{"id":9306,"date":"2016-05-30T12:34:55","date_gmt":"2016-05-30T12:34:55","guid":{"rendered":"https:\/\/multiacademstg.wpengine.com\/27001academy\/?p=9306"},"modified":"2022-12-29T07:49:03","modified_gmt":"2022-12-29T07:49:03","slug":"o-que-e-um-sistema-de-gestao-de-seguranca-da-informacao-sgsi-de-acordo-com-a-iso-27001","status":"publish","type":"post","link":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/blog\/2016\/05\/30\/o-que-e-um-sistema-de-gestao-de-seguranca-da-informacao-sgsi-de-acordo-com-a-iso-27001\/","title":{"rendered":"O que \u00e9 um Sistema de Gest\u00e3o de Seguran\u00e7a da Informa\u00e7\u00e3o (SGSI) de acordo com a ISO 27001?"},"content":{"rendered":"<p>Se voc\u00ea iniciou uma <a href=\"\/books\/secure-and-simple-a-small-business-guide-to-implementing-iso-27001-on-your-own\/\">implementa\u00e7\u00e3o da ISO 27001<\/a>, voc\u00ea certamente encontrou o termo <em>Sistema de Gest\u00e3o de Seguran\u00e7a da Informa\u00e7\u00e3o<\/em> ou <em>SGSI<\/em>. Termo muito vago, n\u00e3o \u00e9? E ainda, o SGSI \u00e9 o principal \u201cproduto\u201d da implementa\u00e7\u00e3o da ISO 27001. Assim, o que exatamente \u00e9 um SGSI?<\/p>\n<p>A <a href=\"\/27001academy\/pt-br\/o-que-e-a-iso-27001\/\" target=\"_blank\" rel=\"noopener\">ISO 27001<\/a>\u00a0basicamente descreve como desenvolver o SGSI \u2013 voc\u00ea pode considerar este SGSI como uma abordagem sistem\u00e1tica para a gest\u00e3o e prote\u00e7\u00e3o das informa\u00e7\u00f5es de uma organiza\u00e7\u00e3o. O SGSI representa um conjunto de pol\u00edticas, procedimentos e v\u00e1rios outros controles que definem as regras de seguran\u00e7a da informa\u00e7\u00e3o em uma organiza\u00e7\u00e3o. Como mencionado no artigo <a href=\"\/27001academy\/pt-br\/knowledgebase\/a-logica-basica-da-iso-27001-como-a-seguranca-da-informacao-funciona\/\">A l\u00f3gica b\u00e1sica da ISO 27001: Como a seguran\u00e7a da informa\u00e7\u00e3o funciona?<\/a>, o tipo de controle para seguran\u00e7a da informa\u00e7\u00e3o que ser\u00e1 implementado em uma organiza\u00e7\u00e3o \u00e9 decidido com base nos resultados da avalia\u00e7\u00e3o de riscos e nos requisitos das partes interessadas. Para cada risco que precisa ser tratado, uma combina\u00e7\u00e3o de diferentes tipos de controles ser\u00e1 implementada.<\/p>\n<h2><strong>V\u00e1rios controles s\u00e3o necess\u00e1rios para cada risco<\/strong><\/h2>\n<p>Digamos que voc\u00ea deixa seu laptop com frequ\u00eancia em seu carro, assim as chances s\u00e3o de que, cedo ou tarde, o laptop ser\u00e1 roubado. Assim, o que voc\u00ea pode fazer para diminuir os riscos para as suas informa\u00e7\u00f5es? Voc\u00ea tem que aplicar alguns controles. Primeiro de tudo, voc\u00ea pode escrever um procedimento que defina que voc\u00ea n\u00e3o pode deixar o laptop no carro; adicionalmente, voc\u00ea pode proteger seu laptop com uma senha, de forma que se ele for roubado ser\u00e1 mais dif\u00edcil para algu\u00e9m acessar suas informa\u00e7\u00f5es. Al\u00e9m disso, voc\u00ea pode criptografar seus discos \u2013 este \u00e9 um n\u00edvel mais alto de prote\u00e7\u00e3o para suas informa\u00e7\u00f5es, mas voc\u00ea tamb\u00e9m pode pedir aos seus empregados para assinar uma declara\u00e7\u00e3o onde eles se obrigam a pagar por todos os danos que podem incorrer se tal incidente ocorrer, mas voc\u00ea tamb\u00e9m tem que treinar e tornar seus empregados cientes de que tais riscos existem se eles deixarem seus laptops em seus carros.<\/p>\n<p>Agora, proteger este laptop pode soar simples, mas o problema \u00e9 quando voc\u00ea tem centenas de laptops, dezenas de servidores, uma multiplicidade de bases de dados, muitos empregados, etc. Com tanta informa\u00e7\u00e3o sens\u00edvel em tantos ativos diferentes, muito rapidamente voc\u00ea produziria um grande n\u00famero de salvaguardas que n\u00e3o estariam relacionadas, e assim seria muito dif\u00edceis de se gerenciar.<\/p>\n<h2><strong>Gerenciando sistemas de seguran\u00e7a complexos<\/strong><\/h2>\n<p>A \u00fanica forma de gerenciar todas estas salvaguardas \u00e9 definir processos e responsabilidades de seguran\u00e7a de forma clara. Isto \u00e9 chamado de <em>abordagem de processo<\/em> nas normas de gest\u00e3o ISO \u2013 na ISO 27001, mas tamb\u00e9m na ISO 9001, ISO 20000, e outras. Se tomarmos a ISO 9001 como uma analogia, a ideia \u00e9 a seguinte: voc\u00ea n\u00e3o pode esperar produzir um carro de alta qualidade apenas realizando uma verifica\u00e7\u00e3o de qualidade ao final da linha de produ\u00e7\u00e3o \u2013 o que \u00e9 preciso \u00e9 projetar um processo de produ\u00e7\u00e3o que tenha inclu\u00eddo a filosofia de qualidade em cada etapa, em cada detalhe \u2013 da sele\u00e7\u00e3o de fornecedores de alta qualidade at\u00e9 o treinamento dos empregados e at\u00e9 para tratar de forma eficaz produtos com n\u00e3o conformidades.<\/p>\n<p>Similarmente, uma abordagem de processo \u00e9 crucial para fazer esta conex\u00e3o entre responsabilidades e controles t\u00e9cnicos \u2013 apenas quando voc\u00ea quem tem que fazer o que e quando, voc\u00ea ter\u00e1 uma base para habilitar seus controles de seguran\u00e7a para funcionarem.<\/p>\n<h2><strong>O ponto do SGSI<\/strong><\/h2>\n<p>Assim, o que podemos aprender destes pontos? Primeiro de tudo, controles de seguran\u00e7a da informa\u00e7\u00e3o n\u00e3o s\u00e3o apenas t\u00e9cnicos, controle relacionados a TI. Eles s\u00e3o uma combina\u00e7\u00e3o de diferentes tipos de controles: documentar um procedimento \u00e9 um controle organizacional, implementar uma ferramenta de software \u00e9 um controle de TI, e treinar pessoas \u00e9 um controle de recursos humanos. Veja tamb\u00e9m:\u00a0<a href=\"https:\/\/staging.advisera.com\/27001academy\/pt-br\/blog\/2010\/12\/16\/seguranca-da-informacao-ou-seguranca-de-ti\/\">Seguran\u00e7a da informa\u00e7\u00e3o ou seguran\u00e7a de TI?<\/a><\/p>\n<p>Segundo, sem algum tipo de estrutura, a seguran\u00e7a da informa\u00e7\u00e3o se torna imposs\u00edvel de gerenciar \u2013 este \u00e9 o ponto onde a ISO 27001 entra \u2013 quando voc\u00ea constr\u00f3i seu SGSI, o que significa desenvolver um conjunto de regras, responsabilidades e controles de seguran\u00e7a da informa\u00e7\u00e3o, ent\u00e3o voc\u00ea ser\u00e1 capaz de gerenciar sistema t\u00e3o complexo.<\/p>\n<p>Finalmente, um SGSI n\u00e3o \u00e9 nada mais do que v\u00e1rios processos de seguran\u00e7a interligados \u2013 quanto melhor estes processos s\u00e3o definidos, quanto melhor estes processos s\u00e3o inter-relacionados, menos incidentes voc\u00ea ter\u00e1.<\/p>\n<p><em>Este artigo \u00e9 um trecho do novo livro<\/em>\u00a0\u00a0<strong>Secure &amp; Simple:<\/strong> <strong>A Small-Business Guide to Implementing ISO 27001 On Your Own<\/strong>.\u00a0<span id=\"hs-cta-wrapper-93545c06-4e4f-456b-81bf-42b4639a38aa\" class=\"hs-cta-wrapper\"><span id=\"hs-cta-93545c06-4e4f-456b-81bf-42b4639a38aa\" class=\"hs-cta-node hs-cta-93545c06-4e4f-456b-81bf-42b4639a38aa\"><a href=\"https:\/\/cta-redirect.hubspot.com\/cta\/redirect\/1983423\/93545c06-4e4f-456b-81bf-42b4639a38aa\" target=\"_blank\" rel=\"noopener\">Clique aqui para ver quais outros t\u00f3picos s\u00e3o abordados\u2026<\/a><\/span><\/span><br \/>\n<!-- end HubSpot Call-to-Action Code --><\/p>\n<p>N\u00f3s agradecemos a <a href=\"https:\/\/br.linkedin.com\/in\/rhandleal\/\" target=\"_blank\" rel=\"noopener\">Rhand Leal<\/a> pela tradu\u00e7\u00e3o para o portugu\u00eas.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Se voc\u00ea iniciou uma implementa\u00e7\u00e3o da ISO 27001, voc\u00ea certamente encontrou o termo Sistema de Gest\u00e3o de Seguran\u00e7a da Informa\u00e7\u00e3o ou SGSI. Termo muito vago, n\u00e3o \u00e9? E ainda, o SGSI \u00e9 o principal \u201cproduto\u201d da implementa\u00e7\u00e3o da ISO 27001. Assim, o que exatamente \u00e9 um SGSI? A ISO 27001\u00a0basicamente descreve como desenvolver o SGSI &#8230;<\/p>\n","protected":false},"author":26,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[310],"tags":[906],"class_list":["post-9306","post","type-post","status-publish","format-standard","hentry","category-blog-pt-br","tag-iso-27001-pt-br"],"acf":[],"_links":{"self":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts\/9306","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/users\/26"}],"replies":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/comments?post=9306"}],"version-history":[{"count":0,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts\/9306\/revisions"}],"wp:attachment":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/media?parent=9306"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/categories?post=9306"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/tags?post=9306"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}