SGSI –  Entenda como funciona o Sistema de Gestão de Segurança da Informação

O CENÁRIO ATUAL DO SGSI

No Brasil, as empresas estão cada vez mais informatizadas, sejam as usuárias de ERPs; as que atuam na área de tecnologia da informação como hospedeiras de serviços em nuvem (Cloud), e as que vendem serviços com base nas informações fornecidas por seus clientes e que ficam armazenadas em serviços e servidores das organizações para processamento do cadastros de seus clientes, produtos e serviços.

Com base em estudos da CSIS/MCAFEE -“The Economic Impact of  Cybercrime: No Slowing Down” ou traduzido para nosso idioma O impacto econômico do crime cibernético: sem desaceleração ” apresenta números que geraram prejuízos:

Atualmente o crime cibernético custa ao mundo quase US$ 600 bilhões, cerca de 0,8% do PIB global, além de representar um crescimento de US$ 100 bilhões quando confrontado com o ano de 2016.

O Brasil aparece como a segunda fonte de ataques cibernéticos e o terceiro alvo mais atingido, qual o motivo?

A informação deveria ser considerada um ativo para as organizações, a partir deste conceito, deveria ser devidamente protegida e mantida sob um sistema de gestão que contemple as salvaguardas mínimas para sua manutenção.

Reconhecimento e Certificação junto ao Inmetro:

No Brasil haviam 82 empresas certificadas na NBR ISO 27001 segundo dados da pesquisa apresentada no blog de Jeferson      D´Adario em 2015.

• fonte http://www.daddario.com.br/seguranca-da-informacao-na-iso-270012013/

Mecanismos de proteção e prevenção:

A utilização de softwares de proteção, firewalls; a adequação à nova legislação que irá vigorar no Brasil a partir de 2020, a Lei geral de Proteção de Dados – pessoais, não são ferramentas que por si irão garantir a proteção de dados nas organizações.

Estas ajudam e são importantes, porem sem um gerenciamento efetivo e que atenda critérios definidos e padronizados, podem se tornar inadequadas e vulneráveis.

COMO FUNCIONA UM SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO

A implementação de um SGSI (sistema de gestão e segurança da informação) com base na NBR ISO 27001:2013 é uma importante ferramenta que irá agregar todas as atividades em prol da segurança da informação.

Um SGSI (sistema de gestão e segurança da informação), para ser implementado e mantido deverá ter sua análise e levantamentos das necessidades de atendimento a seus requisitos:

Contexto da Organização:

• Entender no contexto da organização o seu negócio, o relacionamento com as partes interessadas (clientes, investidores, colaboradores, legislações e outros aplicáveis);
• Definir o escopo do SGSI para a aplicação adequada dos critérios e a abrangência necessária para implementar os controles e as salvaguardas de gestão.

Liderança, comprometimento e políticas:

• Definir os papeis e responsabilidades da alta direção e colaboradores diretos, com estas definições e critérios onde o nível de comprometimento na organização torna-se mais eficaz;
• O estabelecimento de uma Política de Segurança da informação que irá nortear o planejamento para o atendimento aos objetivos estabelecidos e necessários a fim de permitir uma análise e monitoramento das metas estratégicas do SGSI.

Planejamento e Análise de riscos para atingir os objetivos:

• O planejamento e a análise dos Riscos e Oportunidades, irá proporcionar uma melhor percepção dos fatores que influenciarão na Segurança da Informação. Com base nesta análise cria-se ferramentas internas adequadas para o tratamento de riscos de segurança da Informação.

Gestão dos recursos e apoio para a operação:

• O estabelecimento dos papeis e responsabilidades permitirão uma análise e definição coerente para a obtenção dos recursos humanos necessários à operação de um SGSI, bem como recursos necessários à operação devem ser definidos e passarão a ser monitorados no SGSI. Podemos dar como exemplo a questão de investimento necessário para manutenção e atualização dos ativos;
• Um plano de comunicação interna e externa com base na análise dos riscos, será importante para o mercado e as partes interessadas terem respostas e ações a fim de mitigar os riscos;
• Padronizar os documentos internos e garantir sua devida atualização são extremamente importantes para garantir ao SGSI uma performance adequada com treinamentos e reciclagens necessárias ao processo.

Operação e controle dos processos:

• Apoio na implantação das operações físicas e logicas do SGSI com a metodologia definida e padronizada. Controles necessários para obter resultados esperados a cada processo podem ser alcançados.

Auditorias e avaliação de desempenho:

• A realização de auditorias internas servem para medir o amadurecimento de um SGSI. Aliado ao monitoramento do desempenho por meio das análises críticas periódicas pela alta administração irão promover a melhoria contínua do SGSI;
• Ferramentas de tratamento de ocorrências de não conformidades ou desvios podem ocorrer, porem a implantação do padrão que estabelece como tratar tais situações, garantirão à organização a evolução dos processos e um cliente que estará satisfeito com as ações e com as evoluções de segurança que serão implementadas para garantir a segurança da informação.

QUAL A PERSPECTIVA?

A cultura da transparência nas organizações torna-se imperativa a cada ano, já é realidade quando um investidor avalia determinada organização, o quanto ela atende a regulamentações obrigatórias e voluntárias como é o caso da NBR ISO 27001:2013.

Enquanto isso, é nosso dever, como profissionais alertarmos aos empresários sobre a importância deste tema, para que possamos colocar em prática a transformação do país.

A PGBR está há 59 anos no mercado de Auditoria está pronta para atender Pequenas e Médias Empresas, Sociedades de Grande Porte, entidades do Terceiro Setor e Companhias de Capital Aberto. Inovamos e nos atualizamos constantemente e, nos colocamos como uma opção de acreditação global, com largo entendimento local para apoiar as empresas nacionais e internacionais que atuam no mercado brasileiro.