Segurana da informao: vale muito aplicar a

ISO 27002
12 de novembro de 2012, 07:47
Essa norma tem aceitao global e um timo diferencial de mercado. Manter a
informao segura, ntegra, confivel e sempre disponvel aumenta a
competitividade e a agilidade na tomada de decises.
Por Mrio Peixoto
A chamada NBR ISO/IEC 27002 conhecida como uma norma para os cdigos de prticas
para gesto de segurana da informao. E refere-se a quais requisitos devem ser
implementados pela organizao, sendo tambm um guia que orienta a utilizao dos
controles de segurana.
Como tecnologia, pessoas, gesto, processos, segurana e negcios esto sempre andando
juntos, nada mais coerente ento, que os projetos de TI, estarem alinhados s melhores
prticas de gesto em segurana da informao. At porque, se a informao a alma do
negcio, no basta apenas ser detentor dela, mas principalmente, saber como lidar com os
chamados ativos da informao, provendo seus princpios elementares: integridade,
confidencialidade e disponibilidade.
Em resumo temos para esta norma, dizer o seguinte:

uma norma que no usada para auditorias e certificaes, porm grande parte de seu
framework esta consistente em diversos alicerces de boas prticas de gesto em projetos,
organizao de processos e pessoas, assim como na metodologia de ferramentas adequadas.
Desta forma, podemos perceber que o gerenciamento de projetos, possui elementos
aderentes ao que se prope na ISO 27002, quando, por exemplo, trata-se a comunicao,
quando trabalha-se a gesto de riscos, os ativos e todo ciclo de vida de um projeto, assim

como existe para com a informao, pois esta maturidade levar a conseguir constituir de
forma menos traumtica a formao do SGSI Sistema Gerencial de Segurana da
Informao, que parte integrante para fomentar concretamente a norma 27002.
Alguns exemplos prticos desta sinergia de projetos para com a ISO 27002 j seriam:

Autilizao de um sistema de controle de atividades e entregas (por exemplo um

JTRAC);

Um sistema de controle de verses documentais e desenvolvimento (por exemplo um

Subversion);

Aes organizacionais e de comunicao (por exemplo fomentando a chamada gesto

do conhecimento com WIKI, blogs), planos de conscientizao utilizando a comunicao
interna;

Operaes para melhores prticas de controle de acesso (por exemplo um projeto de

Identity and Access Management).

Todo este conjunto de sistemas acopla-se para formar este projeto de SGSI. Algumas das
razes bsicas para se adotar a ISO 27002 :

Governana Corporativa;

Melhoria da eficcia da Segurana da Informao;

Diferencial de mercado;

Atender aos requisitos de partes interessadas e clientes;

nica norma com aceitao global;

Reduo potencial no valor do seguro;

Focada nas responsabilidades dos funcionrios;

A norma cobre TI bem como a organizao, pessoal e instalaes;

Conformidade com as legislaes.

A ISO 27002 aborda algumas inmeras sesses, nas quais as principais seriam:

Analisando de forma geral e fazendo uma espcie de mapa mental destes captulos,
percebe-se o contexto e amplitude daquilo que permeia os alicerces para se ter de fato
implementado as melhores prticas de uma ISO 27002, em que o simples fato
de implementar um projeto. E que, para a conduo e materializao de inmeros outros
tipos de projetos que envolvam, sobretudo, como essncia, a tecnologia da informao,
pode-se muito bem como observado, aplicar diferentes captulos da ISO 27002, ou como um
todo, dependendo do tipo e complexidade do projeto. Na figura se v iniciar a partir do 4
capitulo. Que so as aplicaes prticas. Os chamados captulos 0, 1, 2 e 3, sustentam a
introduo, o escopo, os termos e definies e os padres desta estrutura.

Mapa Mental da ISO 27002

Portanto, conhecer a existncia desta ISO, deveria passar a ser obrigao dos gestores e
CIOs das empresas, seja qual o segmento. Antes de exigir o resultado final, entenderia
melhor porque de fato no se chegou ao resultado esperado, pelo simples fato de s vezes
subestimar os processos para o mapeamento de uma anlise de riscos, ignorar a
implantao de normas e poltica de segurana da informao, no classificar devidamente
os ativos da informao conforme a criticidade do negcio, dentre outros aspectos ignorados.
E assim, fazer com que seus gerentes de projetos, sangrem seus cronogramas para o
cumprimento fatdico dos prazos, que iniciam com um deadline que misticamente alterado
no meio do projeto para entregar praticamente amanh.
Segurana da informao no luxo. E muito menos deve ser tratada como lixo. parte
integrante do negcio, mas infelizmente at hoje ainda no tratada ou entendida como tal.
Segurana no complemento. Prova disso que os headhunters esto exigindo dos
diferentes tipos de profissionais (e que no de tecnologia), que possuam pelo menos
conhecimentos bsicos de segurana da informao em seu currculo.
Assim, projeto est para segurana, assim como segurana est para projetos. A temtica
simples:o que sustenta a sabedoria o conhecimento, que por sua vez sustentado
pela informao. Geralmente todo ser humano deseja ou est focado em um projeto de
vida, que vai evoluindo com o passar do tempo de forma emprica. Se isso ao menos for um
pouco importante para ele, certamente dever no mnimo converter esta propriedade

intelectual para capital, a valorizar o qu? Isso mesmo: a informao. Ou seja, informao
no somente a alma do negcio. [Webinsider]
- See more at: http://webinsider.com.br/2012/11/12/seguranca-da-informacao-vale-muitoaplicar-a-iso-27002/#sthash.BQsPNoYh.dpuf