Buscar

ISO 27001: Padrão para Gestão de Segurança da Informação

Prévia do material em texto

ISO 27001. ISO/IEC 27001 é um padrão para sistema de gestão da segurança da informação (ISMS - Information Security Management System) publicado em outubro de 2005 pelo International Organization for Standardization e pelo International Electrotechnical Commission.
O que é a norma ISO 27001?
A norma ISO 27001 é o padrão e a referência Internacional para a gestão da Segurança da informação, assim como a ISO 9001 é a referência Internacional para a certificação de gestão em Qualidade. 
A norma ISO 27001 tem vindo, de forma continuada, a ser melhorada ao longo dos anos e deriva de um conjunto anterior de normas, nomeadamente a ISO 27001 e a BS7799 (British Standards). A sua origem remota na realidade a um documento publicado em 1992 por um departamento do governo Britânico que estabelecia um código de práticas relativas à gestão da Segurança da Informação. 
Ao longo dos anos, milhares de profissionais contribuíram com o seu know-how e experiência para o estabelecimento de um Standard estável e maduro, mas que certamente continuará a evoluir ao longo dos tempos. 
A norma tem como principio geral a adopção pela organização de um conjunto de requisitos, processos e controlos com o objectivo de mitigarem e gerirem adequadamente o risco da organização. 
Milhões de entidades no mundo utilizam as práticas documentadas no Standard e usufruem dos benefícios da sua adopção, sendo que, as entidades que assim o desejem podem também certificarem-se, demonstrando assim de forma idónea que cumprem os requisitos e os processos constantes na norma. 
Determinadas organizações, obrigam a que os seus fornecedores ou parceiros detenham certificações, nomeadamente a ISO 27001, como garante do cumprimento dos princípios estabelecidos pela mesma, providenciando assim aos seus clientes e parceiros um nível extra de conforto no que concerne à Segurança da Informação. As organizações que adoptam e se certificam nesta norma, atribuem especial importância à proteção da informação e demonstram-no através da certificação na mesma.
Para que serve?
A adopção da norma ISO 27001 serve para que as organizações adoptem por um modelo adequado de estabelecimento, implementação, operação, monitorização, revisão e gestão de um Sistema de Gestão de Segurança da Informação. 
Este Sistema de Gestão de Segurança da Informação (SGSI) é, de acordo com os princípios da norma ISO 27001, um modelo holístico de abordagem à Segurança e independente de marcas e fabricantes tecnológicos. 
É holístico porque acaba por ser uma abordagem 360º à Segurança da Informação, tratando de múltiplos temas tais como as telecomunicações, segurança aplicacional, proteção do meio físico, recursos humanos, continuidade de negócio, licenciamento, etc. 
É independente de fabricantes porque se destina ao estabelecimento de processos e procedimentos que depois podem ser materializados à realidade de cada organização de forma diferente e com a especificidade de cada ambiente tecnológico e organizacional.
Em que consiste?
A norma padrão (Standard) ISO 27001 é composta por duas componentes relativamente distintas: 
- A primeira componente, é onde são definidas as regras e os requisitos de cumprimento da norma. Nesta componente, são endereçados os aspectos explícitos no seguinte diagrama:
 
 
- A segunda componente da norma, é denominada de ANEXO A e é na realidade composta por um conjunto de controlos que as organizações devem adoptar, em diferentes temas:
 
 
A estrutura global da norma ISO 27001 pode ser apresentada da seguinte forma:
 
 
Em que as cláusulas com os requisitos correspondentes ao ciclo de melhoria continua estão representados a azul, as cláusulas com os requisitos gerais do SGSI encontram-se a verde e o anexo com os objetivos de controlo e controlos aparecem a castanho.
Quais os benefícios para quem a adopta?
Independentemente das empresas se certificarem ou não, a adopção das práticas de gestão documentadas na norma, representa um conjunto de benefícios, nomeadamente: 
1. Demonstra um compromisso dos Executivos da Organização para com a segurança da informação. 
2. Aumenta a fiabilidade e a segurança da informação e dos sistemas, em termos de confidencialidade, disponibilidade e integridade. 
3. Garante a realização de investimentos mais eficientes e orientados ao risco, ao invés de investimentos com apenas baseados em tendências. 
4. Incrementa os níveis de sensibilidade, participação e motivação dos colaboradores da Organização para com a Segurança da Informação. 
5. Identifica e endereça de forma continuada a oportunidade para melhorias, sendo um processo em contínua melhoria. 
6. Aumenta a confiança e satisfação dos clientes e parceiros, providenciando um maior potencial para realização de mais negócios. 
7. A implementação dos controlos provenientes da norma e da análise de risco, melhora o desempenho operacional das organizações. 
8. Dotar a organização de um sistema de controlo da gestão, incrementando a eficácia da organização. 
Quais os benefícios para os clientes, fornecedores ou parceiros?
As entidades "pares" de uma entidade certificada em ISO 27001, nomeadamente os seus clientes, fornecedores e parceiros, também obtêm benefícios na interação com a organização certificada. 
Uma das grandes preocupações da atualidade é efetivamente a confiança no tratamento adequado da informação sensível da sua organização. 
A implementação da norma ISO 27001 providencia um elevado compromisso com a proteção da informação, o que representa um nível considerável de conforto para as organizações que interagem com a entidade certificada. 
Assim, os clientes, parceiros e fornecedores desta entidade sabem que a informação da sua organização será tratada de acordo com elevados padrões de gestão e proteção ao nível da Segurança da Informação, já que a empresa certificada foi auditada por uma entidade externa e idónea. 
Quanto tempo demora a preparação da certificação?
A preparação da certificação requer a implementação e adopção dos requisitos, políticas, procedimentos, controlos e práticas requeridas pela norma ISO 27001, ajustadas ao âmbito e à realidade tecnológica e organizacional de cada entidade que a resolva adoptar e certificar-se. 
Assim, o tempo de implementação do sistema, varia de acordo com a realidade, maturidade e dimensão de cada organização. 
O roadmap típico de implementação de um SGSI é o apresentado na seguinte figura: 
Qual é o custo estimado da implementação e certificação?
O custo da implementação e da certificação varia de acordo com a realidade organizacional e especificidades de cada entidade, nomeadamente o processo sobre o qual incide a certificação, o número de colaboradores intervenientes nesse processo, o número de locais envolvidos e o número de ativos de informação a considerar no âmbito da certificação. 
https://www.27001.pt/iso27001_9.html
amos falar de um assunto importantíssimo nas organizações hoje, e que precisa ter uma atenção especial do ponto de vista da Governança de TI: a segurança da informação. De acordo com uma pesquisa de 2006 com empresas norte americanas do Computer Security Institute – CSI em conjunto com o FBI as perdas relacionadas com segurança somaram um total de US$ 56 milhões. No Brasil, a cert.br estimou que em 2005 há estimativa de perdas por fraudes chegou a R$ 300 milhões. A segurança da informação é padronizada através da norma ISO 27000, que tem por objetivo a proteção das informações organizacionais e ativos de TI. Para muitas empresas, as informações tem mais valor $$ do que os ativos físicos.
Os mais variados frameworks como o ITIL no estágio Desenho de Serviço e o COBIT 4.1 no processo DS5 “Assegurar a segurança dos Sistemas” e DS12 “Gerenciando o ambiente físico” e a ISO 20000 entre outros também abordam o assunto, sempre com base nas normas ISO da família 27000.
Na família ISO 27000 temos duas normas que são as mais conhecidas:
ISO 27001: É um modelo focado em estabelecer, implantar, operar, monitorar,rever, manter e melhorar um sistema de Gestão da Segurança da Informação. Irá implementar os controles da ISO 27002.
ISO 27002: Código de práticas para Segurança da Informação.
A ISO 27001 traz a abordagem da implementação segurança da Informação dentro de uma abordagem de processos que procura enfatizar aos usuários:
O entendimento dos requisitos e a necessidade de se ter uma política da segurança da informação.
Implementar e operar controles para gerenciamento dos riscos
Monitorar o desempenho e a eficácia da política de segurança da informação.
Promover a melhoria contínua.
Esta abordagem de processos é feita com base na tão conhecida estrutura PDCA, conforme temos na figura abaixo:
PDCA da Sergurança
Planejar: Definição do escopo do sistema de gerenciamento de segurança da informação. Identificação de riscos, analisar e avaliar riscos, opções de tratamento de riscos entre outros.
Implementar e Operar: Plano para tratamento de riscos, implementação de controles, medição da eficácia dos controles.
Monitorar e revisar: Monitoramento e controle, revisões periódicas no sistema de segurança, conduzir auditorias internas, atualizar planos de segurança.
Manter e melhorar: Implementar melhorias identificadas, tomar ações corretivas e preventivas, aplicar lições aprendidas, comunicar as ações de melhoria aos interessados.
A ISO 27002 está estruturada em seções. Cada seção abaixo tem uma série de controles que podem ser implementados, que vai depender do tamanho e necessidade de cada empresa. No total, são cerca de 130 controles que podem ser implementados, divididos entre as seções abaixo.
Política da segurança da informação
Organizando a segurança da informação
Gestão de ativos
Segurança em recursos humanos
Segurança física do ambiente
Gestão das operações e comunicações
Controle de acesso
Aquisição, desenvolvimento e manutenção de sistemas de informação
Gestão de incidentes da segurança da informação
Gestão da continuidade do negócio
Conformidade
Falando em Governança de TI, podemos verificar que a ISO 27000 é “totalmente aderente” ao modelo de Governança do COBIT, ou vice-versa. Se quisermos, podemos mapear praticamente todas as seções acima aos processos que o COBIT 4.1 traz. Para fins de exemplo, podemos pegar a seção “Gestão de incidentes da segurança da informação” acima e tratar os incidentes da segurança dentro do processo de gestão de incidentes propostos pelo COBIT 4.1 (DS8) e ITIL (Operação de Serviço: Gestão de Incidentes), mas tratando o incidente da segurança de acordo com o sugerido pela norma ISO 27000. Portanto, caso sua empresa tenha um service desk baseado nas práticas do ITIL, só precisaria incluir mais alguns procedimentos para o tratamento dos incidentes de segurança.
Utilizamos como base para este post o livro “Implantando a Governança de TI – da Estratégia à Gestão dos Processos e Serviços” da editora Brasport.

Outros materiais