Sistema de Gestão de Segurança da Informação baseado na ISO 27001

Recentemente tive que fazer um trabalho sobre a ISO 27001, e, consequentemente, apresentar esse trabalho. Prá variar… muita tensão e muita coisa pra lembrar, então, achei melhor fazer algumas notas que cobrisse o que seria falado na apresentação e serviria como um ponto de lembrete, caso esquecesse alguma coisa. E foi assim que surgiu esse post.

Publicações
1995: BS 7799-1:1995 – Tecnologia da Informação – Código de prática para gestão da segurança da informação
1998: BS 7799-2:1998 – Sistema de gestão da Segurança da Informação – Especificações e guia para uso
1999: BS 7799-1:1999 – Tecnologia da Informação – Código de prática para gestão da segurança da informação
2000: ISO/IEC 17799:2000 – Tecnologia da Informação – Código de prática para gestão da segurança da informação também referenciada como BS ISO/IEC 17799:2000
2001: NBR ISO/IEC 17799:2001 – Tecnologia da Informação – Código de prática para gestão da segurança da informação
2002: BS7799-2:2002 – Sistema de gestão da Segurança da Informação – Especificações e guia para uso
Agosto/2005: NBR ISO/IEC 17799:2005 – Tecnologia da Informação – Código de prática para gestão da segurança da informação
Outubro/2005: ISO/IEC 27001:2005 – Tecnologia da Informação – Técnicas de segurança – Sistema de gestão da Segurança da Informação – Requisitos
2007: Publicada a norma ISO 27002 que substitui a norma 17799:2005

ISO 27001
A norma ISO 27001 (Tecnologia da Informação – Sistemas de gestão de segurança da informação), trata sobre a implantação do Sistema de Gestão da Segurança da Informação (SGSI) através de requisitos  para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI) documentado dentro do contexto dos riscos de negócio globais da organização. Essa norma pode ser utilizada em conjunto com a ISO 27002 (Código de Boas Práticas da Gestão de Segurança da Informação).
A norma também estabelece critérios para a certificação. Para a empresa reivindicar a certificação, tem que estar em conformidade com todos requisitos da norma. É possível que alguns dos controles necessários para satisfazer aos critérios de aceitação de riscos sejam excluídos desde que as exclusões sejam justificadas e sejam apresentadas evidências de que os riscos associados foram aceitos pelos responsáveis. Nesse caso, as reivindicações de conformidade com a 27001 só serão aceitas se tais exclusões não afetem a capacidade da organização, e/ou a responsabilidade de prover segurança da informação que atenda os requisitos de segurança.
Atualmente, essas normas são as principais referências para todos os tipos de organizações (empreendimentos comerciais, agências governamentais, organizações sem fins lucrativos) que procuram tratar a questão da segurança da informação baseado em um modelo reconhecido internacionalmente.

Razões para adotar a ISO 27001

  • Proteção da informação crítica da organização contra perda, roubo, uso indevido ou divulgação não autorizada
  • Assegurar a continuidade do negócio
  • Assegurar aos parceiros, órgãos reguladores, fornecedores e cliente que a sua informação confidencial está segura
  • Manter a reputação e confiança

Requisitos da norma ISO 271001

Requisitos 1, 2 e 3 –  Informativos; descreve a finalidade da norma, qual documento ela utiliza como referência (no caso, utiliza a norma ISO 27002) e também tem uma lista de termos e definições que são utilizados na norma.
Requisito 4 – Descreve a criação, implementação, monitoramento e melhoria do SGSI, é através deste requisito que definimos os membros participantes do SGSI, os documentos necessários e quais registros devemos manter.
Requisito 5 – Apresenta a responsabilidade da direção no que se refere à atribuição das responsabilidades do SGSI, tais como provisionar treinamentos e recursos necessários ao SGSI.
Requisito 6 – Trata das auditorias internas e define quais áreas devem ser auditadas, a periodicidade das mesmas e quem poderão ser os auditores responsáveis. Com relação a este último ponto,  é importante salientar que o auditor não deve avaliar processos de áreas pelas quais é responsável.
Requisito 7 - Análise crítica do SGSI; a direção verifica as ações efetuadas pelo SGSI, e atua como um elemento de controle do mesmo.
Requisito 8 – Melhoria do SGSI. O SGSI é um comitê que possui uma dinâmica que, através das auditorias internas e análise crítica da direção, pode melhorar suas ações e deste modo cuidar da segurança da informação.

Implantação de um SGSI
A norma ISO 27001 fornece o método para implantação do SGSI; porém o seu objetivo é orientar o processo de implantação do projeto de segurança, sem definir tecnologias, hardware ou software. Com essa metodologia, o gestor de segurança tem a possibilidade de fazer o planejamento pensando no custo e também no retorno que a implantação do projeto irá trazer.
Além disso, a norma ISO 27001 utiliza o modelo PDCA (Plan-Do-Check-Act) que possibilita o acompanhamento de todas as fases do SGSI e possibilita rever algumas medidas adotas e quais os impactos na cadeia de valor do negócio da empresa.

Planejamento da Segurança
Durante a fase do planejamento de segurança, o gestor de segurança deve estudar e entender os requisitos da ISO 27001. Nessa fase, também é definido o SGSI que deve ser apresentado à direção e a todos os envolvidos com os negócios da empresa (incluindo clientes, fornecedores e colaboradores).
Também é feito o desenvolvimento do SGSI, que define do participantes do comitê do SGSI. Também é desenvolvido quais serão os objetivos, responsabilidades e limites de atuação do SGSI.
Essa fase é importante, pois busca manter o projeto em conformidade com os fatores legais e contratuais envolvidos nos negócios da empresa, além de estabelecer critérios para avaliação de riscos nos negócios.

Desenvolvimento da política de segurança
No projeto de segurança da informação, é necessário o desenvolvimento de uma política de segurança que deve abranger os anseios da empresa, e conter obrigatóriamente: direitos, responsabilidades e punições cabíveis.
A política deve ser desenvolvida constantemente, num processo de melhoria contínua, não sendo algo estático, pois a tecnologia e os processos mudam constantemente. Quando a política for desenvolvida e aprovada, é necessário realizar um treinamento com todos na empresa e a divulgar a política junto aos clientes e fornecedores.

Análise do sistema de informação
Essa etapa é necessária para mapear os processos da organização e analisar como a informação trafega pela empresa e de como a mesma sai dela, mediante os relacionamentos existentes com clientes e fornecedores.
Também é necessário classificar as informações de acordo com as características que envolvem o negócio da empresa. Por exemplo, as informações financeiras que são transmitidas aos bancos são confidenciais e só devem ser visualizadas pelas pessoas autorizadas pela direção da empresa. A classificação de informações é um passo necessário para aplicação de ferramentas de segurança como criptografia, VPN entre outras.

Controles de segurança para vulnerabilidades e riscos
Nessa etapa entra a utilização da norma ISO 27002, que oferece uma visão abrangente dos controles que podem ser utilizados em uma organização. Os controles da norma ISO 27002 são:

  • Política de segurança
  • Segurança organizacional
  • Classificação e controle de ativos de informação
  • Segurança relacionada às pessoas
  • Segurança ambiental e física
  • Gerenciamento das operações e comunicações
  • Controle de acesso
  • Desenvolvimento e manutenção de sistemas
  • Gestão de incidentes de segurança
  • Gestão da continuidade do negócio
  • Conformidade com as diretrizes da empresa

Um exemplo desses controles, é a classificação e controle de ativos de informação. É necessário realizar um inventário de todo hardware e software presentes na organização, pois somente assim é possível ter um panorama das licenças existentes e das características e condições dos equipamentos. Além disso, é necessário implantar ferramentas que permitam coletar dados e gerar estatísticas de segurança para tomar a medidas necessárias em um plano de ação. Para coletar os dados, são utilizadas como IDS (Intrusion Detection System), portscans e sniffers; esses dados irão gerar estatísticas para aprimorar os controles de segurança.

Plano de Ação
O plano de ação envolve a escolha de tecnologias para segurança, implantação das tecnologias em ambiente de testes e no ambiente de produção. Ele é elaborado a partir da análise das ocorrências de ameaças baseando-se nos mecanismos instalados e pode indicar o uso de novas ferramentas e técnicas para gestão da segurança da informação.
Um plano de ação permite realizar ações concretas que visem reduzir os riscos existentes em um processo de melhoria contínua e que pode resultar em ações corretivas, preventivas, ou mesmo de controle.
Na escolha de tecnologias, deve-se estabelecer critérios para avaliar as opções existentes de acordo com as necessidades de cada empresa e também os seguintes itens: preço, uso corporativo e sistemas operacionais suportados.

Melhoria do SGSI
O processo de segurança da informação sempre deve passar por melhorias contínuas, ou seja, é necessário realizar a realimentação de todo o processo, iniciando com uma nova coleta de dados e estatísticas e voltando para o plano de ação.
O gestor de segurança deve ficar atento às alterações das normas ISO 27001 e ISO 27002, pois as normas passam por alterações constantes e as alterações podem trazer outras visões e novos requisitos.
O Sistema de Informação de uma empresa é dinâmico, sofre alterações constantes, com a criação de novos processos e descontinuação de outros; assim a melhoria do SGSI é uma etapa contínua e deve existir durante toda a vida do projeto de segurança da informação

Conclusão
Atualmente a Gestão de Segurança da Informação é um componente estratégico ao negócio da empresa. Ainda que existam áreas que aparentemente ‘não fazem sentido ter a segurança da informação’, o gestor de segurança deve ficar atento, para propor práticas que estejam em conformidade com a norma escolhida.
Ao adotar o modelo PDCA proposto pela norma, é possível construir projetos em menor tempo sem deixar de atacar as prioridades no combate aos mais diferentes tipos de riscos.
Cresce o numero de empresas certificadas, e isso demonstra a preocupação da empresa com suas práticas internas e das informações de parceiros e clientes.

About these ads

4 Responses to “Sistema de Gestão de Segurança da Informação baseado na ISO 27001”


  1. 1 Leonardo 31/10/2011 às 12:08 PM

    ESTOU PRECISANDO FAZER E APRESENTAR ESTE TRABALHO, SEU POST FOI DE GRANDE AJUDA. OBRIGADO!

  2. 2 Rodrigo 10/06/2012 às 2:59 AM

    muito bom seu post! Meu trabalho de conclusão de curso esta sendo baseado na implantação de um SGSI em uma organização! Suas informações e estruturação do texto foi bastante útil!

  3. 3 Isabel 21/06/2012 às 8:08 PM

    Sou responsavel pelo Sistema na empresa, gostei muito do seu artigo, parabéns !

    • 4 Nix 07/07/2012 às 8:31 PM

      Obrigada, Isabel!
      Críticas, sugestões sobre o assunto são bem vindas… tenho muito interesse em Segurança da Informação! :)

      Abraços,

      Nix


Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s




Follow Nix on WordPress.com
julho 2010
S T Q Q S S D
« jun   ago »
 1234
567891011
12131415161718
19202122232425
262728293031  

Flickr Photos

Songs of my city

Mais fotos

Seguir

Obtenha todo post novo entregue na sua caixa de entrada.

%d blogueiros gostam disto: