O estado da arte em sistemas de gestão da segurança

da Informação: Norma ISO/IEC 27001:2005

Roosevelt de Holanda
Data - 19 Jan 2006
Fonte - Módulo Security Magazine www.modulo.com.br

Cada vez mais, a segurança torna-se um dos temas mais relevantes para
gestores de TI. Um verdadeiro arsenal de regulamentações, metodologias e
certificações, associado a um grande aparato de ferramentas de hardware,
software e sistemas de prevenção está em permanente ebulição.

Reflexo disso é o lançamento de novas normas, como a ISO/IEC 27001,

publicada em Outubro do ano passado e recentemente posta em consulta pública
pela ABNT-Associação Brasileira de Normas Técnicas, representante da ISO no
Brasil. O processo de consulta pública constitui a última parte do Projeto de
Revisão da Norma. Nesta etapa, comentários e sugestões de correção podem ser
enviadas pelo público em geral. A ISO/IEC 27001, que substitui a norma BS-7799
parte 2, é a norma que trata de Sistemas de Gestão de Segurança da Informação.
Sua utilização está diretamente relacionada à ISO/IEC 17799:2005, publicada em
agosto de 2005.

A nova família da série ISO IEC 27000-27009 está relacionada com os requisitos
mandatários da ISO/IEC 27001:2005, como, por exemplo, a definição do escopo
do Sistema de Gestão da Segurança da Informação, a avaliação de riscos, a
identificação de ativos e a eficácia dos controles implementados.

As normas são criadas para estabelecer diretrizes e princípios para melhorar a

gestão de segurança nas empresas e organizações. Ariosto Farias Jr., delegado
do Brasil no Comitê Internacional da ISO/IEC 17799, acredita que uma das
explicações para a tendência de adoção de normas é que cada vez mais no
mundo dos negócios percebe-se, a importância de se proteger as informações,
além do fato de que a informação é um ativo essencial para os negócios de
qualquer organização.

Segundo Ariosto, isto se torna especialmente importante a partir do grande

aumento das interconectividades no ambiente dos negócios, onde a informação
está, de modo crescente, exposta a um elevado número de ameaças e
vulnerabilidades.

"A publicação da ISO/IEC 27001:2005 é hoje considerado um grande evento no

mundo da segurança da informação, tendo sido aguardada ansiosamente pelo
mercado", diz. Em sua opinião, ela apóia na proteção das informações contra
ameaças e vulnerabilidades, minimizando riscos, assegurando a continuidade dos
negócios, o atendimento aos requisitos legais e regulamentares, ao mesmo tempo
em que preserva a imagem e a reputação da organização. A proteção é feita a
partir da implementação de uma série de controles como, por exemplo, políticas,
procedimentos, recursos de software e de hardware, contemplando pessoas,
processos e sistemas de TI.

Ariosto chama atenção para alguns pontos que considera relevantes: "Deve-se
deixar claro que nem todos os controles são aplicados a uma organização e que,
a depender da situação, controles adicionais podem ser recomendados. Convém
também esclarecer que a implantação dos controles da ISO/IEC 27001:2005 não
garante, sob hipótese alguma, 100% de segurança. O que se procura, isto sim, é
reduzir os riscos a um nível aceitável pela organização", lembra.

Ele lembra ainda que as informações críticas e sensíveis de uma organização

podem estar, por exemplo, armazenadas em meio eletrônico, escritas em papel,
faladas em conversas, ou transmitidas por meios eletrônicos. Para proteger suas
informações sensíveis e críticas, a maioria das organizações, independentemente
do seu porte ou ramo de atuação, podem fazer uso da norma ISO/IEC
27001:2005.

"A publicação da ISO/IEC 27001:2005 demonstra a importância conquistada pela

Segurança da Informação, que passa a ser percebida como estratégica para o
negócio de qualquer companhia. Um dos resultados do fortalecimento desta
norma será o aumento do interesse das organizações em obter um certificado
aceito e reconhecido mundialmente, a exemplo do que aconteceu com a ISO 9001
para qualidade e a ISO 14001, para meio ambiente", diz Fernando Nery,
sócio-fundador da Módulo Security.

Como forma de dar suporte à implantação da ISO/IEC 27001:2005, o Comitê que

trata da segurança da informação decidiu pela criação de uma família de normas
sobre gestão da segurança da informação. Esta família foi batizada pela série
27000.

Na última reunião do Comitê da ISO IEC, realizada em novembro passado em

Kuala Lumpur, Malásia, foram aprovadas as seguintes normas e projetos de
norma da nova família, com os estágios de desenvolvimento de uma norma ISO
IEC como apresentados a seguir:

NÚMERO: ISO IEC NWIP 27000

TÍTULO: Information Security Management Systems ¿ Fundamentals and
Vocabulary APLICAÇÃO: Este projeto de norma tem como objetivo apresentar os
principais conceitos e modelos relacionados com segurança da informação
SITUAÇÃO:Este projeto de norma encontra-se ainda nos primeiros estágios de
desenvolvimento, denominado de NWIP-New Work Item Proposal. A previsão
para publicação como norma internacional é 2008-2009

NÚMERO: ISO IEC 27001:2005

TÍTULO: Information Security Management Systems- Requirements SITUAÇÃO:
Norma aprovada e publicada pela ISO em Genebra, em 15.10.2005. No Brasil, a
ABNT publicará como Norma Brasileira NBR ISO IEC 27001 no primeiro trimestre
de 2006. APLICAÇÃO: Esta norma é aplicável a qualquer organização,
independente do seu ramo de atuação, e define requisitos para estabelecer,
implementar, operar, monitorar, revisar, manter e melhorar um Sistema de Gestão
de Segurança da Informação. A ISO IEC 27001 é a norma usada para fins de
certificação e substitui a norma Britânica BS 7799-2:2002. Portanto, uma
organização que deseje implantar um SGSI deve adotar como base a ISO IEC
27001.

NÚMERO: ISO IEC 27002:2005

TÍTULO: Information Technology ¿ Code of practice for information Security
Management SITUAÇÃO: Norma aprovada e publicada pela ISO em Genebra, em
15.06.2005. No Brasil, a ABNT publicou como Norma Brasileira NBR ISO IEC
17799 no dia 24 de agosto de 2005 APLICAÇÃO: Esta norma é um guia prático
que estabelece diretrizes e princípios gerais para iniciar, implementar, manter e
melhorar a gestão de segurança da informação em uma organização. Os objetivos
de controle e os controles definidos nesta norma têm como finalidade atender aos
requisitos identificados na análise/avaliação de riscos

NÚMERO: ISO IEC 1 st WD 27003

TÍTULO: Information Security Management Systems-Implementation Guidance
SITUAÇÃO: Este projeto de norma encontra-se em um estágio de
desenvolvimento, denominado de WD-Working Draft. A previsão para publicação
como norma internacional é 2008-2009 APLICAÇÃO: Este projeto de norma tem
como objetivo fornecer um guia prático para implementação de um Sistema de
Gestão da Segurança da Informação, baseado na ISO IEC 27001

NÚMERO: ISO IEC 2nd WD 27004

TÍTULO: Information Security Management-Measurements SITUAÇÃO: Este
projeto de norma encontra-se em um estágio onde vários comentários já foram
discutidos e incorporados ao projeto. A previsão para publicação como norma
internacional é 2008-2009 APLICAÇÃO: Este projeto de norma fornece diretrizes
com relação a técnicas e procedimentos de medição para avaliar a eficácia dos
controles de segurança da informação implementados, dos processos de
segurança da informação e do Sistema de Gestão da Segurança da Informação.

NÚMERO: ISO IEC 2nd CD 27005

TÍTULO: Information Security Management Systems- Information Security Risk
Management SITUAÇÃO: Este projeto de norma já se encontra em um estágio
mais avançado, pois vem sendo discutido há mais de dois anos. A previsão para
publicação como norma internacional é 2007. APLICAÇÃO: Este projeto de
norma fornece diretrizes para o gerenciamento de riscos de segurança da
informação.

Copyright © 2006 Módulo Security Solutions

S.A. www.modulo.com.br