Governança de TI: Segurança da Informação – normas ISO 27000

Olá Caros leitores!

Abrindo este ano de 2011 vamos falar de um assunto importantíssimo nas organizações hoje, e que precisa ter uma atenção especial do ponto de vista da Governança de TI: a segurança da informação. De acordo com uma pesquisa de 2006 com empresas norte americanas do Computer Security Institute – CSI em conjunto com o FBI as perdas relacionadas com segurança somaram um total de US$ 56 milhões. No Brasil, a cert.br estimou que em 2005 há estimativa de perdas por fraudes chegou a R$ 300 milhões. A segurança da informação é padronizada através da norma ISO 27000, que tem por objetivo a proteção das informações organizacionais e ativos de TI. Para muitas empresas, as informações tem mais valor $$ do que os ativos físicos.

Os mais variados frameworks como o ITIL no estágio Desenho de Serviço e o COBIT 4.1 no processo DS5 “Assegurar a segurança dos Sistemas” e DS12 “Gerenciando o ambiente físico” e a ISO 20000 entre outros também abordam o assunto, sempre com base nas normas ISO da família 27000.

Na família ISO 27000 temos duas normas que são as mais conhecidas:

ISO 27001: É um modelo focado em estabelecer, implantar, operar, monitorar, rever, manter e melhorar um sistema de Gestão da Segurança da Informação. Irá implementar os controles da ISO 27002.

ISO 27002: Código de práticas para Segurança da Informação.

A ISO 27001 traz a abordagem da implementação segurança da Informação dentro de uma abordagem de processos que procura enfatizar aos usuários:

  • O entendimento dos requisitos e a necessidade de se ter uma política da segurança da informação.
  • Implementar e operar controles para gerenciamento dos riscos
  • Monitorar o desempenho e a eficácia da política de segurança da informação.
  • Promover a melhoria contínua.

Esta abordagem de processos é feita com base na tão conhecida estrutura PDCA, conforme temos na figura abaixo:

PDCA da Sergurança

Planejar: Definição do escopo do sistema de gerenciamento de segurança da informação. Identificação de riscos, analisar e avaliar riscos, opções de tratamento de riscos entre outros.

Implementar e Operar: Plano para tratamento de riscos, implementação de controles, medição da eficácia dos controles.

Monitorar e revisar: Monitoramento e controle, revisões periódicas no sistema de segurança, conduzir auditorias internas, atualizar planos de segurança.

Manter e melhorar: Implementar melhorias identificadas, tomar ações corretivas e preventivas, aplicar lições aprendidas, comunicar as ações de melhoria aos interessados.

A ISO 27002 está estruturada em seções. Cada seção abaixo tem uma série de controles que podem ser implementados, que vai depender do tamanho e necessidade de cada empresa. No total, são cerca de 130 controles que podem ser implementados, divididos entre as seções abaixo.

  • Política da segurança da informação
  • Organizando a segurança da informação
  • Gestão de ativos
  • Segurança em recursos humanos
  • Segurança física do ambiente
  • Gestão das operações e comunicações
  • Controle de acesso
  • Aquisição, desenvolvimento e manutenção de sistemas de informação
  • Gestão de incidentes da segurança da informação
  • Gestão da continuidade do negócio
  • Conformidade

Falando em Governança de TI, podemos verificar que a ISO 27000 é “totalmente aderente” ao modelo de Governança do COBIT, ou vice-versa. Se quisermos, podemos mapear praticamente todas as seções acima aos processos que o COBIT 4.1 traz. Para fins de exemplo, podemos pegar a seção “Gestão de incidentes da segurança da informação” acima e tratar os incidentes da segurança dentro do processo de gestão de incidentes propostos pelo COBIT 4.1 (DS8) e ITIL (Operação de Serviço: Gestão de Incidentes), mas tratando o incidente da segurança de acordo com o sugerido pela norma ISO 27000. Portanto, caso sua empresa tenha um service desk baseado nas práticas do ITIL, só precisaria incluir mais alguns procedimentos para o tratamento dos incidentes de segurança.

Utilizamos como base para este post o livro “Implantando a Governança de TI – da Estratégia à Gestão dos Processos e Serviços” da editora Brasport.

Um grande abraço!

This entry was posted in Cobit, Governança, ITIL. Bookmark the permalink.

12 Responses to Governança de TI: Segurança da Informação – normas ISO 27000

  1. Thiago Alves Cavalcante says:

    Bom post! Dá uma base interessante para quem está começando!

  2. Pingback: Tweets that mention Governança de TI: Segurança da Informação – normas ISO 27000 | -- Topsy.com

  3. João Batista says:

    Boa tarde,

    Poderia me explicar por que o ciclo PDCA para a 27001 está no sentido anti-horário? Já perguntei para varias pessoas e ninguém soube explicar.

    Att.

    Joao

  4. Cleuson de O. Alves says:

    Olá, você teria algum exemplo destes controles aplicados a uma empresa fictícia?

    Att,

  5. I have learn several just right stuff here. Definitely value bookmarking for revisiting. I surprise how so much effort you place to make this sort of excellent informative website.

  6. Leticia de Faria Botelho says:

    Boa,

    Adorei o post,

  7. CARLOS ROBERTO DA SILVA says:

    Boa Tarde, Sou estudante de Pós Graduação em Governança de TI, gostaria de saber aonde eu consigo material sobre como anda a implementação da ISO 27001 no Brasil.
    grato.
    Carlos Roberto.

  8. Just wish to say your article is as astonishing. The clarity for your publish is just cool and that i could assume you’re a professional in this subject. Well along with your permission let me to grasp your feed to stay up to date with approaching post. Thanks 1,000,000 and please carry on the enjoyable work.

  9. Sallie says:

    I see a lot of interesting articles on your blog. You have to spend a lot of time writing, i know how to save you a lot of time, there is a tool that creates unique,
    google friendly posts in couple of seconds, just search in google
    - laranita’s free content source

Leave a Reply

Your email address will not be published. Required fields are marked *

*

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>