terça-feira, 12 de maio de 2009

CONSIDERAÇÕES SOBRE A METODOLOGIA OCTAVE E SUA POSSÍVEL APLICAÇÃO NA APF.

No prefácio do livro “Managing information security risks”, de Christopher J. Alberts, Audrey J. Dorofee, os autores assim se expressam: Muitas pessoas parecem estar à procura de uma “bala de prata” quando se trata de segurança da informação.
Elas muitas vezes esperam que a mais recente ferramenta tecnológica resolva seus problemas. Poucas organizações param para avaliar o que elas estão realmente tentando proteger (e por que) a partir de uma perspectiva organizacional antes de selecionar alternativas de solução.
Essa introdução já nos mostra como será tratado o risco e como será feita a análise de riscos, ameaças e vulnerabilidades, pelos autores do método OCTAVE.
A primeira coisa que será feita no caso da abordagem OCTAVE é a contextualização e identificação dos riscos.
No entanto, não é mérito apenas da metodologia OCTAVE essa visão de contextualização dos riscos, a mesma abordagem encontramos na metodologia NIST.
Ademais, existe atualmente uma série de métodos de avaliação de segurança o que leva o tomador de decisão a confundir-se ao tentar selecionar um método adequado para avaliar os riscos de segurança da informação da sua organização.
Ainda conforme os autores do método OCTAVE, a maioria dos atuais métodos são "bottom-up": começam com a infra-estrutura computacional e centram-se nas vulnerabilidades tecnológicas, sem considerar os riscos que afetam a missão da organização e objetivos empresariais, sendo que a melhor alternativa é olhar para a própria organização e identificar o que precisa ser protegido, e desenvolver soluções baseadas tanto na tecnologia como nas práticas.
A metodologia OCTAVE de avaliação dos riscos de segurança da informação:
· Abrange ativos, ameaças e vulnerabilidades;
· Permite que os tomadores de decisão desenvolvam prioridades baseadas no que é importante para a organização
· Abrange questões organizacionais relacionadas com o modo como os recursos computacionais são utilizados para atingir os objetivos de da organização.
· Abrange questões tecnológicas relativas à configuração dos recursos computacionais
· Deve ser um método flexível, podendo ser adaptado a cada organização.
Uma abordagem baseada no risco poderia ajudar as pessoas a compreender como as informações de segurança da organização afetam a missão e objetivos empresariais, estabelecendo quais ativos são importantes para a organização e como eles estão em risco.
Desta forma, o órgão pode atuar de forma mais eficaz, criando as melhores condições para que a missão seja cumprida, com diminuição da probabilidade de impactos sociais, políticos ou econômicos.
Levando-se em consideração o que acima foi descrito podemos entender que a metodologia OCTAVE poderia ser bem aplicada na Administração Pública. Não podemos descuidar, porém da sua forma de aplicação, ou seja, aquelas pessoas que irão aplicar a metodologia devem estar imbuídas desses mesmos princípios e zelar para que eles sejam atendidos.

Trabalho elaborado por: ANA ROSA

Um comentário:

Vlademir disse...

Muito bom... ótimo.

Abraços