Home / Dicas / Sistema de Gestão de Segurança da Informação

Sistema de Gestão de Segurança da Informação

Seis passos para implementar um Sistema de Gestão de Segurança da Informação

Sistema de Gestão

ESET América Latina discute o que levar em conta ao desenvolver um sistema que alie bom funcionamento e proteção no dia a dia.

A ESET, líder em detecção proativa de ameaças, aborda os pontos de partida para o desenvolvimento de um Sistema de Gestão de Segurança da Informação (SGSI), dando ênfase nos aspectos que devem ser considerados antes da implementação da ISO 27001, e que se mostrem úteis durante as fases de planejamento e operação do SGSI dentro de uma organização.

“Por ser um processo contínuo de manutenção e revisão, a gestão da segurança da informação constitui um conjunto de engrenagens compostas por diferentes fatores e elementos.

De início, isso significa projetar, implementar e manter uma série de processos que permitam o gerenciamento eficiente de informações;

Garantindo assim integridade, confidencialidade e disponibilidade.

É possível também criar um modelo próprio de gerenciamento, desde que sejam considerados todos os fatores essenciais do ciclo para que o sistema seja eficiente”;

Diz Camilo Gutierrez, diretor do Laboratório de Pesquisa da ESET América Latina.

Embora não haja um passo a passo sobre como implementar um gerenciamento padrão;

Existem fatores essenciais para uma melhor projeção dos esforços e conquista de resultados aceitáveis.

 

Leia também: MIND THE SEC, maior evento de Segurança da informação

 

Os aspectos a considerar em um Sistema de Gestão são:

  1. Apoio e patrocínio

O principal elemento que deve ser levado em conta antes da implementação é o respaldo da alta administração;

Em relação às atividades de segurança da informação, especialmente ao iniciar a operação de um SGSI.

O suporte e o empenho desta área refletem um esforço conjunto, diferentemente de um projeto isolado e gerenciado por um único colaborador.

Igualmente, a formação de estruturas complexas dentro das organizações é útil;

O que permite a cooperação dos representantes de diferentes áreas em funções relevantes.

 

  1. Estrutura para tomada de decisões

Uma boa prática é desenvolver a estrutura adequada para a tomada de decisões em torno do sistema de gestão.

Com a criação de um fórum ou comitê de segurança, é possível efetivar o que foi determinado como governança da segurança da informação;

Ou seja, todas as responsabilidades e ações exercidas pela alta administração em termos de segurança.

 

  1. Análise de brechas

A análise de brechas ou GAP Analysis é um estudo preliminar que permite conhecer a maneira como uma organização lida em termos de segurança da informação.

Quando comparadas às melhores práticas reconhecidas na indústria, são usados critérios estabelecidos como padrões.

A análise estabelece a diferença entre a performance atual e a desejada.

Embora esse diagnóstico seja aplicável a qualquer norma certificável, geralmente é realizado para novos esquemas de certificação;

Que são os que geram mais dúvidas nas organizações, por serem novidade.

 

  1. Análise de impacto no negócio

A análise de impacto do negócio (BIA, em inglês);

É um elemento usado para prever as consequências em caso de incidente ou desastre dentro de uma organização.

O objetivo principal é fornecer uma base para identificar os processos críticos para a operação de uma organização e a priorização desse conjunto de processos, seguindo o critério de quanto maior o impacto, maior será a prioridade.

 

  1. Recursos, tempo, dinheiro e pessoal

Com base nos resultados da análise, é possível estimar os elementos necessários para a implementação da ISO / IEC 27001.

No caso do primeiro ciclo de operação, recomenda-se um período com menor carga de trabalho para implementação;

Permitindo planejamento adequado ou, se necessário, a contratação de novos funcionários focados nesta tarefa.

É recomendável que o tempo dedicado ao sistema de gerenciamento não exceda um período superior a um ano antes do primeiro ciclo estar completo;

Devido a diferentes razões, como mudanças contínuas nos riscos, alteração das prioridades da administração em relação a proteção de ativos, aparição de novas ameaças, entre outros.

 

  1. Revisão dos padrões do Sistema de Gestão de segurança

É necessário conhecer a ISO / IEC 27000;

Norma que permite entender os princípios sobre os quais a implementação de um ISMS se baseia.

A ISO / IEC 27000 contém o glossário de todos os termos utilizados na série 27000;

Um resumo geral desta família de padrões, bem como uma introdução ao SGSI.

Cada implementação é diferente devido às condições, necessidades e recursos de cada organização.

No entanto, esses elementos podem ser aplicados de forma geral;

Uma vez que os padrões definem o que deve ser feito, mas não a maneira de fazê-lo.

“Por meio das melhores práticas da indústria e do consenso de especialistas no assunto, estes elementos podem ser essenciais para o sucesso da iniciativa de operar e manter um SGSI dentro da empresa, com o objetivo de proteger informações e outros ativos”;

Conclui Gutiérrez.

Para saber mais sobre Gestão de Segurança Corporativa, a empresa convida você a acessar um curso on-line na;

ACADEMIA ESET (em espanhol): https://www.academiaeset.com/default/store/13164-gestion-de-la-seguridad-de-la-informacion-corporativa

 

Para outras informações, visite o WeLiveSecurity, portal de notícias de segurança informática da ESET: https://www.welivesecurity.com/br/

________________________________________

 

Sobre a ESET

 

Desde 1987, a ESET® desenvolve soluções de segurança que ajudam mais de 100 milhões de usuários a usar tecnologia com segurança.

Seu portfólio de soluções oferece às empresas e aos consumidores em todo o mundo um equilíbrio perfeito de desempenho e proteção proativa.

A empresa possui uma rede global de vendas que abrange 180 países e tem escritórios em;

Bratislava, São Diego, Cingapura, Buenos Aires, Cidade do México e São Paulo.

Para mais informações, visite http://www.eset.com.br/ ou nos siga no LinkedIn, Facebook e Twitter.

 

Desde 2004, a ESET opera na América Latina.

Onde conta com uma equipe de profissionais capacitados a responder às demandas do mercado local de forma rápida e eficiente;

A partir de um Laboratório de Pesquisa focado na investigação e descoberta proativa de várias ameaças virtuais.

Copyright © 1992–2017 ESET. Todos os direitos reservados.

ESET e NOD32 são marcas registradas da ESET.

Outros nomes são marca registrada de suas respectivas empresas.

About Paulo Fernandes Maciel

Leave a Reply

Your email address will not be published. Required fields are marked *

*