Neste série de 3 posts, serão resumidas as áreas e sub-áreas que esta norma abrange, baseado no documento oficial da ABNT (responsável pela norma no Brasil), de forma a mapear os requisitos para adequação de qualquer tipo de organização.
1. Política de Segurança da Informação
A diretoria deve definir uma política para dar a direção e suporte para a segurança da informação, com diretrizes e ordens para toda organização. Geralmente, esta etapa é desdobrada em um manual de políticas de segurança da informação, onde são esclarecidos padrões, procedimentos e diretriz de segurança aplicáveis a todos os níveis da empresa.
2. Organização da Segurança da Informação
Uma governança adequada de segurança da informação deve ser desenhada e implementada, contemplando as subáreas a seguir:
- Infra-estrutura da segurança da informação: a organização deve ter um quadro de gestão da segurança da informação. A alta administração deve assegurar a direção e se comprometer dando suporte a questões pertinentes, como a aprovação das políticas de segurança da informação, além da definição de papéis e responsabilidades para a função de segurança da informação. Além disso, convém que uma consultoria especializada seja contratada, bem como mantidos contatos com especialistas e grupos de segurança externos, como forma de manter a organização a par das tendências e ameaças do ambiente.
- Partes externas: quando houver a introdução de uma empresa terceirizada, a segurança da informação não pode ser comprometida. Os riscos devem ser avaliados e mitigados sempre que houver acordos com clientes e terceiros.
A organização deve ter conhecimento dos ativos de informação que possui e gerenciá-los levando em conta a segurança, através das etapas abaixo:
- Responsabilidade pelos ativos: todos ativos que fazem parte do ambiente de informações, como hardware, software, dados e documentação de sistemas, devem ser atribuídos a um proprietário. Além disso, deve ser criado e mantido um inventário que reúna uma lista destes ativos, com o nome do proprietário e localização.
- Classificação de informações: as informações devem ser classificadas de acordo com sua necessidade, prioridade e nível esperado de proteção, podendo ser criado um sistema de classificações para padronizá-las.
Esta área tem como objetivo gerenciar os sistemas de direito de acessos, bem como conscientizar as pessoas do que é uma segurança adequada, através de treinamentos e atividades educacionais.
- Antes da contratação: todos os funcionários, fornecedores e terceiros devem entender suas responsabilidades e estar de acordo com os seus papéis. Podem ser incluídos em seus contratos de trabalho termos, condições de uso e responsabilidade com segurança, diminuindo o risco de roubo, fraude e mau uso de recursos.
- Durante a contratação: as responsabilidades gerenciais em relação à segurança da informação devem ser definidas. Empregados e terceiros devem ser conscientizados, treinados e educados em procedimentos de segurança. Um processo disciplinar formal para tratar das violações de segurança da informação pode ser estabelecido.
- Encerramento ou mudança da contratação: aspectos relacionados à saída de uma pessoa da organização ou a mudança de responsabilidades deve ser gerenciado, para que, por exemplo, acessos sejam removidos ou atualizados conforme necessidade.
Na próxima semana, apresentarei as áreas de Segurança física e do ambiente, Gerenciamento das operações e comunicações e Controle da acessos. Até a próxima.
Nenhum comentário:
Postar um comentário