1 Aula 01 Introdução Segurança da Informação We are what we repeatedly do. Excellence, then, is...

1

Aula 01Introdução Segurança da Informação

“We are what we repeatedly do. Excellence, then, is not an act, but a habit” Aristoteles

2

Mauro [email protected]://sites.google.com/site/mauromendesaulas

Experiencia como docente-Unice – desde 1997-Faculdade Lourenço Filho- desde 2010-2-Disciplinas: Tcp/IP, Arquiteturas de Redes, Gerencia de Redes, Segurança

Experiência profissional-Gerente de Infraestrutura Etice – desde 2007 -Gerente de Suporte BEC – 1997 a 2006-Analista de Suporte BEC - 1984 a 1996

Certificações-PMP (jul/2010)-CCNA (set/2003)

Pós-Graduação:Unifor-Redes-1991Graduação:UFC-Computação-1982

Mini-curriculum

3

Conforme definição da norma ABNT NBR ISO/IEC 27002:2005“A informação é um ativo que, como qualquer outro ativo importante, é essencial para os negócios de uma organização e, conseqüentemente, necessita ser adequadamente protegida. [...] A informação pode existir em diversas formas. Ela pode ser impressa ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou por meios eletrônicos, apresentada em filmes ou falada em conversas. Seja qual for a forma de apresentação ou o meio através do qual a informação é compartilhada ou armazenada, é recomendado que ela seja sempre protegida adequadamente.”

INTRODUÇÃO

Ativo: Qualquer coisa que tenha valor para a organização. [ISO/IEC 13335-1:2004]. Obs.: A ISO 13335 evoluiu para a NBR ISO/IEC 27005 (Gestão de Riscos)

Ativo de Informação: qualquer componente (humano, tecnológico, físico ou lógico) que sustenta um ou mais processos de negócio de uma unidade ou área de negócio.

4

De acordo com a mesma norma ABNT NBR ISO/IEC 27002:2005

“Segurança da informação é a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio.”

Conceito de Segurança da Informação

“A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware. Estes controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados, onde necessário, para garantir que os objetivos do negócio e de segurança da organização sejam atendidos. Convém que isto seja feito em conjunto com outros processos de gestão do negócio.”

5

Esta Norma de Segurança foi preparada para prover um modelo para EIOMAMM um Sistema de Gestão de Segurança da Informação (SGSI).

EIOMAMM = estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar

ABNT NBR ISO/IEC 27002:2005

6

BÁSICOS (CID):

• Confidencialidade: garantir que a informação seja acessível apenas àqueles autorizados a ter acesso;

• Integridade: ter a disponibilidade de informações confiáveis, corretas e em formato compatível com o de utilização, ou seja, informações íntegras;

• Disponibilidade: garantia que o usuário do sistema de informação tenha o acesso quando necessário;

A segurança da informação se caracteriza pela preservação dos seguintes atributos:

ADICIONAIS:

• Autenticidade: assegurar que os usuários são aqueles que dizem ser;

• Não repudiação: garantir que a transação não pode ser negada ao usuário após o acesso;

• Responsabilidade: responsabilidade dos usuários com a integridade da informação e com os ativos da organização.

Os princípios da segurança

7

S.G.S.I. - Sistema de Gestão de Segurança da Informação

Controle: forma de gerenciar o risco, incluindo políticas, procedimentos, diretrizes, práticas ou estruturas organizacionais, que podem ser de natureza administrativa, técnica, de gestão ou legal. [ABNT NBR ISO/IEC 27002:2005]

TERMOS E DEFINIÇÕES

ISO: International Organization for Standardization

IEC: International Electrotechnical Commission

ABNT: Associação Brasileira de Normas Técnicas

8

Ameaça: causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização. [ISO/IEC 13335-1:2004]


Risco: combinação da probabilidade de um evento e de suas conseqüências. [ABNT ISO/IEC Guia 73:2005]

Vulnerabilidade: fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças. [ABNT NBR ISO/IEC 27002:2005]

Ativo: qualquer coisa que tenha valor para a organização. [ISO/IEC 13335-1:2004]

Ativo de Informação: qualquer componente (humano, tecnológico, físico ou lógico) que sustenta um ou mais processos de negócio de uma unidade ou área de negócio

9


Evento de segurança da informação: ocorrência identificada de um sistema, serviço ou rede, que indica uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação. [ISO/IEC TR 18044:2004]

Incidente de segurança da informação: indicado por um simples ou por uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação. [ISO/IEC TR 18044:2004]

Gestão de riscos: atividades coordenadas para direcionar e controlar uma organização no que se refere a riscos. [ABNT ISO/IEC Guia 73:2005]IEC: International Electrotechnical Commission.

Informação: agrupamento de dados que contenham algum significado.

Risco: combinação da probabilidade de um evento e de suas conseqüências. [ABNT ISO/IEC Guia 73:2005]

10

Aprender a lidar e conviver com o risco, e não eliminá-lo completamente, o que na maioria das vezes é impossível. Para isso, deve se aprender a controlar os riscos.

E, neste contexto, Beal (2005) acredita que a gestão de risco é o conjunto de processos que permite às organizações identificar e implementar as medidas de proteção necessárias para diminuir os riscos a que estão sujeitos os seus ativos de informação, e equilibrá-los com os custos operacionais e financeiros envolvidos.

Objetivo da Segurança da informação

11

Ativo: NoBreak

Proprietário: João Maria

Ameaças: Apagão

Vulnerabilidade: Problema em peças de reposição em caso de problema

Probabilidade Risco (A) : 1 (1 a 100)

Impacto Risco (B): 5 (1 a 5)

Magnitude Risco: (A*B)

Tratamentos: Ter nobreak redundante, Manutenção Preventiva, Contrato de manutenção com reposição de peças

Riscos, Ativo, Ameaças, Vulnerabilidades

12

Plan (planejar) - estabelecer a política, objetivos, processos e procedimentos doSGSI, relevantes para a gestão de riscos e a melhoria da segurança da

informação para produzir resultados de acordo com as políticas e objetivos globais de uma organização.

Do (fazer) - implementar eoperar a política, controles, processos e procedimentosdo SGSI.

Check (checar) - avaliar e, quando aplicável, medir o desempenho de um processo frente à política, objetivos e experiência prática do SGSI e

apresent. os resultados p/ a análise crítica pela direção.

Act (agir) - Executar as ações corretivas e preventivas, com base nos resultadosda auditoria interna do SGSI e da análise crítica pela direção ou outra informação pertinente, para alcançar a melhoria contínua do SGSI.

Normas Segurança baseadas no ciclo PDCA

13

O uso, pela Organização, de práticas comprovadas identifica que ela está alinhada com padrões internacionais e facilitará qualquer auditoria ou avaliação da

organização no que se refere à proteção da informação.

O Profissional de Segurança deve desenvolver ações alinhadas com as melhores práticas para a proteção e controle da informação.

Como padrões de mercado aceitos e seguidos pela grande maioria das organizações e governos encontram-se o COBIT, ITIL e as Normas NBR ISO/IEC 27001,27002

Essas práticas recomendam a existência de processo formal de conscientização em segurança da informação, porém, não orientam como fazer essa conscientização.

Então, por que devemos considerar essas práticas? Porque, de alguma forma, estaremos seguindo ou respondendo questionamentos que tomam por base essas

práticas.

Cada uma dessas práticas tem abordagem e escopo diferentes.

OS PADRÕES COBIT, ITIL, ISO IEC 27000

14

As organizações requerem uma abordagem estruturada para estes e outros desafios.

Isto garante que os objetivos traçados por TI, bons controles gerenciais e um efetivo monitoramento de performance são mantidos na trilha e evitam situações inesperadas .

A necessidade de Governança de TI

Manter TIoperacional

Segurança

Valor/Custo

Gerenciar ambientecomplexo

Alinhamentode TI como negócio

Atender a Órgãos reguladores

15

Modelo de Governança Corporativa e Governança de TI:

SegurançaISO 27001

OutSourcinge-SCM/SAS70

Fábrica SWCMMi/MPS.br

ProjetosPMI/PMBok

COBIT

Serviços de TIITIL/ISO 20k

Governança de TI

Melhores Práticas,Padrões, Normas e Área de Conhecimento

Governança de Negócio

Direcionadores Estratégicos

EspontâneaCompulsória

Governança de Compliance

Gestão de Risco e Controles Internos

N2Basel IISOX N1

Bovespa/CVM

Governança Corporativa

BACENNYSE

Resultado & Desempenho

Planejamento Estratégico (BSC) AgênciaReguladora

16

PERFORMANCE Objetivos do Negócio

CONFORMIDADE

Basel II, Sarbanes-

Oxley Act, etc.

Governança Corporativa

Governança de TI

ISO 9001:2000

ISO 17799

ISO 20000

Padrões de Melhores Práticas

ProcedimentosQAProcessos e Procedimentos

Drivers

COBIT

COSO

Princípios de

Segurança

ITIL

Balanced Scorecard

Onde o Cobit se posiciona?

17

Organizações consideram e usam uma variedade de modelos de TI, padrões e melhores práticas. Isto deve ser entendido na forma como eles podem ser utilizados em conjunto, com o COBIT atuando como um consolidador.

COBIT

ISO 9000

ISO 17799

ITIL

COSO

O que Como

COBIT e outros Frameworks para TI

Escopo de Cobertura

18

Estrutura de relações e processos para dirigir e controlar o ambiente de TI, orientando-a às metas da Organização e oferecendo métricas estruturadas com base BSC em 4 perspectivas: Financeira, Clientes, Processos e Inovação/Aprendizado.

Além da Auditoria de Sistemas, o COBIT é muito utilizado para a Governança de TI, seguindo padrões para um ambiente globalizado.

Cronologia de evolução do COBIT:

19961ª versão elaborada pela ISACF - Information Systems Audit and Control Foundation;

1998 2ª versão, incluindo documentação de alto nível, controles, objetivos detalhados e criação do Implementation Tool Set

2000 3ª versão, com o foco em Governança de TI;

2005 Versão 4, com adequações para melhor integração com regulamentações e compliance (Basiléia e Sarbanes-Oxley).

COBIT - COMMON OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY

19

• Planejar e Organizar: Implica uma visão estratégica para a Governança de TI, que busca a melhor realização dos objetivos organizacionais na área tecnológica;

• Adquirir e Implementar: Qualifica tanto a Identificação de soluções a serem desenvolvidas e/ou adquiridas como a implementação e integração ao ambiente, assegurando que o ciclo de vida destas soluções é adequado ao ambiente organizacional;

• Entregar e Suportar: Domínio responsável em verificar o tratamento de serviços demandados pelos processos de Negócios, recursos para a continuidade operacional, o treinamento e a segurança das operações. É neste domínio que se assegura a entrega de informações através do processamento de dados dos sistemas aplicativos, bem como todo o suporte necessário para sua operação no mal ou em situações anômalas;

• Monitorar: Administra o processo de controles da organização de TI e a garantia de independência nas Auditorias existentes. É fundamental para avaliar contínua e regularmente a qualidade e a conformidade dos controles implantados.

COBIT : 4 dimensões, denominados Domínios

Nesses 4 domínios existem, de forma detalhada, 34 processos de controles de alto nível e para estes processos foram criados 318 objetivos de controles necessários para analisar e atender aos requisitos de TI e, conseqüentemente, aos objetivos do Negócio.Como resultado de avaliação desses objetivos, criam-se as estratégias para mitigação de riscos existentes, baseados nos resultados obtidos.

20

Para cada um dos 34 processos, o COBIT contempla os Fatores Críticos de Sucesso e determina os Indicadores de Resultados (KGI) e Indicadores de Performance (KPI), que geram as métricas para a avaliação da Governança de TI, para Diretrizes de Auditoria e para a Segurança da Informação.

O COBIT apresenta um modelo para atestar a maturidade de cada processo em uma escala de 5 estágios possíveis, sendo eles:0 – Não existe;1 – Inicial;2 – Repetível e intuitivo;3 – Processos definidos;4 – Gerenciados;5 – Processos otimizados.

Para o Security Officer, o COBIT é utilizado como um modelo para um Programa de Segurança da Informação, INTEGRANDO segurança com os objetivos de TI relacionados aos negócios e também estruturando Políticas, Normas e Procedimentos de Segurança da Informação.

COBIT – 34 PROCESSOS

21

CobitCobit

Planejamento e Organização (PO)P01 - Definição plano estratégico TIP01 - Definição plano estratégico TIP02 - Definição arquitetura de informaçãoP03 - Determinação do direcionamento tecnológicoP04 - Definição de Processos de TI, Organização e RelacionamentosP05 - Gerenciamento do Investimento de TIP06 - Comunicação de objetivos e direcionamentoP07 - Gerenciamento de recursos humanos de TIP08 - Gerenciar QualidadeP09 - Avaliar e Gerenciar riscos de TIP10 - Gerenciamento de Projetos

Aquisição e Implementação (AI)

AI01 – Identificar soluções automatizadasAI02 - Aquisição e manutenção de sistemas aplicativosAI03 – Aquisição e manutenção de tecnologia de infra-estruturaAI04 – Habilitar a operação e usoAI05 – Obter recursos de TIAI06 – Gerenciar mudançasAI07 – Instalação, homologação de soluções e mudanças

Entrega e Suporte (DS)

DS01 – Definição de níveis de serviçoDS02 - Gerenciamento de serviços de terceirosDS03 – Gerenciamento de performance e capacidadeDS04 – Assegurar a continuidade dos serviçosDS05 – Assegurar Sistema de SegurançaDS06 – Identificar e alocar custosDS07 - Educar e treinar usuáriosDS08 – Gerenciar Service Desk e incidentesDS09 – Gerenciar configuraçõesDS10 - Gerenciar problemasDS11 – Gerenciar dadosDS12 – Gerenciar ambiente físicoDS13 – Gerenciar operações

Monitoramento e Avaliação (ME)

ME01 – Monitorar e avaliar o desempenho de TIME02 – Monitorar e avaliar os controles internosME03 – Garantir Compliance (conformidade) com requisitos externosME04 – Prover Governança de TI

Cobit – Detalhes do Framework

Os Processos do Cobit. São 34 processos, agrupados em 4 domínios :

Control Objectives for Information and related TechnologyControl Objectives for Information and related Technology

22

• Uma Ferramenta: para a Governança de TI;• Aderência da TI ao Negócio: Requisições orientadas e fundamentadas das áreas-fim da Organização, atendendo aos objetivos estratégicos;• Garantia de Qualidade: Harmonia e detalhamento para atender aos padrões e práticas de mercado, tais como: ITIL, ISO 27001, PMBOK;• Gestão de Risco: Controles objetivos e detalhados;• Governança Corporativa: habilita e facilita a Arquitetura empresarial (RACI–Responsible, Accountable, Consulted and Informed);• Procedural: Definição de fluxos e processos de TI;• Comunicação: Unifica a linguagem e divulga os processos de TI, em todos os níveis da Organização;• Feedback: estimula os comentários, sugestões e recomendações de evolução.

COBIT na Organização

23

COBIT ISO 27002

24

A ITIL é um conjunto de padrões que provê os fundamentos para o processo de gerenciamento dos recursos tecnológicos da TI. Apresenta uma abordagem prática dos processos de produção e entrega dos serviços, baseada em experiência. Seu foco, portanto, é no serviço prestado pela TI das Organizações, visando aumentar a qualidade desses serviços.

Na Gestão de Segurança, o ITIL possui um processo específico para a Segurança da Informação, enfatizando a importância do adequado gerenciamento da SI e considerando os SLA’s entre os processos do Negócio e os da TI. Além disso, recomenda que o gerenciamento de Segurança é parte integrante do trabalho de cada Gerente, em todos os níveis.

FUNDAMENTOS - Valor da Informação:• Confidencialidade;• Integridade;• Disponibilidade;

ITIL – IT INFRASTRUCTURE LIBRARY

25

Processos ITIL

26

COBIT

ITIL

27

A ISO/IEC 27001 é um padrão para sistema de gestão da segurança da informação (ISMS - Information Security Management System) publicado em outubro de 2005 pela ISO e pela IEC. Seu nome completo é ISO/IEC 27001:2005 - Tecnologia da informação - técnicas de segurança - sistemas de gerência da segurança da informação - requisitos mas conhecido como "ISO 27001".

Seu objetivo é ser usado em conjunto com a ISO/IEC 27002, o código de práticas para gerência da segurança da informação, o qual lista objetivos do controle de segurança e recomenda um conjunto de especificações de controles de segurança. Organizações que implementam um ISMS de acordo com as melhores práticas da ISO 27002 estão simultaneamente em acordo com os requisitos da ISO 27001, mas uma certificação é totalmente opcional.

NORMAS ISO IEC 27000

ISO-Organização Internacional p/Padronização-International Organization for StandardizationEntidade que congrega os grémios de normalização de 170 países.Fundada em 1947, em Genebra-Suiça, , a ISO aprova nomras internacionais em todos os campos técnicos.nternacionalIEC-A Comissão Eletrotécnica Internacional (International Electrotechnical Commission) é uma organização internacional de padronização de tecnologias eletricas, eletronicas e relacionadas. Alguns dos seus padrões são desenvolvidos juntamente com a ISO. A IEC foi fundada em 1906 em Genebra-Suíça)

28

NBR ISO/IEC 27001 - Esta norma foi publicada em Outubro de 2005 e substituiu a norma BS 7799-2. Contém requisitos para implantar um sistema de gestão de segurança da informação (SGSI). Antiga BS7799:2

NBR ISO/IEC 27002 - Esta norma substituiu a ISO 17799:2005 (Código de Boas Práticas). Antiga BS7799-1

27004 e 27003 - -Gestão de SI (Medição) e Guia de Implantação de SGSI

ISO 27004 - Esta norma incidirá sobre os mecanismos de medição e de relatório de um sistema de gestão de segurança da informação

NBR ISO/IEC 27005 – Gestão de Riscos

27006 e 27007 – Requisitos e Diretrizes para Auditoria de um SGSI

15999:1 e 15999:2 – Gestão de Continuidade de Negócios (Código de Prática e Requisitos)

Normas Série 27000

29

• Política de Segurança da Informação;

• Organizando a Segurança da Informação;

• Gestão de Ativos;

• Segurança em Recursos Humanos;

• Segurança Física e do Ambiente;

• Gestão das Operações e Comunicações;

• Controle de Acesso;

• Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação;

• Gestão de Incidentes de Segurança da Informação;

• Gestão da Continuidade do Negócio;

• Conformidade.

A Norma ISO/IEC 27002,

30

1. O que é segurança da informação?

Segundo a norma ABNT NBR ISO/IEC 27002:2005 (antiga NBR ISO/IEC 17799:2005, segurança da informação é a proteção da informação contra vários tipos de ameaças de forma a assegurar a continuidade do negócio, minimizando danos comerciais e maximizando o retorno sobre investimentos e oportunidades de negócios. Ainda segundo a NBR ISO/IEC 17799:2005 a segurança da informação é caracterizada pela preservação dos três atributos básicos da informação: confidencialidade, integridade e disponibilidade.

O objetivo da segurança da informação é aprender a lidar e conviver com o risco, e não eliminá-lo completamente, o que na maioria das vezes é impossível. Para isso, deve se aprender a controlar os riscos. E, neste contexto, Beal (2005) acredita que a gestão de risco é o conjunto de processos que permite às organizações identificar e implementar as medidas de proteção necessárias para diminuir os riscos a que estão sujeitos os seus ativos de informação, e equilibrá-los com os custos operacionais e financeiros envolvidos.

PERGUNTAS MAIS FREQUENTES CERTIFICAÇÃO NBR ISO/IEC 27001

31

2. O que é a NBR ISO IEC 27001:2006?É a norma de certificação para Sistemas de Gestão da Segurança da Informação, editada em português em abril de 2006 e que substituiu a BS 7799-2. Esta norma foi preparada para prover um modelo para o estabelecimento, implementação, operação, monitoramento, revisão, manutenção e melhoria de um Sistema de Gestão de Segurança da Informação. A NBR ISO IEC 27001 e NBR ISO IEC 27002 formam o par consistente de normas relativas a Sistema de Gestão de Segurança da Informação.


32

3. O que é a NBR ISO/IEC 27002:2005 (antiga NBR ISO/IEC 17799)?A NBR ISO/IEC 27002 é a versão brasileira da norma ISO homologada pela ABNT, a versão válida é de 2005. É o Código de Prática para Gestão da Segurança da Informação. Serve como referência para a criação e implementação de práticas de segurança reconhecidas internacionalmente, incluindo: Políticas, Diretrizes, Procedimentos, Controles. É um conjunto completo de recomendações para: Gestão da Segurança de Informação e Controles e práticas para a Segurança da Informação.Atenção: a norma de certificação é a NBR ISO IEC 27001:2006, a NBR ISO IEC 27002 é somente uma norma de referência contida na norma de certificação.

4. Qual é a importância que as organizações dão hoje a ISO 27001?Todas as grandes organizações do mundo, sejam públicas ou privadas, já tomaram conhecimento sobre as normas ISO. Diversas pesquisas demonstram que muitas dessas organizações já estão incorporando os controles das normas em suas políticas de segurança.5. Qual é a importância da ISO 27001?Ela permite que uma empresa construa de forma muito rápida uma política de segurança baseada em controles de segurança eficientes. Os outros caminhos para se fazer o mesmo, sem a norma, são constituir uma equipe para pesquisar o assunto ou contratar uma consultoria para realizar essa tarefas.6. Essas normas se aplicam a qualquer tipo de organização?As normas foram criadas e se adaptam bem a organizações comerciais. Instituições de ensino, instituições públicas e outras assemelhadas podem ter dificuldades em implantar certos controles da norma devido a seus ambientes serem diferentes dos de uma empresa comercial. Apesar disso, qualquer organização pode aproveitar grande parte dos controles da norma para implementar segurança da informação em suas instalações.


33

6. Essas normas se aplicam a qualquer tipo de organização?As normas foram criadas e se adaptam bem a organizações comerciais. Instituições de ensino, instituições públicas e outras assemelhadas podem ter dificuldades em implantar certos controles da norma devido a seus ambientes serem diferentes dos de uma empresa comercial. Apesar disso, qualquer organização pode aproveitar grande parte dos controles da norma para implementar segurança da informação em suas instalações.7. O que é SGSI?Sistema de Gestão de Segurança da Informação é o resultado da aplicação planejada de objetivos, diretrizes, políticas, procedimentos, modelos e outras medidas administrativas que, de forma conjunta, definem como são reduzidos os riscos para segurança da informação. Uma empresa que implante a norma ISO 27001 acaba por constituir um SGSI.8. Quais são as etapas para se constituir um SGSI?Em primeiro lugar, deve-se definir quais são seus limites (sua abrangência física, lógica e pessoal). Depois devem ser relacionados os recursos que serão protegidos. Em seguida relaciona-se quais são as possíveis ameaças a esses recursos, quais são as vulnerabilidades a que eles estão submetidos e qual seria o impacto da materizalização dessas ameaças. Por fim,com base nessas informações, são priorizados os controles necessários para garantir a segurança desses recursos.


34

9. Para implantar a norma em uma empresa é obrigatório empregar todos os seus controles?Não. Aplicam-se somente os controles para os serviços, facilidades, espaços e condições existentes na empresa. Por exemplo, se a empresa não tem acesso remoto de usuários, todos os controles referentes a esse tipo de acesso podem ser ignorados.

10. O que é a Declaração de Aplicabilidade?É um documento exigido pela NBR ISO IEC 27001 no qual a empresa tem que relacionar quais controles do Anexo A são aplicáveis e justificar os que não são aplicáveis ao seu SGSI.

11. Como obter a norma NBR ISO IEC 27001?As normas NBR ISO, assim como as de outros países, têm direitos autorais. As normas da série NBR ISO devem ser adquiridas na ABNT Associação Brasileira de Normas Técnicas.

12. Como a ISO 27001 se relaciona com as normas ISO 9000 e ISO 14000?A ISO 27001 harmoniza-se com essas normas na medida que segue a suas estruturas e conteúdos. A 27001 inclui um PDCA semelhante aos existentes na ISO 9001 e ISO 14000 com objetivo de estabelecer um contínua gestão da segurança da informação.


35

13. O que é PDCA?PDCA (Plan-Do-Check-Act ou Planejar-Executar-Verificar-Agir) é um método de gestão que se carateriza por um ciclo de ações que se repete continuamente de forma a incorporar alterações no ambiente. Nas normas de gestão acima mencionadas é empregado para garantir uma efetiva gestão da empresa.

14. Existe legislação que obrigue o uso da ISO 27001?As leis variam de país para país. A rigor não existem leis que obriguem o emprego de tais normas. No Brasil, existem recomendações no sentido de empregar-se a norma emitidas por entidades como a Fenabam, o Conselho Federal de Medicina, a ICP-Brasil, dentre outros. No Reino Unido, a Data Protection Act promulgada em 1998 e, nos Estados Unidos, a lei Sarbanes-Oxley (que atinge subsidiárias de empresas americanas de capital aberto instaladas no Brasil), promulgada em 2002, determinam cuidados no trato das informações que, na prática, obrigam as empresas a empregar a ISO 27001/ISO 17799 como uma forma de demonstrarem que estão procurando cumprir os requisitos de segurança determinados por essas leis.

15. O que é certificação?A certificação é um documento emitido por uma entidade certificadora independente que garante que uma dada empresa implantou corretamente todos os controles da norma aplicáveis. A certificação é emitida após uma auditoria externa para verificação da conformidade da empresa com a norma.


36

16. Para que serve a certificação?Ela comprova, para as empresas certificadas, que a segurança da informação está garantida de forma efetiva, o que não significa, contudo, que a empresa esteja imune a violações de segurança. Além disso, a certificação comprova, para os clientes e fornecedores da empresa, o a preocupação que esta tem com a segurança da informação, reforçando sua imagem junto ao mercado. Dependendo da atividade da empresa, essa certificação pode ser essencial para a realização de certos negócios.

17. Pode-se aplicar a ISO 27001 e realizar apenas uma auditoria interna?Sim. Na realidade, a maior parte das empresas a emprega dessa forma, uma vez que elas ainda não identificaram a necessidade/possibildade de realizarem a certificação.

18. Qual é o custo de uma certificação?O custo depende de vários fatores, tal como quanto tempo o responsável pela certificação necessita para avaliar a conformidade da empresa com relação à norma, o tamanho e a complexidade da empresa e de seus sistemas.

19. Muitas empresas já obtiveram a certificação?Até o final de 2004, mais de 2017 empresas em todo mundo receberam a certificação BS7799- 2 a certificação NBR ISO 27001:2005 até o presente momento somente 1 empresa obteve no mundo, e esta empresa foi no Brasil, Módulo Security. Informações atualizadas . Informações atualizadas podem ser obtidas no site. Hoje (24/1/12), 24 empresas BR e 7536 no mundo, atualizado http://www.iso27001certificates.com/


37

Japan 4152 Greece 50

UK 573 Ireland 48

India 546 Austria 42

Taiwan 461 Turkey 35

China 393 Turkey 35

Germany 228 France 34

Czech Republic 112 Hong Kong 32

Korea 107 Australia 30

USA 105 Singapore 29

Italy 82 Croatia 27

Spain 72 Slovenia 26

Hungary 71 Mexico 25

Malaysia 66 Slovakia 25

Poland 61 Brazil 24

Thailand 59 ......... .........

Total 7940

Certificações no mundo – Posição em agosto/2012

38

Certificações no Brasil – Posição em agosto/2012

Atos Origin Brasil Ltda Promon Tecnologia Ltda

Axur Information Security Samarco Mineração S/A.

BT SERASA S.A.

BT Global Services Sao Paulo SOC/NOC Serviço Federal de Processamento de Dados - SERPRO

Cardif do Brasil Vida e Previdencia S/A Superior Tribunal de Justiça

CIP Camara Interbancaria de Pagamentos Telefonica Empresas S/A

Fucapi-Fundacao Tivit Tecnologia da Informacao S.A.

IBM ITD Brazil TIVIT TERCEIRIZAÇÃO DE TECNOLOGIA E SERVIÇOS S.A.

Módulo Security Solutions S/A T-Systems Brazil

Poliedro - Informática, Consultoria e Serviços Ltda. T-Systems do Brasil Ltda.

Prodesp UNISYS Global Outsourcing

Promon Engenharia Ltda. Zamprogna S/A Importacao

39

20. Quantas e quais empresas foram certificadas no Brasil?Cinco empresas brasileiras obtiveram a certificação até 2004: Módulo Security, Banco Matone, Serasa, Samarco Mineração e Unisys. Sendo que a Módulo já fez a transição para a NBR ISSO IEC 27001. Informações atualizadas sobre empresas certificadas no Brasil e no mundo podem ser obtidas no site www.xisec.com. Em 20/01/2010 temos 6037 certificações no mundo e 23 no Brasil (Exemplos: Módulo, Serasa, Banco Matone, Samarco, Unisys, PRODESP, SERPRO, Telefônica)

21. Quem concede o certificado?Os certificados são emitidos por entidades certificadoras acreditadas por órgãos de credenciamento nacionais ou internacionais após realização de auditorias.

22. Como são feitas estas auditorias?A auditoria do Sistema de Gestão da Segurança da Informação é dividida em 2 etapas: Auditoria de Documentação, conhecida como Fase 1 e Auditoria de Certificação, conhecida como Fase 2. Podendo existir também a Pré-Auditoria, esta por sua vez é opcional.

23. O que é Auditoria de Documentação?Em razão do tema abordado esta norma envolve documentos e informações, muitas vezes, confidenciais, desta forma, fazem-se necessário uma análise prévia destes nas instalações da própria empresa visando à verificação de sua adequação e a segurança dos dados. A Auditoria de Documentação é o primeiro contato com a equipe auditora.


40

24. Qual a diferença entre a Auditoria de Documentação e a Pré-auditoria?A Auditoria de Documentação tem como foco a seguinte documentação: Declaração de Aplicabilidade, Relatório de Avaliação de Riscos e Análise Crítica pela Direção entre outros possíveis documentos associados a estes, conforme aplicável. Esta análise não contempla procedimentos e práticas específicos, uma vez que estes são objeto da Pré-auditoria, que tem por objetivo a análise crítica da adequação do sistema à norma.

25. Pré-auditoria é o mesmo que Auditoria de Pré-certificação?Sim. Os dois termos são usados e reconhecidos pelo mercado para identificar um mesmo tipo de auditoria.

26. Quando devo solicitar a Pré-auditoria?Após a implantação do Sistema de Gestão da Segurança da Informação e após ter realizado pelo menos um ciclo de auditoria interna e pelo menos uma análise crítica pela direção a empresa pode solicitar a realização da Pré-auditoria para verificar o nível de adequação à norma em questão.

27. Minha empresa já possui a certificação pela norma anterior. Também posso solicitar uma Pré-auditoria segundo a nova versão?As empresas já certificadas podem solicitar a realização da Pré-auditoria para verificar o nível de adequação à norma em questão, após a adequação do SGSI e após ter realizado pelo menos um ciclo de auditoria interna .


41

28. Para que serve a Pré-auditoria?A Pré-auditoria tem como principal objetivo a detecção de eventuais problemas conceituais que possam vir a ser despercebidos pela empresa em processo de certificação. Seria um exemplo de problema conceitual, a não aplicação de um requisito ou controle que influencie na Segurança da Informação da empresa. Isto pode ocorrer em razão de uma incorreta interpretação da norma para o negócio da empresa e/ou escopo considerado(s). No entanto, nestes casos a certificação não pode ser recomendada, causando transtornos para a empresa e uma certa decepção para todos os envolvidos. A fim de reduzir os riscos de não certificação por problemas de adequação, os organismos certificadores em todo o mundo passaram a realizar análises prévias, estas análises prévias são chamadas de pré-auditoria.29. Como é feita a pré-auditoria?A Pré-auditoria é realizada nas instalações da empresa e segue os mesmos passos da Auditoria de Certificação: Reunião de Abertura, investigação, relato das não-conformidades e reunião de encerramento. Geralmente a equipe auditora da Pré-auditoria será a mesma da Análise Documental e da Auditoria de Certificação.São verificados os procedimentos e a documentação em relação à sua adequação à norma de referência. O tempo dimensionado para esta auditoria, normalmente não permite que a equipe auditora tenha tempo para verificar se as práticas descritas na documentação estão adequadamente implementadas isto é o que chamamos de auditoria de conformidade, que será realizada durante a Auditoria de Certificação (Inicial) e nas Auditorias de Manutenção (Anuais ou semestrais).


42

30. No meu orçamento consta uma Pré-auditoria de um dia. Posso solicitar mais um ou dois dias?Sim. A carga horária definida no orçamento é mínima para checar todos os itens da norma. No entanto, caso a empresa deseje uma análise mais aprofundada, a carga horária poderá ser aumentada sem problema algum. Haverá um aumento proporcional no preço do evento.

31. Posso pular a Pré-auditoria e ir direto para a Auditoria de Certificação? Sim. Tomando-se como base a experiência adquirida ao longo do tempo em certificações de sistemas de gestão, a FCAV recomenda fortemente a realização da Pré-auditoria, no entanto, se a empresa tem muita segurança na adequação e conformidade do seu sistema de gestão não há problema algum em ir direto para a Auditoria de Certificação.

32. Se o auditor não encontrar problemas na Pré-auditoria posso já receber o certificado?Não. A Pré-auditoria tem objetivo distinto da Auditoria de Certificação. A Pré-auditoria verifica a adequação do sistema, não colhendo evidências suficientes de que as práticas refletem o planejamento contido nos procedimentos. A verificação da implementação é feita na Auditoria de Certificação que não pode ser dispensada em nenhum caso.


43

33. Qual é o prazo entre a Auditoria de Documentação e as Auditorias de Précertificação, Certificação e Manutenção?Com exceção às Auditorias de Manutenção, que devem ocorrer no mínimo anualmente, não há um prazo expressamente definido para que estes eventos ocorram, e os mesmos podem ser discutidos e acordados, conforme as necessidades de cada empresa. No entanto, a FCAV recomenda que a Auditoria de Documentação ocorra pelo menos 30 dias antes da Auditoria de Certificação e, caso seja solicitada, 30 dias antes da Pré-auditoria.

34. Quem faz parte da equipe auditora?Normalmente, a equipe auditora é formada por um ou dois auditores com experiência em auditoria e conhecimentos do segmento de negócio da empresa. Por se tratar de uma norma específica, as auditorias do Sistema de Gestão de Segurança da Informação devem contar sempre auditores que detenham conhecimentos técnicos suficientes para compreender a linguagem dos auditados.


1 Aula 01 Introdução Segurança da Informação We are what we repeatedly do. Excellence, then, is...

Documents

Transcript of 1 Aula 01 Introdução Segurança da Informação We are what we repeatedly do. Excellence, then, is...