Depois de muitos anos de “insegurança da informação”, temos presenciado algumas vitórias importantes. Desta vez, com força de Norma, a gestão de segurança da informação é marcada pela distinção entre as empresas, com o mesmo impacto e diferencial causados pelas ISO 9001, 9002 e outras, que muitas empresas enfatizam com orgulho e vantagem competitiva no mercado. Finalmente isto poderá atingir, a curto prazo, os aspectos de segurança da informação das empresas, como autenticação da sua qualidade em segurança. No mês de agosto de 2001, a norma britânica BS 7799 – Gestão de Segurança da Informação, teve seu conteúdo aprovado pela ISO, para passar a ser ISO 17799.
Para as empresas em geral, a adoção deste padrão dar-se-á, em primeiro lugar, para que as mesmas mostrem ao mercado que existe efetivamente uma estrutura adequada e que garante a segurança da informação em função das suas necessidades de negócio e, em segundo lugar, para assegurar e demonstrar que o padrão existente é o melhor possível – definido em norma. Assim como as normas ISO voltadas à qualidade, esta tende a ser também um diferencial de competição para as empresas que estiverem aderentes a ela. A atual norma inglesa BS7799 não se limita a aspectos meramente técnicos de processamento, IT e redes, mas abrange todos os aspectos de segurança da organização. Os itens são:
Política de Segurança;
Organização da Segurança;
Gestão de Ativos;
Segurança de Pessoal;
Gestão da Segurança Física;
Procedimentos de Operação de Processamento de Dados e de Rede;
Controle de Acesso;
Procedimentos de Desenvolvimento e Manutenção de Sistemas;
Gestão da Continuidade de Negócios;
Aderência à Legislação.
Ora, evidentemente a maioria das grandes empresas certamente já se preocupou em algum momento com alguns destes itens e, provavelmente já até os tenha implantado, no todo ou em parte. A questão que vem a seguir é que se o que existe atualmente está compatível com o conteúdo, ou o que preconiza a norma.
Caso, embora a empresa tenha despendido esforços para implantar alguns itens, estes não estejam de acordo, far-se-á necessária uma revisão total dos processos, contando com um diagnóstico inicial, um projeto de adequação e com o desenvolvimento de mecanismos de controle. De qualquer forma, esteja ou não implantada a segurança de forma adequada, estas normas trarão uma oportunidade de uma revisão abrangente no âmbito empresarial. Além disso, podemos concluir que esta análise consumirá recursos e exigirá pessoas experientes neste trabalho, o que tende a causar uma grande procura pelo mercado de profissionais gabaritados e conhecedores das normas mencionadas.
Carlos Caruso (caruso@planeta3.com.br) é Consultor em Segurança Empresarial e de Informações pelas empresas SegNet / C4 e atual vice-presidente do Chapter Brasil da ASIS – American Society for Industrial Security
Link original http://www.securenet.com.br
Roney Médice
Analista de Sistemas e Bacharel em Direito