As seções mostradas anteriormente constituem de fato as soluções gerais para a segurança da informação adotadas em ambientes organizacionais. Juntas, elas permitem que uma organização inicie o seu processo de segurança da informação e a partir daí estabeleça suas próprias soluções de acordo com os requisitos do seu negócio. Em resumo, vimos que:

  1. gerenciamento de riscos: permite identificar as ameaças e quantificar os riscos, orientando assim na tomada de decisões, na seleção de controles e na definição de prioridades;

  2. política de segurança da informação: formaliza o processo de segurança da informação, definindo regras e padrões para a proteção da informação de acordo com as leis e requisitos do negócio;

  3. gestão de ativos: permite alcançar e manter um nível adequado de proteção dos ativos da organização por meio da atribuição de responsabilidades e da classificação da informação;

  4. segurança em recursos humanos: tenta evitar a má utilização de recursos e a ocorrência de roubos, fraudes e falhas humanas através do treinamento e conscientização de funcionários, fornecedores e terceiros a respeito de suas responsabilidades no processo de segurança da informação;

  5. segurança física e do ambiente: previne acessos físicos não autorizados, danos e interferências a equipamentos, instalações e informações, bem como a interrupção das atividades de negócio, o que pode ser conseguido pelo estabelecimento de áreas seguras e providenciando adequada proteção física aos equipamentos;

  6. gerenciamento de operações e comunicações: tenta garantir a operação segura e correta dos recursos de comunicação e processamento da informação, utilizando-se de ferramentas que fazem o controle, transporte seguro e monitoramento das informações que trafegam na rede (para dentro ou fora dela), assim como o monitoramento da rede como um todo visando detectar ações não autorizadas, e também fazendo uso de procedimentos de segurança como a geração  de bakups, descarte seguro de informações, configuração adequada de servidores web e estações de trabalho remotas etc;

  7. controle de acessos: previne acessos não autorizados à informação, serviços de rede, aplicativos, sistemas operacionais, recursos de processamento e processos de negócio por meio de mecanismos de autenticação;

  8. segurança em sistemas de informação: tenta impedir a ocorrência de erros, perdas e modificações não autorizadas em sistemas de informação, além da má utilização desses sistemas, utilizando controles que fazem a validação de dados de entrada e saída e realizando o gerenciamento das vulnerabilidades;

  9. segurança no desenvolvimento de sistemas: busca a proteção dos sistemas desenvolvidos internamente e das bases de dados que interagem com esses sistemas, por meio de medidas de segurança como a segregação de ambientes, a adoção de uma metodologia de desenvolvimento, realização de testes e gerenciamento de mudanças;

  10. gestão de incidentes de segurança da informação: tenta garantir que fragilidades e incidentes de segurança da informação sejam comunicados, possibilitando a correção dos problemas em tempo hábil, reduzindo os danos provocados, utilizando para isso de procedimento formais de registro, conscientização de funcionários, fornecedores e terceiros a respeito de suas responsabilidades;

  11. continuidade do negócio: visa impedir a interrupção das atividades de negócio e a perda de ativos de informação e proteger os processos críticos contra desastres e falhas ou ainda garantir a recuperação em tempo hábil minimizando o impacto, o que pode ser alcançado pela avaliação de ameaças e riscos, elaboração de um plano de contingência, atribuição de responsabilidades e  da imediata substituição de recursos;

  12. conformidade: tenta evitar a violação de políticas e normas organizacionais, leis, regulamentos, contratos e requisitos de segurança, por meio da contratação de uma consultoria jurídica, análise crítica da política de segurança da informação e da auditoria de sistemas de informação;

  13. coordenação do processo de segurança da informação: tem o objetivo de iniciar, implementar, manter e melhorar a segurança da informação dentro da organização, por meio de ações tomadas pela direção como a aprovação de uma política de segurança da informação, contratação de uma consultoria especializada em segurança da informação e uma análise crítica dos resultados.


MACHADO, Marcel Jacques. Segurança da Informação: uma Visão Geral sobre as Soluções Adotadas em Ambientes Organizacionais. Curitiba: UFPR, 2012. Trabalho de Graduação – Bacharelado em Ciência da Computação, Universidade Federal do Paraná, Curitiba, 2012.