CLECINALDO SILVA DA CRUZ VANDERLAN FERREIRA GUIMARES JNIOR
UNIP Centro Universitrio de Joo Pessoa UNIPETECH Coordenao do Curso de Redes de Computadores CEP 58053-000 Joo Pessoa/PB clecinaldo@gmail.com vanderlan.jr@outlook.com
Resumo: Este artigo tem o intudo de apresentar de uma forma simplificada e as aplicaes praticas no cotidiano das ISOs 27001 e 27002, na implementao destes modelos nas organizaes da atualidade, visando em primeiro lugar segurana das informaes. Palavras Chaves: SGSE, ISO 27001, ISO 27002 artigo, segurana, informao, PDCA, redes, TI.
1. Introduo Diariamente so produzidas novas informaes nas organizaes, onde muitas destas fazem parte da estratgia do negcio, ela importante assim como qualquer outro ativo e deve ser protegida. crescente tambm a quantidade de ameaas s quais estas informaes esto expostas, devido ao aumento da rede mundial, bem como o seu acesso por vrios dispositivos e novas tecnologias de rede. Surgiu ento a necessidade de normatizar e estabelecer padres para a implementao da Gesto de Segurana atravs de um conjunto de controles, tais como: Polticas; Processos; Procedimentos; Estrutura Organizacional; Funes de Hardware e Software; 2. ABNT NBR ISO/IEC 27001:2006 uma verso brasileira que visa prover um modelo de Sistema de Gesto de Segurana da Informao(SGSI). A aplicao da SGSI em uma organizao tida como deciso estratgica e sua especificao e/ou implementao, so influenciadas diretamente pela necessidade e objetivos, requisitos de segurana, processos empregados, tamanho e estrutura da organizao. 2.1 SGSI As atividades que esto relacionadas para vrias etapas dos SGSI (Implantao, Manuteno e Mudana), so baseadas no PDCA: O PDCA utilizado para gerenciar e melhorar os processos e a soluo de problemas, compatvel com outros sistemas de gesto, para isso a ABNT NBR ISO/IEC 27001 esta alinhada com s normas ABNT NBR ISSO 9001:2000 E ABNT NBR ISSO 14001:2004. a)Plan (Estabelecer) conhecer a necessidade, objetivos e os requisitos de segurana da informao da organizao voltados para poltica de segurana. b) Do (Implementar e Operar) gerncia dos riscos de segurana da informao num mbito global da organizao. c)Check (Monitorar e Analisar Criticamente) um processo contnuo de analise e monitoramento do desempenho e eficcia do SGSI na organizao. d) Act (Manter e Melhorar) atravs da analise e monitoramento so geradas medies, que so usadas para tomada de decises de melhoria contnua.
Figura 1 - PDCA 3 ABNT NBR ISO/IEC 27002:2005 uma verso brasileira da ISO 17799:2005 que foi renomeada em 2007 para o novo esquema de numerao que o ISO/IEC 27002. Em setembro de 2013 iniciou um novo processo de reviso, e entrou em vigor no dia 08/12/2013, do qual no esto citados nesse artigo. Esta norma tem como principio normatizar boas prticas para controle e segurana da informao. Para isso ela no s tem o foco na parte de informao, mais tambm fornece diretrizes para gesto do ambiente, gesto ativos, gesto de segurana de rede, segurana de recursos humanos, dentre outros. a)Gesto de segurana do ambiente e fsica Ter um espao fsico reservado onde possa ser implementado os controle: de acesso, de temperatura, de umidade. e protegido contra ameaas fsicas, ambientais e externas. b) Gesto de ativos So considerados ativos tudo que venha agregar valor ao negcio, e devem ser levantados, catalogados e identificados/atribudos o nvel de proteo para cada um deles. Tudo isso deve ser feito de uma forma que possa ser estruturado e mantido. c)Gesto de segurana de rede importante que a rede seja gerenciada e controlada, visando garantir a segurana da infraestrutura, dos servios de rede e dos dados trafegados, internamente e em redes pblicas, bem como o acesso indevido. Segurana de recursos humanos Uma poltica que deve est bem alinhada entre os colaboradores, fornecedores e terceiros, com o intudo de minimizar os ricos de furto, fraudes e mau uso de recursos. Ela deve ser implementada antes mesmo da contrao destes, atravs de documentos que atestem e garantam um antecedente ilibado. 4 Concluso Conclumos que devido a crescente demanda de informaes geradas nas organizaes praticamente impossvel no utilizar nenhuma norma/ferramenta para gerencialas e ter boas prticas de TI que auxiliem na segurana destas. Expomos neste artigo duas normas especficas para a rea de TI. 5 Referncias ABNT NBR ISO/IEC 27001:2006, Tecnologia da informao - Tcnicas de segurana - Sistemas de gesto de segurana da informao - Requisitos ABNT NBR ISO/IEC 27002:2005, Tecnologia da informao - Tcnicas de segurana - Cdigo de pratica para a gesto da segurana da informao FARIA, Alxia Lage. Conhea a NBR ISO/IEC 27002. Disponvel em : http://www.profissionaisti.com.br/2010/03/conheca-a- nbr-isoiec-27002-parte-1/ http://www.profissionaisti.com.br/2010/03/conheca-a- nbr-isoiec-27002-parte-2/ Figura1 PDCA - http://engdofuturo.com.br/wp- content/uploads/2013/07/PDCA3.jpg