Um Sistema de Gest\u00e3o de Seguran\u00e7a da Informa\u00e7\u00e3o (SGSI) \u00e9 apenas t\u00e3o bom quanto for a sua habilidade em manter-se atualizado com os requisitos do neg\u00f3cio e de prover prote\u00e7\u00e3o adequada contra os riscos aos quais a organiza\u00e7\u00e3o est\u00e1 exposta. Para conseguir isso, informa\u00e7\u00f5es sobre o ambiente devem ser avaliadas constantemente, mas quem far\u00e1 isso? E mais, onde esta informa\u00e7\u00e3o pode ser encontrada?<\/p>\n
A verdade \u00e9 que ningu\u00e9m em sua organiza\u00e7\u00e3o, nem mesmo equipes dedicadas, podem fazer isso sozinhas. Com o uso de informa\u00e7\u00f5es cr\u00edticas tornando-se cada vez mais abrangente (atrav\u00e9s de, por exemplo, trabalho remoto, equipes virtuais, etc.), as demandas de TI tornam-se cada vez mais complexas, e o SGSI e necessidades de seguran\u00e7a tamb\u00e9m. Isto significa que o n\u00edvel de esfor\u00e7o requerido para cobrir informa\u00e7\u00f5es relacionadas a todos os aspectos de seguran\u00e7a de sua organiza\u00e7\u00e3o tornaria o custo proibitivo. Mas, voc\u00ea ainda tem que monitorar estas informa\u00e7\u00f5es. Ent\u00e3o, como fazer isso?<\/p>\n
Felizmente, a ISO 27001<\/a>\u00a0sugere uma alternativa: contato com grupos especiais, controle A.6.1.4 do Anexo A da norma.<\/p>\n De forma geral, voc\u00ea pode definir um grupo especial como uma associa\u00e7\u00e3o de indiv\u00edduos ou organiza\u00e7\u00f5es com interesses ou atuando em uma \u00e1rea espec\u00edfica de conhecimento, onde os membros cooperam \/ trabalham para resolver problemas, produzir solu\u00e7\u00f5es e desenvolver conhecimento. Em nosso caso, esta \u00e1rea de conhecimento seria seguran\u00e7a da informa\u00e7\u00e3o.<\/p>\n A 27001Academy<\/a>, juntamente com a 9001Academy<\/a>, 14001Academy<\/a> e 20000Academy<\/a> s\u00e3o exemplos de grupos especiais. Outros exemplos s\u00e3o fabricantes, f\u00f3runs especializados e associa\u00e7\u00f5es profissionais. O Governo \u00e9 outro exemplo de grupo especial (explicarei por que ele foi citado separadamente mais adiante).<\/p>\n Como disse ao in\u00edcio deste post, o SGSI de uma organiza\u00e7\u00e3o precise se manter atualizado com os requisitos de neg\u00f3cio e com os riscos organizacionais. Para cobrir estes assuntos, o controle A.6.1.4 do Anexo A sugere os seguintes pontos para que voc\u00ea possa identificar grupos especiais para ajud\u00e1-lo:<\/p>\n O governo como grupo especial \u00e9 um caso \u00e0 parte, por conta de seu acesso a recursos adicionais (como pol\u00edcia, servi\u00e7os de emerg\u00eancia, bombeiros, etc.), e, dependendo dos requisitos legais de cada pa\u00eds, seu envolvimento seja obrigat\u00f3rio.<\/p>\n Alguns destes pontos voc\u00ea pode identificar gratuitamente (acessando conte\u00fado p\u00fablico na Internet, inscrevendo-se em boletins regulares, ou identificando pessoas \/ cargos a serem contatados com associa\u00e7\u00f5es profissionais ou ag\u00eancias governamentais), e para alguns voc\u00ea tem que pagar (servi\u00e7os de consultoria ou de suporte de servi\u00e7os). Contudo, para estes \u00faltimos casos seria recomendado estabelecer contato como potenciais fornecedores por meio de seu processo de aquisi\u00e7\u00e3o (\u00e9 sempre melhor ter um relacionamento pr\u00e9vio do que entrar em contato apenas em emerg\u00eancias).<\/p>\n Uma vez que a informa\u00e7\u00e3o com a qual voc\u00ea estar\u00e1 trabalhando poder\u00e1 ter grande impacto em seu SGSI (sobre a gest\u00e3o e\/ou controles de seguran\u00e7a), voc\u00ea deveria ser cuidadoso sobre com quais grupos especiais voc\u00ea interage, considerando:<\/p>\n Nos casos onde voc\u00ea tem que enviar ou receber informa\u00e7\u00f5es, certifique-se se existe um acordo sobre como informa\u00e7\u00f5es compartilhadas ser\u00e3o protegidas.<\/p>\n Algumas pessoas pensam que a implementa\u00e7\u00e3o de um SGSI \u00e9 a parte mais complexa da gest\u00e3o da seguran\u00e7a da informa\u00e7\u00e3o. Elas n\u00e3o poderiam estar mais equivocadas. O esfor\u00e7o para manter o SGSI atualizado de acordo com as necessidades do neg\u00f3cio e o cen\u00e1rio de riscos \u00e9 o verdadeiro desafio. Contudo, ele n\u00e3o deve, nem deveria ser feito apenas por sua equipe. Lembre-se, existem muitos grupos que podem ajud\u00e1-lo a manter seu Sistema como uma valiosa ferramenta para a sua organiza\u00e7\u00e3o.<\/p>\n Clique aqui para baixar um modelo gratuito de <\/em>Lista de quest\u00f5es a fazer para um consultor de ISO 27001\/ISO 22301<\/a>\u00a0que o ajudar\u00e3o a avaliar consultores em potencial.<\/em><\/p>\nO que s\u00e3o grupos especiais?<\/h2>\n
Como grupos especiais pode ajudar minha organiza\u00e7\u00e3o?<\/h2>\n
\n
Quais precau\u00e7\u00f5es devo tomar ao contatar grupos especiais?<\/h2>\n
\n
Voc\u00ea n\u00e3o precise fazer todo o trabalho sozinho<\/h2>\n