A Politica De Segurança Da Informação Para A Defesa Nacional

RESUMO

A segurança da informação refere-se às práticas e medidas que são implementadas para proteger a confidencialidade, integridade e disponibilidade das informações. Isso inclui a proteção de sistemas e redes contra ataques cibernéticos, a proteção de dados contra perda, roubo ou destruição, bem como o controle de acesso às informações. Algumas das medidas que podem ser tomadas para garantir a segurança da informação incluem a implementação de políticas de segurança, o uso de criptografia para proteger dados sensíveis, o monitoramento constante de sistemas e redes para detectar ameaças e vulnerabilidades, e a realização de treinamentos de conscientização de segurança para funcionários. A segurança da informação é importante em todas as áreas que lidam com informações sensíveis, incluindo empresas, governos, organizações sem fins lucrativos e indivíduos. A falta de segurança da informação pode levar a violações de dados, roubo de identidade, perda de propriedade intelectual e interrupções no funcionamento de sistemas e redes.

Palavras-chave: segurança; framework; criptografia; gestão; prevenção.

 

1. INTRODUÇÃO

A segurança da informação é uma preocupação constante para organizações e governos em todo o mundo, sendo um tema de grande importância para a defesa nacional. A defesa nacional é uma área em que a segurança da informação é particularmente crucial, pois a proteção de informações confidenciais é essencial para a segurança e proteção da nação. A política de segurança da informação e o sistema de gestão de segurança da informação são elementos fundamentais para garantir a proteção das informações confidenciais em ambientes militares e governamentais. Para garantir a integridade, confidencialidade e disponibilidade dessas informações, é necessária a implementação de uma política de segurança da informação e um Sistema de Gestão de Segurança da Informação (SGSI) eficaz. Este artigo tem como objetivo discutir a importância da política de segurança da informação e a implementação do SGSI na defesa nacional.

 

2. POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

A política de segurança da informação é um conjunto de diretrizes e procedimentos que orientam a gestão da segurança da informação em uma organização ou governo. A política de segurança da informação para a defesa nacional deve ser estruturada de forma a garantir a confidencialidade, integridade e disponibilidade das informações críticas para a segurança nacional. Além disso, a política deve contemplar os aspectos legais, regulatórios e normativos relacionados à segurança da informação.

O primeiro passo para desenvolver uma política de segurança da informação é identificar os ativos de informação críticos para a defesa nacional. Em seguida, deve-se avaliar os riscos e as ameaças associados a esses ativos, para que medidas de segurança adequadas possam ser implementadas. A política deve abordar questões como autenticação, autorização, criptografia, backup e recuperação de dados, entre outros aspectos relevantes para a segurança da informação.

 

3. A TRÍADE CIA NA SEGURANÇA DA INFORMAÇÃO

A Tríade CIA (Confidencialidade, Integridade e Disponibilidade) é um modelo clássico de segurança da informação que se concentra em três objetivos principais para garantir a proteção adequada dos dados:

1. Confidencialidade: A confidencialidade é a proteção dos dados contra o acesso ou divulgação não autorizados. Isso significa que apenas as pessoas que têm autorização para acessar esses dados devem ser capazes de fazê-lo.
2. Integridade: A integridade refere-se à garantia de que os dados não foram alterados ou modificados sem autorização durante o seu armazenamento ou transmissão. Isso inclui a proteção dos dados contra erros, alterações maliciosas ou acidentais e garantia de que os dados são precisos e confiáveis.
3. Disponibilidade: A disponibilidade refere-se à capacidade de acessar e usar os dados sempre que necessário. Isso significa que os dados devem estar disponíveis para aqueles que têm autorização para acessá-los, a qualquer momento em que eles precisem ser usados.

Esses três componentes são considerados os princípios fundamentais da segurança da informação e são essenciais para garantir que os dados sejam mantidos seguros, confiáveis e acessíveis para as pessoas autorizadas. O objetivo geral da Tríade CIA é garantir que os dados sejam protegidos contra ameaças, como roubo, fraude, espionagem ou danos acidentais.

 

4. CRIPTOGRAFIA EM REPOUSO E TRÂNSITO NA SEGURANÇA DA INFORMAÇÃO

A criptografia é uma técnica de segurança da informação que consiste em transformar dados em um formato ilegível para protegê-los contra o acesso não autorizado. Existem dois tipos principais de criptografia utilizados na segurança da informação: a criptografia em repouso e a criptografia em trânsito.

A criptografia em repouso é usada para proteger dados armazenados em dispositivos de armazenamento, como discos rígidos, pendrives e servidores de banco de dados. Essa técnica envolve a criptografia dos dados antes de serem armazenados em dispositivos de armazenamento, de forma que só possam ser acessados por pessoas autorizadas com a chave de decodificação correta. A criptografia em repouso é importante porque, caso o dispositivo seja roubado ou acessado sem autorização, os dados ainda estarão protegidos.

A criptografia em trânsito, por sua vez, é usada para proteger dados que estão sendo transmitidos entre dois dispositivos, como durante a transmissão de dados pela Internet. Essa técnica envolve a criptografia dos dados durante a transmissão, de forma que só possam ser lidos por pessoas autorizadas que possuam a chave de decodificação correta. A criptografia em trânsito é importante porque os dados transmitidos pela Internet podem ser interceptados por pessoas mal-intencionadas que procuram acessar informações confidenciais.

Tanto a criptografia em repouso quanto a criptografia em trânsito são essenciais para garantir a segurança da informação. A criptografia em repouso protege dados armazenados em dispositivos de armazenamento, enquanto a criptografia em trânsito protege dados transmitidos pela Internet. Ambas as técnicas são importantes para garantir que informações confidenciais permaneçam protegidas contra o acesso não autorizado.

 

5. OS FRAMWORKS NA SEGURANÇA DA INFORMAÇÃO

Existem diversos frameworks utilizados na segurança da informação, cada um com seus objetivos e abordagens específicas. Alguns dos mais comuns incluem:

1. 1. ISO/IEC 27001: É um padrão internacional que estabelece um sistema de gestão da segurança da informação (SGSI) para gerenciar riscos e proteger as informações confidenciais da empresa. Ele abrange todas as áreas da empresa que possuem informações confidenciais, incluindo pessoas, processos e tecnologias.

   2. NIST Cybersecurity Framework: Desenvolvido pelo Instituto Nacional de Padrões e Tecnologia (NIST), é um framework de segurança cibernética que ajuda as organizações a identificar, avaliar e gerenciar riscos relacionados à segurança da informação. Ele enfatiza a importância da colaboração entre diferentes departamentos da empresa para proteger seus ativos de informação.
   3. PCI DSS: É um conjunto de padrões de segurança desenvolvido pelo Conselho de Padrões de Segurança de Pagamentos (PCI SSC) para ajudar as empresas a proteger as informações de cartões de crédito dos clientes. Ele estabelece requisitos para o armazenamento, processamento e transmissão segura de dados de cartão de crédito.
   4. COBIT: Framework que estabelece as melhores práticas para o gerenciamento de tecnologia da informação, incluindo a segurança da informação. Ele se concentra em processos de negócios e fornece uma estrutura para a governança de TI.

   5. CIS Controls: Desenvolvido pelo Center for Internet Security (CIS), é um conjunto de controles de segurança que ajudam as empresas a proteger seus sistemas e dados contra ameaças cibernéticas. Ele é composto por 20 controles, que abrangem desde a proteção de dados até o gerenciamento de vulnerabilidades e a resposta a incidentes de segurança.

Esses são apenas alguns dos frameworks de segurança mais comuns. A escolha do framework a ser adotado depende das necessidades específicas da empresa e dos seus objetivos de segurança.

5.1. O ISO 27K NA SEGURANÇA DA INFORMAÇÃO

O ISO 27K, também conhecida como ISO/IEC 27001, é uma norma internacional que estabelece os requisitos para um Sistema de Gestão de Segurança da Informação (SGSI). A norma é projetada para ajudar as organizações a estabelecer e manter um sistema de gerenciamento de segurança da informação eficaz, que proteja as informações confidenciais e reduza o risco de vazamento ou roubo de dados.

A norma ISO 27K inclui uma série de controles de segurança que as organizações podem adotar para garantir a proteção adequada das informações confidenciais. Os controles são projetados para cobrir uma ampla variedade de áreas, incluindo gestão de acesso, gestão de ativos, gestão de continuidade de negócios e gestão de incidentes de segurança da informação.

Além disso, a ISO 27K fornece uma estrutura para avaliar o risco de segurança da informação e desenvolver um plano de ação para mitigar esses riscos. A norma é baseada no ciclo PDCA (Plan-Do-Check-Act), um processo cíclico que envolve planejamento, execução, monitoramento e melhoria contínua.

A implementação da norma ISO 27K ajuda as organizações a proteger seus dados confidenciais e estabelecer um sistema eficaz de gerenciamento de segurança da informação. A certificação ISO 27K pode ser um diferencial competitivo para as empresas que buscam garantir a segurança de seus clientes e parceiros comerciais.

5.2. O NIST NA SEGURANÇA DA INFORMAÇÃO

O NIST (National Institute of Standards and Technology) é uma agência governamental dos Estados Unidos responsável pelo desenvolvimento e publicação de padrões e diretrizes para uma ampla variedade de áreas, incluindo segurança da informação.

Na área de segurança da informação, o NIST desenvolveu uma série de publicações chamada de “Special Publication (SP) 800”, que fornece orientações sobre diversos aspectos da segurança da informação, incluindo gestão de risco, controle de acesso, criptografia, segurança de rede, entre outros.

A publicação mais conhecida do NIST na área de segurança da informação é o “Framework for Improving Critical Infrastructure Cybersecurity” (Estrutura para Melhoria da Cibersegurança de Infraestrutura Crítica), que é amplamente utilizado por empresas e organizações como referência para a gestão de risco e segurança cibernética.

O NIST também é conhecido por sua metodologia de avaliação de conformidade em segurança da informação, o “NIST Cybersecurity Framework Assessment”. Essa metodologia é usada para avaliar a maturidade da segurança cibernética de uma organização e identificar áreas para melhorias.

O NIST é uma referência importante na área de segurança da informação, fornecendo diretrizes e padrões amplamente utilizados para a gestão de risco e segurança cibernética.

5.3. O PCI DSS NA SEGURANÇA DA INFORMAÇÃO

O PCI DSS (Payment Card Industry Data Security Standard) é um conjunto de requisitos de segurança de dados desenvolvido pelas principais empresas de cartão de crédito para garantir a segurança dos dados do titular do cartão durante as transações com cartão de crédito.

O PCI DSS estabelece requisitos de segurança rigorosos para todas as empresas que aceitam pagamentos com cartão de crédito, independentemente do tamanho da empresa ou do número de transações que realizam. Esses requisitos incluem a proteção de dados do titular do cartão em trânsito e em repouso, a implementação de controles de acesso, a manutenção de políticas de segurança e a realização de testes regulares de segurança.

A conformidade com o PCI DSS é essencial para manter a confiança dos consumidores em relação aos sistemas de pagamento com cartão de crédito. As empresas que não estão em conformidade com o PCI DSS podem ser sujeitas a multas e penalidades, além de colocarem em risco a reputação da empresa e a segurança das informações do titular do cartão.

5.4. O COBIT NA SEGURANÇA DA INFORMAÇÃO

O COBIT (Control Objectives for Information and Related Technology) é um framework de governança e gestão de TI que fornece orientações para a gestão eficaz dos processos de TI de uma organização. Embora o COBIT não seja especificamente focado em segurança da informação, ele inclui uma seção que aborda os controles de segurança da informação.

A seção de segurança da informação do COBIT fornece uma estrutura para avaliar e gerenciar riscos de segurança da informação e implementar controles de segurança adequados. Ela inclui uma lista de objetivos de controle e práticas recomendadas para a gestão da segurança da informação, como políticas de segurança da informação, avaliação de riscos, proteção de ativos de informação, gestão de incidentes de segurança, conscientização e treinamento em segurança da informação, entre outros.

Além disso, o COBIT fornece uma abordagem sistemática para a implementação de controles de segurança da informação. Ele enfatiza a importância de avaliar os riscos e selecionar os controles apropriados com base nesses riscos. Isso ajuda as organizações a garantir que estão implementando os controles de segurança mais adequados e eficazes para proteger seus ativos de informação.

O COBIT oferece uma estrutura abrangente para a gestão eficaz da segurança da informação, que pode ser aplicada em organizações de todos os tamanhos e setores.

5.5. O CIS NA SEGURANÇA DA INFORMAÇÃO

O CIS (Center for Internet Security) é uma organização sem fins lucrativos que se dedica a fornecer orientações e melhores práticas em segurança da informação. Fundado em 2000, o CIS trabalha em conjunto com especialistas em segurança da informação de empresas, governos e organizações sem fins lucrativos para desenvolver e promover padrões de segurança da informação.

Os padrões do CIS são um conjunto de diretrizes e controles de segurança da informação que ajudam as organizações a proteger seus sistemas e dados contra ameaças cibernéticas. Os padrões são baseados em pesquisas de especialistas em segurança da informação e em dados reais de ataques cibernéticos.

Os padrões do CIS são divididos em 20 controles críticos, que abrangem áreas como gerenciamento de acesso, monitoramento e detecção de ameaças, gerenciamento de vulnerabilidades e configuração segura de sistemas. Cada controle crítico é composto por várias subpráticas, que fornecem orientação detalhada sobre como implementar os controles.

A conformidade com os padrões do CIS pode ajudar as organizações a fortalecer sua postura de segurança da informação e a reduzir o risco de violações de dados e outras ameaças cibernéticas. A implementação dos controles críticos do CIS também pode ajudar as organizações a atender aos requisitos regulatórios e de conformidade.

 

6. SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO

O Sistema de Gestão de Segurança da Informação (SGSI) é um conjunto de processos e práticas que permitem a implementação, monitoramento, análise, avaliação e melhoria contínua da segurança da informação em uma organização ou governo. O SGSI é baseado na ISO/IEC 27001, que é uma norma internacional para a gestão da segurança da informação.

O SGSI para a defesa nacional deve ser estruturado de acordo com a política de segurança da informação e deve abranger todos os aspectos relevantes para a segurança da informação. O SGSI deve contemplar processos de gestão de riscos, gestão de incidentes, gestão de acesso, gestão de continuidade de negócios e gestão de conformidade.

Além disso, o SGSI deve ser integrado à gestão geral da organização ou governo, garantindo que a segurança da informação seja tratada como um elemento estratégico para a proteção da nação. O SGSI deve ser implementado por meio de um processo de planejamento, implementação, monitoramento e melhoria contínua, de forma a garantir a eficácia e eficiência do sistema.

 

CONCLUSÃO

A segurança da informação é um aspecto fundamental em qualquer organização que lida com dados confidenciais e sensíveis. A crescente dependência da tecnologia na sociedade moderna torna a segurança da informação ainda mais importante. Existem várias ameaças à segurança da informação, incluindo hackers, malware, phishing, engenharia social e outras formas de ataques cibernéticos. É essencial que as empresas implementem medidas de segurança adequadas para proteger seus dados e sistemas. Algumas das medidas de segurança comuns incluem o uso de senhas fortes, autenticação de dois fatores, criptografia de dados, firewalls, antivírus e treinamento de funcionários em conscientização de segurança da informação.

A segurança da informação é uma responsabilidade compartilhada entre as empresas e seus funcionários. Cada pessoa deve estar ciente dos riscos de segurança da informação e tomar medidas para proteger as informações confidenciais. A segurança da informação é um aspecto crítico em qualquer organização, e a implementação de medidas de segurança adequadas é essencial para proteger dados e sistemas contra ameaças cibernéticas cada vez mais sofisticadas.

A política de segurança da informação e o sistema de gestão de segurança da informação são elementos cruciais para garantir a proteção das informações críticas para a defesa nacional. A implementação de uma política de segurança da informação e de um SGSI efetivo requer planejamento, recursos adequados e comprometimento da alta administração. A segurança da informação deve ser tratada como uma prioridade estratégica para garantir a proteção da nação em um ambiente cada vez mais complexo e ameaçador.

 

REFERÊNCIAS BIBLIOGRÁFICAS

1. Stallings, W. (2017). Cryptography and Network Security: Principles and Practice. Pearson Education.

2. Whitman, M. E., & Mattord, H. J. (2016). Management of Information Security. Cengage Learning.
3. Ross, R. S., & Stoneburner, G. (2013). Risk Management Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy. National Institute of Standards and Technology.
4. Schneier, B. (2015). Data and Goliath: The Hidden Battles to Collect Your Data and Control Your World. WW Norton & Company.
5. Goodrich, M. T., & Tamassia, R. (2014). Introduction to Computer Security. Pearson Education.
6. Shostack, A. (2014). Threat modeling: designing for security. John Wiley & Sons.
7. Anderson, R. (2008). Security Engineering: A Guide to Building Dependable Distributed Systems. John Wiley & Sons.
8. Bishop, M. (2003). Computer Security: Art and Science. Addison-Wesley.
9. NIST Special Publication 800-53: Security and Privacy Controls for Federal Information Systems and Organizations. National Institute of Standards and Technology. (2020)

10. ISO/IEC 27001:2013 Information technology — Security techniques — Information security management systems — Requirements. International Organization for Standardization. (2013)

 

Autor: Richard Guedes
DCiber.ORG | CyKairos | DPO | CISM | CISA | OpSec | Offensive Security | Cyber Defense