Embed Size (px)
Citation preview
Centro da Qualidade, Segurança e Produtividade
Destaque: Cursos In Company do QSP
A NOVA NORMA INTERNACIONAL ISO 27005 DE GESTÃO DE RISCOS DE
SEGURANÇA DA INFORMAÇÃO
No Brasil, lançamento ocorreu no dia 31 de julho com o código ABNTNBR ISO/IEC 27005:2008.
por Francesco De Cicco*QSP/NGR - Núcleo de Gestão de Riscos
Organizações de todos os tipos e tamanhos estão cada vez mais preocupadas com as ameaças que podemcomprometer a segurança de suas informações. E gerenciar esse aspecto tem se tornado a principal prioridadede suas áreas de Tecnologia da Informação. A nova norma internacional e brasileira ISO 27005 - Tecnologia dainformação - Técnicas de segurança - Gestão de riscos de segurança da informação - auxiliará, sem dúvidanenhuma, as organizações a administrar tais riscos.
Ameaças podem ser intencionais ou acidentais e podem se relacionar tanto ao uso e aplicação de sistemas de TIcomo aos seus aspectos físicos e ambientais. Essas ameaças podem assumir diversas formas desde furto demídia, documentos e equipamentos, forjamento de direitos, espionagem a distância, escuta não-autorizada, atéfenômenos climáticos e sísmicos, incêndio, inundação e radiação eletromagnética.
As conseqüências dessas ameaças podem ser traduzidas por vários impactos nos negócios das organizaçõescomo, por exemplo, perdas financeiras, paralisacão de serviços essenciais, perda de confiança dos clientes, paneno fornecimento de energia e falhas de telecomunicações.
Um risco, no contexto da nova ISO 27005:2008, é a combinação das conseqüências que se seguirão àocorrência de um evento indesejado e da probabilidade de ocorrência desse evento. A avaliação de riscosquantifica ou descreve qualitativamente um risco e permite aos gestores priorizar os riscos de acordo com a suaseveridade ou com outros critérios estabelecidos pela organização.
A ISO 27005 fornece as diretrizes para o gerenciamento dos riscos de segurança da informação (SI) e dásustentação aos conceitos especificados na ISO 27001:2005, a norma de requisitos de sistemas de gestão da SI,além de auxiliar sobremaneira na implementação e certificação de tais sistemas de gestão.
De acordo com a nova norma, o processo de gestão de riscos de SI é composto pelas seguintes atividades:
QSP - Centro da Qualidade, Segurança e Produtividade http://www.qsp.org.br/artigo_27005.shtml
1 de 3 11/03/2011 17:31
Os especialistas do QSP/NGR - Núcleo de Gestão de Riscos desenvolveram uma metodologia própria para aimplementação nas organizações da ISO 27005, totalmente flexível e adaptável, por exemplo, ao escopo dosistema de gestão da segurança da informação (SGSI) da empresa ou ao seu contexto interno e externo.
A ISO 27001, a exemplo de outras normas de sistemas de gestão, também adota o modelo PDCA (Plan, Do,Check, Act), o qual é aplicado para estruturar todos os processos do SGSI. Agora cabe a pergunta: como taisprocessos do SGSI se alinham ao processo de gestão de riscos recomendado pela ISO 27005? A tabela a seguirresponde rapidamente a essa questão...
Processos do SGSI Processo de gestão de riscos de SI
Planejar
Definição do contexto
Análise/avaliação de riscos
Definição do plano de tratamento do risco
Aceitação do risco
Executar Implementação do plano de tratamento do risco
QSP - Centro da Qualidade, Segurança e Produtividade http://www.qsp.org.br/artigo_27005.shtml
2 de 3 11/03/2011 17:31
Verificar Monitoramento contínuo e análise crítica de riscos
AgirManter e melhorar o processo de gestão de riscos de segurança dainformação
A série de normas ISO 27000 foi reservada pela ISO - Organização Internacional de Normalização -exclusivamente para assuntos de segurança da informação. Isso se relaciona, naturalmente, a diversas outrasáreas, como as séries ISO 9000 (gestão da qualidade) e ISO 14000 (gestão ambiental).
A série ISO 27000 está sendo povoada por várias normas individuais, algumas delas bastante conhecidas e jápublicadas pela ISO. Outras serão definidas, desenvolvidas e publicadas paulatinamente nos próximos meses eanos. A matriz a seguir reflete a posição atual das principais normas operacionais da série 27000.
ISO 27001:2005(também publicada como NBR em 2006)Especificação de sistemas de gestão da segurança dainformação (SGSI). Pode ser utilizada pelas partesinteressadas internas e externas para avaliar aconformidade. Substituiu a antiga norma BS 7799-2.
ISO 27002:2005(também publicada como NBR em 2005)Código de prática para a gestão da segurança dainformação. Originalmente numerada como ISO 17799(a qual, por sua vez, era antes conhecida como normaBS 7799-1).
ISO 27003Este é o número oficial da futura norma que irá fornecerdiretrizes para a implementação de um SGSI.
ISO 27004Este é o número oficial da futura norma que irá auxiliaras organizações a medir a eficácia de seus sistemas degestão da SI.
ISO 27005:2008(também publicada como NBR em 2008)Fornece diretrizes para o processo de gestão de riscosde segurança da informação (SI). Visa a facilitar aimplementação eficaz da SI tendo como base a gestãode riscos.
ISO 27006:2007Norma de requisitos para a acreditação de organizaçõesque oferecem serviços de certificação de sistemas degestão da SI.
Uma última pergunta: qual a relação entre a ISO 27005 e a futura ISO 31000 - Risk management - Principlesand guidelines on implementation?
A futura ISO 31000, que será publicada em 2009 pela ISO (e no Brasil pela ABNT), será a norma "guarda-chuva", que fornecerá os princípios, o framework e o processo geral de Gestão de Riscos. Por se tratar de umanorma de alto nível, a ISO 31000 não concorrerá com os padrões já existentes, e permitirá o alinhamento comoutras normas específicas, como é o caso, por exemplo, da ISO 27005...
A norma brasileira ABNT NBR ISO/IEC 27005:2008 pode ser adquirida através do site: www.abnt.org.br.
(*) Francesco De Cicco é engenheiro, especializado em Gestão de Riscos, diretor executivo do QSP - Centro daQualidade, Segurança e Produtividade - e coordenador do NGR - Núcleo de Gestão de Riscos. Contatos:[email protected] e (11) 3704-3200.
Leia também:
Curso: Capacitação em Gestão de Riscos e Auditoria Baseada em Riscos
Manual: Gestão de Riscos - A norma AS/NZS 4360:2004
Serviço: Implantação da ISO 27001:2005 de Gestão da Segurança da Informação
Texto: O que é Auditoria Baseada em Riscos (ABR)?
Texto: Planejamento de Contingências (Planos para Crises, Emergências, Continuidade de Negócios eRecuperação)
Handbook: A Practitioners Guide to Business Continuity Management
HOME | MAPA DO SITE | FALE CONOSCO | CADASTRE-SE | LOJA
© 1997 – 2011, QSP. Todos os direitos reservados
QSP - Centro da Qualidade, Segurança e Produtividade http://www.qsp.org.br/artigo_27005.shtml
3 de 3 11/03/2011 17:31
