Considerações Iniciais

A Segurança da Informação deve permear todos os campos de conhecimento em termos de Tecnologia da Informação e Comunicação, sendo calcada em três grandes pilares, quais sejam: pessoas, políticas/procedimentos e mecanismos tecnológicos.

Além disso, ela compreende diversas dimensões que influenciam, em todo ou em parte, as diversas iniciativas em Tecnologia da Informação e Comunicação. Para fins desta Orientação Técnica, são adotadas as seguintes dimensões, sem prejuízo de outras possibilidades a serem estabelecidas por cada Órgão Setorial para consecução de seus processos de negócio: 

• Confidencialidade: propriedade de não estar disponível ou não ser revelado para indivíduos, entidades ou processos não autorizados;
• Integridade: propriedade de completude e fidedignidade;
  Disponibilidade: propriedade de estar acessível e usável para atender tempestivamente à demanda de uma pessoa, processo, ou entidade autorizada;
• Autenticidade: propriedade de que uma pessoa, organização, entidade, documento ou informação é de fato o que ela diz ser;
  Irretratabilidade: também conhecida como não-repúdio, é a capacidade de provar a ocorrência de determinado evento ou ação, bem como provar a sua autoria ou responsabilidade;
• Rastreabilidade: capacidade de detectar a ocorrência de determinado evento ou ação, prover caracterização adequada do fato e determinar a sua autoria;
• Confiabilidade: propriedade de obter comportamentos e resultados de forma prevista e consistente;
  Utilidade: propriedade de agregar ou gerar valor em termos organizacionais; e
• Consciência: ato e estado de conhecimento, internalização e adoção de determinada informação como tendo valor relevante em termos pessoais e/ou organizacionais 

Em termos de gestão, a Segurança da Informação é baseada em Elementos Fundamentais e dividida em diversas Áreas de Gestão.

Figura 3: Elementos Fundamentais e Áreas de Gestão de
Segurança da Informação. (adaptado do Gartner)

Os Elementos Fundamentais são:

• I. Aquisições;
• II. Políticas, Padrões e Culturas;
• III. Pessoas;
• IV. Mudanças;
• V. Riscos.

As Áreas de Gestão são:

• I. Gestão de Vulnerabilidades e Ameaças;
• II. Monitoramento e Operações;
• III. Infraestrutura e Rede;
• IV. Identidades e Acessos;
• V. Nuvem;
• VI. Endpoints e Dispositivos Móveis;
• VII. Dados e Aplicações.