UMA ABORDAGEM GERAL SOBRE AS MEHLORES PRTICAS DE SEGURANA DA INFORMAO: ISO27002

Bruno Csar da Trindade

Faculdade de Tecnologia do Estado de So Paulo (FATEC) btrindade.ti@gmail.com

RESUMO

A informao hoje vista como um dos ativos mais importantes para a estratgia do negcio, em muitos casos vale mais do que todos os ativos fsicos da organizao. Por isso cada vez maior a preocupao com o correto uso deste patrimnio. Refletindo essa preocupao crescente, vrias entidades do setor pblico e privado desenvolveram melhores prticas para que as informaes das organizaes fossem protegidas, o que deu origem s normas ISO da srie 27000. Com a inteno de certificar um profissional que tem conhecimento sobre melhores prticas de Segurana da Informao, foi elaborada a ISO 27002. Palavras chaves: Segurana da Informao, ISO 27002 e Melhores Prticas de Segurana da Informao.

ABSTRACT Today the information is realized as one of the more important assets for the business strategy, in the most of the cases its value is the greater than all of the other assets in the organization. Because of this its more concern about the correct use of this property. Reflecting this growth of concern most of private and public entities developed best practices to protect the organizations information, this starts the development of ISO 27000 series. To turn certified the professional with knowledge about the Information Security best practices, it was put together the ISO 27002 Keywords: Information Security, Agile methodologies, ISO 27002, Information Security best practices.
1

1. INTRODUO
No atual mundo corporativo muitas dos antigos mtodos de gerenciamento esto sendo substitudos por novas formas de ver e entender o negcio da organizao com o objetivo de proporcionar um maior controle e facilitar o alinhamento de todas as reas para um nico objetivo e sob uma nica viso.

2. A SEGURANA DA INFORMAO
Durante muito tempo o bem mais precioso que se podia ter era a terra, pois dela era retirada tudo o que era necessrio para viver e colocar em prtica os projetos mais ambiciosos do homem. Essa poca durante o perodo medieval teve grandes momentos de glria que podemos acompanhar hoje por meio de livros, filmes, locais histricos e museus. O que se seguiu e mudou muito o modo de vida em sociedade foi a revoluo industrial. A partir deste perodo de mudana na forma de produo, a economia global passou a ter como bem mais valioso os bens fsicos, uma vez que ainda havia muita dificuldade no comrcio entre pases e com relao distncia. O mundo como conhecemos hoje foi marcado pela evoluo nas formas de comunicao que nasceu com o aparecimento e desenvolvimento da computao. Neste novo cenrio, mais do que ter bens fsicos valiosos, de suma importncia para as organizaes ter informao. Com ela possvel estudar catstrofes naturais, prever o acontecimento de desastres com antecedncia para diminuir o impacto causado por elas, encontrar novas oportunidades de crescimento em todos os seguimentos da economia, traar estratgias de marketing para as organizaes, enfim, com a informao possvel ter um controle sobre diversos aspectos da vida contempornea, controle este que nunca foi to preciso, nunca foi to valioso, por isso que a informao to importante para todos ns. Se a informao to importante nada mais natural do que cuidar para que esta esteja sempre disponvel quando necessrio, para que no seja alterada irresponsavelmente, para que no caia nas mos erradas, pois da mesma forma que pode ser usada para o bem tambm pode ser usada para fins ilegais. Para ajudar a proteger as informaes de todos os riscos que esta corre no mundo cada vez mais cheio de tecnologias e informatizado, foram desenvolvidas pelas organizaes uma srie de prticas para que este ativo intelectual seja mantido de forma segura.
2

3. SRIE ISO 27000

Para alinhar os objetivos da gesto da segurana da informao e padronizar prticas que uma organizao pode adotar para garantir a segurana da informao, foram criadas pela International Organization for Standartization as normas que compe a srie 27000. Todas as normas desta srie estabelecem prticas para estabelecer, implantar, operar, monitorar, analisar criticamente, manter e melhorar o sistema de segurana da informao dentro de uma organizao. Esses padres incluem a ISO 27001 que especifica os requisitos para implantao de um sistema de segurana da informao, a ISO 27002 para relacionar as boas prticas para gesto de sistemas de informao, a ISO 27003 com padres para a gesto de sistemas de informao com base em medies, a ISO 27004 que serve como guia de implementao de um sistema de segurana da informao, a ISO 27005 estabelece padres para gesto de risco em segurana da informao, ISO 27006 define requisitos para auditoria de sistemas de gesto de segurana da informao e finalmente a ISO 27007 com diretrizes para a auditoria de sistemas de gesto de segurana da informao.

4. MELHORES PRTICAS DE SEGURANA DA INFORMAO

As melhores prticas para segurana da informao so definidas na ISO 27002 e mostram as atividades bsicas que devem ser desenvolvidas em uma organizao para iniciar, implementar, manter e melhorar a gesto de segurana da informao em uma organizao. Esta norma estabelece 39 objetivos de controle que so objetivos a serem encontrados, 133 controles de segurana que so os controles a serem implantados para que os objetivos de controle sejam alcanados, tambm so apresentadas diretrizes como informaes mais detalhadas para apoiar implementao dos controles e informaes adicionais como aspectos legais e referencias a outras normas. A clusula 4 desta norma apresenta as melhores prticas para anlise e tratamento de riscos, para que estes sejam identificados, qualificados e priorizados. Para cada risco a organizao deve definir uma forma de trata-lo. As opes para o tratamento dos riscos so: aplicar controles para a reduo do risco, conhecer objetivamente o risco e aceita-lo, evitar o risco, proibindo aes que possam causar o risco, e transferir o risco para outras partes.
3

Uma explicao sobre a poltica de segurana da informao dada na clusula 5, onde abordado a definio da poltica de segurana da informao, o documento da poltica de segurana da informao tambm como a poltica deve ser analisada criticamente. Na clusula 6 a norma mostra como deve ser organizada a segurana da informao, tanto internamente quanto externamente, ou seja, como a gesto de segurana da informao deve lidar com o pblico de dentro e de fora da organizao. Uma parte muito importante da desta norma so as clausulas 7 e 8, que definem a gesto de ativos e a segurana em recursos humanos, por estes muito comumente refletirem os patrimnios mais importantes da organizao. A primeira pois muitas organizaes ainda tem suas operaes muito dependentes de seus ativos fsicos e a segunda pelo motivo que a gesto da segurana da informao somente ir funcionar se todos reconhecerem a dimenso da necessidade da gesto da segurana da informao. A clusula 9 abrange a segurana fsica e do ambiente, como o controle de acessos de pessoal, acesso do pblico, reas de entrega e segurana da equipamentos. Na clusula 10 tratado o gerenciamento das operaes e de comunicaes, onde so definidos procedimentos e responsabilidades operacionais, o gerenciamento de servios terceirizados, o planejamento e aceitao dos sistemas e diversos outros procedimentos para controle das comunicaes. Os diversos aspectos relacionados ao controle de acessos sistemas informatizados, so abordados na clusula 11. As atividades relacionadas aquisio, desenvolvimento e manuteno de sistemas de informao so relacionadas na clusula 12. So tratados dos requisitos de segurana de sistemas de informao, controles criptogrficos e gesto de vulnerabilidades tcnicas. Na clusula 13 so definidos as atividades de gesto de incidentes de segurana da informao, como notificao de incidente de segurana da informao, responsabilidades e procedimentos. A gesto de continuidade do negcio relativo segurana da informao abordada na clusula 14 e finalmente, na clusula 15, a ltima, so relacionados aspectos referentes conformidade com relao lei, com normas e polticas de segurana da informao e conformidade tcnica.

7. CONSIDERAES FINAIS
A segurana da informao est relacionada s mais diversas atividades realizadas dentro de qualquer organizao. Para que a gesto de segurana da informao funcione necessrio que
4

este tenha o apoio da direo e que todos os integrantes da organizao sejam conscientizados da importncia dela. A segurana est muito mais relacionada s aes de pessoas do que capacidade de controle de tecnologias

8. REFERNCIA BIBLIOGRFICA
FAGURY, Thiago. Apresentao: Gesto de Segurana da Informao. 2010. Disponvel em: <www.fagury.com.br>. Acesso em: 20 fev 2012. ABNT NBR ISO/IEC 27002 Tecnologia da Informao Tcnicas de segurana Cdigo de prtica para a gesto de segurana da informao.