SGSI – Entenda como funciona o Sistema de Gestão de Segurança da Informação
O CENÁRIO ATUAL DO SGSI
No Brasil, as empresas estão cada vez mais informatizadas, sejam as usuárias de ERPs; as que atuam na área de tecnologia da informação como hospedeiras de serviços em nuvem (Cloud), e as que vendem serviços com base nas informações fornecidas por seus clientes e que ficam armazenadas em serviços e servidores das organizações para processamento do cadastros de seus clientes, produtos e serviços.
Com base em estudos da CSIS/MCAFEE -“The Economic Impact of Cybercrime: No Slowing Down” ou traduzido para nosso idioma O impacto econômico do crime cibernético: sem desaceleração ” apresenta números que geraram prejuízos:
Atualmente o crime cibernético custa ao mundo quase US$ 600 bilhões, cerca de 0,8% do PIB global, além de representar um crescimento de US$ 100 bilhões quando confrontado com o ano de 2016.
O Brasil aparece como a segunda fonte de ataques cibernéticos e o terceiro alvo mais atingido, qual o motivo?
A informação deveria ser considerada um ativo para as organizações, a partir deste conceito, deveria ser devidamente protegida e mantida sob um sistema de gestão que contemple as salvaguardas mínimas para sua manutenção.
Reconhecimento e Certificação junto ao Inmetro:
No Brasil haviam 82 empresas certificadas na NBR ISO 27001 segundo dados da pesquisa apresentada no blog de Jeferson D´Adario em 2015.
Mecanismos de proteção e prevenção:
A utilização de softwares de proteção, firewalls; a adequação à nova legislação que irá vigorar no Brasil a partir de 2020, a Lei geral de Proteção de Dados – pessoais, não são ferramentas que por si irão garantir a proteção de dados nas organizações.
Estas ajudam e são importantes, porem sem um gerenciamento efetivo e que atenda critérios definidos e padronizados, podem se tornar inadequadas e vulneráveis.
COMO FUNCIONA UM SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO
A implementação de um SGSI (sistema de gestão e segurança da informação) com base na NBR ISO 27001:2013 é uma importante ferramenta que irá agregar todas as atividades em prol da segurança da informação.
Um SGSI (sistema de gestão e segurança da informação), para ser implementado e mantido deverá ter sua análise e levantamentos das necessidades de atendimento a seus requisitos:
Contexto da Organização:
- Entender no contexto da organização o seu negócio, o relacionamento com as partes interessadas (clientes, investidores, colaboradores, legislações e outros aplicáveis);
- Definir o escopo do SGSI para a aplicação adequada dos critérios e a abrangência necessária para implementar os controles e as salvaguardas de gestão.
Liderança, comprometimento e políticas:
- Definir os papeis e responsabilidades da alta direção e colaboradores diretos, com estas definições e critérios onde o nível de comprometimento na organização torna-se mais eficaz;
- O estabelecimento de uma Política de Segurança da informação que irá nortear o planejamento para o atendimento aos objetivos estabelecidos e necessários a fim de permitir uma análise e monitoramento das metas estratégicas do SGSI.
Planejamento e Análise de riscos para atingir os objetivos:
- O planejamento e a análise dos Riscos e Oportunidades, irá proporcionar uma melhor percepção dos fatores que influenciarão na Segurança da Informação. Com base nesta análise cria-se ferramentas internas adequadas para o tratamento de riscos de segurança da Informação.
Gestão dos recursos e apoio para a operação:
- O estabelecimento dos papeis e responsabilidades permitirão uma análise e definição coerente para a obtenção dos recursos humanos necessários à operação de um SGSI, bem como recursos necessários à operação devem ser definidos e passarão a ser monitorados no SGSI. Podemos dar como exemplo a questão de investimento necessário para manutenção e atualização dos ativos;
- Um plano de comunicação interna e externa com base na análise dos riscos, será importante para o mercado e as partes interessadas terem respostas e ações a fim de mitigar os riscos;
- Padronizar os documentos internos e garantir sua devida atualização são extremamente importantes para garantir ao SGSI uma performance adequada com treinamentos e reciclagens necessárias ao processo.
Operação e controle dos processos:
- Apoio na implantação das operações físicas e logicas do SGSI com a metodologia definida e padronizada. Controles necessários para obter resultados esperados a cada processo podem ser alcançados.
Auditorias e avaliação de desempenho:
- A realização de auditorias internas servem para medir o amadurecimento de um SGSI. Aliado ao monitoramento do desempenho por meio das análises críticas periódicas pela alta administração irão promover a melhoria contínua do SGSI;
- Ferramentas de tratamento de ocorrências de não conformidades ou desvios podem ocorrer, porem a implantação do padrão que estabelece como tratar tais situações, garantirão à organização a evolução dos processos e um cliente que estará satisfeito com as ações e com as evoluções de segurança que serão implementadas para garantir a segurança da informação.
QUAL A PERSPECTIVA?
A cultura da transparência nas organizações torna-se imperativa a cada ano, já é realidade quando um investidor avalia determinada organização, o quanto ela atende a regulamentações obrigatórias e voluntárias como é o caso da NBR ISO 27001:2013.
Enquanto isso, é nosso dever, como profissionais alertarmos aos empresários sobre a importância deste tema, para que possamos colocar em prática a transformação do país.
A PGBR está há 59 anos no mercado de Auditoria está pronta para atender Pequenas e Médias Empresas, Sociedades de Grande Porte, entidades do Terceiro Setor e Companhias de Capital Aberto. Inovamos e nos atualizamos constantemente e, nos colocamos como uma opção de acreditação global, com largo entendimento local para apoiar as empresas nacionais e internacionais que atuam no mercado brasileiro.
Faça o download deste post inserindo seu e-mail abaixo