450 likes | 628 Views
Aula 01. Introdução Segurança da Informação. “We are what we repeatedly do. Excellence, then, is not an act, but a habit” Aristoteles. Mini-curriculum. Mauro Mendes maurom.oliveira@hotmail.com https://sites.google.com/site/mauromendesaulas Experiencia como docente Unice – desde 1997
E N D
Aula 01 Introdução Segurança da Informação “We are what we repeatedly do. Excellence, then, is not an act, but a habit” Aristoteles
Mini-curriculum Mauro Mendes maurom.oliveira@hotmail.com https://sites.google.com/site/mauromendesaulas Experiencia como docente • Unice – desde 1997 • Faculdade Lourenço Filho- desde 2010-2 -Disciplinas: Tcp/IP, Arquiteturas de Redes, Gerencia de Redes, Segurança Experiência profissional -Gerente de Infraestrutura Etice – desde 2007 -Gerente de Suporte BEC – 1997 a 2006 -Analista de Suporte BEC - 1984 a 1996 Certificações -PMP (jul/2010) -CCNA (set/2003) Pós-Graduação:Unifor-Redes-1991 Graduação:UFC-Computação-1982
INTRODUÇÃO Conforme definição da norma ABNT NBR ISO/IEC 27002:2005 “A informação é um ativo que, como qualquer outro ativo importante, é essencial para os negócios de uma organização e, conseqüentemente, necessita ser adequadamente protegida. [...] A informação pode existir em diversas formas. Ela pode ser impressa ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou por meios eletrônicos, apresentada em filmes ou falada em conversas. Seja qual for a forma de apresentação ou o meio através do qual a informação é compartilhada ou armazenada, é recomendado que ela seja sempre protegida adequadamente.” Ativo: Qualquer coisa que tenha valor para a organização. [ISO/IEC 13335-1:2004]. Obs.: A ISO 13335 evoluiu para a NBR ISO/IEC27005 (Gestão de Riscos) Ativo de Informação: qualquer componente (humano, tecnológico, físico ou lógico) que sustenta um ou mais processos de negócio de uma unidade ou área de negócio.
Conceito de Segurança da Informação De acordo com a mesma norma ABNT NBR ISO/IEC 27002:2005 “Segurança da informação é a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio.” “A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware. Estes controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados, onde necessário, para garantir que os objetivos do negócio e de segurança da organização sejam atendidos. Convém que isto seja feito em conjunto com outros processos de gestão do negócio.”
ABNT NBR ISO/IEC 27002:2005 Esta Norma de Segurança foi preparada para prover um modelo para EIOMAMMum Sistema de Gestão de Segurança da Informação (SGSI). EIOMAMM = estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar
Os princípios da segurança A segurança da informação se caracteriza pela preservação dos seguintes atributos: BÁSICOS (CID): • Confidencialidade: garantir que a informação seja acessível apenas àqueles autorizados a ter acesso; • Integridade: ter a disponibilidade de informações confiáveis, corretas e em formato compatível com o de utilização, ou seja, informações íntegras; • Disponibilidade: garantia que o usuário do sistema de informação tenha o acesso quando necessário; ADICIONAIS: • Autenticidade: assegurar que os usuários são aqueles que dizem ser; • Não repudiação: garantir que a transação não pode ser negada ao usuário após o acesso; • Responsabilidade: responsabilidade dos usuários com a integridade da informação e com os ativos da organização.
TERMOS E DEFINIÇÕES S.G.S.I. - Sistema de Gestão de Segurança da Informação Controle: forma de gerenciar o risco, incluindo políticas, procedimentos, diretrizes, práticas ou estruturas organizacionais, que podem ser de natureza administrativa, técnica, de gestão ou legal. [ABNT NBR ISO/IEC 27002:2005] ISO: International Organization for Standardization IEC: International Electrotechnical Commission ABNT: Associação Brasileira de Normas Técnicas
TERMOS E DEFINIÇÕES Ameaça: causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização. [ISO/IEC 13335-1:2004] Risco: combinação da probabilidade de um evento e de suas conseqüências. [ABNT ISO/IEC Guia 73:2005] Vulnerabilidade: fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças. [ABNT NBR ISO/IEC 27002:2005] Ativo: qualquer coisa que tenha valor para a organização. [ISO/IEC 13335-1:2004] Ativo de Informação: qualquer componente (humano, tecnológico, físico ou lógico) que sustenta um ou mais processos de negócio de uma unidade ou área de negócio
TERMOS E DEFINIÇÕES Evento de segurança da informação: ocorrência identificada de um sistema, serviço ou rede, que indica uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação. [ISO/IEC TR 18044:2004] Incidente de segurança da informação: indicado por um simples ou por uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação. [ISO/IEC TR 18044:2004] Gestão de riscos: atividades coordenadas para direcionar e controlar uma organização no que se refere a riscos. [ABNT ISO/IEC Guia 73:2005] IEC: International Electrotechnical Commission. Informação: agrupamento de dados que contenham algum significado. Risco: combinação da probabilidade de um evento e de suas conseqüências. [ABNT ISO/IEC Guia 73:2005]
Objetivo da Segurança da informação Aprender a lidar e conviver com o risco, e não eliminá-lo completamente, o que na maioria das vezes é impossível. Para isso, deve se aprender a controlar os riscos. E, neste contexto, Beal (2005) acredita que a gestão de risco é o conjunto de processos que permite às organizações identificar e implementar as medidas de proteção necessárias para diminuir os riscos a que estão sujeitos os seus ativos de informação, e equilibrá-los com os custos operacionais e financeiros envolvidos.
Riscos, Ativo, Ameaças, Vulnerabilidades Ativo: NoBreak Proprietário: João Maria Ameaças: Apagão Vulnerabilidade: Problema em peças de reposição em caso de problema Probabilidade Risco (A) : 1 (1 a 100) Impacto Risco (B): 5 (1 a 5) Magnitude Risco: (A*B) Tratamentos: Ter nobreak redundante, Manutenção Preventiva, Contrato de manutenção com reposição de peças
Normas Segurança baseadas no ciclo PDCA Plan (planejar) - estabelecer a política, objetivos, processos e procedimentos do SGSI, relevantes para a gestão de riscos e a melhoria da segurança da informação para produzir resultados de acordo com as políticas e objetivos globais de uma organização. Do (fazer) - implementar e operar a política, controles, processos e procedimentos do SGSI. Check (checar) - avaliar e, quando aplicável, medir o desempenho de um processo frente à política, objetivos e experiência prática do SGSI e apresent. os resultados p/ a análise crítica pela direção. Act (agir) - Executar as ações corretivas e preventivas, com base nos resultados da auditoria interna do SGSI e da análise crítica pela direção ou outra informação pertinente, para alcançar a melhoria contínua do SGSI.
OS PADRÕES COBIT, ITIL, ISO IEC 27000 O uso, pela Organização, de práticas comprovadas identifica que ela está alinhada com padrões internacionais e facilitará qualquer auditoria ou avaliação da organização no que se refere à proteção da informação. O Profissional de Segurança deve desenvolver ações alinhadas com as melhores práticas para a proteção e controle da informação. Como padrões de mercado aceitos e seguidos pela grande maioria das organizações e governos encontram-se o COBIT, ITIL e as Normas NBR ISO/IEC 27001,27002 Essas práticas recomendam a existência de processo formal de conscientização em segurança da informação, porém, não orientam como fazer essa conscientização. Então, por que devemos considerar essas práticas? Porque, de alguma forma, estaremos seguindo ou respondendo questionamentos que tomam por base essas práticas. Cada uma dessas práticas tem abordagem e escopo diferentes.
A necessidade de Governança de TI Segurança Manter TI operacional Alinhamento de TI com o negócio Gerenciar ambiente complexo Atender a Órgãos reguladores Valor/Custo As organizações requerem uma abordagem estruturada para estes e outros desafios. Isto garante que os objetivos traçados por TI, bons controles gerenciais e um efetivo monitoramento de performance são mantidos na trilha e evitam situações inesperadas .
Modelo de Governança Corporativa e Governança de TI: Governança Corporativa Governança de Compliance Governança de Negócio Compulsória Espontânea AgênciaReguladora NYSE Bovespa/CVM BACEN Planejamento Estratégico (BSC) SOX Basel II N1 N2 Resultado & Desempenho Gestão de Risco e Controles Internos Direcionadores Estratégicos Governança de TI COBIT Serviços de TIITIL/ISO 20k ProjetosPMI/PMBok Fábrica SWCMMi/MPS.br OutSourcinge-SCM/SAS70 SegurançaISO 27001 Melhores Práticas,Padrões, Normas e Área de Conhecimento
Onde o Cobit se posiciona? CONFORMIDADE Basel II, Sarbanes- Oxley Act, etc. PERFORMANCE Objetivos do Negócio Drivers Balanced Scorecard Governança Corporativa COSO COBIT Governança de TI ISO 9001:2000 ISO 17799 ISO 20000 Padrões de Melhores Práticas Princípios de Segurança ProcedimentosQA Processos e Procedimentos ITIL
COBIT e outros Frameworks para TI Organizações consideram e usam uma variedade de modelos de TI, padrões e melhores práticas. Isto deve ser entendido na forma como eles podem ser utilizados em conjunto, com o COBIT atuando como um consolidador. COSO COBIT ISO 17799 ISO 9000 ITIL Como O que Escopo de Cobertura
COBIT - COMMON OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY Estrutura de relações e processos para dirigir e controlar o ambiente de TI, orientando-a às metas da Organização e oferecendo métricas estruturadas com base BSC em 4 perspectivas: Financeira, Clientes, Processos e Inovação/Aprendizado. Além da Auditoria de Sistemas, o COBIT é muito utilizado para a Governança de TI, seguindo padrões para um ambiente globalizado. Cronologia de evolução do COBIT:
COBIT : 4 dimensões, denominados Domínios • Planejar e Organizar: Implica uma visão estratégica para a Governança de TI, que busca a melhor realização dos objetivos organizacionais na área tecnológica; • Adquirir e Implementar: Qualifica tanto a Identificação de soluções a serem desenvolvidas e/ou adquiridas como a implementação e integração ao ambiente, assegurando que o ciclo de vida destas soluções é adequado ao ambiente organizacional; • Entregar e Suportar: Domínio responsável em verificar o tratamento de serviços demandados pelos processos de Negócios, recursos para a continuidade operacional, o treinamento e a segurança das operações. É neste domínio que se assegura a entrega de informações através do processamento de dados dos sistemas aplicativos, bem como todo o suporte necessário para sua operação no mal ou em situações anômalas; • Monitorar: Administra o processo de controles da organização de TI e a garantia de independência nas Auditorias existentes. É fundamental para avaliar contínua e regularmente a qualidade e a conformidade dos controles implantados. Nesses 4 domínios existem, de forma detalhada, 34 processos de controles de alto nível e para estes processos foram criados 318 objetivos de controles necessários para analisar e atender aos requisitos de TI e, conseqüentemente, aos objetivos do Negócio. Como resultado de avaliação desses objetivos, criam-se as estratégias para mitigação de riscos existentes, baseados nos resultados obtidos.
COBIT – 34 PROCESSOS Para cada um dos 34 processos, o COBIT contempla os Fatores Críticos de Sucesso e determina os Indicadores de Resultados (KGI) e Indicadores de Performance (KPI), que geram as métricas para a avaliação da Governança de TI, para Diretrizes de Auditoria e para a Segurança da Informação. O COBIT apresenta um modelo para atestar a maturidade de cada processo em uma escala de 5 estágios possíveis, sendo eles: 0 – Não existe; 1 – Inicial; 2 – Repetível e intuitivo; 3 – Processos definidos; 4 – Gerenciados; 5 – Processos otimizados. Para o Security Officer, o COBIT é utilizado como um modelo para um Programa de Segurança da Informação, INTEGRANDO segurança com os objetivos de TI relacionados aos negócios e também estruturando Políticas, Normas e Procedimentos de Segurança da Informação.
Cobit Control Objectives for Information and related Technology Cobit – Detalhes do Framework Os Processos do Cobit. São 34 processos, agrupados em 4 domínios : Planejamento e Organização (PO) Aquisição e Implementação (AI) AI01 – Identificar soluções automatizadas AI02 - Aquisição e manutenção de sistemas aplicativos AI03 – Aquisição e manutenção de tecnologia de infra-estrutura AI04 – Habilitar a operação e uso AI05 – Obter recursos de TI AI06 – Gerenciar mudanças AI07 – Instalação, homologação de soluções e mudanças P01 - Definição plano estratégico TI P02 - Definição arquitetura de informação P03 - Determinação do direcionamento tecnológico P04 - Definição de Processos de TI, Organização e Relacionamentos P05 - Gerenciamento do Investimento de TIP06 - Comunicação de objetivos e direcionamento P07 - Gerenciamento de recursos humanos de TIP08 - Gerenciar QualidadeP09 - Avaliar e Gerenciar riscos de TIP10 - Gerenciamento de Projetos Entrega e Suporte (DS) DS01 – Definição de níveis de serviçoDS02 - Gerenciamento de serviços de terceirosDS03 – Gerenciamento de performance e capacidadeDS04 – Assegurar a continuidade dos serviçosDS05 – Assegurar Sistema de SegurançaDS06 – Identificar e alocar custos DS07 - Educar e treinar usuáriosDS08 – Gerenciar Service Desk e incidentes DS09 – Gerenciar configurações DS10 - Gerenciar problemasDS11 – Gerenciar dados DS12 – Gerenciar ambiente físico DS13 – Gerenciar operações Monitoramento e Avaliação (ME) ME01 – Monitorar e avaliar o desempenho de TI ME02 – Monitorar e avaliar os controles internos ME03 – Garantir Compliance (conformidade) com requisitos externosME04 – Prover Governança de TI
COBIT na Organização • Uma Ferramenta: para a Governança de TI; • Aderência da TI ao Negócio: Requisições orientadas e fundamentadas das áreas-fim da Organização, atendendo aos objetivos estratégicos; • Garantia de Qualidade: Harmonia e detalhamento para atender aos padrões e práticas de mercado, tais como: ITIL, ISO 27001, PMBOK; • Gestão de Risco: Controles objetivos e detalhados; • Governança Corporativa: habilita e facilita a Arquitetura empresarial (RACI–Responsible, Accountable, Consulted and Informed); • Procedural: Definição de fluxos e processos de TI; • Comunicação: Unifica a linguagem e divulga os processos de TI, em todos os níveis da Organização; • Feedback: estimula os comentários, sugestões e recomendações de evolução.
COBIT ISO 27002
ITIL – IT INFRASTRUCTURE LIBRARY A ITIL é um conjunto de padrões que provê os fundamentos para o processo de gerenciamento dos recursos tecnológicos da TI. Apresenta uma abordagem prática dos processos de produção e entrega dos serviços, baseada em experiência. Seu foco, portanto, é no serviço prestado pela TI das Organizações, visando aumentar a qualidade desses serviços. Na Gestão de Segurança, o ITIL possui um processo específico para a Segurança da Informação, enfatizando a importância do adequado gerenciamento da SI e considerando os SLA’s entre os processos do Negócio e os da TI. Além disso, recomenda que o gerenciamento de Segurança é parte integrante do trabalho de cada Gerente, em todos os níveis. FUNDAMENTOS - Valor da Informação: • Confidencialidade; • Integridade; • Disponibilidade;
ITIL COBIT
NORMAS ISO IEC 27000 A ISO/IEC 27001 é um padrão para sistema de gestão da segurança da informação (ISMS - Information Security Management System) publicado em outubro de 2005 pela ISO e pela IEC. Seu nome completo é ISO/IEC 27001:2005 - Tecnologia da informação - técnicas de segurança - sistemas de gerência da segurança da informação - requisitos mas conhecido como "ISO 27001". Seu objetivo é ser usado em conjunto com a ISO/IEC 27002, o código de práticas para gerência da segurança da informação, o qual lista objetivos do controle de segurança e recomenda um conjunto de especificações de controles de segurança. Organizações que implementam um ISMS de acordo com as melhores práticas da ISO 27002 estão simultaneamente em acordo com os requisitos da ISO 27001, mas uma certificação é totalmente opcional. ISO-Organização Internacional p/Padronização-International Organization for Standardization Entidade que congrega os grémios de normalização de 170 países.Fundada em 1947, em Genebra-Suiça, , a ISO aprova nomras internacionais em todos os campos técnicos.nternacional IEC-A Comissão Eletrotécnica Internacional (International Electrotechnical Commission) é uma organização internacional de padronização de tecnologias eletricas, eletronicas e relacionadas. Alguns dos seus padrões são desenvolvidos juntamente com a ISO. A IEC foi fundada em 1906 em Genebra-Suíça)
Normas Série 27000 NBR ISO/IEC 27001 - Esta norma foi publicada em Outubro de 2005 e substituiu a norma BS 7799-2. Contém requisitos para implantar um sistema de gestão de segurança da informação (SGSI). Antiga BS7799:2 NBR ISO/IEC 27002 - Esta norma substituiu a ISO 17799:2005 (Código de Boas Práticas). Antiga BS7799-1 27004 e 27003 - -Gestão de SI (Medição) e Guia de Implantação de SGSI ISO 27004 - Esta norma incidirá sobre os mecanismos de medição e de relatório de um sistema de gestão de segurança da informação NBR ISO/IEC 27005 – Gestão de Riscos 27006 e 27007 – Requisitos e Diretrizes para Auditoria de um SGSI 15999:1 e 15999:2 – Gestão de Continuidade de Negócios (Código de Prática e Requisitos)
A Norma ISO/IEC 27002, • Política de Segurança da Informação; • Organizando a Segurança da Informação; • Gestão de Ativos; • Segurança em Recursos Humanos; • Segurança Física e do Ambiente; • Gestão das Operações e Comunicações; • Controle de Acesso; • Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação; • Gestão de Incidentes de Segurança da Informação; • Gestão da Continuidade do Negócio; • Conformidade.
PERGUNTAS MAIS FREQUENTES CERTIFICAÇÃO NBR ISO/IEC 27001 1. O que é segurança da informação? Segundo a norma ABNT NBR ISO/IEC 27002:2005 (antiga NBR ISO/IEC 17799:2005, segurança da informação é a proteção da informação contra vários tipos de ameaças de forma a assegurar a continuidade do negócio, minimizando danos comerciais e maximizando o retorno sobre investimentos e oportunidades de negócios. Ainda segundo a NBR ISO/IEC 17799:2005 a segurança da informação é caracterizada pela preservação dos três atributos básicos da informação: confidencialidade, integridade e disponibilidade. O objetivo da segurança da informação é aprender a lidar e conviver com o risco, e não eliminá-lo completamente, o que na maioria das vezes é impossível. Para isso, deve se aprender a controlar os riscos. E, neste contexto, Beal (2005) acredita que a gestão de risco é o conjunto de processos que permite às organizações identificar e implementar as medidas de proteção necessárias para diminuir os riscos a que estão sujeitos os seus ativos de informação, e equilibrá-los com os custos operacionais e financeiros envolvidos.
PERGUNTAS MAIS FREQUENTES CERTIFICAÇÃO NBR ISO/IEC 27001 2. O que é a NBR ISO IEC 27001:2006? É a norma de certificação para Sistemas de Gestão da Segurança da Informação, editada em português em abril de 2006 e que substituiu a BS 7799-2. Esta norma foi preparada para prover um modelo para o estabelecimento, implementação, operação, monitoramento, revisão, manutenção e melhoria de um Sistema de Gestão de Segurança da Informação. A NBR ISO IEC 27001 e NBR ISO IEC 27002 formam o par consistente de normas relativas a Sistema de Gestão de Segurança da Informação.
PERGUNTAS MAIS FREQUENTES CERTIFICAÇÃO NBR ISO/IEC 27001 3. O que é a NBR ISO/IEC 27002:2005 (antiga NBR ISO/IEC 17799)? A NBR ISO/IEC 27002 é a versão brasileira da norma ISO homologada pela ABNT, a versão válida é de 2005. É o Código de Prática para Gestão da Segurança da Informação. Serve como referência para a criação e implementação de práticas de segurança reconhecidas internacionalmente, incluindo: Políticas, Diretrizes, Procedimentos, Controles. É um conjunto completo de recomendações para: Gestão da Segurança de Informação e Controles e práticas para a Segurança da Informação. Atenção: a norma de certificação é a NBR ISO IEC 27001:2006, a NBR ISO IEC 27002 é somente uma norma de referência contida na norma de certificação. 4. Qual é a importância que as organizações dão hoje a ISO 27001? Todas as grandes organizações do mundo, sejam públicas ou privadas, já tomaram conhecimento sobre as normas ISO. Diversas pesquisas demonstram que muitas dessas organizações já estão incorporando os controles das normas em suas políticas de segurança. 5. Qual é a importância da ISO 27001? Ela permite que uma empresa construa de forma muito rápida uma política de segurança baseada em controles de segurança eficientes. Os outros caminhos para se fazer o mesmo, sem a norma, são constituir uma equipe para pesquisar o assunto ou contratar uma consultoria para realizar essa tarefas. 6. Essas normas se aplicam a qualquer tipo de organização? As normas foram criadas e se adaptam bem a organizações comerciais. Instituições de ensino, instituições públicas e outras assemelhadas podem ter dificuldades em implantar certos controles da norma devido a seus ambientes serem diferentes dos de uma empresa comercial. Apesar disso, qualquer organização pode aproveitar grande parte dos controles da norma para implementar segurança da informação em suas instalações.
PERGUNTAS MAIS FREQUENTES CERTIFICAÇÃO NBR ISO/IEC 27001 6. Essas normas se aplicam a qualquer tipo de organização? As normas foram criadas e se adaptam bem a organizações comerciais. Instituições de ensino, instituições públicas e outras assemelhadas podem ter dificuldades em implantar certos controles da norma devido a seus ambientes serem diferentes dos de uma empresa comercial. Apesar disso, qualquer organização pode aproveitar grande parte dos controles da norma para implementar segurança da informação em suas instalações. 7. O que é SGSI? Sistema de Gestão de Segurança da Informação é o resultado da aplicação planejada de objetivos, diretrizes, políticas, procedimentos, modelos e outras medidas administrativas que, de forma conjunta, definem como são reduzidos os riscos para segurança da informação. Uma empresa que implante a norma ISO 27001 acaba por constituir um SGSI. 8. Quais são as etapas para se constituir um SGSI? Em primeiro lugar, deve-se definir quais são seus limites (sua abrangência física, lógica e pessoal). Depois devem ser relacionados os recursos que serão protegidos. Em seguida relaciona-se quais são as possíveis ameaças a esses recursos, quais são as vulnerabilidades a que eles estão submetidos e qual seria o impacto da materizalização dessas ameaças. Por fim,com base nessas informações, são priorizados os controles necessários para garantir a segurança desses recursos.
PERGUNTAS MAIS FREQUENTES CERTIFICAÇÃO NBR ISO/IEC 27001 9. Para implantar a norma em uma empresa é obrigatório empregar todos os seus controles? Não. Aplicam-se somente os controles para os serviços, facilidades, espaços e condições existentes na empresa. Por exemplo, se a empresa não tem acesso remoto de usuários, todos os controles referentes a esse tipo de acesso podem ser ignorados. 10. O que é a Declaração de Aplicabilidade? É um documento exigido pela NBR ISO IEC 27001 no qual a empresa tem que relacionar quais controles do Anexo A são aplicáveis e justificar os que não são aplicáveis ao seu SGSI. 11. Como obter a norma NBR ISO IEC 27001? As normas NBR ISO, assim como as de outros países, têm direitos autorais. As normas da série NBR ISO devem ser adquiridas na ABNT Associação Brasileira de Normas Técnicas. 12. Como a ISO 27001 se relaciona com as normas ISO 9000 e ISO 14000? A ISO 27001 harmoniza-se com essas normas na medida que segue a suas estruturas e conteúdos. A 27001 inclui um PDCA semelhante aos existentes na ISO 9001 e ISO 14000 com objetivo de estabelecer um contínua gestão da segurança da informação.
PERGUNTAS MAIS FREQUENTES CERTIFICAÇÃO NBR ISO/IEC 27001 13. O que é PDCA? PDCA (Plan-Do-Check-Act ou Planejar-Executar-Verificar-Agir) é um método de gestão que se carateriza por um ciclo de ações que se repete continuamente de forma a incorporar alterações no ambiente. Nas normas de gestão acima mencionadas é empregado para garantir uma efetiva gestão da empresa. 14. Existe legislação que obrigue o uso da ISO 27001? As leis variam de país para país. A rigor não existem leis que obriguem o emprego de tais normas. No Brasil, existem recomendações no sentido de empregar-se a norma emitidas por entidades como a Fenabam, o Conselho Federal de Medicina, a ICP-Brasil, dentre outros. No Reino Unido, a Data Protection Act promulgada em 1998 e, nos Estados Unidos, a lei Sarbanes-Oxley (que atinge subsidiárias de empresas americanas de capital aberto instaladas no Brasil), promulgada em 2002, determinam cuidados no trato das informações que, na prática, obrigam as empresas a empregar a ISO 27001/ISO 17799 como uma forma de demonstrarem que estão procurando cumprir os requisitos de segurança determinados por essas leis. 15. O que é certificação? A certificação é um documento emitido por uma entidade certificadora independente que garante que uma dada empresa implantou corretamente todos os controles da norma aplicáveis. A certificação é emitida após uma auditoria externa para verificação da conformidade da empresa com a norma.
PERGUNTAS MAIS FREQUENTES CERTIFICAÇÃO NBR ISO/IEC 27001 16. Para que serve a certificação? Ela comprova, para as empresas certificadas, que a segurança da informação está garantida de forma efetiva, o que não significa, contudo, que a empresa esteja imune a violações de segurança. Além disso, a certificação comprova, para os clientes e fornecedores da empresa, o a preocupação que esta tem com a segurança da informação, reforçando sua imagem junto ao mercado. Dependendo da atividade da empresa, essa certificação pode ser essencial para a realização de certos negócios. 17. Pode-se aplicar a ISO 27001 e realizar apenas uma auditoria interna? Sim. Na realidade, a maior parte das empresas a emprega dessa forma, uma vez que elas ainda não identificaram a necessidade/possibildade de realizarem a certificação. 18. Qual é o custo de uma certificação? O custo depende de vários fatores, tal como quanto tempo o responsável pela certificação necessita para avaliar a conformidade da empresa com relação à norma, o tamanho e a complexidade da empresa e de seus sistemas. 19. Muitas empresas já obtiveram a certificação? Até o final de 2004, mais de 2017 empresas em todo mundo receberam a certificação BS7799- 2 a certificação NBR ISO 27001:2005 até o presente momento somente 1 empresa obteve no mundo, e esta empresa foi no Brasil, Módulo Security. Informações atualizadas . Informações atualizadas podem ser obtidas no site. Hoje (24/1/12), 24 empresas BR e 7536 no mundo, atualizado http://www.iso27001certificates.com/
PERGUNTAS MAIS FREQUENTES CERTIFICAÇÃO NBR ISO/IEC 27001 20. Quantas e quais empresas foram certificadas no Brasil? Cinco empresas brasileiras obtiveram a certificação até 2004: Módulo Security, Banco Matone, Serasa, Samarco Mineração e Unisys. Sendo que a Módulo já fez a transição para a NBR ISSO IEC 27001. Informações atualizadas sobre empresas certificadas no Brasil e no mundo podem ser obtidas no site www.xisec.com. Em 20/01/2010 temos 6037 certificações no mundo e 23 no Brasil (Exemplos: Módulo, Serasa, Banco Matone, Samarco, Unisys, PRODESP, SERPRO, Telefônica) 21. Quem concede o certificado? Os certificados são emitidos por entidades certificadoras acreditadas por órgãos de credenciamento nacionais ou internacionais após realização de auditorias. 22. Como são feitas estas auditorias? A auditoria do Sistema de Gestão da Segurança da Informação é dividida em 2 etapas: Auditoria de Documentação, conhecida como Fase 1 e Auditoria de Certificação, conhecida como Fase 2. Podendo existir também a Pré-Auditoria, esta por sua vez é opcional. 23. O que é Auditoria de Documentação? Em razão do tema abordado esta norma envolve documentos e informações, muitas vezes, confidenciais, desta forma, fazem-se necessário uma análise prévia destes nas instalações da própria empresa visando à verificação de sua adequação e a segurança dos dados. A Auditoria de Documentação é o primeiro contato com a equipe auditora.
PERGUNTAS MAIS FREQUENTES CERTIFICAÇÃO NBR ISO/IEC 27001 24. Qual a diferença entre a Auditoria de Documentação e a Pré-auditoria? A Auditoria de Documentação tem como foco a seguinte documentação: Declaração de Aplicabilidade, Relatório de Avaliação de Riscos e Análise Crítica pela Direção entre outros possíveis documentos associados a estes, conforme aplicável. Esta análise não contempla procedimentos e práticas específicos, uma vez que estes são objeto da Pré-auditoria, que tem por objetivo a análise crítica da adequação do sistema à norma. 25. Pré-auditoria é o mesmo que Auditoria de Pré-certificação? Sim. Os dois termos são usados e reconhecidos pelo mercado para identificar um mesmo tipo de auditoria. 26. Quando devo solicitar a Pré-auditoria? Após a implantação do Sistema de Gestão da Segurança da Informação e após ter realizado pelo menos um ciclo de auditoria interna e pelo menos uma análise crítica pela direção a empresa pode solicitar a realização da Pré-auditoria para verificar o nível de adequação à norma em questão. 27. Minha empresa já possui a certificação pela norma anterior. Também posso solicitar uma Pré-auditoria segundo a nova versão? As empresas já certificadas podem solicitar a realização da Pré-auditoria para verificar o nível de adequação à norma em questão, após a adequação do SGSI e após ter realizado pelo menos um ciclo de auditoria interna .
PERGUNTAS MAIS FREQUENTES CERTIFICAÇÃO NBR ISO/IEC 27001 28. Para que serve a Pré-auditoria? A Pré-auditoria tem como principal objetivo a detecção de eventuais problemas conceituais que possam vir a ser despercebidos pela empresa em processo de certificação. Seria um exemplo de problema conceitual, a não aplicação de um requisito ou controle que influencie na Segurança da Informação da empresa. Isto pode ocorrer em razão de uma incorreta interpretação da norma para o negócio da empresa e/ou escopo considerado(s). No entanto, nestes casos a certificação não pode ser recomendada, causando transtornos para a empresa e uma certa decepção para todos os envolvidos. A fim de reduzir os riscos de não certificação por problemas de adequação, os organismos certificadores em todo o mundo passaram a realizar análises prévias, estas análises prévias são chamadas de pré-auditoria. 29. Como é feita a pré-auditoria? A Pré-auditoria é realizada nas instalações da empresa e segue os mesmos passos da Auditoria de Certificação: Reunião de Abertura, investigação, relato das não-conformidades e reunião de encerramento. Geralmente a equipe auditora da Pré-auditoria será a mesma da Análise Documental e da Auditoria de Certificação. São verificados os procedimentos e a documentação em relação à sua adequação à norma de referência. O tempo dimensionado para esta auditoria, normalmente não permite que a equipe auditora tenha tempo para verificar se as práticas descritas na documentação estão adequadamente implementadas isto é o que chamamos de auditoria de conformidade, que será realizada durante a Auditoria de Certificação (Inicial) e nas Auditorias de Manutenção (Anuais ou semestrais).
PERGUNTAS MAIS FREQUENTES CERTIFICAÇÃO NBR ISO/IEC 27001 30. No meu orçamento consta uma Pré-auditoria de um dia. Posso solicitar mais um ou dois dias? Sim. A carga horária definida no orçamento é mínima para checar todos os itens da norma. No entanto, caso a empresa deseje uma análise mais aprofundada, a carga horária poderá ser aumentada sem problema algum. Haverá um aumento proporcional no preço do evento. 31. Posso pular a Pré-auditoria e ir direto para a Auditoria de Certificação? Sim. Tomando-se como base a experiência adquirida ao longo do tempo em certificações de sistemas de gestão, a FCAV recomenda fortemente a realização da Pré-auditoria, no entanto, se a empresa tem muita segurança na adequação e conformidade do seu sistema de gestão não há problema algum em ir direto para a Auditoria de Certificação. 32. Se o auditor não encontrar problemas na Pré-auditoria posso já receber o certificado? Não. A Pré-auditoria tem objetivo distinto da Auditoria de Certificação. A Pré-auditoria verifica a adequação do sistema, não colhendo evidências suficientes de que as práticas refletem o planejamento contido nos procedimentos. A verificação da implementação é feita na Auditoria de Certificação que não pode ser dispensada em nenhum caso.
PERGUNTAS MAIS FREQUENTES CERTIFICAÇÃO NBR ISO/IEC 27001 33. Qual é o prazo entre a Auditoria de Documentação e as Auditorias de Précertificação, Certificação e Manutenção? Com exceção às Auditorias de Manutenção, que devem ocorrer no mínimo anualmente, não há um prazo expressamente definido para que estes eventos ocorram, e os mesmos podem ser discutidos e acordados, conforme as necessidades de cada empresa. No entanto, a FCAV recomenda que a Auditoria de Documentação ocorra pelo menos 30 dias antes da Auditoria de Certificação e, caso seja solicitada, 30 dias antes da Pré-auditoria. 34. Quem faz parte da equipe auditora? Normalmente, a equipe auditora é formada por um ou dois auditores com experiência em auditoria e conhecimentos do segmento de negócio da empresa. Por se tratar de uma norma específica, as auditorias do Sistema de Gestão de Segurança da Informação devem contar sempre auditores que detenham conhecimentos técnicos suficientes para compreender a linguagem dos auditados.