ISO/IEC 27001 é um padrão para sistema de gestão da segurança da informação (ISMS - Information Security Management System) publicado em outubro de 2005 pelo International Organization for Standardization e pelo International Electrotechnical Commision. Seu nome completo é ISO/IEC 27001:2005 - Tecnologia da informação - técnicas de segurança - sistemas de gerência da segurança da informação - requisitos mas conhecido como ISO 27001[1].

Seu objetivo é ser usado em conjunto com ISO/IEC 17799, o código de práticas para gerência da segurança da informação, o qual lista objetivos do controle de segurança e recomenda um conjunto de especificações de controles de segurança. Organizações que implementam um ISMS de acordo com as melhores práticas da ISO 17799 estão simultaneamente em acordo com os requisitos da ISO 27001, mas uma certificação é totalmente opcional.

Mesmo este padrão já ter sido dimensionado desde 2005 e seu sistema de gestão sugerido já colocado em prática, ainda temos problemas básicos de sua aplicação. No mês de Dezemnro de 2010, o jornal Folha de São Paulo editou uma matéria sobre uma quebra grave de segurança da informação na NASA onde, um simples protocolo de venda de computadores pode ter colocado em risco vários sistemas. Veja a matéria abaixo:

---

08/12/2010 - 18h40

Nasa vende computadores velhos com dados sigilosos

A Nasa, agência espacial norte-americana, vendeu computadores antigos sem apagar dados tidos como sigilosos do programa de lançamentos de missões espaciais, segundo informou a rede britânica BBC nesta quarta-feira (8).

Uma investigação interna feita pela agência descobriu ao menos dez casos em que PCs foram vendidos sem o procedimento de remoção de dados. A BBC informa ainda que outros quatro computadores, que estavam para serem vendidos, tinham informação restrita sobre controles de armas.

Os computadores começaram a ser vendidos desde quando a agência começou a desativar o programa de ônibus espaciais --o último voo está programado para junho do ano que vem.

Auditores internos da Nasa descobriram que as diretrizes da empresa de remover todos os dados das máquinas postas à venda não estavam sendo seguidas por alguns funcionários.

A Nasa disse que é impossível saber em detalhes quais os dados que estavam nas máquinas vendidas, mas admitiu que o fato "causa sérias preocupações".

Pessoas com mais conhecimento de tecnologia poderiam, pelo menos em tese, ter acesso não-autorizado à rede de computadores da agência espacial. 

---

Tenha mais informações sobre nosso curso de SEGURANÇA DA INFORMAÇÃO NBR ISO 27001 - CLIQUE AQUI