Segurança da Informação na ISO 27001:2013

9 abr, 2015 | 3 Comentários »

A norma ISO 27001:2013 rege as mais modernas recomendações para a Gestão de Segurança da Informação no mundo. Atualmente são 82 empresas no BRASIL certificadas pela ISO 27001:

Screen Shot 2015-04-09 at 7.44.02 AM

Veja por segmentos:

Screen Shot 2015-04-09 at 7.45.43 AM

A Gestão da Segurança da Informação é uma disciplina/domínio de GESTÃO DE RISCO ESTRATÉGICO e quanto mais independencia e autonomia de outras áreas e processos internos MELHOR OS RESULTADOS.

Os tópicos abordados na Norma ISO 27001:2013, com base na sua tradução na ABNT NBR ISO/IEC 27001:2013, são:

Prefácio
0 Introdução
0.1 Geral
0.2 Compatibilidade com outras normas e sistemas de gestão
1 Escopo
2 Referencia normativa
3 Termos e Definições
4 Contexto da Organização
4.1 Entendendo a organização e seu contexto
4.2 Entendendo as necessidades e as expectativas das partes interessadas
4.3 Determinando o escopo do sistema de gestão da segurança da informação
4.4 Sistema de gestão da segurança da informação
5 Liderança
5.1 Liderança e comprometimento
5.2 Política
5.3 Autoridades, responsabilidades e papéis organizacionais
6 Planejamento
6.1 Ações para contemplar riscos e oportunidades
6.1.1 Geral
6.1.2 Avaliação de Riscos de segurança da Informação
6.1.3 Tratamento de riscos de segurança da Informação
6.2 Objetivo de segurança da informação e planejamento para alcançá-los
7 Apoio
7.1 Recursos
7.2 Competência
7.3 Conscientização
7.4 Comunicação
7.5 Informação documentada
7.5.1 Geral
7.5.2 Criando e atualizando
7.5.3 Controle da informação documentada
8 Operação
8.1 Planejamento operacional e controle
8.2 Avaliação de riscos de segurança da informação
8.3 Tratamento de riscos de segurança da informação
9 Avaliação de desempenho
9.1 Monitoramento, medição, análise e avaliação
9.2 Auditoria Interna
9.3 Análise crítica pela Direção
10 Melhoria
10.1 Não conformidade e ação corretiva
10.2 Melhoria Continua
Bibliografia
Anexo A (normativo) Referencia aos controles e objetivos de controles)
Obs.: Mudaram de 134 da norma anterior para 114 nesta versão 2013. Recomendo que para melhor entendimento destes a pessoa ou empresa compre a ISO 27002:2013, complementar a esta.

Tabela
Tabela A.1 Objetivos de controle e controles

A principal mudança da versão anterior: A Análise, Avaliação e Tratamento de Riscos

No item 6.1.2 Avaliação de riscos de segurança da informação

“A organização deve definir e aplicar um processo de avaliação de riscos de segurança da informação que:

a) estabeleça e mantenha critérios de riscos de segurança da informação que incluam:

1) os critérios de aceitação do risco; e
2) os critérios para o desempenho das avaliações dos riscos de segurança da informação;

b) assegure que as continuas avaliações de riscos de segurança da informação produzam resultados comparáveis, válidos e consistentes;

c) identifique os riscos de segurança da informação:

1) aplicando o processo de avaliação do risco de segurança da informação para identificar os riscos associados com a perda de confidencialidade, integridade e disponibilidade da informação dentro do escopo do sistema de gestão da segurança da informação; e

2) identificando os responsáveis dos riscos.

d) analise os riscos de segurança da informação:

1) avalie as consequências potenciais que podem resultar se os riscos identificados em 6.1.2 c) 1) forem materializados

2) avalie a probabilidade realistica da ocorrência dos riscos identificados em 6.1.2 c) 1); e

3) determine os níveis de risco;

e) avalie os riscos de segurança da informação:

1) compare os resultados da análise dos riscos com os critérios de riscos estabelecidos em 6.1.2 a); e

2) priorize os riscos analisados para o tratamento do risco.

A organização deve reter informação documentada sobre o processo de avaliação de risco de segurança da informação.”

e o item 6.1.3 Tratamento de riscos de segurança da informação

“A organização deve definir e aplicar um processo de tratamento dos riscos de segurança da informação para:

a) selecionar, de forma apropriada, as opções de tratamento dos riscos de segurança da informação, levando em consideração os resultados da avaliação do risco;

b) determinar todos os controles que são necessários para implementar as opções escolhidas do tratamento do risco da segurança da informação;

NOTA: As organizações podem projetar os controles, conforme requerido, ou identificá-los de qualquer outra fonte.

c) comparar os controles determinados em 6.1.3 b) com aqueles do ANEXO A e verificar se algum controle necessário foi omitido;

NOTA 1: O anexo A contém uma lista detalhada dos controles e dos objetivos de controle. Os usuários desta norma são instruídos a utilizar o ANEXO A para garantir que nenhum controle necessário seja omitido;”

Obs. do Jeferson: Compre e utilize como complemento a ISO 27002:2013

“NOTA 2: Os objetivos de controle estão implicitamente incluidos nos controles escolhidos. Os objetivos de controle e os controles listados no ANEXO A não são exaustivos, e controles e objetivos de controles adicionais podem ser necessários.

d) elaborar uma declaração de aplicabilidade que contenha os controles necessários (ver 6.1.3 b) e c)), e a justificativa para inclusões, sejam eles implementados ou não, bem como a justificativa para a exclusão dos controles do ANEXO A;

e) preparar um plano para tratamento dos riscos de segurança da informação; e

f) obter aprovação dos responsáveis pelos riscos do plano de tratamento dos riscos de segurança da informação e a aceitação dos riscos residuais de segurança da informação.

A organização deve reter a informação documentada relativa ao processo de tratamento dos riscos de segurança da informação.

NOTA: O processo de tratamento e a avaliação dos riscos de segurança da informação desta norma estão alinhados com os principios e diretrizes gerais definidos na ABNT NBR ISO 31000.”

Considerações

O primeiro passo, estratégico, é iniciar e implementar na organização é uma Política de Segurança da Informação, com o apoio e PARTICIPAÇÃO dos Executivos.

O segundo passo, é iniciar e implementar na organização uma Norma de Análise, Avaliação e Tratamento de Risco, que define muitos dos item mencionados acima no tópico 6 da norma ISO 27001.

Note que a Confidencialidade, Integridade e Disponibilidade, que são propriedades da informação ainda são necessárias e importantes na Avaliação de risco, porém diferente da versão anterior, agora é necessário apenas mencionar se os riscos afetam estas propriedades. Na anterior era necessário dar um valor para cada item da CID.

Uma boa formula para o calculo do risco é a da metodologia DARYUS para ISO 27001:

RISCOS = PROBABILIDADE X IMPACTO

(Média dos Riscos + CID) X Probabilidade, sendo:

((((Riscos Financeiros X Peso Financeiro) + (Riscos Operacionais X Peso Operacional) + (Riscos de Imagem X Peso de Imagem) + (Riscos Legais X Pesos Legais)) / Soma dos Pesos) + CID) x Probabilidade)

Não esqueça de itens importantes em sua Norma de Análise, Avaliação e Tratamento de Riscos, como:

Screen Shot 2015-04-09 at 8.40.03 AM

E um dos pontos principais para o Planejamento operacional e controle, item abordado no tópico 8 da norma ISO 27001, a periodicidade de revisão e melhoria contínua: “a organização deve realizar avaliações de riscos de segurança da informação a intervalos planejados, ou quando mudanças significativas são propostas ou ocorrerem, levando em conta os critérios estabelecidos em 6.1.2 a).”

ANEXO A da norma ISO 27001:2013, Objetivos de Controles e controles (tabela A.1)

A.5 Políticas de segurança da informação
A.5.1 Orientação da Direção para segurança da Informação
A.6 Organização da segurança da informação
A.6.1 Organização interna
A.6.2 Dispositivos móveis e trabalho remoto
A.7 Segurança em Recursos humanos
A.7.1 Antes da contratação
A.7.2 Durante a contratação
A.7.3 Encerramento e mudança da contratação
A.8 Gestão de ativos
A.8.1 Responsabilidade pelos ativos
A.8.2 Classificação da informação
A.8.3 Tratamento de mídias
A.9 Controle de acesso
A.9.1 Requisitos do negócio para controle de acesso
A.9.2 Gerenciamento de acesso do usuário
A.9.3 Responsabilidade dos usuários
A.9.4 Controle de acesso ao sistema e à aplicação
A.10 Criptografia
A.10.1 Controles criptográficos
A.11 Segurança física e do ambiente
A.11.2 Equipamentos
A.12 Segurança nas operações
A.12.1 Responsabilidades e procedimentos operacionais
A.12.2 Proteção contra malware
A.12.3 Cópias de segurança
A.12.4 Registros e monitoramento
A.12.5 Controle de software operacional
A.12.6 Gestão de vulnerabilidades técnicas
A.12.7 Considerações quanto à auditoria de sistema de informação
A.13 Segurança nas comunicações
A.13.1 Gerenciamento da segurança em redes
A.13.2 Transferência de informação
A.14 Aquisição, desenvolvimento e manutenção de sistemas
A.14.1 Requisitos de segurança de sistemas de informação
A.14.2 Segurança em processos de desenvolvimento e de suporte
A.14.3 Dados para teste
A.15 Relacionamento na cadeia de suprimento
A.15.1 Segurança da informação na cadeia de suprimento
A.15.2 Gerenciamento da entrega do serviço do fornecedor
A.16 Gestão de incidentes de segurança da informação
A.16.1 Gestão de incidentes de segurança da informação e melhoria
A.17 Aspectos da segurança da informação na gestão da continuidade do negócio
A.17.1 Continuidade da segurança da informação
A.17.2 Redundâncias
A.18 Conformidade
A.18.1 Conformidade com requisitos legais e contratuais
A.18.2 Análise crítica da segurança da informação

Lista de algumas empresas certificadas no Brasil em ISO 27001 até o momento:

Atos Origin Brasil
Interactive Intelligence
Terremark Cloud
Indra
Auditsafe
Algar Tecnologia
Módulo Security
Banco Matone
PRODESP
Gemalto
E-Trust
ALOG
UOL Diveo
Ascenty
Defenda
Teleperformance
Call Contact Center
SERPRO Serviço Federal de Processamento de Dados
Telefonica Empresas S/A
Integrity
Fidelity
Dataprev
ZCR Informática
Axur Information Security
BT – British Telecom
BT – Global Services
Cardif do Brasil Vida e Previdência
CIP Câmara Interbancária de Pagamentos
FUCAPI Fundação
IBM ITD Brasil
Poliedro Informática Consultoria e Serviços
Promon Engenharia
Promon Tecnologia
Samarco Mineração
SERASA S.A
Superior Tribunal da Justiça
Telefônica Empresas S.A
TIVIT Tecnologia da Informação S.A
TIVIT Terceirização de Tecnologia e Serviços S.A
T-Systems do Brasil
UNISYS Global Outsourcing
Zamprogna S/A Importação
CIPHER Segurança da Informação
Paschoalotto Serviços Financeiros
ICE Cartões
ISH Tecnologia

Boa Implementação!

Tags: , , , , , , , , , , , , ,

3 Comentário
Comente »

  1. No item 6.1.2 a)2), solicita a definição de “critério para o desempenho das avaliações de risco”. Não compreendo como as avaliações possam ser medidas quanto ao seu desempenho, muito menos como definir um critério que determine um desempenho a ser atingido.

    Resposta Leandro: Defina uma métrica/meta de gestão de que 80% das avaliações de riscos sejam executadas de acordo com a sua metodologia aprovada e constante na Norma de Análise, Avaliação e Tratamento de Riscos vigente. Outro exemplo: Uma métrica de que 70% dos riscos considerados altos sejam devidamente tratados/reduzidos a um nível aceitável.

    Estes são exemplos de medição de desempenho e critérios para este objetivo de controle. Avalia-se o como é feita a Análise, Avaliação e Tratamento dos Riscos ciclicamente, qual o desempenho, se satisfatório o método ou se precisa ser ajustado. Lembre-se é gestão de segurança!

  2. Essas normas são extensivas ao Setor Público. Você acha possível a aplicação de Benchmarking da Governança de Segurança da Informação entre órgãos públicos e privados. Como seria em linhas gerais?

  3. Caro Gildo, sim a norma ISO 27001:2013 e todas as outras normas ISO são aplicáveis ao setor publico, basta o interesse e entender que isso traz benefícios a médio e longo prazo para a gestão como um todo. Tenho alunos de pos da Prefeitura de Santos que estão discutindo muito sobre a implementação da Segurança baseados na ISO 27001. Cabe a administração atual querer buscar a certificação. A PRODESP do Estado de SP é certificada em ISO 27001, ISO 9001 e ISO 14001. O Serpro idem até pouco tempo. Coloquei uma relação de empresas certificadas no Brasil, em torno de 85, neste mesmo blog, consulte empresas do setor publico. É possível avaliar sua gestão atual frente a qualquer norma ISO, identificar riscos e oportunidades de melhoria para sua Segurança da Informação, por exemplo. Abs e grato pela consulta.

Comente

Código de Segurança: