Olá querido aluno (a), nesse nosso encontro vamos falar sobre a norma 27002. De forma mais específica, vamos entender o contexto e o histórico dessa norma.
Bem, a norma 27002 é uma referência quando falamos em seleção de controles. Como assim controle ? Quais tipos de controle, professor? Os controles tratados pela 27002 são os relacionados com o processo de implementação de um sistema de gestão da segurança da informação (SGSI). Ou seja, ela é base para a implementação de controles de segurança da informação.
Qual motivo que nos leva ao uso desses controles? A resposta vem do fato de que todas organizações lidam com informações. Assim, é necessário protegê-las. Informação é um ativo importante e vital para as organizações.
Como ativos, as informações também estão sujeitas a ameaças. Estas podem ter caráter acidental ou proposital. Lembre-se que as ameaças se aproveitam das mais diferentes vulnerabilidades. Para reduzir estes ricos, devemos proteger estes ativos por meio da segurança da informação.
Segundo a norma 27002,
A segurança da informação é obtida alcançada pela implementação de um conjunto adequado de controles, incluindo políticas, processos, procedimentos, estrutura organizacional e funções de software e hardware. Estes controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados, quando necessário, para assegurar que os objetivos do negócio e a segurança da informação da organização são atendidos.
A norma também afirma que,
Esta norma é projetada para os organizações usarem como um referência na seleção de controles dentro do processo de implementação de um sistema de gestão da segurança da informação (SGSI)
Perceba então que o cerne da segurança da informação é implantação de um conjunto adequado de controles. Estes controles podem ser dos seguintes tipos:
- Políticas
- Processos
- Procedimentos
- Estrutura organizacional
- Funções de software e hardware.
É importante perceber que não estamos falando de aspectos técnicos de segurança da informação. Estamos em nível mais alto. Estamos falando de como gerir a segurança da informação como um todo. Por isso, Um sistema de gestão da segurança da informação (SGSI) deve ter um sentido mais amplo, deve ser integrado e permear os diversos processos da organização. Ou seja, deve olhar para toda a organização. E isso é uma decorrência lógica, já que a informação está espalhada nos mais diferentes níveis da organização.
Segundo a 27001,
Um sistema de gestão da segurança da informação (SGSI) a exemplo do especificado na ABNT NBR ISO/IEC 27001, considera uma visão holística e coordenada dos riscos de segurança da informação da organização, para implementar um conjunto de controles de segurança da informação detalhado, com base na estrutura global de um sistema de gestão coerente.
Note que norma da destaque a esse visão global e holística que a 27002 deve possuir. Muitas vezes a falta de preocupa com o SGSI pode levar a grandes prejuízos nas organizações. A 27001 alertar que muitas empresas tem cometido esse erro. Ou seja, tem projetos sistemas não seguros. Vejamos o que dizer a 27001,
Muitos sistemas de informação não têm sido projetados para serem seguros, na ótica da ABNT NBR ISO/IEC 27001 e desta Norma. A segurança que pode ser alcançada através de meios técnicos é limitada e está apoiada por procedimentos e gerenciamentos apropriados. A identificação de quais controles devem ser implementados requer planejamento e atenção cuidadosa em nível de detalhes.
A segue afirmando o seguinte:
Um sistema de gestão da segurança da informação bem sucedido requer apoio de todos os funcionários da organização. Isto pode também exigir a participação de acionistas, fornecedores ou outras partes externas. Orientações de especialistas externos podem também ser necessárias
Note que norma alerta a necessidade de comprometimento das partes interessadas. Passando também pelo o apoio do funcionários. Isso é um necessidade lógica, basta lembrar que uma das maiores falhas de segurança está no aspecto humano. É justamente nesse ponto que atua a engenharia social.
Nesse artigo, vimos que a 27001 surge em contexto em a segurança da informação tem um papel fundamental em todas as organizações. E sua função é ser um referência na seleção de controles dentro do processo de implementação de um sistema de gestão da segurança da informação (SGSI)
Participe da conversa