Reflexo de Maturidade em Segurança da Informação
Toda organização cujo negócio é orientado por tecnologia está exposta a ameaças de segurança e privacidade. Ativos tecnológicos modernos são capazes, em algum grau, de garantir proteção contra os ataques à segurança cibernética, mas esses ativos sozinhos não são suficientes. As organizações devem garantir que processos, políticas e o comportamento de seus colaboradores minimizem ou mitiguem esses riscos.
Atingir a maturidade em segurança da informação e consequentemente em segurança cibernética não é uma tarefa fácil. Contudo, é possível e para isso as organizações conscientes dessa necessidade adotam estruturas que ajudam na busca pelas melhores práticas em segurança da informação. É aqui que entra o Sistema de Gestão da Segurança da Informação e é sobre ele que nós vamos falar hoje.
O que é um sistema de gestão da segurança da informação?
Para entendermos o que é um sistema de gestão da segurança da informação, vamos relembrar o conceito de sistema. Na literatura há uma vasta discussão filosófica sobre o conceito de sistema, mas de uma forma geral podemos definir sistema como um conjunto de elementos integrados e coordenados que trabalham para atingir um determinado objetivo.
Assim, um sistema de gestão de segurança da informação é o conjunto de políticas, processos, ferramentas (hardwares e softwares) e pessoas que tem o objetivo de garantir a segurança da informação em uma organização. Isso inclui a introdução de métodos, procedimentos e medidas organizacionais e técnicas que devem ser continuamente controladas, monitoradas e melhoradas.
O sistema de gestão da segurança da informação é uma estrutura de políticas e controles que gerenciam segurança e riscos sistematicamente. Esses controles de segurança podem seguir padrões de segurança comuns, aqueles que se aplicam à qualquer organização, ou podem seguir padrões específicos para determinada área da industria, como aqueles que só se aplicam ao mercado financeiro, por exemplo.
Toda organização precisa de um sistema de gestão de segurança da informação?
Estamos vivendo uma escalada global no número de ataques a segurança de dados em todas as áreas da industria moderna. Considerando os danos financeiros e jurídicos significativos causados por violações de dados, todas as organizações que detenham informações valiosas devem considerar a implementação de um sistema de gestão da segurança da informação. Obviamente uma análise do ROI (return on investment) deve ser realizada já que o sistema não pode ter um custo maior do que o retorno que ele vai proporcionar.
Como implementar um sistema de gestão de segurança da informação?
Não há uma estratégia única para a implementação de um sistema de gestão de segurança da informação, muitas variáveis devem ser consideradas, como a análise do ROI, o quanto de recurso se pode investir, o quanto de recurso material e humano se tem disponível, a própria cultura organizacional, enfim são muitas as variáveis a considerar. Mas de uma maneira geral a estratégia para implementação desse sistema passa pelos seguintes passos:
– definição do escopo: a definição do escopo do sistema é, sem dúvida, uma das principais atividades na implmentação de um sistemas segurança da informação. É nessa definição que se encontra os limites e a abrangência do sistema.
– identificação dos ativos: a identificação dos ativos é fundamental haja vista que isso proporciona identificar o que é importante e o que se deva proteger. Esses ativos podem ser informações, softwares, serviços e ativos físicos, como computadores, mas também podem ser as qualificações, habilidades e experiência dos colaboradores da organização, assim como outros ativos intangíveis, como a reputação e a imagem da organização. O objetivo principal aqui é identificar os ativos críticos para a organização, aqueles sem os quais o negócio da organização pode parar ou sofrer perdas severas.
– identificação e análise de risco: para a proteção de seus ativos a organização deve identificar, avaliar e classificar os riscos. Isso faz com que a organização tenha condições de avaliar quais os ativos estão mais expostos e quais tem maior poder de impacto no negócio da organização, bem como aqueles cujo risco podem ser aceitos. Com base nessa avaliação prioridades são estabelecidas.
Há um padrão de sistema de gestão de segurança da informação?
Há diversos frameworks que uma vez implementados contribuem diretamente para o aumento do nível de maturidade em segurança da informação de um organização. Contudo, quando se trata de sistema de gestão da segurança da informação a Norma ISO 27001:2013, no Brasil traduzida para ABNT NBR ISO/IEC 27001:2013 é a referência. Esta norma apresenta um guia de como implementar um sistema de gestão de segurança da informação.
Manutenção e melhorias do sistema de gestão de segurança da informação?
O sistema de gestão da segurança da informação é implementado para estabelecer capacidades de gerenciamento da segurança da informações através de uma visão holística, no entanto a rápida evolução tecnológica exige que as organizações promovam melhorias e evolução em suas políticas e controles de segurança.
Para atender à necessidade de evolução e melhorias a ISO 27001 apresenta um modelo baseado no Ciclo PDCA (Plan, Do, Check e Act).
Figura 1 – Ciclo PDCA
Fonte: www.rubeus.com.br
O Ciclo PDCA é uma importante ferramenta de gestão, em relação ao sistema de gestão da segurança da informação sua aplicação ocorre da seguinte forma:
– Plan: nesta fase são identificados os problemas e coletadas as informações úteis para avaliar o risco de segurança. Nela também são definidas as políticas e processos que podem ser usados para abordar as causas do problema. E, por fim aqui também são Desenvolvidos os métodos para o estabelecimento do processo de melhoria contínua nas capacidades de gerenciamento de segurança da informação.
– Do: aqui são implementadas as políticas, processos e procedimentos técnicos de segurança planejados anteriormente.
– Check: fase constante onde se monitora a eficácia e eficiência das políticas, processos e controles do sistema. Aqui também se avalia os resultados, bem como aspectos comportamentais associados aos processos do sistema de gestão da segurança da informação.
– Act: nesta fase o esforço é concentrado em melhorar aquilo que fora implementado. Todos os resultados devem ser documentados, isso servirá de subsídio para uma nova iteração no ciclo.
Por fim, a adoção de um sistema de gestão da segurança da informação é um indicativo claro do nível de maturidade que uma organização pretende alcançar. Ao implementar o sistema baseado na ISO 27001, a maior parte dos domínios e controles necessários a um bom nível de segurança serão cobertos, garantindo o mínimo de segurança no tratamento da informação, ativo principal da maioria das organizações modernas.
Até a próxima pessoal!
Você pode ler a revista online aqui no site ou realizar o download. Para isto basta acessar o menu superior Edição Atual e Anteriores, escolher o ano, rolar a página para encontrar a edição desejada. Clicar no botão Ler Online ou Download.
Ew Sistemas TI.