DESCONTO DE PRIMAVERA
Ganhe 30% de desconto em kits de documentos, exames de cursos e livros.
Oferta por tempo limitado – termina em 26 de maio de 2022
Use o código promocional:
SPRING30
  • (0)
    ISO-27001-ISO-22301-blog

    Blog ISO 27001 e ISO 22301

    Segurança da informação ou segurança de TI?

    O número de controles foi atualizado de acordo com a revisão de 2013 da ISO 27001.

    Algumas pessoas podem até pensar que esses dois termos são sinônimos, afinal, a segurança da informação não está totalmente relaciona a computadores?

    Não necessariamente. O ponto principal é este: você pode ter medidas perfeitas de segurança de TI, mas apenas um ato malicioso feito, por exemplo, pelo administrador pode trazer todo o sistema de TI abaixo. Esse risco não tem nada a ver com computadores, tem a ver com as pessoas, processos, supervisão etc.

    Além disso, informações importantes podem não estar em formato digital, podem estar no papel. Por exemplo, um importante contrato assinado com o maior cliente, anotações pessoais feitas pelo diretor executivo, ou senhas de administrador impressas e armazenadas em um cofre.

    É por isso que eu sempre digo aos meus clientes que a segurança de TI é 50% da segurança da informação, porque a segurança da informação também compreende a segurança física, a gestão de recursos humanos, a proteção jurídica, a organização, os processos etc. O objetivo da segurança da informação é construir um sistema que leve em consideração todos os possíveis riscos para a segurança da informação (relacionados, ou não, à TI) e implementar controles abrangentes que reduzam todos os tipos de riscos inaceitáveis.

    Essa abordagem integrada para a segurança da informação é muito bem definida na ISO 27001, a principal norma internacional sobre gestão da segurança da informação. Em suma, ela exige que a avaliação de riscos seja feita em todos os ativos da organização, incluindo hardware, software, documentação, pessoas, fornecedores, parceiros etc., e que controles aplicáveis sejam escolhidos para diminuir esses riscos.

    A ISO 27001 oferece 114 controles em seu Anexo A. Fiz uma rápida análise dos controles, e os resultados são os seguintes:

    • controles relacionados à TI: 37%
    • controles relacionados à organização/documentação: 36%
    • controles de segurança física: 13%
    • proteção jurídica: 4%
    • controles relacionados à relação com fornecedores e compradores: 5%
    • controles de gestão de recursos humanos: 5%

    O que significa tudo isso em termos de segurança da informação/implementação da ISO 27001? Esse tipo de projeto não deve ser visto como um projeto de TI, porque, como tal, é provável que nem todas as partes da organização estejam dispostas a participar. Deve ser visto como um projeto de toda a empresa, do qual todas as pessoas relevantes de todas as unidades de negócios devem participar: alta administração, equipe de TI, especialistas jurídicos, gestores de recursos humanos, equipe da segurança física, o lado comercial da organização etc. Sem essa abordagem, você vai acabar trabalhando com segurança de TI, e isso não irá protegê-lo dos maiores riscos.

    Confira este treinamento on-line gratuito ISO 27001 Foundations Course para saber mais sobre ISO 27001.

    Advisera Dejan Kosutic
    Autor
    Dejan Kosutic
    Leading expert on cybersecurity/information security and author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become certified against ISO 27001 and other ISO standards. He believes that making ISO standards easy-to-understand and simple-to-use creates a competitive advantage for Advisera's clients.

    As an ISO 27001 expert, Dejan is sought out to help companies find the best way to obtain certification by eliminating overhead and adapting the implementation to the specifics of their size and industry.
    Conecte-se com Dejan:
    Tag: #ISO 27001