Uma estratégia vencedora pra implementação de melhores práticas é adotar os frameworks através de níveis organizacionais, ou seja:
Politicas: Estabelecer o nível estratégico a ser cumprido na adoção das melhores práticas. É atribuida pelo nível diretivo das organizações e estabelece as diretrizes gerais a serem observadas por todos.
Normas: Estabelecer o nível tático e estabelece as regras a que as áreas operacionais deverão observar para o cumprimento das diretrizes ditadas pelas políticas. É atribuida aos gerentes e gestores das áreas envolvidas em cada framework a ser adotado.
Procedimentos: Estabelecer o nível operacional e estabelece o "como será feito!", descrevendo passo a passo as atividades, responsáveis, evidênvias a serem produzidas, e ainda em um segundo momento, poderá ser adotado métricas que possibilitem a medida de eficiencia e de nível de serviço auferido pelo processo.
Adotar a implantação dos modelos através destes tres níveis, possibilita a formalização dos processos recomendados pelas melhores práticas, e distribui o escopo de cada recomendação nos diversos níveis da organização.
SIUGESTÃO DE APLICAÇÃO DAS RECOMENDAÇÕES DA NORMA NOS ATRAVÉS DOS NÍVEIS DE DOCUMENTOS.
- Politicas:
Confeccionar uma ou mais políticas, estabelecendo as estratégias preconizadas pela Norma.
- Normas:
Cada Capítulo da Norma ISO-27.002, possui definido um objetivo e controles a serem implementados. Normalmente isto pode ser adotado criando uma norma para cada item, ou seja, deve-se definir as regras de aplicação do conteúdo de cada capítulo.
Um fato interessante é que a ISO-27002 tem recomendações genéricas (O Que fazer?), mas não detalha o (Como Fazer?). Para que o escopo do projeto de adoção fique adaptável a realidade de cada organização, é necessário estabelecer através de regras, o que será feito e quais os critérios deverão ser adotados para cada capítulo da norma.
- Procedimentos:
Cada capítulo estabelece os controles que devem ser adotados, estes, uma vez delimitados pelas Regras de como a empresa adotará ou não alguma recomendação, acabam por estabelecer quantos controles deverão ser criados e consequentemente quantos processos devem ser organizados.
Cada controle é lastreado por um processo, o qual tem como escopo definir as atividades e responsáveis pela execução do controle, e qual artefato será produzido durante a realização de cada ação ou atividade. Finalizado o processo devemos ter em mãos uma evidencia de que a atividade foi realizada.
DICAS:
Os processos, devem ser contruídos e relacionados seguindo uma ordem baixo para cima, ou seja:
- Controle de Riscos - Sec 4.
- Controles de Politicas e Organização da Segurança - Sec 5, 6 e 15.
- Controle de Ativos - Sec 7.
- Controle de RH - Sec 8.
- Controle de Segurança Fisica - Sec 9.
- Controle de Operações e Comunicações - Sec 10.
- Controle de Acessos Lógicos - Sec 11.
- Controle de Aquisição e Desenvolvimento de Sistemas - Sec 12.
- Controle dos Incidentes de segurança - Sec, 13
- Controle de Continuidade do Negócio. Sec 14,
Recomendamos implementar esta seção em uma etapa seguinte a implementação das seções anteriores, pois para que um plano de continuidade de negócio possa ser estruturado e testado de forma eficiente, devem estar implementados os controles de ativos, acessos, operações e comunicações e devidamente gerenciados em relação a gestão de mudanças.
Sugestões : email para eurico@haan.com.br
