domingo, 28 de janeiro de 2018

O que é um Sistema de Gestão de Segurança da Informação (SGSI) de acordo com a ISO 27001?

Se você iniciou uma implementação da ISO 27001, você certamente encontrou o termo Sistema de Gestão de Segurança da Informação ou SGSI. Termo muito vago, não é? E ainda, o SGSI é o principal “produto” da implementação da ISO 27001. Assim, o que exatamente é um SGSI?

A ISO 27001 basicamente descreve como desenvolver o SGSI – você pode considerar este SGSI como uma abordagem sistemática para a gestão e proteção das informações de uma organização. O SGSI representa um conjunto de políticas, procedimentos e vários outros controles que definem as regras de segurança da informação em uma organização. Como mencionado no artigo A lógica básica da ISO 27001: Como a segurança da informação funciona?, o tipo de controle para segurança da informação que será implementado em uma organização é decidido com base nos resultados da avaliação de riscos e nos requisitos das partes interessadas. Para cada risco que precisa ser tratado, uma combinação de diferentes tipos de controles será implementada.

Vários controles são necessários para cada risco

Digamos que você deixa seu laptop com frequência em seu carro, assim as chances são de que, cedo ou tarde, o laptop será roubado. Assim, o que você pode fazer para diminuir os riscos para as suas informações? Você tem que aplicar alguns controles. Primeiro de tudo, você pode escrever um procedimento que defina que você não pode deixar o laptop no carro; adicionalmente, você pode proteger seu laptop com uma senha, de forma que se ele for roubado será mais difícil para alguém acessar suas informações. Além disso, você pode criptografar seus discos – este é um nível mais alto de proteção para suas informações, mas você também pode pedir aos seus empregados para assinar uma declaração onde eles se obrigam a pagar por todos os danos que podem incorrer se tal incidente ocorrer, mas você também tem que treinar e tornar seus empregados cientes de que tais riscos existem se eles deixarem seus laptops em seus carros.

Agora, proteger este laptop pode soar simples, mas o problema é quando você tem centenas de laptops, dezenas de servidores, uma multiplicidade de bases de dados, muitos empregados, etc. Com tanta informação sensível em tantos ativos diferentes, muito rapidamente você produziria um grande número de salvaguardas que não estariam relacionadas, e assim seria muito difíceis de se gerenciar.

Gerenciando sistemas de segurança complexos
A única forma de gerenciar todas estas salvaguardas é definir processos e responsabilidades de segurança de forma clara. Isto é chamado de abordagem de processo nas normas de gestão ISO – na ISO 27001, mas também na ISO 9001, ISO 20000, e outras. Se tomarmos a ISO 9001 como uma analogia, a ideia é a seguinte: você não pode esperar produzir um carro de alta qualidade apenas realizando uma verificação de qualidade ao final da linha de produção – o que é preciso é projetar um processo de produção que tenha incluído a filosofia de qualidade em cada etapa, em cada detalhe – da seleção de fornecedores de alta qualidade até o treinamento dos empregados e até para tratar de forma eficaz produtos com não conformidades.

Similarmente, uma abordagem de processo é crucial para fazer esta conexão entre responsabilidades e controles técnicos – apenas quando você quem tem que fazer o que e quando, você terá uma base para habilitar seus controles de segurança para funcionarem.

O ponto do SGSI
Assim, o que podemos aprender destes pontos? Primeiro de tudo, controles de segurança da informação não são apenas técnicos, controle relacionados a TI. Eles são uma combinação de diferentes tipos de controles: documentar um procedimento é um controle organizacional, implementar uma ferramenta de software é um controle de TI, e treinar pessoas é um controle de recursos humanos. Veja também: Segurança da informação ou segurança de TI?

Segundo, sem algum tipo de estrutura, a segurança da informação se torna impossível de gerenciar – este é o ponto onde a ISO 27001 entra – quando você constrói seu SGSI, o que significa desenvolver um conjunto de regras, responsabilidades e controles de segurança da informação, então você será capaz de gerenciar sistema tão complexo.

Finalmente, um SGSI não é nada mais do que vários processos de segurança interligados – quanto melhor estes processos são definidos, quanto melhor estes processos são inter-relacionados, menos incidentes você terá.

Este artigo é um trecho do novo livro  Secure & Simple: A Small-Business Guide to Implementing ISO 27001 On Your Own.