Cada vez mais no mundo dos negócios percebe-se, nitidamente, a importância de se proteger as informações de uma organização em relação aos seus três principais componentes, que são a confidencialidade a integridade e a disponibilidade.
A informação é um dos ativos de grande importância para a organização e que, portanto, precisa ser muito bem protegida.
Vivemos atualmente em um mundo online onde a informação, cada vez mais, está exposta a um elevado número de ameaças e vulnerabilidades.
Ao implantar um modelo de gestão da segurança da informação baseado nas melhores práticas existentes no mercado, como a norma NBR ISO IEC 17799, as organizações protegem as suas informações das ameaças e vulnerabilidades, assegurando com isto a continuidade dos seus negócios e minimizando os riscos a que estão expostas.
Esta proteção é feita a partir da implementação dos controles definidos na norma NBR ISO IEC 27002. A depender da situação, outros controles além dos definidos na norma, poderão também ser implementados.
O que é ISO?
- A ISO – “International Organization for Standardization” é uma organização sediada em Genebra, na Suiça. Foi fundada em 1946.
- A sigla ISO foi originada da palavra isonomia.
- O propósito da ISO é desenvolver e promover normas que possam ser utilizadas igualmente por todos os países do mundo.
- Cerca de 111 países integram esta importante organização internacional, especializada em padronização, cujos membros são entidades normativas de âmbito nacional. O Brasil é representado pela Associação Brasileira de
- Normas Técnicas – ABNT.
Razões para adotar a ISO 27002
- Governança Corporativa;
- Melhoria da eficácia da Segurança da Informação;
- Diferencial de mercado;
- Atender os requisitos de partes interessadas e dos clientes;
- Única norma com aceitação global;
- Redução potencial no valor do seguro;
- Focada nas responsabilidades dos funcionários;
- A norma cobre TI bem como a organização, pessoal e instalações;
- Conformidade com as legislações.
Dificuldades de Implementação um sistema de SGSI
- Dificuldade na definição do escopo
- Dificuldade para desenvolver uma abordagem sistemática simples e clara para a Gestão de Risco
- Mesmo existindo Planos de Continuidade de Negócio, raramente eles são testados de alguma forma
- Designação da área de TI como responsável por desenvolver o projeto
- Falta de visão e “mente aberta” ao estabelecer os parâmetros dos controles identificados na norma
- Falta de ação para identificar e usar controles fora da norma
- Limitação de orçamento
Benefícios da Implementação da ISO 27002
- Reduz o risco de responsabilidade pela não implementação ou determinação de políticas e procedimentos;
- Oportunidade de identificar e corrigir pontos fracos;
- A alta direção assume a responsabilidade pela segurança da informação;
- Permite revisão independente do sistema de gestão da segurança da informação;
- Oferece confiança aos parceiros comerciais, partes interessadas, e clientes;
- Melhor conscientização sobre segurança;
- Combina recursos com outros Sistemas de Gestão;
- Mecanismo para se medir o sucesso do sistema.
Meta da NBR ISO/IEC 27002
Salvaguardar a Confidencialidade, Integridade e Disponibilidade das informações Escrita, Falada e Eletrônica.
O que é Informação?
“Informação é um ativo que, como qualquer outro ativo importante para os negócios, tem valor para a organização e conseqüentemente necessita ser adequadamente protegido.”
O que é Confidencialidade?
Assegurar que a informação é acessível somente às pessoas autorizadas.
O que é Integridade?
Proteger a exatidão e complexidade da informação e dos métodos de processamento.
