25
1 Segurança da Informação | FEUP Diana Luísa Rocha Santos Rita Maria Santos Silva Segurança da Informação: a Norma ISO/IEC 27000 e ISO/IEC 27001 Trabalho de Segurança de Informação do MCI 2012/2013 Docente: José Manuel de Magalhães Cruz Faculdade de Engenharia da Universidade do Porto Mestrado em Ciência da Informação Dezembro de 2012

2.8 Noções das normas ISO 27001 e ISO 27002

Embed Size (px)

Citation preview

Page 1: 2.8 Noções das normas ISO 27001 e ISO 27002

1 Segurança da Informação | FEUP

Diana Luísa Rocha Santos

Rita Maria Santos Silva

Segurança da Informação: a Norma ISO/IEC 27000 e ISO/IEC

27001

Trabalho de Segurança de Informação do MCI 2012/2013

Docente: José Manuel de Magalhães Cruz

Faculdade de Engenharia da Universidade do Porto

Mestrado em Ciência da Informação

Dezembro de 2012

Page 2: 2.8 Noções das normas ISO 27001 e ISO 27002

2 Segurança da Informação | FEUP

Resumo

O presente trabalho foi realizado no âmbito da unidade curricular de Segurança da

Informação e apresenta alguns resultados do estudo de duas normas, a ISO/IEC 27000 e a

ISO/IEC 27001.

A norma 27000 apresenta algum vocabulário e definições e a norma 27001 apresenta

alguns requisitos que sugerem alguns procedimentos para uma boa Gestão da Segurança da

Informação.

Dentro da série 27000 ainda podemos referir as normas 27002 (Código de Práticas),

27003 (Guia de Implementação), 27004 (Métricas e Medição), 27005 (Directrizes de Gestão de

Risco) e 27006 (Directrizes de Serviços de Recuperação de Desastres).

Neste trabalho vamos focar a nossa atenção na norma ISO/IEC 27000 e 27001, seguindo

uma estrutura que abordará as suas aplicações e objectivos. Apresentaremos também as

perspectivas de conciliação entre as duas normas, para mostrar a forma como estas se

complementam.

Por último são apresentadas algumas conclusões a alguns casos práticos da aplicação

destas normas.

Page 3: 2.8 Noções das normas ISO 27001 e ISO 27002

3 Segurança da Informação | FEUP

Sumário

1. Introdução ................................................................................................................................ 4

1.1. Apresentação do Tema ........................................................................................................ 4

1.2. Organização e temas Abordados no Presente Relatório ..................................................... 4

2. Segurança da Informação ......................................................................................................... 5

2.1 Em que consiste a Segurança da Informação? ........................................................................... 5

2.2. Contextualização da Segurança da Informação ................................................................... 6

2.3. Mecanismos de controlo às ameaças .................................................................................. 6

2.3.1. Controlo de Acesso........................................................................................................... 6

2.3.2. Detecção de Intrusos ........................................................................................................ 6

2.3.3. Criptografia ....................................................................................................................... 7

2.3.4. Assinatura Digital ............................................................................................................. 7

2.3.5. Protecção de Dados Armazenados .................................................................................. 7

2.3.6. Recuperação de Desastres ............................................................................................... 7

3. Modelos para a Segurança da Informação: a série ISO/IEC 27000 .......................................... 8

3.1. O que é um Sistema de Gestão de Segurança de Informação? ......................................... 10

3.1.1. Visão Geral e Princípios .................................................................................................. 10

3.2. A abordagem de processos ................................................................................................ 11

4. A Norma ISO/IEC 27001 ......................................................................................................... 12

4.1. Apresentação ..................................................................................................................... 12

4.2. Objectivos ........................................................................................................................... 12

4.3. Aplicação ............................................................................................................................ 13

5. Perspectiva de conciliação da Norma ISO/IEC 27000 e 27001 .............................................. 14

6. A família da Norma ISO /IEC 27000 ........................................................................................ 17

7. Alguns casos práticos da Implementação da Norma ISO/IEC 27001 ..................................... 18

8. Entidades Certificadoras em Portugual que utilizam a norma ISO/IEC 27001 ...................... 20

9. Certificação ............................................................................................................................. 22

9.1. O que é a certificação? ....................................................................................................... 22

9.2. Como é acreditada uma entidade certificadora?............................................................... 22

9.3. Quem tem autoridade para certificar as autoridades certificadoras? ............................... 22

9.4. O que é a certificação de um sistema de gestão? .............................................................. 22

10. Conclusões.......................................................................................................................... 24

11. Referências Bibliográficas .................................................................................................. 25

Page 4: 2.8 Noções das normas ISO 27001 e ISO 27002

4 Segurança da Informação | FEUP

1. Introdução O objectivo deste trabalho é perceber mais profundamente o conceito de Segurança de

Informação. Neste contexto pareceu-nos interessante trabalhar com a temática das Normas

ISO/IEC 27000 e ISO/IEC 27001 que consistem em definir um propósito para o desenvolvimento

de um Sistema de Gestão de Segurança da Informação (SGSI) nas Organizações, o que é

importante tendo em conta a quantidade de informação que actualmente é produzida e

armazenada nas organizações. Um SGSI envolve todas as actividades de gestão e as estruturas

de suporte à gestão relevantes para a segurança da informação.

1.1. Apresentação do Tema Actualmente a informação é considerada a chave dos negócios de uma organização,

devido à sua utilidade e importância. A problemática da Segurança da Informação está

associada com a crescente dependência das empresas em Sistemas de Informação e Tecnologias

da Informação. Reconhecendo o valor da informação, as organizações devem certificar-se de

que a gerem de forma eficaz.

O SGSI permite uma gestão dos riscos da segurança da informação para garantir que a

informação não é negada nem se tornará indisponível, não será perdida, destruída ou

danificada, divulgada sem autorização ou até mesmo roubada.

1.2. Organização e temas Abordados no Presente Relatório

Na parte inicial do relatório vamos descrever a nossa temática central – A Segurança da

Informação – definindo o seu contexto e o seu propósito. Vamos abordar a questão da

protecção da informação, definindo os mecanismos utilizados para este fim como o controlo de

acesso, os antivírus, o sistema de detecção de intrusos, o processo de criptografia e assinatura

digital, o procedimento de protecção de dados armazenados e as políticas de recuperação de

desastres.

Seguidamente são apresentadas as normas que estudamos para suportar esta questão

da Segurança da Informação: as normas ISO/IEC 27000 e ISO/IEC 27001, definindo os seus

objectivos e aplicações e apresentando as vantagens da conciliação destas normas que induzem

a medidas a ter em conta para a Gestão da Segurança da Informação, tais como a análise e

avaliação dos riscos e o modelo PDCA (Plan, Do, Check and Act).

Por fim, são descritas algumas conclusões da realização deste trabalho que afirmam a

importância da Segurança da Informação não só para as organizações, mas em todas as áreas

de vida de cada indivíduo.

Page 5: 2.8 Noções das normas ISO 27001 e ISO 27002

5 Segurança da Informação | FEUP

2. Segurança da Informação

2.1 Em que consiste a Segurança da Informação? A informação encontra-se nos activos que envolvem a organização e que têm valor para

o seu negócio, pelo que, a protecção da informação deve ser feita tendo em conta estes activos.

Os activos podem ser físicos (arquivos, bibliotecas, cofres que contém informação relevante),

tecnológicos (recursos informáticos como sistemas de informação, e-mails, intranets) e

humanos (pessoas que fazem parte das actividades das organizações).

A Segurança da Informação consiste em garantir que a informação existente em

qualquer formato está protegida contra o acesso por pessoas não autorizadas

(confidencialidade), está sempre disponível quando necessária (disponibilidade), é confiável

(integridade) e autêntica (autenticidade). Beal (2005, p.71) define a Segurança da Informação

como “o processo de proteger a informação das ameaças para garantir a sua integridade,

disponibilidade e confidencialidade”. Estes conceitos são vistos como suporte para a Segurança

da Informação.

Para garantir a segurança das informações deve ser feita uma Análise de Risco que

identifique todos os riscos que ameacem as informações, apontando soluções que eliminem,

minimizem ou transfiram os riscos. As ameaças são acções de origem humana, que quando são

exploradas podem gerar vulnerabilidade e produzir ataques, que por sua vez, causam incidentes

que comprometem as informações, provocando perda de confidencialidade, disponibilidade e

integridade.

As ameaças são todas as situações que colocam em causa a Segurança da Informação.

Uma ameaça pode ser qualquer acção, acontecimento ou entidade que age sobre um activo ou

pessoa, através de uma vulnerabilidade e consequentemente gera um determinado impacto. As

ameaças actuam sobre os activos e são classificadas com as mesmas categorias: ameaças físicas

(normalmente decorrentes de fenómenos naturais), tecnológicas (normalmente são ataques

propositados causados por agentes humanos como hackers, invasores, criadores e

disseminadores de vírus, mas também por defeitos técnicos, falhas de hardware e software) e

humanas (são consideradas as mais perigosas, podendo ser casos de roubos e fraudes causados

por ladrões e espiões).

Page 6: 2.8 Noções das normas ISO 27001 e ISO 27002

6 Segurança da Informação | FEUP

2.2. Contextualização da Segurança da Informação

Com a crescente evolução da Web, a Internet promoveu o acesso a inúmeros serviços e

informações. Este avanço estimulou a proliferação da informação que é vista segundo Cosmo

(2006, 9.6) como “um bem vital responsável pela formação e desenvolvimento tanto da

sociedade erudita como da sociedade contemporânea”.

A informação vem assumindo, cada vez mais, uma posição estratégica para as

organizações, sendo o seu principal património. Neste sentido, o controlo de acesso às

informações é um requisito fundamental nos sistemas das organizações, visto que actualmente

a grande maioria da informação de uma organização está armazenada e é trocada entre os seus

mais variados sistemas.

A importância da informação disponibilizada na Internet fez com que houvesse a

necessidade de assegurar a sua preservação e integridade, pelo que surge o conceito de

Segurança da Informação. É muito importante que mecanismos de informação sejam

projectados para prevenir acessos não autorizados.

Segundo Araújo (2005, p.5) “o factor humano é o principal desafio para se ter uma boa e

segura conduta de Segurança da Informação”. Com o aumento das tecnologias e da flexibilidade

de acesso a qualquer tipo de informação, cabe aos indivíduos demonstrar alguma preocupação

quanto à segurança e às ameaças de que passam a ser alvo por parte de alguns indivíduos mal

intencionados.

2.3. Mecanismos de controlo às ameaças Na Segurança da Informação existem alguns mecanismos para preservar a informação,

de forma a garantir a sua disponibilidade, confidencialidade, integridade e autenticidade, estes

mecanismos são designados por mecanismos de controlo às ameaças.

2.3.1. Controlo de Acesso Este mecanismo permite controlar quais as pessoas autorizadas a entrar em

determinado local e regista o dia e hora de acesso, controlando e decidindo as permissões que

cada utilizador tem. Um sistema de controlo de acesso é constituído por diferentes

equipamentos periféricos de controlo e comando, interligados a uma única unidade de controlo

que permite, em diferentes pontos, vários acessos.

2.3.2. Detecção de Intrusos Os sistemas de detecção de intrusos alertam os administradores para a entrada de

possíveis intrusos nos sistemas. Estes sistemas tentam reconhecer um comportamento/acção

intrusiva, através da análise das informações disponíveis num sistema de computação ou rede.

Page 7: 2.8 Noções das normas ISO 27001 e ISO 27002

7 Segurança da Informação | FEUP

2.3.3. Criptografia A criptografia é a arte de codificação que permite a transformação reversível da

informação de forma a torná-la inteligível a terceiros. Esta utiliza determinados algoritmos numa

chave secreta para, a partir de um conjunto de dados não criptografados, produzir uma

sequência de dados criptografados.

2.3.4. Assinatura Digital Este mecanismo é um conjunto de dados criptografados, associados a um documento

que garantem a sua integridade e autenticidade. A utilização da assinatura digital prova que

uma mensagem vem de um determinado emissor, porque é um processo que apenas o

signatário pode realizar. No entanto, o receptor deve poder confirmar a assinatura feita pelo

emissor e a mensagem não pode ser alterada, senão a assinatura não corresponderá mais ao

documento. A validade de uma assinatura digital verifica-se se esta se basear em certificados

emitidos por entidades certificadas credenciadas.

2.3.5. Protecção de Dados Armazenados Neste mecanismo são utilizados os antivírus que são softwares capazes de detectar e

remover arquivos ou programas nocivos. A preocupação com a protecção de dados

armazenados faz com que se desenvolvam alguns métodos para controlar o acesso por pessoas

externas, como a criptografia ou a assinatura digital.

2.3.6. Recuperação de Desastres As catástrofes naturais (incêndios, inundações, terramotos, entre outros) designam-se

de desastres e são acontecimentos que podem causar grandes prejuízos, porém, com baixa

probabilidade de ocorrência. No entanto levam-nos à necessidade de implementar planos de

emergência, para garantir a preservação dos documentos e a própria integridade física dos

colaboradores de uma organização.

Page 8: 2.8 Noções das normas ISO 27001 e ISO 27002

8 Segurança da Informação | FEUP

3. Modelos para a Segurança da Informação: a série ISO/IEC 27000

O objectivo da Gestão de Segurança de Informação é manter a qualidade das

informações. E a qualidade dessas informações depende da confidencialidade, integridade e

disponibilidade das mesmas. Esse princípio foi desenvolvido de modo a se tornar o padrão

global de SI: o conjunto de ISO/IEC 27000.

A série ISO 27000 constitui um padrão de certificação de sistemas de gestão promovido

pelo International Organization for Standardization (ISO), neste caso aplica-se à implementação

de Sistemas de Gestão de Segurança da Informação (SGSI), através do estabelecimento de uma

política de segurança, de controlos adequados e da gestão de riscos.

Esta norma serve de apoio às organizações de qualquer sector, público ou privado, para

entender os fundamentos, princípios e conceitos que permitem uma melhor gestão dos seus

activos de informação.

A família de normas da ISO/IEC 27000 inclui padrões que definem os requisitos para um

SGSI e para a certificação desses sistemas e prestam apoio directo e orientação detalhada para

os processos e requisitos do ciclo PDCA.

A ISO 27000 contém termos e definições utilizados ao longo da série 27000. A aplicação

de qualquer padrão necessita de um vocabulário claramente definido, para evitar diferentes

interpretações de conceitos técnicos e de gestão.

Seguidamente serão apresentados alguns dos termos que são definidos na norma:

Controlo de acesso – meios para assegurar que o acesso a activos está autorizado e restringido

com base no trabalho e em requisitos de segurança;

Responsabilidade – responsabilidade de uma entidade pelas suas acções e decisões;

Activos – qualquer coisa que tenha valor para a organização (informação, software, o próprio

computador, serviços, as pessoas, entre outros);

Atacar – tentar destruir, alterar, expor, inutilizar, roubar ou obter acesso não autorizado ou

fazer uso não autorizado de um activo;

Autenticação – prestação de garantia de que uma característica reclamada por uma entidade é

correcta;

Autenticidade – propriedade que nos diz que uma entidade é aquilo que realmente afirma ser;

Disponibilidade – propriedade de ser acessível e utilizável por uma entidade autorizada;

Confidencialidade – propriedade que garante que a informação não está disponível ou revelada

a indivíduos não autorizados, entidades ou processos;

Page 9: 2.8 Noções das normas ISO 27001 e ISO 27002

9 Segurança da Informação | FEUP

Controlar – meio de gestão de risco, incluindo as políticas de procedimentos, directrizes,

práticas ou estruturas organizacionais, que podem ser de natureza administrativa, técnica, de

gestão ou de natureza legal;

Acção correctiva – acção para eliminar a causa de uma não conformidade detectada ou outra

situação indesejável;

Directriz – recomendação do que é esperado que seja feito a fim de alcançar um objectivo;

Segurança da Informação – preservação da confidencialidade, integridade e disponibilidade das

informações

Sistema de Gestão de Segurança de Informação – parte do sistema de gestão global, com base

numa abordagem de risco de negócio, para estabelecer, implementar, operar, monitorizar,

rever, manter e melhorar a segurança da informação.

Risco de Segurança da Informação – potencial que uma ameaça explore uma vulnerabilidade de

um activo ou grupo de activos e, assim, causar danos à organização;

Integridade – propriedade de proteger a exactidão de activos;

Sistema de Gestão – âmbito das políticas, procedimentos, directrizes e recursos associados para

alcançar os objectivos de uma organização;

Política – intenção e direcção geral como formalmente expressas pela gestão;

Processo – conjunto de actividades inter-relacionadas ou interactivas que transformam insumos

em produtos;

Risco- combinação da probabilidade de um evento e das suas consequências;

Evento – ocorrência de um determinado conjunto de circunstâncias;

Análise de risco – uso sistemático de informações para identificar fontes e estimar a ocorrência

de um risco;

Gestão de risco – actividades coordenadas para dirigir e controlar uma organização em relação a

um determinado risco;

Ameaça – causa potencial de um incidente indesejado, o que pode resultar em danos para um

sistema ou entidade;

Vulnerabilidade – fraqueza de um activo ou controlo, que pode ser explorado por ameaça.

Page 10: 2.8 Noções das normas ISO 27001 e ISO 27002

10 Segurança da Informação | FEUP

A norma ISO/IEC 27000 tem como principais benefícios:

Estabelecimento de uma metodologia clara de Gestão da Segurança;

Reduzir o risco de perda, roubo ou alteração da informação;

O acesso à informação é feito através de medidas de segurança;

Confiança e regras claras para todos os envolvidos de uma organização;

Aumento de segurança relativamente à gestão de processos;

Conformidade com a legislação vigente sobre informação pessoal, propriedade

intelectual e outras;

Os riscos e os seus controlos são continuamente verificados;

Garantia de qualidade e confidencialidade comercial.

3.1. O que é um Sistema de Gestão de Segurança de Informação?

3.1.1. Visão Geral e Princípios

Um Sistema de Gestão de Segurança da Informação (SGSI) fornece um modelo para o

estabelecimento, implementação, operacionalização, monitorização, revisão, manutenção e

melhoria da protecção dos activos de informação com vista a alcançar os objectivos propostos

por uma organização com base numa correcta avaliação e gestão dos riscos inerentes a uma

organização.

A implementação bem sucedida de um SGSI depende da análise dos requisitos para a

protecção dos activos da informação, assim como dos controlos adequados para garantir essa

protecção.

Existem alguns princípios fundamentais para uma boa implementação de um SGSI:

A consciência da necessidade de segurança da informação;

A atribuição de responsabilidades pela segurança da informação;

Incorporar o compromisso da gestão e os interesses de todas as partes interessadas;

Reforçar os valores da sociedade;

Avaliar os riscos que determinam os controlos adequados para atingir níveis aceitáveis

de risco;

Prevenção activa e detecção de incidentes de segurança da informação;

Reavaliação contínua da segurança da informação.

Em termos de segurança da informação, um sistema de gestão permite que a

organização:

Satisfaça os requisitos de segurança de clientes e outros interessados;

Melhore os seus planos a actividades;

Cumpra os seus objectivos de segurança da informação;

Faça uma gestão dos seus activos de informação de uma forma organizada, o que

facilita a melhoria contínua.

Page 11: 2.8 Noções das normas ISO 27001 e ISO 27002

11 Segurança da Informação | FEUP

3.2. A abordagem de processos

Um processo é a transformação de entradas em saídas que utilizam um conjunto de

actividades interrelacionadas ou em interacção. A saída de um processo pode automaticamente

dar início a um novo processo, isto é feito normalmente de forma planeada e em condições

controladas.

Na família de normas de SGSI, a abordagem do processo para o SGSI baseia-se na

exploração do princípio adoptado nas normas ISO de gestão do sistema, conhecido como

processo PDCA: Plan – Do – Check – Act.

PLAN - Planear significa estabelecer os objectivos e fazer planos (analisando a situação da

organização, estabelecendo os objectivos e desenvolvendo planos para os alcançar).

DO - Os planos são postos em prática e implementados (fazer o que foi planeado para fazer).

CHECK - Verificação dos resultados (monitorização da realização dos objectivos planeados).

ACT - As actividades são corrigidas e melhoradas (aprender com os erros).

A implementação de um SGSI tem como principal resultado a redução dos riscos de

segurança da informação, ou seja, reduzir a probabilidade de ocorrerem incidentes a nível de

segurança da informação e consequentemente reduzir os seus impactos.

Um SGSI para ser passível de ser certificado tem de obedecer a um conjunto de

requisitos definidos pela norma ISO/IEC 27001, estes requisitos podem ser classificados como

obrigatórios ou selectivos.

Page 12: 2.8 Noções das normas ISO 27001 e ISO 27002

12 Segurança da Informação | FEUP

4. A Norma ISO/IEC 27001

4.1. Apresentação

Esta norma foi publicada pelo ISO e pelo IEC em Outubro de 2005. Foi elaborada para

especificar os requisitos para o estabelecimento, implementação, operacionalização,

monitorização, revisão, manutenção e melhoria de um SGSI, dentro do contexto dos riscos de

negócio de uma organização.

A certificação não é um requisito obrigatório da norma ISO/IEC 27001, é uma decisão da

organização. No entanto, dezoito meses após a sua publicação mais de 2000 organizações de

mais de 50 países foram certificadas e o crescimento nesta área tem vindo a aumentar.

Antes da implementação desta norma num sistema convém pensar em algumas questões:

Quanto custará uma falha que implique uma perda efectiva de informação?

Quais as consequências da utilização da informação por pessoas que dela possam fazer

uso indevido e não autorizado?

Qual o custo da diminuição da produtividade por erros, falhas de sistema ou utilização

de informação errada?

Qual o peso da ocorrência de incidentes sobre as informações de uma organização?

Em que se deve fundamentar uma organização para fazer uma avaliação dos riscos?

Quais as principais áreas que uma organização tem de considerar a fim de alcançar uma

implementação de SGSI de sucesso?

4.2. Objectivos

Esta norma foi estabelecida com o âmbito de ser utilizada em conjunto com a ISO/IEC

17799 e pretende assegurar a selecção de controlo de segurança adequado e proporcional.

As organizações que optam pela certificação sentem a necessidade de melhorar a

segurança das suas informações devido a uma utilização cada vez maior de TI e à percepção do

aumento do risco.

A implementação da norma 27001 faz com que as organizações devam manter o seu

foco nas necessidades do negócio e considerar a segurança da informação como parte

integrante dos objectivos de negócio para realizar a gestão dos riscos.

A norma ISO/IEC 27001 é universal para todos os tipos de organizações (comerciais,

governamentais, com ou sem fins lucrativos, entre outras) e especifica os requisitos para a

implementação de controlos de segurança personalizados consoante as necessidades de uma

organização.

Page 13: 2.8 Noções das normas ISO 27001 e ISO 27002

13 Segurança da Informação | FEUP

4.3. Aplicação A certificação em conformidade com a norma ISO/IEC 27001 normalmente envolve um

processo de auditoria em duas fases:

1ª Fase – Revisão linear da documentação chave bem como da política de segurança da

organização, declaração de aplicabilidade (SOA) e plano de tratamento de risco (PTR).

2ª Fase – Realização de uma auditoria em profundidade envolvendo o controlo do SGSI

declarado no SOA e PTR, bem como a documentação de suporte.

A renovação do certificado envolve algumas revisões periódicas confirmando que o SGSI continua a trabalhar como era desejado.

A norma ISO/IEC 27001 envolve alguns componentes:

1. O Sistema de Gestão de Segurança da Informação: - Estabelecer o SGSI - Implementar e Operar o SGSI - Monitorizar e analisar criticamente o SGSI - Manter e melhorar o SGSI - Requisitos de documentação - Controlo de documentos - Controlo de registos

2. Responsabilidades da direcção: - Comprometimento da direcção - Gestão de recursos - Provisão de recursos - Treino, consciencialização e competência

3. Auditorias internas que determinam se um SGSI: - Atende aos requisitos da norma - Atende aos requisitos de segurança identificados - É executado conforme esperado Todo o procedimento de uma auditoria é documentado e os auditores não podem auditar o seu próprio trabalho, conferindo objectividade e imparcialidade.

4. Análise crítica do SGSI pela direcção: - Entrada: resultado das auditorias e análises críticas, situação das acções preventivas e correctivas, vulnerabilidades não contempladas adequadamente nas análises anteriores, resultados, recomendações e mudanças. - Saída: oportunidade de incluir melhorias e mudanças, modificação do SGSI e das necessidades de recursos.

5. Melhoria do SGSI: - Melhoria contínua através do uso da política estabelecida, resultados das auditorias, análise dos eventos monitorizados, acções correctivas (etapas anteriores); - Eliminação das não conformidades através de acções correctivas e preventivas.

Page 14: 2.8 Noções das normas ISO 27001 e ISO 27002

14 Segurança da Informação | FEUP

5. Perspectiva de conciliação da Norma ISO/IEC 27000 e 27001

Primeiramente é necessário ter-se noção de que não existe segurança absoluta, não é

possível eliminar 100% dos riscos e das ameaças. No entanto, um plano de controlo

previamente definido pode facilitar estas questões.

A norma 27000 surge como uma forma de definir alguns termos e definições para uma

futura implementação de um Sistema de Gestão de Segurança da Informação, enquanto a

norma 27001 apresenta alguns requisitos que sugerem alguns procedimentos para uma boa

Gestão de Segurança da Informação.

A Gestão da Segurança da Informação deve ser realizada tendo em conta algumas

medidas de controlo sugeridas por ambas as normas – o modelo de processo PDCA e o processo

de análise/avaliação e tratamento de riscos.

Modelo PDCA (Plan – Do – Check – Act) Este modelo baseia-se no controlo dos processos e na verificação dos Sistemas de

Segurança da Informação.

1 - O Modelo PDCA

PLAN - Estabelecer

o SGSI

Do - Implementar

e Operar o SGSI

Check - Monitorizar

e Rever o SGSI

Act - Manter e Optimizar

o SGSI

Requisitos e expectativas

da Segurança da

Informação

Sistema de Gestão da

Segurança da Informação

gerido

Page 15: 2.8 Noções das normas ISO 27001 e ISO 27002

15 Segurança da Informação | FEUP

PLAN (PLANEAR) – Estabelecimento de políticas, objectivos, processos e procedimentos

relevantes para a administração do risco e para a melhoria da Segurança da Informação.

Planeia os resultados de acordo com a estratégia da organização.

DO (FAZER/IMPLEMENTAR/OPERAR) – Implementação e operacionalização das políticas de

controlo, processos e procedimentos do Sistema.

CHECK (VERIFICAR/MONITORIZAR/REVER) – Inspecção da performance dos processos em

comparação com as políticas e objectivos de um SGSI. Estes resultados devem ser reportados à

gestão para análise.

ACT (AGIR/MANTER/OPTIMIZAR) – Tomada de acções correctivas e preventivas, baseadas nos

resultados das auditorias internas do SGSI e demais informações provenientes da gestão ou

demais fontes relevantes.

O resultado do processo PDCA é a correcta gestão dos Sistemas de Segurança da Informação,

tendo como base as expectativas e necessidades de uma organização.

Análise e avaliação de riscos

A Gestão dos riscos é um dos aspectos chave da norma ISO/IEC 27001, uma avaliação

dos riscos é uma das exigências desta norma. Como resultado da avaliação de riscos, deve ser

feita uma lista dos riscos identificados, classificados em ordem de gravidade para

posteriormente serem tomadas medidas.

O processo de gestão dos riscos existe devido ao constante surgimento de novas

ameaças aptas a explorar as vulnerabilidades dos activos da informação, o que exige que se

tomem algumas medidas de prevenção.

Os resultados da análise dos riscos deverão ajudar a direccionar e determinar quais as

acções de controlo mais apropriadas para a gestão desses riscos.

A avaliação dos riscos deve ser feita tendo em conta uma análise de custo-benefício, para

revelar se compensa um risco ser minimizado ou transferido. Em suma, se um risco tem baixa

probabilidade de ocorrer e o seu custo de tratamento é elevado, não compensa essa tomada de

decisão.

Page 16: 2.8 Noções das normas ISO 27001 e ISO 27002

16 Segurança da Informação | FEUP

Após o processo de análise e avaliação dos riscos, existem várias opções para o seu

tratamento:

Aplicar medidas de segurança: escolher as medidas mais apropriadas para reduzir o

custo;

Aceitar o risco: conhecer e conscientemente aceitar o risco, sabendo que este atenta à

política de segurança da organização;

Evitar o risco: não permitir acções que possam sequer causar a ocorrência de riscos;

Transferir o risco: transferir os riscos associados para outras partes, por exemplo,

seguradoras ou fornecedores.

Estas medidas são definidas pela norma ISO/IEC 27002, que dá suporte ao desenvolvimento de

planos de segurança e orienta de melhor forma a Gestão da Segurança da Informação.

Page 17: 2.8 Noções das normas ISO 27001 e ISO 27002

17 Segurança da Informação | FEUP

6. A família da Norma ISO /IEC 27000

Dentro da série 27000 ainda podemos referir as normas 27002 (Código de Práticas),

27003 (Guia de Implementação), 27004 (Métricas e Medição), 27005 (Directrizes de Gestão

de Risco) e 27006 (Directrizes de Serviços de Recuperação de Desastres).

A norma ISO 27002 a partir de Julho de 2007 é o novo nome da norma ISO 17799. Esta

norma é um guia de boas práticas que descreve os objectivos de controlo e os controlos

recomendados para a Segurança da Informação. A norma ISO 27001 contém alguns anexos

que resumem alguns destes controlos.

A norma ISO 27003 aborda algumas directrizes para a implementação de Sistemas de

Gestão de Segurança da Informação e contem informações sobre como usar o modelo PDCA

e os requisitos das suas diferentes fases, ou seja, irá fornecer uma abordagem de processos

orientada para o sucesso da implementação de um SGSI de acordo com a norma ISO/IEC

27001.

A norma ISO 27004 especifica métricas e técnicas de medição aplicáveis para determinar a

eficácia do SGSI, os objectivos de controlo e os controlos usados para implementar e gerir a

Segurança da Informação. Estas métricas são usadas principalmente para medir os

componentes da fase “CHECK” do ciclo PDCA.

A norma ISO 27005 estabelece directrizes para a gestão de risco em Segurança da

Informação, fornecendo indicações para implementação, monitorização e melhoria contínua

do sistema de controlos. Para compreendermos melhor esta norma é importante perceber

os conceitos, modelos e processos descritos nas normas ISO 27001 e ISO 27002. A norma

27005 é aplicada a todos os tipos de organizações que se destinam a gerir os riscos que

possam comprometer a segurança das suas informações.

A norma ISO 27006 especifica requisitos e fornece orientações para os organismos que

prestem serviços de auditoria e certificação de um SGSI.

Page 18: 2.8 Noções das normas ISO 27001 e ISO 27002

18 Segurança da Informação | FEUP

7. Alguns casos práticos da Implementação da Norma ISO/IEC 27001

A norma ISO 27001 já tem um elevado número de certificações distribuídas por vários países1:

Japão 4152 Holanda 24 Bélgica 3

Reino Unido 573 Arábia Saudita 24 Gibraltar 3

Índia 546 Emirados Árabes Unidos 19 Lituânia 3

Taiwan 461 Bulgária 18 Macau 3

China 393 Irão 18 Albânia 3

Alemanha 228 Portugal 18 Bósnia Herzegovina 2

República Checa 112 Argentina 17 Chipre 2

Coreia 107 Filipinas 16 Equador 2

Estados Unidos da América 105 Indonésia 15 Nova Jérsia 2

Itália 82 Paquistão 15 Cazaquistão 2

Espanha 72 Colômbia 14 Luxemburgo 2

Hungria 71 Federação Russa 14 Macedónia 2

Malásia 66 Vietname 14 Malta 2

Polónia 61 Islândia 13 Mauritânia 2

Tailândia 59 Kuwait 11 Ucrânia 2

Grécia 50 Canadá 10 Arménia 1

Irlanda 48 Noruega 10 Bangladesh 1

Áustria 42 Suécia 10 Bielorrússia 1

Turquia 35 Suíça 9 Bolívia 1

França 34 Bahrain 8 Dinamarca 1

Hong Kong 32 Peru 7 Estónia 1

Austrália 30 Chile 5 Quirguistão 1

Singapura 29 Egipto 5 Líbano 1

Croácia 27 Omã 5 Moldávia 1

Eslovénia 26 Qatar 5 Nova Zelândia 1

México 25 Sri Lanka 5 Sudão 1

Eslováquia 25 África do Sul 5 Uruguai 1

Brasil 24 República dominicana 4 Iémen 1

Marrocos 4 Total 7940

1 Retirado do site: http://www.iso27001certificates.com

Page 19: 2.8 Noções das normas ISO 27001 e ISO 27002

19 Segurança da Informação | FEUP

Processo de Certificação de um Sistema de Gestão de Segurança da Informação

A primeira fase do processo envolve as organizações, o facto de estarem preparadas

para a certificação do seu SGSI: desenvolvimento e implementação do seu SGSI, utilização e

integração do seu SGSI no seu dia-a-dia e nos seus processos de negócio, formação da sua

equipa e estabelecimento de um programa contínuo de manutenção do SGSI.

A segunda fase envolve uma auditoria do SGSI da organização, envolvendo os

organismos de certificação acreditados. O certificado concedido tem a duração de três anos,

pelo que a terceira fase do processo passa pelo acompanhamento por parte das entidades

certificadoras.

Organismos de Certificação

Page 20: 2.8 Noções das normas ISO 27001 e ISO 27002

20 Segurança da Informação | FEUP

8. Entidades Certificadoras em Portugual que utilizam a norma

ISO/IEC 27001

APCER (Associação Portuguesa de Certificação)

Organismo português privado que se dedica à certificação de Sistemas de Gestão, Serviços,

Produtos e Pessoas, de forma a garantir a qualidade e promovendo vantagens competitivas às

entidades, públicas ou privadas, tanto nacionais como internacionais.

A APCER certifica organizações a partir da norma ISO 27001 – Tecnologias da Informação, para

que estas organizações tenham um sistema de gestão que protege a sua informação com

mecanismos de controlo adequados às suas necessidades e realidade, verificados por uma

entidade externa. Através da avaliação e gestão do risco este sistema procura garantir a

continuidade de negócio e diminuir o impacto de eventuais incidentes de segurança.

A APCER também se encontra acreditada para a Certificação de Auditores, este processo é

suportado pela ISO 19011 e é constituído por fases de avaliação distintas:

Avaliação de qualificações e experiência;

Avaliação Escrita e Oral (esta última aplicável apenas aos graus Auditor Coordenador e

Auditor).

SGS ICS

Entidade Certificadora que pretende formar Auditores experientes e qualificados para cada

sector de atividade, o reconhecimento em Portugal e no mundo, uma equipa orientada para

acompanhar as organizações nos seus processos de Certificação, satisfação do cliente e melhoria

contínua.

A SGS ajuda as organizações a desenvolver políticas de segurança das informações e a fazer a

gestão de riscos por meio de sistemas e normas como a ISO 27001.

DNV - Det Norske Veritas

É uma fundação independente que tem como principal competência identificar, avaliar e

aconselhar as organizações para a gestão de risco, sendo o seu foco a segurança e a

responsabilidade de melhorar o desempenho das organizações.

Esta entidade utiliza a norma ISO 27001 que é o padrão de segurança internacional formal

contra a qual as organizações podem procurar a certificação independente do seu SGSI. Ele

especifica os requisitos para estabelecer, implementar, operar, monitorizar, rever, manter e

melhorar um SGSI, utilizando uma abordagem de melhoria contínua.

Page 21: 2.8 Noções das normas ISO 27001 e ISO 27002

21 Segurança da Informação | FEUP

BVC - Bureau Veritas Certification

O Bureau Veritas Certification é líder mundial em serviços de certificação com mais de 80

000 empresas certificadas em 140 países e é reconhecido por mais de 40 Organismos de

Acreditação nacionais e internacionais para a certificação segundo o referencial ISO 9001.

Esta entidade certifica também de acordo com a norma 27001.

Organizações com Certificados de SGSI em Portugal2

Nome da Organização Número da

Certificação

Entidade Certificadora Norma de

Certificação

ARENA MEDIA 83889CC2-2010-AIS-

IBE-UKAS

DNV ISO/IEC 27001:2005

Caixa Económica de Cabo Verde Bureau Veritas Certiifcation ISO/IEC 27001:2005

Departamento de Jogos da Santa Casa

da Misericórdia de Lisboa (DJSCML)

IS 524281 ISO/IEC 27001:2005

ENAME S.A. GB11/82769 SGS United Kingdom Ltd ISO/IEC 27001:2005

HAVAS SPORT & ENTERTAINMENT 83889CC6-2010-AIS-

IBE-UKAS

DNV ISO/IEC 27001:2005

INSTITUTO DE INFORMÁTICA, I.P. 3896769 Bureau Veritas Certiifcation ISO/IEC 27001:2005

INTEGRITY S.A. GB12/85456 SGS United Kingdom Ltd ISO/IEC 27001:2005

LATTITUDE 83889CC3-2010-AIS-

IBE-UKAS

DNV ISO/IEC 27001:2005

Maksen Consulting, S.A. PT001307 Bureau Veritas Certiifcation ISO/IEC 27001:2005

MEDIA CONTACTS 83889CC9-2010-AIS-

IBE-UKAS

DNV ISO/IEC 27001:2005

MOBEXT 83889CC10-2010-AIS-

IBE-UKAS

DNV ISO/IEC 27001:2005

MPG 83889CC13-2010-AIS-

IBE-UKAS

DNV ISO/IEC 27001:2005

ONE TO ONE 83889CC8-2010-AIS-

IBE-UKAS

DNV ISO/IEC 27001:2005

Ponto.C – Desenvolvimento de Sistemas

de Informação, Lda.

GB11/83230 SGS United Kingdom Ltd ISO/IEC 27001:2005

Portugalmail SA 12/86073 SGS United Kingdom Ltd ISO/IEC 27001:2005

TV Cabo Portugal 202194 Bureau Veritas Certiifcation ISO/IEC 27001:2005

VORTAL – COMÉRCIO ELECTRÓNICO

CONSULTADORIA E MULTIMEDIA SA

IS 515264 ISO/IEC 27001:2005

ZON TV CABO PORTUGAL, SA 202194 Bureau Veritas Certiifcation ISO/IEC 27001:2005

2 Retirado do site: http://www.iso27001certificates.com

Page 22: 2.8 Noções das normas ISO 27001 e ISO 27002

22 Segurança da Informação | FEUP

9. Certificação

9.1. O que é a certificação?

A certificação é uma declaração formal que exprime a veracidade de terminado

contexto. É emitida por uma organização certificadora, organização essa que tem credibilidade e

autoridade moral e legal. Uma das suas exigências é que esta seja formal, isto é, “deve ser feita

seguindo um ritual e ser corporificada num documento”3.

A certificação segue a avaliação de um determinado processo, sistema ou produto

segundo normas e critérios que visa verificar o cumprimento dos requisitos, conferindo um

certificado com o direito de uso de uma marca de conformidade associada ao produto ou

imagem institucional se os requisitos estiverem plenamente atendidos.

Segundo a BSI Brasil, “Certificação é o processo no qual uma terceira parte acreditada

visita uma organização, audita o seu sistema de gestão e emite um certificado para demonstrar

que esta obedece aos princípios definidos na norma e que segue a melhor prática da indústria.

O certificado é o documento que corporifica a certificação.”

9.2. Como é acreditada uma entidade certificadora?

Todos já sabemos que as organizações para serem acreditadas em certo serviço

precisam de ser certificadas por uma entidade superior que as certifique. Esta acreditação de

uma entidade certificadora é conferida por organismos independentes, que têm como objetivo

reconhecer as competências dessas entidades, num determinado setor ou âmbito, ou até um

determinado produto de acordo com referências internacionais já estabelecidas.

9.3. Quem tem autoridade para certificar as autoridades certificadoras?

Em Portugal, a principal entidade acreditadora, desde 2004 é o Instituo Português de

Acreditação (IPAC). A APCER, também é uma empresa certificadora em Portugal de elevada

relevância (já mencionada acima).

9.4. O que é a certificação de um sistema de gestão?

É um processo a partir do qual se verifica e avalia a conformidade do (s) sistema (s)

implementados, relativamente à norma em referência, neste caso a ISO 27001 e às organizações

que pretendem obter a certificação. O processo envolve algumas fases onde se pode destacar a

Auditoria de Certificação. As empresas com sistemas certificados asseguram uma melhor

prestação de serviços, porque os seus sistemas estão implementados e a funcionar de acordo

com os requisitos da (s) norma (s) de certificação.

3 Segundo a definição de Creditação em Wikipédia. Disponível em:

http://pt.wikipedia.org/wiki/Certifica%C3%A7%C3%A3o

Page 23: 2.8 Noções das normas ISO 27001 e ISO 27002

23 Segurança da Informação | FEUP

A certificação é uma decisão da organização, é principalmente uma opção estratégica no

sentido de evoluir, melhorar e ganhar mercados e exige o envolvimento de diversas partes da

organização. As empresas certificadas têm diversas vantagens: melhoria do prestígio e da

imagem; aumento da competitividade e entrada em novos mercados; aumento da confiança dos

trabalhadores, clientes e administração; cultura da melhoria contínua; redução de custos;

prevenção e minimização de aspetos, perigos e de acidentes.

A certificação começa a tornar-se uma imposição do mercado nacional e internacional,

que muitas vezes impõem a condição de determinados produtos estarem certificados para

serem colocados no mercado, o que tem crescido bastante com a globalização.

A certificação de uma organização é temporária, todas as normas são reavaliadas

periodicamente por decisão do organismo internacional de normalização e responsável pela

publicação da maior parte dos referenciais normativos reconhecidos internacionalmente (ISO).

Os certificados emitidos têm um prazo ao fim do qual todo o processo de certificação é

reiniciado. Durante cada ciclo de certificação a entidade certificadora faz visitas regulares à

empresa, no sentido de confirmar que os requisitos continuam a ser cumpridos. A entidade é

sujeita a avaliações periódicas durante o período de validade dos certificados e o grau de

gravidade ou a importância das não conformidades detetadas no decorrer destas, podem levar à

suspensão da certificação ou mesmo à perda do certificado.

Page 24: 2.8 Noções das normas ISO 27001 e ISO 27002

24 Segurança da Informação | FEUP

10. Conclusões

Com a realização deste trabalho percebemos quais os mecanismos de controlo às

ameaças, incidindo sobre o controlo de acesso, a detecção de intrusos, a criptografia, a

assinatura digital, a protecção de dados armazenados e a recuperação contra desastres.

O estudo das normas ISO 27000 e 27001 consiste em perceber os pressupostos

relacionados com a Segurança da Informação. Esta temática actualmente tem bastante

importância, uma vez que se fala muito em ataques de hackers e crackers contra plataformas

digitais, tentando aceder a informações confidenciais.

A informação é um bem com bastante valor para as organizações e necessita de ser

convenientemente protegida, no sentido de manter a sua confidencialidade, disponibilidade,

integridade e autenticidade.

Na nossa pesquisa conseguimos analisar as normas com bastante clareza e identificar o

que caracteriza cada uma, sendo que a norma ISO 27000 nos dá alguns termos e definições e a

norma ISO 27001 adopta uma abordagem de processos para o estabelecimento,

implementação, operacionalização, monitorização, revisão, manutenção e melhoria de um

Sistema de Gestão de Segurança da Informação.

Page 25: 2.8 Noções das normas ISO 27001 e ISO 27002

25 Segurança da Informação | FEUP

11. Referências Bibliográficas

XISEC PUBLICATIONS. Disponível em: http://www.xisec.com/ISMS_Publications.html

COMUINIDADE PORTUGUESA DE SEGURANÇA DA INFORMAÇÃO. Disponível em:

http://ismspt.blogspot.pt/2005/11/organizaes-certificadas-quase-atingir.html

CERTIFICATION EUROPE. Disponível em: http://certificationeurope.com/iso-27001-

information-security/

INTERNATIONAL REGISTER OF ISMS CERTIFICATES. Disponível em:

http://www.iso27001certificates.com/

BERALDO, João Bosco; CAMARGO, João F. F. de; Segurança da Informação. Disponível

em: http://www.bcinfo.com.br/docs/doc4.pdf

International Standard ISO/IEC 27001: Information technology -Security techniques -

Information security management systems – Requirements. Disponível

em:http://www.vazzi.com.br/moodle/pluginfile.php/135/mod_resource/content/1/ISO-

IEC-27001.pdf

International Standard ISO/IEC 27000: Information technology -Security techniques -

Information security management systems – Overview and vocabulary. Disponível em:

http://www.dcag.com/images/ISO_IEC_27000.pdf

LAUREANO, Marcos; Gestão de Segurança da Informação, 2005. Disponível em:

http://www.mlaureano.org/aulas_material/gst/apostila_versao_20.pdf

MOREIRA, Ademilson; A importância da segurança da informação, 2008. Disponível em:

http://www.oficinadanet.com.br/artigo/1124/a_importancia_da_seguranca_da_inform

acao

SÊMOLA, Marcos; A importância da Gestão da Segurança da Informação. Disponível em:

http://www.lyfreitas.com/artigos_mba/GestaoSegurancaInformacao.pdf

SILVA FILHO, António Mendes da; Segurança da Informação: Sobre a Necessidade de

Proteção de Sistemas de Informações in Revista Espaço Académico, nº42, 2004.

Disponível em: http://www.espacoacademico.com.br/042/42amsf.htm

BSI. Disponível em:http://www.bsibrasil.com.br/sobre/