Etapa II: Identificação dos Recursos do SGSI
Uma vez finalizada a árdua tarefa de definir o âmbito do ISMS, ou seja, de identificar os processos de negócio, áreas funcionais, departamentos, unidades e/ou direcções que o sistema de gestão de segurança da informação da organização abrangerá, por serem consideradas por esta como críticas para o seu negócio, torna-se necessário identificar inequivocamente quais os recursos afectos e indispensáveis para estas e de que forma estes mesmos recursos interagem ou são criados/utilizados por entidades fora do referido âmbito.
Estes recursos incluirão necessariamente informação crítica de negócio (em qualquer formato), e quaisquer recursos de hardware (telefones, servidores, routers, desktops, etc.) e de software (sistemas operativos, bases de dados e aplicações), serviços de rede, bens imóveis e outros equipamentos necessários à concretização das actividades contempladas no âmbito do ISMS, sendo igualmente indispensável a identificação dos Recursos Humanos indispensáveis à sua execução.
A identificação dos recursos que podem, de forma directa ou indirecta, ter impacto no alcance da segurança da informação organizacional é na realidade, o ponto de partida para a recolha da informação necessária à realização de uma análise de risco, processo que se revelará indispensável para a determinação das ameaças e riscos a que os recursos críticos para a continuidade do negócio da organização se encontram expostos. Desta forma, podemos facilmente constatar que também o processo de identificação dos recursos críticos do ISMS irá afectar significativamente todas as etapas subsequentes da metodologia de implementação definida pela BSI, entre as quais se encontra uma etapa subordinada à Determinação do risco.
Outro aspecto que importa reter prende-se com o facto de qualquer alteração ao nível do âmbito do ISMS se reflectir necessariamente ao nível dos recursos abrangidos pelo mesmo, razão pela qual o levantamento outrora efectuado deverá ser revisto em conformidade. Algumas indicações ou directrizes a este nível podem ser encontradas no referencial ISO/IEC 17799:2005, nomeadamente no capítulo de controlos subordinado à temática da ‘Gestão de Recursos’.
A identificação dos recursos que podem, de forma directa ou indirecta, ter impacto no alcance da segurança da informação organizacional é na realidade, o ponto de partida para a recolha da informação necessária à realização de uma análise de risco, processo que se revelará indispensável para a determinação das ameaças e riscos a que os recursos críticos para a continuidade do negócio da organização se encontram expostos. Desta forma, podemos facilmente constatar que também o processo de identificação dos recursos críticos do ISMS irá afectar significativamente todas as etapas subsequentes da metodologia de implementação definida pela BSI, entre as quais se encontra uma etapa subordinada à Determinação do risco.
Outro aspecto que importa reter prende-se com o facto de qualquer alteração ao nível do âmbito do ISMS se reflectir necessariamente ao nível dos recursos abrangidos pelo mesmo, razão pela qual o levantamento outrora efectuado deverá ser revisto em conformidade. Algumas indicações ou directrizes a este nível podem ser encontradas no referencial ISO/IEC 17799:2005, nomeadamente no capítulo de controlos subordinado à temática da ‘Gestão de Recursos’.
Texto de Maria Manuela Gaivéo, Consultora de Segurança da Informação
Sinfic
Labels: Segurança da Informação
Data 5.11.05
