Neste artigo, abordaremos com mais detalhes o controle5.1 Políticas de Segurança da Informação, da nova norma ISO/IEC 27002, definido como as intenções e direção da organização, expressa formalmente por sua Alta Direção.
Segundo a norma, este controle visa assegurar a adequação contínua, suficiência, efetividade da direção de gestão e suporte à segurança da informação de acordo com os requisitos comerciais, legais, estatutários, regulamentares e contratuais.
Além da"política de segurança da informação" que é um requisito obrigatório da ISO 27001, definido como um documento alto nível que contém as diretrizes gerais estabelecidas pela Alta Direção, a norma também recomenda a criação de"políticas específicas por tema", contendo as intenções e direção sobre um assunto ou tema específico, formalmente expressas por regras ou normas estabelecidas pelo nível apropriado de gestão.
Algumas organizações usam outros termos para essas políticas específicas por tema.
Alguns termos e definições da norma relacionados às políticas são:
regra: princípio ou instrução aceita que declara as expectativas da organização sobre o que é necessário que seja feito, o que é permitido ou não permitido.
procedimento: modo especificado de realizar uma atividade ou um processo.
processo: conjunto de atividades inter-relacionadas ou interativas que utilizam entradas para entregar um resultado pretendido.
Controle 5.1
Políticas de Segurança da Informação
Convém que a política de segurança da informação e as políticas específicas por tema sejam definidas, aprovadas pela direção, publicadas, comunicadas e reconhecidas pelo pessoal pertinente e partes interessadas pertinentes, e analisadas criticamente em intervalos planejados e se ocorrer mudanças significativas.
Sobre a política de segurança da informação, convém que seja elaborada considerando-se a estratégia e requisitos de negócios, as regulamentações, legislação e contratos aplicáveis e, os riscos e ameaças atuais da organização.
Alguns itens recomendados para esta política são:
- definição de segurança da informação;
- objetivos de segurança da informação ou a estrutura para definir objetivos de segurança da informação;
- princípios para orientar as atividades relacionadas à segurança da informação;
- compromisso de satisfazer os requisitos aplicáveis relacionados à segurança da informação;
- compromisso com a melhoria contínua do sistema de gestão da segurança da informação;
- atribuição de responsabilidades para a gestão da segurança da informação para funções definidas, e
- procedimentos para tratamento de isenções e exceções.
Em um nível mais baixo, a política de segurança da informação precisa ser complementada por políticas específicas por tema, desenvolvidas e aprovadas por pessoal adequado, segundo seu nível de autoridade e competência técnica e que atendem determinados grupos-alvo e áreas de segurança.
Exemplos de temas para as políticas específicas por tema incluem: controle de acesso; segurança física e do ambiente; gestão de ativos; transferência de informações; configuração e manuseio seguros de dispositivos endpoint do usuário; segurança de redes; gestão de incidentes de segurança da informação; backup; criptografia e gerenciamento de chaves; classificação e tratamentos de informações; gestão de vulnerabilidades técnicas; desenvolvimento seguro.
Para garantir a melhoria contínua, convém que periodicamente estas políticas sejam analisadas criticamente e revisadas em resposta às eventuais mudanças na estratégia de negócios e ambiente técnico da organização. Deve-se considerar ainda o surgimento de novos regulamentos, estatutos, legislação e contratos bem como novos riscos e lições aprendidas com eventos e incidentes de segurança da informação.
Em algumas organizações, a política de segurança da informaçãoe aspolíticas específicas por tema podem estar em um único documento, ter diferentes formatos e nomes como normas, diretivas, políticas ou outras. Para alguns documentos pode-se obrigar também que os destinatários atestem que entendem e concordam em cumprir estas políticas.
De qualquer forma, as políticas precisam estar disponíveis e adequadamente comunicadas ao pessoal pertinente e às partes interessadas, tendo cuidado especial caso sejam distribuídas fora da organização, para evitar divulgar informações confidenciais.
Outro cuidado importante quanto ao conteúdo dos documentos, refere-se ao controle 5.32 Direitos de propriedade intelectual para se evitar copiar, total ou parcialmente, normas (por exemplo, normas internacionais ISO/IEC), livros, artigos, relatórios ou outros documentos, além do permitido pela lei de direitos autorais e as licenças aplicáveis.
Para maiores informações sobre a gestão de políticas na organização recomendo a gravação da Live específica sobre o tema. Conheça também a solução Policy Manager da Modulo para gestão de suas políticas de segurança da informação.
Boa semana, abraços,
