Você sabe o que é a ISO 17799 e de que modo ela funciona? Independentemente da sua resposta, este artigo foi preparado para apresentar os seus principais pontos.
Como regra geral, todo tipo de norma tem por objetivo estabelecer princípios e critérios, definir as melhores práticas e promover a uniformidade dos processos, produtos ou serviços.
Em outras palavras, as normas podem ser descritas como procedimentos que visam garantir a eficiência e a qualidade de determinada atribuição, área ou atividade.
Para contextualizar, a sigla “ISO” nada mais é do que a representação da International Organization for Standardization, uma entidade fundada em 1947 na cidade de Genebra, Suíça.
Sua atuação é baseada na agremiação de padronizações e normatizações cujo reconhecimento compreende pouco mais de 200 países — normalmente, de interesse técnico e/ou econômico.
Dito isso, vamos ao que de fato importa: a ISO 17799. Se você deseja aumentar a confiabilidade do seu negócio no mercado, continue a leitura deste post!
O que é a ISO 17799?
Basicamente, a ISO 17799 se refere a um conjunto de práticas orientadas para a gestão da segurança da informação. Devido ao aumento das ameaças digitais e da crescente exposição de dados na internet, sua importância é cada vez maior.
A ISO 17799 é uma norma que estabelece um referencial para que as empresas possam desenvolver e avaliar o gerenciamento da TI, promovendo a confiabilidade das transações comerciais e a proteção das informações de negócio como um todo.
Ela está dividida em 12 tópicos:
- termos e definições;
- objetivo;
- política de segurança;
- segurança física e do ambiente;
- segurança de recursos humanos;
- controle de acessos;
- segurança organizacional;
- gerenciamento das operações e comunicações;
- classificação e controle dos ativos da informação;
- gestão de continuidade de negócios;
- desenvolvimento e manutenção dos sistemas de informação;
- conformidade.
Quando o assunto corresponde à segurança da informação, a ISO 17799 define esses tópicos como as “macro áreas” da sua gestão. A divisão é feita para que os trabalhos sejam realizados da maneira mais eficaz possível.
Quais são os seus principais pontos?
Visto o que é a norma ISO 17799, destacaremos agora os seus principais pontos. De forma clara e objetiva, são eles:
Organizar a segurança da informação
Para que seja possível implementar uma boa segurança da informação, é necessário estabelecer uma estrutura para gerenciá-la.
Nesse sentido, as atividades que a remetem devem ser coordenadas pelos representantes dos diferentes setores da organização, atribuindo funções e papéis relevantes — as responsabilidades têm que estar claramente definidas.
Quando houver a necessidade de proteger informações de caráter sigiloso, é importante determinar os acordos de confidencialidade, esclarecendo quais dados são acessados, processados, comunicados e geridos por partes externas, tais como clientes e terceiros.
Gerir ativos
De acordo como a ISO 17799, qualquer coisa que tenha um valor para a empresa é um ativo. Assim sendo, a gestão desses ativos é um dos seus pontos mais importantes, afinal, isso significa a proteção das informações do negócio.
Para que os ativos sejam devidamente protegidos, devem ser, em primeiro lugar, levantados e identificados. Feito isso, o próximo passo é classificá-los conforme o nível de segurança recomendado para cada um deles, documentando as regras e definindo seus tipos de uso.
Nesse contexto, pode-se incluir os backups, fundamentais para que os dados possam ser restaurados em casos de perdas e roubos, por exemplo. Para quem fornece serviços gerenciados de TI, providenciá-los é uma obrigação.
Gerenciar as operações e as comunicações
Outro aspecto que vale ressaltar é o gerenciamento das operações e das comunicações. Os procedimentos e as responsabilidades que envolvem o processamento das informações têm que estar muito bem definidos, do contrário, as chances de erros e “desencontros” serão consideravelmente maiores.
Além disso, recomenda-se também utilizar a segregação de funções, isto é, evitar que uma única pessoa realize todas as partes de um processo. O indicado é responsabilizá-la por uma “parcela do total”, e não “por tudo”, pois isso ajuda a reduzir o risco de má utilização ou de uso indevido dos sistemas.
Para a gestão de serviços terceirizados, é preciso garantir que a implementação e a manutenção dos níveis de segurança estejam apropriados e em conformidade com as obrigações assumidas junto aos contratantes.
Aqui, é essencial planejar e preparar os recursos e a disponibilidade dos sistemas — só assim o risco de falhas poderá ser realmente reduzido. Isso ocorre porque tanto o planejamento quanto a preparação contribuirão para a previsão das suas capacidades futuras.
Mais uma vez, a geração de cópias de segurança (backups) deve ser estabelecida visando assegurar uma talvez necessária recuperação de dados. É preciso contar também com uma gestão de redes segura e com controles adicionais que possam proteger as informações que trafegam nas redes públicas.
Adquirir, desenvolver e manter os sistemas de informação
Segundo a norma ISO 17799, a infraestrutura, os sistemas operacionais, as aplicações de negócio, os produtos e os serviços desenvolvidos pelo usuários são todos componentes dos sistemas de informação.
Por esse motivo, seus requisitos de segurança devem ser identificados e acordados antes da sua implementação (aquisição) e/ou desenvolvimento. Os dados devem ser protegidos pensando na manutenção, integridade e autenticidade dos seus informes: essa confiabilidade precisa ser aplicada por meios criptográficos.
Controlar os acessos
Não menos importante está o controle de acesso. Tanto os recursos de processamento das informações quanto os processos de negócio devem ser controlados com base em regras de segurança.
Assim sendo, o acesso do usuário autorizado deve ser garantido, e o do não autorizado, prevenido. Os procedimentos englobam do cadastro inicial até o cancelamento dos registros. Quanto aos usuários em si, cada qual deve saber quais são as suas responsabilidades e permissões no que diz respeito ao uso e à segurança dos equipamentos e sistemas.
Para concluir, cabe salientar a importância de se prover um ambiente seguro e confiável. Tenha em mente que isso é o mínimo que se espera de quem presta serviços na área da tecnologia da informação.
Esperamos que você tenha gostado deste artigo sobre a ISO 17799. Se deseja ficar por dentro de outros assuntos relacionados ao ambiente da TI, assine a nossa newsletter agora mesmo!