Diretrizes para implantação de um SGSI ISO 27003
Nessa publicação iremos tratar tratar sobre a avaliação de risco na ISO 27003, o modelo de SGSI é democrático e com isso podemos utilizar qualquer metodologia de gestão de risco para realizar essa atividade, porém como meu intuito aqui é apresentar as normas do Sistema de Gestão de Segurança da Informação, vamos tomar como base a ISO 27005 que trata da Gestão de Risco de Segurança da Informação, para inicio da avaliação de risco do SGSI teremos que nos basear no escopo, na política do SGSI e em nossa ultima atividade o resultado da analise dos requisitos de segurança da informação e os ativos identificados dentro do escopo do SGSI.
Não vou me aprofundar no processo de gestão de risco porque quero elaborar uma publicação completa sobre, mas vamos ao básico do processo apresentado na norma que estamos apresentando;
- Identifique as ameaças e suas fontes, aqui temos diversas técnicas que podem ser usadas, como:
- Brainstorming;
- Entrevista estruturada ou semi-estruturada;
- Técnica estruturada “Swift” (e se);
- Análise de cenários;
- Analise de causa e efeito; etc.
- Identifique os controles existentes e os planejados;
- Mapeie os controles existentes;
- Mapeie os controles planejados;
- Avalie a relevância dos controles perante ao risco.
- Identifique vulnerabilidades que podem ser exploradas pelas ameaças causando dano aos ativos e à organização;
- Identifique os impactos que as perdas de confidencialidade, integridade, disponibilidade e outros requisitos de segurança;
- Avalie os impactos para o negocio;
- Avalie a probabilidade dos cenários;
- Estime os níveis de risco;
- Compare os níveis de risco com os critérios de analise e avaliação de risco e critérios de aceitação de risco.
Selecionar os objetivos de controle e os controles, criar uma lista dos controles pertinentes e aplicáveis, para assim elaborar um plano de tratamento do risco.
Bom aqui já teremos uma visão clara dos desafios para implantação do SGSI, com isso podemos notificação formal da aprovação da direção para implementação do SGSI, aceitação dos riscos residuais e declaração de aplicabilidade, incluindo os objetivos de controle e os controles selecionados.
Nessa parte devemos apresentar também as oportunidade possíveis a organização com a implantação de um SGSI, aqui é a ultima fase de considerações, então vá pautado, preparado, porque você entregará uma conta gorda para corrigir o legado da empresa e dependendo da empresa, esse legado poderá ser maior ou menor, então recomendo que a sua abordagem seja muito mais pautada pelos benefícios que serão alcançados, as oportunidade que a empresa internamente ou externamente terá, o fortalecimento da marca e aqui vai a sua criatividade em vender o “peixe”.
O próximo passo é definir detalhadamente o projeto do SGSI e planejar as atividades para implantação, então vamos alinhar com o tratamento de risco as funções da organização, os papeis e as responsabilidades para segurança da informação, pode ser aplicado aqui, a função de um responsável pela segurança da informação e alguém responsável por medir a segurança da informação em cada departamento, não conseguimos estar em todos os lugares ao mesmo tempo, assim podemos delegar algumas atividades mais simples, porém nossa responsabilidade aumenta, devemos monitorar a efetividade, se a pessoa realmente se comprometeu com essa nova atribuição, imagine que é mais uma responsabilidade para ela em seu dia a dia.
Definir uma estrutura de documentação para o SGSI, basicamente devemos padronizar a documentação que será gerada para atender o SGSI, com a criação de modelos e já recomendo se pautar na classificação da informação para não ter um retrabalho, sendo assim políticas, normas, processos, procedimentos, relatórios, comunicação, entre outros terão uma formato padrão, definido e aprovado pela organização.
Com a padronização, desenvolver normas e procedimento de segurança da informação atendendo os controles da ISO 27002 e outros requisitos pertinentes já identificados.
Definir a segurança da informação de tecnologia da informação e comunicação TIC e segurança física, projetando os controles apropriado novamente com base na ISO 27002 e outros requisitos pertinentes já identificados.
Definir segurança da informação especifica do SGSI, criar um plano de análise crítica pela direção.
Planejar um plano de conscientização, treinamento e educação de segurança da informação.
O plano de conscientização, treinamento e educação, é um dos pontos mais críticos para o sucesso para implantação do SGSI, já comentei em outra publicação sobre o apoio da alta gestão ao programa, porém um colaborador pode contaminar outros e tornar as coisas muito mais difíceis, então aproveite esses contatos para tentar deixar o mais claro possível os objetivos e que algumas coisas serão inevitáveis, outras tentamos reduzir o impacto.
Ao fim, teremos um planejamento detalhado do projeto para implementação do Sistema de Gestão de Segurança da Informação, com documentação detalhada, oferecendo uma visão da alta gestão das ações planejadas, fases do projeto e os entregáveis.
Espero ter ajudado com essa serie de postagens sobre a norma 27003 e caso tenham novamente sugiro a sua aquisição que é de grande utilidade em nosso dia a dia.