Você sabe o que é a ISO 17799 e de que modo ela funciona? Independentemente da sua resposta, este artigo foi preparado para apresentar os seus principais pontos e mostrar como ela está vinculada diretamente com o plano de Backup.
Como regra geral, todo tipo de norma tem por objetivo estabelecer princípios e critérios, definir as melhores práticas e promover a uniformidade dos processos, produtos ou serviços.
Em outras palavras, as normas podem ser descritas como procedimentos que visam garantir a eficiência e a qualidade de determinada atribuição, área ou atividade.
Em resumo, para contextualizar, a sigla “ISO” nada mais é do que a representação da International Organization for Standardization, uma entidade fundada em 1947 na cidade de Genebra, Suíça.
Sua atuação é baseada na agremiação de padronizações e normatizações cujo reconhecimento compreende pouco mais de 200 países — normalmente, de interesse técnico e/ou econômico.
O que é um plano de Backup?
Primeiramente, você precisa entender o que é um plano de Backup, para associá-lo aos conjuntos de práticas determinadas pela ISO 17799.
Sendo assim, saiba que um plano de Backup é um procedimento de uma organização que visa administrar os dados, garantindo disponibilidade e integridade das informações para o bom funcionamento da corporação.
Dessa maneira, o plano de Backup é um escopo com objetivos, frequência de Backup, métodos de armazenamento, segurança e testes de recuperação. E estar de acordo com todas as conformidades é primordial.
Por isso, não é difícil enxergar que a ISO 17799 e o plano de Backup são complementares. Dito isso, vamos ao que de fato importa: a ISO 17799. Se você deseja aumentar a confiabilidade do seu negócio no mercado, continue a leitura deste post!
O que é a ISO 17799?
Basicamente, a ISO 17799 se refere a um conjunto de práticas orientadas para a gestão da Segurança da Informação. Devido ao aumento das ameaças digitais e da crescente exposição de dados na internet, sua importância é cada vez maior.
A ISO 17799 é uma norma que estabelece um referencial para que as empresas possam desenvolver e avaliar o gerenciamento da TI, promovendo a confiabilidade das transações comerciais e a proteção das informações de negócio como um todo.
Ela está dividida em 12 tópicos:
- Termos e definições;
- Objetivo;
- Política de segurança;
- Segurança física e do ambiente;
- Segurança de recursos humanos;
- Controle de acessos;
- Segurança organizacional;
- Gerenciamento das operações e comunicações;
- Classificação e controle dos ativos da informação;
- Gestão de continuidade de negócios;
- Desenvolvimento e manutenção dos sistemas de informação;
- Conformidade.
Quando o assunto corresponde à segurança da informação, a ISO 17799 define esses tópicos como as “macro áreas” da sua gestão. A divisão, feita para que os trabalhos realizem-se da maneira mais eficaz possível.
Quais são os seus principais pontos?
Primeiramente, visto o que é a norma ISO 17799, destacaremos agora os seus principais pontos. De forma clara e objetiva, são eles:
Organizar a segurança da informação
Para que seja possível implementar uma boa segurança da informação, é necessário estabelecer uma estrutura para gerenciá-la.
Nesse sentido, as atividades que a remetem devem ser coordenadas pelos representantes dos diferentes setores da organização, atribuindo funções e papéis relevantes — as responsabilidades têm que estar claramente definidas.
Quando houver a necessidade de proteger informações de caráter sigiloso, é importante determinar os acordos de confidencialidade, esclarecendo quais dados são acessados, processados, comunicados e geridos por partes externas, tais como clientes e terceiros.
Gerir ativos
De acordo como a ISO 17799, qualquer coisa que tenha um valor para a empresa é um ativo. Assim sendo, a gestão desses ativos é um dos seus pontos mais importantes, afinal, isso significa a proteção das informações do negócio.
Devidamente protegidos, os ativos, devem ser, em primeiro lugar, levantados e identificados. Feito isso, o próximo passo é classificá-los conforme o nível de segurança recomendado para cada um deles, documentando as regras e definindo seus tipos de uso.
Nesse contexto, inclui-se o plano de Backups, fundamental para restaurar os dados em casos de perdas e roubos, por exemplo. Para quem fornece Serviços Gerenciados de TI, providenciá-los é uma obrigação.
Gerenciar as operações e as comunicações
Outro aspecto que vale ressaltar é o gerenciamento das operações e das comunicações. Os procedimentos e as responsabilidades que envolvem o processamento das informações têm que estar muito bem definidos, do contrário, as chances de erros e “desencontros” serão consideravelmente maiores.
Além disso, recomenda-se também utilizar a segregação de funções, isto é, evitar que uma única pessoa realize todas as partes de um processo. O indicado é responsabilizá-la por uma “parcela do total”, e não “por tudo”, pois isso ajuda a reduzir o risco de má utilização ou de uso indevido dos sistemas.
Para a gestão de serviços terceirizados, é preciso garantir que a implementação e a manutenção dos níveis de segurança estejam apropriados e em conformidade com as obrigações assumidas junto aos contratantes.
Aqui, é essencial planejar e preparar os recursos e a disponibilidade dos sistemas — só assim o risco de falhas reduzirá. Isso ocorre porque tanto o planejamento quanto a preparação contribuirão para a previsão das suas capacidades futuras.
Mais uma vez, a geração de cópias de segurança (plano de Backup) visa assegurar uma recuperação de dados necessária. É preciso contar também com uma gestão de redes segura e com controles adicionais que possam proteger as informações que trafegam nas redes públicas.
Adquirir, desenvolver e manter os sistemas de informação
Segundo a norma ISO 17799, a infraestrutura, os sistemas operacionais, as aplicações de negócio, os produtos e os serviços desenvolvidos pelos usuários são todos componentes dos sistemas de informação.
Por esse motivo, seus requisitos de segurança devem ser identificados e acordados antes da sua implementação (aquisição) e/ou desenvolvimento. Os dados devem ser protegidos pensando na manutenção, integridade e autenticidade dos seus informes: essa confiabilidade precisa ser aplicada por meios criptográficos.
Controlar os acessos
Não menos importante está o controle de acesso. Tanto os recursos de processamento das informações quanto os processos de negócio devem ser controlados com base em regras de segurança.
Assim sendo, garanta o acesso do usuário autorizado e o do não autorizado, prevenido. Os procedimentos englobam do cadastro inicial até o cancelamento dos registros. Quanto aos usuários em si, cada qual deve saber quais são as suas responsabilidades e permissões no que diz respeito ao uso e à segurança dos equipamentos e sistemas.
Gestão de continuidade de negócios
A norma ISO 17799 destaca a importância da gestão de continuidade de negócios. Isso envolve o desenvolvimento de planos e procedimentos para garantir a continuidade das operações em situações de crise, como: desastres naturais ou ciberataques.
Dessa maneira, a inclusão dessa prática fortalece a resiliência das organizações diante de eventos adversos.
Desenvolvimento e manutenção de sistemas de informação
A norma enfatiza a necessidade de identificar requisitos de segurança antes da implementação ou desenvolvimento de sistemas de informação.
Além disso, ressalta a importância da manutenção, integridade e melhorias dos dados por intermédio de meios criptográficos, proporcionando uma camada adicional de proteção contra ameaças cibernéticas.
Segurança física e do ambiente
Abrange a proteção de instalações físicas contra acesso não autorizado, danos e interferências. A segurança ambiental também é abordada, considerando fatores como: controle de temperatura e segurança de umidade para preservar equipamentos e dados sensíveis.
Plano de Backup e recuperação de dados
É relevante ressaltar que o plano de Backup não apenas protege contra perdas e roubos, mas também desempenha um papel crucial na recuperação de dados em casos de incidentes de segurança, destacando sua função estratégica na garantia da continuidade operacional.
Gestão de serviços terceirizados
Destaca a necessidade de garantir que os níveis de segurança nas operações terceirizadas estejam em conformidade com as obrigações assumidas. Isso inclui não apenas a correção, mas também a manutenção dos padrões de segurança acordados com os contratantes.
Ambiente em constante evolução
Dado o cenário dinâmico de ameaças cibernéticas, a norma ISO 17799 sugere uma abordagem de evolução contínua. A adaptação às mudanças nas tecnologias e ameaças é crucial para manter a eficácia das práticas de segurança da informação ao longo do tempo.
Esses são aspectos específicos da ISO 17799, aprofundando a compreensão sobre sua aplicação prática e relevância em um ambiente tecnológico em constante evolução.
Para concluir, cabe salientar a importância de se prover um ambiente seguro e confiável. Tenha em mente que isso é o mínimo que se espera de quem presta serviços na área da tecnologia da informação.
Esperamos que você tenha gostado deste artigo sobre a ISO 17799. Se deseja ficar por dentro de outros assuntos relacionados ao ambiente da TI, assine a nossa newsletter agora mesmo!