ISO 27001

CONCEITOS

ISO é um comitê internacional de padronização. Mais informações no post sobre a 9001. A numeração das normas ou classificações decorre da ordem em que são criadas e da seriação interna pra tipo. Segurança da informação trata de todos os ativos de informação da organização, então vamos lá: ativos intangiveis, segundo o comitê de pronunciamentos contábeis é 

um ativo não monetário identificável sem substância física ou, então, o ágio pago por expectativa de rentabilidade futura (goodwill)”.

Ou seja, informação contabilizável é tomada como um ativo alvo da 27001. É importante definir isto aqui pra que não se confunda o conceito de QUALQUER INFORMAÇÃO, com a da informação quantificável com vistas a gerar uma rentabilidade futura.

ISO 27001

A aplicação da 27 (apelido da norma) passou a se tornar uma coqueluche nos últimos anos devido resolucao_3380. Esta norma diz que toda instituição finaceira (e algumas outras), devem ter até o final de 2007 uma efetiva implementação da estrutura de gerenciamento de risco operacional, conforme este cronograma:

I – até 31 de dezembro de 2006: indicação do diretor responsável e definição da estrutura organizacional que tornará efetiva sua implementação;
II – até 30 de junho de 2007: definição da política institucional, dos processos, dos procedimentos e dos sistemas necessários à sua efetiva implementação;
III – até 31 de dezembro de 2007: efetiva implementação da estrutura de gerenciamento de risco operacional, incluindo os itens previstos no art. 3º, incisos III a VII.
Parágrafo único. As definições mencionadas nos incisos I e II deverão ser aprovadas pela diretoria das instituições de que trata o art. 1º e pelo conselho de administração, se houver, dentro dos prazos estipulados.

A norma foi publicada na metade de 2006, tempo o bastante pra aquecer o mercado da norma até o ponto em que estamos. O número de consultorias nascidas deste momento e que até hoje pipocam por aí é grande. Quem não entrou até agora, corra que a oportunidade está se encerrando.

A 27 trata especificamente sobre como estabelecer, administrar, implementar, operar, monitorar, manter e melhorar o ISMS – Information Security Management System. A norma segue a lógica do PDCA, conforme tabela a seguir:

Ítem
do ciclo PDCA

Referência
na norma

Plan (estabelecimento
do ISMS)

Estabelecimento de políticas, objetivos, processos e procedimentos erlevantes para a administração do risco e a melhoria da segurança da informação, para entregar esultados de acordo com a estratégia da organização.

Do (implementando e
operando o ISMS)

Implementaçào e
operação das políticas do ISMS, controles, processos e procedimentos.

Check (monitorando e
revisando o ISMS)

Valoração e, quando aplicavel,
mensuração da performance dos processos em comparação com as políticas do ISMS, objetivos e experiencias práticas. Estes resultados devem ser reportados à gestão para análise.

Act (mantendo e
melhorando o ISMS)

Tomada de ações corretivas
e preventivas, baseadas nos resultados das audiencias internas do ISMS e demais informações advindas da gestão ou demais fontes relevantes.

 

Com base nas práticas recomendadas pela norma, em cada um destes ítens, é possível garantir que, por exemplo, a organização terá alguem capacitado e com ações definidas caso haja, digamos, um ataque de hackers ao sistema de comércio eletônico. A norma inclusive prevê inúmeras situações, com as respectivas ações de controle, como o que fazer quando um colaborador é desligado da organização ou que medidas tomar para prevenir que haja dano ou acesso físico ao local em que a organização está depositada.

APLICAÇÃO

A primeira certificação na área no Brasil foi do Banco Matone, pela empresa Axur, em 2003. Na época, falava-se da BS 7799, que deu origem a 27. Segundo o blog da empresa, a jogada é toda baseada em manter tudo muito simples, pra fazer dar certo.

A 27 tem um papel fundamental na Sarbane Oxley (lei norte americana para regrar inseguranças na gestão de empresas). O senhor Carlos Simões, Gerente da Área da Qualidade da Synapsis Brasil, tem um excelente paper sobre esta relação. Ele diz:

A tecnologia da Informação possui um papel essencial nos levantamentos Sarbanes Oxley. O tratamento e controle de dados financeiros dependem diretamente de sistemas. A qualidade e confiabilidade dos dados financeiros está diretamente relacionada a ao nível da qualidade aplicado no desenvolvimento, manutenção e operação dos sistemas de informação.

Controles automáticos das aplicações que geram impacto financeiro deverão ser identificados durante os levantamentos de controles de processos de negócio.

Controles automáticos cooperam para este fim, sem a necessidade de intervenção humana para sua operação.

È fundamental que se rastreia e documentos todo relacionamento entre as aplicações financeiras e as outras aplicações de negócio da empresa. Nem sempre a origem dos dados se dá na aplicação financeira e sim no sistema de “billing” da empresa. Como por exemplo, um sistema comercial que faz faturamento, cobrança e arrecadação, fornecendo informações para a área financeira da empresa. Todo o cuidado deve ser tomado com relação à integridade das informações desde sistema comercial.

Em escala mais abrangente, a FNQ cita a necessidade do que se chama da tríade da segurança da informação no seu critério 5 – Informação e Conhecimento, apoiando ainda mais a disseminação dos conceitos da 27.

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s