DEV Community

Beatriz Oliveira for WoMakersCode

Posted on • Edited on

9

Um guia sobre normas de segurança da informação

Introduçāo

A segurança da informaçāo (SI), é um conceito que está ligado a um conjunto de regras e normas que tem como objetivo proteger as informações presentes no meio corporativo. Nos dias atuais, a informaçāo deve ser vista como um dos principais tipos de patrimônio existente dentro das organizações, por isso é considerável que ela seja preservada de qualquer tipo de evento que possa vir a danificá-la e consequentemente causar uma exposiçāo negativa ou até mesmo, resultar em perdas financeiras para as empresas.

Pilares da Segurança da Informaçāo

Para alcançar um bom nível de segurança nos ambientes, a Confidencialidade, a Integridade e a Disponibilidade sāo itens que ajudam as empresas a construir suas políticas internas de SI e também a se adequarem as normas que vamos detalhar logo abaixo.

Confidencialidade: As informações só podem ser acessadas por pessoas autorizadas.

Integridade: As informações não devem ser alteradas, a fonte desses dados precisa ser segura e autêntica.

Disponibilidade: As informações devem ser acessíveis aos usuários que forem autorizados sempre que elas necessitarem acessar.

Normas de Segurança da Informaçāo

As normas de SI existem com o objetivo de facilitar a implementaçāo e manutençāo de controles de segurança da informaçāo nas organizações. 

Atualmente, existem algumas normas nacionais e internacionais que sāo referência na área de segurança e algumas delas estāo detalhadas logo abaixo:

ABNT (Associação Brasileira de Normas Técnicas):  A ABNT é responável por manter algumas normas Brasileiras voltadas para a segurança física na área de tecnologia, como por exemplo, a NBR 1333, 1334 e a 1335.

ISO (International Standardization Organization): As normas ISO foram criadas visando atender diversos requisitos de segurança. 
Para estabelecer padrões para desenvolvimento de aplicações seguras, existe a ISO 15408. Para atender frentes específicas de segurança, foi criada a série 27000. Essa linha começa com a ISO 27000 e tem várias na sequencia, porém as mais conhecidas sāo a ISO27001 e a ISO27002, que focam em controle e armazenamento de dados digitais, entretanto só existe certificaçāo para a ISO27001, as outras normas ISO da família 27000, sāo consideradas apenas guias com boas práticas recomendadas.
Em um dos meus trabalhos acadêmicos, utilizei a ISO27001 como referência para criar processos de Segurança da Informaçāo para uma instituiçāo de ensino superior no Brasil. Atualmente esse estudo está publicado em uma revista científica brasileira e você pode ter acesso a ele nesse link.

PCI (Payment Card Industry): O PCI-DSS é um padrão de segurança para a proteção de dados de cartão de crédito, criado pelo PCI Council. O conselho foi criado em 2006 pela American Express, Discover, JCB International, MasterCard e Visa. Esse conselho ajuda comerciantes, e instituições financeiras e fornecedores a compreender e implementar políticas de segurança, tecnologia e processos que protejam os dados de cartão de crédito em seus sistemas financeiros. 
Escrevi um artigo mostrando como é possível atender alguns requerimentos do PCI-DSS, utilizando o Elastic Stack, como ferramenta de observabilidade e armazenamento de dados de auditoria.

SOX (Sarbannes-Oxley): A SOX ou Sarbox tem como objetivo manter auditorias para segurança das organizações, com o intuito de diminuir ou evitar fraudes. Ela foi criada após serem evidenciados diversos escândalos financeiros em algumas empresas dos Estados Unidos.

NIST 800–53: O NIST é uma norma do Instituto Nacional de Normas e Tecnologia (NIST) dos Estados Unidos. O NIST 000–53 em específico, define os padrões e diretrizes para agências federais gerenciarem seus sistemas de segurança da informação.

GDPR (General Data Protection Regulation): A GDPR é uma norma que entrou em vigor em 2018 e foi criada pela Comissão Européia, com o intuito de aumentar, melhorar e padronizar a proteção de dados pessoais na União Européia.

LGPD (Lei Geral de Proteção de Dados): A LGPD ainda não entrou em vigor no Brasil, mas o objetivo dela é similar ao da GDPR, estabelecer normas para proteger os dados pessoais no Brasil, por isso, todas as empresas, independente do porte, estão tendo que se adequar para quando a lei entrar em vigor, em agosto de 2020.

A criação de políticas e adequaçāo a normas de segurança sāo processos complexos, porém imprescindíveis para qualquer organizaçāo do mundo, por isso é muito importante estar sempre atento a cada uma delas, para evitar ataques cibernéticos e roubos de informações que venham a prejudicar as empresas e seus clientes.

Image of Timescale

🚀 pgai Vectorizer: SQLAlchemy and LiteLLM Make Vector Search Simple

We built pgai Vectorizer to simplify embedding management for AI applications—without needing a separate database or complex infrastructure. Since launch, developers have created over 3,000 vectorizers on Timescale Cloud, with many more self-hosted.

Read more

Top comments (0)

Sentry image

See why 4M developers consider Sentry, “not bad.”

Fixing code doesn’t have to be the worst part of your day. Learn how Sentry can help.

Learn more

👋 Kindness is contagious

Immerse yourself in a wealth of knowledge with this piece, supported by the inclusive DEV Community—every developer, no matter where they are in their journey, is invited to contribute to our collective wisdom.

A simple “thank you” goes a long way—express your gratitude below in the comments!

Gathering insights enriches our journey on DEV and fortifies our community ties. Did you find this article valuable? Taking a moment to thank the author can have a significant impact.

Okay