Depois de muitos anos de “insegurança da informação”, temos presenciado algumas vitórias importantes. Desta vez, com força de Norma, a gestão de segurança da informação é marcada pela distinção entre as empresas, com o mesmo impacto e diferencial causados pelas ISO 9001, 9002 e outras, que muitas empresas enfatizam com orgulho e vantagem competitiva no mercado. Finalmente isto poderá atingir, a curto prazo, os aspectos de segurança da informação das empresas, como autenticação da sua qualidade em segurança. No mês de agosto de 2001, a norma britânica BS 7799 – Gestão de Segurança da Informação, teve seu conteúdo aprovado pela ISO, para passar a ser ISO 17799.

Para as empresas em geral, a adoção deste padrão dar-se-á, em primeiro lugar, para que as mesmas mostrem ao mercado que existe efetivamente uma estrutura adequada e que garante a segurança da informação em função das suas necessidades de negócio e, em segundo lugar, para assegurar e demonstrar que o padrão existente é o melhor possível – definido em norma. Assim como as normas ISO voltadas à qualidade, esta tende a ser também um diferencial de competição para as empresas que estiverem aderentes a ela. A atual norma inglesa BS7799 não se limita a aspectos meramente técnicos de processamento, IT e redes, mas abrange todos os aspectos de segurança da organização. Os itens são:

Política de Segurança;
Organização da Segurança; 
Gestão de Ativos; 
Segurança de Pessoal; 
Gestão da Segurança Física;
Procedimentos de Operação de Processamento de Dados e de Rede; 
Controle de Acesso; 
Procedimentos de Desenvolvimento e Manutenção de Sistemas; 
Gestão da Continuidade de Negócios; 
Aderência à Legislação.

Ora, evidentemente a maioria das grandes empresas certamente já se preocupou em algum momento com alguns destes itens e, provavelmente já até os tenha implantado, no todo ou em parte. A questão que vem a seguir é que se o que existe atualmente está compatível com o conteúdo, ou o que preconiza a norma.

Caso, embora a empresa tenha despendido esforços para implantar alguns itens, estes não estejam de acordo, far-se-á necessária uma revisão total dos processos, contando com um diagnóstico inicial, um projeto de adequação e com o desenvolvimento de mecanismos de controle. De qualquer forma, esteja ou não implantada a segurança de forma adequada, estas normas trarão uma oportunidade de uma revisão abrangente no âmbito empresarial. Além disso, podemos concluir que esta análise consumirá recursos e exigirá pessoas experientes neste trabalho, o que tende a causar uma grande procura pelo mercado de profissionais gabaritados e conhecedores das normas mencionadas.

Carlos Caruso (caruso@planeta3.com.br) é Consultor em Segurança Empresarial e de Informações pelas empresas SegNet / C4 e atual vice-presidente do Chapter Brasil da ASIS – American Society for Industrial Security

Link original http://www.securenet.com.br

Roney Médice

Analista de Sistemas e Bacharel em Direito