GDVZ Berlin

Pretende-se utilizar como referencial para este subitem a ISO/IEC 17799, que possui como escopo a segurança da informação. Segundo Karabacak e Sogukpinar (2006), esta é considerada a principal norma voltada para a segurança da informação. Considerada como um código de práticas que contempla 133 controles em 11 diferentes domínios de segurança. Apresenta considerável número de requisitos de controles que podem ser utilizados pelas organizações para checar o quanto estão em conformidade com as orientações normativas.

Segundo a ISO/IEC 17799 (2005), a informação é um ativo, e como todo ativo organizacional é fundamental para os negócios, e consequentemente necessita ser protegido. A informação existe sob diversas formas e representações. Pode ser impressa ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou por meios eletrônicos, apresentada em filmes ou falada em conversas. Independente de como é representada, recomenda-se proteção adequada. Sendo assim, a SI é a capacidade de proteção da informação a vários tipos de ameaças para garantir a continuidade do negócio, em minimizar seus riscos e maximizar o retorno em investimentos. A sistemática da SI inclui a implementação de controles, caracterizados por políticas, processos, normativos, estruturas organizacionais e funções de software e hardware. Recomenda-se que tais implementações estejam alinhadas com outros processos de gestão do negócio para que o esforço não considere somente uma perspectiva da gestão.

Conforme a Portaria Nr.11 do Exército Brasileiro (BRASIL, 2001), a segurança da informação corresponde à proteção dos sistemas de informação contra a negação de serviço a usuários autorizados, assim como a intrusão e a modificação desautorizada de dados ou informações, armazenados, em processamento ou em trânsito. Abrange, inclusive, a segurança do pessoal, da documentação e do material, das áreas e instalações, das comunicações e da informática, assim como as destinadas a prevenir, detectar, deter e documentar eventuais ameaças a seu desenvolvimento.

Acreditamos que as empresas com as quais fazemos negócios

honrarão o caráter confidencial de nossos relacionamentos, e terão apropriados processos de salvaguarda instalados para proteger nossa propriedade intelectual e demais segredos de transações. Pessoas, processos e tecnologias – todos são partes da equação da confiança. (McCARTHY, CAMPBELL, 2003, p.51).

A ISO propõe a implantação de um Sistema de Gestão de Segurança da Informação (SGSI), conforme figura 6. Este organismo internacional de normalização reconhece que as organizações, seus sistemas de informação e redes de computadores são expostos a diversos tipos de ameaças à segurança da informação, o que pode incluir fraudes eletrônicas, espionagem, sabotagem, vandalismo, incêndio e inundação. Eventuais danos causados por códigos maliciosos, hackers e ataques estão se tornando cada vez mais comuns e complexos ISO/IEC 27001 (2006).

Figura 6: Sistema de Gestão de Sistemas da Informação

ESTABELECENDO SGSI

IMPLEMENTAÇÃO E OPERAÇÕES DO SGSI

MONITORAMENTO E ANÁLISE CRÍTICA DO SGSI

MANUTENÇÃO E MELHORIA DO SGSI

Fonte: ABNT NBR ISO/IEC 27001:2006 Partes Interessadas Expectativas e requisitos de segurança da informação Partes Interessadas Segurança da informação gerenciada

A figura 6 apresenta um modelo de abordagem de processos de um Sistema de Gestão de Segurança em Informações (SGSI). Esta abordagem de processos possui como premissa a aplicação do método PDCA (Plan, Do, Check, Action), significa a capacidade de um sistema em adotar processos de planejamento, execução, verificação e ação de melhoria. Para cada macro processo acima apresentado, temos o seguinte entendimento, sendo:

Estabelecer um SGSI corresponde à criação de uma política, objetivos, processos e procedimentos do sistema de gestão, onde estes são relevantes para a gestão de riscos e a melhoria da SI para produzir resultados de acordo com as políticas e objetivos globais da

organização. Implementar e operar o SGSI significa executar a política, controles,

processos e procedimentos do sistema de gestão. Monitorar e analisar o SGSI, significa avaliar e medir o desempenho de um processo frente à política, objetivos e experiência prática do SGSI e apresentar os resultados para a análise crítica pela direção. Manter e melhorar o SGSI, corresponde ao entendimento de que ações corretivas e preventivas, com base nos resultados da auditoria interna do SGSI e da análise crítica pela direção ou outra informação pertinente, para alcançar a melhoria contínua do sistema de gestão.

A norma ISO/IEC 27001 (2006) promove a adoção de uma abordagem de processos para estabelecer e implementar, operar, monitorar, analisar criticamente, manter e melhorar o SGSI de uma organização. A referida Figura 6 ilustra como um SGSI considera as entradas de requisitos de segurança de informação e as expectativas das partes interessadas, e como as ações necessárias e processos de segurança da informação produzidos resultam no atendimento a estes requisitos e expectativas.

Conforme a ISO 17799 (2005, p.xi), certo número de controles pode ser considerado um bom ponto de partida para a implementação da SI. Estes controles são baseados tanto em requisitos legais como nas melhores práticas de SI normalmente usadas. Os controles considerados essenciais para uma organização, sob o ponto de vista legal, incluem, dependendo da legislação aplicável; proteção de dados e privacidade de informações pessoais, proteção de registros organizacionais e direitos de propriedade intelectual. Os controles considerados práticas para a SI incluem: documento da política de segurança da informação (PSI); atribuição de responsabilidades para a SI; conscientização, educação e treinamento em SI; processamento correto nas aplicações; gestão de vulnerabilidades técnicas; gestão da continuidade do negócio e gestão de incidentes de SI e melhorias. Estes controles se aplicam para a maioria das organizações e na maioria dos ambientes. Convém observar que, embora todos os controles nesta norma sejam importantes e devam ser considerados, a relevância de qualquer controle deve ser determinada segundo os riscos específicos a que uma organização está exposta. Por isto, embora o enfoque acima seja considerado um bom ponto de partida, ela não substitui a seleção de controles, baseado na análise/avaliação de riscos.