QSP - Centro da Qualidade, Segurana e Produtividade

http://www.qsp.org.br/artigo_27005.shtml

Centro da Qualidade, Segurana e Produtividade

Destaque: Cursos In Company do QSP

A NOVA NORMA INTERNACIONAL ISO 27005 DE GESTO DE RISCOS DE SEGURANA DA INFORMAO

No Brasil, lanamento ocorreu no dia 31 de julho com o cdigo ABNT NBR ISO/IEC 27005:2008. por Francesco De Cicco* QSP/NGR - Ncleo de Gesto de Riscos

Organizaes de todos os tipos e tamanhos esto cada vez mais preocupadas com as ameaas que podem comprometer a segurana de suas informaes. E gerenciar esse aspecto tem se tornado a principal prioridade de suas reas de Tecnologia da Informao. A nova norma internacional e brasileira ISO 27005 - Tecnologia da informao - Tcnicas de segurana - Gesto de riscos de segurana da informao - auxiliar, sem dvida nenhuma, as organizaes a administrar tais riscos. Ameaas podem ser intencionais ou acidentais e podem se relacionar tanto ao uso e aplicao de sistemas de TI como aos seus aspectos fsicos e ambientais. Essas ameaas podem assumir diversas formas desde furto de mdia, documentos e equipamentos, forjamento de direitos, espionagem a distncia, escuta no-autorizada, at fenmenos climticos e ssmicos, incndio, inundao e radiao eletromagntica. As conseqncias dessas ameaas podem ser traduzidas por vrios impactos nos negcios das organizaes como, por exemplo, perdas financeiras, paralisaco de servios essenciais, perda de confiana dos clientes, pane no fornecimento de energia e falhas de telecomunicaes. Um risco, no contexto da nova ISO 27005:2008, a combinao das conseqncias que se seguiro ocorrncia de um evento indesejado e da probabilidade de ocorrncia desse evento. A avaliao de riscos quantifica ou descreve qualitativamente um risco e permite aos gestores priorizar os riscos de acordo com a sua severidade ou com outros critrios estabelecidos pela organizao. A ISO 27005 fornece as diretrizes para o gerenciamento dos riscos de segurana da informao (SI) e d sustentao aos conceitos especificados na ISO 27001:2005, a norma de requisitos de sistemas de gesto da SI, alm de auxiliar sobremaneira na implementao e certificao de tais sistemas de gesto. De acordo com a nova norma, o processo de gesto de riscos de SI composto pelas seguintes atividades:

1 de 3

11/03/2011 17:31

QSP - Centro da Qualidade, Segurana e Produtividade

http://www.qsp.org.br/artigo_27005.shtml

Os especialistas do QSP/NGR - Ncleo de Gesto de Riscos desenvolveram uma metodologia prpria para a implementao nas organizaes da ISO 27005, totalmente flexvel e adaptvel, por exemplo, ao escopo do sistema de gesto da segurana da informao (SGSI) da empresa ou ao seu contexto interno e externo. A ISO 27001, a exemplo de outras normas de sistemas de gesto, tambm adota o modelo PDCA (Plan, Do, Check, Act), o qual aplicado para estruturar todos os processos do SGSI. Agora cabe a pergunta: como tais processos do SGSI se alinham ao processo de gesto de riscos recomendado pela ISO 27005? A tabela a seguir responde rapidamente a essa questo... Processos do SGSI Processo de gesto de riscos de SI Definio do contexto Anlise/avaliao de riscos Planejar Definio do plano de tratamento do risco Aceitao do risco Implementao do plano de tratamento do risco

Executar

2 de 3

11/03/2011 17:31

QSP - Centro da Qualidade, Segurana e Produtividade

http://www.qsp.org.br/artigo_27005.shtml

Verificar

Monitoramento contnuo e anlise crtica de riscos Manter e melhorar o processo de gesto de riscos de segurana da informao

Agir

A srie de normas ISO 27000 foi reservada pela ISO - Organizao Internacional de Normalizao exclusivamente para assuntos de segurana da informao. Isso se relaciona, naturalmente, a diversas outras reas, como as sries ISO 9000 (gesto da qualidade) e ISO 14000 (gesto ambiental). A srie ISO 27000 est sendo povoada por vrias normas individuais, algumas delas bastante conhecidas e j publicadas pela ISO. Outras sero definidas, desenvolvidas e publicadas paulatinamente nos prximos meses e anos. A matriz a seguir reflete a posio atual das principais normas operacionais da srie 27000. ISO 27001:2005 (tambm publicada como NBR em 2006) Especificao de sistemas de gesto da segurana da informao (SGSI). Pode ser utilizada pelas partes interessadas internas e externas para avaliar a conformidade. Substituiu a antiga norma BS 7799-2. ISO 27002:2005 (tambm publicada como NBR em 2005) Cdigo de prtica para a gesto da segurana da informao. Originalmente numerada como ISO 17799 (a qual, por sua vez, era antes conhecida como norma BS 7799-1).

ISO 27004 ISO 27003 Este o nmero oficial da futura norma que ir auxiliar Este o nmero oficial da futura norma que ir fornecer as organizaes a medir a eficcia de seus sistemas de diretrizes para a implementao de um SGSI. gesto da SI. ISO 27005:2008 (tambm publicada como NBR em 2008) Fornece diretrizes para o processo de gesto de riscos de segurana da informao (SI). Visa a facilitar a implementao eficaz da SI tendo como base a gesto de riscos. ISO 27006:2007 Norma de requisitos para a acreditao de organizaes que oferecem servios de certificao de sistemas de gesto da SI.

Uma ltima pergunta: qual a relao entre a ISO 27005 e a futura ISO 31000 - Risk management - Principles and guidelines on implementation? A futura ISO 31000, que ser publicada em 2009 pela ISO (e no Brasil pela ABNT), ser a norma "guardachuva", que fornecer os princpios, o framework e o processo geral de Gesto de Riscos. Por se tratar de uma norma de alto nvel, a ISO 31000 no concorrer com os padres j existentes, e permitir o alinhamento com outras normas especficas, como o caso, por exemplo, da ISO 27005... A norma brasileira ABNT NBR ISO/IEC 27005:2008 pode ser adquirida atravs do site: www.abnt.org.br. (*) Francesco De Cicco engenheiro, especializado em Gesto de Riscos, diretor executivo do QSP - Centro da Qualidade, Segurana e Produtividade - e coordenador do NGR - Ncleo de Gesto de Riscos. Contatos: qsp@qsp.org.br e (11) 3704-3200.

Leia tambm: Curso: Capacitao em Gesto de Riscos e Auditoria Baseada em Riscos Manual: Gesto de Riscos - A norma AS/NZS 4360:2004 Servio: Implantao da ISO 27001:2005 de Gesto da Segurana da Informao Texto: O que Auditoria Baseada em Riscos (ABR)? Texto: Planejamento de Contingncias (Planos para Crises, Emergncias, Continuidade de Negcios e Recuperao) Handbook: A Practitioners Guide to Business Continuity Management

HOME | MAPA DO SITE | FALE CONOSCO | CADASTRE-SE | LOJA

1997 2011, QSP. Todos os direitos reservados

3 de 3

11/03/2011 17:31