O que é um SGSI (Sistema de Gestão da Segurança da Informação)?

SGSI

Poderíamos iniciar com outra pergunta: Como a minha empresa poderia se preparar para estar à frente do crime cibernético?

Agora poderemos iniciar respondendo melhor o que é o SGSI. O sistema de gestão da segurança da informação tem como base a fundamentação de um programa estruturado para a implantação de políticas, normas, diretrizes, procedimentos e orientações para a proteção do conhecimento e da marca da sua empresa. Portanto, é o perímetro inicial de segurança da informação contra o crime cibernético.

O sistema de gestão da segurança da informação, à luz da ABNT NBR ISO/IEC 27001, é considerada uma visão holística e planejada dos riscos de segurança da informação da empresa para a posterior implementar um conjunto de controles detalhados.

Ao contrário do que (talvez) se pensa, a implementação de controles apenas técnicos, são limitados. A identificação correta de quais controles precisam ser implementados requer planejamento detalhado e cuidadoso, contendo muitos detalhes. Um sistema de gestão da segurança da informação para ser bem sucedido deve iniciar com o apoio de todos os colaboradores da empresa. Incluindo a participação da alta direção, acionistas, fornecedores e terceiros, que por ventura executam trabalhos internamente. Portanto, podemos afirmar que o SGSI não é um assunto apenas de TI e não deveria ser. Assim, de modo geral, quando falarmos de segurança da informação, estamos dizendo que temos controles eficazes para garantir à direção e às partes interessadas internas e externas que os ativos da empresa estão razoavelmente seguros e protegidos contra danos.

Quando falamos de controles, isso pode ser entendido como uma visão particular da organização, pois dependerá dos seus critérios para a aceitação de riscos, nas opções para tratamento do risco e no enfoque geral da gestão de risco. É importante esclarecer que as empresas, conforme os seus segmentos, estão sujeitas às legislações e regulamentações diferentes. Portanto, a seleção de controles dependerá da maneira pela qual os controles interagem para a proteção dos ativos.

Para quem estiver estudando ou pesquisando a implementação de um SGSI, a orientação trivial é considerar os três pontos, de alguma forma já citados, considerados como requisitos de segurança da informação, são eles:

  • Avaliar os riscos para a empresa.
  • Avaliar a legislação vigente, os estatutos, a regulamentação e os contratos vigentes e seus parceiros comerciais.
  • A terceira parte são os conjuntos particulares de princípios, objetivos e os requisitos do negócio.

A implementação de controles, precisa ser estruturado com base na probabilidade de danos ao negócio, resultado dos problemas de segurança pela ausência desses controles.

Para exemplificar, podemos citar o principal controle, que geralmente faz parte dos primeiros trabalhos de um projeto de implantação de SGSI, a Política de Segurança da Informação (PSI).

  • Uma Política de Segurança da Informação com normas, diretrizes, procedimentos e orientações;

Algumas das normas, que geralmente fazem parte de uma política:

  • Controle de acesso físico;
  • Controle de acesso lógico;
  • Mesa limpa e tela limpa;
  • Dispositivos móveis e trabalho remoto;
  • Transferências de informações;
  • Uso aceitável de ativos;
  • Backup;
  • Segurança nas comunicações.

Nota: A Política de Segurança da Informação deve ser analisada criticamente pela alta direção periodicamente para se garantir que os controles necessários foram aplicados para o tratamento dos riscos.

Porque precisamos de um SGSI? 

Diversas reportagens nas mídias, ilustram que as ameaças cibernéticas estão elevando os seus níveis de persistência com maior sofisticação e organização. Os prejuízos causados por esses eventos podem impactar grandemente nas empresas. Segundo a última pesquisa realizada pelo Instituto Ponemon (EUA) (sexta-feira 13/11/2015), revelou que o custo anual do cyber crime nos USA custa agora 15 bilhões de dólares. Acreditasse que seja uma média de US$ 15 milhões por organização. O estudo anual, patrocinado pela HP, também revelou que o tempo médio necessário par uma organização dos EUA resolver um único ataque cibernético é agora de 46 dias, o que representa um aumento de 30% considerando o ano de 2009. Essa é uma infeliz realidade dessa sociedade do conhecimento moderna, que pode provocar paralizações e perdas financeiras ao ponto de interromper as suas operações imediatamente, enquanto outras podem sofrer a entropia ao longo do ano.

Portanto, o que tem lá fora, é o crime cibernético, este já ocupa uma posição expressiva nos registros mundiais sobre vítimas entre governos, empresas e pessoas comuns. Especificamente sobre pessoas comuns, o último número que acompanhei foi de 22 milhões de pessoas vitimizadas ao longo de 12 meses, isto é, em 2013. Sendo esse tema, crescente, podemos inferir que até 2020, 176 milhões de pessoas seriam vitimizadas por ações do crime cibernético.

Nós vivemos em um ecossistema que integra entidades, pessoas, dados conectados, ampliando a exposição aos crimes cibernéticos, em casa, na rua e no trabalho.

Visando a diminuição dessa exposição o SGSI tem como princípio de implementação, a conscientização das pessoas sobre o mundo virtual e as ameaças que existem, não apenas no aspecto corporativo, mas em suas vidas particulares. Naturalmente, este é apenas um dos movimentos da implantação, sendo necessários tantos outros para um bom projeto de SGSI.  

Concluindo

Caso o leitor esteja se perguntando por onde começar, eu lhe recomendo um diagnóstico que demonstre o estado atual da sua segurança da informação. Esse diagnóstico ou Gap Analisys, orientará todos os esforços para se adequar aos diversos controles para que o ambiente de segurança da informação tenha uma maturidade mínima para suportar as ameaças vigentes.

O que de fato, podemos afirmar, é que os processos de TI serão fortalecidos, pois a implantação de um projeto de SGSI requererá levantamentos diversos e as devidas conformidades exigidas pelo negócio. Há de se imaginar que poderão ocorrer diminuição de custos, visto que muitos processos serão reforçados com as melhores práticas do mercado nacional e internacional, diminuindo, portanto, o amadorismo na gestão de segurança da informação.

Se fosse possível fechar este tema neste momento, poderíamos dizer que você saberia responder o que fazer para estar à frente do crime cibernético.

By TNEG – Transformação de Negócios e de pessoas.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *