Sistemas de Gestão e Segurança da Informação Apresentado por: Djulles Ikeda Osnir F Cunha

Introdução Neste mundo virtual globalizado, e cada vez mais competitivo, a informação é o maior patrimônio que uma organização pode possuir, se deseja manter-se competitiva. Considerada um ativo estratégico para o negócio da organização, a informação deve receber uma maior atenção no que tange ao seu tratamento, devendo ser protegida e gerenciada quanto ao seu armazenamento e tramitação, evitando que pessoas indesejadas a acessem.

SGSI – Definição Um Sistema de Gestão de Segurança da Informação é um conjunto de regras e normas adotado por uma empresa, com o intuito de garantir a segurança de suas informações quanto a controles, perdas, roubos, alterações e consultas indevidas.

ABRANGENCIA DO SGSI A delimitação da abrangência é muito importante para o auditor, pois é por meio desta que se consegue constatar as responsabilidades dos envolvidos.

BENEFICIOS DO SGSI Conhecimento dos riscos de segurança dos ambientes e processos de negócio suportados Identificação de possíveis fatores de perda e prejuízo Otimização do planejamento de segurança com um Plano de Ação consistente, integrado e priorizado com base nos riscos identificados; Implantação de controles, reduzindo os riscos identificados, mediante o estabelecimento de nível de segurança adequado à criticidade dos processos de negócio envolvidos; Fortalecimento da imagem diante dos clientes, funcionários, fornecedores e parceiros; Formalizar as regras de segurança do negócio; Possibilitar a criação de políticas e procedimentos com o objetivo de direcionar os usuários finais e membros da área de TI quanto às melhores práticas de uso da informação. Estabelecer futuros critérios para adoção e manutenção de controles de segurança. Prover uma maior disponibilidade dos serviços de TI da organização.

PATROCINADORES E COMITE A escolha dos “patrocinadores” é fundamental para o sucesso da implantação de um Sistema de Gestão de Segurança de Informação (SGSI) em uma organização. É por meio deles que se obtêm o respaldo para a implantação do SGSI, tornando viável a tomada de ações decorrentes da aplicação do sistema. Geralmente, são escolhidos como patrocinadores profissionais da alta direção da organização, além de outras pessoas-chave da área do negócio.

CONCEITOS-CHAVE Sanções: regras têm de ser cumpridas e, a cada não cumprimento, uma sanção pode ser aplicada. Todas as regras devem ter os riscos associados ao seu não cumprimento muito bem documentados, bem como têm necessidade de deixar claros as sansões possíveis de aplicação.

MECANISMOS DE CONTROLE “Não se gerencia o que não se mede não se mede o que não se define, não se define o que não se entende, não há sucesso no que não se gerencia” (William Edwards Deming).

Métricas Em vista da diversidade de atividades executadas, quando se desenvolve e implanta um SGSI, naturalmente este processo implica ao gestor responsável pela missão a necessidade de gerenciar diversos mecanismos de controles implementados em diversas plataformas e em vários ambientes organizacionais.

Surge, então, a necessidade iminente de responder algumas questões: Como podemos saber se o nível atual de segurança está no patamar requerido para o nosso negócio? Como medir o nível de eficácia dos controles atuais frente aos riscos identificados?

Definição Métricas em um SGSI são medidas estipuladas com base em metas a serem atingidas, as quais são comparadas aos resultados obtidos durante a sua operação de um SGSI. Um método bastante importante no SGSI é o Benchmarking.

Tipos de métricas Mediante uma diversidade de métricas, devemos escolher as mais adequadas a cada caso. Como exemplo de acompanhamento das métricas, podemos citar: Benchmarking de pesquisas de sobre segurança da informação; Resultados de pesquisas internas de avaliação do SGSI; Gestão de incidentes de segurança.

Passo a passo para o estabelecimento de métricas. Métrica deve conter o nome da métrica e a descrição da escala que será usada. Escopo da métrica descreve o que deve ser medido. Por exemplo: o processo ou controles do ISMS e quais partes do processo ou controles. Propósito e objetivo defini o propósito da métrica, quais as metas e objetivos devem ser atingidos Método de medição descreve como a medição será realizada, por exemplo, usando cálculo, fórmula ou porcentagens. Frequência da medição descreve a periodicidade da medição. Por exemplo: mensal, semanal, diário etc. Origem dos dados e procedimento de coleta defini de onde os dados serão coletados e quais métodos são usados para a coleta. Indicadores contem os indicadores usados para otimizar a métrica e definir o seu propósito e como eles são entendidos e podem ser aplicados. Data da medição e responsável descreve a data da medição e a pessoa responsável por esta ação. Nível da efetividade alcançada contem o resultado e a data da medição Causas do não-cumprimento Este campo deve conter as causas do não-cumprimento dos objetivos, indicadores etc.

Coleta de resultados A atividade de medir demanda recursos e, obviamente, tempo para a coleta e análise dos resultados. Por esta razão, as métricas devem fazer sentido e ser coerentes, além de alinhadas aos objetivos a serem alcançados.

Fatores-chave de sucesso Conhecer o objetivo a ser alcançado; Conhecer as metas a serem alcançadas; Coletar os resultados em tempo hábil; Apresentar resultados válidos e confiáveis; Criar métricas que permitam monitorar o SGSI; Desenvolver metas desafiadoras.

ALINHAMENTO DO SGSI COM O NEGOCIO DA EMPRESA O SGSI tem de estar alinhado com os negócios da empresa em relação a estratégias de negócio, competitividade, atuação no mercado, relação com clientes e fornecedores, dentre outros. O momento atual e o futuro pretendido devem estar alinhados com as normas e regras do SGSI.

RISCOS Os riscos devem ser mensurados e constados no SGSI e estar bem claros para todos os envolvidos, assim como para a alta gerência. O auditor tem de constatar se os riscos estão contemplados pelo SGSI e se condizem com a realidade.

IMPLANTAÇÃO DO SGSI Antes de realizar a implantação do SGSI, é preciso checar se o mesmo condiz com as medidas e as regras condizentes, por sua vez, com a natureza da segurança da informação de que a empresa necessita.

EXECUÇÃO DO SGSI O auditor tem que conferir detalhadamente as normas contidas no SGSI e verificar in loco se estão sendo cumpridas. O não cumprimento do SGSI representa um risco de alto nível. Pior que não ter um SGSI é ter um que não é cumprido, é ter a sensação que as informações estão protegidas, quando não estão.

ACOMPANHAMENTO DO SGSI O acompanhamento deve existir e um relatório deve ser divulgado constantemente a todos os envolvidos, inclusive os erros e ajustes que se fizeram necessários devem constar aí. Para que o SGSI não seja relegado a segundo plano, justifica-se a importância do acompanhamento,

Curiosidades Após a implantação do Sistema de Gestão da Segurança da Informação e após ter realizadopelo menos um ciclo de auditoria interna e pelo menos uma análise crítica pela direção aempresa pode solicitar a realização da Pré-auditoria para verificar o nível de adequação ànorma em questão.