Publicado por: Marta Vuelma | 26/05/2010

Gerenciamento de Segurança da Informação – Parte 1


Sendo responsável pelo controle de acessos e integridade das informações de uma empresa, os profissionais de TI muitas vezes se deparam com a necessidade de documentar processos internos de segurança da informação. Este artigo mostra de forma clara e breve, os principais itens relacionados a este assunto.


Código de práticas para gerenciamento de segurança da informação

O padrão ISO/IEC 27002 é internacionalmente aceito como conjunto das melhores práticas de segurança da informação. A versão atualmente em uso deste padrão é de 2005. Está prevista uma atualização para 2011 que está sendo revisada neste momento pelo comitê do ISO/IEC.
Como a governança, a segurança da informação é uma área muito ampla com ramificações em quase todas as partes de uma organização. Governo, entidades filantrópicas e empresas privadas de qualquer tamanho ou objetivo envolvem questões relevantes para a segurança da informação. O objetivo pode ser diferente, mas todos tem pontos em comum.
Os departamentos de TI são meros “curadores” de uma boa quantidade das informações de valor de uma organização e são considerados os responsáveis por estas informações pelos demais colaboradores. No entanto, boa parte da informação escrita e intangível (como conhecimento estratégico, por exemplo) não tem nada a ver com TI.
O padrão ISO/IEC 27001 define formalmente um conjunto de requisitos obrigatórios para um Sistema de Gerenciamento de Segurança da Informação (ISMS – Information Security Management System). Porém, como este padrão é um guia/código de melhores práticas e não um padrão de certificação, as organizações estão livres para adotar o que melhor se adequar ao seu cenário. Normalmente as empresas que adotam o padrão ISO/IEC 27002 também adotam o ISO/IEC 27001.

Estrutura do ISO/IEC 27002
O padrão ISO/IEC 27002 é um código de práticas, um documento genérico e consultivo, não exatamente um padrão formal como o ISO/IEC 27001. Ele aborda um conjunto razoável de sugestões de controle para riscos de segurança da informação cobrindo confidencialidade, integridade e disponibilidade que são os 3 pilares da segurança. As organizações que adotam este padrão precisam avaliar seus próprios riscos e decidir por ações aplicáveis a eles. A rigor, nenhum dos controles são obrigatórios, mas se uma organização opta por não adotar algo comum como, por exemplo, controles de antivírus, certamente deve estar preparado para demonstrar que esta decisão foi tomada através de um processo racional de decisão de gestão de risco, se pretende se certificadar em conformidade com a norma ISO / IEC 27001.
Um documento que se proponha a registrar, sugerir ou controlar elementos de segurança da informação, deve cobrir os seguintes aspectos:
1 – Gerenciamento e tratamento de riscos
2 – Política de segurança da informação
3 – Organização da segurança da informação
4 – Gestão de ativos
5 – Segurança de recursos humanos
5.1 Antes da contratação
5.2 Durante a contratação
5.3 Término ou mudança na contratação
6 – Segurança física e do ambiente
6.1 Áreas de segurança
6.2 Segurança dos equipamentos
7 – Gerenciamento das operações e comunicações
7.1 Responsabilidades e procedimentos operacionais
7.2 Gerenciamento de entrega de serviços de terceiros
7.3 Aprovação e planejamento de serviços
7.4 Proteção contra código malicioso e ameaças móveis
7.5 Backup
7.6 Gerenciamento de segurança de rede
7.7 Gerenciamento de mídias
7.8 Intercâmbio de informações
7.9 Serviços de comércio eletrônico
7.10 Monitoramento
8 – Controle de acessos
8.1 Requisitos do negócio para controle de acesso
8.2 Gerenciamento de acessos de usuários
8.3 Responsabilidades de usuários
8.4 Controle de acessos à rede
8.5 Controle de acesso ao sistema operacional
8.6 Controle de acesso à aplicações e informação
8.7 Teletrabalho e computação móvel
9 – Aquisição, desenvolvimento e manutenção de sistemas de informação
9.1 Requisitos de segurança de um sistema de informação
9.2 Processamento correto em aplicações
9.3 Controle de criptografia
9.4 Segurança de sistema de arquivos
9.5 Segurança nos processos de desenvolvimento e suporte
9.6 Gerenciamento de vulnerabilidades técnicas
10 – Gestão de incidentes de segurança da informação
10.1 Registro de eventos de segurança e fraquezas
10.2 Gerenciamento de eventos de segurança e melhorias
11 – Gestão da continuidade do negócio ou planejamento de recuperação de desastres
12 – Conformidade
12.1 Conformidade com requisitos legais
12.2 Conformidade com padrões e políticas de segurança
12.3 Considerações sobre auditoria de sistemas de informação


Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

Categorias

%d blogueiros gostam disto: