Governança de TI: Segurança da Informação – normas ISO 27000

11 Jan 2011

Olá Caros leitores!

Abrindo este ano de 2011 vamos falar de um assunto importantíssimo nas organizações hoje, e que precisa ter uma atenção especial do ponto de vista da Governança de TI: a segurança da informação. De acordo com uma pesquisa de 2006 com empresas norte americanas do Computer Security Institute – CSI em conjunto com o FBI as perdas relacionadas com segurança somaram um total de US$ 56 milhões. No Brasil, a cert.br estimou que em 2005 há estimativa de perdas por fraudes chegou a R$ 300 milhões. A segurança da informação é padronizada através da norma ISO 27000, que tem por objetivo a proteção das informações organizacionais e ativos de TI. Para muitas empresas, as informações tem mais valor $$ do que os ativos físicos.

Os mais variados frameworks como o ITIL no estágio Desenho de Serviço e o COBIT 4.1 no processo DS5 “Assegurar a segurança dos Sistemas” e DS12 “Gerenciando o ambiente físico” e a ISO 20000 entre outros também abordam o assunto, sempre com base nas normas ISO da família 27000.

Na família ISO 27000 temos duas normas que são as mais conhecidas:

ISO 27001: É um modelo focado em estabelecer, implantar, operar, monitorar, rever, manter e melhorar um sistema de Gestão da Segurança da Informação. Irá implementar os controles da ISO 27002.

ISO 27002: Código de práticas para Segurança da Informação.

A ISO 27001 traz a abordagem da implementação segurança da Informação dentro de uma abordagem de processos que procura enfatizar aos usuários:

  • O entendimento dos requisitos e a necessidade de se ter uma política da segurança da informação.
  • Implementar e operar controles para gerenciamento dos riscos
  • Monitorar o desempenho e a eficácia da política de segurança da informação.
  • Promover a melhoria contínua.

Esta abordagem de processos é feita com base na tão conhecida estrutura PDCA, conforme temos na figura abaixo:

PDCA da Sergurança

Planejar: Definição do escopo do sistema de gerenciamento de segurança da informação. Identificação de riscos, analisar e avaliar riscos, opções de tratamento de riscos entre outros.

Implementar e Operar: Plano para tratamento de riscos, implementação de controles, medição da eficácia dos controles.

Monitorar e revisar: Monitoramento e controle, revisões periódicas no sistema de segurança, conduzir auditorias internas, atualizar planos de segurança.

Manter e melhorar: Implementar melhorias identificadas, tomar ações corretivas e preventivas, aplicar lições aprendidas, comunicar as ações de melhoria aos interessados.

A ISO 27002 está estruturada em seções. Cada seção abaixo tem uma série de controles que podem ser implementados, que vai depender do tamanho e necessidade de cada empresa. No total, são cerca de 130 controles que podem ser implementados, divididos entre as seções abaixo.

  • Política da segurança da informação
  • Organizando a segurança da informação
  • Gestão de ativos
  • Segurança em recursos humanos
  • Segurança física do ambiente
  • Gestão das operações e comunicações
  • Controle de acesso
  • Aquisição, desenvolvimento e manutenção de sistemas de informação
  • Gestão de incidentes da segurança da informação
  • Gestão da continuidade do negócio
  • Conformidade

Falando em Governança de TI, podemos verificar que a ISO 27000 é “totalmente aderente” ao modelo de Governança do COBIT, ou vice-versa. Se quisermos, podemos mapear praticamente todas as seções acima aos processos que o COBIT 4.1 traz. Para fins de exemplo, podemos pegar a seção “Gestão de incidentes da segurança da informação” acima e tratar os incidentes da segurança dentro do processo de gestão de incidentes propostos pelo COBIT 4.1 (DS8) e ITIL (Operação de Serviço: Gestão de Incidentes), mas tratando o incidente da segurança de acordo com o sugerido pela norma ISO 27000. Portanto, caso sua empresa tenha um service desk baseado nas práticas do ITIL, só precisaria incluir mais alguns procedimentos para o tratamento dos incidentes de segurança.

Utilizamos como base para este post o livro “Implantando a Governança de TI – da Estratégia à Gestão dos Processos e Serviços” da editora Brasport.

Um grande abraço!

RELATED POST
13 comments
  1. Boa tarde,

    Poderia me explicar por que o ciclo PDCA para a 27001 está no sentido anti-horário? Já perguntei para varias pessoas e ninguém soube explicar.

    Att.

    Joao

  2. Boa Tarde, Sou estudante de Pós Graduação em Governança de TI, gostaria de saber aonde eu consigo material sobre como anda a implementação da ISO 27001 no Brasil.
    grato.
    Carlos Roberto.

  3. I see a lot of interesting articles on your blog. You have to spend a lot of time writing, i know how to save you a lot of time, there is a tool that creates unique,
    google friendly posts in couple of seconds, just search in google
    – laranita’s free content source

Leave a reply

Lightdesk – Gestão de service desk e CSC

Comentários recentes

Categorias

Pesquisa ITSM

A TI da sua empresa utiliza uma ferramenta para registrar as solicitações de suporte?

View Results

Loading ... Loading ...

Calendário

January 2011
M T W T F S S
« Dec   Feb »
 12
3456789
10111213141516
17181920212223
24252627282930
31  

Parceria #GTI e TIEXAMES

Compre cursos na TIEXAMES e usando o voucher GTI você ganha 15% de desconto!

Sites Parceiros