pepa
Governança de TI: Segurança da Informação – normas ISO 27000
Abrindo este ano de 2014 vamos falar de um assunto importantíssimo nas organizações hoje, e que precisa ter uma atenção especial do ponto de vista da Governança de TI: a segurança da informação. De acordo com uma pesquisa de 2006 com empresas norte americanas do Computer Security Institute – CSI em conjunto com o FBI as perdas relacionadas com segurança somaram um total de US$ 56 milhões. No Brasil, a cert.br estimou que em 2005 há estimativa de perdas por fraudes chegou a R$ 300 milhões. A segurança da informação é padronizada através da norma ISO 27000, que tem por objetivo a proteção das informações organizacionais e ativos de TI. Para muitas empresas, as informações tem mais valor $$ do que os ativos físicos.
Os mais variados frameworks como o ITIL no estágio Desenho de Serviço e o COBIT 4.1 no processo DS5 “Assegurar a segurança dos Sistemas” e DS12 “Gerenciando o ambiente físico” e a ISO 20000 entre outros também abordam o assunto, sempre com base nas normas ISO da família 27000.
Na família ISO 27000 temos duas normas que são as mais conhecidas:
ISO 27001: É um modelo focado em estabelecer, implantar, operar, monitorar, rever, manter e melhorar um sistema de Gestão da Segurança da Informação. Irá implementar os controles da ISO 27002.
ISO 27002: Código de práticas para Segurança da Informação.
A ISO 27001 traz a abordagem da implementação segurança da Informação dentro de uma abordagem de processos que procura enfatizar aos usuários:
O entendimento dos requisitos e a necessidade de se ter uma política da segurança da informação.
Implementar e operar controles para gerenciamento dos riscos
Monitorar o desempenho e a eficácia da política de segurança da informação.
Promover a melhoria contínua.
Esta abordagem de processos é feita com base na tão conhecida estrutura PDCA, conforme temos na figura abaixo:
PDCA da Sergurança
Planejar: Definição do escopo do sistema de