Páginas

janeiro 27, 2022

[Segurança] International ISO/IEC 27001 Day

O pessoal da International Organization for Standardization (ISO) escolheu o dia 27/01 para comemorar, pela primeira vez, o “International ISO/IEC 27001 Day”.

A ISO/IEC 27001 é uma das mais importantes normas internacionais sobre segurança da informação, dentro da família de normas 27000. A 27001 é amplamente conhecida e adotada pela comunidade de segurança, fornecendo os requisitos para que as empresas possuam um sistema de gerenciamento de segurança da informação ("information security management system", ou ISMS).

A ISO 27001 surgiu no início dos anos 2000, baseada na BS-7779, uma norma inglesa que fez muito sucesso na comunidade de segurança quando foi lançada em 1995. A BS-7799, embora fosse uma norma britânica, passou a ser usada como referência por empresas em diversos países, a ponto de que, no final dos anos 90, era comum profissionais brasileiros fazerem os treinamentos e prova de certificação para dar consultoria na norma para empresas aqui mesmo no Brasil. A partir da BS-7779, a ISO/IEC então criou a ISO/IEC 17779, publicada em Dezembro de 2000, que foi revisada em 2005 e em seguida deu origem a ISO/IEC 27001 e a ISO/IEC 27002. Isso porque a BS-7799 tinha duas partes, e cada uma delas foi transformada em uma norma ISO diferente. Com o passar dos anos. essas normas deram origem a uma enorme família de normas ISO/IEC 27000 sobre Segurança da Informação. A primeira edição da 27001 foi lançada em 2005 e a versão atual é de 2013, e a ISO está trabalhando na sua revisão e renovação, que deve ser publicado em breve.

Dentro da estrutura da ISO, as normas sobre segurança da informação e privacidade são de responsabilidade do subcomitê 27 (SC 27), dentro da comissão técnica conjunta ("joint technical committee", o JTC 1 - que, por sinal, tem uns 40 subcomitês abaixo dele. Por sinal, o SC 27 existe há mais de 30 anos. O site da ISO lista 216 normas sob responsabilidade do SC 27, além de 73 padrões em desenvolvimento ou revisão.

Aqui no Brasil, compete a Associação Brasileira de Normas Técnicas (ABNT) criar normas e padrões para o mercado nacional. Cabe  portanto, a ABNT, a responsabilidade por identificar as normas ISO relevantes para o nosso mercado e criar uma versão em português que é adotada como norma nacional. Ela também tem um grupo de trabalho específico para tratar as normas sobre segurança da informação, a comissão 027 dentro do comitê CB-021 (Tecnologias da Informação e Transformação Digital), formada por voluntários, profissionais de mercado que tem interesse em colaborar na criação de normas. Essa comissão é responsável por criar normas nacionais (como, por exemplo, a NBR 16167, sobre classificação da informação) e adotar para o Brasil as normas da ISO que achar relevante, de acordo com a demanda do mercado nacional. Nesses casos, as normas ISO são traduzidas integralmente para o Português e passam a ser uma norma da ABNT, e portanto, tem efeito normativo no território nacional. A primeira versão brasileira da 27001 (a NBR ISO/IEC 27001) foi publicada pela ABNT em 2006, no ano seguinte a sua publicação como norma internacional ISO.

O processo de criação de uma norma de segurança é longo, muito longo, e pode facilmente passar de 2 anos de trabalho. Isso porque, desde o momento em que ela é sugerida, ela passa por vários estágios de desenvolvimento, desde a coleta de informações e sugestões, criação do primeiro rascunho e diversas etapas de revisão e refinamento, até o momento em que um texto final é criado e aprovado em plenária. E cada fase dessas dura pelo menos 3 meses, pois a ISO faz apenas 4 reuniões por ano com seus grupos de trabalho.

A criação de normas nacionais e internacionais tem papel fundamental na padronização de recomendações e boas práticas a serem seguidas por empresas e entidades interessadas naquele tema específico. Desde  início dos anos 2000 as normas da ISO sobre segurança da informação tem auxiliado diversas empresas a criar seus programas e estratégias de segurança da informação.

Ah, não custa lembrar: as normas ISO e ABNT são pagas, devem ser compradas nos respectivos sites. Logo, quando você procura por uma versão gratuita das normas, você está violando os direitos autorais e está se arriscando a baixar um documento desatualizado ou, pior, um arquivo infectado com código malicioso.

Nenhum comentário:

Postar um comentário