Gestão de SI

Como implantar um Sistema de Gestão de Segurança da Informação – SGSI – parte 10

Ricardo Lino 0 Comments

Chegamos ao último post da primeira série Como implantar um Sistema de Gestão de Segurança da Informação e iremos falar sobre os itens 16, 17 e 18 da norma 27002 que são os controles para os requisitos da 27001.

Gestão de Incidentes de Segurança da Informação, devemos definir os procedimento e as responsabilidade de tal modo que possamos garantir uma resposta rápida, assertiva e ordenada, com enfoque consistente e efetivo incluindo comunicação sobre fragilidade e eventos de segurança da informação.

Comunicar a direção em canais apropriados o mais rápido que possível sobre eventos de segurança da informação.

Os funcionários e partes externas devem ser instruídos a registrar qualquer fragilidade do sistema de informação a respeito da segurança, suspeita ou observada, nos sistemas e serviços.

Os eventos de segurança da informação devem ser avaliados e decidido se são classificados como incidentes de segurança da informação, e devem ser tratados de acordo com os procedimento documentados.

A organização deve elaborar procedimento para identificação, coleta e preservação de informações que possam servir de evidências.

Aspectos da Segurança da Informação da Gestão da Continuidade do Negócio, primeiramente deveremos contemplar a continuidade da Segurança das Informações no PCN corporativo.

Para isso a organização deverá determinar a continuidade da segurança da informação em situações adversas como uma crise ou desastre, para isso a organização deverá estabelecer, documentar implementar e manter processos, procedimentos e controles apropriados para assegurar o nível requerido de continuidade da segurança da informação em situação adversa. Verificando os controles estabelecidos e implementados á intervalos planejados para garantir que eles são validos e eficazes.

Os recursos de processamento de informação devem ser implementados com redundância para atender os requisitos de disponibilidade e seguindo as recomendações de boas e reconhecidas práticas de mercado.

Conformidade, devemos garantir a não violação de requisitos legais, estatutários, regulamentares ou contratuais relacionadas á segurança da informação e de qualquer requisitos de segurança, para isso devemos identificar esses requisitos e a perspectiva  da organização para atende-los, devem ser explicitamente identificados, documentados e mantidos atualizados.

Procedimentos apropriados devem ser implementados para garantir a conformidade com os requisitos legislativos, regulamentares e contratuais relacionados aos direitos de propriedade intelectual e sobre o uso de produtos proprietários.

Leis que toda empresa em território nacional deve estar em conformidade:

LEI Nº 9.609 , DE 19 DE FEVEREIRO DE 1998.

Dispõe sobre a proteção da propriedade intelectual de programa de computador, sua comercialização no País, e dá outras providências.

LEI Nº 9.610, DE 19 DE FEVEREIRO DE 1998.

 

Altera, atualiza e consolida a legislação sobre direitos autorais e dá outras providências.

LEI Nº 12.737, DE 30 DE NOVEMBRO DE 2012.

Dispõe sobre a tipificação criminal de delitos informáticos; altera o Decreto-Lei no 2.848, de 7 de dezembro de 1940 – Código Penal; e dá outras providências.

Devemos garantir a proteção de registros contra perda, destruição, falsificação, acesso e liberação não autorizada de acordo com os requisitos legais e contratuais.

A privacidade e a proteção das informações de identificação pessoal devem ser asseguradas conforme requerido por requisitos legais e contratuais pertinentes e quando aplicável.

Controles criptográfico devem ser usados em conformidade com todos os requisitos legais, regulamentares e acordos pertinentes.

A segurança da informação, devem ser analisados criticamente de forma independente, a intervalos planejados, ou quando houverem mudanças significativas, assim como os gestores devem analisar criticamente, a intervalos regulares a conformidade dentro dos seus próprios departamentos ou áreas de responsabilidades, com as normas e políticas ou quaisquer outros requisitos de segurança da informação.

Os sistemas de informação também devem ser analisados a intervalos regulares quando a conformidade com as normas, políticas e requisitos de segurança da informação.

Aqui concluímos nossa abordagem aos itens da norma 27002 e agora iniciaremos da norma 27001. Ainda nessa série pretendemos abordar outras normas que fazem parte do bundle 27000 e que nos ajudarão na implantação do SGSI como, 27003, 27004, 27005, 27007 e 270014, onde passaremos rapidamente sobre elas e futuramente disponibilizaremos materiais de apoio como ferramentas de modelo para uma gestão simplificada da segurança no ambiente das organizações.

Ricardo Lino

Profissional de Tecnologia da Informação há 17 anos, tendo os últimos 7 anos na área de Segurança da Informação, Risco&Fraude e Compliance, projetando e definindo as melhores soluções, alinhando as melhores práticas de mercado as metas de negócio, provendo transformações internamente e externamente mantendo uma Governança de segurança da informação, gestão de risco para elevar a maturidade das empresas, são o que eu faço melhor.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.