Baixe Norma iso - 17799 - Segurança da Informação e outras Notas de estudo em PDF para Informática, somente na Docsity!
NORMA ISO/IEC 17799
Diana Dutra ¹ Escola Superior de Criciúma – ESUCRI RESUMO A norma ISO/IEC 17799 é uma norma aplicada à segurança da informação, seu objetivo é prever, prevenir e proteger qualquer tipo de ameaças às informações armazenadas ou envolvidas em sistemas ou equipamentos computacionais, hardware ou software. É aplicada em empresas, sejam de pequeno a grande porte. Seguindo esta norma as empresas asseguram maior proteção aos seus arquivos e informações importantes para o seu negócio. Palavras-chave: ISO/IEC 17799; Segurança da Informação; SGSI.
1 INTRODUÇÃO
A informação é um bem patrimonial das empresas, assim como os clientes e o capital financeiro, por exemplo. Nos últimos anos ela se tornou valiosa e imprescindível para o andamento dos negócios. Com o mercado cada dia mais globalizado, a tomada de decisão exige agilidade, rapidez e segurança na sua execução para não perder as oportunidades de negócio, para que isto ocorra as informações devem estar disponíveis e seguras. “... A democratização da informação e quais os critérios para a sua utilização se tornaram questão de sobrevivência para as empresas...” (PFLEEGER, 1997). Das últimas décadas até hoje, a começar pelas grandes empresas e hoje desde as micro – empresas, as organizações estão investindo nos sistemas de informação e estrutura de TI. Estes investimentos englobam estrutura física, Data Center, servidores de e-mail, de banco de dados e também sistemas como ERP e SIG, enfim uma estrutura de TI completa e interligada com os processos da organização. O ideal é que todo este investimento em TI seja aplicado seguindo uma política de segurança para manter todo este sistema em funcionamento seguro garantindo a integridade e confidencialidade da informação final. Para que isso ocorra foi criada a norma ISO/IEC 17799, uma norma de segurança específica para a tecnologia da informação.
2 ISO/IEC 17799
A norma ISO/IEC 17799 é de origem britânica, surgiu em 1987, através do UK DTI (Departamente of Trade Center) que criou o CCSC (Comercial Computer Security Centre), cujo objetivo era a criação de critérios para a avaliação da segurança e de um código de segurança para os usuários das informações, de uma forma geral. No ano de 1989 foi publicada a primeira versão do código de segurança, que na época foi denominado de PD0003 - Código de Gerenciamento de Segurança da Informação. Desde então a norma veio passando por melhorias e atualizações, atualmente, o comitê ISO/IEC JCT1 SC27 é o mantenedor e o responsável pela revisão da ISO/IEC 17799. Segundo (COSTA, 2007, p. 2). “as vulnerabilidades são as fraquezas presentes nos mecanismos de comunicação que podem ser exploradas, intencionalmente ou não, resultando na quebra de um ou mais princípios de segurança da Informação. A norma ISO/IEC 17799 é voltada para a segurança da informação. Que por sua vez é usada para prever, prevenir e proteger qualquer tipo de ameaças e vulnerabilidades nas informações que podem ser encontradas em diversas formas, escritas, digitais, imagens, gravações, entre outras que tenham qualquer valor para uma empresa, de forma que sua violação ou perda possa causar prejuízos à mesma. Os tipos de falhas e fragilidades trabalhados pela ISO/IEC 17799 envolvem desde brechas que liberam acesso externo e violação às informações , como vírus, e-mails com spam, acesso a sites sem certificado de segurança digital até danos materiais e acidentais como perdas, incêndios, quebras, roubos, violação de equipamentos e estrutura de TI. A Norma cobre todos os tipos de organizações (por exemplo, empreendimentos comerciais, agências governamentais, organizações sem fins lucrativos). Esta Norma especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI- sistema de gestão de segurança da informação- documentado dentro do contexto dos riscos de negócio globais da organização. Ela especifica requisitos para a implementação de controles de segurança personalizados para as necessidades individuais de organizações ou suas partes. “... A segurança das informações passou a ser uma área crítica, pois quanto maior a facilidade de acessá-las,
Se dedica a promover a melhoria dos processos de gestão da segurança, com base nos cenários que a empresa se encontra e nos objetivos que deseja alcançar.
4 ESTRUTURA DA NORMA
A estrutura da ISO/IEC 17799 contém 11 seções de controles de segurança da informação, onde cada seção contém um número de categorias principais de segurança da informação que juntas totalizam 39 categorias principais de segurança e uma seção introdutória que aborda a análise/avaliação e o tratamento de riscos. As 11 seções são: a) Política de Segurança da Informação: Prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes. b) Organizando a Segurança da Informação: Gerenciar a segurança da informação dentro da organização. c) Gestão de Ativos: Alcançar e manter a proteção adequada dos ativos da organização. d) Segurança em Recursos Humanos: Assegurar que os funcionários, fornecedores e terceiros entendam suas responsabilidades e estejam de acordo com os seus papéis, e reduzir o risco de roubo, fraude ou mau uso de recursos. e) Segurança Física e do Ambiente: Prevenir o acesso físico não autorizado, danos e interferências com as instalações e informações da organização. f) Gestão das Operações e Comunicações: Garantir a operação segura e correta dos recursos de processamento da informação. g) Controle de Acesso: Controlar acesso à informação.
h) Aquisição , Desenvolvimento e Manutenção de Sistemas de Informação: Implementação sistemas de informação destinados a apoiar o processo de negócios podem ser cruciais para a segurança. Garantindo que a segurança seja parte integrante destes sistemas. i) Gestão de Incidentes de Segurança da Informação: Assegurar que fragilidades e eventos de segurança da informação associados com sistemas de informação sejam comunicados, permitindo a tomada de ação corretiva em tempo hábil. j) Gestão da Continuidade do Negócio: Não permitir a interrupção das atividades do negócio e proteger os processos críticos contra efeitos de falhas ou desastres significativos, e assegurar a sua retomada em tempo hábil, se for o caso. k) Conformidade: Evitar violação de qualquer lei criminal ou civil, estatutos, regulamentações ou obrigações contratuais e de quaisquer requisitos de segurança da informação.
5 CONCLUSÃO
Com a norma ISO/IEC 17799 as empresas garantem maior segurança para os seus dados e informações. A norma aborda um conjunto de controles pré definidos que são adaptados ao cenário da empresa, com o objetivo de proteger as informações contra acessos indevidos, contra perda ou alterações que possam gerar prejuízos para a organização. Nos dias atuais é muito importante este controle e a aplicação de políticas de segurança da informação, já que as empresas estão investindo em estruturas de TI, e inseridas no ambiente digital estão muito vulneráveis a ataques e perdas. E garantindo segurança para o seu patrimônio também garantem para seus clientes e parceiros, aumentando sua credibilidade e comprometimento com um trabalho de qualidade.
