17799:2000 - Avaliando os riscos de segurança
Avaliando os riscos de segurança
Os requisitos de segurança são identificados através de uma avaliação metódica dos riscos de segurança. Os gastos com controles precisam ser pesados contra os prováveis prejuízos resultantes de falhas na segurança. Técnicas de avaliação de riscos podem ser aplicadas a toda a organização, ou apenas a partes dela, bem como a sistemas de informação individuais, componentes de sistemas específicos ou serviços onde isto for praticável, realístico e útil.
Os requisitos de segurança são identificados através de uma avaliação metódica dos riscos de segurança. Os gastos com controles precisam ser pesados contra os prováveis prejuízos resultantes de falhas na segurança. Técnicas de avaliação de riscos podem ser aplicadas a toda a organização, ou apenas a partes dela, bem como a sistemas de informação individuais, componentes de sistemas específicos ou serviços onde isto for praticável, realístico e útil.
A avaliação de riscos é a consideração sistemática de:
a) o provável prejuízo ao negócio resultante de uma falha de segurança, levando em conta as conseqüências potenciais de uma perda de confiabilidade, integridade ou disponibilidade das informações e outros ativos;
b) a probabilidade realística de tais falhas ocorrerem sob a luz de ameaças e vulnerabilidades prevalecentes, e os controles atualmente implementados.
Os resultados desta avaliação ajudarão a guiar e determinar a ação gerencial adequada e as prioridades para gerir os riscos de segurança de informação, e para implementar controles selecionados para proteger contra esses riscos. O processo de avaliar riscos e selecionar controles pode precisar ser executado diversas vezes para cobrir diferentes partes da organização ou sistemas de informação individuais. É importante executar revisões periódicas dos riscos de segurança e dos controles implementados para:
a) levar em conta as mudanças nas prioridades e necessidades do negócio;
b) considerar novas ameaças e vulnerabilidades;
c) confirmar que os controles permanecem eficazes e apropriados.
As revisões devem ser executadas em diferentes níveis de profundidade, dependendo dos resultados das avaliações anteriores e das mudanças nos níveis de riscos que a gerência está preparada para aceitar. As avaliações de riscos freqüentemente são executadas primeiro em um nível superior, como uma forma de priorizar recursos nas áreas de alto risco, e depois em um nível mais detalhado, para tratar riscos específicos.
Selecionando controles
Uma vez que os requisitos de segurança tenham sido identificados, devem ser selecionados e implementados controles para garantir que os riscos sejam reduzidos a um nível aceitável. Os controles podem ser selecionados a partir deste documento, ou de outros conjuntos de controles, ou novos controles podem ser projetados para satisfazer necessidades específicas, conforme apropriado. Existem muitas formas diferentes de gerenciar riscos e este documento fornece exemplos de enfoques comuns. Entretanto, é necessário reconhecer que alguns desses controles não são aplicáveis a todos os sistemas de informação ou ambientes, e podem não ser praticáveis para todas as organizações. Por exemplo, o item 8.1.4 descreve como as tarefas podem ser segregadas para impedir fraudes ou erros. Pode não ser possível para pequenas organizações segregar todas as tarefas e podem ser necessárias outras formas para se obter o mesmo objetivo de controle. Como um outro exemplo, os itens 9.7 e 12.1 descrevem como o uso de sistemas pode ser monitorado e como podem ser coletadas provas. Os controles descritos, como gravação de log de eventos, podem conflitar com a legislação aplicável, tal como proteção da privacidade para clientes ou no local de trabalho.
Os controles devem ser selecionados considerando o custo de implementação em relação aos riscos que se quer reduzir e aos prejuízos potenciais se ocorrer uma quebra de segurança. Fatores não monetários, tais como perda de reputação, também devem ser levados em conta.
Alguns dos controles neste documento podem ser considerados como princípios orientadores para a gestão da segurança de informações e podem ser aplicáveis à maioria das organizações. Eles são explicados mais detalhadamente a seguir, no tópico “Ponto de partida para a segurança das informações”.
Ponto de partida para a segurança das informações
Vários controles podem ser considerados como princípios orientadores que fornecem um bom ponto de partida para implementação da segurança de informações. Eles são ou baseados nas exigências essenciais da legislação ou considerados como a melhor prática comum para a segurança de informações. Os controles considerados como essenciais para uma organização, do ponto de vista legal, incluem:
a) proteção de dados e privacidade de informações pessoais (ver item 12.1.4);
b) salvaguarda de registros organizacionais (ver 12.1.3);
c) direitos de propriedade intelectual (ver 12.1.2).
Os controles considerados como a melhor prática comum para segurança de informações incluem:
a) documento de política de segurança de informações (ver 3.1);
b) alocação de responsabilidades quanto à segurança das informações (ver 4.1.3);
c) educação e treinamento para segurança das informações (ver 6.2.1);
d) relatórios dos incidentes de segurança (ver 6.3.1);
e) gerenciamento da continuidade do negócio (ver 11.1).
Esses controles se aplicam à maioria das organizações e dos ambientes. Deve-se observar que, apesar de os controles neste documento serem importantes, a relevância de qualquer controle deve ser determinada sob a luz dos riscos específicos que uma organização está enfrentando. Portanto, apesar de o enfoque acima ser considerado um bom ponto de partida, ele não substitui uma seleção de controles baseada em uma avaliação de riscos.
Fatores críticos para o sucesso
A experiência tem mostrado que os fatores seguintes freqüentemente são críticos para a implementação bem-sucedida da segurança de informações dentro de uma organização:
a) política, objetivos e atividades de segurança que reflitam os objetivos do negócio;
b) uma abordagem para implementar a segurança que seja consistente com a cultura organizacional;
c) suporte visível e compromisso por parte da administração;
d) um bom entendimento das necessidades de segurança, avaliação de riscos e gerenciamento de riscos;
e) marketing de segurança eficaz para todos os gerentes e empregados;
f) distribuição de orientação sobre a política e os padrões de segurança de informação para todos os empregados e contratados;
g) fornecimento de treinamento e educação apropriados;
h) um sistema abrangente e balanceado de medição, usado para avaliar o desempenho na gestão de segurança de informações e sugestões de feedback para melhorias.
Desenvolvendo suas próprias diretrizes
Este código de prática pode ser considerado como um ponto de partida para desenvolver orientação específica para a organização. Pode ser que nem todos os controles e diretrizes deste código de prática sejam aplicáveis. Além disso, controles adicionais não incluídos neste documento podem ser necessários. Quando isto acontece, pode ser útil reter referências cruzadas que facilitarão a verificação do primento das exigências por auditores e parceiros comerciais.
a) o provável prejuízo ao negócio resultante de uma falha de segurança, levando em conta as conseqüências potenciais de uma perda de confiabilidade, integridade ou disponibilidade das informações e outros ativos;
b) a probabilidade realística de tais falhas ocorrerem sob a luz de ameaças e vulnerabilidades prevalecentes, e os controles atualmente implementados.
Os resultados desta avaliação ajudarão a guiar e determinar a ação gerencial adequada e as prioridades para gerir os riscos de segurança de informação, e para implementar controles selecionados para proteger contra esses riscos. O processo de avaliar riscos e selecionar controles pode precisar ser executado diversas vezes para cobrir diferentes partes da organização ou sistemas de informação individuais. É importante executar revisões periódicas dos riscos de segurança e dos controles implementados para:
a) levar em conta as mudanças nas prioridades e necessidades do negócio;
b) considerar novas ameaças e vulnerabilidades;
c) confirmar que os controles permanecem eficazes e apropriados.
As revisões devem ser executadas em diferentes níveis de profundidade, dependendo dos resultados das avaliações anteriores e das mudanças nos níveis de riscos que a gerência está preparada para aceitar. As avaliações de riscos freqüentemente são executadas primeiro em um nível superior, como uma forma de priorizar recursos nas áreas de alto risco, e depois em um nível mais detalhado, para tratar riscos específicos.
Selecionando controles
Uma vez que os requisitos de segurança tenham sido identificados, devem ser selecionados e implementados controles para garantir que os riscos sejam reduzidos a um nível aceitável. Os controles podem ser selecionados a partir deste documento, ou de outros conjuntos de controles, ou novos controles podem ser projetados para satisfazer necessidades específicas, conforme apropriado. Existem muitas formas diferentes de gerenciar riscos e este documento fornece exemplos de enfoques comuns. Entretanto, é necessário reconhecer que alguns desses controles não são aplicáveis a todos os sistemas de informação ou ambientes, e podem não ser praticáveis para todas as organizações. Por exemplo, o item 8.1.4 descreve como as tarefas podem ser segregadas para impedir fraudes ou erros. Pode não ser possível para pequenas organizações segregar todas as tarefas e podem ser necessárias outras formas para se obter o mesmo objetivo de controle. Como um outro exemplo, os itens 9.7 e 12.1 descrevem como o uso de sistemas pode ser monitorado e como podem ser coletadas provas. Os controles descritos, como gravação de log de eventos, podem conflitar com a legislação aplicável, tal como proteção da privacidade para clientes ou no local de trabalho.
Os controles devem ser selecionados considerando o custo de implementação em relação aos riscos que se quer reduzir e aos prejuízos potenciais se ocorrer uma quebra de segurança. Fatores não monetários, tais como perda de reputação, também devem ser levados em conta.
Alguns dos controles neste documento podem ser considerados como princípios orientadores para a gestão da segurança de informações e podem ser aplicáveis à maioria das organizações. Eles são explicados mais detalhadamente a seguir, no tópico “Ponto de partida para a segurança das informações”.
Ponto de partida para a segurança das informações
Vários controles podem ser considerados como princípios orientadores que fornecem um bom ponto de partida para implementação da segurança de informações. Eles são ou baseados nas exigências essenciais da legislação ou considerados como a melhor prática comum para a segurança de informações. Os controles considerados como essenciais para uma organização, do ponto de vista legal, incluem:
a) proteção de dados e privacidade de informações pessoais (ver item 12.1.4);
b) salvaguarda de registros organizacionais (ver 12.1.3);
c) direitos de propriedade intelectual (ver 12.1.2).
Os controles considerados como a melhor prática comum para segurança de informações incluem:
a) documento de política de segurança de informações (ver 3.1);
b) alocação de responsabilidades quanto à segurança das informações (ver 4.1.3);
c) educação e treinamento para segurança das informações (ver 6.2.1);
d) relatórios dos incidentes de segurança (ver 6.3.1);
e) gerenciamento da continuidade do negócio (ver 11.1).
Esses controles se aplicam à maioria das organizações e dos ambientes. Deve-se observar que, apesar de os controles neste documento serem importantes, a relevância de qualquer controle deve ser determinada sob a luz dos riscos específicos que uma organização está enfrentando. Portanto, apesar de o enfoque acima ser considerado um bom ponto de partida, ele não substitui uma seleção de controles baseada em uma avaliação de riscos.
Fatores críticos para o sucesso
A experiência tem mostrado que os fatores seguintes freqüentemente são críticos para a implementação bem-sucedida da segurança de informações dentro de uma organização:
a) política, objetivos e atividades de segurança que reflitam os objetivos do negócio;
b) uma abordagem para implementar a segurança que seja consistente com a cultura organizacional;
c) suporte visível e compromisso por parte da administração;
d) um bom entendimento das necessidades de segurança, avaliação de riscos e gerenciamento de riscos;
e) marketing de segurança eficaz para todos os gerentes e empregados;
f) distribuição de orientação sobre a política e os padrões de segurança de informação para todos os empregados e contratados;
g) fornecimento de treinamento e educação apropriados;
h) um sistema abrangente e balanceado de medição, usado para avaliar o desempenho na gestão de segurança de informações e sugestões de feedback para melhorias.
Desenvolvendo suas próprias diretrizes
Este código de prática pode ser considerado como um ponto de partida para desenvolver orientação específica para a organização. Pode ser que nem todos os controles e diretrizes deste código de prática sejam aplicáveis. Além disso, controles adicionais não incluídos neste documento podem ser necessários. Quando isto acontece, pode ser útil reter referências cruzadas que facilitarão a verificação do primento das exigências por auditores e parceiros comerciais.
Comentários