Sistema de Gestão de Segurança da Informação (SGSI)

O que é um Sistema de Gestão de Segurança da Informação (SGSI)

É um sistema de gestão¹ corporativo voltado para a #Segurança da Informação, que inclui toda a abordagem organizacional usada para proteger a informação empresarial e seus critérios de Confidencialidade, Integridade e Disponibilidade.

O SGSI inclui estratégias, planos, políticas, medidas, controles, e diversos instrumentos usados para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a segurança da informação. 

¹ - Não necessariamente um sistema automatizado. 

Escopo de um  Sistema de Gestão de Segurança da Informação (SGSI)

A norma ISO 27001 adota o modelo PDCA (Plan-Do-Check-Act) para descrever a estrutura de um SGSI. A imagem a seguir, junto com descrição de cada uma das etapas provavelmente irá ajudá-lo a ganhar um pouco mais de intimidade com o conceito.  

Estabelecer o SGSI

É a etapa que da vida ao SGSI. Suas atividades devem estabelecer políticas, objetivos, processos e procedimentos para a gestão de segurança da informação. São os instrumentos estratégicos fundamentais para que a organização possa integrar suas a segurança da informação às políticas e objetivos globais da organização.

• Definição do escopo do SGSI (a quais processos organizacionais, departamentos e partes interessadas se aplica).
• A Política do SGSI (que inclui objetivo, diretrizes, alinhamento ao negócio, critérios de avaliação de riscos, dentre outros aspectos).
• Abordagem de gestão (a metodologia da organização utilizada para identificação, análise, avaliação e tratamento de riscos).
• Objetivos de controle e controles selecionados (a empresa deve declarar quais medidas foram selecionadas para tratar a segurança da informação).
• Declaração de aplicabilidade (com os objetivos de controle selecionados).

Implementar o SGSI

Consiste em implementar e operar a política de segurança, os controles / medidas de segurança, processos e procedimentos. 

• Formular um plano de tratamento de riscos que identifique a ação de gestão apropriada, recursos, responsabilidades e prioridades para a #Gestão de Riscos.    
  
• Implementar o plano de tratamento de riscos para alcançar os objetivos de controle identificados, que inclua considerações de financiamentos e atribuição de papéis e responsabilidades.
• Implementar os controles selecionados.
• Definir como medir a eficácia dos controles ou grupos de controles selecionados, e especificar como estas medidas devem ser usadas para avaliar a eficácia dos controles de modo a produzir resultados comparáveis e reproduzíveis.
• Implementar programas de conscientização e treinamento.
  
• Gerenciar as operações do SGSI.
• Gerenciar os recursos para o SGSI.
• Implementar procedimentos e outros controles capazes de permitir a pronta detecção de eventos de segurança da informação e resposta a incidentes de segurança da informação.
  

Monitorar e analisar criticamente o SGSI

Reúne as práticas necessárias para avaliar a eficiência e eficácia do sistema de gestão e  apresentar os resultados para a análise crítica pela direção. A política de segurança é usada para comparar e desempenho alcançado com as diretrizes definidas. 

• Executar procedimentos de monitoração e análise crítica
• Realizar análises críticas regulares da eficácia do SGSI (incluindo o atendimento da política e dos objetivos do SGSI, e a análise crí tica de controles de segurança), levando em consideração os resultados de auditorias de segurança da informação, incidentes de segurança da informação, resultados da eficácia das medições, sugestões e realimentação de todas as partes interessadas.
• Medir a eficácia dos controles para verificar que os requisitos de segurança da informação foram atendidos.
• Analisar criticamente as análises/avaliações de riscos a intervalos planejados e analisar criticamente os riscos residuais e os níveis de riscos aceitáveis identificados.
• Conduzir auditorias internas do SGSI a intervalos planejados.
• Realizar uma análise crítica do SGSI pela direção em b ases regulares para assegurar que o escopo permanece adequado e que são identificadas melhorias nos processos do SGSI.
• Atualizar os planos de segurança da informação para levar em consideração os resultados das ativid ades de monitoramento e análise crítica.
• Registrar açõ es e eventos que possam ter um impacto na eficácia ou no desempenho do SGSI.

Manter e melhorar continuamente o SGSI

Executar as ações corretivas e preventivas, com base nos resultados da auditoria interna do SGSI e da análise crítica pela direção ou outra informação pertinente, para alcançar a melhoria contínua do SGSI.

Requisitos da Norma ISO 27001 para esta etapa:

• Implementar as melhorias identificadas no SGSI.    
  
• Executar as ações preventivas e corretivas apropriadas.
• Aplicar as lições aprendidas de experiências de segurança da informação de outras organizações e aquelas da própria organização.
• Comunicar as ações e melhorias a todas as partes interessadas com um nível de detalhe apropriado às circunstâncias e, se relevante, obter a concordância sobre como proceder.
• Assegurar -se de que as melhorias atinjam os objetivos pretendidos. 

Continue estudando gestão de segurança da informação:

• Videoaulas gratuitas sobre gestão de segurança da informação
• Cursos online sobre gestão de segurança da informação
• Ebook gratuito sobre ISO 27001 e ISO 27002
• Outros ebooks e apostilas sobre gestão de segurança da informação
• Guia completo para certificação ISO 27002 Foundation
• Conheça as as normas da família ISO 27000