Backup e Recuperação

Backup e ISO 17799 – o que eles tem em comum?

Você sabe o que é a ISO 17799 e de que modo ela funciona? Independentemente da sua resposta, este artigo foi preparado para apresentar os seus principais pontos. Como regra geral, todo tipo de norma tem por objetivo estabelecer princípios e critérios, definir as melhores práticas e promover a uniformidade dos processos, produtos ou serviços.

11/07/2018

Rodrigo Gazola

Rodrigo Gazola

CEO ADDEE

Você sabe o que é a ISO 17799 e de que modo ela funciona? Independentemente da sua resposta, este artigo foi preparado para apresentar os seus principais pontos.

Como regra geral, todo tipo de norma tem por objetivo estabelecer princípios e critérios, definir as melhores práticas e promover a uniformidade dos processos, produtos ou serviços.

Em outras palavras, as normas podem ser descritas como procedimentos que visam garantir a eficiência e a qualidade de determinada atribuição, área ou atividade.

Para contextualizar, a sigla “ISO” nada mais é do que a representação da International Organization for Standardization, uma entidade fundada em 1947 na cidade de Genebra, Suíça.

Sua atuação é baseada na agremiação de padronizações e normatizações cujo reconhecimento compreende pouco mais de 200 países — normalmente, de interesse técnico e/ou econômico.

Dito isso, vamos ao que de fato importa: a ISO 17799. Se você deseja aumentar a confiabilidade do seu negócio no mercado, continue a leitura deste post!

O que é a ISO 17799?

Basicamente, a ISO 17799 se refere a um conjunto de práticas orientadas para a gestão da segurança da informação. Devido ao aumento das ameaças digitais e da crescente exposição de dados na internet, sua importância é cada vez maior.

A ISO 17799 é uma norma que estabelece um referencial para que as empresas possam desenvolver e avaliar o gerenciamento da TI, promovendo a confiabilidade das transações comerciais e a proteção das informações de negócio como um todo.

Ela está dividida em 12 tópicos:

  1. termos e definições;
  2. objetivo;
  3. política de segurança;
  4. segurança física e do ambiente;
  5. segurança de recursos humanos;
  6. controle de acessos;
  7. segurança organizacional;
  8. gerenciamento das operações e comunicações;
  9. classificação e controle dos ativos da informação;
  10. gestão de continuidade de negócios;
  11. desenvolvimento e manutenção dos sistemas de informação;
  12. conformidade.

Quando o assunto corresponde à segurança da informação, a ISO 17799 define esses tópicos como as “macro áreas” da sua gestão. A divisão é feita para que os trabalhos sejam realizados da maneira mais eficaz possível.

Quais são os seus principais pontos?

Visto o que é a norma ISO 17799, destacaremos agora os seus principais pontos. De forma clara e objetiva, são eles:

Organizar a segurança da informação

Para que seja possível implementar uma boa segurança da informação, é necessário estabelecer uma estrutura para gerenciá-la.

Nesse sentido, as atividades que a remetem devem ser coordenadas pelos representantes dos diferentes setores da organização, atribuindo funções e papéis relevantes — as responsabilidades têm que estar claramente definidas.

Quando houver a necessidade de proteger informações de caráter sigiloso, é importante determinar os acordos de confidencialidade, esclarecendo quais dados são acessados, processados, comunicados e geridos por partes externas, tais como clientes e terceiros.

Gerir ativos

De acordo como a ISO 17799, qualquer coisa que tenha um valor para a empresa é um ativo. Assim sendo, a gestão desses ativos é um dos seus pontos mais importantes, afinal, isso significa a proteção das informações do negócio.

Para que os ativos sejam devidamente protegidos, devem ser, em primeiro lugar, levantados e identificados. Feito isso, o próximo passo é classificá-los conforme o nível de segurança recomendado para cada um deles, documentando as regras e definindo seus tipos de uso.

Nesse contexto, pode-se incluir os backups, fundamentais para que os dados possam ser restaurados em casos de perdas e roubos, por exemplo. Para quem fornece serviços gerenciados de TI, providenciá-los é uma obrigação.

Gerenciar as operações e as comunicações

Outro aspecto que vale ressaltar é o gerenciamento das operações e das comunicações. Os procedimentos e as responsabilidades que envolvem o processamento das informações têm que estar muito bem definidos, do contrário, as chances de erros e “desencontros” serão consideravelmente maiores.

Além disso, recomenda-se também utilizar a segregação de funções, isto é, evitar que uma única pessoa realize todas as partes de um processo. O indicado é responsabilizá-la por uma “parcela do total”, e não “por tudo”, pois isso ajuda a reduzir o risco de má utilização ou de uso indevido dos sistemas.

Para a gestão de serviços terceirizados, é preciso garantir que a implementação e a manutenção dos níveis de segurança estejam apropriados e em conformidade com as obrigações assumidas junto aos contratantes.

Aqui, é essencial planejar e preparar os recursos e a disponibilidade dos sistemas — só assim o risco de falhas poderá ser realmente reduzido. Isso ocorre porque tanto o planejamento quanto a preparação contribuirão para a previsão das suas capacidades futuras.

Mais uma vez, a geração de cópias de segurança (backups) deve ser estabelecida visando assegurar uma talvez necessária recuperação de dados. É preciso contar também com uma gestão de redes segura e com controles adicionais que possam proteger as informações que trafegam nas redes públicas.

Adquirir, desenvolver e manter os sistemas de informação

Segundo a norma ISO 17799, a infraestrutura, os sistemas operacionais, as aplicações de negócio, os produtos e os serviços desenvolvidos pelo usuários são todos componentes dos sistemas de informação.

Por esse motivo, seus requisitos de segurança devem ser identificados e acordados antes da sua implementação (aquisição) e/ou desenvolvimento. Os dados devem ser protegidos pensando na manutenção, integridade e autenticidade dos seus informes: essa confiabilidade precisa ser aplicada por meios criptográficos.

Controlar os acessos

Não menos importante está o controle de acesso. Tanto os recursos de processamento das informações quanto os processos de negócio devem ser controlados com base em regras de segurança.

Assim sendo, o acesso do usuário autorizado deve ser garantido, e o do não autorizado, prevenido. Os procedimentos englobam do cadastro inicial até o cancelamento dos registros. Quanto aos usuários em si, cada qual deve saber quais são as suas responsabilidades e permissões no que diz respeito ao uso e à segurança dos equipamentos e sistemas.

Para concluir, cabe salientar a importância de se prover um ambiente seguro e confiável. Tenha em mente que isso é o mínimo que se espera de quem presta serviços na área da tecnologia da informação.

Esperamos que você tenha gostado deste artigo sobre a ISO 17799. Se deseja ficar por dentro de outros assuntos relacionados ao ambiente da TI, assine a nossa newsletter agora mesmo!


Rodrigo Gazola

Rodrigo Gazola

CEO ADDEE

Especialista no mercado de prestação de serviço em TI, pioneiro no modelo de serviços gerenciados (MSP) no Brasil. Apesar de ser um profundo conhecedor do modelo e mercado MSP, adoro quando o assunto é Backup, Backup, Backup! Com formação em Eletrônica e Gestão em TI, amo o que faço e não me canso quando o assunto é trabalho e conhecimento, muitos dizem que o segredo são os 4 "B"s que adotei há algum tempo: Beer, Bike, Barbecue e Backup.