Prévia do material em texto

AULA 2
INTERPRETANDO AS PRINCIPAIS NORMAS UTILIZADAS NA
 ELABORAÇÃO DA PSI
 Família ISO 27000
 Acordo de Basiléia II
Norma ISO 19011:2011
PRINCIPAIS NORMAS
Base para identificar quais informações deveremos proteger, quando e de quem => melhores PSI e planos de contingência
ISO 27001 – estabelece um Sistema de Gestão de Segurança da Informação (SGSI).
ISO 27002 – é o Código de Práticas para a Gestão da Segurança da Informação.
ISO 27003 – é o guia de implementação de um SGSI.
ISO 27004 – incide sobre mecanismos de medição e de relatório de um SGSI.
FAMILIA ISO 27000 
=> GESTÃO DA SEGURANÇA DA INFORMAÇÃO
ISO 27005 – descreve a gestão de riscos em Segurança da Informação.
ISO 27011 – descreve o guia de gestão de Segurança da Informação para organizações de telecomunicações, sendo baseada na 27002.
FAMILIA ISO 27000 
=> GESTÃO DA SEGURANÇA DA INFORMAÇÃO
Encontram-se em fase de desenvolvimento: 
ISO 27007 – será o guia de auditoria de um SGSI.
ISO 27012 – será o guia de Segurança da Informação para o 
 governo eletrônico.
ISO 27032 – guiará a cybersegurança.
ISO 27034 – abordará a segurança de aplicações.
ISO 27037 – mostrará técnicas de segurança na gestão de Segurança da Informação, setor a setor.
FAMILIA ISO 27000 
=> GESTÃO DA SEGURANÇA DA INFORMAÇÃO
Em 1987 o departamento de comércio e indústria do Reino Unido criou um centro de segurança de informações, o CCSC (Commercial Computer Security Centre), considerando duas frentes de atuação: 
Apoiar fornecedores de produtos de segurança de TI a partir de um conjunto de critérios de avaliação e um esquema de certificação
Auxiliar os usuários de TI através de um Código de Prática do Usuário (este código foi publicado em 1989)
HISTÓRICO DA EVOLUÇÃO DAS 
NORMAS ISO 27000
O código foi aperfeiçoado e resultou no “Código de prática para a gestão da segurança da informação”. Em 1995, este código deu origem à BS 7799:1995, parte 1.
Em abril de 1999, foi publicada a primeira revisão da BS 7799 parte 1 (BS7799:1999). Em outubro esta norma foi proposta como norma ISO, dando origem, à ISO/IEC 17799:2000. 
Em setembro de 2001, a ABNT homologou a versão brasileira da norma, denominada NBR ISO/IEC 17799:2001.
HISTÓRICO DA EVOLUÇÃO DAS 
NORMAS ISO 27000
A parte 1 da BS7799 era somente um código de prática e não permitia a certificação de um sistema gerencial => em 5 de setembro de 2002, lançamento da parte 2 (BS 7799-2:2002). 
Esta norma está em harmonia com as normas ISO 9001 (sobre gestão de processos e melhorias contínuas) e ISO 14001 (sobre sistemas de gerenciamento ambientais). 
HISTÓRICO DA EVOLUÇÃO DAS 
NORMAS ISO 27000
A BS7799-2:2002 transformou-se na norma ISO/IEC 27001:2005, publicada em 15 de outubro de 2005. A versão atual é a ISO/IEC 27001:2013 
A ISO 17799 cobre os mais diversos tópicos da área de segurança, possuindo um grande número de controles e requisitos que devem ser atendidos para garantir a segurança das informações de uma empresa. A obtenção da certificação pode ser um processo demorado e muito trabalhoso. Esta norma foi substituída pela norma ISO/IEC 27002:2007
HISTÓRICO DA EVOLUÇÃO DAS 
NORMAS ISO 27000
A visualização de toda a norma está disponível em http://www.iso31000qsp.org/2013/11/seguranca-da-informaçao-conheca-nova.html
NORMA ISO 27001:2013
A norma ISO 27001:2013 é o padrão e a referência internacional
para a gestão da segurança da informação e 
ela provê requisitos para estabelecer, implementar, manter e
 melhorar continuamente um SGSI. 
NORMA ISO 27001:2013
Escopo 
 Esta norma especifica os requisitos para estabelecer, implantar, 
 manter e melhorar continuamente um SGSI dentro do contexto
 da organização.
 
 Ela também inclui requisitos para avaliação e tratamento de
 riscos de segurança da informação voltados para as 
 necessidades da organização. 
 
NORMA ISO 27001:2013
REFERENCIAS NORMATIVAS
TERMOS E DEFINIÇÕES
CONTEXTO DA ORGANIZAÇÃO
 
 A organização, seu contexto, necessidades e 
 expectativas dos stakeholders, escopo do SGSI.
 
NORMA ISO 27001:2013
Liderança
5.1 Liderança e comprometimento
5.2 Política de segurança da informação
5.3 Autoridades, responsabilidades e papéis organizacionais
 
NORMA ISO 27001:2013
6 Planejamento 
 6.1 Ações para contemplar riscos e oportunidades
 
 6.2 Objetivo de segurança da informação e planos para 
 alcança-los
 
NORMA ISO 27001:2013
7 Apoio 
	7.1 Recursos (para o SGSI) 
	7.2 Competência
	7.3 Conscientização		
	7.4 Comunicação
	7.5 Informação documentada
 (criação, atualização e monitoramento da informação)
 
NORMA ISO 27001:2013
8 Operação
8.1 Planejamento operacional e controle
8.2 Avaliação de riscos de segurança da informação
8.3 Tratamento de riscos de segurança da informação
NORMA ISO 27001:2013
9 Avaliação do desempenho
9.1 Monitoramento, medição, análise e avaliação
9.2 Auditoria interna
9.3 Análise crítica pela direção
NORMA ISO 27001:2013
10 Melhoria
10.1 Não conformidade e ação corretiva
10.2 Melhoria contínua
A norma possui um anexo (Anexo A) que é a referência aos 
controles e objetivos de controles, que são derivados e estão alinhados com os controles e objetivos dos controles listados na ABNT NBR ISO/IEC 27002:2013.
NORMA ISO 27002:2013
Tecnologia da informação — Técnicas de segurança — Código de prática para controles de segurança da informação, publicada em 08/12/2013
A visualização de toda a norma pode ser vista em 
http://www.inf.furb.br/~paulofernando/downloads/risco/ISO-27002-2013.pdf
NORMA ISO 27002:2013
Esta Norma fornece diretrizes para práticas de gestão de segurança da informação e normas de segurança da informação para as organizações, incluindo a seleção, a implementação e o gerenciamento de controles, levando em consideração os ambientes de risco da segurança da informação da organização. 
Ela contém 14 seções de controles de segurança da informação, 35 objetivos de controles e 114 controles
NORMA ISO 27002:2013
Seção 5 – Política de Segurança da Informação
Foco => confidencialidade, integridade e disponibilidade das informações
Consequencia => criação de PSI, contendo entre outros, os conceitos de segurança da informação, o comprometimento da direção com a política, uma estrutura para estabelecer os objetivos de controle e os controles, a estrutura de análise e avaliação e gerenciamento de riscos. 
NORMA ISO 27002:2013
Seção 6 – Organizando a Segurança da Informação
 Tem como objetivo estabelecer uma estrutura de gerenciamento para iniciar e controlar a implementação da segurança da informação dentro da organização.
NORMA ISO 27002:2013
Seção 7 - Segurança em recursos humanos 
Antes de realizar a contratação de um funcionário ou mesmo de fornecedores e terceiros, é importante que cada um deles entenda suas responsabilidades e esteja de acordo com o papel que desempenhará => cargos e salários
NORMA ISO 27002:2013
Seção 8 – Gestão de Ativos
Ativo => “é qualquer coisa que tenha valor para a organização”
=> Identificar os ativos da organização, seus proprietários e definir as responsabilidades apropriadas para a sua proteção, seguido do levantamento e manutenção de um inventário de ativos.
NORMA ISO 27002:2013
Seção 9 - Controle de acesso
Como limitar o acesso à informação e aos recursos de processamento da informação às pessoas autorizadas.
=> PSI para controle de acesso aos sistemas e às redes, aos serviços de rede através de gerenciamento de acesso do usuário, criando procedimentos para tornar os usuários responsáveis pela proteção das suas informações de autenticação. 
NORMA ISO 27002:2013
Seção 10 - Criptografia 
A criptografia tem por finalidade proteger a confidencialidade,autenticidade e/ou a integridade da informação. 
devemos desenvolver e implementar uma política para o uso de controles criptográficos para a proteção da informação. (informações sensíveis)
Assinatura digital, message digest, etc...
NORMA ISO 27002:2013
Seção 11 – Segurança Física e do Ambiente 
As instalações onde as informações são processadas devem ser mantidas em áreas seguras, incluindo o perímetro considerado de segurança, com níveis de controles de acesso e proteção física apropriados.
Seção 12 - Segurança nas operações
Garantir a operação segura e correta dos recursos de processamento da informação
NORMA ISO 27002:2013
Seção 13 - Segurança nas comunicações
Considerar a segurança das redes e dos serviços de rede, a segregação de redes.
Seção 14 - Aquisição, desenvolvimento e manutenção de sistemas
Comprar pronto ou desenvolver? 
NORMA ISO 27002:2013
Seção 15 - Relacionamento na cadeia de suprimento
A segurança da informação na cadeia de suprimentos visa garantir a proteção dos ativos da organização que podem ser acessados pelos fornecedores internos e externos à organização. 
Cadeia de suprimento => toda a linha de processos que percorre desde a obtenção da matéria prima (informação) até a entrega do produto pronto ao cliente final (dados processados) 
NORMA ISO 27002:2013
Seção 16 - Gestão de incidentes de segurança da informação
Os incidentes envolvendo a informação devem ser primeiramente evitados, minimizados e, se houver a ocorrência de tais incidentes, eles devem ser prontamente reportados e colocadas em prática suas respostas.
Previamente devemos desenvolver atividades para eventuais incidentes com a segurança, indicando responsáveis para a sua proteção a priori e responsáveis pela sua execução, a posteriori. (respostas de risco)
NORMA ISO 27002:2013
Seção 17 - Aspectos da segurança da informação na gestão da continuidade do negócio
Da mesma forma que necessitamos das politicas de segurança para proteger os ativos da empresa, precisamos de planos de contingência para assegurar a continuidade do negócio da empresa, não apenas para os negócios como para os sistemas de informação.
NORMA ISO 27002:2013
Seção 18 – Conformidade
Para que a empresa não tenha problemas de violação de quaisquer obrigações legais, estatutárias, regulamentares ou contratuais relacionadas à informação => todos os requisitos legislativos, estatutários, regulamentares e contratuais pertinentes, direitos de propriedade intelectual, direito de uso de imagem de terceiros e o enfoque da organização para atender a esses requisitos sejam explicitamente identificados, documentados e mantidos atualizados para cada sistema de informação da organização.
ACORDO DE BASILÉIA II
Foi estabelecido pelo Bank of International Settlements (BIS), situado na Basiléia, Suiça. Ele funciona como o Banco Central dos bancos centrais.
Este acordo estipula requisitos de capital mínimo para instituições financeiras, em função de seus riscos de crédito e riscos operacionais.
ACORDO DE BASILÉIA II
Riscos de crédito => é a perda financeira sofrida pela incapacidade voluntária ou involuntária do tomador do crédito em atender às suas obrigações contratuais no tempo requerido
Riscos operacionais => são as perdas financeiras causadas por processos internos inadequados.
ACORDO DE BASILÉIA II
O acordo possui três pilares: 
1º - Estabelece regras e procedimentos para cálculo dos requisitos de capital considerando os riscos de crédito e operacional
2º - Estabelece regras para os Bancos Centrais de cada país executar auditorias nas instituições financeiras, para avaliar os riscos e mitiga-los, e considerar a emissão de informação para o mercado acerca de exposição do risco da instituição.
3º - Estabelece regras para a comunicação com o mercado dos requisitos mínimos de capital, face aos riscos e aos métodos e resultados de avaliação de risco do primeiro pilar.
ACORDO DE BASILÉIA II
IMPLICAÇÕES DO ACORDO DE BASILÉIA II SOBRE A TI
Atualmente o Banco Central do Brasil (BACEN) vem auditando as áreas de TI dos bancos através do COBIT (Control OBjecives for Information and related Technlogy), normativo criado pelo ISACA (aula 3)
Do ponto de vista de risco operacional o impacto do Acordo de Basiléia abrange basicamente todos os processos de TI e respectivas áreas organizacionais.
ACORDO DE BASILÉIA II
Do ponto de vista do risco de crédito, o impacto recai sobre:
	- capacidade de armazenamento de dados em face da 
 granularidade de informação requerida de cada cliente
	- Integridade das informações acerca das transações 
 	- Integridade das informações armazenadas sobre os 
 clientes e operações de crédito (arquivos históricos)
	- Segurança dessas informações
	- Contingência na operação
	- Planejamento de capacidade, de desastre e recuperação
	- Integridade do processo da emissão de relatórios 
 requeridos pelos BIS
ACORDO DE BASILÉIA II
Para atender ao Acordo, o CIO (Chief Information Officer) deve:
	- Inserir questões do Acordo em seu plano de TI
	- Implantar novos processos de TI
	- Ajustar ou melhorar processos existentes
	- Ajustar a estrutura organizacional de TI para acomodar 
 novos processos
	- Definir e implantar novos indicadores de desempenho, 
 caso necessário
	- Tratar a gestão de riscos de TI
ISO/IEC 19011 
Linhas de orientação para Auditoria a Sistemas de Gestão 
A norma completa encontra-se em
http://www.apcergroup.com/portugal/index.php/en/newsroom/429 
ISO/IEC 19011 
Cláusulas da norma
 
Cláusula 1 – Âmbito
Cláusula 2 – Referência normativas
Cláusula 3 – Termos e definições 
Cláusula 4 – Princípios de auditoria
Cláusula 5 – Gestão de um programa de auditorias 
Cláusula 6 – Planejamento e realização de uma auditoria
Cláusula 7 – Competência e avaliação de auditores e 
 equipas auditoras
ISO/IEC 19011 
Anexos da norma
 
Anexo A – Fornece orientações e exemplos ilustrativos de conhecimentos e competências dos auditores em disciplinas específicas. 
Anexo B – Fornece orientações adicionais (que estavam no corpo da norma ISO 19011:2002) 
 
Obrigada e até a próxima aula....
Lembrar que nunca poderemos evitar danos e fraudes..apenas mitigar sua ocorrencia e efeitos
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*