A chamada NBR ISO/IEC 27002 é conhecida como uma norma para os códigos de práticas para gestão de segurança da informação. E refere-se a quais requisitos devem ser implementados pela organização, sendo também um guia que orienta a utilização dos controles de segurança.

Como tecnologia, pessoas, gestão, processos, segurança e negócios estão sempre andando juntos, nada mais coerente então, que os projetos de TI, estarem alinhados às melhores práticas de gestão em segurança da informação. Até porque, se “a informação é a alma do negócio”, não basta apenas ser detentor dela, mas principalmente, saber como lidar com os chamados ativos da informação, provendo seus princípios elementares: integridade, confidencialidade e disponibilidade.

Em resumo temos para esta norma, dizer o seguinte:

É uma norma que não é usada para auditorias e certificações, porém grande parte de seu framework esta consistente em diversos alicerces de boas práticas de gestão em projetos, organização de processos e pessoas, assim como na metodologia de ferramentas adequadas.

Desta forma, podemos perceber que o gerenciamento de projetos, possui elementos aderentes ao que se propõe na ISO 27002, quando, por exemplo, trata-se a comunicação, quando trabalha-se a gestão de riscos, os ativos e todo ciclo de vida de um projeto, assim como existe para com a informação, pois esta maturidade levará a conseguir constituir de forma menos traumática a formação do SGSI – Sistema Gerencial de Segurança da Informação, que é parte integrante para fomentar concretamente a norma 27002.

Alguns exemplos práticos desta sinergia de projetos para com a ISO 27002 já seriam:

• Autilização de um sistema de controle de atividades e entregas – (por exemplo um JTRAC);
• Um sistema de controle de versões documentais e desenvolvimento – (por exemplo um Subversion);
• Ações organizacionais e de comunicação – (por exemplo fomentando a chamada gestão do conhecimento com WIKI, blogs), planos de conscientização utilizando a comunicação interna;
• Operações para melhores práticas de controle de acesso (por exemplo um  projeto de Identity and Access Management).

Todo este conjunto de “sistemas” acopla-se para formar este projeto de SGSI. Algumas das razões básicas para se adotar a ISO 27002 :

• Governança Corporativa;
• Melhoria da eficácia da Segurança da Informação;
• Diferencial de mercado;
• Atender aos requisitos de partes interessadas e clientes;
• Única norma com aceitação global;
• Redução potencial no valor do seguro;
• Focada nas responsabilidades dos funcionários;
• A norma cobre TI bem como a organização, pessoal e instalações;
• Conformidade com as legislações.

A ISO 27002 aborda algumas inúmeras sessões, nas quais as principais seriam:

Analisando de forma geral e fazendo uma espécie de mapa mental destes “capítulos”, percebe-se o contexto e amplitude daquilo que permeia os alicerces para se ter de fato implementado as melhores práticas de uma ISO 27002, em que o simples fato de  implementar é um projeto. E que, para a condução e materialização de inúmeros outros tipos de projetos que envolvam, sobretudo, como essência, a tecnologia da informação, pode-se muito bem como observado, aplicar diferentes capítulos da ISO 27002, ou como um todo, dependendo do tipo e complexidade do projeto. Na figura se vê iniciar a partir do 4ª capitulo. Que são as aplicações práticas. Os chamados capítulos 0, 1, 2 e 3, sustentam a introdução, o escopo, os termos e definições e os padrões desta estrutura.

Mapa Mental da ISO 27002

Portanto, conhecer a existência desta ISO, deveria passar a ser obrigação dos gestores e CIO’s das empresas, seja qual o segmento. Antes de exigir o resultado final, entenderia melhor porque de fato não se chegou ao resultado esperado, pelo simples fato de às vezes subestimar os processos para o mapeamento de uma análise de riscos, ignorar a implantação de normas e política de segurança da informação, não classificar devidamente os ativos da informação conforme a criticidade do negócio, dentre outros aspectos ignorados. E assim, fazer com que seus gerentes de projetos, “sangrem” seus cronogramas para o cumprimento fatídico dos prazos, que iniciam com um deadline que misticamente é alterado no meio do projeto para entregar praticamente “amanhã”.

Segurança da informação não é luxo. E muito menos deve ser tratada como “lixo”. É parte integrante do negócio, mas infelizmente até hoje ainda não é tratada ou entendida como tal. Segurança não é complemento. Prova disso que os headhunter’s estão exigindo dos diferentes tipos de profissionais (e que não é de tecnologia), que possuam pelo menos conhecimentos básicos de segurança da informação em seu currículo.

Assim, projeto está para segurança, assim como segurança está para projetos.  A temática é simples:o que sustenta a sabedoria é o conhecimento, que por sua vez é sustentado pela informação. Geralmente todo ser humano deseja ou está focado em um projeto de vida, que vai evoluindo com o passar do tempo de forma empírica. Se isso ao menos for um pouco importante para ele, certamente deverá no mínimo converter esta propriedade intelectual para capital, a valorizar o quê? Isso mesmo: a informação. Ou seja, informação não é somente a alma do negócio. [Webinsider]

…………………………

Leia também:

• BYOD é uma realidade nas empresas e precisa de regras
• Segurança da informação: perca dados e dê adeus à sua empresa
• Privacidade em risco: aumente a segurança das suas informações

…………………………

Acompanhe o Webinsider no Twitter e no Facebook.

Assine nossa newsletter e não perca nenhum conteúdo.

Acesse a iStockphoto. O maior banco de imagens royalty free do mundo.

Mário Peixoto

Mário Peixoto (leitoronline@gmail.com) é consultor de segurança da informação e professor universitário.