brasil
 sites mundiais
produtos
compras symantec
serviço e suporte
security response
downloads
sobre a symantec
pesquisa
comentarios


© 1995-2005 Symantec Corporation.
Todos os direitos reservados.
Notas Legais
Política de Privacidade
soluções corporativas

Alcançando o Padrão:
BS7799 e Sua Empresa
10 de outubro de 2000            ID do Artigo: 356

Qual é a melhor maneira de manter os invasores longe de sua rede, os vírus longe de suas unidades, e ter todas as brechas de segurança minimizadas? O British Standards Institute (BSI: Instituto Britânico de Padronizações) espera responder esta questão para todos os negócios ­ Ingleses ou não ­ com o British Standard (BS) 7799, um plano completo para implementação de uma segurança eficiente na Internet. O código padrão de segurança da Internet dá ao profissional de TI (Tecnologia de Informação) um projeto para o desenvolvimento das políticas e processos de segurança da empresa.

Publicado pela primeira vez em 1995, o BS7799 prepara os negócios para receber a certificação, através de uma auditoria feita por uma empresa terceirizada autorizada pelo BSI. A certificação irá assegurar aos clientes e sócios que seus dados, mantidos na rede da empresa, estão protegidos e que a segurança em geral da empresa é confiável. Muitas organizações, diante dos crescentes desafios da segurança, estão implementando as práticas do BS7799 sem o processo de certificação, usando-o simplesmente como um guia para as melhores práticas.

O padrão tem se tornado amplamente aceito em muitos países, incluindo Austrália, áfrica do Sul, Nova Zelândia, Holanda e Noruega. De fato, o governo Britânico recomendou, como parte de seu Ato de Proteção de Dados de 1998 (efetivado em 1 de março de 2000), que as companhias Britânicas usem o BS7799 como um método de obediência à Lei. A versão internacional do BS7799 (somente a parte um) está atualmente sob consideração da Organização Internacional de Padrões, como ISO17799. Se o ISO17799 for aprovado pelos membros, seus padrões serão implementados pela maioria das grandes empresas e seus sócios, que realizam negócios on-line ou são contratados do governo.

Entendendo o Código do BS7799
O BS7799 tem três seções principais: código de prática padrão ou melhores práticas de segurança, especificações padrão para um Sistema de Gerenciamento de Segurança e, finalmente, o processo de certificação. A implantação do BS7799 e a preparação para a certificação leva um tempo estimado entre seis e nove meses, dependendo da complexidade da infra-estrutura de TI.

Seção 1: Melhores Práticas
Na seção de melhores práticas há dez principais áreas organizacionais, com 127 controles de segurança e mais de 500 subcontroles, para ajudar na proteção das informações dos seus negócios. O foco geral desta seção é o gerenciamento de riscos; o objetivo é ajudar a empresa a planejar antecipadamente a sua política de segurança. Nem todos os controles podem ser aplicados, mas o BS7799 ajuda os leitores a identificar os controles relevantes para seus negócios. Para a certificação, a empresa deve especificar controles que não estão incluídos na sua política de segurança e justificar a sua exclusão. Tópicos de controle incluem o uso da Internet, comércio eletrônico, telecomunicação, telefones móveis, considerações legais e recursos humanos.

Seção 2: Implementação do Sistema de Gerenciamento de Segurança de Informações
A Segunda seção do BS7799 ajuda o TI a avaliar e priorizar os bens da rede, de acordo com os objetivos do negócio, depois organizar esses bens em um plano de segurança, ou Sistema de Gerenciamento de Segurança de Informações. O plano de segurança tem quatro fases: avaliação de riscos, gerenciamento de riscos, implementação de meios de segurança e instruções de aplicabilidade.

  • Avaliação de riscos é a analise do que pode acontecer aos bens da rede, e que impacto este incidente poderá causar nos objetivos dos negócios. Códigos malignos e acesso não autorizado à rede são exemplos de riscos.

  • Gerenciamento de riscos é o plano que sua empresa pode usar para suavizar riscos. Os métodos usados no gerenciamento de riscos incluem não somente meios de segurança da rede, assim como firewalls (sistema de monitorização de tráfego nas redes, que olham tudo o que entra e sai do servidor e outros protocolos de segurança), e também segurança física, procedimentos administrativos, planos de contingência e iniciativas de recursos humanos.

  • Meios de segurança são os instrumentos reais e os recursos implementados e identificados pela empresa para minimizar riscos
    .
  • As Instruções de Aplicabilidade, requeridas para a certificação do BS7799, é um plano de segurança. Esta instrução esquematiza o controle de segurança que a empresa tem posto em prática e porque estas medidas de segurança foram escolhidas. Adicionalmente, a empresa deve listar os controles específicos do BS7799 que não foram executados e explicar porque

Processo de Certificação
A certificação do BS7799 é completada através de uma auditoria de segurança. Muitas empresas escolhem empregar consultores de segurança para ajudar nos preparativos para a auditoria, visto que a preparação é abrangente e leva de seis a nove meses. Há duas partes para a auditoria de certificação. Primeiro, o auditor terceirizado autorizado analisa as Instruções de Aplicabilidade com a empresa, avaliando os argumentos para a escolha e exclusão dos controles específicos do BS7799. Esta parte da auditoria leva em torno de dois dias. Seis semanas depois, o auditor vai ao site para acessar a efetividade das políticas e procedimentos de segurança da empresa. Além disso, a flexibilidade da empresa com todos os controles do BS7799 é avaliada. Os auditores irão examinar tecnologias e entrevistar empregados de vários departamentos para obter um quadro total de implementação da política de segurança na empresa. Esta segunda parte da auditoria leva em torno de uma semana. Se a empresa passa na auditoria, o BSI irá emitir a certificação. Após a empresa receber a certificação, esta deverá requerer auditorias periódicas para mantê-la.

Como o BS7799 Irá Beneficiar a Empresa?
Há muitas vantagens estratégicas e operacionais chaves com a certificação do BS7799. Os benefícios específicos do BS7799 incluem:

  • Melhorar a segurança da empresa. Através do processo de certificação do BS7799, a empresa irá reduzir a vulnerabilidade da rede e melhorar o seu gerenciamento. Diminuir a vulnerabilidade da rede provavelmente significará menos brechas na segurança, o que resultará num decréscimo de fraudes, riscos financeiros e legais, bem como no aumento do uso da rede e a confiança do cliente.

  • Plano de segurança mais eficiente. BS7799 traça 127 orientações de segurança em dez áreas, com controles detalhados, recursos humanos legais e um guia de planejamento de possibilidades. Estas recomendações detalhadas para a segurança na Internet de toda a empresa, farão as iniciativas de segurança mais completas, controláveis e com um maior custo-benefício.

  • Gerenciamento de segurança mais efetivo. Inevitavelmente, todas as empresas devem iniciar os processos de desenvolvimento ou redesenvolvimento das políticas e procedimentos de segurança. Diferente dos projetos de segurança relativos a empresa, o BS7799 é um método comprovado para uma melhor prática de segurança na Internet. Empresas como BT, HSBC, Marks and Spencer, Shell International e Unilever, contribuem para o desenvolvimento do BS7799, e têm testado sua eficiência em condições reais de negócios.

  • Proteção contínua. Após a certificação, auditorias terceirizadas contínuas e revisões do BS7799 irão manter a empresa atualizada com as últimas vulnerabilidades e melhores práticas.

  • Sociedades seguras. Para uma melhor proteção da rede, enquanto conduz o EDE, a empresa pode usar a certificação do BS7799 como um requisito de segurança para sócios e fornecedores.

  • Comércio eletrônico protegido. O BS7799 dá aos representantes autorizados de comércio eletrônico, desde instituições financeiras até o varejo eletrônico, um selo de segurança e confiança facilmente reconhecível pelos consumidores.

  • Aumento da confiança do cliente. Com as brechas de segurança da Internet aumentando sensivelmente, clientes e fornecedores estarão procurando por evidências concretas de segurança ­ a certificação do BS7799 lhe dará esta garantia.

  • Grande auditoria ROI. O BS7799 inclui um processo de certificação com auditores autorizados. Conforme o BS7799 se tornar um padrão, as empresas terão acesso a numerosos auditores terceirizados autorizados, que devem seguir as melhores práticas de auditoria, para testes e avaliações de políticas de segurança

  • Obrigações reduzidas. As obrigações financeiras das empresas com incidentes de segurança podem ser reduzidas, se elas possuírem o certificado BS7799. Os tribunais podem reconhecer a concordância com o padrão como uma indicação de segurança adequada.

Manter a segurança da rede para fazer a proteção das informações dos bens é hoje a preocupação chave de toda a empresa. Além disso, o processo de implementação de uma política geral de segurança pode ser afastado. Um processo padrão para a segurança da Internet, como o BS7799, pode ajudar a gerenciar a segurança da rede de forma mais eficiente e efetiva. Com um alto número de riscos emergindo, ameaçando a segurança das empresas todos os dias, a questão não é porque implementar o BS7799, mas, porque não?

Artigos Relacionados (Inglés)

"Understanding Clean Pipe Solutions"

"ILOVEYOU Wreaks Havoc Worldwide"

* To learn about Symantec's virus protection solutions, visit the Enterprise Security Resource Center.

Licencias Parcerias da Symantec Channel Partners Home