Sistema de Gestão em Segurança da Informação

Em sua bibliografia Fontes [Fontes 2008] define um Sistema de Gestão de Segurança da Informação ou Information Security Management System (ISMS) como um conjunto de processos, diretrizes, procedimentos e políticas que são metodicamente implantadas com o objetivo de prover segurança aos ativos organizacionais e tecnológicos. Este sistema deve ser proposto ou receber o aval da direção da corporação, suas normas deverão ser seguidas por todos aqueles que tenham relacionamento direto ou indireto com o setor de tecnologia da informação.

A análise de riscos no setor de infraestrutura de TI deve ser priorizada a fim de identificar as falhas e pontos vulneráveis dos sistemas em uso, estes deverão ser corrigidos para que posteriormente sejam auditados. Programas de conscientização e treinamento dos usuários devem ocorrer em paralelo com a implantação do ISMS por serem um elo fraco no processo de segurança.

Outra necessidade do ISMS é a definição de uma política de segurança da informação, que consistem em documentos que descrevem os procedimentos adequados para a utilização dos recursos tecnológicos da corporação, definindo regras e punições caso as regras sejam violadas. Estes documentos devem ser livremente divulgados e sua leitura deve ser incentivada pelos gestores da organização.

Ao buscar conformidade com as normas relativas à série ISO/IEC 27000 em uma organização, acabasse por instituir um sistema de gestão em segurança da informação, em uma visão simplista este sistema considera a proteção dos ativos, o gerenciamento dos riscos, os objetivos de controles e controles implementados, em sua bibliografia Ferreira [Ferreira 2008] afirma que o ISMS pode ser construído de acordo com as seguintes etapas exemplificadas na figura 1.

Em uma organização a implantação de um ISMS tem como fim a proteção dos recursos de informação, permitindo assim que o negócio da organização seja realizado de forma alinhada e contínua. Deve-se ter em mente que a série ISO/IEC 27000 (em especial a norma ISO/IEC 27002) fornece recomendações básicas para a gestão da segurança em um documento completo que marca o ponto de partida da organização rumo a gerenciamento seguro do seu negócio.

Governança de SI: Melhores Práticas

Para que a governança de segurança da informação alcance a esperada efetividade dentro de uma organização, algumas metodologias e melhores práticas tornam-se indispensáveis, dentre elas a NBR ISO/IEC 27002:2005, o Control Objectives for Information and Related Technology (Cobit) e o Information Technology Infrastructure Library (ITIL) são padrões mundialmente reconhecidos.

A busca por padrões de mercado decorre da necessidade de atualização constante que as áreas de tecnologia da informação possuem, entretanto a velocidade da evolução tecnológica cria a necessidade de continuas atualizações nos modelos, buscando o constante alinhamento das metodologias às necessidades do mercado [Módulo 2007]. Ao decorrer dessa seção algumas das metodológicas mais utilizadas em segurança da informação serão discutidas.

Ao proteger e controlar as informações de sua organização, o profissional de segurança deve estar apto a prover ações que estejam alinhadas as melhores práticas vigentes no mercado, essas práticas aconselham a existência de processos formais que procuram conscientizar os colaboradores de uma organização sobre os riscos que as atuais tecnologias oferecem.

Apesar das recomendações relativas à conscientização, em nenhum momento as metodologias de segurança apresentam um modelo de como implantar estas práticas, esse é um dever do gestor de segurança que deve alinhar as recomendações para cada negócio.

CobiT

O Control Objectives for Information and related Technology (CobiT) desenvolvido pelo ISACA (Information Systems Audit and Control Association) consiste em um modelo de boas práticas em estruturas de controles internos, essas estruturas são orientadas para o entendimento e gerenciamento de riscos associados ao uso da tecnologia da informação. O conjunto de práticas disponibilizado pelo CobiT tem como seu principal objetivo auxiliar na otimização dos investimentos em TI assim como assegurar a entrega de serviços e providenciar métricas de controle.

Padrões aceitos mundialmente compõem sua estrutura de controle no que diz respeito às melhores práticas para o estabelecimento de controles e padrões de segurança tendo como foco a área de tecnologia da informação.

Em sua divisão, o CobiT conta com 4 domínios, nos quais 34 processos primam por estabelecer os objetivos de controle necessários à manutenção de uma estrutura de controles internos. Esta estrutura possibilita que a organização atinja os objetivos de negócio de maneira concisa e confiável. Em suma, o CobiT prega que para prover as informações necessárias aos objetivos da organização, os recursos de TI precisam ser gerenciados por uma série de processos naturalmente agrupados.

ITIL

A Information Technology Infrastructure Library (ITIL) é um conjunto de melhores práticas amplamente aceita para a operação dos negócios de tecnologia da informação. A ITIL foi desenvolvida no final da década de 80 e era constituída por uma série de livros (cerca de 60 livros).

Sendo desenvolvida no Reino Unido pelo Office of Government Commerce/UK, com a participação de várias organizações governamentais e industriais a ITIL foi adotada por um grande número de países como um padrão de gerenciamento de serviços.

Em sua filosofia a ITIL prima por uma estratégia orientada a processos que deve atender a qualquer tipo de organização. Sendo um guia direcionado para a governança de TI, a ITIL conta em seu conjunto bibliográfico com um pequeno segmento referente a boas práticas em segurança da informação.

Norma NBR ISO/IEC Série 27000

A série ISO/IEC 27000 foi criada para que pudesse reunir de forma ordenada às diversas normas de segurança da informação, esta série é composta por normas de segurança da informação publicadas através da parceria entre a International Organization for Standardization (ISO) e a International Electrotechnical Commission (IEC).

Esta série fornece recomendações de melhores práticas em segurança da informação, gestão de riscos e controle dentro de um Information Security Management System (ISMS) ou Sistema de Gerenciamento de Segurança da Informação de maneira análoga aos projetos de sistemas de gestão para a garantia da qualidade (série ISO 9000) e de proteção ambiental (série ISO 14000).

Essa série não cobre apenas questões técnicas de segurança dentro do setor de tecnologia da informação, sendo propositalmente abrangente que possa ser aplicável em qualquer organização, não importando seu tamanho ou segmento.

A norma incentiva o hábito de avaliar riscos em segurança da informação e executar controles de acordo com a necessidade da empresa [ISO/IEC 2009].

Por ser um segmento de natureza dinâmica, a segurança da informação precisa incorporar ciclos de melhoria continua em seu Sistema de Gestão de Segurança da Informação (ISMS), procurando a adequação às ameaças e vulnerabilidades atuais e buscando constante atualização dos riscos. Para isso o ciclo PDCA (visto anteriormente nesse artigo) é incorporado ao cerne desta série de normas.

A série ISO/IEC 27000 conta atualmente com um conjunto de onze normas publicadas e disponibilizadas pela ISO, podendo ser adquiridas pelo próprio website da ISO ou por parceiros, como organismos nacionais de normatização. Um grande número de normas dessa série encontra-se ainda em desenvolvimento.

Apesar de sua extensa fase de desenvolvimento, a série ISO/IEC 27000 possui uma gama considerável de normas concluídas, dentre essas normas, a ISO/IEC 27002 detém a atenção dos profissionais encarregados de prover a segurança da informação, sendo publicada inicialmente como ISO/IEC 17799 esta deriva da norma britânica conhecida como BS 7799 – Parte 1 e tem como objetivo oferecer auxílio na gestão de segurança da informação.

Considerado como mais completo padrão para gerência da segurança da informação, a norma BS 7799 concebida pelo Britsh Standard Institute (BSi) torna possível o desenvolvimento e implantação de um sistema de gestão de segurança com base em normas e práticas internacionais.

A BS 7799 tornou-se uma norma oficial da ISO em dezembro do ano 2000 sob o código ISO/IEC 17799, posteriormente foi adotada pelo Brasil por meio da ABNT trazendo uma tradução literal sob o código NBR ISO/IEC 17799.

Posteriormente uma nova versão da Parte 1 da norma ISO/IEC 17799 foi publicada em meados de 2005, tornando-se a ISO/IEC 27002. Esta norma é de muita valia para organizações que almejam a implantação de um processo de segurança da informação efetivo, porém a de se ressaltar que a norma é apenas guia, apenas a vontade e dedicação da empresa poderão determinar o sucesso em se implementar tais mecanismos.