ISO 27001 & BS 25999

 

ISO 27001/BS 25999 documents, presentation decks and implementation guidelines


Free_Downloads
 
Newsletter
 
Sign up to our free Newsletter and as bonus you'll receive my tips on how to launch an information security and business continuity project.
 
 
 
 
 

Recent Posts

 
    

UPCOMING WEBINARS

    

 
ISO 27001 & BS 25999-2: Why is it better to implement them together?

    

Wednesday
May 23, 2012

    Register_now_green
     

 
Risk Management Part 1: Risk assessment methodology and risk assessment process

Monday
May 21, 2012

    Register_now_green
 
 
 
 

Segurança da informação ou segurança de TI?

ByDejan Kosutic on December 16, 2010
Share

Algumas pessoas podem até pensar que esses dois termos são sinônimos, afinal, a segurança da informação não está totalmente relaciona a computadores?

Não necessariamente. O ponto principal é este: você pode ter medidas perfeitas de segurança de TI, mas apenas um ato malicioso feito, por exemplo, pelo administrador pode trazer todo o sistema de TI abaixo. Esse risco não tem nada a ver com computadores, tem a ver com as pessoas, processos, supervisão etc.

Além disso, informações importantes podem não estar em formato digital, podem estar no papel. Por exemplo, um importante contrato assinado com o maior cliente, anotações pessoais feitas pelo diretor executivo, ou senhas de administrador impressas e armazenadas em um cofre.

É por isso que eu sempre digo aos meus clientes que a segurança de TI é 50% da segurança da informação, porque a segurança da informação também compreende a segurança física, a gestão de recursos humanos, a proteção jurídica, a organização, os processos etc. O objetivo da segurança da informação é construir um sistema que leve em consideração todos os possíveis riscos para a segurança da informação (relacionados, ou não, à TI) e implementar controles abrangentes que reduzam todos os tipos de riscos inaceitáveis.

Essa abordagem integrada para a segurança da informação é muito bem definida na ISO 27001, a principal norma internacional sobre gestão da segurança da informação. Em suma, ela exige que a avaliação de riscos seja feita em todos os ativos da organização, incluindo hardware, software, documentação, pessoas, fornecedores, parceiros etc., e que controles aplicáveis sejam escolhidos para diminuir esses riscos.

A ISO 27001 oferece 133 controles em seu Anexo A. Fiz uma rápida análise dos controles, e os resultados são os seguintes:

  • controles relacionados à TI: 46%
  • controles relacionados à organização/documentação: 30%
  • controles de segurança física: 9%
  • proteção jurídica: 6%
  • controles relacionados à relação com fornecedores e compradores: 5%
  • controles de gestão de recursos humanos: 4%

O que significa tudo isso em termos de segurança da informação/implementação da ISO 27001? Esse tipo de projeto não deve ser visto como um projeto de TI, porque, como tal, é provável que nem todas as partes da organização estejam dispostas a participar. Deve ser visto como um projeto de toda a empresa, do qual todas as pessoas relevantes de todas as unidades de negócios devem participar: alta administração, equipe de TI, especialistas jurídicos, gestores de recursos humanos, equipe da segurança física, o lado comercial da organização etc. Sem essa abordagem, você vai acabar trabalhando com segurança de TI, e isso não irá protegê-lo dos maiores riscos.

Você também pode conferir o webinar ISO 27001 Foundations Part 3: Annex A overview (treinamento vendido comercialmente).


read comments
©2010-2012 Dejan Kosutic. Proudly powered by WordPress
Entries (RSS) and Comments (RSS).