Você está na página 1de 3

O estado da arte em sistemas de gesto da segurana

da Informao: Norma ISO/IEC 27001:2005


Roosevelt de Holanda
Data - 19 Jan 2006
Fonte - Mdulo Security Magazine www.modulo.com.br

Cada vez mais, a segurana torna-se um dos temas mais relevantes para
gestores de TI. Um verdadeiro arsenal de regulamentaes, metodologias e
certificaes, associado a um grande aparato de ferramentas de hardware,
software e sistemas de preveno est em permanente ebulio.

Reflexo disso o lanamento de novas normas, como a ISO/IEC 27001,


publicada em Outubro do ano passado e recentemente posta em consulta pblica
pela ABNT-Associao Brasileira de Normas Tcnicas, representante da ISO no
Brasil. O processo de consulta pblica constitui a ltima parte do Projeto de
Reviso da Norma. Nesta etapa, comentrios e sugestes de correo podem ser
enviadas pelo pblico em geral. A ISO/IEC 27001, que substitui a norma BS-7799
parte 2, a norma que trata de Sistemas de Gesto de Segurana da Informao.
Sua utilizao est diretamente relacionada ISO/IEC 17799:2005, publicada em
agosto de 2005.

A nova famlia da srie ISO IEC 27000-27009 est relacionada com os requisitos
mandatrios da ISO/IEC 27001:2005, como, por exemplo, a definio do escopo
do Sistema de Gesto da Segurana da Informao, a avaliao de riscos, a
identificao de ativos e a eficcia dos controles implementados.

As normas so criadas para estabelecer diretrizes e princpios para melhorar a


gesto de segurana nas empresas e organizaes. Ariosto Farias Jr., delegado
do Brasil no Comit Internacional da ISO/IEC 17799, acredita que uma das
explicaes para a tendncia de adoo de normas que cada vez mais no
mundo dos negcios percebe-se, a importncia de se proteger as informaes,
alm do fato de que a informao um ativo essencial para os negcios de
qualquer organizao.

Segundo Ariosto, isto se torna especialmente importante a partir do grande


aumento das interconectividades no ambiente dos negcios, onde a informao
est, de modo crescente, exposta a um elevado nmero de ameaas e
vulnerabilidades.

"A publicao da ISO/IEC 27001:2005 hoje considerado um grande evento no


mundo da segurana da informao, tendo sido aguardada ansiosamente pelo
mercado", diz. Em sua opinio, ela apia na proteo das informaes contra
ameaas e vulnerabilidades, minimizando riscos, assegurando a continuidade dos
negcios, o atendimento aos requisitos legais e regulamentares, ao mesmo tempo
em que preserva a imagem e a reputao da organizao. A proteo feita a
partir da implementao de uma srie de controles como, por exemplo, polticas,
procedimentos, recursos de software e de hardware, contemplando pessoas,
processos e sistemas de TI.

Ariosto chama ateno para alguns pontos que considera relevantes: "Deve-se
deixar claro que nem todos os controles so aplicados a uma organizao e que,
a depender da situao, controles adicionais podem ser recomendados. Convm
tambm esclarecer que a implantao dos controles da ISO/IEC 27001:2005 no
garante, sob hiptese alguma, 100% de segurana. O que se procura, isto sim,
reduzir os riscos a um nvel aceitvel pela organizao", lembra.

Ele lembra ainda que as informaes crticas e sensveis de uma organizao


podem estar, por exemplo, armazenadas em meio eletrnico, escritas em papel,
faladas em conversas, ou transmitidas por meios eletrnicos. Para proteger suas
informaes sensveis e crticas, a maioria das organizaes, independentemente
do seu porte ou ramo de atuao, podem fazer uso da norma ISO/IEC
27001:2005.

"A publicao da ISO/IEC 27001:2005 demonstra a importncia conquistada pela


Segurana da Informao, que passa a ser percebida como estratgica para o
negcio de qualquer companhia. Um dos resultados do fortalecimento desta
norma ser o aumento do interesse das organizaes em obter um certificado
aceito e reconhecido mundialmente, a exemplo do que aconteceu com a ISO 9001
para qualidade e a ISO 14001, para meio ambiente", diz Fernando Nery,
scio-fundador da Mdulo Security.

Como forma de dar suporte implantao da ISO/IEC 27001:2005, o Comit que


trata da segurana da informao decidiu pela criao de uma famlia de normas
sobre gesto da segurana da informao. Esta famlia foi batizada pela srie
27000.

Na ltima reunio do Comit da ISO IEC, realizada em novembro passado em


Kuala Lumpur, Malsia, foram aprovadas as seguintes normas e projetos de
norma da nova famlia, com os estgios de desenvolvimento de uma norma ISO
IEC como apresentados a seguir:

NMERO: ISO IEC NWIP 27000


TTULO: Information Security Management Systems Fundamentals and
Vocabulary APLICAO: Este projeto de norma tem como objetivo apresentar os
principais conceitos e modelos relacionados com segurana da informao
SITUAO:Este projeto de norma encontra-se ainda nos primeiros estgios de
desenvolvimento, denominado de NWIP-New Work Item Proposal. A previso
para publicao como norma internacional 2008-2009

NMERO: ISO IEC 27001:2005


TTULO: Information Security Management Systems- Requirements SITUAO:
Norma aprovada e publicada pela ISO em Genebra, em 15.10.2005. No Brasil, a
ABNT publicar como Norma Brasileira NBR ISO IEC 27001 no primeiro trimestre
de 2006. APLICAO: Esta norma aplicvel a qualquer organizao,
independente do seu ramo de atuao, e define requisitos para estabelecer,
implementar, operar, monitorar, revisar, manter e melhorar um Sistema de Gesto
de Segurana da Informao. A ISO IEC 27001 a norma usada para fins de
certificao e substitui a norma Britnica BS 7799-2:2002. Portanto, uma
organizao que deseje implantar um SGSI deve adotar como base a ISO IEC
27001.

NMERO: ISO IEC 27002:2005


TTULO: Information Technology Code of practice for information Security
Management SITUAO: Norma aprovada e publicada pela ISO em Genebra, em
15.06.2005. No Brasil, a ABNT publicou como Norma Brasileira NBR ISO IEC
17799 no dia 24 de agosto de 2005 APLICAO: Esta norma um guia prtico
que estabelece diretrizes e princpios gerais para iniciar, implementar, manter e
melhorar a gesto de segurana da informao em uma organizao. Os objetivos
de controle e os controles definidos nesta norma tm como finalidade atender aos
requisitos identificados na anlise/avaliao de riscos

NMERO: ISO IEC 1 st WD 27003


TTULO: Information Security Management Systems-Implementation Guidance
SITUAO: Este projeto de norma encontra-se em um estgio de
desenvolvimento, denominado de WD-Working Draft. A previso para publicao
como norma internacional 2008-2009 APLICAO: Este projeto de norma tem
como objetivo fornecer um guia prtico para implementao de um Sistema de
Gesto da Segurana da Informao, baseado na ISO IEC 27001

NMERO: ISO IEC 2nd WD 27004


TTULO: Information Security Management-Measurements SITUAO: Este
projeto de norma encontra-se em um estgio onde vrios comentrios j foram
discutidos e incorporados ao projeto. A previso para publicao como norma
internacional 2008-2009 APLICAO: Este projeto de norma fornece diretrizes
com relao a tcnicas e procedimentos de medio para avaliar a eficcia dos
controles de segurana da informao implementados, dos processos de
segurana da informao e do Sistema de Gesto da Segurana da Informao.

NMERO: ISO IEC 2nd CD 27005


TTULO: Information Security Management Systems- Information Security Risk
Management SITUAO: Este projeto de norma j se encontra em um estgio
mais avanado, pois vem sendo discutido h mais de dois anos. A previso para
publicao como norma internacional 2007. APLICAO: Este projeto de
norma fornece diretrizes para o gerenciamento de riscos de segurana da
informao.

Copyright 2006 Mdulo Security Solutions


S.A. www.modulo.com.br