Como implantar um Sistema de Gestão de Segurança da Informação – SGSI – parte 11

A norma ABNT ISO/IEC 27001:2013 especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gestão da Segurança da Informação dentro do contexto da organização. Esta Norma também inclui requisitos para a avaliação e tratamento de riscos de segurança da informação voltados para as necessidades da organização.

Assim encontraremos a seguinte estrutura:

  • 0 Introdução
  • 1 Escopo
  • 2 Referências normativas
  • 3 Termos e definições
  • 4 Contexto da organização
  • 5 Liderança
  • 6 Planejamento
  • 7 Apoio
  • 8 Operação
  • 9 Avaliação do desempenho
  • 10 Melhoria

A diferença entre as normas 27002 e a 27001 é que a primeira se trata de um de um código de práticas não obrigatoriamente você deverá atender os 114 controles apresentados, já a 27001 contem os requisitos necessários para implantação.

Agora sempre vem a pergunta: Ok, mas como eu posso deixar um controle de fora sem comprometer a conformidade com a norma?

Simples, com base no escopo definido para certificação da 27001, a organização deverá criar uma declaração de aplicabilidade, que basicamente é um documento onde você informa o controle e a sua “aplicabilidade” ao seu Sistema de Gestão de Segurança da Informação.

Para isso devemos ter as seguintes informações:

Objetivo de controle e identificação do controle, aqui vamos colocar as 14 seções, os 35 objetivos de controle e os 114 controles;

Aplicabilidade, aqui vamos definir se ele é aplicável ou não, se é um requisito da norma, exigência do negócio ou melhores praticas, ou se é proveniente de uma analise de risco, e sua justificativa.

A justificativa é a parte mais importante, porque ali você deverá informar de forma convincente do porquê aquele controle é aplicável ou não, quando o controle não for aplicável você deverá ser mais criterioso na resposta.

Agora devemos evidenciar o controle, quais política, processos, procedimentos, relatórios, ou outro documento que são pertinentes ao controle, e se ele está operacional ou não, algumas empresas ao decidir implantar um SGSI deve rever todos os controles e algumas vezes mudanças são necessárias para permitir uma melhor aderência, e para isso até a operacionalização tem uma jornada, aquisição de ferramenta, treinamento da equipe, contratação de consultoria, e por ai vai.

Há um termo que todos devem se atentar na norma 27001, e sempre que aparecer devemos documentar e executar conforme definido, o termo é “intervalos planejados, intervalos regulares”, dessa forma você deverá avaliar risco, conduzir auditorias, a direção da organização deverá analisar criticamente o SGSI, sempre com periodicidade e assiduidade para garantir o cumprimento da execução da atividade para fins de auditoria.

A alta gestão deve ser envolvida e fazer parte do sistema de gestão da segurança da informação, com participação ativa no planejamento, analise, reuniões e revisões de todo o processo, fornecer recursos e se apresentar como um forte defensor da segurança em suas ações corriqueiras, enviando comunicados para a organização e para partes externas, participação de palestra, workshop, campanhas, e atividades ligadas à segurança.

Quanto maior o patrocínio com o SGSI maior as chances de sucesso de implantação e da sua manutenção, mais rapidamente as pessoas da organização serão “contaminada” com ações de segurança da informação e irão vestir a camisa protegendo a corporação de um incidente de segurança que possa afetar um ou mais critérios do trinômio e/ou pilares de SGSI, Confidencialidade, Integridade e Disponibilidade.

 Aqui terminei de falar sobre a norma ISO 27001 e ISO 27002, as duas normas são o ponto focal para uma implementação de um Sistema de Gestão de Segurança da Informação ou SGSI, como profissional recomendo a aquisição das normas, para auditoria é obrigatório a posse das normas registrada para a empresa.

Uma solução muito bacana é as normas em modelo eletrônico, possui um custo anual relativamente baixo e atualização automática, dessa forma você não corre o risco de ficar defasado e ter que comprar um novo livro, conheço dois produtos o primeiro é da própria ABNT http://www.abntcolecao.com.br/ e o segundo é o https://www.gedweb.com.br/ da Target.

Ricardo Lino

Profissional de Tecnologia da Informação há 17 anos, tendo os últimos 7 anos na área de Segurança da Informação, Risco&Fraude e Compliance, projetando e definindo as melhores soluções, alinhando as melhores práticas de mercado as metas de negócio, provendo transformações internamente e externamente mantendo uma Governança de segurança da informação, gestão de risco para elevar a maturidade das empresas, são o que eu faço melhor.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *