• (0)
    ISO-27001-ISO-22301-blog

    Blog ISO 27001 e ISO 22301

    A segurança da informação deve se concentrar na proteção de ativos, conformidade ou governança corporativa?

    Tradicionalmente, a segurança da informação tem sido percebida como uma atividade que foi construída em torno da proteção de ativos de informações sensíveis – afinal, era isso que a primeira revisão (2005) da ISO 27001, e sua predecessora BS 7799-2, também enfatizavam. Essas normas exigiam que as empresas identificassem todos os ativos e, em seguida, construíssem as salvaguardas (ou seja, a defesas) em torno desses ativos.

    Mas, na última década, surgiram outras formas de olhar para a segurança da informação: sendo a segurança principalmente um trabalho de conformidade e que a segurança faz parte de um controle interno, isto é, parte da governança corporativa. (Nota: este post do blog adaptou o modelo apresentado no artigo Information assurance: Strategic alignment and competitive advantage.)

    Assim, qual destas três abordagens é a melhor de se usar?

    Segurança da informação como uma abordagem de proteção de ativos de informação / Segurança da TI

    Esta abordagem tradicional de proteger os ativos veio da filosofia que existe na segurança física há milhares de anos – você tem um ativo físico e, em seguida, constrói um perímetro de segurança à sua volta. (Veja também: Segurança Física na ISO 27001: Como proteger as áreas seguras.)

    Essa abordagem tradicional foi assumida principalmente por departamentos de TI que desenvolveram a tecnologia de segurança de TI – por exemplo, firewalls, proteção antivírus, sistemas de detecção de intrusos, etc. – em torno dos ativos que eles queriam proteger. (Veja também: Segurança da informação ou segurança de TI?)

    E essa abordagem funcionou bem para a segurança física; no entanto, o problema é que agora com serviços em nuvem, dispositivos móveis, insiders, backdoors, hackers, etc. – está se tornando realmente difícil definir o perímetro de segurança em torno de ativos de informações e depois construir os controles em torno deles; Obviamente, algo mais é necessário.

    Segurança da informação como um trabalho de conformidade

    Uma vez que a proteção de informações confidenciais corporativas e / ou privadas está se tornando uma questão muito importante, os governos – assim como os clientes – estão adotando uma abordagem mais proativa e definindo vários requisitos de segurança da informação por meio de leis, regulamentos e contratos. (Veja também: Como identificar os requisitos de partes interessadas do SGSI na ISO 27001.)

    E então, as empresas estão começando a se concentrar em cumprir todos esses requisitos – na maioria dos casos, isso é feito através da escrita de várias políticas e procedimentos, mas este tipo de abordagem “marcar o item ao escrever a documentação” não resolve a principal situação – como diminuir o número de incidentes de segurança ao tornar os processos nas empresas mais seguros.

    Segurança da informação como parte do controle interno / governança corporativa

    Esta abordagem é mais típica para as grandes organizações que querem saber exatamente quem é responsável pelo que, quais relatórios são enviados para quem, quem tem que tomar quais decisões, etc. Estes tipos de organizações basicamente querem reduzir o risco de algo dar errado, embora muitas vezes elas não tenham um processo formal de gestão de risco.

    Esta abordagem se encaixa muito bem com a abordagem de conformidade; no entanto, existem muitas empresas a tomar que assumem esta abordagem sem o “empurrão” da conformidade. A desvantagem desta abordagem é que a comunicação geralmente é de sentido único – a partir da sede da empresa para cada departamento – desta forma, é muito difícil de explicar para a alta gerência os problemas reais que são enfrentados nas operações do dia-a-dia quando se trata de ameaças, vulnerabilidades ou dificuldades de adoção de novas regras corporativas.

    Uma abordagem combinada

    Agora, a questão é: qual dessas três abordagens deve ser a sua guia? Se você olhar para a revisão 2013 da ISO 27001, então a resposta é: nenhuma. Ou, para ser mais preciso, a ISO 27001: 2013 exige que você misture todas essas abordagens em um único sistema de gerenciamento baseado na abordagem de risco. (Veja também: Avaliação e tratamento de riscos segundo a ISO 27001 – 6 etapas básicas.)

    A ISO 27001:2013 requer que você realize a avaliação e tratamento dos riscos, e escolha os controles mais apropriados para sua informação; ela também requer que você identifique todos os requisitos legais e regulatórios, e os requisitos de seus parceiros e clientes, para, em seguida, cumprir com os mesmos; finalmente, a ISO 27001: 2013 exige que você configure um sistema de gerenciamento com funções e responsabilidades claramente definidas, medição, relatórios e funções de auditoria interna.

    Então, qual é o ponto aqui? Não se deixe enganar ao ver uma dessas abordagens como sua principal filosofia de segurança da informação – o que seria um erro, porque você não seria capaz de proteger suas informações corretamente.

    Clique aqui para fazer o download gratuito do artigo:  Integration of Information Security, IT and Corporate Governance para aprender mais sobre como integrar a segurança da informação com outras funções da organização.

    Nós agradecemos a Rhand Leal pela tradução para o português.

    Advisera Dejan Kosutic
    Autor
    Dejan Kosutic
    Dejan possui um grande número de certificações, Consultor de Gestão Certificado, Auditor Líder ISO 27001, Auditor Líder ISO 9001 e Associate Business Continuity Professional. Dejan lidera nossa equipe na gestão de diversos websites especializados em apoiar profissionais de ISO e TI no entendimento e implementação bem sucedida de normas internacionais. Dejan obteve seu MBA na Henley Management College, e possui larga experiência e setores de investimento, seguro e bancário. Ele é reconhecido por sua expertise em normas internacionais para continuidade de negócio e segurança da informação – ISO 22301 e ISO 27001 – e pela autoria de diversos tutoriais web, kits de documentação e livros relacionados a estes assuntos.
    Tag: #ISO 27001