Segurança da Informação é coisa séria, sendo qual for o tamanho ou segmento da organização.
Por isso não temos margem para sermos criativos. O ideal é usar modelos de segurança consolidados e utilizados pelo mercado.
Aqui vamos abordar as normas ISO.
SGSI
O que é um Sistema de Gestão de Segurança da Informação (SGSI)?
Um Sistema de Gestão de Segurança da Informação (SGSI) é “uma abordagem sistemática para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar a segurança da informação de uma organização para atingir objetivos do negócio” (ISO / IEC 27000:2014).
SGSI abrange pessoas, processos e tecnologia, reconhecendo que a segurança da informação não é apenas antivírus, implementação do mais recente firewall ou o bloqueio de laptops e servidores.
A abordagem global à segurança da informação deve ser estratégica, bem como operacional e iniciativas de segurança diferentes devem ser priorizadas, integradas e com referências cruzadas para garantir a eficácia global.
Um SGSI ajuda a coordenar todos os seus esforços de segurança (tanto eletrônicos e físicos) de forma coerente, consistente e de forma rentável.
ISO 27001: 2013
ISO / IEC 27001 (ISO 27001: 2013) é o padrão internacional que descreve as melhores práticas para um sistema de gestão de segurança da informação (SGSI). Certificação ISO 27001 demonstra que a organização está seguindo as melhores práticas internacionais de segurança da informação.
A implementação de um SGSI baseado na norma ISO 27001 é uma tarefa complexa e que envolve toda a organização.
Se você está implementando a ISO 27001 apenas para melhorar a eficiência da segurança ou apenas passar por uma certificação por obrigação, pode ser difícil saber como a norma deve ser aplicadas na sua organização.
Se você não compreender ou cumprir com um determinado requisito da norma, pode comprometer seu projeto de implementação, que por sua vez poderia falhar na auditoria de certificação.
Portanto, é essencial para se certificar de que você usar os melhores recursos que seu orçamento permite, consultoria e pessoal qualificado.
Um projeto de implementação típico de ISO 27001
Um SGSI é específico para a organização de forma que nenhum projeto ISO 27001 é igual a outro, normalmente pode levar de três meses a um ano a partir de escopo de certificação e dependendo de vários fatores específicos para cada organização.
Quais são os benefícios da 27001 – Gestão de Segurança da Informação?
- Identificação de riscos e definição de controles para gerenciá-los ou eliminá-los;
- Flexibilidade para adaptar os controles a todas as áreas ou a áreas selecionadas de sua empresa;
- Ganhe a confiança das partes interessadas e dos clientes, que vão saber que seus dados estão protegidos;
- Demonstre conformidade e obtenha o status de fornecedor preferencial;
- Atenda às expectativas mais sensíveis, demonstrando conformidade.
ISO/IEC 27002:2013
Do ponto de vista de uma organização, a informação tem valor e é um ativo. Portanto, precisa ser protegida durante todo seu ciclo de vida, tal como qualquer outro ativo.
E uma vez que as informações devem ser protegidas, a infraestrutura que suporta a informação também deve ser protegida.
Esta infraestrutura inclui todos os sistemas, redes e funções que permitem às organizações gerenciar e controlar informações e todas as pessoas que fazem isso acontecer.
Tudo isso deve ser protegido porque existem várias ameaças à segurança. Essas ameaças incluem: erro humano, falha de equipamento, roubo, fraude, vandalismo, sabotagem, incêndio, inundação, e até mesmo o terrorismo.
Então, como eles podem se proteger?
As organizações modernas operam em um mundo interconectado, a informação está vulnerável a um novo conjunto de ameaças e ataques de alta tecnologia.
Por causa de sua interconexão, as organizações estão ameaçadas por hackers, malware e ataques de negação de serviço de todo o mundo.
É onde ISO IEC 27002 pode ajudar.
De acordo com a ISO/IEC 27002:2013, você pode usar controles para proteger os sistemas de informação e de informação. Além de hardware, ferramentas, software e funções, controles incluem coisas como: políticas, procedimentos, processos, programas, registros, acordos, contratos, descrições de funções e estruturas organizacionais.
Então, afim de proteger as informações, as organizações devem desenvolver, implementar, monitorar, revisar e melhorar estes tipos de controles de segurança.
Qual a diferença entre as normas 270001 e 27002?
A ISO/IEC 27001 é a norma projetada para as organizações usarem como referência na seleção de controles na implementação de um SGSI enquanto que a ISO/27002 tem o foco na implementação dos controles definidos na ISO 27001.
A norma ISO/IEC 27002 auxilia no entendimento dos controles e monitoramento de itens como:
- Utilização de dispositivos móveis;
- Trabalho remoto;
- Controle dos ativos da área de Ti;
- Tratamento de mídias;
- Controle de acessos;
- Criptografia;
- Segurança física e do ambiente;
- Gerenciamento de segurança nos meios de comunicação;
- Gestão dos incidentes de segurança da informação;
- Trabalha os aspectos da segurança da informação na gestão da continuidade dos negócios;
- Contratação e tratamento de recursos humanos.
Se você tem interesse em se especializar em Segurança da Informação existe certificação ISO 27002 para profissionais, onde você vai aumentar e consolidar seu conhecimento com uma ótima certificação.
Bons estudo!
Boa tarde Demian,
Como uma pena não ter conhecido seu site antes. Mas conheci agora e estou gostando muito da sua abordagem aos temas, uma forma simples, clara, objetiva e direta. Muito obrigado por compartilhar seus conhecimentos.
Abraços!