Avaliação da ISO 17799
Avaliação da ISO 17799
De uma leitura atenta da norma observei o quanto de tecnologia subjacente ela demanda. Suponhamos que você adquiriu a norma na ABNT e faça a pergunta: Já resolvi meus problemas de segurança?
A resposta obvia é que a distancia que falta para tal é enorme.
Não é a toa que as empresas de segurança se apressaram a criar um novo curso de certificação na ISO 17799 visto que a norma tem como mérito fazer recomendações numa escala abrangente que vai desde acesso físico de instalações da empresa, passa pela conscientização dos usuários ,descarte de mídias , privacidade, direitos autorais e deve ser iniciada pelos donos da empresa.
Para ser sincero eu tinha uma expectativa maior porque tinha experiência em outras normas técnicas que tinham uma capacidade interessante de tornar mesmo as pessoas fora da área a se beneficiar delas sem ser especialista da mesma, com a segurança vi que o máximo que a norma consegue é reunir diretivas de todos aspectos da segurança da informação e que sem uma equipe grande e treinada nada se consegue.
A análise final que faço é altamente positiva da norma uma vez que além de colocar em único documento um assunto tão necessário deu as empresas de segurança uma nova oportunidade de negócio.
Abaixo segue uma descrição sucinta da norma retirado na integra da mesma.
1 Objetivo
Esta Norma fornece recomendações para gestão da segurança da informação para uso por aqueles que são responsáveis pela introdução, implementação ou manutenção da segurança em suas organizações.
2 Termos e definições
Para os efeitos desta Norma, aplicam-se as seguintes definições:
2.1 segurança da informação: Preservação da confidencialidade, integridade e disponibilidade da informação.
-confidencialidade: Garantia de que o acesso à informação seja obtido somente por pessoas autorizadas.
-integridade: Salvaguarda da exatidão e completeza da informação e dos métodos de processamento.
-disponibilidade: Garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário.
2.2 avaliação de risco: Avaliação das ameaças, impactos e vulnerabilidades da Informação das instalações de processamento da informação e da probabilidade de sua ocorrência.
2.3 gerenciamento de risco: Processo de identificação, controle e minimização ou eliminação de riscos de segurança que podem afetar os sistemas de informação, a um custo aceitável.
3 Política de segurança da informação
Objetivo: Prover à direção uma orientação e apoio para a segurança da informação. Convém que a direção estabeleça uma política clara e demonstre apoio e comprometimento com a segurança da informação através da emissão e manutenção de uma política de segurança da informação para toda organização.
4 Segurança organizacional
Objetivo: Gerenciar a segurança da informação na organização.
Convém que uma estrutura de gerenciamento seja estabelecida para iniciar e controlar a implementação da segurança da informação dentro da organização. Convém que fóruns apropriados de gerenciamento com liderança da direção sejam estabelecidos para aprovar a política de segurança da informação, atribuir as funções da segurança e coordenar a implementação da segurança através da organização.
5 Classificação e controle dos ativos de informação
Objetivo: Manter a proteção adequada dos ativos da organização.
Convém que todos os principais ativos de informação sejam inventariados e tenham um proprietário responsável. O inventário dos ativos ajuda a assegurar que a proteção está sendo mantida de forma adequada.
6 Segurança em pessoas
Objetivo Reduzir os riscos de erro humano, roubo, fraude ou uso indevido das instalações Convém que responsabilidades de segurança sejam atribuídas na fase de recrutamento, incluídas em contratos e monitoradas durante a vigência de cada contrato de trabalho
7 Segurança física e do ambiente
Objetivo: Prevenir acesso não autorizado, dano e interferência às informações e instalações físicas da organização.
Convém que os recursos e instalações de processamento de informações críticas ou sensíveis do negócio sejam mantidos em áreas seguras, protegidas por um perímetro de segurança definido, com barreiras de segurança apropriadas e controle de acesso.
Convém que estas áreas sejam fisicamente protegidas de acesso não autorizado, dano ou interferência.
8 Gerenciamento das operações e comunicações
Objetivo: Garantir a operação segura e correta dos recursos de processamento da informação. Convém que os procedimentos e responsabilidades pela gestão e operação de todos os recursos de processamento das informações sejam definidos. Isto abrange o desenvolvimento de procedimentos operacionais apropriados e de resposta a incidentes.
9 Controle de acesso
Objetivo: Controlar o acesso à informação. Convém que o acesso à informação e processos do negócio seja controlada na base dos requisitos de segurança e do negócio. Convém que isto leve em consideração as políticas de autorização e disseminação da informação.
10 Desenvolvimento e manutenção de sistemas
Objetivos: Garantir que a segurança seja parte integrante dos sistemas de informação. Isto incluirá infra-estrutura, aplicações do negócio e aplicações desenvolvidas pelo usuário. O projeto e a implementação dos processos do negócio que dão suporte às aplicações e aos serviços podem ser cruciais para segurança. Convém que requisitos de segurança sejam identificados e acordados antes do desenvolvimento dos sistemas de informação.
11 Gestão da continuidade do negócio
Objetivo Não permitir a interrupção das atividades do negócio e proteger os processos críticos contra efeitos de falhas ou desastres significativos. Convém que o processo de gestão da continuidade seja implementado para reduzir, para um nível aceitável, a interrupção causada por desastres ou falhas de segurança( que pode ser resultante de, por exemplo, desastres naturais, acidentes, falhas de equipamentos e ações intencionais) através da combinação de ações de prevenção e recuperação.
12 Conformidade
Objetivo: Evitar violação de qualquer lei criminal ou civil, estatutos, regulamentações ou obrigações contratuais e de quaisquer requisitos de segurança. O projeto, a operação, o uso e a gestão de sistemas de informação podem estar sujeitos a requisitos de segurança contratuais, regulamentares ou estatutários.
De uma leitura atenta da norma observei o quanto de tecnologia subjacente ela demanda. Suponhamos que você adquiriu a norma na ABNT e faça a pergunta: Já resolvi meus problemas de segurança?
A resposta obvia é que a distancia que falta para tal é enorme.
Não é a toa que as empresas de segurança se apressaram a criar um novo curso de certificação na ISO 17799 visto que a norma tem como mérito fazer recomendações numa escala abrangente que vai desde acesso físico de instalações da empresa, passa pela conscientização dos usuários ,descarte de mídias , privacidade, direitos autorais e deve ser iniciada pelos donos da empresa.
Para ser sincero eu tinha uma expectativa maior porque tinha experiência em outras normas técnicas que tinham uma capacidade interessante de tornar mesmo as pessoas fora da área a se beneficiar delas sem ser especialista da mesma, com a segurança vi que o máximo que a norma consegue é reunir diretivas de todos aspectos da segurança da informação e que sem uma equipe grande e treinada nada se consegue.
A análise final que faço é altamente positiva da norma uma vez que além de colocar em único documento um assunto tão necessário deu as empresas de segurança uma nova oportunidade de negócio.
Abaixo segue uma descrição sucinta da norma retirado na integra da mesma.
1 Objetivo
Esta Norma fornece recomendações para gestão da segurança da informação para uso por aqueles que são responsáveis pela introdução, implementação ou manutenção da segurança em suas organizações.
2 Termos e definições
Para os efeitos desta Norma, aplicam-se as seguintes definições:
2.1 segurança da informação: Preservação da confidencialidade, integridade e disponibilidade da informação.
-confidencialidade: Garantia de que o acesso à informação seja obtido somente por pessoas autorizadas.
-integridade: Salvaguarda da exatidão e completeza da informação e dos métodos de processamento.
-disponibilidade: Garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário.
2.2 avaliação de risco: Avaliação das ameaças, impactos e vulnerabilidades da Informação das instalações de processamento da informação e da probabilidade de sua ocorrência.
2.3 gerenciamento de risco: Processo de identificação, controle e minimização ou eliminação de riscos de segurança que podem afetar os sistemas de informação, a um custo aceitável.
3 Política de segurança da informação
Objetivo: Prover à direção uma orientação e apoio para a segurança da informação. Convém que a direção estabeleça uma política clara e demonstre apoio e comprometimento com a segurança da informação através da emissão e manutenção de uma política de segurança da informação para toda organização.
4 Segurança organizacional
Objetivo: Gerenciar a segurança da informação na organização.
Convém que uma estrutura de gerenciamento seja estabelecida para iniciar e controlar a implementação da segurança da informação dentro da organização. Convém que fóruns apropriados de gerenciamento com liderança da direção sejam estabelecidos para aprovar a política de segurança da informação, atribuir as funções da segurança e coordenar a implementação da segurança através da organização.
5 Classificação e controle dos ativos de informação
Objetivo: Manter a proteção adequada dos ativos da organização.
Convém que todos os principais ativos de informação sejam inventariados e tenham um proprietário responsável. O inventário dos ativos ajuda a assegurar que a proteção está sendo mantida de forma adequada.
6 Segurança em pessoas
Objetivo Reduzir os riscos de erro humano, roubo, fraude ou uso indevido das instalações Convém que responsabilidades de segurança sejam atribuídas na fase de recrutamento, incluídas em contratos e monitoradas durante a vigência de cada contrato de trabalho
7 Segurança física e do ambiente
Objetivo: Prevenir acesso não autorizado, dano e interferência às informações e instalações físicas da organização.
Convém que os recursos e instalações de processamento de informações críticas ou sensíveis do negócio sejam mantidos em áreas seguras, protegidas por um perímetro de segurança definido, com barreiras de segurança apropriadas e controle de acesso.
Convém que estas áreas sejam fisicamente protegidas de acesso não autorizado, dano ou interferência.
8 Gerenciamento das operações e comunicações
Objetivo: Garantir a operação segura e correta dos recursos de processamento da informação. Convém que os procedimentos e responsabilidades pela gestão e operação de todos os recursos de processamento das informações sejam definidos. Isto abrange o desenvolvimento de procedimentos operacionais apropriados e de resposta a incidentes.
9 Controle de acesso
Objetivo: Controlar o acesso à informação. Convém que o acesso à informação e processos do negócio seja controlada na base dos requisitos de segurança e do negócio. Convém que isto leve em consideração as políticas de autorização e disseminação da informação.
10 Desenvolvimento e manutenção de sistemas
Objetivos: Garantir que a segurança seja parte integrante dos sistemas de informação. Isto incluirá infra-estrutura, aplicações do negócio e aplicações desenvolvidas pelo usuário. O projeto e a implementação dos processos do negócio que dão suporte às aplicações e aos serviços podem ser cruciais para segurança. Convém que requisitos de segurança sejam identificados e acordados antes do desenvolvimento dos sistemas de informação.
11 Gestão da continuidade do negócio
Objetivo Não permitir a interrupção das atividades do negócio e proteger os processos críticos contra efeitos de falhas ou desastres significativos. Convém que o processo de gestão da continuidade seja implementado para reduzir, para um nível aceitável, a interrupção causada por desastres ou falhas de segurança( que pode ser resultante de, por exemplo, desastres naturais, acidentes, falhas de equipamentos e ações intencionais) através da combinação de ações de prevenção e recuperação.
12 Conformidade
Objetivo: Evitar violação de qualquer lei criminal ou civil, estatutos, regulamentações ou obrigações contratuais e de quaisquer requisitos de segurança. O projeto, a operação, o uso e a gestão de sistemas de informação podem estar sujeitos a requisitos de segurança contratuais, regulamentares ou estatutários.
Comentários