SGSI
É um sistema não necessariamente informatizado, embasado nas normas NBR ISO/IEC 27001:2006 e NBR ISO/IEC 27002:2006*.
O SGSI torna-se pré-requisito à ser implementado em ambientes corporativos, educacionais, industriais, governamentais e qualquer outro que tenha por objetivo resguardar ambientes que criam, manipulam ou destroem informações relevantes.
O sistema será informatizado, caso seja necessário, conforme a peculiaridade de cada negócio (ambiente). Pois a Segurança da Informação (SI) é norteada por boas práticas, mudança de hábitos e cultura conforme o tópico “Impactos Culturais” (parte 2 do artigo) e não apenas definidas por bons softwares e ferramentas de apoio.
Tecnologias e ferramentas de apoio como segurança
Muitos gerentes, analistas e consultores de TI dentre outros, equivocadamente associam Segurança da Informação (SI) e sua totalidade a: Antivírus, Antispyware, Antiphishing, Firewall, criptografia, soluções de DLP (Data Loss Prevention), ferramentas de monitoramento, ambientes de desenvolvimento segregados, tolerância a falhas, salas cofre e muitos outros. Entretanto estes são simplesmente alguns dos requisitos de segurança que aliados a procedimentos, políticas e processos compõem a prática de SI. Notem que ainda não citei o Compliance pois nos dará conteúdo para mais um artigo ao qual falaremos em um futuro breve. Desta forma softwares e soluções informatizadas utilizados isoladamente são apenas paliativos que maquiam o ambiente e fornecem a falsa sensação de segurança.
Espinha dorsal do sistema
Conforme citado no primeiro tópico, as referências utilizadas são as normas, através delas e de um mapeamento prévio melhor explanado no tópico “O que Proteger?”, a PSI (Política de Segurança da Informação) é desenvolvida.
A PSI contempla as boas práticas de SI adaptadas ao cenário de cada empresa, se tornando base para criação de procedimentos e processos, juntamente com as demais políticas do âmbito de negócio e tecnologia. Após criada a PSI e antes de sua divulgação, a diretoria possui a incumbência de aprová-la e principalmente apoiá-la, pois, será fonte de consulta para tudo que envolver segurança seja ela física ou lógica.
O que proteger?
Pois bem, foram comentadas as tecnologias, normas, políticas e duas conclusões já são visíveis:
- O SGSI nos dará muito trabalho para implementar;
- Como protegeremos tudo?
Nos limitaremos apenas a segunda conclusão devido nosso tempo, claro que não será simples implementar, porém tudo obviamente ficaria mais trabalhoso do que apenas uma parte.
Desta forma, o que deverá ser protegido será definido pela diretoria e departamentos estratégicos da empresa, pois existem informações mais relevantes do que outras, de cunho competitivo inclusive no aspecto legal, as quais devem ter um tratamento diferenciado e o objetivo do SGSI é exatamente este, o tratamento adequado a informações do tipo restritas, sejam elas comerciais, financeiras, políticas ou até mesmo legais. O foco é definir quem são elas, cada empresa possui suas particularidades em seus respectivos segmentos e ninguém melhor do que a própria empresa para definir quais informações são importantes.
Uma vez definido o que é importante (entenda crítico) para o negócio, o SGSI baseado na PSI e com o apoio da tecnologia aplicará as medidas necessárias para classificar e tratar estas informações.
Os passos abaixo fazem parte da manipulação destas informações:
- Saber quais processos de negócios envolvem ou geram estas informações;
- Estar claro quem deve ter acesso;
- Quais os tipos de acesso existirão;
- Quem será o dono desta (s) informação (ões);
- Existir classificação da informação (Pública, Restrita ou Confidencial);
- Auditoria e Monitoramento periódico;
- Como descartar a informação;
- Existirem termos de Responsabilidade e Confidencialidade;
- Estar definida uma matriz de responsabilidades;
Estes são alguns dos passos que o SGSI deverá ter bem definido para manter a confidencialidade destas informações.
Na parte – II deste artigo abordaremos a:
- Equipe de SGSI
- Organograma corporativo
- Impactos culturais
- Considerações finais
Me enviem seus comentários
*Existem outras normas as quais tratam assuntos específicos de segurança que não serão contempladas neste artigo.
[Crédito da Imagem: Segurança da Informação – ShutterStock]