No post anterior falamos sobre O que é a ISO 27001. Agora falaremos de adaptação a esta ISO.
Para tudo no caso das ISO é necessário o Compromisso da Alta Direção. Sem isto não existe um projeto de adaptação ou de auditoria de ISOs.
ISO 27001 – O compromisso da Alta Direção
Uma das bases fundamentais para se iniciar o projeto de ISO 27001 é o apoio claro e decidido da Direção de uma organização. Não apenas por ser um ponto nevrálgico na norma, mas porque a mudança de cultura e consciência que se fazem necessárias provém da própria Alta Direção. E isto exige um plano, datas e responsáveis. Como todo projeto desta envergadura, o tempo e o esforço investidos nesta fase multiplicam seus efeitos positivos sobre as demais fases.
O Planejamento
Uma das primeiras coisas nesta fase é definir o alcance do SGSI (Sistema de Gestão de Segurança da Informação). Em função das características de negócio, organização, localização, ativos e tecnologia, deve-se definir os limites do SGSI (que não precisa ser definido em toda a organização, e é recomendado começar por um ponto específico).
Outro ponto importante é definir as políticas de segurança. Estas devem incluir o marco geral e os objetivos de segurança da informação da organização, levando em conta os requisitos do negócio (legais e contratuais) com relação à segurança, e que estejam alinhadas à Gestão de Risco geral , estabelecendo critérios de evolução dos riscos, e que seja aprovada pela Alta Direção.
Também é necessário definir a evolução dos riscos, através de uma metodologia apropriada para o SGSI e as necessidades da organização, desenvolvendo critérios de aceitação de riscos e a determinação do risco aceitável. O risco nunca é totalmente eliminável, daí a necessidade de definir uma estratégia de aceitação de risco.
Além disso faz-se o inventário dos ativos. Todos aqueles ativos de informação que têm algum valor para a organização e estão dentro do alcance do SGSI devem ser inventariados com critérios rígidos.
É imprescindível também identificar ameaças e vulnerabilidades, principalmente as que afetam os ativos inventariados.
- Idenficar os impactos, como perda de confidencialidade ou a integridade ou a disponibilidade dos ativos é extremamente necessário também.
- Outras partes extremamente importantes são :
- Análise e evolução dos riscos : analisar o dano resultante de uma falha de segurança e a probabilidade de ocorrência da falha; estimar o risco resultante e se este risco é aceitável ou se requer tratamento.
- Identificar e analisar opções para o tratamento de riscos : o risco pode ser reduzido, eliminado, aceito ou transferido.
- Seleção dos controles : selecionar controles para o tratamento dos riscos em função de análise anterior. Utilizar para isto os controles do anexo A da ISO 27001, e outros controles adicionais se considerá-los necessários.
- Aprovação por parte da Alta Direção do risco residual e autorização para se implantar o SGSI : lembremos que os riscos de segurança da informação são riscos de negócio e apenas a Alta Direção pode tomar decisões sobre sua aceitação e tratamento. O risco residual é o que resta ainda depois de se haver aplicado os controles, pois “risco zero” não existe.
- Confeccionar uma Declaração de Aplicabilidade : a chamada SOA (Statemente of Aplicability) é uma lista de todos os controles selecionados e o porquê de sua seleção, dos controles atualmente implementados e a justificativa de qualquer controle do anexo A que tenha sido excluído. É, em definitivo, o resumo das decisões tomadas quanto ao tratamento dos riscos.
Mesmo que pareça complicada a parte de Planejamento da ISO 27001, ela não é. Mas exige sim que a Alta Direção esteja à frente de todas estas decisões.
No próximo artigo falaremos sobre a Implementação da ISO 27001. Até mais !
