Todo o cuidado é pouco no que se refere à segurança da informação. A proteção dos registos pessoais e das informações comerciais sensíveis é crítica. Mas como se pode dizer se seu sistema de gestão de segurança de informações ISO / IEC 27001 (ISMS) está a fazer a diferença? Uma nova norma internacional ISO / IEC poderá ajudá-lo.
A atualização da ISO/IEC 27004: 2016, Information technology – Security techniques – Information security management – Monitoring, measurement, analysis and evaluation providencia orientações sobre como avaliar o desempenho da ISO/IEC 27001. Esta norma explica como desenvolver e operar os processos de medição e como avaliar e reportar os resultados de um conjunto de métricas de segurança da informação.
O Prof. Edward Humphreys, Coordenador do grupo de trabalho que desenvolveu a norma (ISO /IEC JTC 1/SC 27), diz: “Os ataques cibernéticos estão entre os maiores riscos que uma organização pode enfrentar. É por isso que a nova versão, muito melhorada, da ISO / IEC 27004 dá um suporte essencial e prático às muitas organizações que estão a implementar a ISO/IEC 27001 para se protegerem da crescente diversidade de ataques de segurança que os negócios enfrentam hoje”.
As métricas de segurança podem providenciar alguns critérios relativamente à eficácia de um SGSI e, como tal, ganharam uma importância fulcral. Quer seja um engenheiro ou consultor responsável pela segurança e produção de relatórios para a gestão ou um executivo que precisa de melhores informações para a tomada de decisão, as métricas de segurança tornaram-se um importante veículo para comunicar o estado da postura de uma organização relativamente ao risco cibernético.
“As organizações precisam de ajuda para resolver a questão de saber se o investimento da organização em gestão da segurança de informação é eficaz e adequado para o propósito de poder reagir, defender e responder a um ambiente de risco cibernético em constante mudança.”
Segundo o Prof. Humphreys: “As organizações precisam de ajuda para resolver a questão de saber se o investimento da organização em gestão da segurança de informação é eficaz e adequado para o propósito de poder reagir, defender e responder a um ambiente de risco cibernético em constante mudança. Isto é onde ISO / IEC 27004 pode fornecer inúmeras vantagens. “
A ISO/IEC 27004:2016 mostra como construir um programa de medição de segurança da informação, como selecionar o que medir e como operar os processos de medição necessários. Inclui diversos exemplos de diferentes tipos de medidas e como a eficácia destas medidas pode ser avaliada.
Alguns benefícios para as organizações adotarem a ISO/IEC 27004 são:
- Maior responsabilização
- Melhoria do desempenho de segurança da informação e processos ISMS
- Conformidade com os requisitos da ISO/IEC 27001, bem como as leis, regras e regulamentos aplicáveis
A ISO/IEC 27004: 2016 substitui a edição de 2009; foi atualizada e expandida para alinhar com a versão atualizada da ISO/IEC 27001 para fornecer às organizações maior valor agregado e confiança.
A ISO/IEC 27004: 2016 foi desenvolvida pelo comité técnico conjunto ISO/IEC JTC 1, Tecnologia da informação, subcomissão SC 27, técnicos de segurança de TI, cuja secretaria é mantida pelo DIN, o membro da ISO na Alemanha. A norma está disponível no seu membro nacional da ISO ou através da Loja ISO.
Fonte: www.iso.org
