Leis e regulamentos que regem a Ciber-segurança

O Information Security Management System (ISMS)[1] é um conjunto de regras concebidas para manter a confidencialidade, integridade e disponibilidade da informação, aplicando um processo de gestão de riscos e dando garantias às partes interessadas de que os riscos estão a ser geridos adequadamente. [2]

No âmbito do SGSI, os bens são protegidos, os riscos de segurança da informação são geridos e as medidas já em vigor são verificadas.

Sistema de gestão da segurança da informação significa uma parte do sistema de gestão que se baseia na abordagem dos riscos do sistema de informação e comunicação. Esta parte do sistema de gestão define como estabelecer, implementar, operar, monitorizar, rever, manter e melhorar a segurança da informação e dos dados.

É também claro, pela definição acima referida, que o SGSI faz parte dos processos e do sistema global de gestão de uma organização, além de estar integrado nestes sistemas.

O SGSI pode ser aplicado a uma organização como um todo, bem como a uma unidade organizacional dentro da organização, ou a um sistema de informação e comunicação especificamente concebido, ou parte dele.

"O SGSI pode ser implementado e utilizado numa organização com dez empregados, bem como numa grande empresa holding que pode ter milhares de empregados. Em termos simples, existe apenas um SGSI, o descrito na norma ISO/IEC 27001. Contudo, a interpretação e implementação de recomendações individuais podem variar significativamente dependendo do âmbito do sistema, do número de utilizadores, da forma como os dados são processados, do seu valor e especialmente de acordo com os riscos reais de segurança, etc. A estratégia do SGSI em pequenas e médias empresas não é descrita com tanto detalhe como é habitual em grandes organizações, especialmente multinacionais.

O SGSI não se aplica apenas a empresas industriais e organizações privadas, o SGSI aplica-se a todas as organizações, incluindo instituições de direito público e organismos estatais. Isto é demonstrado pela existência de muitas resoluções governamentais e departamentais nacionais que recomendam ou exigem a implementação do SGSI em organizações geridas e estabelecidas pelo Estado".[3]

Muitas normas ISMS são concebidas para ajudar organizações de todos os tipos e tamanhos a implementar e operar o ISMS. Consistem nas seguintes normas internacionais, colectivamente referidas como (Tecnologia da Informação - Tecnologias de Segurança[4] (listadas abaixo em ordem numérica):

·       ISO/CEI 27000	Sistemas de gestão da segurança da informação - Visão geral e vocabulário
·       ISO/IEC 27001	Sistemas de Gestão de Segurança da Informação - Requisitos
·       ISO/IEC 27002	Código de prática para controlos de segurança da informação
·       ISO/IEC 27003	Sistemas de gestão da segurança da informação - Orientação
·       ISO/IEC 27004	Gestão da segurança da informação - Monitorização, medição, análise e avaliação
·       ISO/IEC 27005	Gestão do risco de segurança da informação
·       ISO/IEC 27006	Requisitos para os organismos de auditoria e certificação dos sistemas de gestão da segurança da informação
·       ISO/IEC 27007	Directrizes para a auditoria de sistemas de gestão de segurança da informação
·       ISO/IEC TR 27008	Directrizes para auditores sobre controlos de segurança da informação
·       ISO/IEC 27009	Aplicação sectorial específica da ISO/IEC 27001 - Requisitos
·       ISO/IEC 27010	Gestão da segurança da informação para comunicações inter-sectoriais e inter-organizacionais
·       ISO/IEC 27011	Código de prática para controlos de segurança da informação baseado na ISO/IEC 27002 para organizações de telecomunicações
·       ISO/CEI 27013	Orientações sobre a implementação integrada da ISO/CEI 27001 e ISO/CEI 20000-1
·       ISO/IEC 27014	Governação da segurança da informação
·       ISO/IEC TR 27015	Directrizes de gestão da segurança da informação para serviços financeiros
·       ISO/IEC TR 27016	Gestão da segurança da informação - Economia organizacional
·       ISO/CEI 27017	Código de prática para controlos de segurança da informação baseado na ISO/IEC 27002 para serviços em nuvem
·       ISO/CEI 27018	Código de prática para protecção de informações pessoalmente identificáveis (IPI) em nuvens públicas que actuam como processadores de IPI
·       ISO/CEI 27019	Orientações de gestão da segurança da informação baseadas na ISO/IEC 27002 para sistemas de controlo de processos específicos para a indústria de serviços públicos de energia
As normas internacionais, que não estão listadas sob este nome comum mas que também fazem parte de uma série de normas ISMS, estão listadas abaixo:
·       ISO 27799	Informática da saúde - Gestão da segurança da informação na saúde utilizando a ISO/IEC 27002[5]

A solução ISMS requer uma abordagem sistémica e abrangente, respeitando os princípios e elementos de todo o ciclo de vida da ciber-segurança. O sistema de gestão do SGSI baseia-se no ciclo de Deming, ou também no ciclo PDCA (Plan-Do-Check-Act).

O ciclo PDCA é um dos princípios básicos de gestão baseado na melhoria gradual da qualidade dos processos, serviços, dados, produtos, etc., graças à repetição constante das suas quatro actividades básicas: Plan-Do-Check-Act.

Existem actualmente várias variantes do ciclo PDCA[6] , e uma das modificações adequadas deste ciclo, que também é aplicável no campo da ciber-segurança, é a variante OPDCA, que estende o modelo original pela fase Observar que precede a fase do Plano.

O ciclo PDCA, ou algumas das suas modificações, pode ser aplicado a todos os processos do SGSI. A forma mais simples de exibir este modelo é um círculo interminável:

Figura: Modelo PDCA[7]

O modelo PDCA também foi expresso na ISO/IEC 27001: 2005 e ilustrou como o SGSI aceita os requisitos de segurança da informação e as expectativas das partes interessadas como um input e utiliza a informação e os processos para gerar resultados de segurança da informação que satisfaçam esses requisitos e expectativas.

 

Figura: Modelo PDCA aplicado aos processos ISMS[8]

Plano (estabelecimento do ISMS)	Estabelecimento da política, objectivos, processos e procedimentos do SGSI relacionados com a gestão de riscos e segurança da informação para fornecer resultados consistentes com a política e objectivos globais da organização.
Fazer (implementação e funcionamento do SGSI)	Implementação e utilização da política, medidas, processos e procedimentos do SGSI.
Verificação (monitorização e revisão do SGSI)	Avaliar, sempre que possível, a medição do desempenho do processo face à política, objectivos e experiência prática do SGSI e comunicar os resultados à direcção da organização para análise.
Actuar (manter e melhorar o ISMS)	Tomar medidas correctivas e preventivas com base nos resultados da auditoria interna do SGSI e revisão do sistema de gestão pela direcção da organização para assegurar a melhoria contínua do SGSI.

A norma ISO/IEC 27001 promove a adopção de uma abordagem de processo para estabelecer, implementar, operar, monitorizar, manter e melhorar o SGSI numa organização. A tónica é colocada especialmente:

·       compreensão dos requisitos de segurança da informação de uma organização e da necessidade de definir políticas e objectivos de segurança da informação,

·       introdução e funcionamento de medidas para a gestão da segurança da informação no contexto da gestão dos riscos globais das actividades de uma organização,

·       monitorização e revisão do desempenho e eficiência do SGSI,

·       melhoria contínua com base em medições objectivas.

"Para o SGSI dentro de uma organização, a organização de gestão, a responsabilidade pela segurança da informação dos gestores a todos os níveis, organismos profissionais e papéis no sistema de segurança da informação deve ser claramente descrita.

Na estrutura organizacional de uma organização, a segurança da informação deve ser tida em conta de modo a abranger as actividades e cooperação da direcção, pessoas responsáveis pelos sistemas de aplicação, serviços operacionais, utilizadores finais e pessoas responsáveis por actividades individuais. A segurança da informação pressupõe a estreita cooperação de todos os grupos de empregados mencionados e a prestação de formação no domínio da segurança da informação, para que, para além dos responsáveis pela segurança da informação e de outros elementos da organização, o pessoal de gestão da informação e todos os utilizadores da tecnologia da informação tenham também um conhecimento básico da segurança da informação".[9]

Em relação ao acima exposto, é possível definir objectivos padrão do SGSI dentro de uma organização:

·      garantir a segurança dos sistemas e serviços de informação e comunicação,

·      assegurar a continuidade do funcionamento dos sistemas e serviços de informação e comunicação,

·      protecção de dados e informações,

·      protecção de outros bens,

·      tratamento de ameaças, eventos e incidentes, incluindo a prevenção,

·      aumentar a segurança dos sistemas e serviços de informação e comunicação,

·      a sensibilização geral dos utilizadores sobre segurança e ameaças à segurança (educação),

·      partilha de experiências com outras entidades.

No entanto, a implementação do SGSI numa organização não pode garantir a segurança completa dos bens da organização. Contudo, a implementação do SGSI pode reduzir significativamente os riscos de invasão de activos a um nível aceitável. Todo o sistema é tão forte como o seu elo mais fraco. Neste caso, o elo mais fraco, e o maior perigo para a segurança da informação, é uma pessoa.