This post is also available in: Português English Español
O tema segurança da informação é amplamente discutido e evidenciado em meio corporativo, uma vez que a informação é considerada um dos bens mais valiosos para as organizações, independente do seu segmento ou porte. A importância da informação, ampliou a necessidade do desenvolvimento de estrutura padronizada para implantação e operação dos conceitos de segurança da informação. Vindo de encontro a esta demanda, organizações mundiais (ISO/IEC), iniciaram o desenvolvimento de normas, originando a família ISO 27000, que padroniza atividades relacionadas a implantação e operação de Sistemas de Gestão de Segurança da Informação (SGSI).
Abaixo traremos apanhado geral sobre a norma ISO 27000, iniciando por sua história e dissertando sobre as características gerais da norma, contextualizando SGSI (Sistema de Gestão de Segurança da Informação), bem como sua importância e benefícios para as organizações.
Um pouco da história
Em 1995 foi publicado o Padrão Britânico (British Standard) BS 7799, que deu origem a série ISO 27000. Após alguns anos, em 1999, o BS 7799 passa por revisão gerando os padrões BS 7799-1: Boas práticas para Gestão de Segurança da Informação, BS 7799-2: Sistema de Gestão de Segurança da Informação e BS 7799-3: Orientações para Gestão de Risco.
No ano 2000 o padrão BS 7799-1 passa a ser identificado como ISO 17799. Durante o período de 2001 a 2004 a norma ISO 17799 passou por ampla revisão, resultando em uma nova versão ISO/IEC 17799:2005, publicada em junho de 2005. Neste mesmo ano o BS 7799-2 é adotado pela ISO, recebendo a numeração 27000, dando início a série direcionada a padronização de normas para o segmento de segurança da informação, lançado como norma ISO/IEC 27001. Em julho de 2007, o padrão 17799:2005 recebe nova numeração (ISO/IEC 27002:2005), integrando a série ISO 27000. As evoluções da família 27000 não pararam por aí, tal como veremos na sequência deste artigo.
As organizações ISO (The International Organization for Standarization) e IEC (International Electrotechnical Commission) mantêm equipes de especialistas dedicados ao desenvolvimento de normas internacionais, possibilitando que organizações implementem estruturas adequadas para gerenciamento de seus ativos de informação, tal como informações financeiras, de propriedade intelectual, dados de funcionários, clientes ou terceiros, ou seja, toda informação que traga valor para as corporações.
As normas ISO 27000, possibilitam que organizações de todos os tipos e tamanhos implementem e operem um Sistema de Gestão de Segurança da Informação (SGSI). As normas internacionais, para este fim, são ordenadas respeitando ordem de numeração, tal como elencado a seguir:
ISO/IEC 27000: Sistema de Gestão de Segurança da Informação – Linhas gerais e vocabulário
ISO/IEC 27001: Sistema de Gestão de Segurança da Informação – Requisitos
ISO/IEC 27002: Boas práticas para controles de segurança da informação
ISO/IEC 27003: Guia de implantação do Sistema de Gestão de Segurança da Informação
ISO/IEC 27004: Gestão da segurança da informação – Medição
ISO/IEC 27005: Gestão de risco em segurança da informação
ISO/IEC 27006: Requisitos para empresas de auditoria e certificação de Sistemas de Gestão de Segurança da Informação
ISO/IEC 27007: Diretrizes para auditoria em Sistemas de Gestão de Segurança da Informação
ISO/IEC TR 27008: Diretrizes para auditores sobre controle de segurança da informação
ISO/IEC 27010: Gestão de segurança da informação para comunicação inter-setorial e inter-organizacional
ISO/IEC 27011: Diretrizes para gestão de segurança da informação em organizações de telecomunicação com base na ISO/IEC 27002
ISO/IEC 27013: Diretrizes para a implementação integrada da ISO/IEC 27001 e ISO/IEC 20000-1
ISO/IEC 27014: Governança de segurança da informação
ISO/IEC TR 27015: Diretrizes para a gestão de segurança da informação em serviços financeiros
ISO/IEC TR 27016: Diretrizes para a gestão de segurança da informação – Empresas de economia
Escopo Família 27000
As normas internacionais, pertencentes a família 27000, servem de base para a criação e operação de Sistemas de Gestão de Segurança da Informação (SGSI). O modelo é resultado do consenso entre especialistas, sendo considerado o estado da arte no que tange padronização para o segmento de segurança da informação.
O Objetivo da norma em questão é apresentar um apanhando geral sobre o sistema de gestão de segurança da informação e ambientalizar os leitores sobre termos técnicos utilizados durante o processo de padronização.
Termos e definições
No documento oficial da norma ISO 27000 é possível consultar uma infinidade de termos e definições utilizados no processo de padronização. Pelo fato de ser um tópico mais extenso, não trataremos deste assunto em nosso artigo.
Sistema de Gestão de Segurança da Informação (SGSI)
Um Sistema de Gestão de Segurança da Informação concentra as políticas, procedimentos, diretrizes e recursos, para a gestão conjunta, em prol da proteção dos ativos de informação, das organizações. Além disso o SGSI consolida abordagem sistemática para estabelecimento, implantação, operação, monitoramento, revisão e melhoria da segurança da informação, alinhados aos objetivos estratégicos do negócio. O SGSI é baseado em conceitos de avaliação e aceitação de riscos, possibilitando o gerenciamento eficaz dos mesmos, no dia a dia da empresa.
Principais fundamentos para obtenção de sucesso na implementação de um SGSI:
-
- Criar consciência sobre a necessidade de segurança da informação;
- Estabelecer responsáveis pela segurança da informação;
- Incorporar o compromisso de gestão e intermediar os interesses dos colaboradores;
- Reforçar os valores sociais;
- Avaliar criteriosamente os riscos, para estabelecimento de controles apropriados e obtenção de níveis aceitáveis para organização;
- Tratar a segurança da informação como elemento essencial nas redes e sistemas;
- Atuar de forma ativa na prevenção e detecção de incidentes de segurança da informação;
- Garantir uma abordagem global da gestão de segurança da informação e estabelecer métodos de avaliação contínua, promovendo modificações de acordo com as necessidades do negócio.
Importância do SGSI
Em um mundo interconectado, os processos e recursos associados a informação, são considerados ativos críticos para os negócios. As organizações, e seus sistemas, enfrentam uma série de ameaças de segurança, dos mais variados tipos, incluindo espionagem, sabotagem, terrorismo, desastres naturais, difíceis de serem antecipados, além dos ataques focados em sistemas de informação e redes de comunicação, que estão cada vez mais especializados e difíceis de serem identificados e prevenidos. Pelos motivos elencados, a implantação de um SGSI caracteriza um forte apoio para a gestão do risco nas organizações.
A adoção de um SGSI, por uma empresa, independente do porte, deve envolver colaboradores internos, parceiros e fornecedores, dando total consistência ao processo. É importante ressaltar que os sistemas de informação, utilizados pela empresa, devem ter alinhamento com as normas técnicas apropriadas, trazendo conformidade para o negócio.
Outro detalhe muito importante de ser mencionado, é que as possibilidades técnicas relacionadas à segurança da informação, são ilimitadas, porém, em alguns casos, os conceitos técnicos precisam ser apoiados em procedimentos tratados pelo contexto do SGSI.
Fatores críticos de sucesso
Existem inúmeros fatores que influenciam no sucesso da implementação de um SGSI, porem uma das orientações principais está associada ao total engajamento do mesmo com os objetivos estratégicos do negócio, visando atendê-los de forma plena.
O SGSI deve estar presente na cultura organizacional da empresa, tendo apoio de todos os níveis da gestão, principalmente da alta diretoria. Também é necessário que haja compreensão dos requisitos para proteção da informação e gestão de riscos, através da conscientização global dos colaboradores, com a implantação de programas para educação dos mesmos, estabelecimento de normas, regras, deixando claro o papel de cada um no processo de consolidação do SGSI. Além das atividades elencadas, é de extrema importância criar metodologia para gerenciamento de incidentes de segurança da informação e continuidade de negócios. Por fim, é de grande valia estabelecer sistema para medição do desempenho do SGSI, incluindo feedback e melhorias ao processo.
Benefícios SGSI – Família 27000
O principal objetivo associado a implementação de um SGSI na organização é reduzir a probabilidade e/ou o impacto causado por incidentes de segurança da informação, porem outros benefícios podem ser ressaltados, tal como segue:
- Método organizado para apoiar o processo de especificação, implantação, operação e manutenção de um Sistema de Gestão de Segurança da Informação (SGSI);
- Assistência para gerenciamento da segurança da informação dentro do contexto de risco, gestão e governança;
- Alinhamento a conceitos e boas práticas adotadas globalmente, de uma forma não-prescritiva, possibilitando adaptação de acordo com necessidades específicas de cada negócio;
- Credibilidade para a organização junto a colaboradores e mercado;
- Gestão mais eficaz dos investimentos destinados a segurança da informação;
As informações expostas neste artigo têm cunho introdutório, servindo como referência para estudos aprofundados sobre o padrão ISO 2700, e demais normas pertencentes a família.
Fique atento aos próximos artigos, e aprimore seus conhecimentos sobre as normas da família 27000.
This post is also available in: Português English Español