Os 10 Aspectos Essenciais da Seguran�a a Abordar Por Qualquer Organiza��o

Desde os finais do s�culo XX que a informa��o � tomada como um dos componentes fundamentais de qualquer forma de neg�cio. Um Sistema de Gest�o da Seguran�a da Informa��o (SGSI) � um elemento essencial para proteger a informa��o de neg�cio dos variados leques de amea�as que sobre ela pendem diariamente, assegurando-se continuidade, minimiza��o de riscos e maximiza��o de oportunidades.

Para uma protec��o adequada do neg�cio t�m que se identificar e avaliar, quanto � sua criticidade para a organiza��o, mat�rias essenciais intimamente ligadas com a informa��o, nomeadamente:

A�resposta a incidentes de seguran�a;
Os procedimentos operacionais e de controlo;
A seguran�a organizacional;
A seguran�a e forma��o dos recursos humanos;
O acesso de terceiros;
A classifica��o e controlo de bens/recursos.

Estes seis exemplos de um conjunto mais vasto de temas n�o podem ser descurados, de modo algum, pelas organiza��es.

ISO/IEC 17799: referencial de excel�ncia em seguran�a da informa��o

Tendo sido inicialmente desenvolvido por grupos da ind�stria brit�nica e publicada a primeira vers�o como norma brit�nica BS7799-1 no in�cio de 1993, este referencial tinha como mote a cria��o de uma base comum para as organiza��es desenvolverem, implementarem e medirem de forma efectiva as pr�ticas da gest�o de seguran�a da informa��o e, consequentemente, incrementarem a confian�a nos relacionamentos inter-organizacionais.

Como resposta �s necessidades apresentadas pela comunidade internacional, esta norma brit�nica evoluiu substancialmente na �ltima d�cada, tanto na sua forma, como na sua abrang�ncia, tendo sido adoptada no ano 2000 como norma internacional em mat�ria de seguran�a da informa��o.

A aplica��o e utiliza��o desta norma tem sido adoptada por diferentes organiza��es, de dimens�o pequena, m�dia e grande, e em in�meros pa�ses do globo, sendo utilizado como "linguagem comum" em termos de boas pr�ticas em seguran�a da informa��o. A norma internacional ISO/IEC 17799 � um c�digo de boas pr�ticas para a implementa��o de um Sistema de Gest�o da Seguran�a da Informa��o.

Esta norma internacional possui como pilares fundamentais 10 mat�rias essenciais a abordar por qualquer organiza��o que pretenda estabelecer uma postura de minimiza��o dos riscos que pairam sobre a seguran�a da sua informa��o de neg�cio. Esses pilares s�o:

1. Pol�tica de seguran�a. Demonstra��o de suporte e compromisso da gest�o de topo em implementar uma gest�o eficaz do risco que paira sobre a informa��o de neg�cio. Inclui, entre outras, a abordagem da organiza��o para as diversas pr�ticas e posturas a tomar por todos os seus recursos humanos.

2. Organiza��o de seguran�a. Exist�ncia de um f�rum ou comit� de seguran�a da informa��o com a participa��o da gest�o de topo, especialistas de seguran�a e respons�veis pelas diversas �reas de neg�cio existentes na organiza��o para debater e planear proactivamente que ac��es empreender, bem como tra�ar as pol�ticas de seguran�a a aplicar em toda a organiza��o, definir as responsabilidades de seguran�a dos diversos elementos humanos e definir as condi��es de seguran�a da informa��o a incluir em contratos com terceiros, por exemplo.

3. Controlo e classifica��o de recursos. Exist�ncia de um sistema de gest�o de invent�rio de recursos cr�ticos e n�o cr�ticos da organiza��o, identifica��o de respons�veis para assegurar uma efectiva protec��o ao longo do tempo de vida �til do recurso, entre outras mat�rias.

4. Seguran�a dos elementos humanos. Desenvolvimento de ac��es de forma��o e sensibiliza��o para a problem�tica da inseguran�a da informa��o para todos os recursos humanos da organiza��o. Atribui��o de responsabilidades e pap�is a desempenhar por cada um dos elementos humanos face a uma situa��o de quebra de seguran�a ou cat�strofe.

5. Seguran�a f�sica e ambiental. Defini��o concreta e concisa do modelo de seguran�a f�sica e ambiental a implementar, com base em requisitos identificados para controlo e seguran�a de locais e pessoas.

6. Gest�o de opera��es e comunica��es. Planeamento para o desenvolvimento de uma postura comunicativa eficaz que optimize a gest�o das opera��es de sistemas e redes de comunica��es. Defini��o de procedimentos de opera��o e de seguran�a dos equipamentos, gest�o de altera��es, segrega��o de ambientes de desenvolvimento e produ��o, planeamento e gest�o de capacidades, c�pias de seguran�a, entre outros itens.

7. Controlo de acessos. Defini��o de controlos que permitam assegurar que determinada informa��o s� � acess�vel por aqueles que possuam as devidas credenciais.

8. Desenvolvimento e manuten��o de sistemas. Assegurar que os projectos de tecnologias de informa��o e as actividades de suporte s�o conduzidos, desde o seu in�cio, tendo em conta a seguran�a da informa��o e respeitando as pol�ticas em vigor na organiza��o.

9. Gest�o da continuidade do neg�cio. Desenvolvimento de processos que permitam a gest�o continuada e a melhoria cont�nua de planos de conting�ncia que protejam os processos cr�ticos do neg�cio contra os riscos existentes.

10. Conformidades. Capacidade de demonstra��o a todos os elementos humanos da organiza��o, clientes, fornecedores e autoridades externas do compromisso relativamente ao cumprimento das normas legais e outras (internas ou externas) relacionadas com a informa��o.

A ISO/IEC 17799 permite endere�ar a estrutura de um Sistema de Gest�o de Seguran�a da Informa��o de uma forma pr�tica, com custos eficazes, de forma realista e compreensiva. A adop��o desta norma internacional assegura o aumento da qualidade do neg�cio.

Topo

Agenda

Destaques