Em um post anterior no WeLiveSecurity (em espanhol), abordamos um ponto de partida para a implementação de um Sistema de Gerenciamento de Segurança da Informação (SGSI), enfatizando a necessidade de conhecer e usar a terminologia usada nas publicações da série 27000.
No post de hoje, analisaremos outros aspectos de importância que devem ser considerados antes da implementação da ISO 27001, considerando que são bastante úteis durante as fases de planejamento e operação do SGSI dentro de uma empresa.
Nesse sentido, esses aspectos podem se tornar um fator primário no sucesso ou falha da implementação do SGSI, devido às atividades cotidianas na empresa e aos recursos necessários para a operação do sistema.
O que deve ser considerado para o planejamento do SGSI?
Embora não haja um procedimento que descreva passo a passo como implementar o padrão, existem fatores fundamentais para uma melhor projeção dos esforços necessários e para obter resultados aceitáveis, que podem ser vistos a seguir.
1. Apoio e patrocínio
O principal elemento que deve ser levado em consideração antes da implementação é o apoio da alta direção em relação às atividades de segurança da informação, especificamente com a iniciativa de começar a funcionar com um SGSI.
A idéia pode surgir em qualquer nível dentro da empresa, mas requer o patrocínio dos níveis hierárquicos mais altos.
O apoio e o compromisso da alta direção refletem um esforço composto, não apenas um projeto isolado gerenciado por um subordinado. Da mesma forma, a formação de estruturas dentro das empresas é bastante útil, permitindo a colaboração e cooperação dos representantes das diferentes partes com papéis e funções relevantes.
Nesse sentido, uma boa prática é desenvolver a estrutura adequada para a tomada de decisões em torno do sistema de gestão, através da criação de um fórum ou comitê de segurança, o que permite pôr em prática o que foi denominado como governo de segurança da informação, ou seja, todas essas responsabilidades e ações exercidas pela alta direção em termos de segurança.
2. Estrutura para tomada de decisões
Para fins de atividades de gerenciamento de segurança, o comitê é um grupo interdisciplinar encarregado de tomar decisões sobre a implementação e operação do sistema de gestão, bem como manter o controle administrativo do quadro de segurança.
O objetivo é integrar os membros da direção (incluindo o CEO), para fornecer uma visão de negócios às decisões desse comitê, bem como a geração de consenso em torno de necessidades e iniciativas de segurança alinhadas com os objetivos da empresa.
Em geral, você pode agrupar as necessidades e pontos de vista dos membros da empresa, como usuários, administradores, auditores, especialistas em segurança e outras áreas, como a parte jurídica, recursos humanos, TI ou gerenciamento de riscos.
Outros membros que podem integrar este fórum são os responsáveis pelo sistema de gerenciamento, coordenadores de áreas funcionais da empresa e um papel de auditor para uma avaliação objetiva e imparcial do SGSI.
3. Análise de lacunas (GAP)
A análise de lacunas ou GAP Analysis é um estudo preliminar que permite conhecer a forma como uma empresa desempenha em termos de segurança da informação, em relação às melhores práticas reconhecidas no setor de segurança. Para isso, são utilizados critérios estabelecidos em normas e padrões.
A análise estabelece a diferença entre a performance atual e a desejada. Embora esta análise seja aplicável a qualquer norma certificável, geralmente é realizada para novos esquemas de certificação, que são os que geram mais dúvidas nas empresas, devido ao aspecto de novidade.
4. Análise de Impacto Empresarial (BIA)
A análise de impacto do negócio (BIA, sigla em inglês) é um elemento usado para estimar o impacto que uma empresa pode sofrer como resultado da ocorrência de um incidente ou um desastre.
Tem dois objetivos principais, o primeiro dos quais é fornecer uma base para identificar os processos críticos para o funcionamento de uma empresa e a priorização desse conjunto de processos, seguindo o critério de quanto maior for o impacto, maior será a prioridade.
A BIA está relacionada com os processos que têm um tempo crítico para seu funcionamento, pois embora todos os processos sujeitos a um momento crítico sejam de missão crítica, nem todos os processos de missão crítica estão relacionados com um momento crítico para a sua execução.
5. Recursos: tempo, dinheiro e pessoal
Com base nos resultados da análise de lacunas e no impacto comercial, é possível estimar os elementos necessários para a implementação da ISO/IEC 27001. No caso do primeiro ciclo de operação, o tempo sugerido para a implementação do padrão é um período com menor carga de trabalho, permitindo um planejamento adequado ou, se necessário, contratando novos funcionários focados nesta tarefa.
Recomenda-se que o tempo dedicado ao sistema de gerenciamento não exceda um período superior a um ano antes do primeiro ciclo ser completado, devido a diferentes razões, tais como mudanças contínuas nos riscos, alteração das prioridades da direção em relação a proteção de ativos, surgimento de novas ameaças, entre outras.
A análise também nos permite estimar os recursos financeiros necessários para alcançar o status desejado em termos de segurança da informação, de acordo com a norma ISO 27001. Deve-se ter em mente que, durante a implementação, os recursos devem ser alocados para implementar controles técnicos, físicos ou administrativos, conforme os resultados de uma avaliação de risco.
Por outro lado, a empresa deve dispor de pessoal qualificado para realizar as atividades técnicas e administrativas relacionadas ao sistema de gestão, considerando que possam capacitar membros da empresa ou contratar os serviços de pessoal externo para colaborar com os objetivos criados no SGSI.
6. Revisão dos padrões de segurança
Outra atividade útil antes da implementação do SGSI está relacionada ao conhecimento do conteúdo e estrutura do padrão ISO/IEC 27001, bem como os padrões que compõem a série 27000. Especificamente, uma tarefa necessária é conhecer a ISO/IEC 27000, o que permite conhecer os princípios nos quais a implementação de um SGSI se baseia.
A ISO/IEC 27000 contém o glossário de todos os termos utilizados na série 27000, um resumo geral desta família de padrões, bem como uma introdução ao SGSI. Este padrão adquire maior relevância, já que se torna a única referência normativa da nova versão da ISO/IEC 27001.
Rumo à implantação, funcionamento, revisão e melhoria do SGSI
Sem dúvidas, cada implantação é diferente devido às condições, necessidades e recursos de cada empresa. No entanto, esses elementos podem ser aplicados de forma geral, uma vez que os padrões definem o que deve ser feito, mas não a maneira de fazê-lo.
Estes são elementos que podem ser essenciais para o sucesso da iniciativa de funcionar e manter um SGSI dentro da empresa, a fim de proteger informações e outros ativos, através de uma estrutura definida pelas melhores práticas do setor de segurança e o consenso de especialistas sobre o assunto.
Nos próximo posts, continuaremos abordando outros aspectos que devem ser considerados durante o planejamento, implantação, revisão e melhoria de um Sistema de Gerenciamento de Segurança da Informação. Enquanto isso, revise os principais conceitos no seguinte infográfico: