brasil
 sites mundiais
produtos
compras symantec
serviço e suporte
security response
downloads
sobre a symantec
pesquisa
comentarios


© 1995-2005 Symantec Corporation.
Todos os direitos reservados.
Notas Legais
Política de Privacidade
soluções corporativas

O Padrão de Segurança Global Emergente: ISO 17799
2 de abril de 2002ID do Artigo: 1261
Introdução
As origens do ISO 17799
Uma estrutura de recomendações
As dez áreas de controle do ISO 17799
Benefícios do ISO 17799
Status do ISO 17799
Outros artigos

Os gerentes de segurança vêm a muito tempo esperando por alguém que produza um conjunto razoável de padrões de segurança de informações, reconhecido globalmente. Muitos acreditam que um código de prática, ajudaria a suportar os esforços dos gerentes de TI. Ajudaria também a influenciar decisões, aumentaria a cooperação entre os vários departamentos em nome do interesse comum pela segurança e ajudaria a tornar a segurança, uma das prioridades organizacionais.

Desde o seu lançamento pela Organização de Padrões Internacionais (International Standards Organization) em dezembro de 2000, o ISO 17799 se tornou o padrão de segurança mais reconhecido em todo o mundo. O ISO 17799 é definido como "um abrangente conjunto de controles formado pelas melhores práticas em segurança de informações".

As origens do ISO 17799
Por mais de 100 anos, o British Standards Institute (BSi) e o International Organization for Standardization (ISO) vêm fornecendo referências globais para padrões operacionais, de fabricação e de desempenho. Uma coisa que o BSi e o ISO não tinham ainda proposto era um padrão para a segurança de informações.

Finalmente em 1995, o BSi lançou seu primeiro padrão de segurança, BS 7799. O BS 7799 foi criado com a intenção de abranger assuntos de segurança relacionados ao e-commerce. Em 1995, problemas como o Y2K e EMU tornaram-se precedentes sobre todos os outros assuntos. Para piorar, o BS 7799 foi considerado inflexível e não foi adotado globalmente. O momento não era correto e questões de segurança não despertavam grande interesse naquele tempo.

Avancemos para quatro anos mais tarde. Em maio de 1999, o BSi tentou novamente, lançando a segunda versão do BS 7799, uma enorme revisão da versão anterior. Essa edição continha vários aperfeiçoamentos e melhoras desde a versão de 1995. Foi nessa época que o ISO identificou a oportunidade e começou a trabalhar na revisão do BS 7799.

Em dezembro de 2000, o International Standards Organization (ISO) adotou e publicou a primeira parte do BS7799 como seu próprio padrão, chamando-o ISO 17799. Nessa mesma época, uma maneira formal de credenciamento e certificação de compatibilidade com os padrões foram adotadas. O Y2K, EMU e outras questões foram concluídas ou reduzidas no ano 2000, e a qualidade geral do padrão melhorou dramaticamente. A adoção do BS 7799 Parte 1 (o critério padrão) pelo ISO foi mais aceitável por um eleitorado internacional, e foi nessa época que um conjunto de padrões de segurança finalmente recebeu reconhecimento global.

Uma estrutura de recomendações
O padrão ISO 17799 elimina a segunda parte do BS 7799, que abrange implementação. O ISO 17799, como é conhecido hoje, é uma compilação de recomendações para melhores práticas de segurança, que podem ser aplicadas por empresas, independentemente do seu porte ou setor. Ele foi criado com a intenção de ser um padrão flexível, nunca guiando seus usuários a seguir uma solução de segurança específica ao invés de outra. As recomendações do ISO 17799 continuam neutras com relação à tecnologia e não fornecem nenhuma ajuda na avaliação ou entendimento de medidas de segurança já existentes. Por exemplo, discute a necessidade de firewalls, mas não aprofunda nos três tipos de firewalls e como devem ser usadas. Isso leva alguns opositores a dizer que o ISO 17799 é muito vago e pouco estruturado para ter seu valor realmente reconhecido.

A flexibilidade e imprecisão do ISO 17799 é intencional, pois é muito difícil criar um padrão que funcione para todos os variados ambientes de TI, e que seja capaz de crescer com a mutante paisagem tecnológica atual. Ele simplesmente fornece um conjunto de regras, em uma indústria onde elas não existiam.

As dez áreas de controle do ISO 17799:

  • Política de Segurança - É necessário uma política para determinar as expectativas para segurança, o que fornece direção e suporte ao gerenciamento. A política deve também ser usada como uma base para revisões e avaliações regulares.
  • Organização da Segurança - Sugere que uma estrutura de gerenciamento seja determinada dentro da empresa, explicando quais os grupos são responsáveis por certas áreas de segurança e um processo para o gerenciamento de respostas a incidentes.
  • Classificação e Controle do Patrimônio - Exige um inventário do patrimônio de informações da empresa e, com esse conhecimento, garante que o nível de proteção apropriado seja aplicado.
  • Segurança dos Funcionários - Indica a necessidade de educar e informar os funcionários atuais ou potenciais sobre a expectativa da empresa para com eles, com relação a assuntos confidenciais e de segurança, e como sua função na segurança se enquadra na operação geral da empresa. Tenha um plano de relatórios de incidentes.
  • Segurança Física e Ambiental - Aborda a necessidade de proteger áreas seguras, equipamentos de segurança e controles gerais.
  • Gerenciamento de Operações e Comunicações - Os objetivos dessa seção incluem:
    1. Garantir instalações para a operação correta e segura do processamento de informações;
    2. Minimizar o risco de falhas dos sistemas;
    3. Proteger a integridade do software e/ou das informações;
    4. Manter a integridade e disponibilidade do processamento de informações e comunicações;
    5. Garantir a proteção das informações em redes e da infra-estrutura de suporte;
    6. Evitar danos ao patrimônio e interrupções nas atividades da empresa;
    7. Prevenir perdas, modificações ou uso inadequado das informações trocadas entre empresas.
  • Controle de Acesso - Identifica a importância da monitoração e controle do acesso a recursos da rede e de aplicativos, para proteger contra abusos internos e intrusões externas.
  • Manutenção e Desenvolvimento de Sistemas - Reforça que com todos os esforços de TI, tudo deve ser implementado e mantido com a segurança em mente, usando os controles de segurança em todas as etapas do processo.
  • Gerenciamento da Continuidade dos Negócios - Recomenda que as empresas se preparem com maneiras de neutralizar as interrupções às atividades comerciais, e protejam os processos comerciais cruciais, no evento de uma falha ou desastre.
  • Compatibilidade - Instrui as empresas a observar como a sua compatibilidade com o ISO 17799 se integra ou não com outros requisitos legais como o European Union's Directive on Privacy (Diretivas da União Européia sobre Privacidade), Health Insurance Portability and Accountability Act (Decreto de Responsabilidade e Portabilidade de Seguro de Saúde, HIPAA) e o Gramm-Leach-Bliley Act (GLBA). Essa seção exige também uma revisão da política de segurança e compatibilidade técnica, além de considerações a serem feitas com relação ao sistema do processo de auditoria, para garantir que cada empresa se beneficie o máximo possível.

Benefícios do ISO 17799
Uma empresa com o certificado ISO 17799 pode fazer mais negócios do que aquelas sem certificação. Se um cliente em potencial estiver escolhendo entre dois serviços diferentes, e a segurança for uma preocupação, eles geralmente selecionarão a opção certificada. Além disso, uma empresa certificada oferecerá:

  • Segurança corporativa aprimorada
  • Planejamento e Gerenciamento de segurança mais efetivo
  • Parcerias e e-commerce mais seguros
  • Confiança aprimorada do cliente
  • Auditorias de segurança mais seguras e precisas
  • Redução de responsabilidades legais

Status do ISO 17799
O ISO está atualmente revisando o 17799 para torná-lo mais aceitável pelo seu público global. O ISO 17799 determinou o primeiro padrão e suas recomendações principais e idéias serão criadas e expandidas de acordo com as necessidades futuras. Até então o ISO 17799 é o padrão a ser seguido.

Se a sua empresa não possui um programa de proteção de informações, o ISO 1779 pode fornecer as diretrizes para a criação de um. Mesmo que você não queira se tornar certificado, o ISO 17799 pode servir como um guia para a criação da postura de segurança da sua empresa. Você pode pensar nesse padrão como uma boa diretriz de segurança a ser usada pela sua empresa. Porém, você poderá descobrir que os benefícios da certificação podem ser muito abrangentes.

Para obter mais informações:
Uma cópia do ISO 17799 pode ser obtida através do link ISO Web site.

Artigos Relacionados:
"Building Effective Security Policies" (inglês)
"Up to Standard: BS7799 and Your Enterprise" (inglês)
assine
Outros Artigos de Segurança
Centro de Imprensa
 
 
Licencias Parcerias da Symantec Channel Partners Home