O que é um SGSI (Sistema de Gestão da Segurança da Informação)?

SGSI

Poderíamos iniciar com outra pergunta: Como a minha empresa poderia se preparar para estar à frente do crime cibernético?

Agora poderemos iniciar respondendo melhor o que é o SGSI. O sistema de gestão da segurança da informação tem como base a fundamentação de um programa estruturado para a implantação de políticas, normas, diretrizes, procedimentos e orientações para a proteção do conhecimento e da marca da sua empresa. Portanto, é o perímetro inicial de segurança da informação contra o crime cibernético.

O sistema de gestão da segurança da informação, à luz da ABNT NBR ISO/IEC 27001, é considerada uma visão holística e planejada dos riscos de segurança da informação da empresa para a posterior implementar um conjunto de controles detalhados.

Ao contrário do que (talvez) se pensa, a implementação de controles apenas técnicos, são limitados. A identificação correta de quais controles precisam ser implementados requer planejamento detalhado e cuidadoso, contendo muitos detalhes. Um sistema de gestão da segurança da informação para ser bem sucedido deve iniciar com o apoio de todos os colaboradores da empresa. Incluindo a participação da alta direção, acionistas, fornecedores e terceiros, que por ventura executam trabalhos internamente. Portanto, podemos afirmar que o SGSI não é um assunto apenas de TI e não deveria ser. Assim, de modo geral, quando falarmos de segurança da informação, estamos dizendo que temos controles eficazes para garantir à direção e às partes interessadas internas e externas que os ativos da empresa estão razoavelmente seguros e protegidos contra danos.

Quando falamos de controles, isso pode ser entendido como uma visão particular da organização, pois dependerá dos seus critérios para a aceitação de riscos, nas opções para tratamento do risco e no enfoque geral da gestão de risco. É importante esclarecer que as empresas, conforme os seus segmentos, estão sujeitas às legislações e regulamentações diferentes. Portanto, a seleção de controles dependerá da maneira pela qual os controles interagem para a proteção dos ativos.

Para quem estiver estudando ou pesquisando a implementação de um SGSI, a orientação trivial é considerar os três pontos, de alguma forma já citados, considerados como requisitos de segurança da informação, são eles:

  • Avaliar os riscos para a empresa.
  • Avaliar a legislação vigente, os estatutos, a regulamentação e os contratos vigentes e seus parceiros comerciais.
  • A terceira parte são os conjuntos particulares de princípios, objetivos e os requisitos do negócio.

A implementação de controles, precisa ser estruturado com base na probabilidade de danos ao negócio, resultado dos problemas de segurança pela ausência desses controles.

Para exemplificar, podemos citar o principal controle, que geralmente faz parte dos primeiros trabalhos de um projeto de implantação de SGSI, a Política de Segurança da Informação (PSI).

  • Uma Política de Segurança da Informação com normas, diretrizes, procedimentos e orientações;

Algumas das normas, que geralmente fazem parte de uma política:

  • Controle de acesso físico;
  • Controle de acesso lógico;
  • Mesa limpa e tela limpa;
  • Dispositivos móveis e trabalho remoto;
  • Transferências de informações;
  • Uso aceitável de ativos;
  • Backup;
  • Segurança nas comunicações.

Nota: A Política de Segurança da Informação deve ser analisada criticamente pela alta direção periodicamente para se garantir que os controles necessários foram aplicados para o tratamento dos riscos.

Porque precisamos de um SGSI? 

Diversas reportagens nas mídias, ilustram que as ameaças cibernéticas estão elevando os seus níveis de persistência com maior sofisticação e organização. Os prejuízos causados por esses eventos podem impactar grandemente nas empresas. Segundo a última pesquisa realizada pelo Instituto Ponemon (EUA) (sexta-feira 13/11/2015), revelou que o custo anual do cyber crime nos USA custa agora 15 bilhões de dólares. Acreditasse que seja uma média de US$ 15 milhões por organização. O estudo anual, patrocinado pela HP, também revelou que o tempo médio necessário par uma organização dos EUA resolver um único ataque cibernético é agora de 46 dias, o que representa um aumento de 30% considerando o ano de 2009. Essa é uma infeliz realidade dessa sociedade do conhecimento moderna, que pode provocar paralizações e perdas financeiras ao ponto de interromper as suas operações imediatamente, enquanto outras podem sofrer a entropia ao longo do ano.

Portanto, o que tem lá fora, é o crime cibernético, este já ocupa uma posição expressiva nos registros mundiais sobre vítimas entre governos, empresas e pessoas comuns. Especificamente sobre pessoas comuns, o último número que acompanhei foi de 22 milhões de pessoas vitimizadas ao longo de 12 meses, isto é, em 2013. Sendo esse tema, crescente, podemos inferir que até 2020, 176 milhões de pessoas seriam vitimizadas por ações do crime cibernético.

Nós vivemos em um ecossistema que integra entidades, pessoas, dados conectados, ampliando a exposição aos crimes cibernéticos, em casa, na rua e no trabalho.

Visando a diminuição dessa exposição o SGSI tem como princípio de implementação, a conscientização das pessoas sobre o mundo virtual e as ameaças que existem, não apenas no aspecto corporativo, mas em suas vidas particulares. Naturalmente, este é apenas um dos movimentos da implantação, sendo necessários tantos outros para um bom projeto de SGSI.  

Concluindo

Caso o leitor esteja se perguntando por onde começar, eu lhe recomendo um diagnóstico que demonstre o estado atual da sua segurança da informação. Esse diagnóstico ou Gap Analisys, orientará todos os esforços para se adequar aos diversos controles para que o ambiente de segurança da informação tenha uma maturidade mínima para suportar as ameaças vigentes.

O que de fato, podemos afirmar, é que os processos de TI serão fortalecidos, pois a implantação de um projeto de SGSI requererá levantamentos diversos e as devidas conformidades exigidas pelo negócio. Há de se imaginar que poderão ocorrer diminuição de custos, visto que muitos processos serão reforçados com as melhores práticas do mercado nacional e internacional, diminuindo, portanto, o amadorismo na gestão de segurança da informação.

Se fosse possível fechar este tema neste momento, poderíamos dizer que você saberia responder o que fazer para estar à frente do crime cibernético.

By TNEG – Transformação de Negócios e de pessoas.

Você sabe a maturidade em segurança da informação da sua empresa?

Diagnóstico de Maturidade em SGSI

Os executivos mundo afora sabem as suas fraquezas, ameaças, forças e oportunidades (SWOT). Conhecem o mercado financeiro, fazem muito bem a análise e planejamento financeiro e conseguem navegar bem pela dinâmica das decisões financeiras.

Como seria se esses executivos considerassem os aspectos de segurança da informação em seus planejamentos?

  • Ficariam surpresos com a quantidade de ameaças às suas informações;
  • Duvidariam que estão seguros;
  • Não acreditariam em um retorno de investimento;
  • Achariam que um projeto seria muito caro para fazer agora;
  • Temeriam a paralisação da sua infraestrutura.

 

E, talvez pensaria: E se o meu processo de negócio mais crítico ficasse indisponível por 4 horas?

É evidente que até um executivo no início de carreira sabe do que estou falando, afinal, considerar os riscos dos negócios é a parte mais trivial do escopo do seu trabalho.

A maior incerteza que temos nesse contexto é: Será que está sendo considerado junto aos fatores externos de riscos o crime cibernético e o aumento da complexidade que virá nos próximos cinco anos?

Tenho certeza que não precisamos entrar em detalhes sobre o crime cibernético e o que virá de complexidades nos próximos cinco anos, apenas observemos os sensores integrados com smartphones para aplicações populares que serão disponibilizados e estarão dentro das empresas pelo conceito BYOD. O que temos certeza é que muitas empresas estarão pisando num terreno muito escorregadio.

O diagnóstico de Segurança da Informação.

O diagnóstico de segurança da informação nada mais é do que um questionário fundamentado na ISO 27001:2013, contendo toda a abrangência das seções, objetivos e controles. Portanto, é um trabalho bem estruturado e completo para responder exatamente onde a empresa se encontra em relação à segurança da informação.

Por exemplo, vamos analisar a seção de Segurança nas Operações:

  • Existe na sua empresa um processo funcional para a gestão de mudanças?
  • Há um procedimento de iniciação ao plano de continuidade de serviços, caso ocorra um incidente grave de segurança?
  • política de backup da sua empresa prevê o registro completo das cópias e procedimentos de recuperação?
  • Quando foi a último teste de recuperação do backup?
  • Existe uma auditoria interna nas transações do ERP para se prever a quebra de integridade na base de dados?

Essas são apenas algumas questões que retratam a importância de um diagnóstico de segurança da informação.

Agora você pode imaginar quais os demais questionamentos que seriam feitos para os 114 controles que a ISO 27001 nos apresenta.

Saber a sua maturidade.

Ter a compreensão da sua maturidade em segurança da informação não significa sair investindo um caminhão de dinheiro com consultorias. Na verdade, o propósito de um diagnóstico é justamente o contrário.

Você saberá exatamente onde há ameaças, fraquezas, fortalezas e oportunidades (fazendo alusão ao SWOT, pois tem aderência) em segurança da informação.

A questão fundamental a ser criticamente analisada é, onde você deverá iniciar os trabalhos para minimizar as vulnerabilidades. E, naturalmente, o diagnóstico será a sua bússola, norteando por onde começar.

Acima um dos gráficos entregues, é uma compilação com todas as 14 seções da ISO 27001. Essa visão proporciona uma análise mais adequada sobre quais seções deve-se aprimorar os controles, para priorizar naquilo que é mais importante no momento.

Concluindo.

O cenário político e econômico do Brasil, é no momento muito crítico, todos os segmentos de negócios estão retraídos e acompanhando os desfechos para a inflação, taxas de juros, câmbio, impostos e ajustes econômicos diversos.

Isso tudo é parte de um processo que não será resolvido nos próximos meses, precisamos entender que o tempo é um recurso que não se acumula, somente o perdemos, portanto, precisamos de ações efetivas agora para a retomada futura.

Quero lhe propor esse diagnóstico GRATUITAMENTE, sem custo algum e sem nenhuma limitação nos entregáveis, ou seja, você receberá um PDF com todas as informações da sua maturidade em segurança da informação. A única coisa que você investirá será o seu tempo (em média duas horas) para responder o questionário comigo.

Caso tenha interesse, envie um e-mail para maurilio.benevento@tneg.com.br dizendo sim, eu quero um diagnóstico.

Você terá uma visão muito clara das suas fortalezas e necessidades de fortalecimento em segurança da informação e poderá na próxima oportunidade de revisão orçamentária, incluir um valor para realizar uma consultoria nessa área, preferencialmente comigo.

É importante reforçar que o diagnóstico só será feito mediante a assinatura do termo de confidencialidade e não divulgação dos dados coletados, portanto, fique tranquilo com esse aspecto. Outra prática comum para a TNEG é não divulgar os seus clientes, pois envolve a privacidade das marcas.

Aguardo o seu e-mail.

So stay tuned!

By TNEG – Transformação de Negócios e de pessoas.