Plano de Backup e ISO 17799 – o que eles têm em comum?

Tenha absoluto controle do armazenamento de dados com diretrizes e princípios de gestão

plano-de-backup

Você sabe o que é a ISO 17799 e de que modo ela funciona? Independentemente da sua resposta, este artigo foi preparado para apresentar os seus principais pontos e mostrar como ela está vinculada diretamente com o plano de Backup.

Como regra geral, todo tipo de norma tem por objetivo estabelecer princípios e critérios, definir as melhores práticas e promover a uniformidade dos processos, produtos ou serviços.

Em outras palavras, as normas podem ser descritas como procedimentos que visam garantir a eficiência e a qualidade de determinada atribuição, área ou atividade.

Em resumo, para contextualizar, a sigla “ISO” nada mais é do que a representação da International Organization for Standardization, uma entidade fundada em 1947 na cidade de Genebra, Suíça.

Sua atuação é baseada na agremiação de padronizações e normatizações cujo reconhecimento compreende pouco mais de 200 países — normalmente, de interesse técnico e/ou econômico.

O que é um plano de Backup?

Primeiramente, você precisa entender o que é um plano de Backup, para associá-lo aos conjuntos de práticas determinadas pela ISO 17799.

Sendo assim, saiba que um plano de Backup é um procedimento de uma organização que visa administrar os dados, garantindo disponibilidade e integridade das informações para o bom funcionamento da corporação.

Dessa maneira, o plano de Backup é um escopo com objetivos, frequência de Backup, métodos de armazenamento, segurança e testes de recuperação. E estar de acordo com todas as conformidades é primordial.

Por isso, não é difícil enxergar que a ISO 17799 e o plano de Backup são complementares. Dito isso, vamos ao que de fato importa: a ISO 17799. Se você deseja aumentar a confiabilidade do seu negócio no mercado, continue a leitura deste post!

O que é a ISO 17799?

Basicamente, a ISO 17799 se refere a um conjunto de práticas orientadas para a gestão da Segurança da Informação. Devido ao aumento das ameaças digitais e da crescente exposição de dados na internet, sua importância é cada vez maior.

A ISO 17799 é uma norma que estabelece um referencial para que as empresas possam desenvolver e avaliar o gerenciamento da TI, promovendo a confiabilidade das transações comerciais e a proteção das informações de negócio como um todo.

Ela está dividida em 12 tópicos:

  1. Termos e definições;
  2. Objetivo;
  3. Política de segurança;
  4. Segurança física e do ambiente;
  5. Segurança de recursos humanos;
  6. Controle de acessos;
  7. Segurança organizacional;
  8. Gerenciamento das operações e comunicações;
  9. Classificação e controle dos ativos da informação;
  10. Gestão de continuidade de negócios;
  11. Desenvolvimento e manutenção dos sistemas de informação;
  12. Conformidade.

Quando o assunto corresponde à segurança da informação, a ISO 17799 define esses tópicos como as “macro áreas” da sua gestão. A divisão, feita para que os trabalhos realizem-se da maneira mais eficaz possível.

Quais são os seus principais pontos?

Primeiramente, visto o que é a norma ISO 17799, destacaremos agora os seus principais pontos. De forma clara e objetiva, são eles:

Organizar a segurança da informação

Para que seja possível implementar uma boa segurança da informação, é necessário estabelecer uma estrutura para gerenciá-la.

Nesse sentido, as atividades que a remetem devem ser coordenadas pelos representantes dos diferentes setores da organização, atribuindo funções e papéis relevantes — as responsabilidades têm que estar claramente definidas.

Quando houver a necessidade de proteger informações de caráter sigiloso, é importante determinar os acordos de confidencialidade, esclarecendo quais dados são acessados, processados, comunicados e geridos por partes externas, tais como clientes e terceiros.

Gerir ativos

De acordo como a ISO 17799, qualquer coisa que tenha um valor para a empresa é um ativo. Assim sendo, a gestão desses ativos é um dos seus pontos mais importantes, afinal, isso significa a proteção das informações do negócio.

Devidamente protegidos, os ativos, devem ser, em primeiro lugar, levantados e identificados. Feito isso, o próximo passo é classificá-los conforme o nível de segurança recomendado para cada um deles, documentando as regras e definindo seus tipos de uso.

Nesse contexto, inclui-se o plano de Backups, fundamental para restaurar os dados em casos de perdas e roubos, por exemplo. Para quem fornece Serviços Gerenciados de TI, providenciá-los é uma obrigação.

Gerenciar as operações e as comunicações

Outro aspecto que vale ressaltar é o gerenciamento das operações e das comunicações. Os procedimentos e as responsabilidades que envolvem o processamento das informações têm que estar muito bem definidos, do contrário, as chances de erros e “desencontros” serão consideravelmente maiores.

Além disso, recomenda-se também utilizar a segregação de funções, isto é, evitar que uma única pessoa realize todas as partes de um processo. O indicado é responsabilizá-la por uma “parcela do total”, e não “por tudo”, pois isso ajuda a reduzir o risco de má utilização ou de uso indevido dos sistemas.

Para a gestão de serviços terceirizados, é preciso garantir que a implementação e a manutenção dos níveis de segurança estejam apropriados e em conformidade com as obrigações assumidas junto aos contratantes.

Aqui, é essencial planejar e preparar os recursos e a disponibilidade dos sistemas — só assim o risco de falhas reduzirá. Isso ocorre porque tanto o planejamento quanto a preparação contribuirão para a previsão das suas capacidades futuras.

Mais uma vez, a geração de cópias de segurança (plano de Backup) visa assegurar uma recuperação de dados necessária. É preciso contar também com uma gestão de redes segura e com controles adicionais que possam proteger as informações que trafegam nas redes públicas.

Adquirir, desenvolver e manter os sistemas de informação

Segundo a norma ISO 17799, a infraestrutura, os sistemas operacionais, as aplicações de negócio, os produtos e os serviços desenvolvidos pelos usuários são todos componentes dos sistemas de informação.

Por esse motivo, seus requisitos de segurança devem ser identificados e acordados antes da sua implementação (aquisição) e/ou desenvolvimento. Os dados devem ser protegidos pensando na manutenção, integridade e autenticidade dos seus informes: essa confiabilidade precisa ser aplicada por meios criptográficos.

Controlar os acessos

Não menos importante está o controle de acesso. Tanto os recursos de processamento das informações quanto os processos de negócio devem ser controlados com base em regras de segurança.

Assim sendo, garanta o acesso do usuário autorizado e o do não autorizado, prevenido. Os procedimentos englobam do cadastro inicial até o cancelamento dos registros. Quanto aos usuários em si, cada qual deve saber quais são as suas responsabilidades e permissões no que diz respeito ao uso e à segurança dos equipamentos e sistemas.

Gestão de continuidade de negócios

A norma ISO 17799 destaca a importância da gestão de continuidade de negócios. Isso envolve o desenvolvimento de planos e procedimentos para garantir a continuidade das operações em situações de crise, como: desastres naturais ou ciberataques.

Dessa maneira, a inclusão dessa prática fortalece a resiliência das organizações diante de eventos adversos.

Desenvolvimento e manutenção de sistemas de informação

A norma enfatiza a necessidade de identificar requisitos de segurança antes da implementação ou desenvolvimento de sistemas de informação.

Além disso, ressalta a importância da manutenção, integridade e melhorias dos dados por intermédio de meios criptográficos, proporcionando uma camada adicional de proteção contra ameaças cibernéticas.

Segurança física e do ambiente

Abrange a proteção de instalações físicas contra acesso não autorizado, danos e interferências. A segurança ambiental também é abordada, considerando fatores como: controle de temperatura e segurança de umidade para preservar equipamentos e dados sensíveis.

Plano de Backup e recuperação de dados

É relevante ressaltar que o plano de Backup não apenas protege contra perdas e roubos, mas também desempenha um papel crucial na recuperação de dados em casos de incidentes de segurança, destacando sua função estratégica na garantia da continuidade operacional.

Gestão de serviços terceirizados

Destaca a necessidade de garantir que os níveis de segurança nas operações terceirizadas estejam em conformidade com as obrigações assumidas. Isso inclui não apenas a correção, mas também a manutenção dos padrões de segurança acordados com os contratantes.

Ambiente em constante evolução

Dado o cenário dinâmico de ameaças cibernéticas, a norma ISO 17799 sugere uma abordagem de evolução contínua. A adaptação às mudanças nas tecnologias e ameaças é crucial para manter a eficácia das práticas de segurança da informação ao longo do tempo.

Esses são aspectos específicos da ISO 17799, aprofundando a compreensão sobre sua aplicação prática e relevância em um ambiente tecnológico em constante evolução.

Para concluir, cabe salientar a importância de se prover um ambiente seguro e confiável. Tenha em mente que isso é o mínimo que se espera de quem presta serviços na área da tecnologia da informação.

Esperamos que você tenha gostado deste artigo sobre a ISO 17799. Se deseja ficar por dentro de outros assuntos relacionados ao ambiente da TI, assine a nossa newsletter agora mesmo!

Autor: Rodrigo Gazola

Especialista no mercado de prestação de serviços em TI, é considerado um pioneiro no modelo de Serviços Gerenciados (MSP) no Brasil. Apesar de possuir amplo conhecimento no modelo e no mercado MSP, seu verdadeiro fascínio está no universo do Backup, Backup, Backup! Com formação acadêmica em Eletrônica, Gestão em TI e um MBA em TrendsInnovation, demonstra paixão pelo que faz e nunca se cansa quando se trata de trabalho e aprendizado. Muitos dizem que o segredo do seu equilíbrio está nos 4 "B"s que adotou há algum tempo: Beer, Bike, Barbecue e Backup.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Sair da versão mobile