Diretrizes para implantação de um SGSI ISO 27003

Agora já no item 7 da norma ISO 27003 somos orientados a conduzir a analise de requisitos de segurança da informação, basicamente uma analise atual da organização para identificar requisitos e ativos que devem ser considerados na implementação de um SGSI.

A norma diz que é possivel realizar em paralelo com a seção anterior, por razões de eficiência e praticidade, eu particularmente prefiro concluir a fase de definição de escopo e limites do SGSI para depois analisar criticamente com base no escopo e nos limites definidos assim não dispendemos esforço de trabalho com algo que pode ser descartado após essa definição. Normalmente nosso budget e equipe são reduzidos ao minimo necessário, a não ser, que tenhamos o auxilio de uma consultoria com expertise, resumindo deverá ser avaliado de acordo com a sua estratégia de implementação, urgência e requisitos da direção.

Nossa analise deverá fornecer um ponto de partida ou seja corrigir o básico, identificar e documentar as condições de implementação, fornecer uma visão clara e bem estabelecida das instalações da organização, considerando circunstancias particulares e a situação da organização, o nível desejado de proteção das informações e determine a compilação das informações necessárias para a organização dentro do escopo proposto.

Dentro da analise iremos definir os requisitos de segurança da informação para o SGSI, para isso necessitamos esclarecer as prioridades para desenvolver um SGSI, resumindo os objetivos, as prioridades de segurança e os requisitos da organização para o SGSI, a lista de restrições regulamentares, contratuais e do negócio para a segurança da informação da organização, escopo e limites do SGSI e a política do SGSI aprovada.

No item 7.2 da norma fornece de forma detalhada o passo-a-passo das diretrizes e uma lista do que deve ser abordado, com de forma resumida iremos precisar:

Identificar os ativos importantes de informação, sua atual proteção de segurança da informação;

Identificar as visões da organização e determinar o efeito nos requisitos futuros de processamento de informação;

Analisar as formas atuais de tratamento da informação, sistemas de informação, redes, localização e recursos de TI;

Identificar todos os requisitos essenciais (além dos já mencionados requisitos legais e regulamentares, as obrigações contratuais, requisitos organizacionais, também, as normas da industria, clientes e acordo com fornecedores, condições de seguro, etc.);

Identificar o nível de conscientização de segurança da informação e produzir os requisitos de treinamento e educação.

Com isso termos um conhecimento mais aprofundado dos principais processos, funções, localização, sistemas de informação e redes de comunicação, ativos de informação da organização, identificação dos processos críticos, classificação dos ativos, requisitos de segurança da informação derivados dos requisitos essenciais, lista de vulnerabilidades publicamente conhecidas que serão abordadas como resultado dos requisitos de segurança e por ultimo requisitos de educação e treinamento em segurança da informação.

A identificação dos ativos dentro do escopo do SGSI, é um dos passos mais importantes, aqui não adianta apenas possuir uma lista de equipamentos e sistemas de informação, precisamos identificar o nome do processo, descrição do processo e a atividade associada ao processo, identificar a criticidade do processo, quem é o proprietário do processo, quais são os processos interligados ou seja, processo de entrada e saída, quem são as aplicações que apoiam o processo e processos de TI associados e por ultimo classificação da informação, aqui a norma inclui no mesmo passo a identificação do tempo de retenção da informação armazenada, eu dividiria em duas partes a informação quanto tempo on-line e quanto tempo eu necessito ter a informação guardada.

Manter a informação on-line possui um custo alto de armazenamento, processamento e proteção dessa informação, dispensa-la em fitas de backup e guarda-las reduz esse custo e libera o recurso para por exemplo crescimento da organização. Claro que backups criam outros processo de proteção da informação, mas vamos tratar em outra publicação.

Agora devemos conduzir uma avaliação de segurança da informação comparando a situação atual da organização com os objetivos desejados de segurança da informação para a organização, para isso vamos analisar criticamente o escopo e limites do SGSI, a política do SGSI, requisitos de segurança da informação para o processo do SGSI e os ativos identificados dentro do escopo do SGSI.

A norma nos pede para estudar os fatos conhecidos baseados nos processos críticos, classificação dos ativos de informação e requisitos de segurança da informação organizacional, convêm que o estudo seja realizado por um individuo interno ou externo com uma posição independente em relação a organização, é recomendável a participação de indivíduos que possuam forte conhecimento do ambiente atual da organização, é conveniente que esses indivíduos sejam selecionados para representar um amplo espectro da organização, como: Gerentes, proprietários do processo, outras pessoas que possuam conhecimento do ambiente atual, condições, e o que mais possa ser relevante para o processo de segurança da informação, analista de processo de negocio e operacional, funções administrativas e funções legais.

As pessoas deveram identificar e listar, normas relevantes para a organização, requisitos de controles conhecidos a partir de políticas, normas, leis e regulamentações, obrigações contratuais, resultados de auditorias anteriores, resultados de avaliações de riscos realizadas. Utilizar o conhecimento e documentos como uma referencia para uma estimativa aproximada da organização.

E para concluir devemos selecionar os processos de negócios organizacionais importantes e as etapas relativas ao processo de requisitos de segurança da informação, criar um fluxograma dos principais processos da organização incluindo a infraestrutura. Discutir e analisar com pessoal-chave a situação atual da organização, por exemplo, questionar quais são processos críticos e quão bem esses processos funcionam.

Determinar as deficiências de controles, comparando com os controles já identificados e documentar o estado atual da segurança da informação e as vulnerabilidades avaliadas na organização.

Ricardo Lino

Profissional de Tecnologia da Informação há 17 anos, tendo os últimos 7 anos na área de Segurança da Informação, Risco&Fraude e Compliance, projetando e definindo as melhores soluções, alinhando as melhores práticas de mercado as metas de negócio, provendo transformações internamente e externamente mantendo uma Governança de segurança da informação, gestão de risco para elevar a maturidade das empresas, são o que eu faço melhor.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *