Tipos de riscos em projetos de Sistemas de Informação

      Comentários desativados em Tipos de riscos em projetos de Sistemas de Informação

O ponto de partida para um bom projeto de segurança da informação é a análise de risco. O objetivo desse processo é avaliar as possibilidades de ocorrência de incidentes e falhas de segurança, bem como as perdas e o impacto que isso pode provocar no negócio.

Atualmente as empresas têm reconhecido que a Segurança das Informações desempenha um papel importante para que objetivos sejam atendidos e novos negócios sejam viabilizados.

Contudo, as complexas topologias de rede atuais, onde às conexões estão ultrapassando fronteiras, estão cada vez mais em um ambiente hostil: atacantes estão colocando a prova a segurança das informações com uma freqüência cada vez maior e exigindo uma resposta aos incidentes ou ataques de forma cada vez mais rápida.

Podemos perceber que no cenário atual, as empresas não são capazes de reagir aos ataques ao seu ambiente computacional a tempo de impedir prejuízos financeiros diretos e indiretos aos negócios. Sendo assim, o maior desafio das empresas atualmente é conseguir gerenciar a Segurança das Informações no seu ambiente tão complexo.

As empresas devem gerenciar a Segurança das Informações desenvolvendo estratégias pró-ativas e re-ativas, analisando todos os riscos para o processo de negócio. A elaboração de um trabalho voltado para o “Diagnóstico” da segurança, permite que as empresas analisem com eficiência o estado atual do ambiente, determinando o grau de proteção dos ativos em informações contra possíveis ameaças. Sendo assim, os esforços e orçamentos serão direcionados para atividades mais prioritárias para o processo de negócios.

 

Análise de Segurança na Aplicação

As aplicações (softwares e sistemas de computador) são desenvolvidas para automatizar e viabilizar os processos e negócios da empresa. Certificar que essas aplicações operem com a segurança necessária é fundamental para a viabilidade do próprio negócio.

A análise de segurança na aplicação consiste em analisar o contexto tecnológico e não tecnológico relacionado na aplicação e identificar quais os requisitos de segurança que existem ou que deveriam existir na aplicação. Avaliar o nível de garantia de segurança desses requisitos implementados na aplicação.

Todo o processo de avaliação é realizado em conformidade com a norma ISO/IEC 15408 Common Criteria. O resultado final é a documentação da aplicação, o relatório final da avaliação e em caso de resultado positivo é emitido um Certificado de Segurança para a aplicação

Teste de Invasão

O teste de invasão tem como objetivo analisar os ambientes e seus sistemas de segurança pela ótica do invasor, sendo considerada uma técnica essencial para o bom andamento dos negócios. O objetivo não é causar danos, mas sim testar a eficácia dos mecanismos de segurança existentes.