Norma de Segurança da Informação

“Normas e padrões têm por objetivo definir regras, princípios e critérios, registrar as melhores práticas e prover uniformidade e qualidade a processos, produtos ou serviços, tendo em vista sua eficiência e eficácia.”

Devido ao interesse internacional em uma norma de segurança da informação, em dezembro de 2000, foi publicada a norma internacional ISO 17799:2000. Em 2001, a Associação Brasileira de Normas Técnicas (ABNT) publicou a versão brasileira que ficou com a denominação de NBR/ISO 17799 Código de Prática para a Gestão da Segurança da Informação (OLIVA e OLIVEIRA, 2003). Em setembro de 2005, a norma foi revisada e publicada como NBR ISO/IEC 17799:2005. (ISO 17799, 2005). Segundo Holanda (2006), o comitê que trata da segurança da informação na ISO aprovou a criação de uma família de normas sobre gestão da segurança da informação, batizada pela série 27000, onde a então ISO IEC 17799:2005 foi rebatizada por ISO IEC 27002:2005.

A norma define 127 controles que compõem o escopo do Sistema de Gestão de Segurança da Informação (Information Security Management System – ISMS), agrupados em 11 seções de controles: Política de Segurança da Informação; Organização da Segurança da Informação; Gestão de Ativos; Segurança em Recursos Humanos; Segurança Física e do Ambiente; Gestão das Operações e Comunicações; Controle de Acesso; Aquisição, Desenvolvimento e Manutenção dos Sistemas de Informação; Gestão de Incidentes da Segurança da Informação; Gestão da Continuidade do Negócio
e Conformidade.

A adequação de qualquer empresa à norma ISO IEC 27002:2005 garante conformidade com as melhores práticas em gestão da segurança da informação. “As normas são criadas para estabelecerem diretrizes e princípios para melhorar a gestão de segurança nas empresas e organizações.” (HOLANDA, 2006).

A política de segurança da informação e a Norma NBRISO/IEC 27001

FONTES, descreve em seu livro Políticas e Normas para a Segurança da Informação, que a norma 27001 “tem como principal objetivo promover um modelo para estabelecer, implementar, operar, monitorar e analisar criticamente, manter e melhorar um sistema de gestão de segurança da informação”. A NBR ISO/IEC 27001 descreve um modelo para orientação para existência de um sistema de segurança da informação no qual considera o modelo PDCA (plan, do, check,Act). A norma tem como princípio geral a adoção pela organização de um conjunto de requisitos, processos e controles com o objetivo de mitigarem e gerirem adequadamente o risco da organização. Determinadas organizações, obrigam a que os seus fornecedores ou parceiros detenham certificações, nomeadamente a ISO 27001, como garante
do cumprimento dos princípios estabelecidos pela mesma, providenciando assim aos seus clientes e parceiros um nível extra de conforto no que concerne à Segurança da Informação. As organizações que adotam e se certificam nesta norma, atribuem especial importância à proteção da informação e demonstram no através da certificação na mesma. (ISO/27001).

A política de segurança da informação está na etapa de (plan) sua elaboração está na etapa de (do) assim como a implantação e operação. Assim a política de segurança da informação segue um modelo PDCA. A figura abaixo exemplifica este modelo.

Para que serve a ISO/27001

          A adoção da norma ISO 27001 serve para que as organizações adotem por um modelo adequado de estabelecimento, implementação, operação, monitorização, revisão e gestão de um Sistema de Gestão de Segurança da Informação.

Este Sistema de Gestão de Segurança da Informação (SGSI) é, de acordo com os princípios da norma ISO 27001, um modelo holístico de abordagem à Segurança e independente de marcas e fabricantes tecnológicos.

É holístico porque acaba por ser uma abordagem 360º à Segurança da Informação, tratando de múltiplos temas tais como as telecomunicações, segurança aplicacional, proteção do meio físico, recursos humanos, continuidade de negócio, licenciamento etc.

É independente de fabricantes porque se destina ao estabelecimento de processos e procedimentos que depois podem ser materializados à realidade de cada organização de forma diferente e com a especificidade de cada ambiente tecnológico e organizacional.

Quais os benefícios para quem a adota

Independentemente das empresas se certificarem ou não, a adoção das práticas de gestão documentadas na norma, representa um conjunto de benefícios, nomeadamente:

  • Demonstra um compromisso dos Executivos da Organização para com a segurança da informação.
  • Aumenta a fiabilidade e a segurança da informação e dos sistemas, em termos de confidencialidade, disponibilidade e integridade.
  • Garante a realização de investimentos mais eficientes e orientados ao risco, ao invés de investimentos com apenas baseados em tendências.
  • Incrementa os níveis de sensibilidade, participação e motivação dos colaboradores da organização para com a Segurança da Informação.
  • Identifica e endereça de forma continuada a oportunidade para melhorias, sendo um processo em contínua melhoria.
  • Aumenta a confiança e satisfação dos clientes e parceiros, providenciando um maior potencial para realização de mais negócios.
  • A implementação dos controlos provenientes da norma e da análise de risco, melhora o desempenho operacional das organizações.
  • Dotar a organização de um sistema de controlo da gestão, incrementando a eficácia da organização. (ISO 27001)
Sobre Janaina Valim 94 Artigos
Como Analista de Dados, minha paixão é desvendar insights valiosos e transformá-los em estratégias de sucesso. Constantemente em busca de novos conhecimentos, minha jornada vai além das planilhas e gráficos. Fora do mundo dos dados, sou uma apreciadora entusiasta de vinhos e cervejas, sempre em busca de novos sabores e experiências.

Seja o primeiro a comentar

Faça um comentário

Seu e-mail não será divulgado.


*