Com requisitos genéricos e aplicáveis a qualquer organização, a metodologia foi estruturada para a adoção das melhores práticas na segurança da informação
O cenário um tanto alarmista tem sua função didática, mas é
claro que pessoas e empresas não vão começar a descartar equipamentos de última
geração em nome da segurança. No entanto, os riscos são altos demais para
deixar de tratar essa questão de modo estratégico.
“No contexto empresarial, os gestores de segurança da informação
são obrigados a buscar um alto nível de conhecimento técnico e aplicar
mecanismos de gestão cada vez mais complexos e flexíveis para proteger a informação”,
esclarece o gerente da qualidade da Diretoria de Certificação da Fundação
Vanzolini, Airton Gonzalez.
O século passado foi marcado por coalizões, pactos,
“joint-ventures”, associações de livre comércio entre nações, e um grande “boom”
tecnológico ocasionado pela utilização da internet, que interligou esses atores
e à dinamização de negócios, na busca por rentabilidade e competitividade. Na base da convergência de tecnologias e
integração de processos entre empresas, parceiros e fornecedores, temos uma
ampla rede mundial que representa a cada instante uma nova ameaça à segurança
da informação.
Nesta situação, vale a pena avaliar ativos com base na sua
criticidade e impacto para o negócio, por exemplo:
•
Ativos de Informação (Banco de Dados,
Formulários, Planilhas, Base de Dados);
•
Ativos Físicos (Hardware, Equipamentos de
Energia, Links de Comunicação);
•
Ativos de Software (Aplicativos, Antivírus,
Ambientes);
•
Ativos
Intangíveis (Valor da Marca, Reputação da Organização);
•
Colaboradores
envolvidos
De acordo com Airton, neste cenário em que devemos garantir a autonomia de processos que geram, tratam e manejam a informação – motor propulsor desta nova sociedade –, devemos estar preparados para gerenciar a segurança da informação de maneira eficiente, e para isso o conhecimento é a pedra fundamental.
É exatamente neste ponto que se insere a norma NRB ISO/IEC
27001. Com requisitos genéricos e aplicáveis a qualquer organização, a
metodologia foi estruturada para a adoção das melhores práticas na segurança da
informação.
O objetivo básico da
norma é ajudar a estabelecer e manter um sistema de gestão da segurança da
informação buscando a melhoria contínua. “A grande vantagem que vejo na
certificação pela 27001 é que se trata de um sistema que aprende. Você vai
aprendendo com as lições boas e com as não tão boas e vai colocando tudo em um
sistema. E assim todos podem ir se atualizando, mesmo com a troca de pessoal
numa empresa”, completa Airton.
Nenhum comentário:
Postar um comentário