quarta-feira, 5 de fevereiro de 2014

O Escopo do SGSI

Apesar de parecer simples, a definição de escopo do seu Sistema de Gestão de Segurança da Informação para atender ao ISO 27001 pode se bem mais complexo do que você imagina.

Provavelmente você terá dificuldade em encontrar modelos de do documento de escopo, ou encontrará diversos sites que vedem modelos prontos por alguns dólares, mas que você só conseguirá avaliar depois de comprar um desses por algumas dezenas ou até centenas de dólares.

No blog Iso 27001 Standard, existe um artigo interessante chamado Problemas com a definição do escopo da norma ISO 27001. Ele fala sobre os problemas enfrentado para escrever o documento, mas ainda sim te deixa dúvidas quanto a estrutura.

Lendo a norma, parece claro no item 4 temos um norte do que devemos contemplar nessa definição, mas o modelo mais organizado que encontrei e me serviu de guia está em um template parcial disponível nesse link.

Ainda estou escrevendo o escopo e caso o mesmo seja validado, tentarei postar um modelo completo e gratuito aqui.

sexta-feira, 31 de janeiro de 2014

Quatro fases do sistema de gestão de segurança da informação

A ISO 27001 indica como gerir a segurança da informação por meio de um sistema de gestão da segurança da informação. Esse sistema de gestão, assim como a ISO 9001 ou a ISO 14001, é composto por quatro fases que devem ser implementadas continuamente a fim de minimizar os riscos para a confidencialidade, integridade e disponibilidade das informações.

As fases são as seguintes:

Plan (Planejar) – esta fase serve para planejar a organização básica da segurança da informação, definir objetivos de segurança da informação e escolher os controles de segurança adequados (a norma contém um catálogo com 133 controles possíveis)
Do (Fazer) – esta fase representa a realização de todo o planejado na fase anterior
Check (Verificar) – a finalidade desta fase é monitorar o funcionamento do SGSI por meio de diversos "canais" e verificar se os resultados atendem aos objetivos definidos
Act (Agir) – a finalidade desta fase é aprimorar tudo o que foi identificado como não conforme na fase anterior
O ciclo dessas quatro fases nunca termina e todas as atividades devem ser implementadas em ciclo a fim de manter um SGSI eficaz.


Documentos para a ISO 27001

A ISO 27001 requer os seguintes documentos:
  • o objetivo do SGSI
  • a política do SGSI
  • os procedimentos para controle de documentos, auditorias internas e procedimentos para ações corretivas e preventivas
  • todos os outros documentos, dependendo dos controles aplicáveis
  • metodologia de avaliação de riscos
  • relatório de avaliação de riscos
  • declaração de aplicabilidade
  • plano de tratamento de riscos
  • registros

A quantidade e a precisão da documentação depende do tamanho da organização e os requisitos de segurança. Isso significa que uma dúzia de documentos será suficiente para uma organização de pequeno porte, enquanto que as organizações complexas e de grande porte terão centenas de documentos em seu SGSI.


A fase Plan

A fase Plan é composta pelas seguintes etapas:
  • determinação do objetivo do SGSI
  • composição de uma Política de SGSI
  • identificação da metodologia para a avaliação de risco e determinação dos critérios de aceitação de riscos
  • identificação dos ativos, das vulnerabilidades e das ameaças
  • avaliação da dimensão dos riscos
  • identificação e avaliação das opções de tratamento de riscos
  • seleção de controles para o tratamento de riscos
  • obtenção de aprovação da gestão para riscos residuais
  • obtenção de aprovação da gestão para implementação do SGSI
  • composição de uma declaração de aplicabilidade que relaciona todos os controles aplicáveis, declara quais desses controles já foram implementados e declara quais não são aplicáveis


A fase Do

A fase Do é composta pelas seguintes atividades:
  • composição de um plano de tratamento de riscos, descrevendo os controles aplicáveis a quem, como, quando e com que orçamento o plano deve ser implementado
  • implementação do plano de tratamento de riscos
  • implementação dos controles de segurança aplicáveis
  • determinação de como medir a eficácia dos controles
  • condução de programas de conscientização e treinamento de funcionários
  • gestão do funcionamento normal do SGSI
  • gestão dos recursos de SGSI
  • implementação dos procedimentos para detecção e gestão de incidentes de segurança


A fase Check

Esta fase inclui o seguinte:
  • implementação de procedimentos e outros controles para monitoramento e análise a fim de estabelecer qualquer violação, processamento incorreto de dados , se as atividades de segurança estão sendo realizadas conforme o esperado, etc.
  • análises periódicas da eficácia do SGSI
  • medição da eficácia dos controles
  • análise periódica da avaliação de riscos
  • auditorias internas a intervalos planejados
  • análises críticas da gestão para garantir que o SGSI está funcionando e para identificar oportunidades de melhoria
  • atualização dos planos de segurança levando em consideração outras atividades de monitoramento e análise
  • manutenção de registros de atividades e incidentes que podem afetar a eficácia do SGSI


A fase Act

Esta fase inclui o seguinte:
  • implementação das melhorias identificadas no SGSI
  • tomada de ações corretivas e preventivas; aplicação de experiências de segurança próprias e de terceiros
  • comunicação das atividades e melhorias a todos os interessados
  • garantia de que as melhorias atendem aos objetivos desejados

Outras normas relacionadas à segurança da informação


Além da ISO 27001 (antiga BS 7799-2), a ISO 27002 (antiga ISO 17799) é uma norma "auxiliar" que fornece mais detalhes sobre como implementar os controles de segurança especificados na ISO 27001.

Outras normas que também podem ser úteis são a ISO 27005, que descreve os procedimentos de avaliação de riscos com mais detalhes, e a BS 25999-2, que fornece uma descrição detalhada da gestão de continuidade de negócios.

Fonte: http://www.iso27001standard.com/pt/o-que-e-a-iso-27001

ISO 27001 para pequenas e médias empresas

Além de adquirir as normas ISO/IEC 27000, 27001 e 27002, o pessoal aqui da empresa comprou o livro da imagem abaixo, um guia prático para pequenas e médias empresas que é uma mão na roda para marinheiros de primeira viagem. Li o material e recomendo a quem tiver interesse!


Documentos e registros exigidos pela ISO 27001

A leitura da Norma elenca documentos que devem ser produzidos e registros que devem ser coletados para a sua aplicação efetiva e pleito à certificação.

É importante lembrar que a implantação das normas ISO normalmente são um ciclo PDCA (Plan, Do, Check, Act). Assim, as etapas da implantação podem ser feitas com atividades agrupadas nas quatro fases do clico.

A lista baixo mostra o conjunto mínimo de documentos e registros requeridos pelo ISO/IEC 27001:2013:

Documentos:
  • Escopo do SGSI
  • Política e objetivos de segurança da informação
  • Metodologia de avaliação de riscos e tratamento de riscos
  • Declaração de aplicabilidade
  • Plano de tratamento de riscos
  • Relatório de avaliação de riscos
  • Definição da funções e responsabilidades de segurança
  • Inventário de ativos
  • Uso aceitável dos ativos
  • Política de controle de acesso
  • Procedimentos operacionais para a gestão de TI
  • Princípios de engenharia de sistemas seguros
  • Política de segurança do fornecedor
  • Procedimentos de gestão de incidentes
  • Procedimentos de continuidade de negócios
  • Requisitos legais, regulatórios e contratuais

Registros:
  • Registros de treinamento, conhecimentos, experiência e qualificação
  • Resultados de monitoramento e medição
  • Programa de auditoria interna
  • Resultados de auditoria interna
  • Resultados da revisão de gestão
  • Resultados de ações corretivas
  • Registros de atividades de usuário, exceções e eventos de segurança
Pretendo compartilhar com vocês os modelos genéricos dos documentos que produzirei, eliminando deles os dados corporativos e informações particulares da empresa onde trabalho, é claro.

quinta-feira, 30 de janeiro de 2014

A abordagem da implantação do ISO 27001

O vídeo abaixo possibilita um overview sobre o contexto da implantação do SGSI em uma empresa, comentando pontos de reflexão importantes para o sucesso do projeto.

No contexto do vídeo, uma questão interessante que é abordada é a atribuição à área TI para implantação dos processos para atender a norma. Não que exista uma restrição em questão de área mais qualificada, mas é a questão de definição do escopo da abordagem, envolvimento de todas as áreas que suportam o escopo visando atender os requisitos do negócio da empresa.

Em resumo, é possível entender que uma área realizando os esforços isoladamente, não terá a visão do todo. Pois os ativos de segurança da informação permeiam por toda a organização.

Um caso real

Há alguns dias atrás vi em um noticiário uma reportagem que me fez refletir o quão vulnerável uma empresa está quando se trata de segurança da informação. Deixo o vídeo dessa matéria aqui para que você faça sua própria reflexão.