Como implantar um Sistema de Gestão de Segurança da Informação – SGSI – parte 4
Olá, vamos iniciar nossa 4º parte da serie como implantar um sistema de Gestão de Segurança da Informação – SGSI com base na ABNT NBR ISO/IEC 27001:2013 e ABNT NBR ISO/IEC 27002:2013, neste tópico iniciaremos a falar sobre o item 5 Políticas de Segurança da Informação.
A Política de Segurança da Informação tem como objetivo prover uma orientação e direcionamento de acordo com os requisitos do negocio, leis e regulamentações relevantes, além de dar apoio da alta direção para a própria segurança da informação.
A norma diz um conjunto de políticas sobre segurança da informação deve ser definida e aprovada pela alta direção, eu já defendo outra estratégia, utilizo uma unica Política de Segurança da Informação como direcionamento e desdobro em outros documentos como processos e procedimentos, ainda não consegui reduzir a uma unica pagina, como “One Page Document”.
A Política de Segurança da Informação deve ser revisada a intervalos planejados, ou quando houver mudanças significativas no ambiente organizacional, do negócio, condições legais ou técnicas para garantir a eficácia, pertinência e adequação.
Sempre que a política for alterada uma nova aprovação deve ser realizada pela alta direção, assim a revisão é executada pela alta gestão e garantindo que permaneça em conformidade com planejamento estratégico da organização.
Organizando a Segurança da Informação, como o próprio nome já diz é o processo para estabelecer uma estrutura para controlar a implementação da segurança da informação em toda a organização, atribuindo claramente responsabilidades e papéis para segurança da informação, definindo um gestor para cada ativo ou processo de segurança da informação, responsabilidades pelas atividades de gerenciamento de riscos e aceitação dos riscos residuais.
Todos os aspectos de segurança da informação no relacionamento com os fornecedores devem ser identificados e documentados.
Um gestor de segurança da informação deve ser indicado e atribuindo as responsabilidade sobre o Sistema de Gestão de Segurança da Informação.
Deve-se tomar cuidado para evitar que uma unica pessoa possa acessar ou usar os ativos sem a devida autorização, assim deve instituir a segregação de funções para reduzir o risco de uso indevido, deliberado ou acidental dos ativos da organização.
Contatos com autoridades apropriadas relevantes devem ser mantidos, exemplo, justiça, bombeiros, autoridades fiscalizadoras, provedores de serviços da internet, operador de telecomunicações, entre outros.
Manter contato com grupos de interesse também é uma atividade a ser gerenciada ou outros fóruns especializados de segurança da informação devem ser mantidos, algumas empresas tem criado grupos de discussão referente a segurança da informação e trocado experiencias, com integrantes dos mais variados ramos de atividades e porte.
Ainda dentro da organização, devemos assegurar que seja tradado o assunto segurança da informação na gestão de projeto, independente do projeto, a metodologia deve requerer que a segurança da informação seja contemplada nos objetivos do projeto, avaliação de risco de segurança da informação já nos estágios iniciais dos projetos para identificar controles necessários e que seja parte integrante de toda as fases da metodologia de gerenciamento de projeto.
Por fim, a segurança da informação deve ser analisada criticamente a intervalos planejados em todos os projetos.
Aqui concluímos a organização interna requerida pela norma, em nossa próxima publicação iremos abordar a partir de dispositivos moveis e trabalho remoto item 6.2 da norma.