NORMAS EM SEGURANÇA DA INFORMAÇÃO_materia_completa

Prévia do material em texto

Unidade I – (Conceitos e Estudo das Normas ISO 27000) 
1. Unidade: 01 - Vídeo: 1/4 - Normas ISO_IEC 27000 - Introdução 
 
Introdução: 
• O que é informação no contexto da SI: 
“ Informação é um ativo que, como outro s ativos de negócios importantes, tem um valor para uma 
organização e consequentemente precisa ser adequadamente protegido”. 
• Informação por ser: 
Criada / Armazenada / Destruída / Processada / Transmitida / Usada (forma correta ou não). 
Corrompida / Visualizada / Publicada / Verbalizada / Perdida / Roubada. 
Segurança da Informação 
• Conjunto de estratégias para gerenciar: 
o Os processos, ferramentas e políticas. 
• Necessárias para: 
o Prevenir, detectar, documentar e contrariar. 
“ As ameaças à informação digital e não digital” 
Pilares 
• 1. Integridade 
2. Disponibilidade 
3. Confidencialidade 
4. Autenticidade 
5. Não Repudio 
 
• Integridade: 
o Os dados armazenados devem permanecer inalterados dentro de um sistema de 
informações, bem como durante o transporte de dados. 
• Disponibilidade: 
o Capacidade de um usuário acessar informações ou recursos em um local especificado e no 
formato correto desde que possua autorização para tal. 
• Confidencialidade: 
o Informações ou dados sensíveis só devem ser divulgados para usuários autorizados. 
Aplicada como um sistema classificatório, por exemplo: livre, classificada e secreta. 
• Autenticidade: 
o È um processo que assegura e confirma a identidade de um usuário. 
o O usuário deve comprovar seus direitos de acesso e identidade. 
• Não Repúdio: 
o Mecanismo de garantia que fornece prova da integridade e origem dos dados. 
o É uma autenticação de que a mensagem foi enviada e que pode ser afirmado como genuíno 
com alta garantia para a fonte receptora. 
 
C.I.A. 
• Confidencialidade, integridade e Autenticidade. 
o ( C )= Qualquer coisa que ataca a capacidade de manter algo privado, ou seja, é um ataque 
 contra a confidencialidade. 
o ( I )= Garantir que algo não seja alterado de sua verdadeira forma. Por exemplo: alteração 
 dos preços em um bando de dados de comércio eletrônico ou a alteração da taxa de 
 pagamento em uma planilha. 
o ( A )= São aqueles que o fazem para que a vítima não possa usar o recurso em questão. 
Ataque tipo D.O.S. ou ataque por negação de serviço. 
 
Termos Comuns em Segurança da informação 
• Vulnerabilidade = É uma fraqueza no sistema. 
• Ameaça = É um evento, natural ou artificial, que pode causar danos ao seu sistema. 
• Risco = Ameaça X Vulnerabilidade X Custo. 
• Política = Declaração de alto nível da administração dizendo o que é e não é permitido na organização. 
• Padrão = Determinada o que será usado para executar a política. 
• Procedimento = Descrição de como exatamente fazer uma coisa certa. Geralmente é apresentado em uma 
série de atapas. 
Alguns Insights 
• A segurança é um processo e não um destino. 
• O objetivo da segurança da informação é fazer com que a missão principal da organização seja bem-
sucedida. 
• A infraestrutura de TI atual torna o cracking trivial. 
• A segurança por obscuridade é ruim, mas a segurança com a obscuridade não. 
• A complexidade é o inimigo da segurança. 
Conclusão: 
• Protege as informações de uma variedade de ameaças, garante a continuidade dos negócios, minimiza 
perdas financeiras, otimiza retorno sobre investimentos e aumenta as oportunidades de negócios. 
S.I. é: 
• Problema organizacional. 
• Mais de 70% das ameaças são internas. 
• Mais do que 60% dos culpados são fraudadores de primeira viagem. 
• Maior Risco: pessoas. 
• Maior Patrimonio: pessoas. 
• Engenharia social: é a grande ameaça. 
 
 
 
 
 
2. Unidade: 01 - Vídeo: 2/4 - Normas ISO_IEC 27000 
 
DENIFIÇÃO E ESCOPO 
• Fornece uma visão geral dos sistemas de gerenciamento de segurança da informação. 
• Introduz a S.I.: gerenciamento de riscos e segurança e sistemas de gerenciamento. 
 
• ISO 27001: é o padrão e a referência Internacional para a gestão da Segurança da informação. 
• ISO 27002: é um código de boas práticas e controles para auxiliar e apoiar a aplicação do 
referido Sistema de Gestão da Segurança da Informação (SGSI). 
• ISO 27003: busca definir um modo suficiente para implementação de um SGSI. ... De acordo com 
a norma, medição é o processo de obter informação sobre a eficácia de um SGSI e controles usando 
um método de medição, uma função de medição, um modelo analítico e um critério de decisão. 
• ISO 27004: trata da “Medição” do SGSI! De acordo com a norma, medição é o processo de obter 
informação sobre a eficácia de um SGSI e controles usando um método de medição, uma função de 
medição, um modelo analítico e um critério de decisão! 
• ISO 27005: fornece as diretrizes para o gerenciamento dos riscos de segurança da informação 
(SI) e dá sustentação aos conceitos especificados na ISO 27001:2005, a norma de requisitos de 
sistemas de gestão da SI, além de auxiliar sobremaneira na implementação e certificação de tais 
sistemas de gestão. 
• ISO 27006: é a norma internacional de gestão de segurança da informação. Ela descreve como 
colocar em prática um sistema de gestão de segurança da informação avaliado e certificado de 
forma independente 
• ISO 27007: Fornece diretrizes sobre como gerenciar um programa de auditoria de sistemas de 
gestão da segurança da informação (SGSI), sobre como executar as auditorias e sobre a 
competência dos auditores de SGSI5. 
• ISO TR 27008: é um padrão que fornece orientação sobre a implementação e operação decontroles. 
É aplicável a qualquer tipo e tamanho da empresa, tanto pública como privada, querealiza 
avaliações relacionadas à segurança da informação e aos controles de segurança. A informação. É 
compatível com outros padrões como ISO 27001 ou ISO 27002, e serve como uma plataforma 
estratégica para garantir a segurança da informação. 
• ISO 27009: Este documento especifica os requisitos para a criação de padrões setoriais 
específicos que estendem a ISO/IEC 27001 e complementam ou alteram a ISO/IEC 27002 para 
apoiar um setor específico (domínio, área de aplicação ou mercado). 
• ISO 27010: Gestão de segurança da informação para comunicações intersetorial e intersetorial. 
• ISO 27011: Código de prática para controles de segurança da informação baseados na ISO/IEC 
27002 para organizações de telecomunicações. 
• ISO 27012: Orientação sobre a implementação integrada do ISO/IEC 27001 e ISO/IEC 20000-1. 
 
 
PRINCIPIO 
• Reino unido (Departamento de Comércio e indústria). 
• O centro de segurança de computadores comerciais (CCGC). 
• Criar um critério de avaliação de segurança para produtos de segurança de TI. 
• Criação de um código de boas práticas para segurança da informação. 
• Criação do ITSEC. 
• Publicação do DISC PD003 
• Desenvolvimento do NCC em Manchester (National Computing Center). 
• PD003 foi organizado em 10 seções no inicio de 1990. 
• Desenvolvimento sob a custódia da BSI. 
• Tornou-se um padrão formal, BS7799, de 1995. 
• Especificação de um sistema de gerenciamento de segurança da informação. 
• Publicado em 98 – BS7799-2 
• Tornou-se a ISO27001. 
• BS7799-1 na ISO, se torna a ISO 17799 dez-2000. 
• ISO 27001 foi publicada em out-2005 
• ISO 17799 foi renomeado para ISO 27002 em dez-2007. 
 
TERMOS e DEFINIÇÔES ISO 27000 
• ATAQUE: um ataque é qualquer tentativa não autorizada de acessar, usar, 
 alterar, expor, roubar, desativar, ou destruir um recurso. 
• CONTROLE DE ACESSO: Permissão e/ou restrição de acesso. / Refere-se as etapas que são 
 tomadas para autorizar e/ou restringir seletivamente o uso de ativos. 
• AUDITORIA: Processo de coleta de evidências usada para avaliar a satisfação dos 
 critérios de auditoria. 
• AUTENTICAÇÃO: Processo que é usado para confirmar que uma característica 
 reivindicada de uma entidade está realmente correta. 
• AUTENTICIDADE: Propriedade ou característica de uma entidade.• DISPONIBILIDADE: Propriedade ou característica de que algo está disponível se for 
 acessível e utilizável quando uma entidade autorizada exige acesso. 
• CONFORMIDADE: Cumprimento de um requisito. / Significa cumprir os requisitos. 
• MELHORIA CONTINUA: Conjunto de atividades recorrentes que são realizadas para melhorar o 
 desempenho de processos, produtos, serviços, sistemas e organização. 
• CONTROLE: Qualquer método administrativo, gerencial, técnico ou legal que é 
 usado para modificar ou gerenciar o risco de S.I. 
• CORREÇÃO: Uma correção é qualquer ação que é tomada para eliminar uma não 
 conformidade. 
• EFICÁCIA: Refere-se ao grau em que um efeito planejado é alcançado. 
• EFICIÊNCIA: É uma relação entre resultado alcançado (saídas) e recursos utilizados 
 (entradas). 
• EVENTOS: Uma ocorrência / Várias Ocorrências / Uma não ocorrência / Mudança 
 nas circunstâncias / São os incidentes ou acidentes / Tem causas e 
 consequências. 
• GOV. DA S.I: Sistema que é usado para direcionar e controlar atividades de 
 segurança de informações de uma organização. 
• CONTINUIDADE DA S.I.: Conjunto integrado de políticas, procedimentos e processos que são 
 utilizados para garantir que um nível predefinido de segurança 
 continue durante um desastre ou crie. 
• INTEGRIDADE: Significa proteger a precisão e a integridade das informações. 
• NÍVEL DE RISCO: É a sua magnitude. / Consequências X Probabilidade. 
• PROBABILIDADE: Chance de que algo possa acontecer. 
• RISCO: Efeito da incerteza sobre os objetivos. 
• PADRÃO DA IMPLEMENTAÇÃO DA SEG.: Documento que descreve as formas oficiais ou 
 formalmente autorizadas nas quais a segurança pode 
 ser alcançada ou realizada. 
• VULNERABILIDADE: Fraqueza de um ativo ou controle que potencialmente poderia ser 
 explorado por uma ou mais ameaças. 
 
 
 
 
 
 
 
3. Unidade: 01 - Vídeo: 3/4 - Normas ISO_IEC 27001, 27003, 27004 e 27006 
 
ISO 27001 – DEFINIÇÃO E ESCOPO 
• Específica formalmente 
• Sistema de Gerenciamento de Segurança da informação. 
• Conjunto de atividades relacionadas à gestão de riscos de informação. 
• Identificar, analisar e abordar riscos de informação. 
• Garante que os arranjos para acompanhar. 
• Ameaças, vulnerabilidades e impactos nos negócios. 
• Não exige formalmente controles específicos de segurança da informação. 
ESTRUTURA 
• Usa uma abordagem de processo. 
• Específica requisitos genéricos de ISMS adequados para a organizações de qualquer tipo, tamanho 
ou natureza. 
• Compreender o contexto organizacional, as necessidades e expectativas das “partes interessadas” e 
definir o escopo do SGSI. 
• A alta gerência deve demonstrar liderança e compromisso com o SGSI, política de mandato e 
atribuir funções de segurança de informações, responsabilidades e autoridades. 
• Processo para identificar, analisar e planejar o tratamento de riscos de informação e esclarecer os 
objetivos da segurança da informação. 
• Recursos adequados e competentes devem ser atribuídos, documentados e controlados. 
• Detalha sobre a avaliação e tratamento dos riscos da informação, gerenciar mudanças e 
documentar as coisas. 
• Avaliação de desempenho – monitorar, medir, analisar e avaliar / auditar / revisar os controles, 
processos e sistema de gerenciamento de segurança da informação, a fim de fazer melhorias 
sistemáticas quando apropriado. 
• Abordar as descobertas de auditorias e revisões. 
 
ISO 27003, ISO 27004 – DEFINIÇÃO E ESCOPO 
• Fornece orientação para aqueles que implementam os padrões ISO27K, abrangendo os aspectos do 
sistema de gerenciamento em particular. 
• Fornece explicações e orientações sobre ISo 27001. 
• Fornece informação adicional de explicação, orientação prática e exemplos do mundo real com 
relação aos problemas externos e internos de SI. 
• Medidas necessárias para o gerenciamento da SI. 
• Métricas de segurança. 
• Avaliar a eficácia e eficiência do sistema de gerenciamento de segurança da informação. 
• Fornece informações necessárias para gerenciar e melhorar o SGSI. 
 
PRINCIPAL FOCO 
• Racionalidade: Explica o valor de medir as coisas, por exemplo, para aumentar a prestação de 
 contas e o desempenho. 
• Características: O que medir, monitorar, analisar e avaliar, quando fazê-lo e quem o faz. 
• Tipos de Medidas: Medidas de desempenho (eficiência) e eficácia. 
• Processos: Como desenvolver, implementar e usar métricas. 
 
ISO 27006 – DEFINIÇÕES E ESCOPO 
• FINALIDADE: 
o Padrão de acreditação que orienta os órgãos de certificação nos processos formais que eles 
devem seguir ao auditar o SGSI. 
o Especifica requisitos e fornece orientação para os órgãos que prestam auditoria e 
certificação de um SGSI. 
o Orientações para auditoria de conformidade especificamente no contexto dos SGSI, além 
dos requisitos gerais de acreditação. 
 
 
 
4. Unidade: 01 - Vídeo: 4/4 - Normas ISO_IEC 27002 
 
ISO 27002 – DEFINIÇÃO E ESTRUTURA 
• Padrão de boas práticas popular e internacionalmente reconhecido para a segurança da 
informação. 
• O padrão é explicitamente preocupado com a segurança da informação. 
• Segurança de todas as formas de informação (dados informáticos, documentação, conhecimento e 
propriedade intelectual). 
• É um código de prática. 
• Recomenda controles de segurança de informações. 
• Estruturado logicamente em torno de grupos de controles de segurança relacionados. 
• Aborda os objetivos de controle de segurança de informações decorrentes de: 
o Riscos para a confidencialidade. 
o Integridade. 
o Disponibilidade de informações. 
 
MAPA CONCEITUAL DA NORMA 
 
 
 
ESTRUTURA DESTE PADRÃO 
• Cláusulas de controle de segurança. 
• 35 objetivos de controle. 
• Necessidade de proteger a confidencialidade, integridade e disponibilidade de informações. 
 
EXMPLO: OBJETIVOS DE CONTROLES 
• LOGON SEGURO: 
o Implementação e uso de técnicas de autenticação adequadas. 
o Não divulgação de informações sensíveis no tempo de logon. 
o Validação de entrada de dados. 
o Proteção contra ataques de força bruta. 
o Log. 
o Não transmissão de sobre a rede. 
o Tempo limite de inatividade de sessão. 
o Restrições de tempo de acesso. 
DIREÇÃO DE GESTÃO PARA SEGURANÇA DA INFORMAÇÃO 
• Deve haver uma “política de segurança da informação”. 
ORGANIZÇÃO DA SI. 
• INTERNA: 
o Estabelecer os papéis e as responsabilidades para a segurança da informação, e aloca-las 
para os indivíduos. 
• DISPOSITIVOS MÓVEIS E TELETRABALHO 
o Políticas de segurança e controles para dispositivos móveis e remotos. 
SEGURANÇA DOS RECURSOS HUMANOS 
• Antes do Emprego: 
o Em conta no recrutamento de empregados permanentes. 
o Empreiteiros. 
o Agentes temporários. 
• Durante o Emprego: 
o Garantir funcionários e contratados. 
▪ Conscientizados. 
▪ Motivados. 
▪ Cumprir obrigações de segurança da informação. 
o Processo disciplinar formal 
▪ Lidar com incidentes de segurança da informação. 
▪ Causados por trabalhadores. 
• Rescisão e mudança de emprego: 
o Gerenciados. 
o Atualizar seus direitos e acesso. 
o Privacidade e propriedade intelectual. 
o Termos contratuais. 
 
GERENCIAMENTO DE ATIVOS 
• Responsabilidade por ativos. 
o Inventariados. 
o Proprietários identificados. 
o Responsabilizados pela segurança. 
• Classificação da informação 
o Classificadas. 
o Rotuladas. 
o Proprietários. 
o Tratadas adequadamente. 
• Manuseio de Mídia 
o Gerenciados. 
o Controlados. 
o Movidos. 
o Descartados. 
CONTROLE DE ACESSO E CRIPTOGRÁFICOS 
• Controle de Acesso 
o Requisitos empresariais do controle de acesso. 
o Gerenciamento de acesso de usuário. 
o Responsabilidades de usuário. 
o Controle de acesso do sistema e da aplicação. 
• Controle Criptográfico 
o Política sobre o uso da criptográfica. 
o Controles de autenticação 
o Integridade criptográfica. 
o Assinaturas digitais. 
o Códigos de autenticaçãode mensagens. 
o Gerenciamento de chaves criptográficas. 
SEGURANÇA FÍSICA E AMBIENTAL 
• Áreas seguras: 
o Perímetro e barreiras físicas definidas. 
o Controles de entrada física. 
o Procedimentos de trabalho. 
▪ Proteger as instalações, escritórios, salas, áreas de entrega/carregamento. 
• Equipamentos. 
SEGURANÇA DE OPERAÇÕES E COMUNICAÇÕES 
• Seg. Operações: 
o Procedimentos e Responsabilidades operacionais. 
o Proteção contra malware. 
o Backup. 
o Logging e monitoramento. 
o Controle de software operacional. 
o Gerenciamento de vulnerabilidades técnicas. 
o Considerações de auditoria de sistemas de informação. 
• Seg. das Comunicações: 
o Gerenc. De segurança de rede. 
o Transferência de informações. 
AQUISIÇÃO, DESENVOLVIMENTO E MANUTENÇÃO DO SISTEMA. 
• Requisitos de segurança dos sistemas de informação. 
• Segurança nos processos de desenvolvimento e suporte. 
• Dados de teste. 
 
RELAÇÃO COM FORNECEDORES. 
• Segurança da informação em relacionamentos dos fornecedores. 
• Gerenciamento de entrega de serviços de fornecedores. 
 
➔ Gerenciamento de Incidentes e melhorias de segurança da informação. 
➔ Continuidade da segurança da informação 
➔ Redundâncias 
 
CONFORMIDADE 
• Cumprimento dos requisitos legais e contratuais. 
• Comentários da segurança da informação. 
 
 
 
Unidade II – (Normas ISO 27005 e ISO 31000) 
Apresentação das normas ISO 27005 e ISO 31000 direcionadas a riscos. 
5. Unidade: 02 - Vídeo: 1/4 - Normas ISO-IEC 27005 e ISO-IEC 31000 
 
Diagrama Conceitual: 
 
IDENTIFICAR POTENCIAIS RISCOS PERTENCENTES A INFORMAÇÃO 
• Vulnerabilidades são fraquezas inerentes nas: 
o Instalações 
o Tecnologias 
o Processos. 
• Pessoas e relacionamento. 
• Ameaças são: 
o Os Atores (internos e externos). 
o Eventos naturais. 
• Ativos são: 
o Conteúdo de informações valiosas 
o Arquivos de armazenamento. 
o Hardware de computador. 
• Impactos são: 
o Incidentes 
o Calamidades 
o Afetam os ativos 
o Prejudicam a organização 
o Prejudicam seus interesses comerciais 
o Pode afetar terceiros. 
 
 
AVISOS E NORMAS REFEREM-SE: 
• Conselhos relevantes lançados por inúmeras organizações. 
o CERT / FBI / ISO / Jornalistas / Fornecedores de Tecnologia 
• Profissionais de segurança da informação 
TRATAMENTO DE RISCOS: 
• Evitar / Mitigar / Compartilhar / Aceitar 
• Envolve decidir o que fazer, e fazer o que foi decidido. 
FERRAMENTAS PARA TRATAR RISCOS 
• Análise análoga de risco, é um método de inferência simples para analisar, relatar, comparar e 
considerar riscos de maneira subjetiva, conforme as probabilidades relativas de ocorrência e 
impactos. 
• Faca de Calabrese, Ajuda a selecionar e priorizar controles técnicos em configuração de segurança. 
• Ajuda a avaliar e comparar os custos e benefícios para cada controle em uma base igual. 
• COBIT, fornece um modelo abrangente que orienta a implementação de: 
o Processos. 
o Sistemas de governança de TI. 
o Controles de Segurança da informação. 
• COSO ERM. 
• Comitê de organizações Patrocinadoras da estratégia de Gestão de riscos Empresariais. 
• Utilizada para gerenciar todas as formas de risco organizacional. 
• Delphi, técnica de previsão envolvendo rodadas sucessivas de previsões anônimas com 
consolidação e feedback aos participantes entre cada rodada. 
• FMEA, modos de falha e analise de efeitos. 
• De uso geral. 
• Utilizado em projetos de engenharia. 
• Examina possíveis maneiras pelas quais um processo pode falhar e causar efeitos adversos sobre a 
organização. 
• ISO 31000. 
• Orientações sobre os princípios e a implementação de gerenciamento de riscos em geral. 
• MEhari, é um método gratuito de análise e gerenciamento de risco de código aberto em várias 
línguas europeias. 
• Desenvolvido pelo Clube de segurança da informação Frances. 
• NIST SP 800-30. 
• Guia de gerenciamento de riscos para sistemas de tecnologia da informação. 
• Octave 
o Operationally / Critical / Threat / Asset / Vulnerability / Evaluation 
• Baseada na avaliação e planejamento para a segurança. 
• Necessita visão de negócios em vez de tecnologia centrada em riscos de segurança. 
• Cadeias de Markov. 
• Redes de petri estocásticas. 
• Simulação de monte Carlo. 
• Técnicas bayesianas. 
• Teoria de probabilidade. 
 
6. Unidade: 02 - Vídeo: 2/4 - Normas ISO-IEC 27005 
 
GERENCIAR RISCOS PERTENCENTES A INFORMAÇÃO: 
• Envolvimento para identificar, avaliar e lidar com riscos de maneira continua pro ativa, e aspectos 
de governança, como direção, controle, autorização e recursos do processo. 
RISCO PERTENCENTE A INFORMAÇÃO É: 
• Conhecimento que derivamos dos dados, conteúdo de arquivos de computador, papelada, 
conversas, conhecimentos, propriedade intelectual, etc. 
DEFINIÇÕES ISO 27005 
• Técnicas de Segurança: 
o Gestão da segurança da informação. 
o Fornece diretrizes para o gerenciamento de riscos de segurança da informação. 
o Suporta os conceitos gerais especificados na ISo27001. 
o Projetado para auxiliar a implementação satisfatória de segurança da informação com base 
em uma abordagem de gerenciamento de riscos. 
O QUE ESPECIFICA: 
• O Contexto de gerenciamento de risco: 
o Escopo. 
o Obrigações de conformidade. 
o Abordagens e métodos a serem utilizados. 
o Políticas. 
o Critérios como a tolerância ao risco. 
• Avaliação quantitativa e/ou qualitativa 
o Identificação, análise e avaliação de : 
▪ Riscos de informação relevantes. 
▪ Ativos de informações. 
▪ Ameaças. 
▪ Controles. 
▪ Vulnerabilidades. 
▪ Probabilidades de incidentes. 
▪ Cenários de incidentes. 
▪ Consequências comerciais. 
• Uso e controle d SI. 
• Evitar ou compartilhar com terceiros os riscos adequadamente. 
• Uso de níveis de risco para priorização. 
• Informar as partes interessadas ao longo do processo. 
• Monitoração e revisão dos riscos. 
• Tratamento de riscos. 
• Respostas as mudanças significativas. 
PROBLEMÁTICA: 
• 70 páginas. 
• Padrões para riscos – pertencentes a informação. 
• Não possui explicação adequada para lidar com os riscos da informação. 
• Se vale de muitos outros padrões, diretrizes e abordagens para gestão de riscos de informação para 
cobrir essa falha. 
MÉTODO DE ANALISE DE RISCO PARA ESCOLHA DE FERRAMENTAL: 
• Quantitativa ou Qualitativa: Poucos recomendariam uma análise verdadeiramente quantitativa dos 
riscos de informação. 
o Escassez de dados confiáveis sobre incidentes. 
o Potencialmente úteis em situações mais restritas. 
• Escopo: Do SGSI e precisam ser avaliadas pelo gerenciamento para compilar sua Declaração 
de aplicabilidade (SoA). 
• Escalabilidade: reunir e analisar grandes quantidades de dados ao longo do tempo. 
o Usar ferramentas baseadas em bancos de dados em vez de planilhas. 
• Manutenção e suporte: uns usam software inteligente de suporte a decisão. 
o Outros são processuais ou podem ser suportados por ferramentas genéricas, como 
planilhas. 
• Usabilidade: 
o Métodos e ferramentas conduzem o usuário através do processo de análise de risco um 
passo de cada vez. 
o Outros são mais livres, assumem mais conhecimento e experiência dos usuário. 
• Valor: 
o Benefícios para sua organização a partir da ferramenta. 
o Custos de aquisição. 
o Uso e manutenção da ferramenta. 
o Preço é apenas um fator. 
 
 
7. Unidade: 02 - Vídeo: 3/4 - Normas ISO-IEC 31000 – parte I 
 
DEFINIÇÃO E PROPÓSITO: 
• ISO31000: Princípios e diretrizes genéricas sobre gerenciamento de riscos. 
• Aplicado ao longo da vida de uma organização. 
• Ampla gama de atividades: 
o Estratégias e decisões. 
o Operações. 
o Processos. 
o Funções. 
o Projetos. 
o Produtos. 
o Serviços. 
o Ativos. 
• Aplicação: Qualquer tipo de risco, qualquer que seja sua natureza, seja com consequências 
positivas ou negativas. 
 
DIRETRIZ GENÉRICA: 
• Não se destina a promover a uniformidade de gerenciamento de riscos em todas as organizações. 
• Projeto e a implementaçãode planos e estruturas precisarão levar em consideração as diferentes 
necessidades de uma organização específica. 
• Levar em consideração: 
o Objetivos específicos, contexto, estrutura, operações, processos, funções, projetos, 
produtos, serviços ou ativos e práticas específicas empregadas. 
PRETENSÃO: 
• Usar como harmonizadora dos processos de gerenciamento de riscos nos padrões existentes e 
futuros. 
• Fornecer uma abordagem comum em apoio de padrões que lidam com riscos em setores 
específicos. 
• Não substitui normas específicas. 
PACOTE PARA RISCOS DE TI E SEGURANÇA DA INFORMAÇÃO: 
• ISO 31000 / ISO 27001 / ISO 27002 
• ISO31000, trata do gerenciamento de Riscos de tecnologia da informação e fornece a base para 
suportar o gerenciamento de riscos de um sistema de gerenciamento de segurança da informação. 
COMPOSIÇÃO: 
• ISO 31000:2009 – Princípios e Diretrizes sobre implementação. 
• ISO 31010:2009 – Gestão de Riscos – Técnicas de avaliação de riscos. 
• Guia ISO 73:20009 – Gerenciamento de riscos – Vocabulário. 
ISO 31000 – A QUEM INTERESSA 
• Stakeholders do nível executivo. 
• Detentores de cadastros no grupo de gerenciamento de riscos da empresa. 
• Analistas de risco e diretores de gestão. 
• Gerentes de linha. 
• Gerentes de projeto. 
• Auditores internos e de conformidade. 
• Profissionais independentes. 
FOCO DOS PROGRAMAS: 
• Transferência de lacunas de responsabilização no gerenciamento de riscos corporativos. 
• Alinhando os objetivos dos quadros de governança com ISO 31000. 
• Incorporando mecanismos de relatórios do sistema de gerenciamento. 
• Criando critérios de risco uniformes e métricas de avaliação. 
ISO 31000 – COMO LIDAR COM O RISCO 
• Evitando o risco, decidindo não iniciar ou continuar com a atividade que dá origem ao risco. 
• Aceitando ou aumentando o risco para perseguir uma oportunidade. 
• Removendo a fonte de risco. 
• Alterando a probabilidade. 
• Alterando as consequencias. 
• Compartilhando o risco com outra parte ou partes (incluindo contratos e financiamento de riscos). 
• Mantendo o risco por decisão informada. 
 
 
8. Unidade: 02 - Vídeo: 4/4 - Normas ISO-IEC 31000 – parte II 
 
O QUE A ISO 31000 NÃO É / NÃO POSSUI: 
• Instruções detalhadas de como gerir riscos. 
• Framework completo para gerir riscos. 
• Formatos ou atributos para descrever riscos. 
• Direcionamento em como identificar riscos. 
• Conselhos em como gerir riscos de domínios específicos. 
PRINCIPIOS DE GERENCIAMENTO APLICADOS: 
• Cria a projeta valor baseado na melhor informação disponível. 
• Desenha sob medida tratamento do risco e o coloca como parte integrada junto aos processos 
organizacionais. 
• Leva em consideração os fatores culturais e humanos como parte da tomada de decisão. 
• O processo de direcionamento da incerteza é transparente e inclusivo. 
• Toda a sistemática, estrutura e tempo é propositalmente feita para ser responsiva e interativa a 
dinâmica das mudanças. 
• Facilita o incremento contínuo da organização criando cultura de avaliação de riscos. 
FRAMEWORK: 
 
 
 
 
ARQUITETURA SIMPLES PARA RISCO: 
 
 
RELACIONAMENTO COM OUTROS PADRÕES: 
 
 
 
 
 
Unidade III – (Normas ISO 22301) 
Apresentação da norma ISO 22301 direcionada à continuidade do negócio. 
9. Unidade: 03 - Vídeo: 1/4 - Normas ISO-22301 - introdução 
 
ISO 22301 – DEFINIÇÕES – SEGURANÇA SOCIAL: 
• Sistemas de gerenciamento de continuidade de negócios. 
• Escrita por especialistas lideres em continuidade de negócios e fornece a melhor estrutura para 
gerenciar a continuidade do negócio em uma organização. 
ISO 22301 – INTRODUÇÃO 
• Diminuir a possibilidade de um incidente disruptivo ocorrer. 
• Ocorrendo, uma organização estará pronta para responder de forma adequada. 
• Sua adoção diminui drasticamente o potencial dano de tal incidente. 
• O padrão é concebido de tal forma que seja aplicável a qualquer tamanho ou tipo de organização. 
• A continuidade do negócio faz parte do gerenciamento global de riscos em uma empresa, com 
áreas que se sobrepõem ao gerenciamento de segurança da informação e ao gerenciamento de TI. 
ISO 22301 – ONDE ESTÁ CONTIDO 
 
TERMOS USADOS: 
• Sistema de Gerenciamento de Continuidade de Negócios BCMS – parte de um sistema de 
gerenciamento geral que garante que a continuidade do negócio seja planejada, implementada, 
mantida e melhorada continuamente. 
• Interrupção máxima aceitável – MAO – a quantidade máxima de tempo que uma atividade pode ser 
interrompida sem incorrer em danos inaceitáveis. 
o É também conhecida como: Período de Perturbação Máxima Tolerável – MTPD. 
• Objetivo de tempo de Recuperação – RTO – o tempo pré-determinado em que uma atividade deve 
ser retomada, ou os recursos devem ser recuperados. 
• Objetivo do Ponto de Recuperação – RPO – perda máxima de dados, ou seja, quantidade mínima de 
dados que precisa ser restaurada. 
• Objetivo mínimo de continuidade do Negócio – MBCO – o nível mínimo de serviços ou produtos 
que uma organização precisa produzir depois de retomar suas operações comerciais. 
MACRO CONTEÚDO: 
• Escopo Ref.Normativas Termos e Definições Contexto da organização 
Liderança Planejamento Apoio Operação 
Avaliação de Desempenho Melhoria 
 
 
10. Unidade: 03 - Vídeo: 2/4 - Normas ISO-22301 – Documentação Obrigatória. 
 
ISO 22301 – Benefícios: 
• Recuperar de forma ótima um incidente potencialmente prejudicial e perturbador. 
• Proteger o volume de negócios, os lucros e a reputação da organização devido a uma melhor 
resiliência e prontidão. 
• Reduzir o custo da cobertura do seguro de interrupções de negócios com base na análise real da 
exposição ao risco organizacional. 
• Receber garantias auditadas independentemente de que a empresa estabeleceu as medidas 
necessárias para responder a um potencial desastre. 
• Conhecer as demandas dos clientes em toda a cadeia de suprimentos. 
ISO 22301 – CICLO DE VIDA. 
• Definir qual o alcance do projeto e fazer o caso de negócio. 
• Obter o compromisso do conselho e garantir o orçamento necessário. 
• Desenvolver competência interna. 
• Realizar o desenvolvimento de documentação e controle de documentação. 
• Estabelecer funções e responsabilidades. 
• Desenvolver planos e estratégia de continuidade de negócios. 
• Realizar testes BCM 
• Revisar e promover manutenção contínua. 
• Obter o certificado. 
• Realizar comunicações internas e externas. 
• Estabelecer programas de conscientização da equipe. 
• Realizar uma avaliação de risco. 
• Realizar uma análise de impacto comercial BIA. 
DOCUMENTAÇÃO Obrigatória a Desenvolver: 
• Necessária a toda a organização que pretende adotar o padrão. 
• Lista de requisitos Legais, regulamentares e outros aplicáveis. 
• Escopo do BCMS 
• Política de continuidade de negócios. 
• Objetivos de continuidade do negócio. 
• Evidência de competências de pessoal. 
• Registros de comunicação com partes interessadas. 
• Análise de impacto de negócios. 
• Avaliação do risco, incluindo o apetite de risco. 
• Estrutura de resposta a incidentes. 
• Planos de continuidade do negócio. 
• Procedimentos de recuperação. 
• Resultado da auditoria interna. 
• Resultados da revisão da gestão. 
• Resultados de ações corretivas. 
 
11. Unidade: 03 - Vídeo: 3/4 - Normas ISO-22301 – Normas Correlatas. 
 
ISO 22301 – Plano de Contingência e Recuperação de Desastres: 
• Foram respostas lideradas por tecnologia da informação para desastres naturais e terrorismo. 
• Afetam as empresas nos anos 80 e início da década de 90 do sec. XX. 
• Se tonou um processo liderado por negócios. 
NORMAS PUBLICADAS: 
• ISO 22300:2012 – Segurança Social, Terminologia. 
• ISO 22320:2011 – Segurança Social, Gerenciamento de emergência – Requisitos para resposta a 
incidentes. 
• ISO/TR 22312:2011 – Segurança Social, Capacidades Tecnológicas. 
• ISO/PAS 22399:2007 – Segurança Social, Diretriz para preparação de incidentese gerenciamento de 
continuidade operacional. 
• ISO 22311, Segurança Social, Vídeo VigilÂncia – interoperabilidade de exportação. 
• ISO 22313, Segurança Social, Sistemas de gerenciamento de continuidade de negócios, Orientação. 
• ISO 22315, Segurança Social, Evacuação em massa. 
• ISO 22322, Segurança Social, Gestão de emergências – Aviso Público. 
• ISO 22323, Sistemas organizacionais de gerenciamento de resiliência – Requisitos com orientação 
para uso. 
• ISO 22325, Segurança Social, Diretrizes para avaliação de capacidade de emergência para 
organizações. 
• ISO 22351, Segurança Social, Gerenciamento de emergências, Sensibilização comparada à situação. 
• ISO 22397, Seg.Social, parceria Público-Privada – Diretrizes para a criação de acordos de parceria. 
• ISO 22398, Seg.Social, Diretrizes para exercícios e testes. 
• ISO 22324, Seg.Social, Gerenciamento de emergência – Alerta codificado por cores. 
 
ISO 22301: MAPA DOS PROCESSOS PARA IMPLEMENTAÇÃO E CERTIFICAÇÃO. 
 
 
12. Unidade: 03 - Vídeo: 4/4 - Comparação entre ISO 27001 e ISO 22301. 
 
ESCOPO: 
• ISO 27001 não permite exclusões de claúsulas de seções 4 a 10. 
• ISO 22301, que afirma que a extensão da aplicação dos seus requisitos depende do ambiente 
operacional de cada organização e complexidade. 
REFERENÇIAS NORMATIVAS: 
• ISo 27001, refere-se apenas ao seu vocabulário documentado na ISO 27000. 
• ISO 22301, não tem referências normativas. 
TERMOS E DEFINIÇÕES 
• Ambos os padrões listam seus próprios fundamentos e vocabulários. 
CONTEXTOS E NECESSIDADES DA ORGANIZAÇÃO/EMPRESA. 
• ISo 27001, foca na determinação das causas internas e externas da falta de segurança. 
• ISO 22301, inclui além disso, todos os elementos que afetam, ou podem ser afetados por potenciais 
incidentes e interrupções: Atividades, Função, Serviço, Produtos.... 
LIDERANÇA: 
• Ambas as normas exigem envolvimento da alta gestão e gestão de linha, com funções relevantes da 
organização e demonstrar esforço genuíno para engajar pessoas para apoiar o seu sistema de 
gestão respectivos. 
PLANEJAMENTO 
• As cláusulas da ISo 27001 sobre avaliação de riscos de segurança de informações e planejamento 
do tratamento podem ajudar a cobrir a ISO 22301 sobre avaliações de risco de continuidade de 
negócios. 
RECURSOS 
• Ambos os padrões versam que os recursos exigidos para atingir os objetivos declarados e mostrar a 
melhoria contínua devem ser definidos e disponibilizados pela organização. 
Competências – Em ambas as Normas. 
• Competência pode ser demonstrada pela experiência, formação e ou educação em relação as 
tarefas assumidas. 
• Quando a competência não é suficiente, treinamento deve ser identificado e entregue, bem como 
medido para garantir que o nível de competência exigido foi alcançado. 
Operação. 
• São as mesmas em relação a riscos e oportunidades e cumprimento das exigências dos padrões. 
o Processos: ambos internos e terceirizados, devem ser identificados, planejados, 
implementados e controlados. 
o Documentação de informações consideradas necessárias para fornecer a confiança que os 
processos precisam quando estiverem em execução e alcançarem seus resultados, deverão 
ser retidas e atuais. 
o As mudanças deverão ser planejadas e controladas. 
o Devem ser avaliados os impactos de mudanças inesperadas e tomadas as ações adequdas. 
Avaliação de Desempenho – tratadas da mesma maneira. 
• Estabelecimento e avaliação de métricas de desempenho em relação a eficácia e eficiência da 
segurança da informação / processos de continuidade de negócios, procedimentos e funções. 
• Resultados de desempenho devem ser mantidos corretamente como prova de conformidade e 
como uma fonte para facilitar ações corretivas subsequentes. 
• Avaliação de desempenho para ISO 22301, há sempre o teste ou revisão após um evento de 
interrupção, ou sempre que ocorram mudanças no contexto empresarial de planos de continuidade 
de negócios. 
Melhorias em ambos os Casos. 
• Melhoria continua deve ser usada para alcançar e manter a aptidão, adequação e eficácia do 
sistema de gestão em matéria de cumprimento dos objetivos das organizações. 
• Respostas para atenuar uma não-conformidade e /ou ação corretiva devem ser proporcionais ao 
seu impacto e a necessidade de eliminar a causa raiz. 
• A eficácia das ações tomadas deve ser avaliada e documentada.