindo informações de trilha de auditoria e a capacidade de recuperar qualquer versão anterior do documento que requer ser preservada, notas e anotações (se houver) foram armazenadas e gerenciadas, se forem parte do documento de arquivo de negócio, e o sistema estabelece controles sobre todas as informações eletrônicas armazenadas de forma aderente à tabela de temporalidade e destinação de documentos de arquivo em vigor.

Se uma solução hospedada ou componentes externos fora do controle de custódia direto da organização que estão sendo utilizados, a equipe de avaliação deve incluir a revisão do nível de conformidade com a ISO 17068 – Trusted Third Party Repositories. A ISO 17068 fornece informações detalhadas e recomendações associadas de requisitos, procedimentos e acordos relativos a fornecedor externo, as quais convém que sejam consideradas, antes de armazenar o conteúdo em um ambiente externo que não esteja completamente sob o controle da organização.

Se o DPN estiver insuficiente ou for inexistente, a avaliação pode ser realizada na elaboração da documentação. A DPN é um componente necessário de qualquer ambiente confiável. Embora a produção do documento tenha sido após o ambiente ter sido colocado em “produção”, podendo tornar a informação disponível no sistema vulnerável às alegações de que não é confiável, as informações posteriormente adicionadas devem ter um processo claramente documentado.

As organizações que estão sujeitas a demandas jurídicas, governamentais e regulatórias para a IAE podem ser requisitadas para verificar a integridade e autenticidade da IAE sob juramento. Manter políticas e procedimentos claramente definidos e a documentação de práticas de negócio, bem como fornecer trilhas de auditoria autenticadas detalhando como a IAE foi coletada e composta, serão fundamentais para estabelecer a autenticidade da IAE.

Em algumas organizações e para alguns tipos de documentos/documentos de arquivo, recomenda-se que as notas e/ou anotações sejam mantidas com o mesmo nível de proteção fornecido no documento/documento de arquivo original. Separar a nota/anotação do documento/documento de arquivo ao qual foi associado, como por meio do processo em camadas, pode não permitir proteções suficientes para considerar que a nota/anotação foi armazenada em um sistema confiável.

É necessária uma avaliação cuidadosa dos métodos para armazenar a informação em “camadas” no contexto das necessidades do negócio. É necessário associar a nota/anotação com o documento/documento de arquivo original de maneira rastreável. Se a organização incorporar notas e/ou anotações como parte de um processo de negócio, a equipe de avaliação deve avaliar os procedimentos seguidos pela organização para automatizar processos por meio do uso de tecnologias de workflow.

Os processos e procedimentos de avaliação devem contemplar as notas e/ou anotações conforme a organização: controla a segurança associada a como as notas e/ou anotações são gerenciadas e armazenadas; se essa informação está sob diferentes controles de retenção; assegura o gerenciamento pela GCC de trilhas de auditoria e de informações históricas por meio da identificação e registro de todas as mudanças em quaisquer notas e/ou anotações, independentemente de estar armazenada como parte de um documento ou de um processo de controle de fluxo de trabalho.

Na ausência de qualquer documentação organizacional formal, a equipe de avaliação deve avaliar como o ambiente GCC atual gerencia e assegura esse tipo de dado por meio do exame da arquitetura do sistema GCC e de seus níveis de controles, e fornece recomendações para proporcionar os níveis necessários de controles. A equipe de avaliação deve avaliar como a organização gerencia notas e/ou anotações, se utilizadas pela solução GCC.

A NBR ISO 15489-1 de 05/2018 – Informação e documentação – Gestão de documentos de arquivo – Parte 1: Conceitos e princípios define os conceitos e princípios a partir dos quais são desenvolvidas as abordagens para produção, captura e gestão de documentos de arquivo. Esta parte 1 descreve os conceitos e os princípios relacionados ao seguinte: documentos de arquivo, metadados para documentos de arquivo e sistemas de documentos de arquivo; políticas, responsabilidades atribuídas, monitoramento e treinamento que dão apoio à gestão eficiente de documentos de arquivo; análise recorrente de contexto de negócio e identificação de requisitos de documentos de arquivo; controles de documentos de arquivo; processos para produção, captura e gestão de documentos de arquivo. Aplica-se à produção, captura e gestão de documentos de arquivo, independentemente da estrutura ou da forma, em todos os tipos de negócios ou ambientes tecnológicos, ao longo do tempo.

Esta Parte 1 estabelece os conceitos e os princípios fundamentais para a produção, captura e gerenciamento de documentos. Ela está no cerne de uma série de normas internacionais e relatórios técnicos que fornecem mais orientações e instruções sobre os conceitos, técnicas e práticas para a produção, captura e gerenciamento de documentos de arquivo. Os documentos de arquivo são tanto prova de atividade de negócios quanto ativos de informação.

Eles podem ser diferenciados de outros ativos de informação por sua função como prova na transação de negócios e pela sua confiança em metadados. Os metadados dos documentos de arquivo são usados para indicar e preservar o contexto e aplicar regras apropriadas para a gestão de documentos de arquivo.

A gestão de documentos de arquivo abrange o seguinte: produção e captura de documentos de arquivo para cumprir os requisitos de prova da atividade de negócio; adoção de medidas apropriadas para proteger sua confiabilidade, integridade e usabilidade conforme seu contexto de negócios e requisitos para gestão de mudanças ao longo do tempo. A referência à “atividade” ou “atividades de negócios”, nesta parte da NBR ISO 15489, é interpretada amplamente como aquelas atividades que apoiam os propósitos de existência da organização.

Funções, atividades, transações e processos de trabalho são representações de formas particulares de “atividade do negócio” e são definidas na Seção 3. Cada vez mais, documentos de arquivo são produzidos e mantidos em ambientes digitais, oferecendo uma série de oportunidades a novos tipos de uso e reuso. Os ambientes digitais também permitem uma maior flexibilidade na implementação de controles, dentro e entre sistemas que gerenciam documentos de arquivo.

As mudanças nos modelos de negócio estão estendendo as responsabilidades para documentos de arquivo além dos limites organizacionais e jurisdicionais tradicionais. Isso requer que os profissionais de gestão de documentos de arquivo compreendam e atendam uma gama diversificada de necessidades internas e externas de clientes e partes interessadas. Estas podem incluir aumento das expectativas de transparência na tomada de decisões de empresas e governos, do público em geral, clientes, usuários de serviços, assuntos dos documentos de arquivo, e outros com um interesse em como os documentos de arquivo são produzidos, capturados e gerenciados.

Nesta norma (todas as partes), a expressão “produção, captura e gestão” é usada para resumir a gestão de documentos de arquivo como um todo. Ela inclui o ato de recebimento de um documento de arquivo e a diversidade de processos de documentos de arquivo descritos nesta parte da NBR ISO 15489.

Com esses fatores de ambiente em mente, esta parte 1 foi desenvolvida levando-se em consideração o seguinte: os papéis de documentos de arquivo como facilitadores das atividades do negócio e ativos de informações; aumento de oportunidades de uso e reuso de documentos de arquivo no ambiente digital; sistemas e regras para produção, captura e gestão de documentos de arquivo que necessitam estender-se além dos limites organizacionais tradicionais, como em ambientes de trabalho colaborativos e em múltiplas jurisdições; controles de documentos de arquivo que podem ser independentes de outros componentes de sistemas de gestão de documentos de arquivo; importância da análise recorrente da atividade do negócio e contexto para identificar quais documentos de arquivo precisam ser produzidos e capturados e como convém que eles sejam gerenciados ao longo do tempo; importância da gestão de risco na concepção de estratégias para gestão de documentos de arquivo e esta como estratégia de gestão de risco por si só.

Embora os conceitos e princípios desta parte 1 se apliquem a variados ambientes comerciais e tecnológicos, estes ambientes podem requerer diferentes abordagens para implementação de controles, processos e sistemas de documentos de arquivo. Esta parte 1 não tem pretensão de fornecer aconselhamento detalhado de implementação para ambientes específicos nos quais os documentos de arquivo são produzidos, capturados e gerenciados.

Em vez disso, ela define conceitos-chave e estabelece princípios de alto nível a partir dos quais os controles, processos e sistemas de gestão de documentos de arquivo podem ser desenvolvidos em qualquer ambiente. A orientação no desenvolvimento e na implementação de controles, processos e sistemas para gestão de documentos de arquivo, nesses diferentes ambientes, é abordada em parte (s) subsequente (s) e em outras normas e relatórios técnicos.

As metodologias para produção, captura e gestão de documentos de arquivo, com base nos conceitos e princípios desta parte 1, garantem que provas confiáveis de negócios sejam produzidas, capturadas, gerenciadas e disponibilizadas para aqueles que precisam, desde que sejam solicitadas. Isso permite o seguinte: melhoria da transparência e responsabilização; estruturação de política efetiva; tomada de decisões fundamentada; gestão de riscos do negócio; continuidade em evento de desastre; proteção de direitos e obrigações de organizações e indivíduos; proteção e apoio em litígios; conformidade com legislações e regulamentos; melhoria na capacidade de demonstrar responsabilidade corporativa, incluindo o cumprimento de metas de sustentabilidade; redução de custos por meio de maior eficiência nos negócios; proteção de propriedade intelectual; atividades de pesquisa e desenvolvimento com base em provas; criação da identidade de negócio, pessoal e cultural; proteção da memória corporativa, pessoal e coletiva.

Políticas, designação de responsabilidades e procedimentos para produção, captura e gestão de documentos de arquivo suportam programas de governança da informação na organização. Em relação com outras normas, esta parte 1 é desenvolvida como um recurso independente. Entretanto, ela também é parte de uma família de normas e relatórios técnicos em uma série de aspectos de produção, captura e gestão de documentos de arquivo.

Esses itens estão listados na Bibliografia e podem ser consultados para mais detalhes de aspectos particulares de gestão de documentos de arquivo. A gestão de documentos de arquivo alinhada com esta norma (todas as partes) é fundamental para o sucesso de um Sistema de Gestão de Documentos de Arquivo (SGDA), definido pela série NBR ISO 30300. Um SGDA une a gestão de documentos de arquivo ao sucesso organizacional e a responsabilização pelo estabelecimento de uma estrutura que abrange política, objetivos e diretrizes para documentos de arquivo.

Ele estabelece requisitos para os seguintes itens: definição de funções e responsabilidades; processos sistemáticos; monitoramento e avaliação; revisão e melhoria. Os gerentes e outros interessados em implementar, operar e aperfeiçoar um SGDA são aconselhados a usar esta parte da NBR ISO 15489 em conjunto com a série NBR ISO 30300. O gerenciamento de documentos de arquivo baseia-se nos seguintes princípios: produção, captura e gerenciamento de documentos de arquivo são partes integrantes da realização de negócios, em qualquer contexto (ver 5.1); documentos de arquivo, independentemente da forma ou estrutura, são a prova oficial de negócios, quando eles possuem as características de autenticidade, confiabilidade, integridade e usabilidade (ver 5.2.2); documentos de arquivo consistem em informação e metadados, que descrevem seu contexto, conteúdo e estrutura, bem como a sua gestão ao longo do tempo (ver 5.2.3); decisões relativas à produção, captura e gerenciamento de documentos de arquivo têm como base a análise e avaliação de riscos das atividades de negócio, em seus contextos de negócios, legais, regulatórios e societários (ver Seção 7); sistemas para o gerenciamento de documentos de arquivo, independentemente do seu grau de automação, permitem a aplicação de controles de documentos de arquivo e a execução de processos para produzir, capturar e gerenciar documentos de arquivo (ver 5.3).

Eles dependem de políticas definidas, responsabilidades, monitoramento, avaliação e treinamento, para cumprir os requisitos identificados dos documentos de arquivo (ver Seção 6). Estes princípios são expandidos nos conceitos, processos e controles para a gestão de documentos de arquivo descritos nas seções seguintes desta parte da NBR ISO 15489. Os documentos de arquivo são tanto prova de atividade de negócios quanto ativos de informação.

Qualquer conjunto de informações, independentemente da sua estrutura ou forma, pode ser gerenciada como um documento de arquivo. Isso inclui informações sob a forma de um documento, um conjunto de dados ou outros tipos de informação digital ou analógica, que são produzidas, capturadas e gerenciadas no desenvolvimento do negócio.

A gestão de documentos de arquivo abrange o seguinte: produção e captura de documentos de arquivo para cumprir os requisitos de prova da atividade de negócio; adoção de medida apropriada para proteger sua autenticidade, confiabilidade, integridade e usabilidade conforme seu contexto de negócios e requisitos para gestão de mudanças ao longo do tempo. Na gestão de documentos de arquivo, os metadados são dados que descrevem o contexto, conteúdo e estrutura de documentos de arquivo, bem como a sua gestão ao longo do tempo.

Os metadados são componentes essenciais de quaisquer sistemas de documentos de arquivo (ver 5.2.3). A gestão de documentos de arquivo é apoiada por sistemas de documentos de arquivo (ver 5.3). Os documentos de arquivo registram ações individuais ou transações, ou podem formar conjuntos que foram planejados para documentar os processos de trabalho, atividades ou funções.

Recomenda-se que documentos de arquivo, independentemente da forma ou estrutura, possuam as características de confiabilidade, autenticidade, integridade e usabilidade (ver 5.2.2) para atender plenamente aos requisitos do negócio e ser considerado prova oficial de ações ou transações. Um documento de arquivo autêntico é aquele que comprova: ser o que pretende ser; ter sido produzido ou enviado pelo agente competente para ter produzido ou enviado; e ter sido produzido ou enviado quando declarado.

Recomenda-se que as regras, processos, políticas e procedimentos do negócio que controlam a produção, captura e gestão de documentos de arquivo (ver 6.2) sejam implementados e documentados para garantir a autenticidade dos documentos de arquivo. Recomenda-se que os produtores de documentos de arquivo sejam autorizados e identificados (ver 6.3).

Um documento de arquivo confiável é aquele: cujo conteúdo pode ser confiável como uma representação completa e precisa das operações, atividades ou fatos que atestam; e no qual se pode depender no curso de operações ou atividades subsequentes. Recomenda-se que os documentos de arquivo sejam produzidos no momento da ação a que se referem, ou logo depois, por pessoas que tenham conhecimento direto dos fatos, ou por sistemas rotineiramente utilizados para realizar a transação.

Um documento de arquivo íntegro é aquele que é completo e inalterado. Recomenda-se que um documento de arquivo seja protegido contra a alteração não autorizada. Recomenda-se que as políticas e procedimentos de gestão de documentos de arquivo especifiquem quais acréscimos ou anotações podem ser feitos em um documento de arquivo depois de ser produzido, sob quais as circunstâncias estes acréscimos ou anotações podem ser autorizados, e quem é autorizado a fazê-los (ver 6.2). Recomenda-se que qualquer anotação autorizada, acréscimo ou exclusão de um documento de arquivo seja explicitamente indicada (o) e rastreável.

Um documento de arquivo utilizável é aquele que pode ser localizado, recuperado, apresentado e interpretado dentro de um período considerado razoável pelas partes interessadas. Recomenda-se que um documento de arquivo utilizável seja conectado ao processo ou transação de negócio que o produziu. Recomenda-se que conexões entre os documentos de arquivo que registram as transações de negócio relacionadas sejam mantidas.

Recomenda-se que os metadados dos documentos de arquivo apoiem a usabilidade, fornecendo informações que possam ser necessárias para recuperá-los e apresentá-los, como identificadores, formato ou informações de armazenamento (ver 5.2.3). Recomenda-se que os metadados dos documentos de arquivo representem o seguinte: o contexto do negócio; a dependências e relacionamentos entre documentos de arquivo e sistemas de documento de arquivo; relacionamentos entre contextos legais e sociais; relacionamentos entre agentes que produzem, gerenciam e utilizam documentos de arquivo.

Alguns dos metadados de documentos de arquivo são derivados ou atribuídos no momento em que o documento de arquivo é produzido ou capturado e, portanto, não se alteram. Este é um requisito para os metadados de captura de documentos de arquivo. Os metadados sobre ações no documento de arquivo e outros eventos que ocorrem durante a sua existência, incluindo os agentes participantes, continuam sendo acumulados ao longo do tempo conforme o documento de arquivo é utilizado e gerenciado.

Estes são os metadados de processo dos documentos de arquivo. Como os metadados se acumulam ao longo do tempo, eles registram coletivamente, entre outras coisas, a proveniência de um documento de arquivo. Recomenda-se que os metadados de um documento de arquivo em si sejam gerenciados como um documento de arquivo, na medida em que sejam protegidos contra a perda ou a exclusão não autorizada, e conservados ou eliminados (ver 9.9), de acordo com as necessidades identificadas na avaliação (ver a Seção 7).

Recomenda-se que o acesso aos metadados seja controlado utilizando o acesso autorizado e as regras de permissão (ver 8.4). Os conteúdos de um documento de arquivo e de seus metadados associados podem ser gerenciados em vários locais e sistemas coexistentes, ou em um único local e sistema. Recomenda-se que os relacionamentos lógicos, ou conexões, entre o conteúdo de um documento de arquivo e seus metadados associados sejam criados e mantidos por meio de processos automatizados ou manuais.

Uma tendência irreversível é a movimentação de dados do ambiente físico, dentro do cliente, para a nuvem pública, o que traz a necessidade de garantir o isolamento, desde o processo da movimentação dos dados para o ambiente compartilhado até para o uso no dia a dia. A mudança de ambiente físico para ambiente virtualizado deve contemplar o isolamento dos ambientes e assegurar a segurança das informações.

A NBR ISO/IEC 27017 de 07/2016 – Tecnologia da informação – Técnicas de segurança – Código de prática para controles de segurança da informação com base NBR ISO/IEC 27002 para serviços em nuvem fornece diretrizes para os controles de segurança da informação aplicáveis à prestação e utilização de serviços em nuvem, fornecendo o seguinte: diretrizes adicionais para implementação de controles relevantes especificados na NBR ISO/IEC 27002; controles adicionais com diretrizes de implementação que são relacionadas especificamente a serviços em nuvem. Esta recomendação/norma fornece controles e diretrizes de implementação para provedores de serviços em nuvem e clientes de serviços em nuvem.

As diretrizes contidas nesta recomendação/norma adicionam e complementam as diretrizes oferecidas na NBR ISO/IEC 27002. Especificamente, esta recomendação/norma fornece diretrizes que apoiam a implementação de controles de segurança da informação para os clientes de serviços em nuvem e provedores de serviços em nuvem.

Algumas diretrizes são para clientes de serviços em nuvem que implementam os controles e outras são para provedores de serviços em nuvem para apoiar a implementação desses controles. A seleção dos controles apropriados de segurança da informação e a aplicação da diretriz de implementação fornecida dependerão de uma avaliação de risco e de quaisquer requisitos legais, contratuais, regulatórios ou outros requisitos de segurança da informação específicos para o setor e computação em nuvem.

O uso de computação em nuvem mudou a forma como é recomendado que as organizações avaliem e mitiguem riscos de segurança da informação, devido às mudanças significativas em como os recursos computacionais são tecnicamente concebidos, utilizados e governados. Esta recomendação/norma fornece diretrizes adicionais para implementações específicas para a nuvem, com base na NBR ISO/IEC 27002, e fornece controles adicionais para lidar com considerações sobre ameaças de segurança da informação e riscos, específicas para ambientes em nuvem.

Convém que os usuários desta recomendação/norma consultem a NBR ISO/IEC 27002, Seções 5 a 18, para controles, orientação de implementação e outras informações. Devido à aplicabilidade geral da ISO/IEC 27002, muitos dos controles, da diretriz de implementação e outras informações se aplicam a ambos os contextos de computação geral ou em nuvem da organização.

Por exemplo, a NBR ISO/IEC 27002 “6.1.2 Segregação de funções” fornece um controle que pode ser aplicado se a organização está agindo como um provedor de serviço em nuvem ou não. Além disso, um cliente de serviços em nuvem pode derivar requisitos para segregação de funções ao ambiente de nuvem do mesmo controle, por exemplo, segregando os administradores de serviços em nuvem, clientes de serviço e usuários de serviços em nuvem.

Como uma extensão da NBR ISO/IEC 27002, esta recomendação/norma fornece mais controles específicos de serviços em nuvem, diretrizes de implementação e outras informações (ver 4.5), que se destinam a mitigar os riscos que acompanham as características técnicas e operacionais dos serviços em nuvem (ver Anexo B). Os clientes de serviços em nuvem e os prestadores de serviços em nuvem podem se referir à NBR ISO/IEC 27002 e a esta recomendação/norma para selecionar os controles com a diretriz de implementação e adicionar outros controles, se necessário.

Este processo pode ser feito pela realização de avaliação de riscos de segurança e tratamento de riscos no contexto organizacional e de negócios, onde os serviços em nuvem são utilizados ou fornecidos (ver 4.4). Clientes do serviço em nuvem e provedores do serviço em nuvem também podem formar uma cadeia de suprimento.

Supor que um prestador de serviços em nuvem forneça um serviço de recursos de infraestrutura. Em cima dela, outro prestador de serviços em nuvem pode fornecer um serviço de recursos de aplicação.

Neste caso, o segundo fornecedor de serviços em nuvem é um cliente do serviço em nuvem no que diz respeito à primeira, e um fornecedor de serviço em nuvem do ponto de vista do cliente do serviço em nuvem utilizando o seu serviço. Este exemplo ilustra o caso em que esta recomendação/norma se aplica a uma organização, tanto como um cliente do serviço em nuvem quanto como um provedor do serviço em nuvem.

Como os clientes de serviços em nuvem e provedores do serviço em nuvem formam uma cadeia de fornecedores através da concepção e implementação do(s) serviço(s) em nuvem, a seção 15.1.3 da NBR ISO/IEC 27002 é aplicável. A multipartes ISO/IEC 27036 “Information security for supplier relationship” fornece orientações detalhadas sobre a segurança da informação no relacionamento com os fornecedores para o adquirente e para o fornecedor de produtos e serviços.

A ISO/IEC 27036 Parte 4 lida diretamente com a segurança dos serviços em nuvem no relacionamento com os fornecedores. Esta norma é também aplicável aos clientes do serviço em nuvem como adquirentes e aos prestadores de serviços em nuvem como fornecedores.

No ambiente de computação em nuvem, os dados dos clientes do serviço em nuvem são armazenados, transmitidos e processados por um serviço em nuvem. Portanto, os processos de negócios do cliente do serviço em nuvem podem depender da segurança da informação do serviço em nuvem.

Sem controle suficiente sobre o serviço em nuvem, o cliente de serviços em nuvem pode precisar tomar precauções extras com suas práticas de segurança da informação. Antes de contratar o fornecedor do serviço em nuvem, o cliente do serviço em nuvem precisa selecionar um serviço em nuvem, levando em conta as possíveis lacunas entre os requisitos de segurança da informação do cliente do serviço em nuvem e os recursos em segurança de informações oferecidas pelo serviço em nuvem.

Uma vez que um serviço em nuvem é selecionado, recomenda-se que o cliente do serviço em nuvem gerencie o uso do serviço em nuvem de forma a satisfazer os seus requisitos de segurança da informação. Nesta relação, recomenda-se que o provedor do serviço em nuvem forneça as informações e o suporte técnico que são necessários para atender aos requisitos de segurança da informação do cliente do serviço em nuvem.

Quando os controles de segurança da informação fornecidos pelo provedor do serviço em nuvem são predefinidos e não há possibilidade de serem alterados pelo cliente do serviço em nuvem, o cliente do serviço em nuvem pode precisar implementar seus próprios controles extras para mitigar os riscos em seus processos de gestão de riscos de segurança da informação estabelecidos. É aconselhável consultar a NBR ISO/IEC 27001 para os requisitos da gestão de segurança da informação para realizar a gestão de riscos em seus sistemas de gestão de segurança da informação, e se referir à NBR ISO/IEC 27005 para obter diretrizes adicionais sobre a própria gestão de riscos de segurança da informação. A NBR ISO 31000, para a qual as NBR ISO/IEC 27001 e NBR ISO/IEC 27005 se aplicam, também pode ajudar na compreensão geral da gestão de riscos.

Em contraste com a aplicabilidade genérica dos processos de gestão de riscos de segurança da informação, a computação em nuvem tem seus próprios tipos de fontes de riscos, incluindo ameaças e vulnerabilidades, que são derivadas de suas características, por exemplo, rede, escalabilidade e elasticidade do sistema, compartilhamento de recursos, provisionamento por autosserviço, administração sob demanda, provisionamento de serviços através de diversas jurisdições e visibilidade limitada sobre a implementação de controles. O Anexo B fornece referências que dão informações sobre estas fontes de riscos e os riscos associados na prestação e utilização de serviços em nuvem.

Os controles e diretrizes de implementação apresentadas nas Seções 5 a 18 e no Anexo A abordam as fontes de riscos e os riscos específicos à computação em nuvem. A política de segurança da informação para a computação em nuvem do cliente de serviços em nuvem é uma das políticas específicas descritas na NBR ISO/IEC 27002, 5.1.1.

A política de segurança da informação de uma organização lida com os seus processos de informação e de negócios. Quando uma organização usa os serviços em nuvem, ela pode ter uma política para a computação em nuvem como um cliente de serviços em nuvem.

Informações de uma organização podem ser armazenadas e mantidas no ambiente de computação em nuvem, e os processos de negócio podem ser operados no ambiente de computação em nuvem. Requisitos gerais de segurança da informação definidos na política de segurança da informação no nível superior são seguidos pela política para a computação em nuvem.

Em contraste com isso, a política de segurança da informação para a prestação serviços em nuvem lida com a informação e processos de negócio dos clientes de serviços em nuvem, não com a informação e processos de negócios do provedor do serviço em nuvem. Recomenda-se que requisitos de segurança da informação para a oferta do serviço em nuvem atenda aqueles dos potenciais clientes do serviço em nuvem.

Como resultado, eles podem não ser consistentes com as exigências de segurança da informação dos processos de negócios do provedor do serviço em nuvem. O escopo da política é muitas vezes adequadamente definido em termos do serviço, mas não só pela estrutura organizacional ou pelas localizações físicas.

A segurança de virtualização na computação em nuvem tem vários aspectos, incluindo gerenciamento de ciclo de vida de instâncias virtuais, controles de acesso e armazenamento de imagens virtuais, manipulação de instâncias virtuais inativas ou desligadas, retratos do estado, proteção de hipervisores e controles de segurança que regem o uso de portais de autoatendimento. Mesmo quando as responsabilidades são determinadas pelas partes, o cliente de serviços em nuvem é responsável pela decisão de usar o serviço.

Convém que essa decisão seja feita de acordo com as funções e responsabilidades determinadas dentro da organização do cliente de serviços em nuvem. O provedor do serviço em nuvem é responsável pela segurança da informação indicada em alguma parte do acordo de serviço em nuvem.

Convém que a implementação e o provisionamento da segurança da informação sejam feitos de acordo com os papéis e responsabilidades determinadas dentro da organização do provedor do serviço em nuvem. A ambiguidade nos papéis e na definição e atribuição de responsabilidades relativas a questões como a propriedade de dados, controle de acesso e manutenção da infraestrutura pode dar origem a disputas comerciais ou legais, especialmente ao lidar com terceiros.

Os dados e arquivos nos sistemas do provedor do serviço em nuvem que são criados ou modificados durante a utilização do serviço em nuvem podem ser críticos para a operação, recuperação e continuidade segura do serviço. Convém que a propriedade de todos os ativos e as partes que têm responsabilidade pela operação associada a esses ativos, como operações de backup e recuperação, sejam definidas e documentadas. Caso contrário, existe o risco de que o provedor do serviço em nuvem assuma que o cliente do serviço em nuvem execute essas tarefas vitais (ou vice-versa), e uma perda de dados pode ocorrer.

A NBR ISO/IEC 27002 de 11/2013 – Tecnologia da informação – Técnicas de segurança – Código de Prática para controles de segurança da informação fornece diretrizes para práticas de gestão de segurança da informação e normas de segurança da informação para as organizações, incluindo a seleção, a implementação e o gerenciamento de controles, levando em consideração os ambientes de risco da segurança da informação da organização. É projetada para ser usada por organizações que pretendam: selecionar controles dentro do processo de implementação de um sistema de gestão da segurança da informação baseado na NBR ISO/IEC 27001; implementar controles de segurança da informação comumente aceitos; desenvolver seus próprios princípios de gestão da segurança da informação.

Importante dizer que a norma foi projetada para as organizações usarem como uma referência na seleção de controles dentro do processo de implementação de um sistema de gestão da segurança da informação (SGSI), baseado na NBR ISO/IEC 27001 ou como um documento de orientação para as organizações implementarem controles de segurança da informação comumente aceitos. É também usada no desenvolvimento de organizações e indústrias específicas de gerenciamento de segurança da informação, levando em consideração os seus ambientes de risco de segurança da informação específicos.

Organizações de todos os tipos e tamanhos (incluindo o setor privado e público, organizações comerciais e sem fins lucrativos), coletam, processam, armazenam e transmitem informações em diferentes formatos, incluindo o eletrônico, físico e verbal (por exemplo, conversações e apresentações). O valor da informação vai além das palavras escritas, números e imagens: conhecimento, conceitos, ideias e marcas são exemplos de formas intangíveis da informação. Em um mundo interconectado, a informação e os processos relacionados, sistemas, redes e pessoas envolvidas nas suas operações são informações que, como outros ativos importantes, têm valor para o negócio da organização e, consequentemente, requerem proteção contra vários riscos.

Ativos são objeto de ameaças, tanto acidentais como deliberadas, enquanto que os processos, sistemas, redes e pessoas têm vulnerabilidades inerentes. Mudanças nos processos e sistemas do negócio ou outras mudanças externas (como novas leis e regulamentações) podem criar novos riscos de segurança da informação.

Desta forma, em função das várias maneiras nas quais as ameaças podem se aproveitar das vulnerabilidades para causar dano à organização, os riscos de segurança da informação estão sempre presentes. Uma segurança da informação eficaz reduz estes riscos, protegendo a organização das ameaças e vulnerabilidades e, assim, reduzindo o impacto aos seus ativos.

A segurança da informação é alcançada pela implementação de um conjunto adequado de controles, incluindo políticas, processos, procedimentos, estrutura organizacional e funções de software e hardware. Estes controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados, quando necessário, para assegurar que os objetivos do negócio e a segurança da informação da organização sejam atendidos. Um sistema de gestão da segurança da informação (SGSI), a exemplo do especificado na NBR ISO/IEC 27001, considera uma visão holística e coordenada dos riscos de segurança da informação da organização, para implementar um conjunto de controles de segurança da informação detalhado, com base na estrutura global de um sistema de gestão coerente.

Muitos sistemas de informação não têm sido projetados para serem seguros, na ótica da NBR ISO/IEC 27001 e desta norma. A segurança que pode ser alcançada através de meios técnicos é limitada e está apoiada por procedimentos e gerenciamentos apropriados.

A identificação de quais controles devem ser implementados requer planejamento e atenção cuidadosa em nível de detalhes. Um sistema de gestão da segurança da informação bem-sucedido requer apoio de todos os funcionários da organização. Isto pode também exigir a participação de acionistas, fornecedores ou outras partes externas. Orientações de especialistas externos podem também ser necessárias.

De um modo geral, uma segurança da informação eficaz também garante à direção e a outras partes interessadas que os ativos da organização estão razoavelmente seguros e protegidos contra danos, agindo como um facilitador dos negócios. Assim, é essencial que uma organização identifique os seus requisitos de segurança da informação. Existem três fontes principais de requisitos de segurança da informação.

A avaliação de riscos para a organização, levando-se em conta os objetivos e as estratégias globais de negócio da organização. Por meio da avaliação de riscos, são identificadas as ameaças aos ativos e as vulnerabilidades destes, e realizada uma estimativa da probabilidade de ocorrência das ameaças e do impacto potencial ao negócio.

A legislação vigente, os estatutos, a regulamentação e as cláusulas contratuais que a organização, seus parceiros comerciais, contratados e provedores de serviço têm que atender, além do seu ambiente sociocultural. Os conjuntos particulares de princípios, objetivos e os requisitos do negócio para o manuseio, processamento, armazenamento, comunicação e arquivo da informação, que uma organização tem que desenvolver para apoiar suas operações.

Os recursos empregados na implementação dos controles precisam ser balanceados com base na probabilidade de danos ao negócio, resultado dos problemas de segurança pela ausência desses controles. Os resultados de uma avaliação de risco ajudarão a orientar e determinar as ações de gestão apropriadas e as prioridades para gerenciar os riscos de segurança da informação e a implementação dos controles selecionados para proteger contra estes riscos.

A NBR ISO/IEC 27005 fornece as diretrizes sobre gestão de riscos de segurança da informação, incluindo orientações sobre avaliação de riscos, tratamentos de riscos, aceitação de riscos, comunicação de riscos, monitoramento e análise crítica dos riscos. Os controles podem ser selecionados desta norma ou de outros conjuntos de controles, ou novos controles podem ser projetados para atender às necessidades específicas, conforme apropriado.

A seleção de controles de segurança da informação depende das decisões da organização, baseadas nos critérios para aceitação de risco, nas opções para tratamento do risco e no enfoque geral da gestão de risco aplicado à organização, e convém que a seleção destes controles também esteja sujeita a todas as legislações e regulamentações nacionais e internacionais relevantes. A seleção de controles também depende da maneira pela qual os controles interagem para prover uma proteção segura.

Alguns dos controles nesta norma podem ser considerados princípios básicos para a gestão da segurança da informação e podem ser aplicados à maioria das organizações. Os controles são explicados em mais detalhes logo a seguir, no campo diretrizes para implementação. Mais informações sobre seleção de controles e outras opções para tratamento de riscos podem ser encontradas na NBR ISO/IEC 27005.

A informação tem um ciclo de vida natural, desde a sua criação e origem, armazenamento, processamento, uso e transmissão, até a sua eventual destruição ou obsolescência. O valor e os riscos aos ativos podem variar durante o tempo de vida da informação (por exemplo, revelação não autorizada ou roubo de balanços financeiros de uma companhia é muito menos importante depois que eles são formalmente publicados), porém a segurança da informação permanece importante em algumas etapas de todos os estágios.

Sistemas de informação têm ciclos de vida nos quais eles são concebidos, especificados, projetados, desenvolvidos, testados, implementados, usados, mantidos e, eventualmente, retirados do serviço e descartados. Convém que a segurança da informação seja considerada em cada estágio. Desenvolvimentos de sistemas novos e mudanças nos sistemas existentes são oportunidades para as organizações atualizarem e melhorarem os controles de segurança, levando em conta os incidentes reais e os riscos de segurança da informação, projetados e atuais.

Enfim, a segurança da informação diz respeito à proteção de determinados dados, com a intenção de preservar seus respectivos valores para uma organização (empresa) ou um indivíduo. Pode-se entender como informação todo o conteúdo ou dado valioso para um indivíduo/organização, que consiste em qualquer conteúdo com capacidade de armazenamento ou transferência, que serve a determinado propósito e que é de utilidade do ser humano.

Atualmente, a informação digital é um dos principais produtos de nossa era e necessita ser convenientemente protegida. A segurança de determinadas informações podem ser afetadas por vários fatores, como os comportamentais e do usuário, pelo ambiente/infraestrutura em que ela se encontra e por pessoas que têm o objetivo de roubar, destruir ou modificar essas informações.

Três características são básicas para segurança da informação em nuvem: confidencialidade, disponibilidade e integridade e podem ser consideradas até mesmo atributos. A confidencialidade diz respeito à inacessibilidade da informação, que não pode ser divulgada para um usuário, entidade ou processo não autorizado; quanto à integridade, a informação não deve ser alterada ou excluída sem autorização; e a disponibilidade é o acesso aos serviços do sistema/máquina para usuários ou entidades autorizadas. Toda vulnerabilidade de um sistema ou computador pode representar possibilidades de ponto de ataque de terceiros.

Igualmente, para a segurança da informação, os leitores podem consultar a NBR ISO/IEC 27001 de 11/2013 – Tecnologia da informação – Técnicas de segurança – Sistemas de gestão de segurança da informação – Requisitos que especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão da segurança da informação dentro do contexto da organização. Esta norma também inclui requisitos para a avaliação e tratamento de riscos de segurança da informação voltados para as necessidades da organização. Os requisitos definidos nesta norma são genéricos e são pretendidos para serem aplicáveis a todas as organizações, independentemente do tipo, tamanho ou natureza. A exclusão de quaisquer dos requisitos especificados nas Seções 4 a 10 não é aceitável quando a organização busca a conformidade com esta norma.

A NBR ISO/IEC 27003 de 10/2011 – Tecnologia da informação – Técnicas de segurança – Diretrizes para implantação de um sistema de gestão da segurança da informação foca os aspectos críticos necessários para a implantação e projeto bem sucedidos de um Sistema de Gestão da Segurança da Informação (SGSI), de acordo com a NBR ISO IEC 27001:2005. A norma descreve o processo de especificação e projeto do SGSI desde a concepção até a elaboração dos planos de implantação. Ela descreve o processo de obter a aprovação da direção para implementar o SGSI, define um projeto para implementar um SGSI (referenciado nesta norma como o projeto SGSI), e fornece diretrizes sobre como planejar o projeto do SGSI, resultando em um plano final para implantação do projeto do SGSI.

A NBR ISO/IEC 27004 de 04/2010 – Tecnologia da informação – Técnicas de segurança – Gestão da segurança da informação – Medição fornece as diretrizes para o desenvolvimento e uso de métricas e medições a fim de avaliar a eficácia de um Sistema de Gestão de Segurança da Informação (SGSI) implementado e dos controles ou grupos de controles, conforme especificado na NBR ISO/IEC 27001. Esta norma é aplicável a todos os tipos e tamanhos de organizações.

O usuário deste documento precisa interpretar corretamente cada uma das formas verbais das expressões fornecidas (por exemplo: “deve”, “não deve”, “convém que”, “não convém que”, “pode”, “não precisa” e “não pode”) como sendo um requisito a ser atendido e/ou recomendações em que existe certa liberdade de escolha. Convém que seja consultado o Anexo A da ISO/IEC 27000:2009 para esclarecimentos adicionais.

Esta norma fornece diretrizes para elaboração e uso de medidas e medições a fim de avaliar a eficácia de um Sistema de Gestão de Segurança da Informação (SGSI) implementado e de controles ou grupos de controles, conforme especificado na NBR ISO/IEC 27001. Isto inclui a política, gestão de riscos de segurança da informação, objetivos de controles, controles, processos e procedimentos, e apoio ao processo de sua revisão, ajudando a determinar se algum processo ou controle do SGSI precisa ser modificado ou melhorado.

É necessário lembrar que nenhuma medição de controles pode garantir segurança completa. A implementação desta metodologia constitui um Programa de Medição de Segurança da Informação. O Programa de Medição de Segurança da Informação vai apoiar a gestão na identificação e avaliação de processos e controles do SGSI ineficazes e não conformes e na priorização de ações associadas com a melhoria ou modificação desses processos e/ou controles.

Também pode auxiliar a organização na demonstração da conformidade com a NBR ISO/IEC 27001 e prover evidências adicionais para os processos de análise crítica pela direção e de gestão de riscos em segurança da informação. Esta norma assume que o ponto de partida para o desenvolvimento das medidas e medições é o entendimento claro dos riscos de segurança da informação que a organização enfrenta e que as atividades de análise de riscos da organização têm sido executadas corretamente (por exemplo, baseada na NBR ISO/IEC 27005), conforme requerido pela NBR ISO/IEC 27001.

O Programa de Medição de Segurança da Informação encorajará que uma organização forneça informações confiáveis às partes interessadas pertinentes relacionadas com os riscos de segurança da informação e com a situação do SGSI implementado para gerenciar esses riscos. Se for eficazmente implementado, o Programa de Medição de Segurança da Informação aumentará a confiança das partes interessadas nos resultados das medições e possibilitará às partes interessadas a usarem essas medidas para realizar a melhoria contínua da segurança da informação e do SGSI.

Os resultados acumulados de medição permitirão a comparação do progresso em atingir os objetivos de segurança da informação sobre um período de tempo como parte de um processo de melhoria contínua do SGSI da organização. A NBR ISO/IEC 27001 exige que a organização “realize análises críticas regulares da eficácia do SGSI levando em consideração os resultados da eficácia das medições” e que “meça a eficácia dos controles para verificar se os requisitos de segurança da informação foram alcançados”.

A NBR ISO/IEC 27001 também exige que a organização “defina como medir a eficácia dos controles ou grupo de controles selecionados e especifique como essas medidas devem ser usadas para avaliar a eficácia dos controles para produzir resultados comparáveis e reproduzíveis”. A abordagem adotada por uma organização para atender os requisitos de medição especificados na NBR ISO/IEC 27001 vai variar de acordo com o número de fatores significantes, incluindo os riscos de segurança da informação que a organização enfrenta, o tamanho da organização, recursos disponíveis, e requisitos legais, regulatórios e contratuais aplicáveis.

A seleção e a justificativa criteriosa do método usado para atender aos requisitos de medição são importantes para assegurar que recursos em excesso não sejam direcionados a estas atividades do SGSI em detrimento de outras. Em condições ideais, as atividades de medição em curso devem ser integradas nas operações normais da organização com um acréscimo mínimo de recursos.

Os objetivos da medição de Segurança da informação no contexto de um SGSI incluem: avaliar a eficácia dos controles ou grupos de controles implementados (ver “4.2.2 d)” na Figura 1); avaliar a eficácia do SGSI implementado (ver 4.2.3 b)” na Figura 1); verificar a extensão na qual os requisitos de segurança da informação identificados foram atendidos (ver “4.2.3 c)” na Figura 1); facilitar a melhoria do desempenho da segurança da informação em termos dos riscos de negócio globais da organização; fornecer entradas para a análise crítica pela direção para facilitar as tomadas de decisões relacionadas ao SGSI e justificar as melhorias necessárias do SGSI implementado.

A figura a abaixo ilustra o relacionamento cíclico de entrada e saída das atividades de medição em relação ao ciclo Planejar-Fazer-Checar-Agir (PDCA), especificado na NBR ISO/IEC 27001. Os números em cada figura representam as subseções relevantes da NBR ISO/IEC 27001:2006.

digital3

Convém que a organização estabeleça objetivos de medição baseados em certas considerações, incluindo: o papel da segurança da informação em apoiar as atividades globais da organização e os riscos que ela encara; requisitos legais, regulatórios e contratuais pertinentes; estrutura organizacional; custos e benefícios de implementar as medidas de segurança da informação; critério de aceitação de riscos para a organização; e a necessidade de comparar diversos SGSI dentro da própria organização. Convém que uma organização estabeleça e gerencie um Programa de Medição de Segurança da Informação, a fim de alcançar os objetivos de medição estabelecidos e adotar um modelo PDCA nas atividades de medição globais da organização.

Também convém que uma organização desenvolva e implemente modelos de medições, a fim de obter resultados repetitivos, objetivos e úteis da medição baseado no Modelo de Medição da Segurança da Informação (ver 5.4). Convém que o Programa de Medição de Segurança da Informação e o modelo de medição desenvolvidos assegurem que uma organização alcance efetivamente os objetivos e as medições de forma repetitiva e forneça os resultados das medições para as partes interessadas pertinentes de modo a identificar as necessidades de melhorias do SGSI implementado, incluindo seu escopo, políticas, objetivos, controles, processos e procedimentos.

Convém que um Programa de Medição de Segurança da Informação inclua os seguintes processos: desenvolvimento de medidas e medição (ver Seção 7); operação da medição (ver Seção 8); relato dos resultados da análise de dados e da medição (ver Seção 9); e avaliação e melhoria do Programa de Medição de Segurança da Informação (ver Seção 10). Convém que a estrutura organizacional e operacional de um Programa de Medição de Segurança da Informação seja determinada levando em consideração a escala e a complexidade do SGSI do qual ele é parte.

Em todos os casos, convém que os papéis e responsabilidades para o Programa de Medição de Segurança da Informação sejam explicitamente atribuídos ao pessoal competente ( ver 7.5.8). Convém que as medidas selecionadas e implementadas pelo Programa de Medição de Segurança da Informação, estejam diretamente relacionadas à operação de um SGSI, a outras medidas, assim como aos processos de negócio da organização.

As medições podem ser integradas às atividades operacionais normais ou executadas a intervalos regulares determinados pela direção do SGSI. Assim, o Modelo de Medição de Segurança da Informação é uma estrutura que relaciona uma necessidade de informação com os objetos relevantes da medição e seus atributos. Objetos de medição podem incluir processos planejados ou implementados, procedimentos, projetos e recursos.

O Modelo de Medição de Segurança da Informação descreve como os atributos relevantes são quantificados e convertidos em indicadores que fornecem uma base para a tomada de decisão. A figura abaixo mostra o modelo de medição de Segurança da Informação.

digital4

Uma medida básica é a medida mais simples que pode ser obtida. A medida básica resulta da aplicação do método de medição aos atributos selecionados de um objeto de medição. Um objeto de medição pode ter muitos atributos, dos quais somente alguns podem fornecer valores úteis a serem atribuídos a uma medida básica. Um dado atributo pode ser usado para diversas medidas básicas.

Um método de medição é uma sequência lógica de operações usadas para quantificar um atributo de acordo com uma escala especificada. A operação pode envolver atividades, tais como a contagem de ocorrências ou observação da passagem do tempo. Um método de medição pode aplicar atributos a um objeto de medição.

Exemplos de um objeto de medição incluem mas não estão limitados a: desempenho dos controles implementados no SGSI; situação dos ativos de informação protegidos pelos controles; desempenho dos processos implementados no SGSI; comportamento do pessoal que é responsável pelo SGSI implementado; atividades de unidades organizacionais responsáveis pela segurança da informação; e grau da satisfação das partes interessadas.

Um método de medição pode usar objetos de medição e atributos de variadas fontes, tais como: análise de riscos e resultados de avaliações de riscos; questionários e entrevistas pessoais; relatórios de auditorias internas e/ou externas; registros de eventos, tais como logs, relatórios estatísticos, e trilhas de auditoria; relatórios de incidentes, particularmente aqueles que resultaram na ocorrência de um impacto; resultados de testes, por exemplo, testes de invasão, engenharia social, ferramentas de conformidade, e ferramentas de auditoria de segurança; ou registros de segurança da informação da organização relacionados a programa e procedimentos, por exemplo, resultados de treinamentos de conscientização em segurança da informação.

digital5

Uma medida derivada é um agregado de duas ou mais medidas básicas. Uma dada medida básica pode servir como entrada para diversas medidas derivadas. Uma função de medição é um cálculo usado para combinar medidas básicas para criar uma medida derivada. A escala e a unidade da medida derivada dependem das escalas e unidades das medidas básicas das quais ela é composta, assim como da forma como elas são combinadas pela função de medição.

A função de medição pode envolver uma variedade de técnicas, como média de medidas básicas, aplicação de pesos a medidas básicas, ou atribuição de valores qualitativos a medidas básicas. A função de medição pode combinar medidas básicas usando escalas diferentes, como porcentagens e resultados de avaliações qualitativas. Um exemplo do relacionamento de elementos adicionais na aplicação do modelo de medição de Segurança da informação, por exemplo, medidas básicas, função de medição e medidas derivadas são apresentadas na tabela abaixo.

digital6

Um indicador é uma medida que fornece uma estimativa ou avaliação de atributos especificados derivados de um modelo analítico de acordo com a necessidade de informação definida. Indicadores são obtidos pela aplicação de um modelo analítico a uma medida básica e/ou derivada, combinando-as com critérios de decisão. A escala e o método de medição afetam a escolha das técnicas analíticas utilizadas para produzir os indicadores. Um exemplo de relacionamentos entre medidas derivadas, modelo analítico e indicadores para o modelo de medição de Segurança da informação é apresentado na tabela abaixo.

digital7

Se um indicador for representado em forma gráfica, convém que possa ser usado por usuários visualmente debilitados e que cópias monocromáticas possam ser feitas. Para tornar a representação possível, convém que ela inclua cores, sombreamento, fontes ou outros métodos visuais.

Os resultados de medição são desenvolvidos pela interpretação de indicadores aplicáveis baseados em critérios de decisão definidos e convém que sejam considerados no contexto global dos objetivos de medição para avaliação da eficácia do SGSI. O critério de decisão é usado para determinar a necessidade de ação ou investigação futura, bem como para descrever o nível de confiança nos resultados de medição.

Os critérios de decisão podem ser aplicados a uma série de indicadores, por exemplo, para conduzir análise de tendências baseadas em indicadores recebidos a intervalos de tempo diferente. Alvos fornecem especificações detalhadas para desempenho, aplicáveis à organização ou partes dela, derivados dos objetivos de segurança da informação tais como os objetivos do SGSI e objetivos de controle, e que precisam ser definidos e atendidos para se alcançar esses objetivos.

Enfim, a informação digital está diretamente ligada à segurança da informação que se relaciona com as áreas de negócio, principalmente com a área de tecnologia, uma vez que esta sustenta a maioria dos processos de negócio da empresa. A sinergia da área com os projetos e departamentos da organização é caráter fundamental para a boa prática da segurança da informação no ambiente corporativo.

Uma boa política e uma adequada cultura de segurança da informação, necessita ser desenvolvida pelos gestores de Tecnologia da Informação antes de garantir a entrega dos recursos e da informação para os usuários, além de mantê-los íntegros e confidenciais. As informações de negócio de uma organização estão dispostas em um complexo ecossistema formado por processos de negócio, pessoas e tecnologia.

Para garantir a continuidade do negócio de uma organização, é preciso assegurar que cada membro deste ecossistema esteja em conformidade com normas internas criadas pela própria organização e normas técnicas nacionais ou internacionais. Contudo, o principal objetivo nunca muda e em todos os programas de desenvolvimento de uma política e cultura de segurança da informação sempre se encontrar três itens: garantir disponibilidade dos recursos/informação; garantir a integridade da informação; e garantir confidencialidade da informação.



Categorias:Normalização, Qualidade

Tags:, , , , , , , , , , , , , ,

Deixe uma resposta

%d blogueiros gostam disto: