ISO – INTERNATIONAL ORGANIZATION FOR STANDARDIZATION

UNIVERSIDADE PAULISTA

GISELE CRISTINA DA SILVA RA D3478B-8

ISO – INTERNATIONAL ORGANIZATION FOR STANDARDIZATION

ISO/IEC 27001, ISO/IEC 27002, ISO/IEC 27003

SÃO PAULO

2019

Importância do SGSI

A integração com a internet é um grande beneficio para a realização de quase todas as tarefas executadas por uma grande rede de pessoas físicas e/ou jurídicas mundialmente, porém também apresenta um grande problema da atualidade: A segurança da informação.

Com tantos crimes cibernéticos, existe um grande vilão das organizações, um tipo de vírus chamado ransomware, que consiste na invasão de um computador, smartphone ou algum outro dispositivo por uma pessoa mal-intencionada, comumente chamada de “hacker”. Mais do que nunca as informações se tornaram um bem, de tal forma que poderia ser pivô do sucesso ou fracasso de uma empresa e isso se torna moeda de troca para esses tipos de chantagem.

Quando a organização é gerenciada corretamente, opera-se com confiança, a gestão da informação favorece a liberdade de inovação em tecnologias ou serviços, sem colocar em risco todas as informações. Para resolver o problema de segurança, vários mecanismos foram sendo criados, e um deles é a norma ISO 27001.

ISO/IEC 27001

A norma ISO/IEC 27001 é um padrão para gestão da Segurança da informação (ISMS - Information Security Management System), referência ao British Standard 7799. A norma teve sua publicação em 2005 e ao longo dos anos, diversos profissionais atuaram na revisão, em 2013, a ISO 27001 ganhou uma nova versão, tornando-a mais eficiente e alinhada às diretrizes do Annex SL (ISO Guide 83), que padroniza definições e estruturas de diferentes padrões ISO.

O SGSI é um sistema de gestão que envolve um conjunto de técnicas, ações, ferramentas e recursos que estabelece, opera, implementa, monitora, analisa criticamente, mantém e melhora os ativos de informação de uma organização, aplica processo de gestão de risco e fornece confiança para todas as partes interessadas, por meio de normas, políticas e recursos diversos, preservando a confidencialidade, integridade, disponibilidade e autenticidade.

O sistema não tem que ser necessariamente automatizado, assim como sua abordagem a Segurança, independe de marcas e fabricantes tecnológicos, porque se destina a processos e procedimentos de acordo com a realidade de cada organização, podendo ser usada por partes internas e externas para avaliar a capacidade da organização em atender os seus próprios requisitos de segurança.

A identificação, análise e avaliação dos riscos de segurança da informação permitiu elaborar a matriz de risco e as respetivas diretrizes para o tratamento de cada um dos riscos, nas suas diferentes dimensões. Na obtenção de evidências na aplicabilidade dos requisitos preconizados na norma ISO/IEC 27001, fez-se uma análise detalhada e completa a todos os controles de referência e face aos objetivos de controle, apurou-se qual o atual nível de maturidade e de capacidade na aplicabilidade das boas práticas. Esta avaliação, através do modelo de maturidade, permite orientar a organização a subir de nível e a melhorar de forma incremental atividades na Gestão do Risco e Segurança. As medidas apresentadas – ações a realizar, estão subdivididas em cinco eixos de ação – Organizacional, Físico e Ambiental, Pessoal, Tecnológico, de Conformidade & Regulação - proporcionando uma visão geral mais efetiva do que precisa de ser feito e como precisa ser feito, para implementar um SGSI.

         A confiança, a transparência e as boas práticas são ativos que proporcionam uma vantagem competitiva entre as organizações, sendo elas de setor público ou privado, razão pela qual a maioria delas pretendem obter várias certificações ISO (the International Organization for Standardization) podendo assim destacar o seu alinhamento prudente às boas práticas definidas nos standards internacionais.

Um programa de gestão efetivo de riscos de segurança da informação reduz a probabilidade exposição, protegendo a organização contra ameaças e vulnerabilidades e reduzindo o impacto dos seus ativos. Sabemos hoje que, as operações relacionadas com a gestão dos clientes e o relacionamento com os seus parceiros são fatores críticos de sucesso.

Toda a informação processada, armazenada e partilhada na gestão funcional e operacional é um ativo da máxima importância. Seja qual for a forma apresentada (impressa ou escrita em papel, armazenada em dispositivos eletrônicos, transmitida pelo correio, etc.

A norma padrão (Standard) ISO 27001 é composta por duas componentes relativamente distintas:

- A primeira componente, é onde são definidos as regras e os requisitos de cumprimento da norma. Nesta componente, são endereçados os aspectos explícitos no seguinte diagrama:

[pic 1]

ISO/IEC 27002

O foco da norma 27002 é determinar princípios gerais para implantar o SGSI e iniciar, manter e aprimorar a segurança da informação. Nesse contexto, também estão incluídos: seleção, implementação e gestão dos controles segundo os ambientes de risco encontrados na empresa.

Através do fornecimento de um guia completo de implementação, ela descreve como os controles podem ser estabelecidos. Estes controles, por sua vez, devem ser escolhidos com base em uma avaliação de riscos dos ativos mais importantes da empresa. Ao contrário do que muitos gestores pensam, a ISO 27002 pode ser utilizada para apoiar a implantação do SGSI em qualquer tipo de organização, pública ou privada, de pequeno ou grande porte, com ou sem fins lucrativos; e não apenas em empresas de tecnologia.

As vantagens proporcionadas pela certificação ISO 27002, alguns benefícios associados a aplicação da norma são:

Melhor conscientização sobre a segurança da informação;

Maior controle de ativos e informações sensíveis;

Oferece uma abordagem para implantação de políticas de controles;

Oportunidade de identificar e corrigir pontos fracos;

Redução do risco de responsabilidade pela não implementação de um SGSI ou determinação de políticas e procedimentos;

Torna-se um diferencial competitivo para a conquista de clientes que valorizam a certificação;

...