Centro da Qualidade, Segurança e Produtividade

O QSP é uma associação técnico-científica voltada à capacitação de profissionais e ao apoio técnico a organizações nas áreas de Gestão de Riscos, QSMS, Lean Seis Sigma e temas relacionados.

                           
   

A NOVA NORMA INTERNACIONAL 
ISO 27005
DE GESTÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO

No Brasil, lançamento ocorreu no dia 31 de julho com o código ABNT NBR ISO/IEC 27005:2008.

por Francesco De Cicco*
QSP/NGR - Núcleo de Gestão de Riscos

Organizações de todos os tipos e tamanhos estão cada vez mais preocupadas com as ameaças que podem comprometer a segurança de suas informações. E gerenciar esse aspecto tem se tornado a principal prioridade de suas áreas de Tecnologia da Informação. A nova norma internacional e brasileira ISO 27005 - Tecnologia da informação - Técnicas de segurança - Gestão de riscos de segurança da informação - auxiliará, sem dúvida nenhuma, as organizações a administrar tais riscos.

Ameaças podem ser intencionais ou acidentais e podem se relacionar tanto ao uso e aplicação de sistemas de TI como aos seus aspectos físicos e ambientais. Essas ameaças podem assumir diversas formas desde furto de mídia, documentos e equipamentos, forjamento de direitos, espionagem a distância, escuta não-autorizada, até fenômenos climáticos e sísmicos, incêndio, inundação e radiação eletromagnética.

As conseqüências dessas ameaças podem ser traduzidas por vários impactos nos negócios das organizações como, por exemplo, perdas financeiras, paralisacão de serviços essenciais, perda de confiança dos clientes, pane no fornecimento de energia e falhas de telecomunicações.

Um risco, no contexto da nova ISO 27005:2008, é a combinação das conseqüências que se seguirão à ocorrência de um evento indesejado e da probabilidade de ocorrência desse evento. A avaliação de riscos quantifica ou descreve qualitativamente um risco e permite aos gestores priorizar os riscos de acordo com a sua severidade ou com outros critérios estabelecidos pela organização.

A ISO 27005 fornece as diretrizes para o gerenciamento dos riscos de segurança da informação (SI) e dá sustentação aos conceitos especificados na ISO 27001:2005, a norma de requisitos de sistemas de gestão da SI, além de auxiliar sobremaneira na implementação e certificação de tais sistemas de gestão.

De acordo com a nova norma, o processo de gestão de riscos de SI é composto pelas seguintes atividades:

Os especialistas do QSP/NGR - Núcleo de Gestão de Riscos desenvolveram uma metodologia própria para a implementação nas organizações da ISO 27005, totalmente flexível e adaptável, por exemplo, ao escopo do sistema de gestão da segurança da informação (SGSI) da empresa ou ao seu contexto interno e externo.

A ISO 27001, a exemplo de outras normas de sistemas de gestão, também adota o modelo PDCA (Plan, Do, Check, Act), o qual é aplicado para estruturar todos os processos do SGSI. Agora cabe a pergunta: como tais processos do SGSI se alinham ao processo de gestão de riscos recomendado pela ISO 27005? A tabela a seguir responde rapidamente a essa questão...

Processos do SGSI Processo de gestão de riscos de SI
Planejar
  • Definição do contexto

  • Análise/avaliação de riscos

  • Definição do plano de tratamento do risco

  • Aceitação do risco

Executar
  • Implementação do plano de tratamento do risco

Verificar
  • Monitoramento contínuo e análise crítica de riscos

Agir
  • Manter e melhorar o processo de gestão de riscos de segurança da informação

A série de normas ISO 27000 foi reservada pela ISO - Organização Internacional de Normalização - exclusivamente para assuntos de segurança da informação. Isso se relaciona, naturalmente, a diversas outras áreas, como as séries ISO 9000 (gestão da qualidade) e ISO 14000 (gestão ambiental).

A série ISO 27000 está sendo povoada por várias normas individuais, algumas delas bastante conhecidas e já publicadas pela ISO. Outras serão definidas, desenvolvidas e publicadas paulatinamente nos próximos meses e anos. A matriz a seguir reflete a posição atual das principais normas operacionais da série 27000.

ISO 27001:2005
(também publicada como NBR em 2006)
Especificação de sistemas de gestão da segurança da informação (SGSI). Pode ser utilizada pelas partes interessadas internas e externas para avaliar a conformidade. Substituiu a antiga norma BS 7799-2.

ISO 27002:2005
(também publicada como NBR em 2005)
Código de prática para a gestão da segurança da informação. Originalmente numerada como ISO 17799 (a qual, por sua vez, era antes conhecida como norma BS 7799-1).

ISO 27003
Este é o número oficial da futura norma que irá fornecer diretrizes para a implementação de um SGSI.

ISO 27004
Este é o número oficial da futura norma que irá auxiliar as organizações a medir a eficácia de seus sistemas de gestão da SI.

ISO 27005:2008
(também publicada como NBR em 2008)
Fornece diretrizes para o processo de gestão de riscos de segurança da informação (SI). Visa a facilitar a implementação eficaz da SI tendo como base a gestão de riscos.

ISO 27006:2007
Norma de requisitos para a acreditação de organizações que oferecem serviços de certificação de sistemas de gestão da SI.

Uma última pergunta: qual a relação entre a ISO 27005 e a futura ISO 31000 - Risk management - Principles and guidelines on implementation?

A futura ISO 31000, que será publicada em 2009 pela ISO (e no Brasil pela ABNT), será a norma "guarda-chuva", que fornecerá os princípios, o framework e o processo geral de Gestão de Riscos. Por se tratar de uma norma de alto nível, a ISO 31000 não concorrerá com os padrões já existentes, e permitirá o alinhamento com outras normas específicas, como é o caso, por exemplo, da ISO 27005...

A norma brasileira ABNT NBR ISO/IEC 27005:2008 pode ser adquirida através do site: www.abnt.org.br.

(*) Francesco De Cicco é engenheiro, especializado em Gestão de Riscos, diretor executivo do QSP - Centro da Qualidade, Segurança e Produtividade - e coordenador do NGR - Núcleo de Gestão de Riscos. Contatos: qsp@qsp.org.br e (11) 3704-3200.

 Leia também:

 

    Untitled
 

HOME | MAPA DO SITE | FALE CONOSCO | CADASTRE-SE | ASSOCIE-SE | PUBLICAÇÕES

© 1991 – 2017, QSP.  Todos os direitos reservados