sexta-feira, 31 de janeiro de 2014

Quatro fases do sistema de gestão de segurança da informação

A ISO 27001 indica como gerir a segurança da informação por meio de um sistema de gestão da segurança da informação. Esse sistema de gestão, assim como a ISO 9001 ou a ISO 14001, é composto por quatro fases que devem ser implementadas continuamente a fim de minimizar os riscos para a confidencialidade, integridade e disponibilidade das informações.

As fases são as seguintes:

Plan (Planejar) – esta fase serve para planejar a organização básica da segurança da informação, definir objetivos de segurança da informação e escolher os controles de segurança adequados (a norma contém um catálogo com 133 controles possíveis)
Do (Fazer) – esta fase representa a realização de todo o planejado na fase anterior
Check (Verificar) – a finalidade desta fase é monitorar o funcionamento do SGSI por meio de diversos "canais" e verificar se os resultados atendem aos objetivos definidos
Act (Agir) – a finalidade desta fase é aprimorar tudo o que foi identificado como não conforme na fase anterior
O ciclo dessas quatro fases nunca termina e todas as atividades devem ser implementadas em ciclo a fim de manter um SGSI eficaz.


Documentos para a ISO 27001

A ISO 27001 requer os seguintes documentos:
  • o objetivo do SGSI
  • a política do SGSI
  • os procedimentos para controle de documentos, auditorias internas e procedimentos para ações corretivas e preventivas
  • todos os outros documentos, dependendo dos controles aplicáveis
  • metodologia de avaliação de riscos
  • relatório de avaliação de riscos
  • declaração de aplicabilidade
  • plano de tratamento de riscos
  • registros

A quantidade e a precisão da documentação depende do tamanho da organização e os requisitos de segurança. Isso significa que uma dúzia de documentos será suficiente para uma organização de pequeno porte, enquanto que as organizações complexas e de grande porte terão centenas de documentos em seu SGSI.


A fase Plan

A fase Plan é composta pelas seguintes etapas:
  • determinação do objetivo do SGSI
  • composição de uma Política de SGSI
  • identificação da metodologia para a avaliação de risco e determinação dos critérios de aceitação de riscos
  • identificação dos ativos, das vulnerabilidades e das ameaças
  • avaliação da dimensão dos riscos
  • identificação e avaliação das opções de tratamento de riscos
  • seleção de controles para o tratamento de riscos
  • obtenção de aprovação da gestão para riscos residuais
  • obtenção de aprovação da gestão para implementação do SGSI
  • composição de uma declaração de aplicabilidade que relaciona todos os controles aplicáveis, declara quais desses controles já foram implementados e declara quais não são aplicáveis


A fase Do

A fase Do é composta pelas seguintes atividades:
  • composição de um plano de tratamento de riscos, descrevendo os controles aplicáveis a quem, como, quando e com que orçamento o plano deve ser implementado
  • implementação do plano de tratamento de riscos
  • implementação dos controles de segurança aplicáveis
  • determinação de como medir a eficácia dos controles
  • condução de programas de conscientização e treinamento de funcionários
  • gestão do funcionamento normal do SGSI
  • gestão dos recursos de SGSI
  • implementação dos procedimentos para detecção e gestão de incidentes de segurança


A fase Check

Esta fase inclui o seguinte:
  • implementação de procedimentos e outros controles para monitoramento e análise a fim de estabelecer qualquer violação, processamento incorreto de dados , se as atividades de segurança estão sendo realizadas conforme o esperado, etc.
  • análises periódicas da eficácia do SGSI
  • medição da eficácia dos controles
  • análise periódica da avaliação de riscos
  • auditorias internas a intervalos planejados
  • análises críticas da gestão para garantir que o SGSI está funcionando e para identificar oportunidades de melhoria
  • atualização dos planos de segurança levando em consideração outras atividades de monitoramento e análise
  • manutenção de registros de atividades e incidentes que podem afetar a eficácia do SGSI


A fase Act

Esta fase inclui o seguinte:
  • implementação das melhorias identificadas no SGSI
  • tomada de ações corretivas e preventivas; aplicação de experiências de segurança próprias e de terceiros
  • comunicação das atividades e melhorias a todos os interessados
  • garantia de que as melhorias atendem aos objetivos desejados

Outras normas relacionadas à segurança da informação

Além da ISO 27001 (antiga BS 7799-2), a ISO 27002 (antiga ISO 17799) é uma norma "auxiliar" que fornece mais detalhes sobre como implementar os controles de segurança especificados na ISO 27001.

Outras normas que também podem ser úteis são a ISO 27005, que descreve os procedimentos de avaliação de riscos com mais detalhes, e a BS 25999-2, que fornece uma descrição detalhada da gestão de continuidade de negócios.

Fonte: http://www.iso27001standard.com/pt/o-que-e-a-iso-27001
Postado por às Nenhum comentário:

ISO 27001 para pequenas e médias empresas

Além de adquirir as normas ISO/IEC 27000, 27001 e 27002, o pessoal aqui da empresa comprou o livro da imagem abaixo, um guia prático para pequenas e médias empresas que é uma mão na roda para marinheiros de primeira viagem. Li o material e recomendo a quem tiver interesse!


Postado por às Nenhum comentário:

Documentos e registros exigidos pela ISO 27001

A leitura da Norma elenca documentos que devem ser produzidos e registros que devem ser coletados para a sua aplicação efetiva e pleito à certificação.

É importante lembrar que a implantação das normas ISO normalmente são um ciclo PDCA (Plan, Do, Check, Act). Assim, as etapas da implantação podem ser feitas com atividades agrupadas nas quatro fases do clico.

A lista baixo mostra o conjunto mínimo de documentos e registros requeridos pelo ISO/IEC 27001:2013:

Documentos:
  • Escopo do SGSI
  • Política e objetivos de segurança da informação
  • Metodologia de avaliação de riscos e tratamento de riscos
  • Declaração de aplicabilidade
  • Plano de tratamento de riscos
  • Relatório de avaliação de riscos
  • Definição da funções e responsabilidades de segurança
  • Inventário de ativos
  • Uso aceitável dos ativos
  • Política de controle de acesso
  • Procedimentos operacionais para a gestão de TI
  • Princípios de engenharia de sistemas seguros
  • Política de segurança do fornecedor
  • Procedimentos de gestão de incidentes
  • Procedimentos de continuidade de negócios
  • Requisitos legais, regulatórios e contratuais

Registros:
  • Registros de treinamento, conhecimentos, experiência e qualificação
  • Resultados de monitoramento e medição
  • Programa de auditoria interna
  • Resultados de auditoria interna
  • Resultados da revisão de gestão
  • Resultados de ações corretivas
  • Registros de atividades de usuário, exceções e eventos de segurança
Pretendo compartilhar com vocês os modelos genéricos dos documentos que produzirei, eliminando deles os dados corporativos e informações particulares da empresa onde trabalho, é claro.
Postado por às Nenhum comentário:

quinta-feira, 30 de janeiro de 2014

A abordagem da implantação do ISO 27001

O vídeo abaixo possibilita um overview sobre o contexto da implantação do SGSI em uma empresa, comentando pontos de reflexão importantes para o sucesso do projeto.

No contexto do vídeo, uma questão interessante que é abordada é a atribuição à área TI para implantação dos processos para atender a norma. Não que exista uma restrição em questão de área mais qualificada, mas é a questão de definição do escopo da abordagem, envolvimento de todas as áreas que suportam o escopo visando atender os requisitos do negócio da empresa.

Em resumo, é possível entender que uma área realizando os esforços isoladamente, não terá a visão do todo. Pois os ativos de segurança da informação permeiam por toda a organização.

Postado por às Nenhum comentário:

Um caso real

Há alguns dias atrás vi em um noticiário uma reportagem que me fez refletir o quão vulnerável uma empresa está quando se trata de segurança da informação. Deixo o vídeo dessa matéria aqui para que você faça sua própria reflexão.


Postado por às Nenhum comentário:

Conhecendo o assunto

A ISO 27000 é uma família de normas relacionada a Gestão de Segurança da Informação, estabelecidas pela ISO/IEC.
  • A ISO 27001, que é a norma pela qual uma empresa é certificada. Ela especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão Segurança da Informação  (SGSI), documentado dentro do contexto dos riscos de negócio globais da organização. Ela especifica requisitos para a implementação de controles de segurança personalizados para as necessidades individuais de organizações ou suas partes. O SGSI é projetado para assegurar a seleção de controles de segurança adequados e proporcionados para proteger os ativos de informação e propiciar confiança às partes interessadas.
  • A norma ISO/IEC 27002 trás as práticas para implementar os controles propostos na ISO 27001.
  • A ISO/IEC 27005 contempla a gestão de riscos.
Postado por às Nenhum comentário:

quarta-feira, 29 de janeiro de 2014

Saindo da zona de conforto

Encarar o desafio de implantar algo que não dominamos geralmente nos causa um desconforto e resistência, principalmente quando não existe alguém que, como um professor, é capaz de nos orientar para atingir o objetivo. Assim aconteceu com a missão que recebi, de implantar o ISO/IEC 27001:2013 na empresa onde trabalho. Resolvi criar esse blog para compartilhar com os colegas e entusiastas do assunto a trajetória e os conhecimentos adquiridos no percurso de implantação dos requerimentos da norma.
Postado por às Um comentário:
Assinar: Postagens (Atom)