A norma NBR ISO/IEC 27002 está organizada em 11 seções que correspondem a controles de segurança da informação. Na primeira parte do artigo “Conheça a norma NBR ISO/IEC 27002“, foram abordadas as seções 5. Política de Segurança da Informação, 6. Organizando a Segurança da Informação, 7. Gestão de Ativos, 8. Segurança em Recursos Humanos e 9. Segurança Física e do Ambiente.
A seguir, serão abordadas as seções restantes (10 a 15) da norma NBR ISO/IEC 27002.
Seção 10 – Gestão das Operações e Comunicações
É importante que estejam definidos os procedimentos e responsabilidades pela gestão e operação de todos os recursos de processamento das informações. Além disso, deve-se utilizar sempre que necessária a segregação de funções (recomenda-se que uma pessoa realize uma ou algumas partes de um processo, mas não todas), visando reduzir o risco de mau uso ou uso indevido dos sistemas.
Para o gerenciamento de serviços terceirizados, deve-se implementar e manter o nível apropriado de segurança da informação e em conformidade com acordos de entrega de serviços terceirizados.
É fundamental planejar e preparar a disponibilidade e os recursos do sistemas para minimizar o risco de falhas, bem como prever a capacidade futura dos sistemas, de forma a reduzir os riscos de sobrecarga. Também deve-se prevenir e detectar a introdução de códigos maliciosos e os usuários devem estar conscientes sobre isso.
Procedimentos para a geração de cópias de segurança e sua recuperação também devem ser estabelecidos.
Deve-se garantir ainda o gerenciamento seguro de redes. Controles adicionais podem até mesmo ser necessários para proteger informações confidenciais que trafegam em redes públicas.
As trocas de informações entre organizações devem ser baseadas em uma política formal específica, devendo ser efetuadas a partir de acordos entre as partes e sempre em conformidade com toda a legislação pertinente.
Deve-se ainda implementar mecanismos de monitoração de atividades não autorizadas de processamento da informação. Os eventos de segurança da informação devem ser registrados, lembrando que as organizações devem estar aderentes aos requisitos legais aplicáveis para suas atividades de registro e monitoramento.
Seção 11 – Controle de Acesso
O acesso à informação, aos recursos de processamento das informações e aos processos de negócios devem ser controlados com base nos requisitos de negócio e na segurança da informação. Portanto, deve ser assegurado o acesso de usuário autorizado e prevenido o acesso não autorizado a sistemas de informação. Para isso, deve haver procedimentos que englobem desde o cadastro inicial de um novo usuário até o cancelamento final do seu registro, garantindo assim que já não possuem mais acesso a sistemas de informação e serviços.
Os usuários sempre devem estar conscientes de suas responsabilidades, particularmente no que se refere ao uso de senhas e de segurança dos equipamentos de usuários. Nesse sentido, sugere-se ainda a adoção da “política de mesa e tela limpa”, para reduzir o risco de acessos não autorizados ou danos a documentos, papéis, mídias e recursos de processamento da informação que estejam ao alcance de qualquer um.
Seção 12 – Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação
Segundo a norma, “Sistemas de informação incluem sistemas operacionais, infraestrutura, aplicações de negócios, produtos de prateleira, serviços e aplicações desenvolvidas pelo usuário”. Por essa razão, os requisitos de segurança de sistemas de informação devem ser identificados e acordados antes do seu desenvolvimento e/ou de sua implementação.
As informações devem ser protegidas visando a manutenção de sua confidencialidade, autenticidade ou integridade por meios criptográficos.
Seção 13 – Gestão de Incidentes de Segurança da Informação
Deve-se assegurar que eventos de segurança da informação sejam o mais rápido possível comunicados, de tal forma que a tomada de ação corretiva ocorra em tempo hábil. Para isso, devem ser estabelecidos procedimentos formais de registro e escalonamento, bem como todos os funcionários, fornecedores e terceiros devem estar conscientes sobre os procedimentos para notificação dos diferentes tipos de eventos.
Seção 14 – Gestão da Continuidade do Negócio
Deve-se impedir a interrupção das atividades do negócio e proteger os processos críticos contra efeitos de falhas ou desastres significativos, e assegurar que a sua retomada ocorra em tempo hábil.
Para isso, planos de continuidade do negócio, incluindo controles para identificar e reduzir riscos, devem ser desenvolvidos e implementados, visando assegurar que as operações essenciais sejam rapidamente recuperadas.
Seção 15 – Conformidade
Deve-se garantir e evitar a violação de qualquer lei criminal ou civil, estatutos, regulamentações ou obrigações contratuais e de quaisquer requisitos de segurança da informação.
Para isso, é conveniente contratar, caso necessário, consultoria especializada, bem como analisar criticamente a segurança dos sistemas de informação a intervalos regulares, verificando, sobretudo, sua conformidade e aderência a requisitos legais e regulamentares.
Em resumo, nota-se claramente ao longo de toda a norma, que a característica predominante é a prevenção, evitando-se a todo o custo, a adoção de medidas de caráter reativo. Mesmo as que forem reativas, como por exemplo a execução de um plano de continuidade de negócios, são previamente planejadas para que, no momento oportuno e se necessárias, sejam devidamente implementadas.
Referência Bibliográfica:
ABNT – Associação Brasileira de Normas Técnicas. ABNT NBR ISO/IEC 27002 – Tecnologia da informação – Técnicas de segurança – Código de prática para a gestão de segurança da informação. ABNT, 2005.
16 Comentários
Aléxia,
Inicialmente gostaria de parabenizá-la pelos artigos sobre a ISO 27002. Sobre o assunto, gostaria de saber
qual a diferença entre “estar aderente à norma” e “ser certificado”? Se houver diferenças, como comprovar a aderência à norma?
Obrigado
Carlos
Olá Carlos, agradeço seu retorno!
Meu entendimento é que para ser certificada uma empresa deve ser avaliada oficialmente por um organismo de certificação credenciado. Esse organismo, através de um auditor também credenciado, conduzirá uma auditoria de certificação em uma determinada norma. Ou seja, a auditoria de certificação avalia se a empresa é aderente à norma ou não. Se houver conformidade à norma, a empresa será certificada.
Contudo, eu entendo que ser aderente à norma também pode ser interpretado quando a empresa utiliza de fato uma norma no seu dia a dia, mas não há uma necessidade dessa empresa se submeter à uma auditoria formal de certificação. Talvez a minha empresa queira se beneficiar somente de práticas que a norma sugere, para se organizar melhor ou para que tenha melhores controles, por exemplo. Nesse caso, contudo, a empresa não é certificada, mas pode estar sendo aderente à norma. Eu disse “pode” porque ninguém poderá garantir formalmente que aquela empresa é mesmo aderente à norma. Quem garante? Quem pode atestar a veracidade dessa informação? Somente uma auditoria formal de certificação garantirá que a empresa realmente é aderente à norma.
Se ainda houver dúvida, por favor, entre em contato novamente, ok?
Grande abraço
Aléxia Lage
Excelente material!!
Parabéns pela iniciativa de elaborar esse “resumo” da norma. Foi de grande proveito.
Muito obrigado.
Oi Davi! Não há nada que me deixe mais gratificada, e mais ainda motivada a escrever, que saber que o artigo pode ser realmente útil a alguém. Essa é a intenção e quando eu obtenho o retorno de que realmente isso foi alcançado, só posso ficar muito feliz. Obrigada por deixar seu comentário!
Grande abraço
Aléxia Lage
Boa noite Aléxia, gostei muito da sua explanação à respeito da segurança da informação. Sou bacharel em Informática e gostaria de saber se você poderia me passar por e-mail a ISO27002, me interessei muito pelo contédo e ficarei muito agradecido se puder contar contigo por esta gentileza.
Adorei o artigo! Eu estava procurando algo sobre essa norma e seu artigo caiu do céu! =)
Oi Nina! Que ótimo o artigo ser útil para você! Fico realmente feliz! Obrigada por deixar seu feedback! Grande abraço, Aléxia Lage
Boa iniciativa, mas só lembrando que a ISO 27002 não é auditável, e sim a ISO 27001.
Oi Marco! Obrigada por deixar seu comentário. Sim, você está correto. Mas creio que você queria dizer que a ISO 27002 não é certificável, correto? Srande abraço, Aléxia Lage
Excelente! Precisava estudar este assunto para concurso, mas só queria realmente saber do que se tratava, sem me aprofundar, devido à extensa matéria que os concursos geralmente pedem. Foi muito útil. Obrigado e parabéns pelo trabalho.
Adoro quando fico sabendo que o artigo é útil de alguma forma para alguém. Desejo boa sorte no concurso! Obrigada por deixar seu comentário. Grande abraço, Aléxia Lage.
Boas Alexia;
Gostei da postagem..gostaria de aprender mais sobre segurança,ainda estou começando neste ramo.
Alexia,gostaria de saber como pode ajuara-me a criar um documento sobre comite de gestão de segurança de informação.
Beijoooo
Olá Ligia! Antes de mais nada, para criar qualquer documento ou política relacionada à segurança, esteja atenta à realidade da empresa ou órgão. O que ela realmente precisa em termos de segurança? Quais são os recursos envolvidos e dos quais poderá efetivamente se dispor? Muita gente elabora documentos, às vezes simples cópia do que encontram por aí, sem avaliar a viabilidade de execução e cumprimento do que está descrito. Muita atenção neste ponto!!! E uma sugestão minha: faça um documento simples e que possa ter suas disposições executadas e cumpridas. Para você se inspirar e ter uma ideia do que normalmente se coloca, veja estes exemplos:
http://dsic.planalto.gov.br/documentos/in_01_gsidsic.pdf
http://www.stf.jus.br/ARQUIVO/NORMA/RESOLUCAO371-2008.PDF
http://ri.bmfbovespa.com.br/upload/portal_investidores/pt/governanca_corporativa/estatutos_politicas/Politica_da_Seguranca_da_Informacao.pdf
Espero que possa lhe ser útil. Grande abraço, Aléxia Lage
Olá!!!
Gostei muito dos seus artigos!
Estou estudando para concursos e gostaria de saber onde posso fazer o download dessa norma.
Agradeço desde já!
Muito bom o artigo. Estou estudando para a prova de Gestão de SI e esclareceu as minhas dúvidas. Estou aguardando os demais post. Sua didática é ótima.
Deu vontade de ler mais.