Diretrizes para implementar medidas de segurança
Implementar
as medidas de segurança na empresa inteira envolve uma grande dose de
trabalho. Em muitas empresas, o desenvolvimento dos sistemas de TI ao
longo dos anos passou de um único computador com a administração de uma
grande rede, para milhares de computadores e centenas de servidores.
Há diretrizes que ajudam na escolha das
medidas, sendo que uma empresa pode, portanto, apresentar uma melhor
imagem perante o mercado, mostrando que cumprem essas diretrizes.
A norma ISO/IEC 20000 é o padrão mundial
para gerenciamento de serviços. Enquanto a Norma ISO/IEC 27001:2005
especifica os requisitos para estabelecer, implementar, operar,
monitorar, rever, manter e melhorar um Sistema de Gerenciamento de
Segurança da Informação. Essas normas ajudam na criação dos processos
operacionais de forma eficaz e segura.
A ISO/IEC 27002:2005, que também é
conhecida como o “Código de Segurança da Informação”, contém orientações
para as ações no domínio da segurança da informação. As diretrizes da
ISO/IEC 27002:2005 lidam com um padrão de aspectos organizacionais,
processuais, físicas e lógicas da segurança das informações.
Exemplo
E por fim, um exemplo onde as diretrizes implementadas e seguidas fazem diferença no mercado:
Os Governos de todo o mundo, inclusive do
Brasil impuseram leis e regulamentos, a fim de proteger as informações.
Informações estas que podem ser particulares, bem como das empresas e
dos próprios governos.
Empresas holandesas listadas na bolsa de valores, por exemplo, devem respeitar o Código Tabaksblat.
Para as empresas listadas no Dow Jones na
bolsa de valores de Nova York, a Lei Sarbanes-Oxley (SOX), e para
empresas listadas na Bovespa no Brasil, a lei das SAs.
Estes são alguns exemplos de legislações e
regulamentos que obrigam as empresas a efetivamente organizar a sua
segurança da informação e, em conjunto com as normas ISO/IEC é uma forma
de alcançar estes objetivos.