Skip navigation

Tag Archives: ISO31000

 

As áreas de TI de todos os tipos e tamanhos de empresas estão cada vez mais preocupadas com as ameaças que podem comprometer a segurança de suas informações. Gerenciar a segurança das informações tem se tornado a principal prioridade de suas áreas. A norma internacional e brasileira ISO 27005 – Tecnologia da informação – Técnicas de segurança – Gestão de Riscos de Segurança da Informação – auxilia as empresas a administrar tais riscos.

Ameaças podem ser intencionais ou acidentais e podem se relacionar tanto ao uso e aplicação de sistemas de TI como aos seus aspectos físicos e ambientais. Essas ameaças podem assumir diversas formas, desde furto de mídia, documentos e equipamentos, forjamento de direitos de acesso, espionagem a distância, escuta não-autorizada, até fenômenos climáticos e sísmicos, incêndio, inundação e radiação eletromagnética.
As consequencias dessas ameaças podem ser traduzidas por vários impactos nos negócios das empresas como, por exemplo, perdas financeiras, paralisação de serviços essenciais, perda de confiança dos clientes, pane no fornecimento de energia e falhas de telecomunicações.

Um risco, no contexto da nova ISO 27005:2008, é a combinação das consequencias que se seguirão à ocorrência de um evento indesejado e da probabilidade de ocorrência desse evento.
A avaliação de riscos quantifica ou descreve qualitativamente um risco e permite aos gestores priorizar os riscos de acordo com a sua severidade ou com outros critérios estabelecidos pela empresa.

A ISO 27005 fornece as diretrizes para a Gestão dos Riscos de Segurança da Informação (SI) e dá sustentação aos conceitos especificados na ISO 27001:2005, a norma de requisitos de sistemas de gestão da SI, além de auxiliar na implementação e certificação de tais sistemas de gestão.
De acordo com a nova norma, o processo de gestão de riscos de SI é composto pelas seguintes atividades:

image

A ISO 27001, a exemplo de outras normas de sistemas de gestão, também adota o modelo PDCA (Plan, Do, Check, Act), o qual é aplicado para estruturar todos os processos do SGSI.
Agora cabe a pergunta: como tais processos do SGSI se alinham ao processo de gestão de riscos recomendado pela ISO 27005? A tabela a seguir responde rapidamente a essa questão…

Processos do SGSI                  Processos de Gestão de Riscos de SI

PLANEJAR

  • Definição de contexto
    Analise e Avaliação de Riscos
    Definição do Plano de Tratamento de Riscos
    Aceitação do Risco

EXECUTAR

  • Implementação do Plano de Tratamento de Riscos

VERIFICAR

  • Monitoramento continuo e analise crítica de riscos

AGIR

  • Manter e melhorar o processo de Gestão de Riscos de SI

 

A série de normas ISO 27000 foi reservada pela ISO – Organização Internacional de Normalização – exclusivamente para assuntos de Segurança da Informação. Isso se relaciona naturalmente com outras áreas, como as séries ISO 9000 (Gestão da Qualidade) e a ISO 14000 (Gestão Ambiental), entre outras.
A série ISO 27000 está sendo povoada por várias normas individuais, algumas delas bastante conhecidas e já publicadas pela ISO. Outras ainda serão definidas, desenvolvidas e publicadas paulatinamente nos próximos meses e anos. A seguir apresento a posição atual das principais normas operacionais da série 27000.

ISO 27001:2005
(também publicada como NBR em 2006) Especificação de sistemas de gestão da segurança da informação (SGSI). Pode ser utilizada pelas partes interessadas internas e externas para avaliar a conformidade. Substituiu a antiga norma BS 7799-2.

ISO 27002:2005
(também publicada como NBR em 2005) Código de prática para a gestão da segurança da informação. Originalmente numerada como ISO 17799 (a qual, por sua vez, era antes conhecida como norma BS 7799-1).

ISO 27003
Este é o número oficial da futura norma que irá fornecer diretrizes para a implementação de um SGSI.

ISO 27004
Este é o número oficial da futura norma que irá auxiliar as organizações a medir a eficácia de seus sistemas de gestão da SI.

ISO 27005:2008
(também publicada como NBR em 2008) Fornece diretrizes para o processo de gestão de riscos de segurança da informação (SI). Visa a facilitar a implementação eficaz da SI tendo como base a gestão de riscos.

ISO 27006:2007
Norma de requisitos para a acreditação de organizações que oferecem serviços de certificação de sistemas de gestão da SI.

Uma última pergunta: qual a relação entre a ISO 27005 e a futura ISO 31000 – Risk Management – Principles and Guidelines on Implementation?

A futura ISO 31000, que será publicada em 2009 pela ISO (e no Brasil pela ABNT), será a norma "guarda-chuva", que fornecerá os princípios, o framework e o processo geral de Gestão de Riscos. Por se tratar de uma norma de alto nível, a ISO 31000 não concorrerá com os padrões já existentes, e permitirá o alinhamento com outras normas específicas, como é o caso, por exemplo, da ISO 27005… Vamos aguardar ansiosamente…