Este guia foi criado com o objetivo em dar uma sugestão prática para implantação do sistema de gestão da segurança da informação em sua organização, ele é baseado nas normas ISO 27001 e a 27002, ele tem a pretensão de mostrar as etapas importantes no processo de implantação da segurança da informação.
Uma questão importantíssima para o sucesso da implantação do Sistema de Gestão da Segurança da Informação é o real comprometimento da alta direção e das lideranças, esse fator é ponto crítico de sucesso do projeto, devemos também mudar o pensamento de que segurança da informação é responsabilidade somente da tecnologia da informação, ou seja, da área de TI, a segurança da informação é responsabilidade de todos na organização.
Então após a tomada de decisão por implantar o sistema de segurança de gestão da informação é importante definir como o projeto será coordenado, criar um comitê de segurança da informação com as responsabilidades bem definidas e aprovada pela alta direção e capacitar as pessoas envolvidas no escopo.
1. O QUE E COMO FAZER
- Responsável(eis)- Definir o responsável pela coordenação da implantação do sistema de Gestão da Segurança da informação, definir o encarregado de dados, que pode ser a mesma pessoa ou não.
- Criar um comitê de segurança da informação – esse comitê é formado por pessoas de vários departamentos que compõe o escopo, é um comitê multidisciplinar. Os membros precisam ser capacitados no entendimento da norma ISO 27001, importante conhecer a ISO 27002 que detalha melhor o anexo A da 27001, é fundamental que a equipe tenha conhecimento sobre gestão de riscos. As responsabilidades e autoridades deste comitê devem ser formalizadas e aprovadas pela alta direção.
- Sensibilização – Realizar uma reunião com as lideranças e explicar como será conduzido todo o processo de implantação, o papel e a importância de cada um para o sucesso do projeto. Explicar que todos serão envolvidos e em que fase e como isso vai acontecer. Essa sensibilização pode se estender a todos os colaboradores.
- Aquisição da norma – A ISO 27001 faz parte de um conjunto de normas técnicas que estabelecem diretrizes e padrões para criação de um sistema de gestão da segurança da informação. Esse conjunto de normas é formado por várias normas, mas as normas que indico para ser adquiridas são as seguintes: a ISO 27001 Sistema de Gestão da Segurança da Informação – norma de requisitos, ISO 27002 Código de Práticas para Controle da Segurança da Informação e a ISO 27005 Gestão de Risco de Segurança da Informação. As demais ficam a critério da organização. Essas normas podem ser compradas nos seguintes links: https://www.abntcatalogo.com.br/ ou https://www.target.com.br/.
- Treinar e capacitar – É fundamental e importante capacitar as pessoas envolvidas diretamente no processo de implantação do sistema de gestão da segurança da informação com o treinamento de leitura e interpretação da norma ISO 27001 e gestão de riscos. E quando o projeto estiver mais adiantado a empresa pode fazer a formação da equipe de auditor interno. Esses treinamentos são fundamentais, para que as pessoas envolvidas tenham condições de compreender os requisitos da norma, e como os mesmos devem ser interpretados e implementados nos processos e atividades que compõe o escopo, realizar a identificar os riscos e oportunidades, fazer a auditoria interna no Sistema de Gestão. Toda essa capacitação vem a facilitar e maximizar o tempo de implantação. A Qualimaster já treinou inúmeras pessoas, nas modalidades presencial, online ao vivo e EAD, nossos treinamentos são práticos, com exercícios e cases.
- Cronograma – Após a definição do coordenador do projeto, sensibilização dos envolvidos, aquisição da norma e capacitação da equipe, é hora de colocar em prática, como diz no popular, colocar a “mão na massa”. Para isso é necessário reunir o comitê, fazer um cronograma com as atividades, prazo e responsáveis pelas tarefas, isso é importante que seja feito e compartilhado com as pessoas envolvidas diretamente para que saibam o que será feito, como será feito, quem fará e quando. Para esse planejamento pode usar a ferramenta de 5W2H.
- Definir escopo do Sistema de Gestão da Segurança da Informação – a definição do escopo, seus limites e justificativas do que se aplica e o do que não se aplica ao escopo, são tarefas importantíssimas, dessa definição depende todo o esforço de trabalho e recursos necessários, como exemplo: gestão de ativos, gestão de riscos, políticas de controle, política do sistema de gestão de segurança da informação e terceirizados. A definição do escopo também é importante para que o comitê de gestão de segurança, gestor do SGSI e encarregado de dados possam entender o que se aplica ao sistema de gestão de segurança da informação e o que não se aplica, pois o documento de aplicabilidade conhecida também como SOA é elaborada tendo como base os controles que se aplicam e onde se aplicam ao escopo.
- Informação documentada – Definir o padrão de documentação, controle, emissão, revisão, aprovação e atualização. Definir essa metodologia de controle dos documentos e procedimentos da empresa é importante, pois todas as documentações geradas durante o processo de implementação já serão colocadas neste padrão e controladas, evitando assim desorganização na criação e controle das informações que forem criadas. O importante é que a empresa tenha uma forma de garantir que toda documentação seja controlada, atualizada e esteja disponível em seu local de uso e acessada quando necessário, como estamos falando em segurança da informação é fundamental que toda a documentação do sistema seja identificada com a classificação da informação e a política de como classificar as informações seja elaborada. Existem vários softwares de gestão de documentos que faz a gestão da documentação do sistema de gestão de segurança da informação, porém não é obrigatório, cada empresa pode usar a forma que for melhor para ela, desde que garanta o controle, segurança e atualização dos documentos do Sistema de Gestão da Segurança da informação. Uma dica para padronizar a documentação: criar um modelo com a logomarca da empresa, título do documento(nome), código e número de versão e a classificação da informação.
- O controle da atualização da documentação é feito pelo número da versão do mesmo. Outro aspecto importante é o controle de acesso e alteração de documentos, deve ficar bem definido quem emite documento, quem altera e revisa, e quem aprova e como será a distribuição dos mesmos.
- Contexto da organização – Para entender o contexto da organização pode ser por meio de um workshop com a lideranças e alta direção. Nesse momento se realiza a avaliação dos ambientes internos e externo que a organização está inserida, para essa avaliação é sugerida a metodologia do SWOT, que é muito conhecida e fácil de utilizar. Também nesse evento é feito a Identificação dos requisitos das partes interessadas e definida a política de segurança da informação. Os riscos e oportunidades identificados na análise do contexto são os riscos e oportunidades relevantes ao SGSI como um todo. Considerado de primeira categoria, que está explicado mais adiante.
Como a figura abaixo:
- Escopo do Sistema de Gestão – O escopo determina o que está coberto pelo sistema, seu limite, justificativas e aplicabilidade. Qualquer não aplicabilidade deve ser justificada e documentada, pode ser no manual de SGSI se a organização optar por ter um, a norma não obriga e existência de manual. No escopo ficam especificados os processos, atividades que fazem parte do sistema de gestão de segurança da informação como citado anteriormente. As interfaces e dependências entre as atividades desempenhadas pela organização e aquelas que são desempenhadas por outra organização devem ser identificadas também.
- SISTEMA DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO – Estruturar o sistema de gestão de segurança da informação de acordo com os requisitos aplicáveis ao escopo. A demonstração da estruturação do SGSI pode ser feita através do manual do SGSI, onde pode citar os requisitos aplicáveis e como a organização atende cada requisito, podendo citar os nomes dos documentos, tais como: procedimentos, planilhas, formalários e politicas que detalham o atendimento dos requisitos. Exemplo o escopo pode ser documentado neste manual, a politica de segurança de alto nivel também pode ser documentada neste manual, os objetivos e demais requisitos da norma.
- Liderança – desenvolver método e sistemática de demonstrar o comprometimento da a alta direção em relação ao sistema de gestão da segurança da informação. A alta direção deve demonstrar seu comprometimento da seguinte forma:
- Assegurando que a politíca de segurança da informação e os objetivos de segurança da informaçao estão estabelecidos e são compatíveis com o direcionamento estratégico da organização, ou seja estar alinhada com o estudo do contexto da organização;
- Garantir a integração dos requisitos do sistema de gestão da segurança da informação dentro dos processos da empresa. Garantir que os requisitos aplicáveis ao escopo estejam sendo implementados e mantidos nos processos da organização;
- Assegurar e disponibilizar os recursos necessários para o sistema de gestão da segurança da informação;
- Comunicar a importância de uma eficaz gestão da segurança da informação e da conformidade com os requisitos do sistema de gestão da segurança da informação;
- Assegurar que o sistema de gestão da segurança da informação alcança seus resultados pretendidos, que os objetivos do SGSI sejam alcançados;
- Orientar e apoiar as pessoas para contribuir com a eficacia do sistema de gestão da segurança da informação;
- Promover a melhoria continua do sistema e
- Apoiar outros papéis relevantes da gestão para demostrar como sua liderança se aplica as áreas sob sua responsabilidade.
- Política de segurança da informação – A política de alto nível do sistema de gestão da segurança da informação deve ser definida e aprovada pela alta direção e ser apropriada ao propósito da organização, ou seja, ao que a empresa faz, sua missão. Essa política deve também demonstrar o compromisso da alta direção em atender aos requisitos legais aplicáveis relacionados a segurança da informação e com a melhoria continua do sistema de gestão da segurança da informação, a política deve ser planejada por meio dos objetivos do sistema gestão de segurança da informação. A política de segurança da informação descreve a importância estratégica do SGSI para a organização e é uma informação documentada, ela direciona as atividades de segurança da informação dentro da empresa. A política declara quais as necessidades de segurança da informação dentro do contexto atual da empresa. Ela pode ser especifica para um escopo do SGSI ou pode ter uma cobertura mais ampla. É importante que todos os outros procedimentos, políticas, objetivos e atividades sejam alinhados a política de segurança da informação.
- Responsabilidade, autoridades e papeis – A alta direção deve atribuir e comunicar as responsabilidades, autoridades e papeis por toda a organização. A finalidade desta atribuição é para assegurar a conformidade do SGSI com os requisitos da norma ISO 27001 e para que seja relatado o desempenho do sistema a alta direção.
Algumas responsabilidades autoridades a serem atribuídas:
Quem é responsável por coordenar o estabelecimento, implementação, manutenção, relatório de desempenho, e melhoria do SGSI. Quem é responsável por fazer a avaliação e tratamento de risco, gerenciar incidentes de segurança da informação, analisar e auditar o SGSI, dentre outras responsabilidades que estão mais especificadas na ISO 27003. As atribuições das autoridades e responsabilidades podem ser demonstradas por uma matriz com nome do cargo e as atribuições.
- Planejamento – A ISO 27001 em 6.1 requer o planejamento de ações que atendam aos riscos e oportunidades relevantes ao SGSI. Existe duas categorias de riscos, a primeira são os riscos e oportunidades relevantes ao SGSI como um todo. Os riscos que se enquadram nessa primeira categoria são os riscos relacionados ao SGSI, como: definição de escopo, comprometimento da alta direção na segurança da informação, recursos disponíveis para a operação da sistema, as oportunidade podem ser relativas a resultados do SGSI, valor comercial do um SGSI, eficiências dos processos e informações e controles de segurança em operação do sistema. A segunda categoria consistem em todos os riscos que se relaciona diretamente com a perda da confidencialidade, integridade e disponibilidade da informação no escopo do sistema de segurança da informação.
A avaliação dos riscos da primeira categoria é realizada conforme o item 4.1 e 4.2 da ISO 27001 – contexto da organização e partes interessadas. A segunda categoria é avaliada os riscos da segurança da informação para isso é definido um processo de avaliação de risco que: estabelece e mantém critérios de avaliação e aceitação de risco, incluindo nesses critérios as consequências e probabilidade e regras para determinação do nível de risco. Para os riscos considerados não aceitáveis tem que haver plano de tratamento e controle. Exemplo: Esse levantamento e tratamento de risco pode ser feito em planilhas, onde lista os processos, atividades e identificando os riscos. Importante elaborar um procedimento com os critérios de classificação dos riscos, considerando no minimo a probabilidade e consequência.
Como a figura abaixo:
- Apoio – Recurso é fundamental para realizar qualquer tipo de operação, os recursos podem ser pessoas capacitadas e conscientizadas, tempo, financeiro, informações, infraestrutura e outros meios que possam ser adquiridos ou construído como tecnologia, ferramentas e materiais. A organização deve demonstrar que os recursos necessários são disponibilizados ao SGSI. A forma como isso é demonstrado varia de empresa para empresa, um exemplo é uma planilha com todos os investimentos, ou em software de gestão financeira, ERP.
- Operação – os processos que a organização usa para cumprir seus requisitos de segurança da informação devem ser planejados e implementados, controlados e alterados quando necessários. Processos para atender os requisitos do sistema de segurança da informação incluem por exemplo: processo de análise crítica, auditoria interna, processo para implementação de tratamento de risco, gerenciamento de incidentes, gestão de ativos e planejamento e controle de processos terceirizados. Relatórios de estruturas, como: relatório de incidentes, relatórios da medição dos objetivos de segurança da informação etc.
- Avaliação de desempenho – o objetivo da medição e monitoramento é ajudar a organização a avaliar se os resultados pretendidos do sistema de gestão de segurança da informação foram alcançados conforme planejado.
Para o monitoramento e medição a organização deve determinar o que deve ser medido e monitorado no sistema:
- Determinar o que precisa ser medido e monitorado, elaborar o método de monitoramento, medição, análise e avaliação;
- Elaborar a sistemática de auditoria interna
- Executar a auditoria interna, para a execução da auditoria convém que seja realizada de forma imparcial e independente e por pessoal qualificado;
- Elaborar a sistemática de análise crítica pela direção, a análise crítica deve ter realizado em intervalos planejados e avaliar no mínimo a pauta que a norma determina
- Executar a análise crítica pela direção, a forma como essa avaliação ocorre cada empresa pode definir, normalmente é realizada por meio de reunião, onde as lideranças avaliam criticamente o sistema;
- Melhoria – determinar a metodologia de análise e melhoria do sistema
- Elaborar e implementar metodologia para identificar e reter as oportunidades de melhoria e implementar quaisquer ações necessárias.
- Anexo A – Norma que melhor detalha o anexo A é a 27002, recomendo o estudo desta norma para a elaboração das politicas de controles e o SOA – documento de aplicabilidade. O SOA é elaborado fazendo uma análise em conjunto com o mapa de riscos, verificando os riscos levantados e os controles necessários para o tratamento dos mesmos. Esta norma 27002 contém 14 seções de controles de segurança da informação de um total de 35 Objetivos de controles e 114 controles.