Dejan Kosutic O número de controles foi atualizado de acordo com a revisão de 2013 da ISO 27001.
Algumas pessoas podem até pensar que esses dois termos são sinônimos, afinal, a segurança da informação não está totalmente relaciona a computadores?
Não necessariamente. O ponto principal é este: você pode ter medidas perfeitas de segurança de TI, mas apenas um ato malicioso feito, por exemplo, pelo administrador pode trazer todo o sistema de TI abaixo. Esse risco não tem nada a ver com computadores, tem a ver com as pessoas, processos, supervisão etc.
Além disso, informações importantes podem não estar em formato digital, podem estar no papel. Por exemplo, um importante contrato assinado com o maior cliente, anotações pessoais feitas pelo diretor executivo, ou senhas de administrador impressas e armazenadas em um cofre.
É por isso que eu sempre digo aos meus clientes que a segurança de TI é 50% da segurança da informação, porque a segurança da informação também compreende a segurança física, a gestão de recursos humanos, a proteção jurídica, a organização, os processos etc. O objetivo da segurança da informação é construir um sistema que leve em consideração todos os possíveis riscos para a segurança da informação (relacionados, ou não, à TI) e implementar controles abrangentes que reduzam todos os tipos de riscos inaceitáveis.
Essa abordagem integrada para a segurança da informação é muito bem definida na ISO 27001, a principal norma internacional sobre gestão da segurança da informação. Em suma, ela exige que a avaliação de riscos seja feita em todos os ativos da organização, incluindo hardware, software, documentação, pessoas, fornecedores, parceiros etc., e que controles aplicáveis sejam escolhidos para diminuir esses riscos.
A ISO 27001 oferece 114 controles em seu Anexo A. Fiz uma rápida análise dos controles, e os resultados são os seguintes:
- controles relacionados à TI: 37%
- controles relacionados à organização/documentação: 36%
- controles de segurança física: 13%
- proteção jurídica: 4%
- controles relacionados à relação com fornecedores e compradores: 5%
- controles de gestão de recursos humanos: 5%
O que significa tudo isso em termos de segurança da informação/implementação da ISO 27001? Esse tipo de projeto não deve ser visto como um projeto de TI, porque, como tal, é provável que nem todas as partes da organização estejam dispostas a participar. Deve ser visto como um projeto de toda a empresa, do qual todas as pessoas relevantes de todas as unidades de negócios devem participar: alta administração, equipe de TI, especialistas jurídicos, gestores de recursos humanos, equipe da segurança física, o lado comercial da organização etc. Sem essa abordagem, você vai acabar trabalhando com segurança de TI, e isso não irá protegê-lo dos maiores riscos.
Confira este treinamento on-line gratuito ISO 27001 Foundations Course para saber mais sobre ISO 27001.
