ISO/IEC 27.002 (Gerenciamento da Segurança da Informação)

Bom dia pessoal,

Logo após o crescimento das comunidades hackers e ataques as grandes corporações, segurança tornou-se uma tendência mundial, as corporações estão cada vez mais despertando para os aspectos da segurança da informação e preocupação com os aspectos da continuidade dos fatores vitais ao negócio.

Para quem não conhece ,  ISO – International Organization for Standardization – é a maior organização para desenvolvimento e publicação de normas do mundo. Ela faz o relacionamento entre os órgãos nacionais de normatização de diferentes países. Mais de 160 países integram esta importante organização internacional, especializada em padronização e cujos membros são entidades normativas de âmbito nacional. O Brasil é representado pela Associação Brasileira de Normas Técnicas – ABNT.

Quem quiser mais informações é só consultar o site: www.iso.org

Através da ISO 27.002, focamos a Segurança da Informação buscando a proteção da informação contra diversos tipos de ameaças para garantir a continuidade, minimizar os danos e maximizar o ROI das oportunidades de negócio. Ela também é um guia que orienta a utilização de um conjunto completo de controles de segurança da informação,  baseado nas melhores práticas.

Atentem que essa ISO  é muito mais abrangente do que simplesmente proteção à rede contra hackers, concessões de privilégios ou detecção de incêndios. Ela define controles de segurança que englobam desde a parte de segurança predial, infraestrutural, até a parte da segurança dos ativos de negócios, como no caso de se um desastre ocorrer, um Plano de Continuidade e Plano de Restauração pré-estabelecidos entrem em ação para que o desastre seja minimizado e que ao menos os mínimos requisitos necessários estejam disponíveis para que o negócio consiga manter-se ativo e a empresa funcionando.

Inicialmente  a ISO traz consigo o conceito de Análise de Riscos, que atua nas seguintes frentes e busca os seguintes objetivos:

Frentes:
– Identificar que ameaças são relevantes aos processos operacionais e identificar os riscos associados.
– Produzir uma lista de ameaças e suas importâncias.
– Identificar para cada ameaça importante, uma ou mais medidas que podem reduzí-la.

Objetivos:
– Determinar os riscos e as ameaças que podem realmente causadar danos aos processos operacionais e ao negócio.
– Determinar o equilibrio entre custos de um incidente e custos das medidas de segurança

Logicamente que toda empresa ao fazer uma Análise de Riscos deve atentar inicialmente aos seus Ativos de Negócios, ou seja, o que realmente é mais importante para a empresa e buscar as atividades ou processos que se afetados atingirão diretamente os negócios, ou seja, o que é mais vital e o que garante a sustentabilidade da corporação. Obviamente que sempre em busca de um balanceamento entre tomar atitudes de segurança ( investir, ou seja, gasto) em relação as ameças(ou seja, algo que talvez nunca ocorra).

O principal é que a empresa esteja consciente de quanto que vale a pena investir em segurança, prevenção, detecção em relação as vulnerabilidades, ameaças e riscos que assombram suas atividades e processos que diretamente afetariam o negócio. Aqui que entrará o bom senso.

Também através dessa ISO buscamos o aprimoramento da confiabilidade das informações preocupando-se com 3 critérios da informação: Confidencialidade, Integridade e Confiabilidade.

Confidencialidade:
– Assegurar que a informação é acessível somente às pessoas autorizadas.

Disponibilidade:
– Assegurar que os usuários autorizados tenham acesso à informaçãoe a tivos associados, quando necessário.

Integridade:
– A informação deverá estar consistente e íntegra em relação aos seus dados.

Finalizando,  após  mapear todos os fatores e identificar as reais necessidades,  essa ISO sugere que seja utilizado 3 tipos de medidas de controle:  Físicas, Técnicas e Organizacionais.

Por exemplo, atitudes que poderiam ser tomadas em relação aos riscos mapeados pela análise e estimados que seriam efetivos na ação contra os fatos que ameaçam os ativos:

Exemplo de Medidas Físicas:
– Biometria, cartão de acesso
– Áreas restritas, perímetros de segurança
– Extintores, filtros de linha, Cameras de vigilancia
– Cabeamento, cerca, arame farpado, Vigilantes(guardas),
– Detectores infravermelhos, alarmes, etc

 

 

 

 

 

Exemplo de  Medidas Técnicas:
– Controle de acesso, criptografia
– Concessão de acesso (identificação, autenticação e autorização)

 

 

 

 

 

 

Exemplo de  Medidas Organizacionais:
– Definição de Políticas
– Definição de Processos
– Segregação de funções
– Códigos de Conduta, acordos de confidencialidade, etc.

 

 

 

 

 

 

Bom pessoal, tentei resumir o assunto e ficou muito sucinto, mas pelo menos  deu para dar uma pincelada  no que essa ISO sugere. Garanto que quem for estudar essa norma ou buscar uma certificação ficará admirado com as possibilidades e conhecimentos adquiridos.

Dúvidas ou sugestões fiquem a vontade para comentar!

Até a próxima.

Valdyr M. Amorim
debyte.wordpress.com
GSTI, Governança, Internet e Tecnologia!

Anúncios

Tags:

About Valdyr M. Amorim

Bacharel em Ciências da Computação pela UNICAP, possui certificações em ITIL v3, COBIT v4.1, ISO20.000, ISO27.002, entre outros. MBA em Gestão da Tecnologia da Informação. Acredita que o futuro da tecnologia encontra-se com o cumprimento dos requisitos dos padrões de qualidade. Admirador de inovações da TI e entusiasta do empreededorismo tecnológico, gerenc. de serviços de TI, Governança e Gerenciamento de Projetos. http://about.me/vamorim

2 responses to “ISO/IEC 27.002 (Gerenciamento da Segurança da Informação)”

  1. Anônimo says :

    Valdir parabéns pelo artigo, ficou bem claro a importância do GSI, acredito que neste momento as empresas começam a pensar melhor neste item importante, Segurança da Informação.

  2. Rafaelle Campos says :

    Gostei do texto, está super didático! E você, escrevendo cada vez melhor. Parabéns :)

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: