O que é SGSI?

O que é SGSI?

SGSI é a sigla para Sistema de gestão de segurança da informação. Ele engloba:

  • Segurança da informação: Preservação da confidencialidade, integridade e disponibilidade da informação.
  • Sistema de gestão: Atividades coordenadas para dirigir e controlar uma organização.
  • Sistema de gestão de segurança da informação (SGSI): Atividades coordenadas para dirigir e controlar a preservação da confidencialidade, integridade e disponibilidade da informação.

SGSI

A atual abordagem baseada em processos para sistemas de gestão é derivada do trabalho de W. Edwards Deming e do mundo da Gestão da Qualidade Total (TQM). A sua abordagem holística e baseada em processos ao sector industrial foi inicialmente ignorada, mas acabou por ser adoptada após o rápido aumento da qualidade dos produtos japoneses na década de 1960.

Embora inicialmente considerado relevante apenas para um ambiente de linha de produção, os conceitos de TQM têm sido aplicados com sucesso a muitos outros ambientes.

Conceito

O SGSI é um exemplo de aplicação do modelo conceitual de sistema de gestão à disciplina de segurança da informação. Os atributos exclusivos desta instância de um sistema de gerenciamento incluem o seguinte:

  • Gestão de riscos aplicada à informação e baseada em métricas de confidencialidade, integridade e disponibilidade
  • TQM aplicado a processos de segurança da informação e baseado em métricas de eficiência e eficácia
  • Um modelo de monitoramento e relatórios baseado em camadas de abstração que filtram e agregam detalhes operacionais para apresentação gerencial
  • Uma abordagem estruturada para integrar pessoas, processos e tecnologia para fornecer serviços de segurança da informação empresarial
  • Uma estrutura extensível para gerenciar a conformidade de segurança da informação

Por que um SGSI é benéfico?

Superficialmente, o SGSI pode parecer um exercício burocrático. Embora isto possa ser verdade, o benefício do SGSI supera em muito a documentação resultante. De igual ou maior valor são os processos de pensamento, a consciência e a tomada de decisão informada resultantes.

Defensável

A estrutura inerente a um SGSI apresenta orientação e autorização claras. A direção da gestão executiva está ligada ao detalhe operacional. Os detalhes são derivados de tomadas de decisão documentadas e informadas. A medição e o monitoramento garantem uma consciência razoável do ambiente de segurança da informação. Essa devida diligência documentada fornece uma postura defensável.

Um SGSI baseado em padrões permite maior defensibilidade através da validação de terceiros, como a certificação para o padrão de gerenciamento de segurança da informação ISO27001. Essa defensabilidade funciona quer alguém seja um consumidor ou uma fonte de informação. Optar por fazer negócios com um parceiro validado externamente é uma decisão defensável.

Diferenciador

Um SGSI pode servir como um diferenciador de mercado, bem como melhorar a percepção e a imagem. Comercializar seus serviços de informação para parceiros ou clientes externos de compartilhamento de informações exige um certo grau de confiança de todas as partes. O esforço extra da certificação de segurança da informação torna a sua decisão defensável.

Facilitador de negócios

Um SGSI pode servir como um guarda-chuva para cobrir vários componentes regulatórios simultaneamente. A maioria dos regulamentos relevantes tratam de tipos de dados muito específicos, como informações de saúde ou financeiras.

Os controles implantados para uma regulamentação e gerenciados por um SGSI abrangente ou geral geralmente atendem aos requisitos de diversas regulamentações simultaneamente. A maioria das regulamentações legais também exige uma gestão demonstrável da segurança da informação, algo inerente a um SGSI. As potenciais poupanças de custos legais e regulamentares de um SGSI abrangente são óbvias.

Um SGSI permite e geralmente é baseado no risco. A análise e classificação de risco podem servir como uma justificativa fundamental para a seleção e implantação de controles que povoam o SGSI. Um SGSI baseado em risco, tal como exigido pela norma ISO27001, permite que as empresas aceitem riscos com base na tomada de decisões informadas. Esta capacidade de aceitar riscos permite que as empresas reajam ao seu ambiente, e não à interpretação de outra pessoa sobre o seu ambiente.

Um SGSI baseado em padrões oferece a base para uma maior interoperabilidade com parceiros comerciais de informações. A estrutura do SGSI facilita a interface e é extensível para absorver futuras expansões ou mudanças. A terminologia padronizada facilita a comunicação.

Estrutura

Um SGSI traz estrutura ao Programa de Segurança da Informação. Com orientação e autorização claras, as funções são compreendidas. Funções ou serviços definidos permitem a derivação de tarefas que podem ser delegadas. As métricas podem ser coletadas e analisadas, produzindo feedback para “melhoria contínua do processo”.

Em muitas situações, a criação de um SGSI inspira e gera sistemas de gestão complementares em outras disciplinas, como recursos humanos, segurança física, continuidade de negócios, e muito mais. A estrutura e os princípios do sistema de gestão transcendem as disciplinas e tendem a melhorar a interoperação multidisciplinar.

Quem participa de um SGSI?

Um SGSI transcende uma organização da sala da diretoria até o data center. Normalmente existem três camadas organizacionais com quatro públicos muito distintos.

Conselho

O conselho de administração normalmente fornece a visão organizacional e os princípios orientadores em resposta ao gerenciamento de riscos em diversas frentes, desde a conformidade regulatória até a responsabilidade fiduciária. O conselho de administração participa do SGSI por meio de capacitação. Esta capacitação ou autorização é um controle estratégico em resposta a riscos como não conformidade regulatória e irresponsabilidade fiduciária.

Equipe Executiva

Os executivos seniores são os típicos proprietários de programas que seriam gerenciados por um sistema de gestão. Os sistemas de gestão melhoram a integração e visibilidade horizontal e vertical de uma organização. Os executivos seniores participam do SGSI por meio da definição e prestação de serviços à empresa pelo programa, como gerenciamento de incidentes.

Gerenciamento

Os diretores gerenciam as táticas necessárias para fornecer os serviços do programa. Num SGSI baseado em processos, os serviços do programa são fornecidos por um conjunto de processos complementares e integrados. Diretores participam do SGSI por meio da definição, execução e melhoria contínua desses processos relevantes de segurança da informação, como conter, erradicar, restaurar.

Operações

Os gerentes implementam o programa em nível operacional. O SGSI gerará metodologias e requisitos padronizados, codificados em processos e padrões organizacionais. Os gerentes participam do SGSI através da integração de pessoas, procedimentos e tecnologia em resposta a essas diretrizes organizacionais.

Onde fica o SGSI?

Um SGSI vive dentro de uma organização, desde a sala da diretoria até a área de produção, cada estrato atendendo a uma necessidade diferente.

Empresa

No nível empresarial, o SGSI existe na forma de uma linha de base mínima de segurança da informação empresarial criada em resposta direta ao risco de segurança da informação empresarial abordado pela alta administração. A linha de base da segurança da informação corporativa geralmente consiste em padrões, processos e funções ou responsabilidades de segurança da informação corporativa. A aceitação do risco de não conformidade com a linha de base de segurança da informação tem importância para a segurança da informação em toda a empresa.

Domínios de Segurança da Informação

No nível operacional, um SGSI reside em múltiplos locais e instâncias, com base em áreas funcionais ou domínios de segurança da informação. Um domínio típico de segurança da informação pode ser um data center, uma área de escritório ou uma área de recepção, cada um com um perfil de segurança exclusivo. Os domínios de segurança da informação servem como base para a implementação da linha de base da segurança da informação empresarial. Cada domínio é autônomo na forma como adapta os requisitos básicos de segurança da informação empresarial ao seu ambiente exclusivo.

Entenda o ambiente

A estrutura e o conteúdo do SGSI devem levar em consideração o ambiente de gestão para ter sucesso. Considerações organizacionais influenciarão a estrutura do SGSI. As sensibilidades culturais podem alterar o uso da terminologia. Os requisitos regulamentares certamente influenciarão a abordagem, o conteúdo e a embalagem.

Avalie o risco empresarial

O risco empresarial é normalmente avaliado e abordado através de diretivas da gestão superior, tais como políticas corporativas. A avaliação de riscos empresariais de alto nível, como conformidade regulatória e responsabilidade fiduciária, são inerentemente compreendidas e abordada de forma intuitiva. As diretivas da gestão superior servem como autorização e capacitação dos programas de apoio à mitigação de riscos empresariais.

Por exemplo:

  • Uma política corporativa comportamental ou de uso aceitável capacita o treinamento comportamental proativo, bem como mecanismos reativos de detecção comportamental.
  • A política administrativa corporativa capacita iniciativas de eficiência apoiadas em métricas operacionais e melhoria contínua de processos.
  • A política legal ou regulatória corporativa estabelece requisitos inegociáveis incorporados como controles dentro do SGSI.

Programa de Segurança da Informação

O Programa de Segurança da Informação é a entidade organizacional autorizada e com poderes para criar e manter o SGSI para oferecer à empresa os serviços necessários para atender aos objetivos da política corporativa.

O Programa de Segurança da Informação não só oferece serviços, mas também exige serviços prestados externamente para manter a eficácia do programa. Um exemplo de dependência de programa pode ser um departamento de recursos humanos que realiza verificações de antecedentes para o Programa de Segurança da Informação. Um estatuto do programa pode servir como um veículo para documentar a autorização e a capacitação, bem como documentar e reconhecer as dependências do programa mutuamente reconhecidas.

Avalie o risco do programa

O risco do programa serve de base para selecionar os controles gerenciados pelo SGSI. Alguns riscos do programa foram analisados e abordados por outros que acreditam conhecer melhor o ambiente do profissional do que o profissional, resultando em regulamentações vinculativas. Alguns riscos do programa são óbvios e intuitivos, como o risco de sistemas de processamento de informações sem correção. Outros riscos do programa são mais insidiosos, como a agregação, quando riscos individuais inconsequentes se combinam para produzir riscos desproporcionais à soma. Por exemplo:

Não há firewall entre o Departamento A e o Departamento B. Isso é classificado como um risco menor e foi aceito por ambos os departamentos.

O Departamento B então implanta um servidor Web. O risco de abrir a porta 80 do Protocolo de Transferência de Hipertexto através do firewall externo do Departamento B (voltado para a Internet) é considerado um risco menor e foi aceito pelo Departamento B.

O segmento de rede anteriormente isolado do Departamento A não está mais isolado.

Um risco menor aceito pelo Departamento B causou uma aceitação de risco desconhecida pelo Departamento A. Existe agora um grande risco empresarial não reconhecido.

Um SGSI serve como veículo para coordenar a gestão de riscos e controles de mitigação de riscos. Os riscos identificados são quantificados e são atribuídos objetivos de controlo. Os objetivos de controle servem como a cola que justifica e vincula cada risco ao seu respectivo controle. A satisfação dos objetivos de controlo é priorizada pela quantificação do risco.

Crie uma linha de base de segurança da informação empresarial

Uma linha de base de segurança da informação corporativa serve como uma postura mínima comum de segurança da informação para a empresa. Isto, por sua vez, serve de base para a confiança entre áreas ou domínios operacionais porque todos são obrigados a cumprir esta linha de base mínima, que pode ser excedida conforme necessário.

Diretivas

As diretivas são controles que definem requisitos rígidos e mensuráveis. As diretivas podem ser derivadas de legislação, de padrões e práticas da indústria ou em resposta a riscos. Os controles diretivos são normalmente codificados em um conjunto de padrões, com conteúdo baseado na tomada de decisões informadas. Deve-se ter cuidado na elaboração das diretivas porque a tomada de decisões informadas implica um certo grau de aceitação de riscos. Aquilo que não é abordado é aceito por padrão.

Metodologias

Metodologias são controles que definem processos mensuráveis e repetíveis. As metodologias podem ser derivadas para satisfazer os requisitos das diretivas ou podem fazer parte de um conjunto de processos que fornecem um serviço de programa. As metodologias são normalmente codificadas como um fluxo de processo. Deve-se ter cuidado na elaboração de fluxos de processo para garantir que o processo possa ser medido e monitorado. Aquilo que não pode ser medido não pode ser melhorado.

Responsabilidades

A atribuição clara de responsabilidades é um controle que vincula uma função a uma atividade. As atividades podem ser derivadas para atender aos requisitos das diretrizes e podem ser realizadas através da execução de uma metodologia.

As responsabilidades são normalmente codificadas por meio de definições de funções funcionais. Deve-se ter cuidado ao definir funções funcionais para garantir que as responsabilidades atribuídas às funções sejam apoiadas por autorizações e qualificações exigidas pela função. As responsabilidades atribuídas devem ter a autorização, as qualificações e os recursos necessários.

Crie implementações específicas de domínio

Especificações

As especificações são controles operacionais específicos do domínio que definem detalhes concretos e mensuráveis, como configurações ou atributos. As especificações são derivadas de padrões de segurança de informações empresariais, com cada domínio potencialmente derivando interpretações exclusivas para um padrão comum, dependendo de cada ambiente exclusivo. Isso permite um certo grau de autonomia na execução. Deve-se ter cuidado ao derivar especificações para garantir interpretações específicas do domínio; embora atenda ao espírito e à intenção dos padrões pai, não causa incompatibilidade entre domínios.

Para evitar a introdução de riscos não identificados, as especificações devem atender ao espírito e à intenção da norma original.

Procedimentos

Os procedimentos operacionais padrão são controles que definem instruções de trabalho mensuráveis e repetíveis. Os procedimentos operacionais padrão são derivados de processos de segurança da informação empresarial, com cada domínio potencialmente derivando interpretações exclusivas, dependendo de cada ambiente exclusivo. Isso permite um certo grau de autonomia na execução. Deve-se tomar cuidado ao derivar procedimentos operacionais padrão para garantir que os atributos do processo pai sejam preservados. A execução de procedimentos operacionais padrão de domínio é a base dos serviços de segurança da informação empresarial.

Tarefas

Tarefas são atividades às quais é atribuída uma função funcional que executa um procedimento operacional padrão. As tarefas são específicas do domínio e orientadas por cronograma, com frequência de execução baseada no risco. Indivíduos que executam tarefas enquanto desempenham uma função estão cumprindo suas obrigações trabalhistas. O desempenho do dever é uma métrica do funcionário. Deve-se ter cuidado ao agendar tarefas e atribuir tarefas para garantir que o cronograma seja defensável e o indivíduo competente. A tarefa é uma métrica de desempenho dos funcionários.

Avalie o risco operacional

O risco operacional baseia-se no risco de um domínio não ser capaz de cumprir as suas obrigações derivadas da linha de base da segurança da informação empresarial, tais como especificações, procedimentos e tarefas agendadas. Este risco é muitas vezes motivado pelos recursos, colocando uma justificação de risco na orçamentação. A aceitação do risco operacional pode alterar o risco residual do programa e a agregação pode fazer com que o risco do programa suba para um nível inaceitável.

Medir e monitorar

Medição e monitoramento são o mecanismo de feedback necessário para a melhoria contínua do processo. O que monitorar e como medir exigem métricas bem definidas. Domínios típicos obterão diversas variedades de métricas.

Métricas Ambientais

As métricas ambientais são baseadas no entorno. O foco está na identificação do perfil de risco da empresa. Grupos industriais são uma consideração. Os serviços bancários e financeiros podem, por exemplo, atrair atacantes altamente motivados. O nível de sofisticação organizacional pode influenciar o nível de risco. Um domínio certificado pela ISO27001 pode, por exemplo, ter um nível de risco percebido mais baixo.

A localização pode tornar-se um fator influenciado pelas taxas de criminalidade ou pelos tempos de resposta a incêndios. Perfis de risco afetam a probabilidade. Isso pode ser utilizado para influenciar as classificações de risco no processo de gerenciamento de vulnerabilidades. Por exemplo, a probabilidade de uma vulnerabilidade específica ser explorada num banco é talvez maior do que num site de utilizador doméstico devido à motivação e ao alvo do atacante. Deve-se considerar a ponderação do risco e da resposta com base nessas métricas ambientais. Outro foco das métricas ambientais é estabelecer um quadro de referência ou limite de segurança da informação.

Sensores de intrusão, por exemplo, utilizam métricas ambientais para estabelecer linhas de base e limites de ruído de detecção.

Métricas do Programa

As métricas do programa baseiam-se na eficácia. O foco está em validar se o SGSI está fornecendo com sucesso os serviços que justificam a sua existência. Considere o gerenciamento de vulnerabilidades. Este serviço SGSI mede a eficácia, por exemplo, não pela rapidez com que uma vulnerabilidade pode ser identificada e processada (eficiência). A eficácia do gerenciamento de vulnerabilidades é medida pelo número de vulnerabilidades que nunca foram identificadas ou totalmente processadas.

Métricas de Processo

As métricas de processo são baseadas na eficiência. O foco está no ajuste fino dos procedimentos para maximizar o desempenho. Considere um processo de rastreamento de vulnerabilidades. A aquisição de novo software poderá, por por exemplo, diminuir o “tempo para resolução”, melhorando assim a eficiência das métricas.

Quando um SGSI protege?

Um SGSI protege gradualmente.

Grau de Garantia

Em um SGSI baseado em risco, o processo de avaliação de risco é parte integrante do ciclo de feedback que proporciona melhoria contínua do processo. Como o risco nunca pode ser completamente eliminado, procura-se um compromisso através do qual o risco residual seja reduzido a um nível aceitável. Isso é conhecido como grau de segurança. O Programa de Segurança da Informação é uma ferramenta de gestão de riscos. Do ponto de vista do programa, o SGSI protege quando o risco foi reduzido a um nível aceitável.

A questão importante é como definir este limite de “nível aceitável”. O grau de garantia implica um nível de aceitação de risco, mas o risco pode estar espalhado por todo o SGSI. Isto pode impedir uma atribuição simples de autorização de aceitação de risco. Um SGSI, por natureza, reconhece a necessidade de delegar a aceitação do risco, bem como de levar em consideração o risco agregado.

Grau de maturidade

Um SGSI baseado em processos conduz à modelagem de maturidade, porque os processos, por definição, devem produzir métricas de feedback que melhorem a maturação do processo. As escalas de modelagem de maturidade, como vistas nos esquemas do Modelo de Maturidade de Capacidade e outros, servem como uma linguagem comum com definição consistente de escala. O grau de maturidade desejado está, portanto, vinculado à escala de maturidade selecionada, bem como ao processo específico em avaliação. Um grau defensável de maturidade baseia-se numa escolha informada. Os processos podem variar em seu grau aceitável de maturidade, dependendo de fatores externos, como risco. Apesar disso, o SGSI protege à medida que seus processos atingem o grau de maturidade desejado.

Grau de Implementação

O grau de implementação está vinculado às operações e ao gerenciamento de projetos. Os projetos de segurança da informação no nível operacional estão vinculados a áreas operacionais específicas ou domínios de segurança. Esses projetos implantam controles específicos de domínio em resposta ao risco específico de domínio, agregando-se para aumentar o grau de garantia da empresa. Após a conclusão do projeto, o grau de implementação está completo e o controle agora está vinculado ao grau de maturidade. O SGSI protege à medida que pessoas, procedimentos e produtos se integram ao processo.

Resumo

O conceito de sistema de gestão está sendo aplicado em muitas disciplinas novas. Com a ratificação da norma ISO27001, o SGSI alcançou novo destaque, tornando-se em algumas áreas um requisito de facto.

Concluindo, um SGSI:

  • Integra o risco de segurança da informação ao gerenciamento de riscos corporativos
  • Documenta a tomada de decisão de escolha informada e a devida diligência
  • Fornece uma estrutura para conformidade regulatória
  • Oferece uma estrutura para integrar pessoas, processos e tecnologia de forma eficiente e eficaz
  • Fornece um mecanismo para monitoramento e relatórios
  • É favorável aos negócios e um diferencial de mercado
Facebook
Twitter
LinkedIn

posts relacionados

SGSI

O que é SGSI?

SGSI é a sigla para Sistema de gestão de segurança da informação. Ele engloba: Segurança da informação: Preservação da confidencialidade,

Leia mais »

Perguntas
frequentes

Nós falamos com o seu fornecedor atual e colhemos todas as informações necessárias diretamente com eles. Também podemos fazer o mapeamento de todas as informações diretamente na sua empresa.

SIM, é possível melhorar a qualidade e o desempenho e ainda reduzir custos. Essa eficiência é possível graças ao sistema de melhoria contínua que aplicamos há anos.

SIM, o time interno pode ser absorvido, com os profissionais se tornando colaboradores da Infonova.

SIM. Em conjunto com seu departamento, ou consultoria jurídica, ajudamos a implantar as ações de TI necessárias para adequação da LGPD.

A transição pode ocorrer com ou sem o apoio do fornecedor atual. A Infonova vai mapear todas as informações, identificar os itens críticos e realizar a transição de forma segura, sempre em alinhamento com o cliente.

Em geral é rápida. O tempo exato depende de cada situação. O prazo mais comum de transição em paralelo é entre 1 semana e 15 dias.

NÃO. Temos soluções para empresas de 10 a 2.500 colaboradores. Desenvolvemos uma metodologia para atender empresas em diversos segmentos, em situações de crescimento ou retenção.

Temos diversas soluções para proteger o acesso de usuários que ficam externos ou em home office.

SIM, trabalhamos com os principais provedores de nuvem e possuímos um datacenter próprio.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

FALE
COM UM
ESPECIALISTA