Conteúdo produzido por Antônio Barros
As normas da série ISO 27000 fornecem as diretrizes para práticas de gestão da segurança da informação para as organizações conhecidas como SGSI – Sistema de Gestão da Segurança da Informação.
São normas definidas internacionalmente, já com bastante maturidade, pois têm sido constantemente renovadas a cada 5 anos e sua origem data de 1995, através da BS7799.
Neste texto, vamos evidenciar os principais benefícios proporcionados às empresas através da adoção das normas da série ISO 27000.
1. Redução do Risco de Segurança da Informação
Este tinha de ser o primeiro conjunto de benefícios a ser citado, visto que a norma é conhecida como Sistema de Gestão da Segurança da Informação. Esta redução do risco é alcançada através das seguintes ações:
- Reforço do ambiente de controle da Segurança da informação, enfatizando os requisitos de controle da segurança da informação, atualizando a política de Segurança, os controles e pelo envolvimento da alta direção nestas definições;
- Através de uma abordagem abrangente e bem estruturada, ajuda a identificar todas as ameaças e vulnerabilidades e impactos, possibilitando que estes sejam tratados e avaliados, reduzindo o risco das organizações;
- O método de avaliação do risco ajuda as organizações a definirem suas prioridades, custos, e recursos necessários;
- Ajuda a alta direção a definir quais as transferências de riscos que podem ou devem ser transferidas para as seguradoras, reduzindo até mesmo os custos dos seguros, devido a aplicação de medidas de contenção;
- Familiarização da equipe de TI e Gestores na análise e tratamento das vulnerabilidades, riscos e controles da Segurança de TI.
2. Padronização
O segundo conjunto de benefícios é o proporcionado pela padronização. Para que haja a redução de risco de segurança, as normas sugerem alguns itens que devem ser padronizados, trazendo os seguintes benefícios além da redução do risco.
- É sugerido uma série de controles básicos, que são aceitos como boas práticas de TI e universalmente aceitos, de modo a garantir uma linha base de segurança, ajudando os gestores de TI nestas definições;
- Normalmente estes itens são aplicáveis a vários departamentos, unidades de negócios, melhorando a produtividade e proporcionando uma economia de custos;
- Esta padronização permite o controle básico, mas também libera o setor de segurança para definição de itens específicos de seus ativos, baseados em padrões universais, melhorando a segurança e proporcionando economia;
- O conjunto de padrões ISO 27000 está sendo desenvolvido e mantido ativamente pelos órgãos de padrões, refletindo novos desafios de segurança (como BYOD e cloud computing);
- Por ser baseada em riscos, a abordagem ISO 27000 é flexível o suficiente para atender a qualquer organização, em oposição a padrões mais rígidos e prescritivos.
3. Abordagem estruturada
O terceiro conjunto de benefícios refere-se à necessidade das empresas no dever de tratar alguns problemas através de uma abordagem estruturada, buscando a identificação real do problema e a causa da solução, remontando ao PDCA.
- Fornece um framework/estrutura lógica consistente e abrangente para os diferentes controles de segurança da informação;
- Esta abordagem também força a reanálise dos problemas para verificar se existe algo a ser resolvido, gerando a melhoria contínua do processo;
- A abordagem também gera meios de medir o desempenho, de modo a garantir que a melhoria contínua da organização está acontecendo;
- Por fim, constrói um conjunto coerente de políticas, procedimentos e diretrizes de segurança da informação, adaptados à organização e formalmente aprovados pela administração.
4. Conformidade
Por fim, o mais visível dos benefícios, que é o da conformidade.
Como tenho formação em manutenção, o “dormir tranquilo”, é o lema de todo profissíonal que trabalha em manutenção e, se estou com os procedimentos indicados nas normas da série ISO 27000, tenho também os seguintes benefícios:
- A ISO 27000 fornece uma estrutura abrangente para o gerenciamento de segurança da informação que comporta uma ampla gama de requisitos externos e internos;
- As partes interessadas ou autoridades podem, em algum momento, insistir que a organização esteja em conformidade com a ISO 27000 como condição de negócios ou para satisfazer a LGPD ou outras Leis, de maneira que em algum momento pode ser condição essencial à realização de negócios;
- A adoção de boas práticas geralmente reconhecidas fornecem uma defesa válida em caso de ações legais/regulatórias de execução após incidentes de segurança da informação ou Privacidade.
O principal objetivo da implementação de um SGSI deve ser reduzir a probabilidade de ocorrência de eventos de segurança da informação e seus impactos.
Nenhum SGSI provavelmente será perfeito. No entanto, um SGSI bem-sucedido melhorará com o tempo e trará, com certeza, todos os benefícios mostrados.
Para saber mais sobre a ISO 27000 e como implantar um Sistema de Gestão da Segurança da Informação, consulte-nos através do formulário abaixo:
Sobre o autor: Antônio Barros é formado em Engenharia Elétrica, modalidade Eletrônica pela UFPE; Aufbaustudium na Universidade de Karlsruhe – Alemanha; Mestre em Ciência da Computação pelo CIn, Centro de Informática – UFPE. Já atuou como Chefe de Manutenção na Siderúrgica Aço Norte – Grupo Gerdau e Trainee na Siemens – Karlsruhe – Alemanha. Desde 1996 é sócio-gerente da empresa HSBS Soluções em Informática, atualmente responsável pela Divisão de Compliance da HSBS. Membro da ANPPD-PE (Associação Nacional dos Profissionais de Privacidade de Dados de Pernambuco). |