17 de janeiro de 2011 Governança de TI, Segurança

Governança de TI: Segurança da Informação – Normas ISO 27000

Olá Caros leitores!

Abrindo este ano de 2011 vamos falar de um assunto importantíssimo nas organizações hoje, e que precisa ter uma atenção especial do ponto de vista da Governança de TI: a segurança da informação. De acordo com uma pesquisa de 2006 com empresas norte americanas do Computer Security Institute – CSI em conjunto com o FBI as perdas relacionadas com segurança somaram um total de US$ 56 milhões. No Brasil, a cert.br estimou que em 2005 há estimativa de perdas por fraudes chegou a R$ 300 milhões. A segurança da informação é padronizada através da norma ISO 27000, que tem por objetivo a proteção das informações organizacionais e ativos de TI. Para muitas empresas, as informações tem mais valor $$ do que os ativos físicos.

Os mais variados frameworks como o ITIL no estágio Desenho de Serviço e o COBIT 4.1 no processo DS5 “Assegurar a segurança dos Sistemas” e DS12 “Gerenciando o ambiente físico” e a ISO 20000 entre outros também abordam o assunto, sempre com base nas normas ISO da família 27000.

Na família ISO 27000 temos duas normas que são as mais conhecidas:

ISO 27001: É um modelo focado em estabelecer, implantar, operar, monitorar, rever, manter e melhorar um sistema de Gestão da Segurança da Informação. Irá implementar os controles da ISO 27002.

ISO 27002: Código de práticas para Segurança da Informação.

A ISO 27001 traz a abordagem da implementação segurança da Informação dentro de uma abordagem de processos que procura enfatizar aos usuários:

  • O entendimento dos requisitos e a necessidade de se ter uma política da segurança da informação.
  • Implementar e operar controles para gerenciamento dos riscos
  • Monitorar o desempenho e a eficácia da política de segurança da informação.
  • Promover a melhoria contínua.

Esta abordagem de processos é feita com base na tão conhecida estrutura PDCA, conforme temos na figura abaixo:

PDCA da Sergurança

Planejar: Definição do escopo do sistema de gerenciamento de segurança da informação. Identificação de riscos, analisar e avaliar riscos, opções de tratamento de riscos entre outros.

Implementar e Operar: Plano para tratamento de riscos, implementação de controles, medição da eficácia dos controles.

Monitorar e revisar: Monitoramento e controle, revisões periódicas no sistema de segurança, conduzir auditorias internas, atualizar planos de segurança.

Manter e melhorar: Implementar melhorias identificadas, tomar ações corretivas e preventivas, aplicar lições aprendidas, comunicar as ações de melhoria aos interessados.

A ISO 27002 está estruturada em seções. Cada seção abaixo tem uma série de controles que podem ser implementados, que vai depender do tamanho e necessidade de cada empresa. No total, são cerca de 130 controles que podem ser implementados, divididos entre as seções abaixo.

  • Política da segurança da informação
  • Organizando a segurança da informação
  • Gestão de ativos
  • Segurança em recursos humanos
  • Segurança física do ambiente
  • Gestão das operações e comunicações
  • Controle de acesso
  • Aquisição, desenvolvimento e manutenção de sistemas de informação
  • Gestão de incidentes da segurança da informação
  • Gestão da continuidade do negócio
  • Conformidade

Falando em Governança de TI, podemos verificar que a ISO 27000 é “totalmente aderente” ao modelo de Governança do COBIT, ou vice-versa. Se quisermos, podemos mapear praticamente todas as seções acima aos processos que o COBIT 4.1 traz. Para fins de exemplo, podemos pegar a seção “Gestão de incidentes da segurança da informação” acima e tratar os incidentes da segurança dentro do processo de gestão de incidentes propostos pelo COBIT 4.1 (DS8) e ITIL (Operação de Serviço: Gestão de Incidentes), mas tratando o incidente da segurança de acordo com o sugerido pela norma ISO 27000. Portanto, caso sua empresa tenha um service desk baseado nas práticas do ITIL, só precisaria incluir mais alguns procedimentos para o tratamento dos incidentes de segurança.

Utilizamos como base para este post o livro “Implantando a Governança de TI – da Estratégia à Gestão dos Processos e Serviços” da editora Brasport.

Um grande abraço!

Emerson Dorow

Mais artigos deste autor »

Experiência de 10 anos na área de TI. Coordenador de suporte de serviços de infraestrutura e cloud computing. Mantenedor do site http://www.governancadeti.com.

Certificado em ITILv3 Intermediate, Cobit v4.1 Foundation, HDI-SCM, Linux Professional Institute (LPI) Nível 1 e IBM Tivoli Monitoring Deployment V6.2 Professional. É graduado em Sistemas de Informação pela Uniasselvi Blumenau e pós-graduando em Governança de TI pelo Senac Florianópolis e MBA em gestão de TI pelo INPG.

Entusiasta de assuntos relacionados a gestão de serviços em TI, governança de TI, Gestão de Projetos, liderança, gestão de equipes e negócios.

CONTEÚDOS RELACIONADOS

Deixe seu comentário

Seu endereço de e-mail não será publicado. Campos com * são obrigatórios!