• (0)
    ISO-27001-ISO-22301-blog

    Blog ISO 27001 e ISO 22301

    As lições aprendidas com WikiLeaks: o que é, exatamente, segurança da informação?

    O WikiLeaks, hoje, é uma história muito popular por um bom motivo: não é muito comum que os documentos confidenciais do governo mais poderoso do mundo sejam publicados na Internet. E alguns desses documentos são, no mínimo, constrangedores.

    Não vou escrever sobre a legalidade, ou ilegalidade, da publicação dessas informações pelo WikiLeaks, se essas informações deveriam ter se tornado públicas devido ao interesse do público ou não, ou sobre o que vai acontecer com o fundador do site (no momento em que escrevo este artigo Julian Assange está sob custódia) etc.

    A questão é: se o WikiLeaks for encerrado, um novo WikiLeaks surgirá. Em outras palavras, a ameaça de vazamento de informações para o público é cada vez maior. (A propósito, antes de ser preso, Julian Assange tinha anunciado que iria publicar informações importantes sobre um banco dos EUA e suas principais negligências.)

    Quero falar aqui sobre o ponto de vista corporativo: e se nós fôssemos o próximo alvo do WikiLeaks ou de seu clone? Como garantir a segurança de nossas informações e prevenir os danos de um incidente tão grande?

    Exemplo simples

    Mas como funciona a segurança da informação na prática? Vamos tomar um exemplo simples: você, muitas vezes, deixa seu laptop em seu carro, no banco de trás. Existem grandes possibilidades de que, mais cedo ou mais tarde, ele seja roubado.

    O que você pode fazer para diminuir esse risco? Primeiro de tudo, você pode criar uma regra (escrevendo um procedimento ou uma política) que estabeleça que laptops não podem ser deixados em um carro sozinho, ou que os carros devem ser estacionados onde exista algum tipo de proteção física. Segundo, você pode proteger suas informações criando uma senha forte e criptografando seus dados. Além disso, você pode exigir que seus funcionários assinem uma declaração dizendo que eles são legalmente responsáveis pelos danos que possam ocorrer. Mas todas essas medidas poderão permanecer ineficazes se você não explicar as regras para seus funcionários através de um breve treinamento.

    Então, o que você pode concluir a partir desse exemplo? A segurança da informação nunca é uma medida única de segurança, é sempre um conjunto de medidas. E as medidas não estão apenas relacionadas à TI, mas envolvem também questões organizacionais, gestão de recursos humanos, segurança física e proteção jurídica.

    O problema é que esse foi um exemplo de um único laptop, sem nenhuma ameaça interna. Agora considere o quão complexo é proteger as informações de sua empresa, onde as informações não são arquivadas apenas nos seus PCs, mas também em vários servidores; não só nas gavetas de sua mesa, mas também em todos os seus telefones celulares; não somente em pen drives, mas também nas cabeças de todos os funcionários. E você pode ter um funcionário muito insatisfeito.

    Parece uma tarefa impossível? Difícil, sim, mas não impossível.

    Como abordar o problema

    O que você precisa para resolver esse complexo problema é uma estrutura. A boa notícia é que essas estruturas já existem na forma de normas. A mais conhecida é a ISO 27001, a principal norma internacional sobre gestão da segurança da informação, mas existem outras: COBIT, NIST SP série 800, PCI DSS etc.

    Neste post, meu foco será a ISO 27001, pois acho que ela fornece um boa base para a construção do sistema de segurança da informação, pois oferece um catálogo com 133 controles de segurança, além da flexibilidade de aplicar apenas os controles que são realmente necessários para seus riscos. Mas sua melhor característica é que define uma estrutura de gestão para controlar e direcionar as questões de segurança, fazendo com que a gestão da segurança se torne parte da gestão global da organização.

    Em resumo, essa norma permite considerar todas as informações de diversas formas e todos os riscos, além de fornecer um caminho para solucionar cuidadosamente cada possível problema e manter suas informações seguras.

    Consequências para os negócios

    As empresas devem ter medo de que suas informações vazem para o público? Se estão fazendo algo ilegal ou antiético, certamente deveriam.

    No entanto, para as empresas que operam legalmente, se desejam proteger seus negócios, elas não podem pensar apenas em termos de retorno sobre investimento, participação no mercado, competência específica e visão de longo prazo. Sua estratégia também deve levar em conta as questões de segurança, pois ter informações desprotegidas pode custar-lhes muito mais do que, por exemplo, um lançamento fracassado de um novo produto. Por segurança, me refiro não só à segurança física, porque isso simplesmente não é mais suficiente – a tecnologia possibilita o vazamento de informações através de vários meios.

    O que é necessário é uma abordagem abrangente da segurança da informação. Não importa se você usa a ISO 27001, o COBIT ou alguma outra estrutura, o importante é fazer isso de forma sistemática. E isso não é um esforço isolado, é uma operação contínua. E, sim, isso não é algo que sua equipe de TI pode fazer sozinha; toda a empresa tem de participar, começando pela diretoria executiva.

    Para saber mais sobre segurança da informação, confira este treinamento on-line gratuito ISO 27001 Foundations Course.

    Advisera Dejan Kosutic
    Autor
    Dejan Kosutic
    Dejan possui um grande número de certificações, Consultor de Gestão Certificado, Auditor Líder ISO 27001, Auditor Líder ISO 9001 e Associate Business Continuity Professional. Dejan lidera nossa equipe na gestão de diversos websites especializados em apoiar profissionais de ISO e TI no entendimento e implementação bem sucedida de normas internacionais. Dejan obteve seu MBA na Henley Management College, e possui larga experiência e setores de investimento, seguro e bancário. Ele é reconhecido por sua expertise em normas internacionais para continuidade de negócio e segurança da informação – ISO 22301 e ISO 27001 – e pela autoria de diversos tutoriais web, kits de documentação e livros relacionados a estes assuntos.
    Tag: #ISO 27001