Segurança da Informação com selo de qualidade

Estabelecer procedimentos em transações corporativas, operar por meio de regras de acesso e restrições, criar hierarquias de responsabilidades, métodos de reação a eventuais falhas ou vulnerabilidades e, acima de tudo, ter um padrão no que se refere à segurança da companhia. Entre outras, são essas as razões que culminaram, há alguns anos, na criação de sistemas de proteção corporativa.

Em 1995, a linguagem dos negócios utilizada na gestão de segurança chamou a atenção do British Standard Institute (BSi), entidade emissora de normas e procedimentos com mais de cem anos de história.

A digitalização dos negócios promovida pela Internet e a expansão do comércio exterior levaram o BSi a perceber um aumento na complexidade das relações comerciais e a conseqüente necessidade de se estabelecer um "padrão de qualidade" para a área de segurança. A análise deu origem à chamada BS 7799, norma inglesa de segurança que, desde sua criação, passou por várias atualizações de seu conteúdo.

No ideal da BSi, a implementação da BS 7799 deveria ser adotada como padrão mundial, mas o fato é que sua adoção ainda não é tão grande como poderia ser. Somente agora, as empresas estão trabalhando nesse sentido. Como é uma norma britânica, o ISSO acabou criando uma similar, a ISSO 17799, que conta com mais de 500 empresas certificadas em todo o mundo.

Independente de questões culturais, o Brasil possui peculiaridades que restringem o acesso à BS 7799. Por enquanto, o Inmetro (Instituto Nacional de Metrologia, Normalização e Qualidade Industrial) não reconhece organizações brasileiras para emitir a certificação, ou seja, a companhia interessada em aderir à norma precisa buscar auditores internacionais para se certificar.

Para reduzir a complexidade, a Módulo utiliza sua própria experiência e oferece o serviço de Plano de Segurança para Conformidadade com a NBR ISO/IEC 17799, pelo qual auxilia empresas a obter a certificação inglesa.

Outro fator que, de início, pode corroborar com uma certa resistência ao processo, diz respeito à quantidade de detalhes impostos pela norma. A BS 7799 está dividida em duas partes: na primeira, há um conjunto de práticas de segurança; na segunda, um conjunto de métricas e auditoria para certificação. De maneira modular, os processos envolvem dez domínios, que se subdividem em 127 controles.

A vez da ISO

A International Organization for Standardization, ou ISO, deve ser a principal difusora da norma inglesa. Em 1999, quando a BS 7799 ainda passava por adaptações, a segurança da informação chamou a atenção da tradicional organização sem fins lucrativos.

Com sede em Genebra, a ISO conta com um comitê formado por mais de 120 países e mais de 14 mil diferentes normas criadas. Com a finalidade de facilitar o intercâmbio do comércio com o estabelecimento de padrões, a ISO decidiu investir também na BS 7799. Em 2000, nasceu a ISO 17799, norma que adapta apenas o processo inglês.

1. Vale ressaltar que na votação da norma ISO de segurança, alguns países, como Alemanha, Canadá, Estados Unidos, França, Itália e Japão, foram contra. O motivo foi que tais países possuíam suas normas internas e não queriam adotar a norma da Inglaterra. O Brasil foi favorável à criação da norma.

Hoje, a ISO 27000 está em vigor e ela é uma boa opção para se adaptar aos sistemas de gestão de segurança.

Certificação

Embora a criação de uma norma ISO de segurança atraia, naturalmente, mais empresas, muitas delas não vêem a certificação como objetivo final de sua gestão.

Antes disso, essas organizações estão mais voltadas para o que esses processos podem fazer no momento de estabelecer conceitos e diretrizes em segurança da informação. Um exemplo dessa movimentação em torno dos padrões e procedimentos de processos e tecnologia é o COBIT (Control Objectives for Information and Related Technology). Trata-se de um conjunto de controles e avaliações - direcionado não somente à segurança, mas a toda área de TI - que tem como objetivo orientar a gestão do profissional, e não emitir certificação.

Criado pela ISACA (Information Systems Audit and Control Association and Foundation) em 1996, após pesquisas realizadas em dezenas de países, o COBIT é utilizado por organizações brasileiras como Banco Central, Bovespa e GVT.

Por sua amplitude, o COBIT se aplica a toda área de TI, dividido em quatro domínios e 34 processos, detalhados em outros 300 e tantos tópicos. Entre esses, também há um módulo de segurança da informação, porém, com conceitos básicos sobre o assunto.

Desafios

O trabalho de se adequar a uma padronização ainda é algo que inibe o interesse por normas e certificados de segurança. Tanto os sistemas de planejamento mais abrangentes, quanto as certificações específicas, geram reclamações de que possuem ora uma estrutura muito superficial, ora rigidez de processos que impossibilitam a implementação em qualquer companhia.

Novo conjunto de normas

Esse conjunto de normas ISO/IEC são o mais importante referencial de Segurança da Informação. Essas normas substituíram a normas BS 7799-2 (referente à Gestão de Segurança da Informação) e ISO 17799 (Código de Boas Práticas da Gestão de Segurança da Informação).

No Brasil, apenas seis organizações conseguiram obter o certificado ISO 27001: Serasa, Banco Matone, Samarco, Módulo Security, Unisys e SERPRO. Como resultado dessas novas normas, a listagem das normas ISO de Segurança da Informação será a seguinte:

ISO 27000 - Vocabulário de Gestão da Segurança da Informação (sem data de publicação).

ISO 27001 – Norma publicada em outubro de 2005, em substituição à norma BS 7799-2 para certificação de sistema de gestão de segurança da informação.

ISO 27002 – Substituirá, em 2006/2007, o ISO 17799 (Código de Boas Práticas).

ISO 27003 - Abordará a gestão de risco, contendo recomendações para a definição e implementação de um sistema de gestão de segurança da informação. A previsão de publicação é em 2006.

ISO 27004 - Incidirá sobre os mecanismos de mediação e de relatório de um sistema de gestão de segurança da informação. Sua publicação deverá ocorrer em 2007.

ISO 27005 - Será constituída por indicações para implementação, monitorização e melhoria contínua do sistema de controles. Seu conteúdo deverá ser idêntico ao da norma BS 7799-3:2005 – “Information Security Management Systems - Guidelines for Information Security Risk Management”, a publicar em finais de 2005. A publicada da norma como ISO está prevista para meados de 2007.

ISO 27006 - Dentro da série 27000, a última norma será referente à recuperação e continuidade de negócio. Esse documento tem o título provisório de “Guidelines for information and communications technology disaster recovery services”, mas ainda não tem data definida para sua edição.

Fontes consultadas:

Serasa

Módulo Security

Bibliografia recomendada:

Estatística para a Qualidade

Sônia Vieira - Editora Campus