Thursday, January 20, 2011

Governança de TI: Segurança da Informação – Normas ISO 27000

Olá Caros leitores!

Abrindo este ano de 2011 vamos falar de um assunto importantíssimo nas organizações hoje, e que precisa ter uma atenção especial do ponto de vista da Governança de TI: a segurança da informação. De acordo com uma pesquisa de 2006 com empresas norte americanas do Computer Security Institute – CSI em conjunto com o FBI as perdas relacionadas com segurança somaram um total de US$ 56 milhões. No Brasil, a cert.br estimou que em 2005 há estimativa de perdas por fraudes chegou a R$ 300 milhões. A segurança da informação é padronizada através da norma ISO 27000, que tem por objetivo a proteção das informações organizacionais e ativos de TI. Para muitas empresas, as informações tem mais valor $$ do que os ativos físicos.

Os mais variados frameworks como o ITIL no estágio Desenho de Serviço e o COBIT 4.1 no processo DS5 “Assegurar a segurança dos Sistemas” e DS12 “Gerenciando o ambiente físico” e a ISO 20000 entre outros também abordam o assunto, sempre com base nas normas ISO da família 27000.

Na família ISO 27000 temos duas normas que são as mais conhecidas:

ISO 27001: É um modelo focado em estabelecer, implantar, operar, monitorar, rever, manter e melhorar um sistema de Gestão da Segurança da Informação. Irá implementar os controles da ISO 27002.

ISO 27002: Código de práticas para Segurança da Informação.

A ISO 27001 traz a abordagem da implementação segurança da Informação dentro de uma abordagem de processos que procura enfatizar aos usuários:

O entendimento dos requisitos e a necessidade de se ter uma política da segurança da informação.Implementar e operar controles para gerenciamento dos riscosMonitorar o desempenho e a eficácia da política de segurança da informação.Promover a melhoria contínua.

Esta abordagem de processos é feita com base na tão conhecida estrutura PDCA, conforme temos na figura abaixo:

Planejar: Definição do escopo do sistema de gerenciamento de segurança da informação. Identificação de riscos, analisar e avaliar riscos, opções de tratamento de riscos entre outros.

Implementar e Operar: Plano para tratamento de riscos, implementação de controles, medição da eficácia dos controles.

Monitorar e revisar: Monitoramento e controle, revisões periódicas no sistema de segurança, conduzir auditorias internas, atualizar planos de segurança.

Manter e melhorar: Implementar melhorias identificadas, tomar ações corretivas e preventivas, aplicar lições aprendidas, comunicar as ações de melhoria aos interessados.

A ISO 27002 está estruturada em seções. Cada seção abaixo tem uma série de controles que podem ser implementados, que vai depender do tamanho e necessidade de cada empresa. No total, são cerca de 130 controles que podem ser implementados, divididos entre as seções abaixo.

Política da segurança da informaçãoOrganizando a segurança da informaçãoGestão de ativosSegurança em recursos humanosSegurança física do ambienteGestão das operações e comunicaçõesControle de acessoAquisição, desenvolvimento e manutenção de sistemas de informaçãoGestão de incidentes da segurança da informaçãoGestão da continuidade do negócioConformidade

Falando em Governança de TI, podemos verificar que a ISO 27000 é “totalmente aderente” ao modelo de Governança do COBIT, ou vice-versa. Se quisermos, podemos mapear praticamente todas as seções acima aos processos que o COBIT 4.1 traz. Para fins de exemplo, podemos pegar a seção “Gestão de incidentes da segurança da informação” acima e tratar os incidentes da segurança dentro do processo de gestão de incidentes propostos pelo COBIT 4.1 (DS8) e ITIL (Operação de Serviço: Gestão de Incidentes), mas tratando o incidente da segurança de acordo com o sugerido pela norma ISO 27000. Portanto, caso sua empresa tenha um service desk baseado nas práticas do ITIL, só precisaria incluir mais alguns procedimentos para o tratamento dos incidentes de segurança.

Utilizamos como base para este post o livro “Implantando a Governança de TI – da Estratégia à Gestão dos Processos e Serviços” da editora Brasport.

Um grande abraço!

0 comments:

Post a Comment