Na área de Segurança da Informação podemos destacar as seguintes atividades do Instituto:
- Análise de Risco;
- Análise da segurança de Aplicações;
- Teste de segurança;
- Plano Diretor de Segurança das Informações;
- Arquitetura de segurança;
- Política de segurança;
- Campanha de divulgação;
- Implantação de Segurança;
- Plano de contingência de negócio;
- Gestão de segurança da informação;
- Implementação de infra-estrutura de segurança
Análise de Risco
Anterior à implementação de controles de segurança da informação é preciso entender exatamente quais são seus riscos. A aplicação da análise de risco na organização é o marco principal no desenvolimento do planejamento das ações de segurança, pois trará um cenário da real situação da organização quanto à segurança da informação, as vulnerabilidades, as ameaças e os riscos, definindo a prioridade dos aspectos que devem ser tratados na organização.
Análise da segurança de Aplicações
A análise da segurança dae aplicações tem o objetivo de verificar a conformidade dos rquisitos de segurança de uma aplicação e de seu ambiente/plataforma com os interesses e objetivos defindos previamente pela organização.
A análise é baseada na norma ISO/IEC 15408 que permite a construção de requisitos de segurança e funcionalidade que servem como guia para o desenvolvimento ou aquisição de sistemas/softwares.
Teste de segurança
Como é cada vez mais freqüente a ameaça de acessos indevidos por hackers às informações através da exploração das fragilidades existentes nos ambientes para atingir seu alvo, somente com a simulação periódica desse tipo de ameaça, é que se pode ter a visão da suscetibilidade de seu ambiente e tomar medidas para minimizar o risco.
Plano Diretor de Segurança das Informações
O Plano Diretor de Segurança da Informação - PDSI é o desenvolvimento de um plano estratégico para a organização, alinhado com as suas metas, com intuito de direcionar seus esforços de manutenção, inovação e melhoria dentro da visão de gestão de riscos, visando à diminuição dos impactos recorrentes de falhas de segurança da informação.
Arquitetura de segurança
A arquitetura de segurança tem como objetivo a especificação de uma solução de sgurança integrada às necessidades do ambiente, alternativas técnicas (topologias), plano para implementação e relação custo/benefício.
Política de segurança
A política de segurança visa o desenvolvimento de diretrizes voltadas para auxiliar a organização, no planejamento,implementação e monitoração de mecanismos (normas, procedimentos, padrões, controles e outros) para orientar e suportar as atividades relativas à segurança das informações nas áreas de maior risco para seus processos de negócios.
Campanha de divulgação
A campanha estabelece um plano de ação para a sensibilização dos colaboradores quanto à segurança da informação, influenciando diretamente a mudança da cultura da organização. São utilizadas ferramentas de comunicação (folhetos, palestras, seminários, cartazes, vídeos, screensavers, mousepads, newsletter, etc) para apoiar a implementação da campanha.
Implantação de Segurança
A implantação de segurança visa aumentar o nível de segurança nos ativos (infra-estrutura, serviços, sistemas entre outros), através da aplicação de controle e recomendações de segurança da informação nos ativos para sanar vulnerabiidades, diminuindo assim os riscos.
O acompanhamento da implantação permite que sejam atendidas todas as recomendações, bem como exista a troca de tecnologia, para que o processo não seja descontinuado após a implantação.
Plano de contingência de negócio
Através de estratégias de contingência são descritos e documentados os procedimento de como agir no momento da ocorrência do sinistro e de crise. As organizações aplicam estes planos como diferencial competitivo em relação à sdemais, por possibilitar a continuidade de seus negócios.
O Plano de Contingência de Negócios auxilia no mapeamento dos processos de negócios existentes e sua classificação quanto à criticidade em relação à importância do mesmo no escopo da organização.
Gestão de segurança da informação
A preparação da estrutura organizacional de Gestão de Segurança da Informação é necessária para que possa realizar a condução e definição das diretrizes de segurança, sendo de preferência, através de um grupo multidisciplinar, que agrega visão corporativa e integrada das necessidades de segurança.
Esta estrutura deve ser ágil para permitir adequações constantes no Plano Diretor de Segurança da Informação, mediante mudanças estratégicas, tecnológicas, físicas e humanas que venham a ocorrer.
Implementação de infra-estrutura de segurança
Instalação e configuração de infra-estrutura de segurança, tais como: VPN, firewall, IDS, filtro de conteúdo, biometria, smart card e tokens.