Norma ISO 27001 e Resiliência das Infraestruturas Críticas

Coautor: André Fernandes

Uma infraestrutura crítica pode ser definida como um recurso ou sistema (incluindo uma organização) que é essencial para a manutenção de certas funções vitais da sociedade, e cuja perturbação ou destruição tem um impacto significativo na saúde, segurança, e/ou bem-estar económico ou social das pessoas. As infraestruturas críticas desempenham este papel essencial para a sociedade em diferentes sectores, incluindo transportes, energia, comunicações, e água.

A resiliência é um princípio fundamental na área da gestão de crises, nomeadamente na protecção de infraestruturas críticas. A resiliência vai muito além dos métodos tradicionais de gestão de risco, não só definindo políticas para enfrentar eventos esperados, mas também tendo em conta eventos inesperados. Por isso a resiliência inclui também a gestão da continuidade em caso de incidentes ou mesmo desastres.

Por outro lado, as organizações estão cada vez mais dependentes dos sistemas de informação baseados nas novas tecnologias digitais, a ponto de algumas organizações que prestam outros serviços tradicionais serem cada vez mais consideradas organizações digitais. Por exemplo, os serviços bancários sempre foram prestados nas agências, mas cada vez mais são apenas um serviço disponível numa aplicação móvel. O mesmo se passa, por exemplo, nos impostos, na educação e na saúde. Por isso é cada vez mais importante garantir a resiliência das infraestruturas críticas digitais, mesmo nas organizações tradicionais.

Um sistema de gestão de segurança da informação (digital) deve preservar a confidencialidade, integridade e disponibilidade da informação, em particular garantindo a gestão de risco. Para esse efeito, a International Organization for Standardization (ISO) concebeu a norma ISO/CEI 27000 que especifica os requisitos para o desenvolvimento, implementação, manutenção e melhoramento contínuo de um sistema de gestão de segurança da informação numa organização.

Além disso, a norma ISO 22301 para a gestão da continuidade do negócio (neste contexto entendido no sentido lato do termo) especifica os requisitos para planear, estabelecer, implementar, operar, monitorar, rever, manter e melhorar continuamente um sistema de gestão para proteger contra, reduzir a probabilidade de ocorrência, preparar, responder e recuperar de incidentes disruptivos.

Os modelos de maturidade oferecem às organizações uma plataforma simples, mas eficaz, de medir a qualidade dos seus processos de gestão. A maturidade dos processos indica que, independentemente da maneira que uma organização tenha utilizado para implementar um processo, os processos são executados de forma bem documentada, e todos os envolvidos sabem o que se espera deles e agem em conformidade – de acordo com o modelo de maturidade.

Um Process Reference Model (PRM) descreve um conjunto de processos para um determinado domínio de aplicação. Cada processo é descrito pela sua finalidade e pelos seus resultados. Um PRM serve de base a um Process Assessment Model (PAM) que contém todos os detalhes para determinar a maturidade dos processos desse modelo de referência. As avaliações de maturidade são geralmente realizadas por especialistas (internos ou externos à organização) utilizando normalmente ferramentas como o Excel.

No âmbito do projecto europeu ENSURESEC (no qual estamos envolvidos) estamos a desenvolver modelos de maturidade baseados nas normas ISO 27001 e ISO 22301 para avaliar a maturidade da resiliência das infraestruturas críticas digitais nas organizações. Estes modelos serão em breve avaliados na prática utilizando uma ferramenta (que também está a ser desenvolvida) em várias organizações com infraestruturas críticas digitais. Tanto os modelos de maturidade como a ferramenta serão partilhados gratuitamente com todos os interessados.