ISO/IEC 17799 e 27001 - Avaliações de Segurança

Com o aumento de processos de negócio suportados em sistemas de informação, a segurança informática assume um papel extremamente importante numa perspectiva da reputação da organização, perdas financeiras ou mesmo continuidade do negócio.

A disponibilização de serviços, na Internet ou na rede interna, é feita assumindo uma variedade de riscos, os quais estão em constante mudança e evolução. Estes riscos necessitam de ser avaliados, de forma a tornar possível a identificação e avaliação dos eventuais impactos que estes podem representar para a organização. Este processo irá permitir a adopção de medidas mais adequadas (controlos), com vista à optimização da segurança e da redução do risco operacional inerentes às várias actividades da organização – uma tarefa que deve ser executada por especialistas nesta área, independentes do processo de venda de produtos e soluções de segurança.

As avaliações de segurança têm também por objectivo verificar se os controlos de segurança implementados estão adequados e a desempenhar as suas funções de acordo com os requisitos e política de segurança específicos para o Sistema de Informação (SI) em causa.

Quando a motivação pode ir de puramente financeira a um desafio intelectual, espionagem, política ou simplesmente para causar problemas, pode estar-se exposto a um leque variado de ameaças à segurança. Por uma questão de bom senso, devemos procurar proteger-nos contra elas.

Benefícios

Para qualquer entidade, o principal benefício de uma avaliação/auditoria de conformidade com as normas ISO/IEC 17799:2005 e ISO/IEC 27001:2005, executada pela SQS, consistirá no conhecimento documentado e detalhado da situação actual relativamente aos controlos de segurança implementados, quer sejam lógicos ou físicos, afectos a um determinado SI, assim como a identificação das áreas com potencialidade de melhoria, face às características e necessidades específicas do SI em causa, dos riscos presentes, assim como da sua correcta gestão.

Outros benefícios:
  • diminuição do risco de incidentes de segurança;
  • diminuição do custo dos eventuais incidentes de segurança;
  • cumprimento das leis e regulamentos aplicáveis às actividades e sistemas em causa;
  • aumento da confiança e credibilidade da organização;
  • aumento da consciencialização relativamente às questões de segurança, por parte dos vários colaboradores da organização, assim como das suas responsabilidades.


Estratégia

Estes benefícios serão concretizados através de:
  • avaliação da política de segurança existente no ambiente de sistemas de informação, bem como sugestão de boas práticas para aumentar o nível de segurança;
  • avaliação e análise das condições de segurança informática do sistema de salvaguarda e reposição;
  • identificação das áreas com potencialidade de melhoria em termos de segurança, de acordo com a sua missão e objectivos;
  • classificação, em termos de factor de risco, das vulnerabilidades e desvios às melhores práticas encontradas, tendo em linha de conta a probabilidade e facilidade de serem exploradas, assim como do seu eventual impacto em termos de confidencialidade, integridade e disponibilidade;
  • validação da topologia e configuração da infra-estrutura de segurança;
  • sugestões com vista à eliminação das vulnerabilidades e do desvio das melhores práticas identificadas.