1.

INTRODUO

Em um mercado cada vez mais competitivo a empresa que quer

sobreviver com destaque frente a seus concorrentes e otimizar seus lucros
precisa se conscientizar que imprescindvel oferecer diferenciais e garantias
a seus clientes. Ter um Sistema de Gesto de Segurana da Informao bem
implementado fundamental para o sucesso da organizao.
Um SGSI um conjunto de processos e procedimentos que so
baseados na norma ISO/IEC 27001 e foi projetado para assegurar a seleo de
controles de segurana adequados e para proteger os ativos de informao,
alm de propiciar confiana s partes interessadas.
Esse sistema deve ser seguido por todos que se relacionam com a
infraestrutura de TI da organizao, como: funcionrios, prestadores de
servio, parceiros e terceirizados. O SGSI deve possuir obrigatoriamente o aval
e patrocnio da direo da organizao, caso contrrio ser um trabalho que ao
final no apresentar os resultados desejados, podendo inclusive prejudicar a
organizao.
Um Sistema de Gesto de Segurana da Informao no
necessariamente informatizado e torna-se interessante seu uso para qualquer
organizao, seja escolar, governamental, industrial ou outras atividades que
criam e manipulam informaes importantes pois os requisitos abordados na
norma so genricos e podem ser aplicados em todas as organizaes,
independentemente do tipo, tamanho ou natureza.
Este trabalho tem por objetivo apresentar um modelo de referncia para
a implementao de um SGSI.

2. SEGURANA DA INFORMAO

Antes de qualquer coisa necessrio entender que a informao um

ativo e que deve ser protegida e cuidada por meio de regras e procedimentos
atravs das polticas de segurana.
Um sistema de segurana da informao baseado em trs princpios
bsicos:

Confidencialidade;

Integridade;

Disponibilidade.

Se qualquer um destes for afetado a segurana da informao pode ser

comprometida.
Os benefcios e retorno do investimento ao estabelecer o SGSI podem
so notados quando a organizao consegue atravs do SGSI preservar os
trs princpios bsicos citados acima.

2.1. Confidencialidade
A confidencialidade a garantia de que a informao acessvel
somente por pessoas autorizadas a terem acesso (NBR ISO/IEC 27002:2005).
Caso a informao seja acessada por uma pessoa no autorizada,
intencionalmente ou no, ocorre a quebra da confidencialidade. A quebra desse
sigilo pode acarretar danos inestimveis para a organizao ou at mesmo
para uma pessoa fsica.

2.2. Integridade
A integridade a garantia de que a informao completa e exata.
Quando a informao alterada, falsificada ou furtada, ocorre quebra da
integridade. A integridade garantida quando se mantm a informao no seu
formato original.

2.3. Disponibilidade
A disponibilidade a garantia de que os usurios autorizados obtenham
acesso informao e aos ativos correspondentes sempre que necessrio.
Quando a informao est indisponvel para o acesso, considera-se um
incidente de segurana da informao por quebra de disponibilidade.

3. SISTEMA DE GESTO DE SEGURANA DA INFORMAO

A norma ISO 27001 estabelece diretrizes e princpios gerais para se
iniciar, implementar, manter e melhorar a gesto de segurana da informao
em uma organizao. Essa norma possui uma seo introdutria sobre o
processo de avaliao e tratamento de riscos e est dividida em sees, essas
totalizam trinta e nove categorias principais de segurana e cada categoria
contm um objetivo de controle e um ou mais controles que podem ser
aplicados, bem como algumas diretrizes e informaes adicionais para a sua
implementao. Um Sistema de Gesto de Segurana da Informao o
resultado da sua aplicao planejada, diretrizes, polticas, procedimentos,
modelos e outras medidas administrativas que, de forma conjunta, definem
como so reduzidos os riscos para a segurana da informao.

4. PRINCIPAIS ETAPAS
O Sistema de Gesto da Segurana da Informao e seus processos
relacionados devem ser desenvolvidos com o objetivo de garantir a segurana
dos ativos de informao, limitados a um determinado escopo. Sero
explicadas na sequencia as principais etapas para a implantao de um SGSI.

Definio de
escopo

Avaliao e
tratamento de
risco

Auditoria

Implementao
: plano de
remediao e
SGSI

4.1. Escopo
Nesta fase definido o mbito e as fronteiras do SGSI levando em
considerao as caractersticas do negcio, seus ativos e tecnologias, incluindo
detalhes e justificativas de quaisquer excluses do mbito do sistema
importante amarrar todos os pontos para evitar problemas e frustraes
futuras.

4.2. Avaliao e tratamento de risco

Nesse momento devem ser mapeadas todas as ameaas e

vulnerabilidades. importante uma avaliao cabal dos impactos bem como o
clculo de todos os riscos.
Tambm so identificados e definidos os controles a serem
implementados e seus objetivos bem como as justificativas dos controles
aplicados e no aplicados.
Nesta fase ocorre tambm a definio do plano de tratamento de riscos
e seus controles a fim de mitigar at ser atingido o Risco Mnimo Aceitvel.

4.3. Implementao
As melhorias do sistema so implementadas atravs de um plano de
ao baseado na anlise dos relatrios obtidos na fase anterior de avaliao e
tratamento com aes corretivas e preventivas. Durante esta fase deve-se
tambm elaborar documentao normativa de suporte, validar a documentao
elaborada e identificar potenciais controles no vislumbrados anteriormente.

4.4. Auditoria
Avaliar e quando aplicvel medir o desempenho de um processo em
relao poltica, objetivos e experincia, aps isso apresentar os resultados
para a anlise crtica pela direo.

Imput

Revis
o pela
Gesto

Output

Decises sobre:
Recursos
Riscos aceitveis
Alteraes
Requisitos legais, de negcio e
segurana

Em seguida so validados os controles identificados seguindo todos os

processos de auditoria (execuo, validao, emisso de relatrios), tambm
avaliada a maturidade e feitas comparaes com a avaliao inicial para ento
executar as aes corretivas e preventivas, com base nos resultados.

Aps o cumprimento de todas as etapas anteriores so apresentados os

resultados da auditoria.
Devem ser implantados processos de da auditoria interna do SGSI a fim
de proporcionar a melhoria contnua do mesmo.

5. Fatores importantes
5.1. Documentao
O SGSI possui um padro para o desenvolvimento de documentao que
garante a organizao e identificao dos documentos que o compem. Todos
os documentos devem respeitar este padro.

5.2. Responsabilidades
A Alta Administrao atua diretamente no projeto atravs seguintes aes:

Definio de uma Poltica de Segurana da Informao;

Definio dos objetivos de Segurana da Informao;

Definio de Papis e Responsabilidades;

Prover comunicao e treinamento;

Fornecimento dos recursos necessrios;

Definio das mtricas de aceitao do risco;

Realizao de anlise crtica peridica.

Todos os envolvidos no processo produtivo da organizao devem

possuir responsabilidades claras relacionadas segurana da informao e
especificadas na documentao.

6. CONCLUSO

Apesar da implementao do SGSI ser considerado por muitos um

processo burocrtico que engessa a operao com uma srie de processos e
controles, um SGSI bem estruturado traz tranquilidade a gesto, fazendo com
que os cuidados com a Segurana da Informao sejam compartilhados e
mantidos por todos colaboradores, direcionando de forma equilibrada os
esforos.
Embora a implementao dos processos que compe o SGSI possa
trazer muitos benefcios para a sua organizao, na maioria dos casos o
investimento ocorre por uma demanda do mercado, desta forma a preocupao
inicial de fato com a certificao em si e as novas oportunidades que esta ir
prover a organizao, do que com os benefcios providos pela certificao.
Vale lembrar que a implementao do SGSI no possui custos
exorbitantes uma vez que os custos operacionais so facilmente superados por
seus inmeros benefcios.

7. REFERNCIAS

SOUZA, Diego. SGSI (ISO 27001) Uma viso pragmtica! Disponvel em:
<http://safewayconsultoria.com/sgsi-iso-27001-uma-visao-pragmatica/>.
Acessado em 10 de dezembro de 2015.

ALMEIDA, Everton. Sistema de Gesto de Segurana da Informao (SGSI)

Parte I. Disponvel em: <http://www.tiespecialistas.com.br/2013/10/sistemagestao-seguranca-informacao-sgsi-i/>. Acessado em 10 de dezembro de 2015.

FAROLEIRO, Paulo. Sistemas de Gesto nas TIs: ISO27001 e ISO20000

Principais Etapas de Implementao. Disponvel em:
<http://www2.apcer.pt/arq/fich/NOVABASE_0.pdf>. Acessado em 10 de
dezembro de 2015.

NEIRA, Agustn. SPOHR, Javier. Sistema de Gestin de la Seguridad de la

Informacin. Disponvel em:
<http://www.iso27000.es/download/doc_sgsi_all.pdf>. Acessado em 10 de
dezembro de 2015.