ISMS Sistema de Gestão de Segurança da Informação.

Um ISMS é o sistema documentado que gere para proteger os ativos de informação. Baseia-se no risco, sustenta-se em evidências e está sujeito a revisão pela gestão. Não é um dossier de políticas. Os auditores não avaliam as suas políticas; avaliam as evidências de funcionamento. Ciclo Plan-Do-Check-Act, certificado ao abrigo da ISO 27001, com a SoA como artefacto central.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyInformation securityAll entries

A perspetiva da Cyber Academy

Um ISMS é o sistema documentado que gere para proteger os ativos de informação. Baseia-se no risco, sustenta-se em evidências e está sujeito a revisão pela gestão. Não é um dossier de políticas. Os auditores não avaliam as suas políticas; avaliam as evidências de funcionamento. Ciclo Plan-Do-Check-Act, certificado ao abrigo da ISO 27001, com a SoA como artefacto central.

O que um SGSI realmente é

Um sistema de gestão de segurança da informação é o sistema operacional que você coloca em funcionamento para proteger os ativos de informação de forma deliberada e repetível. A palavra que mais importa é «sistema». Não são as ferramentas de segurança, nem uma pasta de políticas aprovadas guardada numa unidade compartilhada. É o conjunto de processos, papéis, decisões e registros por meio do qual uma organização identifica quais informações deve proteger, decide quanto risco está disposta a aceitar, escolhe controles para tratar esse risco e depois prova que esses controles realmente funcionam ao longo do tempo. Uma política diz o que deveria acontecer. Um SGSI é a maquinaria que faz acontecer e que gera a evidência de que aconteceu.

Suas características definidoras são que ele é baseado em risco e sustentado por evidências, e que opera sob análise crítica pela direção. Baseado em risco significa que os controles não são escolhidos de uma lista de desejos, mas justificados por uma avaliação documentada das ameaças a ativos específicos. Sustentado por evidências significa que cada controle tem artefatos por trás dele: análises de acesso que foram realizadas, logs que foram monitorados, incidentes que foram tratados, treinamento que foi ministrado. A análise crítica pela direção significa que a liderança é proprietária do sistema, define seus objetivos e inspeciona periodicamente se estão sendo cumpridos. Remova qualquer um desses três elementos e você terá um programa de segurança, não um sistema de gestão.

Por que os auditores avaliam evidências, não políticas

Um mal-entendido comum e caro é acreditar que a certificação tem a ver com ter boa documentação. Não tem. Um auditor de certificação parte do princípio de que você sabe redigir uma política de controle de acesso competente. O que ele está ali para verificar é se a sua realidade operacional corresponde ao que os seus documentos afirmam. Ele pedirá para ver a última análise de acesso e verificará se ela foi de fato concluída, fará uma amostragem de tickets para confirmar que as mudanças foram autorizadas, e rastreará um incidente desde a detecção até as lições aprendidas. Políticas bonitas sem nenhuma evidência operacional por trás reprovam nas auditorias. É por isso que os profissionais descrevem o SGSI como algo que se coloca em funcionamento, não algo que se redige.

Plan-Do-Check-Act: como o sistema se mantém vivo

Um SGSI é construído para melhorar continuamente, em vez de ser aperfeiçoado de uma só vez. A maioria das implementações segue o ciclo Plan-Do-Check-Act, que mantém o sistema honesto:

  1. Plan: estabelecer o escopo, avaliar os riscos, definir os objetivos de segurança e selecionar os controles para tratar os riscos que você identificou.
  2. Do: implementar e operar esses controles e os processos de apoio no dia a dia.
  3. Check: monitorar, medir, auditar internamente e realizar análises críticas pela direção para ver se os controles funcionam e se os objetivos estão sendo cumpridos.
  4. Act: corrigir o que está falhando, abordar as causas-raiz das não conformidades e realimentar as melhorias no ciclo seguinte.

Esse laço é o que separa um SGSI vivo de um esforço pontual de conformidade. Um registro de riscos analisado uma vez por ano e nunca mais tocado não é um SGSI em nenhum sentido significativo, mesmo que tenha produzido um certificado em algum momento.

Onde ele se situa entre conceitos vizinhos

O SGSI é o arcabouço, certificado segundo a ISO/IEC 27001, a norma internacional que especifica os requisitos que um sistema de gestão deve atender. A ISO/IEC 27001 é a norma de requisitos certificável; orientações complementares como a ISO/IEC 27005 apoiam o trabalho de avaliação e tratamento de riscos que a alimenta. Costuma-se confundir o SGSI com os controles dentro dele, mas os controles são entradas que o sistema seleciona e opera. Eles não são o sistema. A disciplina do SGSI está precisamente em que ele remete cada controle a um risco e cada risco a uma decisão documentada tomada por pessoas que são responsáveis por ela.

Frequently asked questions

01Um SGSI é a mesma coisa que a ISO 27001?

Não exatamente. Um SGSI é o sistema de gestão em si: os processos e as evidências que você coloca em funcionamento para proteger a informação. A ISO/IEC 27001 é a norma que especifica o que um sistema desses deve conter, e o arcabouço em relação ao qual um SGSI pode ser certificado. Você pode operar um SGSI sem certificá-lo, mas a certificação significa que um organismo acreditado auditou o seu em relação à ISO 27001.

02O que é a declaração de aplicabilidade e por que ela importa tanto?

A declaração de aplicabilidade, ou SoA, é o documento que lista cada controle de referência, diz se ele se aplica à sua organização e justifica cada decisão em relação à sua avaliação de riscos. É o artefato central de um SGSI porque vincula os seus riscos aos seus controles, e os auditores a usam como mapa para tudo o mais que inspecionam.

03Precisamos de todos os controles para nos certificarmos?

Não. Os controles são selecionados com base na sua avaliação de riscos, e exclusões são permitidas desde que sejam justificadas na declaração de aplicabilidade e não comprometam a sua capacidade de gerenciar os riscos dentro do escopo. O ponto é uma seleção defensável e baseada em risco, não a cobertura máxima por si mesma.

04Quanto tempo leva para implantar um SGSI?

Varia muito conforme o escopo, o tamanho da organização e o quão maduras já são as práticas de segurança existentes. A maior restrição costuma ser a evidência: um SGSI precisa de controles que estejam operando há tempo suficiente para produzir registros que um auditor possa amostrar, de modo que mesmo uma organização bem preparada precisa de um período de operação antes que uma auditoria de certificação faça sentido.

05Quem é o proprietário do SGSI internamente?

A responsabilidade recai sobre a alta direção, que deve demonstrar liderança, definir objetivos e conduzir análises críticas pela direção. A coordenação do dia a dia é tipicamente liderada por um gestor de segurança da informação ou papel equivalente, mas a propriedade não pode ser delegada para fora da liderança sem quebrar o requisito de análise crítica pela direção que está no cerne da norma.

Precisa de mais do que uma definição?

Marque uma chamada de descoberta gratuita de 20 minutos. Identificamos o grupo que transforma este termo numa prática pronta para auditoria.