Rhand Leal Um Sistema de Gestão de Segurança da Informação (SGSI) é apenas tão bom quanto for a sua habilidade em manter-se atualizado com os requisitos do negócio e de prover proteção adequada contra os riscos aos quais a organização está exposta. Para conseguir isso, informações sobre o ambiente devem ser avaliadas constantemente, mas quem fará isso? E mais, onde esta informação pode ser encontrada?
A verdade é que ninguém em sua organização, nem mesmo equipes dedicadas, podem fazer isso sozinhas. Com o uso de informações críticas tornando-se cada vez mais abrangente (através de, por exemplo, trabalho remoto, equipes virtuais, etc.), as demandas de TI tornam-se cada vez mais complexas, e o SGSI e necessidades de segurança também. Isto significa que o nível de esforço requerido para cobrir informações relacionadas a todos os aspectos de segurança de sua organização tornaria o custo proibitivo. Mas, você ainda tem que monitorar estas informações. Então, como fazer isso?
Felizmente, a ISO 27001 sugere uma alternativa: contato com grupos especiais, controle A.6.1.4 do Anexo A da norma.
O que são grupos especiais?
De forma geral, você pode definir um grupo especial como uma associação de indivíduos ou organizações com interesses ou atuando em uma área específica de conhecimento, onde os membros cooperam / trabalham para resolver problemas, produzir soluções e desenvolver conhecimento. Em nosso caso, esta área de conhecimento seria segurança da informação.
A 27001Academy, juntamente com a 9001Academy, 14001Academy e 20000Academy são exemplos de grupos especiais. Outros exemplos são fabricantes, fóruns especializados e associações profissionais. O Governo é outro exemplo de grupo especial (explicarei por que ele foi citado separadamente mais adiante).
Como grupos especiais pode ajudar minha organização?
Como disse ao início deste post, o SGSI de uma organização precise se manter atualizado com os requisitos de negócio e com os riscos organizacionais. Para cobrir estes assuntos, o controle A.6.1.4 do Anexo A sugere os seguintes pontos para que você possa identificar grupos especiais para ajudá-lo:
- Boas práticas adotadas pelo mercado: políticas, procedimentos, guias e checklists que você pode adaptar as necessidades da sua organização
- Tendências de Mercado e de segurança relacionadas ao seu setor de atuação: leis e regulamentações, requisitos de clientes e situações de fornecedores das quais sua organização tem que estar ciente o com as quais tem que estar em conformidade
- Notícias e alertas sobre ameaças, vulnerabilidades, ataques e correções: você precisa destas para verificar suas defesas, porque é melhor aprender com os erros de outros do que com os próprios, não concorda?
- Notícias relacionadas a novas tecnologias e produtos: o que você pode utilizar para melhorar sua segurança, ou para atingir o mesmo nível com menores custos e/ou esforços?
- Consultoria especializada: você pode não ter o conhecimento, ou tempo, para implementar a solução ou resolver o problema por conta própria, então que pode ajudá-lo?
- Apoio especializado para tratar com incidentes de segurança da informação (e.g., outras organizações, polícia, agências de segurança governamentais, etc.): quando você tem um problema e precisa resolvê-lo, quem pode ajudá-lo?
O governo como grupo especial é um caso à parte, por conta de seu acesso a recursos adicionais (como polícia, serviços de emergência, bombeiros, etc.), e, dependendo dos requisitos legais de cada país, seu envolvimento seja obrigatório.
Alguns destes pontos você pode identificar gratuitamente (acessando conteúdo público na Internet, inscrevendo-se em boletins regulares, ou identificando pessoas / cargos a serem contatados com associações profissionais ou agências governamentais), e para alguns você tem que pagar (serviços de consultoria ou de suporte de serviços). Contudo, para estes últimos casos seria recomendado estabelecer contato como potenciais fornecedores por meio de seu processo de aquisição (é sempre melhor ter um relacionamento prévio do que entrar em contato apenas em emergências).
Quais precauções devo tomar ao contatar grupos especiais?
Uma vez que a informação com a qual você estará trabalhando poderá ter grande impacto em seu SGSI (sobre a gestão e/ou controles de segurança), você deveria ser cuidadoso sobre com quais grupos especiais você interage, considerando:
- A qualidade da informação fornecida: Nem todos possuem informação precise ou atualizada (alguns apenas replicam notícias ou informações de outras fontes).
- A disponibilidade de informações: qual é a frequência de atualização das informações? Se a fonte que você usa leva muito tempo para atualizar suas informações, sua organização poderia ficar exposta a um problema ou a um risco por um período muito maior.
- A legitimidade da fonte: Nem todas as fontes são representantes autorizados daquele responsável pelas informações (e.g., fabricantes possuem fóruns específicos para se comunicar com clientes ou para disponibilizar correções). Outro caso é se outros pares na área de segurança reconhecem o grupo como uma fonte confiável de informações.
Nos casos onde você tem que enviar ou receber informações, certifique-se se existe um acordo sobre como informações compartilhadas serão protegidas.
Você não precise fazer todo o trabalho sozinho
Algumas pessoas pensam que a implementação de um SGSI é a parte mais complexa da gestão da segurança da informação. Elas não poderiam estar mais equivocadas. O esforço para manter o SGSI atualizado de acordo com as necessidades do negócio e o cenário de riscos é o verdadeiro desafio. Contudo, ele não deve, nem deveria ser feito apenas por sua equipe. Lembre-se, existem muitos grupos que podem ajudá-lo a manter seu Sistema como uma valiosa ferramenta para a sua organização.
Clique aqui para baixar um modelo gratuito de Lista de questões a fazer para um consultor de ISO 27001/ISO 22301 que o ajudarão a avaliar consultores em potencial.
Nós agradecemos a Rhand Leal pela tradução para o português.
