Rhand Leal
abril 7, 2015
Um Sistema de Gestão de Segurança da Informação (SGSI) é apenas tão bom quanto for a sua habilidade em manter-se atualizado com os requisitos do negócio e de prover proteção adequada contra os riscos aos quais a organização está exposta. Para conseguir isso, informações sobre o ambiente devem ser avaliadas constantemente, mas quem fará isso? E mais, onde esta informação pode ser encontrada?
A verdade é que ninguém em sua organização, nem mesmo equipes dedicadas, podem fazer isso sozinhas. Com o uso de informações críticas tornando-se cada vez mais abrangente (através de, por exemplo, trabalho remoto, equipes virtuais, etc.), as demandas de TI tornam-se cada vez mais complexas, e o SGSI e necessidades de segurança também. Isto significa que o nível de esforço requerido para cobrir informações relacionadas a todos os aspectos de segurança de sua organização tornaria o custo proibitivo. Mas, você ainda tem que monitorar estas informações. Então, como fazer isso?
Felizmente, a ISO 27001 sugere uma alternativa: contato com grupos especiais, controle A.6.1.4 do Anexo A da norma.
De forma geral, você pode definir um grupo especial como uma associação de indivíduos ou organizações com interesses ou atuando em uma área específica de conhecimento, onde os membros cooperam / trabalham para resolver problemas, produzir soluções e desenvolver conhecimento. Em nosso caso, esta área de conhecimento seria segurança da informação.
A 27001Academy, juntamente com a 9001Academy, 14001Academy e 20000Academy são exemplos de grupos especiais. Outros exemplos são fabricantes, fóruns especializados e associações profissionais. O Governo é outro exemplo de grupo especial (explicarei por que ele foi citado separadamente mais adiante).
Como disse ao início deste post, o SGSI de uma organização precise se manter atualizado com os requisitos de negócio e com os riscos organizacionais. Para cobrir estes assuntos, o controle A.6.1.4 do Anexo A sugere os seguintes pontos para que você possa identificar grupos especiais para ajudá-lo:
O governo como grupo especial é um caso à parte, por conta de seu acesso a recursos adicionais (como polícia, serviços de emergência, bombeiros, etc.), e, dependendo dos requisitos legais de cada país, seu envolvimento seja obrigatório.
Alguns destes pontos você pode identificar gratuitamente (acessando conteúdo público na Internet, inscrevendo-se em boletins regulares, ou identificando pessoas / cargos a serem contatados com associações profissionais ou agências governamentais), e para alguns você tem que pagar (serviços de consultoria ou de suporte de serviços). Contudo, para estes últimos casos seria recomendado estabelecer contato como potenciais fornecedores por meio de seu processo de aquisição (é sempre melhor ter um relacionamento prévio do que entrar em contato apenas em emergências).
Uma vez que a informação com a qual você estará trabalhando poderá ter grande impacto em seu SGSI (sobre a gestão e/ou controles de segurança), você deveria ser cuidadoso sobre com quais grupos especiais você interage, considerando:
Nos casos onde você tem que enviar ou receber informações, certifique-se se existe um acordo sobre como informações compartilhadas serão protegidas.
Algumas pessoas pensam que a implementação de um SGSI é a parte mais complexa da gestão da segurança da informação. Elas não poderiam estar mais equivocadas. O esforço para manter o SGSI atualizado de acordo com as necessidades do negócio e o cenário de riscos é o verdadeiro desafio. Contudo, ele não deve, nem deveria ser feito apenas por sua equipe. Lembre-se, existem muitos grupos que podem ajudá-lo a manter seu Sistema como uma valiosa ferramenta para a sua organização.
Clique aqui para baixar um modelo gratuito de Lista de questões a fazer para um consultor de ISO 27001/ISO 22301 que o ajudarão a avaliar consultores em potencial.
Nós agradecemos a Rhand Leal pela tradução para o português.