seguranca de sistemas de informacao

Prévia do material em texto

SEGURANÇA DE 
SISTEMAS DE 
INFORMAÇÃO
Andressa Dellay Agra
Normas vigentes sobre 
segurança da informação
Objetivos de aprendizagem
Ao final deste texto, você deve apresentar os seguintes aprendizados:
  Reconhecer a importância da Norma ISO/IEC 27001.
  Descrever a norma ISO/IEC 27001 sobre gestão de segurança da 
informação.
  Identificar os requisitos para a certificação.
Introdução
Manter uma organização a salvo de ataques e qualquer outro tipo de 
vulnerabilidades é de interesse mundial. De fato, a implementação de 
políticas de segurança da informação nas organizações é uma das normas 
mais importante para manter a informação segura.
A ISO 27001 é um padrão de referência internacional para a segurança 
da informação, que indica como deve ser feita a segurança e como 
implementar essa norma em organizações, por meio de políticas que 
precisam ser seguidas para manter a organização livre de inseguranças.
Importância da norma ISO/IEC 27001
A norma ISO 27001, o padrão e a referência internacional para a gestão da 
segurança da informação, deriva de um conjunto anterior de normas. Trata-
-se de uma norma internacional publicada pela International Standardization 
Organization (ISO) e descreve como gerenciar a segurança da informação 
em uma organização. A primeira versão dessa norma foi publicada em 2005 
e desenvolvida com base na Norma Britânica BS 7799-2. E sua versão mais 
recente foi publicada em 2013, com o título completo de ISO/IEC 27001:2013. 
O objetivo da ISO 27001 consiste em disponibilizar um conjunto de re-
quisitos, processos e controles à segurança da informação, diminuindo os 
riscos das organizações. Essa norma pode ser implementada em qualquer tipo 
de organização, pois provê metodologia para a implementação da gestão da 
segurança da informação naquelas de pequeno, médio e grande porte. 
Seu foco é proteger os pilares da segurança da informação — a confi-
dencialidade, a integridade e a disponibilidade —, a partir da identificação 
dos potenciais problemas com a informação dentro de uma organização e, 
posteriormente, da definição das necessidades que devem ser atendidas para 
prevenir problemas que envolvam a informação.
Dessa forma, a principal filosofia da ISO 27001 se baseia na gestão de riscos, 
ou seja, descobrir onde os riscos estão e, então, tratá-los sistematicamente. 
Em geral, os controles implementados estão na forma de políticas, procedi-
mentos e implementações técnicas. A maioria das organizações já tem redes, 
softwares e usuários, mas sua utilização está sendo feita de forma insegura — 
dessa forma, a maioria das implementações da ISO 27001 será sobre definir as 
regras organizacionais necessárias de modo a prevenir brechas de segurança. 
Conforme o site Advisera Expert Solutions (KOSUTIC, 2018), pode-se 
citar quatro benefícios de negócio essenciais que uma organização pode atingir 
com a implementação da ISO 27001:
  Estar em conformidade com requisitos legais — existem cada vez 
mais leis, regulamentações e requisitos contratuais relacionados à se-
gurança da informação. A ISO 27001 dispõe de uma metodologia para 
estar em conformidade com todos esses requisitos.
  Obter vantagem de marketing — se a organização obtém a certifica-
ção e seus competidores não, pode ter vantagem sobre eles na visão de 
clientes são à questão de manter suas informações seguras.
  Reduzir custos — a principal filosofia da ISO 27001 consiste em pre-
venir incidentes de segurança. Ao fazê-lo, a organização economizará 
uma quantidade significativa de dinheiro.
  MMelhorar a organização — em geral, organizações que crescem 
rápido não têm tempo para fazer uma pausa e definir seus processos e 
procedimentos – como uma das consequências, muito frequentemente 
os funcionários não sabem o que precisa ser feito, quando e por quem. 
A implementação da ISO 27001 ajuda a resolver tal situação porque 
encoraja as organizações a escreverem seus principais processos (mesmo 
aqueles não relacionados à segurança), possibilitando que os seus fun-
cionários percam menos tempo.
Normas vigentes sobre segurança da informação2
Descrição da norma ISO/IEC 27001
A norma ISO/IEC 27001 especifi ca os requisitos referentes a um sistema de 
gestão de segurança da informação, possibilitando que as organizações avaliem 
os seus riscos e implementem os procedimentos necessários para a preservação 
da confi dencialidade, integridade e disponibilidade da informação. Tem como 
principal objetivo impedir que a informação seja utilizada por terceiros não 
desejados ou perdida de forma irremediável.
A ISO/IEC 27001 divide-se em 11 seções e Anexo A — as seções de 0 a 3 
são introdutórias (e não obrigatórias para a implementação), enquanto as de 4 
a 10 são obrigatórias, ou seja, todos os seus requisitos devem ser implementa-
dos em uma organização se ela deseja estar em conformidade com a norma. 
Controles do Anexo A devem ser implementados apenas se declarados como 
aplicáveis na Declaração de Aplicabilidade.
  Seção 0: Introdução — explica o propósito da ISO 27001 e sua com-
patibilidade com outras normas de gestão. A norma sugere a adoção de 
uma abordagem de processo para um SGSI, ou seja, que a organização 
deve identificar e gerenciar os processos envolvidos em um SGSI, bem 
como reconhecer suas interações. Além disso, a ABNT NBR ISO/IEC 
27001 adota o ciclo denominado PDCA (Plan, Do, Check, Act) para 
estruturar todos os processos envolvidos em um SGSI. O PDCA é uma 
ferramenta gerencial que possibilita a melhoria contínua de processos 
e a solução de problemas.
  Seção 1: Escopo — explica que a norma é aplicável a qualquer tipo de 
organização. A ABNT NBR ISO/IEC 27001 tem como objetivo espe-
cificar requisitos para o estabelecimento, a implementação, a operação, 
o monitoramento, a análise crítica, a manutenção e a melhoria de um 
SGSI. Os requisitos são genéricos de modo a permitir sua aplicação 
a quaisquer organizações, independentemente do tipo, do tamanho e 
da natureza.
Qualquer exclusão de controles considerada necessária para satisfazer os 
critérios de aceitação de riscos precisa ser justificada e as evidências de que 
os riscos associados foram aceitos pelas pessoas responsáveis precisam ser 
fornecidas. Onde quaisquer controles forem excluídos, reivindicações de 
conformidade a esta Norma não são aceitáveis, a menos que tais exclusões 
não afetem a capacidade da organização e/ou responsabilidade de prover 
segurança da informação que atenda aos requisitos de segurança determina-
dos pela análise/avaliação de riscos e por requisitos legais e regulamentares 
aplicáveis (ABNT, 2006, p. 2).
3Normas vigentes sobre segurança da informação
  Seção 2: Referência normativa — refere-se a ISO/IEC 27000 como 
uma norma na qual termos e definições são dados. A norma ABNT 
NBR ISO/IEC 17799:2005 é referenciada como indispensável para a 
aplicação da norma ABNT NBR ISO/IEC 27001. Contudo, a ABNT 
NBR ISO/IEC 17799:2005 foi cancelada e substituída pela ABNT NBR 
ISO/IEC 27002.
  Seção 3: Termos e definições — são especificados termos e definições, 
como impacto, riscos de segurança da informação, ação de evitar o 
risco, estimativa de riscos, identificação de riscos e redução do risco. 
  Seção 4: Contexto da organização — esta seção faz parte da etapa 
de planejamento (Plan) do ciclo PDCA e define requisitos para o en-
tendimento de assuntos externos e internos, partes interessadas e seus 
requisitos, e a definição do escopo do SGSI.
O que é o ciclo PDCA?
Para aqueles que não conhecem o ciclo PDCA (Figura 1), trata-se de um conceito 
desenvolvido há quase 60 anos por William Edwards Deming. Consiste nas seguintes 
etapas:
  Planejar (Plan) — antes de começar a implementar qualquer coisa, deve-se saber 
exatamente de que precisa e o que quer atingir (objetivos);
  Fazer (Do) — uma vez que você sabe o que quer atingir, pode começar a imple-
mentar sua segurança da informação, continuidade de negócio, procedimentos 
de qualidade ou o que quer que seja o focoda norma ISO abordada;
  Checar (Check) — para se ter certeza de que o planejamento foi realizado, é 
necessário monitorar o sistema e medir se atingiu seus objetivos — esta é a fase 
de verificação;
  Agir (Act) — finalmente, se e quando perceber que os objetivos não foram atingi-
dos, ou seja, não é aquilo que se planejou, é necessário cobrir a lacuna nesta fase.
Normas vigentes sobre segurança da informação4
Figura 1. Ciclo PDCA aplicado aos processos de um sistema de gestão de segurança da 
informação. 
Fonte: Adaptada de Faria (2010).
Estabelecer
SGSI
Monitorar e
analisar
criticamente SGSI
Implementar
e operar SGSI
Manter e
melhorar SGSI
Plan
Check
Do Act
Partes
interessadas
Expectativas
e requisitos
de segurança
da informação
Partes
interessadas
Segurança da
informação
gerenciada
  Seção 5: Liderança — esta seção integra a etapa de planejamento 
(Plan) do ciclo PDCA e define as responsabilidades da alta direção, 
estabelecendo papéis e responsabilidades, além do conteúdo da política 
de segurança da informação de alto nível, como:
 ■ garantir o estabelecimento dos planos e objetivos do SGSI; 
 ■ definir os papéis e responsabilidades estabelecidos pela segurança 
da informação;
 ■ comunicar a organização sobre a importância do atendimento dos 
objetivos de segurança da informação;
 ■ prover recursos suficientes para o SGSI;
 ■ definir critérios para a aceitação de riscos e dos níveis de riscos 
aceitáveis;
 ■ garantir a execução das auditorias internas e da realização de análises 
críticas pela direção.
  Seção 6: Planejamento — parte da etapa de planejamento (Plan) do 
ciclo PDCA, define os requisitos para avaliação de risco, tratamento 
de risco, declaração de aplicabilidade e plano de tratamento de risco, 
além dos objetivos de segurança da informação.
  Seção 7: Apoio — integrante da etapa de planejamento (Plan) do ciclo 
PDCA, define requisitos de disponibilidade de recursos, competências, 
conscientização, comunicação e controle de documentos e registros.
5Normas vigentes sobre segurança da informação
  Seção 8: Operação — parte da etapa execução (Do) do ciclo PDCA, 
define a implementação da avaliação e do tratamento de risco, assim 
como controles e outros processos necessários para atingir os objetivos 
de segurança da informação.
  Seção 9: Avaliação do desempenho — faz parte da etapa verificação 
(Check) do ciclo PDCA e define requisitos para o monitoramento, a 
medição, a análise, a avaliação, a auditoria interna e a análise crítica 
pela direção.
  Seção 10: Melhoria — integrante da etapa de atuação (Act) do ciclo 
PDCA, define requisitos para não conformidades, ações corretivas e 
melhoria contínua.
  Anexo A — disponibiliza um catálogo de 114 controles (salvaguardas) 
distribuídos em 14 seções (seções de A.5 até A.18).
A respeito da Seção 4 — Contexto da Organização, serão detalhadas algumas parti-
cularidades, conforme descrito a seguir.
Estabelecer um SGSI (Plan)
Compreende toda a preparação necessária para a implementação do SGSI na 
organização:
 ■ definir o escopo (abrangência) do SGSI — consideram-se as características do 
negócio, a organização, sua localização, os ativos e a tecnologia. Exclusões de 
escopo deverão ser justificadas, se houver;
 ■ definir uma política de SGSI — deve conter princípios para ações relacionadas 
à segurança da informação, sendo aprovada pela direção;
 ■ definir uma metodologia para identificação, análise e avaliação de riscos, bem 
como opções de tratamento desses riscos: 
1. Requisitos identificados para o negócio. 
2. Identificação de ativos. 
3. Ameaças, vulnerabilidades e impactos desses riscos aos ativos. 
4. Critérios e níveis para aceitação de riscos (consideram-se os impactos para o 
negócio).
5. Avaliação da probabilidade real da ocorrência.
6. Estimativa de níveis de riscos, os quais ou serão aceitos ou tratados.
 ■ selecionar objetivos de controle e quais controles serão utilizados para tratar 
os riscos. Obter aprovação da direção dos riscos propostos e autorização para 
implementar e operar o SGSI;
Normas vigentes sobre segurança da informação6
 ■ preparar a declaração de aplicabilidade — fornece um resumo das decisões 
relativas ao tratamento de riscos (lista dos objetivos de controle e controles 
selecionados e atualmente implementados, bem como qualquer um que tenha 
sido excluído, devidamente justificado).
Implementar e operar um SGSI (Do) 
Compreende o funcionamento do SGSI na organização:
  elaborar e implementar um plano de tratamento de riscos — identificação da ação 
apropriada, recursos, responsabilidades e prioridades para a gestão de riscos de 
segurança; 
  implementar controles selecionados anteriormente para atender aos objetivos 
de controle;
  definir a medição da eficácia dos controles e as medidas que devem ser utilizadas 
para avaliação da eficácia; 
  implementar programas de conscientização e treinamento; 
  gerenciar operações e recursos para o SGSI; 
  implementar procedimentos e outros controles para detectar e responder pron-
tamente a incidentes de segurança da informação.
Monitorar e analisar criticamente um SGSI (Check) 
Por meio dessa fase, são verificados o desempenho e a eficácia do SGSI na organização:
  executar procedimentos de monitoramento e análise crítica para: 
1. Detectar erros.
2. Tentativas, violações de segurança e incidentes. 
  possibilitar à direção verificar se as atividades designadas a pessoas ou implemen-
tadas via tecnologia são executadas conforme o esperado; 
  verificar se as ações tomadas para solucionar violações foram eficazes;
  realizar regularmente análises críticas da eficácia do SGSI, considerando-se re-
sultados das auditorias de SGSI, incidentes, resultados das medições de eficácia, 
sugestões, etc.; 
  medir a eficácia dos controles; 
  realizar uma análise crítica periódica das avaliações de riscos para verificar e con-
siderar mudanças ocorridas ao longo do tempo; 
  realizar auditorias internas periódicas do SGSI; 
  realizar periodicamente a análise crítica do SGSI pela direção; 
  atualizar planos de segurança conforme resultados obtidos no monitoramento e 
na análise crítica; 
  registrar eventos e ações capazes de impactar na eficácia ou no desempenho do 
SGSI.
Manter e melhorar um SGSI (Act) 
Essa fase enfatiza a manutenção e o aprimoramento contínuo do SGSI da organização:
  implementar melhorias identificadas no SGSI; 
  executar ações preventivas e corretivas aplicando-se as lições aprendidas de outras 
organizações e/ou advindas da própria experiência organizacional; 
  comunicar ações e melhorias para as partes interessadas; 
  garantir que as melhorias realmente estejam atingindo os objetivos pretendidos.
7Normas vigentes sobre segurança da informação
Requisitos para certificação
Como outras normas do sistema de gestão ISO, a certifi cação ISO/IEC 27001 
é possível, mas não obrigatória. Algumas organizações optam somente por 
implementar esses standards internacionais, a fi m de se benefi ciar das melhores 
práticas que essas normas especifi cam. 
Existem duas formas de certificação para a ISO 27001: a individual e para 
organizações.Para uma organização obter essa certificação, deve implementar a 
norma e submeter-se a uma auditoria de certificação realizada por um organismo 
de certificação. A seguir serão descritos os estágios de realização da certificação.
Estágio 1 (análise da documentação)
Os auditores analisarão toda a documentação, quando se observarão o escopo 
documentado, a política e os objetivos do SGSI, a descrição da metodologia 
da avaliação de riscos, o relatório de avaliação de riscos, a declaração de 
aplicabilidade, o plano de tratamento de riscos, os procedimentos de controle 
de documentos, as ações corretivas e preventivas e a auditoria interna. 
Além disso, será necessário documentar alguns dos controles do Anexo A 
(somente se forem aplicáveis na declaração de aplicabilidade), como inventário 
dos ativos, uso aceitável dosativos, papéis e responsabilidades dos funcionários, 
fornecedores e terceiros, termos e condições de contratação, procedimentos de 
operação das instalações de processamento de informação, política de controle 
de acesso e identificação da legislação vigente. Além disso, necessitará dos 
registros de pelo menos uma auditoria interna e da análise crítica da gestão.
Estágio 2 (auditoria principal) 
Os auditores realizarão uma auditoria no local para verifi car se todas as ati-
vidades na organização estão em conformidade com a ISO 27001 e com a 
  requisitos de documentação — procedimentos documentados e controles, in-
cluindo aqueles relacionados ao planejamento, à operação e ao controle dos 
processos de segurança da informação; 
  controle de documentos — assegurar que as alterações e as versões dos documen-
tos sejam identificadas e estejam disponíveis quando necessárias; 
  controle de registros — elementos utilizados para evidenciar a conformidade aos 
requisitos e a eficácia da operação de um SGSI.
Normas vigentes sobre segurança da informação8
documentação do SGSI. Nesse estágio, o auditor analisará se a organização 
está realmente fazendo o que a sua documentação e a ISO 27001 dizem que 
deve ser feito. 
Em outras palavras, verificará se o seu SGSI foi colocado em prática na 
organização ou se é apenas mais um papel, por meio de observação e entrevistas 
com seus funcionários e, principalmente, pela análise de seus registros. Os re-
gistros obrigatórios incluem formação, treinamento, competências, experiência 
e qualificações, auditoria interna, análise crítica da gestão e ações corretivas 
e preventivas. Porém, o auditor espera encontrar muitos outros registros como 
resultado da realização de seus procedimentos;
Visitas de supervisão 
Após o certifi cado ser emitido, durante os três anos de sua validade, os auditores 
verifi carão se a organização mantém seu SGSI.
Em relação à certificação individual, os interessados podem participar de 
cursos para obter certificados, como:
  Curso de Auditor Líder ISO 27001 — ensinará a como realizar auditorias 
de certificação e é direcionado para auditores e consultores.
  Curso de Implementador Líder da ISO 27001 — ensinará a como im-
plementar a norma e é direcionado para praticantes de segurança da 
informação e consultores.
  Curso de Auditor Interno ISO 27001 — ensinará o básico da norma e 
como realizar uma auditoria interna; é direcionado para iniciantes no 
assunto e auditores internos.
Em “Benefícios e fatores condicionadores da obtenção de certificação em 
gestão da segurança de sistemas de informação”, Silva (2011) refere que “[...] 
a obtenção de certificações através de normas de Gestão da Segurança de 
Sistemas de Informação é tida como promotora e evidenciadora dos esforços 
de proteção do sistema de informação por parte das organizações”.
A adoção das práticas de gestão documentadas na norma representa um 
conjunto de benefícios, como:
  demonstrar um compromisso dos executivos da organização em rela-
ção à segurança da informação, pois uma das grandes preocupações 
da atualidade é efetivamente a confiança no tratamento adequado da 
informação sensível da sua organização; 
9Normas vigentes sobre segurança da informação
  dotar a organização de ferramentas que demonstre o cumprimento ao 
Regulamento UE 2016/679 no tratamento e na circulação de dados 
pessoais; 
  aumentar a confiabilidade e a segurança da informação e dos sistemas, 
em termos de confidencialidade, disponibilidade e integridade; 
  garantir a realização de investimentos mais eficientes e orientados ao 
risco, em vez de investimentos apenas baseados em tendências; 
  incrementar os níveis de sensibilidade, participação e motivação dos 
colaboradores da organização em relação à segurança da informação; 
  identificar e endereçar de maneira continuada oportunidades para 
melhorias, sendo um processo em melhoria contínua; 
  aumentar a confiança e a satisfação dos clientes, utentes, parceiros, 
entidades reguladoras e judiciárias, providenciando um elevado com-
promisso com a proteção da informação, o que representa um nível 
considerável de conforto para quem interage com entidades que pro-
cessam e arquivam dados pessoais; 
  a implementação dos controles provenientes da norma e da análise 
de risco melhora o desempenho operacional das organizações, com 
potencial de realização de mais negócios e poder negocial.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27001 – Tecno-
logia da informação – Técnicas de segurança – Sistemas de gestão de segurança da 
informação – Requisitos. Rio de Janeiro: ABNT, 2006.
FARIA, A. L. Conhecendo a ABNT NBR ISO/IEC 27001 – Parte 1. Profissionais TI, 25 out. 
2010. Disponível em: <https://www.profissionaisti.com.br/2010/10/conhecendo-a-
-abnt-nbr-isoiec-27001-parte-1/>. Acesso em: 30 nov. 2018.
KOSUTIC, D. O que é a ISO 27001? Advisera, 2018. Disponível em: <https://advisera.
com/27001academy/pt-br/o-que-e-a-iso-27001/>. Acesso em: 30 nov. 2018.
SILVA, D. Benefícios e fatores condicionadores da obtenção de certificação em gestão da 
segurança de sistemas de informação. 2011. Dissertação (Mestrado em Engenharia e Ges-
tão de Sistemas de Informação) - Universidade do Minho – Escola de Engenharia, 2011. 
Leitura recomendada
HINTZBERGEN, J. et al. Fundamentos de segurança da informação: com base na ISO 
27001 e na ISO 27002. Rio de Janeiro: Brasport, 2018.
Normas vigentes sobre segurança da informação10
Conteúdo: