Como implantar um Sistema de Gestão de Segurança da Informação – SGSI – parte 3

Olá pessoal, este é mais um post para dar continuidade ao tópico anterior sobre o Sistema de Gestão de Segurança da Informação – SGSI, agora falaremos sobre a seção 6 PLANEJAMENTO, nele devemos verificar uma série de fatores descritos aqui.

Considerar de forma efetiva as questões descritas na sessão 4, itens 4.1 que se refere a organização e seu contexto e 4.2 e este por sua vez se refere as necessidades e expectativas das partes interessadas relevantes para a segurança da informação e assim determinar os riscos e oportunidades que devem ser consideradas para:

  • Garantir que o SGSI possa alcançar os resultados pretendidos;
  • Prevenir e/ou reduzir fatos indesejados;
  • Atuar com ciclo de melhoria contínua.

Sendo assim é necessário sempre planejar as ações contemplando os risco e as oportunidades.

Garantir que estar ações sejam integradas e implementadas dentro dos processos do SGSI e assim avaliar sua eficácia.

Para que o risco seja analisado é necessário definir e implementar processo de avaliação de risco que estabeleça os critérios de aceitação de risco de SI, medição de desempenho, ter obrigatoriamente avaliações de risco contínuo e de modo que seja possível comparar os resultados.

Nesta avaliação é necessário obter resultados que informem:

  • Os responsáveis pelos riscos;
  • Consequências potenciais;
  • Probabilidade realística;
  • Quais níveis de riscos;
  • Comparação dos resultados das análises;
  • Priorizar os riscos de acordo com o tratamento de risco.

Todas as etapas devem ser documentadas.

Para o tratamento de riscos há a necessidade de documentar e implementar um processo de tratamento de riscos de SI e assim definir:

  • Opções de tratamento de risco de SI;
  • Determinar todos os controles necessários para implementar as opções deste tratamento em comparar com os controles do anexo A;
    • No anexo A contém uma lista dos controles e seus objetivos, portanto é necessário se atentar para que nenhum controle seja omitido, caso contrário poderá ter problema no futuro. É importante não se limitar ao anexo A, pois controles adicionais podem ser incluídos.
  • Elaborar uma declaração de aplicabilidade contendo os controles necessários e também a justificativa da inclusão e exclusão de algum controle do anexo A;
  • Preparar um plano para tratamento dos riscos e obter a aprovação dos responsáveis por eles.
  • Toda a documentação de referente ao processo de tratamento de riscos deve ser armazenada.

Também é necessário compor os objetivos de segurança da informação e o planejamento para alcançá-lo.

Os objetivos devem ser estabelecidos para as funções e níveis relevantes. Nessa etapa faz-se necessário uso de documentação consistente com a política de SI, seja mensurável caso seja aplicável, não se esquecendo de levar em conta os requisitos de SI e os resultados da avaliação e tratamento dos riscos.

Não podemos nos esquecer de que tudo isso deve ser documentado, atualizados e divulgados.

Quanto ao planejamento para alcançar os objetivos de SI, é necessário determinar:

  • O que será feito;
  • Quais recursos necessários (Pessoas, equipamentos, documentação, e outros);
  • O responsável;
  • Prazo para conclusão;
  • Como os resultados serão avaliados.

Bom pessoal por hoje é somente isso.

Até o próximo post!

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *