Upload
alessiomorello
View
7
Download
0
Embed Size (px)
DESCRIPTION
Certificação de Sistemas de Gestão da Segurança de Informação
Citation preview
Seminário Anual 2013
A NP ISO/IEC 27001:2013 e a certificação de
Sistemas de Gestão da Segurança de Informação
Sub-título da Apresentação
Data
Nova abordagem à
gestão do risco na ISO
27001:2013
Daniel Caçador
4 de dezembro de 2013
Vogal CT163
Seminário Anual 2013
A NP ISO/IEC 27001:2013 e a certificação de
Sistemas de Gestão da Segurança de Informação
2Seminário Anual – 04.12.2013A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
Agenda
• Introdução
• Gestão de Risco na ISO 27001:2013
3Seminário Anual – 04.12.2013A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
Introdução
”O sistema de gestão de segurança da informação preserva a
confidencialidade, integridade e disponibilidade da informação através da
aplicação de um processo de gestão de risco e dá confiança às partes
interessadas de que os riscos são geridos adequadamente.” (*)
Alinhamento explicito com a norma ISO 31000:2012 – Gestão de Risco
(* ISO 27001:2013 – 0.1 Generalidades)
Integridade Disponibilidade
Confidencialidade
4Seminário Anual – 04.12.2013A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
Principais diferenças da ISO 27001:2013
• Nova estrutura• Alinhamento com o “Anexo SL” das diretivas ISO/IEC Directives, Part 1.
• Alterações de terminologia. • Ex: Politica de Segurança de Informação em vez de Politica de Sistema de
Gestão de Segurança de Informação
• Definições comuns e texto idêntico a outras normas.
• Ações preventivas substituídas por “Ações para endereçar riscos
e oportunidades”
• Flexibilidade no processo de gestão de risco
• Alinhamento com a ISO 31000 – Gestão de Risco
• Os requisitos para a Declaração de Aplicabilidade (SoA) são
similares mas é mais claro que a especificação dos controlos fica
dependente do processo de tratamento dos riscos.
5Seminário Anual – 04.12.2013A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
Flexibilidade na escolha do método de risco
• Na versão anterior ISO 27001 é um requisito a identificação do “dono do
ativo” e que esteja implementado um levantamento ameaças e
vulnerabilidades sobre os ativos.
• Na nova versão de 2013 desaparece o termo “dono do ativo” e é
introduzido um “dono do risco”, sendo apenas requerido que sejam
identificado riscos em relação à confidencialidade, integridade e
disponibilidade.
• Existe um alinhamento completo em relação com o processo de gestão
de risco da ISO 31000 (referenciada em várias clausulas)
• A norma ISO 27005 ainda poderá ser utilizada para endereçar riscos
específicos de TI.
• A norma ISO 31000 proporciona um modelo de gestão de riscos mais
alinhados ao “negócio”.
6Seminário Anual – 04.12.2013A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
Processo de gestão de risco com a ISO 27005
Processo baseado na versão anterior da ISO 27001:2005
Processo de Levantamento do Risco:
• Identificar ativos
• Identificar ameaças
• Identificar vulnerabilidades de explorem as ameaças
• Analisar e avaliar os riscos
Processo de Tratamento do Risco
• Reduzir
• Aceitar
• Evitar
• Transferir
Ativos Ameaças VulnerabilidadesAnalisar e
Avaliar
Tratar
Riscos
7Seminário Anual – 04.12.2013A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
Processo de gestão de risco com a ISO 31000
Princípios para gerir riscos:• A Gestão de Risco deve Criar Valor.
• A Gestão de Risco deve ser uma parte integrante dos processos da
organização.
• A Gestão de Risco deve ser parte da Tomada de Decisão.
• A Gestão de Risco deve explicitamente endereçar a incerteza.
• A Gestão de Risco deve ser Sistemática e Estruturada.
• A Gestão de Risco deve ser baseada na melhor informação disponível.
• A Gestão de Risco deve ser adaptável.
• A Gestão de Risco deve levar em conta fatores humanos.
• A Gestão de Risco deve ser transparente e inclusiva.
• A Gestão de Risco deve ser dinâmica, interactiva e rápida a alterações.
• A Gestão de Risco deve ser capaz de melhoria continua e valorização.
8Seminário Anual – 04.12.2013A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
Framework de Gestão de Risco
Para ser bem sucedida e sustentável, a gestão de riscos
deve ser incorporada na organização e ter o apoio da Gestão de
Topo.
Uma plataforma de gestão de Risco tem como objectivo ajudar as
organizações a gerir os seus riscos de forma eficaz através da
aplicação do processo de Gestão de Riscos em diferentes níveis e
em contextos específicos da organização.
Esta plataforma deve assegurar que informações sobre os
riscos derivados destes processos são
devidamente comunicados e utilizados como base para a tomada
de decisão a todos os níveis organizacionais.
9Seminário Anual – 04.12.2013A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
Princípios, estrutura e Processo ISO 31000
10Seminário Anual – 04.12.2013A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
Estrutura da Gestão de Risco – ISO 31000
•ISO 27001:2013
•Clausula 5: Liderança
• Liderança,
compromisso e
responsabilidades da
gestão de topo
• Politica de Segurança
de Informação
11Seminário Anual – 04.12.2013A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
Processo de Gestão de Risco
•ISO 27001:2013
•Clausula 4:Contexto da
organização
• Compreender a
organização e o seu
contexto e questões internas
e externas relevantes para a
sua finalidade
• Contexto usado na ISO 31000
12Seminário Anual – 04.12.2013A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
Processo de Gestão de Risco
ISO 27001:2013 – Clausula 6 - PlaneamentoClausula 6.1.1• Identificar e endereçar riscos e oportunidades para o sistema de gestão e
definir objetivos claros e critérios que possam ser usados para medir o
sucesso
Clausula 6.1.2 - avaliação do risco de segurança da informação• A fase de Avaliação do risco inclui a identificação, analise e avaliação dos
riscos.
• Deixa de haver necessidade de ativos, ameaças e vulnerabilidades
• Ao identificar riscos associados com a perda de Confidencialidade,
Integridade e disponibilidade da informação
• Utiliza os conceitos de impacto e probabilidade como a ISO 31000
• Aparece o conceito de “Dono do Risco” em vez de “dono do ativo”
13Seminário Anual – 04.12.2013A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
Calculo do Risco – CONFIDENCIALIDADE
Nível
Confidencialidade
Valor Descrição
Baixo 1 Em claro para todos (textos nos sites públicos, brochuras)
Medio 2 Para uso interno dos trabalhadores da empresa
Alto 3 Acesso restrito numa base de necessidade de saber, dentro
de grupos ou equipas (ex: contratos), a sua divulgação pode
causar alguns danos limitados.
Muito Alto 4 Restrito a um individuo ou grupo limitado (ex, planos de
negócio, etc), o acesso não autorizado pode causar danos
elevados.
Exemplo:
14Seminário Anual – 04.12.2013A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
Calculo do Risco - INTEGRIDADE
Nível
Integridade
Valor Descrição
Baixo 1 Sem Impacto – a integridade não tem importância no sentido
que não causa nenhum impacto direto ao negocio
Medio 2 Pouco impacto – As modificações têm um pouco impacto (ex:
politicas, procedimentos internos)
Alto 3 As modificações terão impacto significativo nos processos de
trabalho
Muito Alto 4 As modificações têm um impacto sério nos processos de
trabalho e na empresa
Exemplo:
15Seminário Anual – 04.12.2013A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
Calculo do Risco - DISPONIBILIDADE
Nível
Disponibilidade
Valor Descrição
Baixo 1 Mais de 2 dias uteis – sem impacto negativo na empresa
Medio 2 Entre 4 Horas e 2 dias uteis
Alto 3 Entre 1 Hora e 4 Horas – o processo de trabalho tem que
continuar no mesmo dia
Muito Alto 4 Menos de 1 hora – quase de imediato
Exemplo:
16Seminário Anual – 04.12.2013A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
Impacto e Probabilidade dos Riscos
Valor de Impacto = max (C, I, A)
Valor de Probabilidade• Qual a probabilidade de ocorrer o evento?
• Qual a qualidade as proteções existentes?
• Tabelas de Probabilidades:
Nivel Valor Descrição
Baixo 1 Não é provável que aconteça
Medio 2 Pode acontecer raras vezes
Alto 3 Irá acontecer cedo ou tarde, algumas vezes
Muito Alto 4 De certeza que acontece, e que se vai repetir
Exemplo:
17Seminário Anual – 04.12.2013A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
Tabela de “Aceitação de Risco”
Impacto
Probabilidade
1 2 3 4
1 1 2 3 4
2 2 4 6 8
3 3 6 9 12
4 4 8 12 16
•Valor Risco =Probabilidade X Impacto
Exemplo:
18Seminário Anual – 04.12.2013A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
Exemplo: Análise do Risco
Calculo do valor/nível do RiscoProcesso :
Informação de Empregado – RH (C=3,I=3,A=2)Riscos:• R1: Acesso físico à Informação de Empregado• R2: Acesso lógico à Informação de Empregado• R3: Informação curricular estar correta
Risco O que está em risco
(processo)
probabilidade Impacto Valor do Risco
Acesso físico à
Informação de
Empregado
Informação de
Empregado
2 3 3
Acesso lógico à
Informação de
Empregado
Informação de
Empregado
3 3 9
Informação
curricular estar
correta
Informação de
Empregado
4 3 12
•(V) – Deve ser criada uma regra para calculo do valor do risco. Ex: P * I
19Seminário Anual – 04.12.2013A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
Processo de Gestão de Risco
ISO 27001:2013 – Clausula 6 - PlaneamentoClausula 6.1.3 – Tratamento do risco de segurança da informação• Selecionar opções de tratamento de risco
• Determinar os controlos para as opções de tratamento escolhidas (existem
fontes com esta informação)
• Comparar os controlos com o Anexo A (evitar omissões de controlos)
• Produzir uma Declaração de Aplicabilidade (SoA) baseado nos
riscos/controlos identificados
• Elaborar um plano de tratamento do risco
• Obter dos responsáveis a aprovação do plano e aceitação do risco residual
20Seminário Anual – 04.12.2013A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
Processo de Gestão de Risco
ISO 27001:2013 – Clausula 6 - Planeamento
Opções para o tratamento dos riscos:• Reduzir o risco
– O nível de risco deve ser reduzido através da seleção de controlos que o risco
residual possa ser considerado aceitável.
• Eliminar a fonte do risco
• Alterar a sua probabilidade
• Alterar o seu impacto
• Evitar o risco
– Identificar atividades ou condições que permitem que determinado risco possa ser
evitado, podendo ser decidido parar ou não iniciar atividades
• Transferir o risco
– O risco deve ser transferido para outra(s) entidade(s) (incluindo contratos e
financiamento de risco).
• Aceitar o risco de forma informada.
– Assumir o risco não efetuando nenhum ação.
– Assumir o risco (mesmo aumentando) para obter uma oportunidade.
21Seminário Anual – 04.12.2013A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
Processo de Gestão de Risco
ISO 27001:2013 – Clausula 8 - OperaçãoClausula 8.2 – Avaliação do risco de segurança da informação• As avaliações de risco devem ser realizadas a intervalos planeados ou
quando são propostas ou ocorrem alterações significativas.
Clausula 8.3 – Tratamento do risco de segurança da informação• A organização deve implementar um plano de tratamento do risco se
segurança de informação
22Seminário Anual – 04.12.2013A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
Processo de Gestão de Risco
ISO 27001:2013–Clausula 9:Avaliação de desempenhoClausula 9.1 – Monitorização, medição, análise e avaliação• Relativamente às ações de tratamento de risco é necessário:
– Identificar o que necessita de ser monitorizado ou medido e métodos
para o fazer
– Identificar quando e quem deve efetuar a monitorização ou medição
– Identificar quem deve analisar e avaliar os resultados
Clausula 9.3 – Revisão pela gestão• A gestão de topo deve rever o sistema de gestão de segurança de
informação em intervalos planeados para assegurar a sua continua
aplicabilidade, adequabilidade e eficácia tendo em consideração, entre
outros:
–Resultados da avaliação do risco e estado do plano de tratamento do
risco.
23Seminário Anual – 04.12.2013A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
Conclusões
• ISO 27001:2013 alinhada com ISO 31000 permitindo uma análise mais
flexível e ágil.
• É necessário definir os Donos do Risco no contexto da organização e
processo
• Identificação dos riscos em relação à confidencialidade, integridade e
disponibilidade.
• É necessário demonstrar uma ligação clara entre o “tratamento do risco”
e a Declaração de Aplicabilidade (SoA)
• Não esquecer que teremos “Ações para endereçar riscos e
oportunidades”
24Seminário Anual – 04.12.2013A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
Obrigado
25Seminário Anual – 04.12.2013A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação