Etapa III: Determinação do valor dos recursos
Parte da metodologia de implementação de Sistemas de Gestão da Segurança da Informação (Information Security Management System – ISMS), a etapa relativa à Determinação do valor dos recursos de informação, constitui a terceira fase da abordagem desenvolvida pela BSI (British Standards Institution) a este nível, encontrando-se espelhada no referencial internacional ISO/IEC 27001:2005.
Nesta metodologia, constituída por dez fases distintas mas intimamente relacionadas, a tarefa de determinação do valor dos recursos de informação é precedida pela Determinação do âmbito do ISMS e pela identificação dos recursos de informação abrangidos pelo referido âmbito, representando o segundo passo para a obtenção de informação que posteriormente será utilizada para a realização da análise do risco que paira sobre estes mesmos recursos.
Atendendo a que estes recursos fazem parte do ISMS da organização e encontram-se inseridos no seu âmbito, têm relevância significativa para o negócio da organização, sendo que o seu comprometimento poderá colocar em causa a continuidade do mesmo.
Atendendo a que estes recursos fazem parte do ISMS da organização e encontram-se inseridos no seu âmbito, têm relevância significativa para o negócio da organização, sendo que o seu comprometimento poderá colocar em causa a continuidade do mesmo.
Neste sentido, após a sua identificação torna-se indispensável valorizá-los ou classificá-los quanto ao impacto que a sua eventual indisponibilidade, ou mesmo a violação da sua confidencialidade ou integridade, poderá ter, não só nos processos de negócio e unidades organizacionais, mas também para os seus fornecedores, parceiros, clientes e outras partes interessadas.
Entre os recursos abrangidos por um ISMS podemos encontrar informação, em qualquer formato (papel, digital, visual, etc.), infra-estruturas de suporte a essa mesma informação, incluindo hardware e demais equipamentos, software, serviços de rede e claro está, as pessoas. Contudo, e por razões óbvias estas não são habitualmente valorizadas desta forma.
Entre os recursos abrangidos por um ISMS podemos encontrar informação, em qualquer formato (papel, digital, visual, etc.), infra-estruturas de suporte a essa mesma informação, incluindo hardware e demais equipamentos, software, serviços de rede e claro está, as pessoas. Contudo, e por razões óbvias estas não são habitualmente valorizadas desta forma.
Uma avaliação comum dos recursos, se bem que algo subjectiva, consiste em classificá-los com os valores “Muito elevado”, “Elevado”, “Médio” ou “Baixo”; através de uma classificação desta natureza será possível identificar os recursos cuja protecção é mais urgente ou premente, atendendo ao seu papel para a continuidade do negócio, o que possibilita à organização um planeamento mais direccionado a este nível e consequentemente uma canalização mais correcta dos investimentos em segurança da informação.
Importa mencionar que a valorização dos recursos aqui referidos não se cinge ao seu valor contabilístico, pelo que o seu cálculo ou determinação não se deve basear no seu custo de aquisição, de contratação ou mesmo de substituição. A valorização dos recursos não deverá ser baseada em valores quantitativos ou contabilísticos, mas em aspectos qualitativos, dependendo do nível de granularidade pretendida pela organização, atendendo a que alguns dos impactos nefastos decorrentes de uma quebra ou falha de segurança podem revelar-se mesmo imensuráveis, por exemplo ao nível da imagem da organização junto do mercado e indústria em que se insere ou mesmo do nível da incapacidade de restauro das suas actividades e processos críticos. Directrizes para a classificação e valorização de recursos podem ser encontrados no capítulo 7 do referencial internacional ISO/IEC 17799:2005, subordinado ao tema ‘Gestão de Recursos’.
Importa mencionar que a valorização dos recursos aqui referidos não se cinge ao seu valor contabilístico, pelo que o seu cálculo ou determinação não se deve basear no seu custo de aquisição, de contratação ou mesmo de substituição. A valorização dos recursos não deverá ser baseada em valores quantitativos ou contabilísticos, mas em aspectos qualitativos, dependendo do nível de granularidade pretendida pela organização, atendendo a que alguns dos impactos nefastos decorrentes de uma quebra ou falha de segurança podem revelar-se mesmo imensuráveis, por exemplo ao nível da imagem da organização junto do mercado e indústria em que se insere ou mesmo do nível da incapacidade de restauro das suas actividades e processos críticos. Directrizes para a classificação e valorização de recursos podem ser encontrados no capítulo 7 do referencial internacional ISO/IEC 17799:2005, subordinado ao tema ‘Gestão de Recursos’.
Texto de Maria Manuela Gaivéo, Consultora de Segurança da Informação.
Sinfic
Sinfic
Labels: Segurança da Informação
Data 15.11.05