Processo de Implantação de um SGSI

Processo de Implantação de um SGSI

Mediante uma análise feita sobre normas e padrões de segurança da informação, conseguimos identificar quais itens devemos implementar em nossa gestão de segurança de acordo com as características da organização. Primeiramente é importante utilizar a ISSO 13335-2 para que haja um comprometimento de todos os setores da organização em relação as políticas de segurança que serão implantados para isso é interessante criar um comitê ou fórum de segurança para definir níveis de riscos.

Para se obter uma boa gestão e implantação de segurança é interessante utilizar a norma BS 7799-2 pois ela é responsável por fornecer ferramentas para melhor gestão e implantação através de um modelo Plan-Do-Check-Act, onde a utilizamos essas etapas para elaboração da política de segurança, definição do escopo, desenvolvimento de análise de riscos, formalização da estratégia de gestão de riscos, documentação e seleção dos controles aplicáveis para reduzir riscos quando necessário.

A metodologia é a parte do projeto é complexa pelo nível de detalhamentos dos tópicos, itens e aspectos, porem a metodologia pode se tornar um exemplo para a implantação e o acompanhamento de sistemas de gestão de segurança.

Detalhamento da metodologia PDAC:

- Plan: Política de segurança da informação, definição de escopo, análise de risco e gerenciamento das áreas de risco.

- Do: Seleção dos controles, implementação e acompanhamento dos indicadores.

- Act e Check: Auditoria do sistema e plano de melhoria.

Para se construir uma política de segurança é preciso levar em consideração os itens que vimos na metodologia PDAC, para isso é preciso redigirmos um documento contendo as regras, responsabilidade e práticas de segurança, porém não há um modelo a se seguir porque cada organização possui uma regra de negócio diferente, por isso a criação da política de segurança é algo muito complexo. Baseado nesta política de segurança que os funcionários irão se referenciar isso garantirá que a integridade, disponibilidade e confiabilidade serão preservados.

“A política de segurança deverá apresentar algumas características, conforme especifica a ISSO/IEC 17799: (I) ser aprovada pela diretoria, divulgada e publicada de forma ampla para todos os colaboradores; (II) ser revisada regularmente, com garantia de que, em caso de alteração, ela seja revista; (III) estar em conformidade com a legislação e cláusulas contratuais; (IV) deve definir as responsabilidades gerais e especificas; (V) deve dispor as consequências das violações” (Alaíde e Celso, Pág. 9 Parag. 2).

É necessário abranger outras características como, Propriedades de informação, classificações da informação, controle de acesso, gerencia de usuários e senhas, segurança física, desenvolvimento de sistemas e compras de softwares, plano de continuidade de negócios, para estas políticas serem seguidas pelos funcionários da empresa é interessante utilizar campanhas para que haja a conscientização dos mesmos.

A análise de risco é a etapa que diagnosticamos os ativos da informação onde para cada ameaça é feito uma análise onde determinamos o seu nível de risco, para isso utilizamos a ISSO 13335-3 que possui de forma detalhada estratégias de condução de análises de riscos, essas estratégias usam métricas baseadas em tempo e orçamento.

Realizado o diagnóstico dos riscos é preciso passar esta análise a diretoria da empresa que irá definir os riscos aceitáveis e não aceitáveis. Entre os não aceitáveis existem três opções interessantes porem é possível escolher somente uma, sendo elas: reduzir o nível de risco, aceitar o risco, transferir o risco e negar o risco.

Através de uma análise de riscos quantitativa é possível se obter uma análise de erros baseada em estatísticas utilizando uma análise de registros de incidentes. Ou utilizar uma análise qualitativa que é baseada em know-how feita por especialistas, ambas opções são boas e oferecem resultados significantes para a análise porem as empresas costumam utilizar a qualitativa por ser mais rápida e menos complexas.

Para concluir esta etapa, uma análise de riscos é onde precisamos levantar ativos e analisa-los, definirmos listas de ameaças e identificar as vulnerabilidades que os ativos possuem. O relatório da análise deve possuir os dados levantados contendo identificação e classificação dos ativos e processos de negócios, análise das ameaças e as suas vulnerabilidades, riscos e tratamento destes riscos.

Já a área de gerenciamento de riscos é um processo continuo ou seja ele não termina na implementação de segurança portanto é preciso estar sempre monitorando os riscos para que possamos realizar revisões e identificar áreas bem sucedidas. Por ser impossível de obter uma proteção completa contra todas as ameaças existentes, devemos sempre focar em identificar os ativos e vulnerabilidades mais críticas que podem afetar diretamente o negócio, após essa identificação é necessário definir quais itens serão tratados de acordo com seu nível de prioridade.

Os planos de continuidade podem ser relacionados como medidas de segurança adicionais, onde esta medida irá manter o funcionamento dos serviços de missão crítica o que é essencial para o negócio da empresa. Outra medida que pode ser adicionada é o response teams que fornecem a detecção e avaliações de risco em tempo real, o que é muito importante para a agilidade na tomada de decisões.

O processo de gerenciamento de riscos é basicamente formado por 9 passos sendo eles: Análise e atribuição de valores de ativos, identificação de riscos de segurança, analise e priorização dos riscos, controle

...