A ESET, líder em detecção proativa de ameaças, aborda os pontos de partida para o desenvolvimento de um Sistema de Gestão de Segurança da Informação (SGSI), dando ênfase nos aspectos que devem ser considerados antes da implementação da ISO 27001, e que se mostrem úteis durante as fases de planejamento e operação do SGSI dentro de uma organização.
“Por ser um processo contínuo de manutenção e revisão, a gestão da segurança da informação constitui um conjunto de engrenagens compostas por diferentes fatores e elementos. De início, isso significa projetar, implementar e manter uma série de processos que permitam o gerenciamento eficiente de informações, garantindo assim integridade, confidencialidade e disponibilidade. É possível também criar um modelo próprio de gerenciamento, desde que sejam considerados todos os fatores essenciais do ciclo para que o sistema seja eficiente”, diz Camilo Gutierrez, diretor do Laboratório de Pesquisa da ESET América Latina.
Embora não haja um passo a passo sobre como implementar um gerenciamento padrão, existem fatores essenciais para uma melhor projeção dos esforços e conquista de resultados aceitáveis. Os aspectos a considerar são:
1. Apoio e patrocínio
O principal elemento que deve ser levado em conta antes da implementação é o respaldo da alta administração em relação às atividades de segurança da informação, especialmente ao iniciar a operação de um SGSI.
O suporte e o empenho desta área refletem um esforço conjunto, diferentemente de um projeto isolado e gerenciado por um único colaborador. Igualmente, a formação de estruturas complexas dentro das organizações é útil, o que permite a cooperação dos representantes de diferentes áreas em funções relevantes.
2. Estrutura para tomada de decisões
Uma boa prática é desenvolver a estrutura adequada para a tomada de decisões em torno do sistema de gestão.Com a criação de um fórum ou comitê de segurança, é possível efetivar o que foi determinado como governança da segurança da informação, ou seja, todas as responsabilidades e ações exercidas pela alta administração em termos de segurança.
3. Análise de brechas
A análise de brechas ou GAP Analysis é um estudo preliminar que permite conhecer a maneira como uma organização lida em termos de segurança da informação. Quando comparadas às melhores práticas reconhecidas na indústria, são usados critérios estabelecidos como padrões. A análise estabelece a diferença entre a performance atual e a desejada. Embora esse diagnóstico seja aplicável a qualquer norma certificável, geralmente é realizado para novos esquemas de certificação, que são os que geram mais dúvidas nas organizações, por serem novidade.
4. Análise de impacto no negócio
A análise de impacto do negócio (BIA, em inglês) é um elemento usado para prever as consequências em caso de incidente ou desastre dentro de uma organização. O objetivo principal é fornecer uma base para identificar os processos críticos para a operação de uma organização e a priorização desse conjunto de processos, seguindo o critério de quanto maior o impacto, maior será a prioridade.
5. Recursos, tempo, dinheiro e pessoal
Com base nos resultados da análise, é possível estimar os elementos necessários para a implementação da ISO / IEC 27001. No caso do primeiro ciclo de operação, recomenda-se um período com menor carga de trabalho para implementação, permitindo planejamento adequado ou, se necessário, a contratação de novos funcionários focados nesta tarefa.
É recomendável que o tempo dedicado ao sistema de gerenciamento não exceda um período superior a um ano antes do primeiro ciclo estar completo, devido a diferentes razões, como mudanças contínuas nos riscos, alteração das prioridades da administração em relação a proteção de ativos, aparição de novas ameaças, entre outros.
6. Revisão dos padrões de segurança
É necessário conhecer a ISO / IEC 27000, que permite entender os princípios sobre os quais a implementação de um ISMS se baseia.
A ISO / IEC 27000 contém o glossário de todos os termos utilizados na série 27000, um resumo geral desta família de padrões, bem como uma introdução ao SGSI. Cada implementação é diferente devido às condições, necessidades e recursos de cada organização. No entanto, esses elementos podem ser aplicados de forma geral, uma vez que os padrões definem o que deve ser feito, mas não a maneira de fazê-lo.
“Por meio das melhores práticas da indústria e do consenso de especialistas no assunto, estes elementos podem ser essenciais para o sucesso da iniciativa de operar e manter um SGSI dentro da empresa, com o objetivo de proteger informações e outros ativos”, conclui Gutiérrez.