Framework de segurança de um sistema de informação

Abstract

seus processos de negócio com fins lucrativos ou não, devendo garantir permanentemente a continuidade do negócio, sem alteração de algumas das propriedades fundamentais da informação: confidencialidade, integridade e disponibilidade. Os Sistemas de Informação são um factor determinante para a competitividade das organizações, constituindo uma ferramenta que estimula a sua produtividade, imprescindível ao processo de tomada de decisão aos vários níveis de gestão. A actual sociedade em rede suportada fundamentalmente na Internet, apresenta novas ameaças dirigidas aos Sistemas de Informação organizacionais, independentemente do tipo de organização, da dimensão, da natureza (pública ou privada) e dos recursos de tecnologias de informação e comunicação existentes. Dada a complexidade e abrangência da questão, existe a necessidade de uma Framework de Segurança, para garantir fundamentalmente a segurança dos recursos de informação, integrando diferentes visões: a da comunidade científica (modelo conceptual), a percepção dos decisores (modelo comportamental) e o modelo tecnológico de suporte aos processos de negócio. Para proteger uma organização das ameaças à segurança da sua informação ou da que está sob a sua responsabilidade, deve a organização possuir uma política de segurança, sendo necessário simultaneamente uma identificação e avaliação de riscos. É necessário, para a eficaz segurança da informação nas organizações, uma análise dos sistemas e actores que interagem com a organização, de forma a identificar actuais e futuras ameaças aos seus recursos e fluxos de informação. Esta análise permitirá apresentar uma visão macroscópica das ameaças que poderão surgir aos vários níveis de gestão das organizações, suportados por diversos Sistemas de Informação que, de forma contínua, procuram explorar as suas vulnerabilidades. Propomos então apresentar uma Framework de Segurança para um Sistema de Informação, para garantir a segurança de um dos seus principais activos, a informação e servir como possível modelo de gestão de segurança da informação, aos decisores das organizações na tomada de decisões sobre a segurança da informação e sua gestão. Procuraremos simultaneamente minimizar as possíveis acções de Guerra de Informação / Competitive Intelligence, reflectindo nesta Framework vários Standards de boas práticas da segurança da informação. Temos como objectivo principal garantir a protecção dos SI organizacionais dos métodos de ataque produzidos com base nas actuais ameaças e tipo de armas utilizadas (físicas, de sintaxe e semânticas). A Framework de Segurança a obter deverá ser de fácil operacionalização nos diversos níveis de gestão organizacional, aberta a novas evoluções tecnológicas, suportar facilmente a reengenharia de processos, integrar metodologias internas da organização e de fácil leitura.

One of the most important elements in an organization is information, which supports all of the negotiation process with profitable ends (or not) that must try to guarantee at all times, if not permanently, information`s fundamental properties: confidentiality, integrity, and availability. Information Systems are a determining factor for the organization’s capacity, consisting of a tool that stimulates its productivity, indispensable in the deciding making process at the various levels of management. The current network society supported primarily through the Internet, presents new threats to information networks that support organizational Information Systems, independent from the type of dimension, nature, organization, technological information resources, and existing communications. Consequently it demands the utilization of a Security Framework in order to guarantee the security of information resources, integrated in a scientific community (conceptual model); decider’s perception (behavioural model); and a technological model as support for negotiation processes. An established security policy and operational identification and evaluation methodology of risk must be distinguished in order to protect an organization from threats to its information or information which it is responsible for. It is necessary in order to guarantee information security efficiency, in an organization, an analysis of the system, and its agents that interact with the organization, in a way that could identify present and future threats to its resources and information fluxes. This analysis allows one to present a macroscopic vision of the threats that are in the various levels of management of the organization, supported by several Information Systems that, in a continuous form, search to discover its own vulnerabilities. We propose to present a Security Framework for organizational Information Systems, to guarantee the security of one of the principle actives information and to serve as a possible model of security information management, to the deciders from the organizations in the choice making process on information security and management. We search to minimize the possible actions of Information Warfare / Competitive Intelligence, outlining in this framework the various standards of good information security practise. We have as an objective to guarantee the protection of Information Organizational Systems from the various methods of attack produced by present day threats and types of weapons utilized (physical, of syntax and semantical). This framework is easily operational in the various levels of organizational management, open to new technological innovations, easily supporting the re-engineering of the processes, integrating internal organizational methologies which can be easily read.