Você sabe o que é a ISO 17799 e de que modo ela funciona? Independentemente da sua resposta, este artigo foi preparado para apresentar os seus principais pontos.

Como regra geral, todo tipo de norma tem por objetivo estabelecer princípios e critérios, definir as melhores práticas e promover a uniformidade dos processos, produtos ou serviços.

Em outras palavras, as normas podem ser descritas como procedimentos que visam garantir a eficiência e a qualidade de determinada atribuição, área ou atividade.

Para contextualizar, a sigla “ISO” nada mais é do que a representação da International Organization for Standardization, uma entidade fundada em 1947 na cidade de Genebra, Suíça.

Sua atuação é baseada na agremiação de padronizações e normatizações cujo reconhecimento compreende pouco mais de 200 países — normalmente, de interesse técnico e/ou econômico.

Dito isso, vamos ao que de fato importa: a ISO 17799. Se você deseja aumentar a confiabilidade do seu negócio no mercado, continue a leitura deste post!

O que é a ISO 17799?

Basicamente, a ISO 17799 se refere a um conjunto de práticas orientadas para a gestão da segurança da informação. Devido ao aumento das ameaças digitais e da crescente exposição de dados na internet, sua importância é cada vez maior.

A ISO 17799 é uma norma que estabelece um referencial para que as empresas possam desenvolver e avaliar o gerenciamento da TI, promovendo a confiabilidade das transações comerciais e a proteção das informações de negócio como um todo.

Ela está dividida em 12 tópicos:

  1. termos e definições;
  2. objetivo;
  3. política de segurança;
  4. segurança física e do ambiente;
  5. segurança de recursos humanos;
  6. segurança organizacional;
  7. controle de acessos;
  8. gerenciamento das operações e comunicações;
  9. classificação e controle dos ativos da informação;
  10. gestão de continuidade de negócios;
  11. desenvolvimento e manutenção dos sistemas de informação;
  12. conformidade.

Quando o assunto corresponde à segurança da informação, a ISO 17799 define esses tópicos como as “macro áreas” da sua gestão. A divisão é feita para que os trabalhos sejam realizados da maneira mais eficaz possível.

Quais são os seus principais pontos?

Visto o que é a norma ISO 17799, destacaremos agora os seus principais pontos. De forma clara e objetiva, são eles:

Organizar a segurança da informação

Para que seja possível implementar uma boa segurança da informação, é necessário estabelecer uma estrutura para gerenciá-la.

Nesse sentido, as atividades que a remetem devem ser coordenadas pelos representantes dos diferentes setores da organização, atribuindo funções e papéis relevantes — as responsabilidades têm que estar claramente definidas.

Quando houver a necessidade de proteger informações de caráter sigiloso, é importante determinar os acordos de confidencialidade, esclarecendo quais dados são acessados, processados, comunicados e geridos por partes externas, tais como clientes e terceiros.

Gerir ativos

De acordo como a ISO 17799, qualquer coisa que tenha um valor para a empresa é um ativo. Assim sendo, a gestão desses ativos é um dos seus pontos mais importantes, afinal, isso significa a proteção das informações do negócio.

Para que os ativos sejam devidamente protegidos, devem ser, em primeiro lugar, levantados e identificados. Feito isso, o próximo passo é classificá-los conforme o nível de segurança recomendado para cada um deles, documentando as regras e definindo seus tipos de uso.

Nesse contexto, pode-se incluir os backups, fundamentais para que os dados possam ser restaurados em casos de perdas e roubos, por exemplo. Para quem fornece serviços gerenciados de TI, providenciá-los é uma obrigação.

Gerenciar as operações e as comunicações

Outro aspecto que vale ressaltar é o gerenciamento das operações e das comunicações. Os procedimentos e as responsabilidades que envolvem o processamento das informações têm que estar muito bem definidos, do contrário, as chances de erros e “desencontros” serão consideravelmente maiores.

Além disso, recomenda-se também utilizar a segregação de funções, isto é, evitar que uma única pessoa realize todas as partes de um processo. O indicado é responsabilizá-la por uma “parcela do total”, e não “por tudo”, pois isso ajuda a reduzir o risco de má utilização ou de uso indevido dos sistemas.

Para a gestão de serviços terceirizados, é preciso garantir que a implementação e a manutenção dos níveis de segurança estejam apropriados e em conformidade com as obrigações assumidas junto aos contratantes.

Aqui, é essencial planejar e preparar os recursos e a disponibilidade dos sistemas — só assim o risco de falhas poderá ser realmente reduzido. Isso ocorre porque tanto o planejamento quanto a preparação contribuirão para a previsão das suas capacidades futuras.

Mais uma vez, a geração de cópias de segurança (backups) deve ser estabelecida visando assegurar uma talvez necessária recuperação de dados. É preciso contar também com uma gestão de redes segura e com controles adicionais que possam proteger as informações que trafegam nas redes públicas.

Adquirir, desenvolver e manter os sistemas de informação

Segundo a norma ISO 17799, a infraestrutura, os sistemas operacionais, as aplicações de negócio, os produtos e os serviços desenvolvidos pelo usuários são todos componentes dos sistemas de informação.

Por esse motivo, seus requisitos de segurança devem ser identificados e acordados antes da sua implementação (aquisição) e/ou desenvolvimento. Os dados devem ser protegidos pensando na manutenção, integridade e autenticidade dos seus informes: essa confiabilidade precisa ser aplicada por meios criptográficos.

Controlar os acessos

Não menos importante está o controle de acesso. Tanto os recursos de processamento das informações quanto os processos de negócio devem ser controlados com base em regras de segurança.

Assim sendo, o acesso do usuário autorizado deve ser garantido, e o do não autorizado, prevenido. Os procedimentos englobam do cadastro inicial até o cancelamento dos registros. Quanto aos usuários em si, cada qual deve saber quais são as suas responsabilidades e permissões no que diz respeito ao uso e à segurança dos equipamentos e sistemas.

Para concluir, cabe salientar a importância de se prover um ambiente seguro e confiável. Tenha em mente que isso é o mínimo que se espera de quem presta serviços na área da tecnologia da informação.

Esperamos que você tenha gostado deste artigo sobre a ISO 17799. Se deseja ficar por dentro de outros assuntos relacionados ao ambiente da TI, assine a nossa newsletter agora mesmo!


Rodrigo Gazola
Autor

Com muitos anos de experiencia em TI, trabalhando 24 horas por dia, 7 dias por semana, dá aula sobre excelência em workaholic. Apesar de ser especialista em MSP, adora quando o assunto é backup. Rodrigo esbanja bom humor (diz a lenda que seu segredo é cerveja, churrasco e Rock'N'Roll) e é o mais ativo daqui, já até pensou em rodar o mundo em cima da sua bike.

Escreva um comentário

Share This