São Paulo, Brasil – A ESET, líder em detecção proativa de ameaças, aborda os pontos de partida para o desenvolvimento de um Sistema de Gestão de Segurança da Informação (SGSI), dando ênfase nos aspectos que devem ser considerados antes da implementação da ISO 27001, e que se mostrem úteis durante as fases de planejamento e operação do SGSI dentro de uma organização.
“Por ser um processo contínuo de manutenção e revisão, a gestão da segurança da informação constitui um conjunto de engrenagens compostas por diferentes fatores e elementos. De início, isso significa projetar, implementar e manter uma série de processos que permitam o gerenciamento eficiente de informações, garantindo assim integridade, confidencialidade e disponibilidade. É possível também criar um modelo próprio de gerenciamento, desde que sejam considerados todos os fatores essenciais do ciclo para que o sistema seja eficiente”, diz Camilo Gutierrez, diretor do Laboratório de Pesquisa da ESET América Latina.
Embora não haja um passo a passo sobre como implementar um gerenciamento padrão, existem fatores essenciais para uma melhor projeção dos esforços e conquista de resultados aceitáveis. Os aspectos a considerar são:
1. Apoio e patrocínio
O principal elemento que deve ser levado em conta antes da implementação é o respaldo da alta administração em relação às atividades de segurança da informação, especialmente ao iniciar a operação de um SGSI.
O suporte e o empenho desta área refletem um esforço conjunto, diferentemente de um projeto isolado e gerenciado por um único colaborador. Igualmente, a formação de estruturas complexas dentro das organizações é útil, o que permite a cooperação dos representantes de diferentes áreas em funções relevantes.
2. Estrutura para tomada de decisões
Uma boa prática é desenvolver a estrutura adequada para a tomada de decisões em torno do sistema de gestão.Com a criação de um fórum ou comitê de segurança, é possível efetivar o que foi determinado como governança da segurança da informação, ou seja, todas as responsabilidades e ações exercidas pela alta administração em termos de segurança.
3. Análise de brechas
A análise de brechas ou GAP Analysis é um estudo preliminar que permite conhecer a maneira como uma organização lida em termos de segurança da informação. Quando comparadas às melhores práticas reconhecidas na indústria, são usados critérios estabelecidos como padrões.
A análise estabelece a diferença entre a performance atual e a desejada. Embora esse diagnóstico seja aplicável a qualquer norma certificável, geralmente é realizado para novos esquemas de certificação, que são os que geram mais dúvidas nas organizações, por serem novidade.
4. Análise de impacto no negócio
A análise de impacto do negócio (BIA, em inglês) é um elemento usado para prever as consequências em caso de incidente ou desastre dentro de uma organização. O objetivo principal é fornecer uma base para identificar os processos críticos para a operação de uma organização e a priorização desse conjunto de processos, seguindo o critério de quanto maior o impacto, maior será a prioridade.
5. Recursos, tempo, dinheiro e pessoal
Com base nos resultados da análise, é possível estimar os elementos necessários para a implementação da ISO / IEC 27001. No caso do primeiro ciclo de operação, recomenda-se um período com menor carga de trabalho para implementação, permitindo planejamento adequado ou, se necessário, a contratação de novos funcionários focados nesta tarefa.
É recomendável que o tempo dedicado ao sistema de gerenciamento não exceda um período superior a um ano antes do primeiro ciclo estar completo, devido a diferentes razões, como mudanças contínuas nos riscos, alteração das prioridades da administração em relação a proteção de ativos, aparição de novas ameaças, entre outros.
6. Revisão dos padrões de segurança
É necessário conhecer a ISO / IEC 27000, que permite entender os princípios sobre os quais a implementação de um ISMS se baseia.
A ISO / IEC 27000 contém o glossário de todos os termos utilizados na série 27000, um resumo geral desta família de padrões, bem como uma introdução ao SGSI. Cada implementação é diferente devido às condições, necessidades e recursos de cada organização. No entanto, esses elementos podem ser aplicados de forma geral, uma vez que os padrões definem o que deve ser feito, mas não a maneira de fazê-lo.
“Por meio das melhores práticas da indústria e do consenso de especialistas no assunto, estes elementos podem ser essenciais para o sucesso da iniciativa de operar e manter um SGSI dentro da empresa, com o objetivo de proteger informações e outros ativos”, conclui Gutiérrez.
Para saber mais sobre Gestão de Segurança Corporativa, a empresa convida você a acessar um curso on-line na ACADEMIA ESET (em espanhol):
https://www.academiaeset.com/default/store/13164-gestion-de-la-seguridad-de-la-informacion-corporativa
Para outras informações, visite o WeLiveSecurity, portal de notícias de segurança informática da ESET: https://www.welivesecurity.com/br/
Leia nesta edição:
CAPA | TECNOLOGIA
Centros de Dados privados ainda geram bons negócios
TENDÊNCIA
Processadores ganham centralidade com IA
TIC APLICADA
Digitalização do canteiro de obras
Esta você só vai ler na versão digital
TECNOLOGIA
A tecnologia RFID está madura, mas há espaço para crescimento
Baixe o nosso aplicativo