Embed Size (px)
Citation preview
ISO 27001: Sistema de Gerenciamento da Segurança da Informação
UNIFACS
Roadmap Tech-In28 de Maio de 2008
Christian Conceição Guerreiro [email protected]
Agenda
A Era da Informação
Normas de Segurança da Informação
A ISO 27001
Conclusão
A Era da Informação
A informação é o bem mais importante do negócio, pois representa o valor para a empresa e consequentemente
precisa ser devidamente protegida
Onde está a informação ?
Tipos de Informação
Falada (pessoas)
Escrita ou impressa
Em meio magnético
Transmitida por meios eletrônicos
Vídeo
Ameaças
Funcionários insatisfeitos− Roubo e destruição de informações
Falta de conscientização sobre segurança− Uso inadequado e inseguro de recursos
Crescimento das redes− Informações distribuídas
Mobilidade− Dificuldade no controle de pontos de acesso
Complexidade de sistemas− Maior possibilidade de erros
E-Mail− Vírus, roubo, envio indevido de informações
Desastres naturais− Incêndio, inundação, terremoto
Pesquisas
Funcionários procuram meios de burlar segurança
− Estudo realizado pela Palo Alto Network aponta que usuários corporativos burlam controles de segurança em TI propositalmente.http://computerworld.uol.com.br/seguranca/2008/04/25/pesquisa-funcionarios-procuram-meios-de-burlar-seguranca/
Pesquisa aponta para falta de segurança no trabalho remoto
− Apenas 23% das companhias entrevistadas afirmaram possuir antivírus nos computadores e laptopshttp://www.itweb.com.br/noticias/index.asp?cod=45513
Pesquisas
Publicações do Governo Federal (decreto 4553 e
outros)Publicações do Banco
Central (resolução 2554 e outras)
ISO 17799
Regulamentação da ICP-Brasil
COBIT
Publicações da CVM (Resolução 358 e
outras)
Publicações da Anatel
Publicações da SEC(Sarbanes e Oxley e
outras)
Publicações do CFM
Outras
63,5%
37%
30%
27%
20%
20%
17%
11,5%
6%
6%
Pilares da Segurança
Confidencialidade− Informação disponível a quem interessa
Integridade− Informação correta disponível
Disponibilidade− Informação acessível sempre que necessário
CID
Normas de Segurança
Gestão de TI− Cobit, ITIL
Segurança da Informação− ISO 17799, ISO 27001− Gestão da Continuidade do Negócio
BS 25999− Gestão de Riscos
ISO Guia 73 Desenvolvimento de Sistemas
− CMMI Gestão de Projetos
− PMBok
A Gestão da Segurança
Frau
des
inte
rnas
Frau
des
exte
rnas
Dem
anda
s Tr
abal
hist
as
Frau
des
inte
rnas
Dad
os a
ativ
os fí
sico
s
. . .Controle 1
Controle 2
Controle 3
Controle 4
Controle 5
...
Proc
esso
1Pr
oces
so2
Proc
esso
3Pr
oces
so 4
Proc
esso
5. .
.
Corporate FinanceTrading & Sales
Retail BankingCommercial BankingPayment & Settlement...
Eventos deRisco OperacionalC
ontr
oles
Processos
Linhas deNegócios
Por que ISO 27001 ?
Gestão da Segurança da Informação
− Diferenciação do Mercado
− Exigências dos clientes
− Aceitação global
− Gerir processos e pessoas, não só tecnologia
− Regulamentação
Certificação ISO 27001
PlanoCampanha
deDivulgação
Definição EscopoGap Analysis
InventárioPlano de Ação
ElaboraçãoNormas eProcedi-mentos
ElaboraçãoPlano de
Continuidade
Análisede
Riscos
ImplementaçãoDe
Controles deSegurança
Acompanha-mento
Auditoria Externa
Consultoriade
Certificação
P1 P2
P4 P5
P6 P7 P8
AuditoriaInterna
P3 P9
CursoAuditorLíder
P10
Certificação ISO 27001
− Responsabilidade reduzida devido às políticas e aos procedimentos não implementados ou reforçados
− Oportunidade de identificar e eliminar fraquezas− A Gerência participa da Segurança da
Informação− Revisão independente do seu SGSI− Fornece segurança a todas as partes
interessadas− Melhor consciência da segurança− Une recursos com outros sistemas de
gerenciamento− Mecanismo para medir o sucesso do sistema
Certificação ISO 27001
Números− No mundo, 2679
− Paises com mais certificados: No Japão, 1634 Na Inglaterra, 244 Na Índia, 186
− Na América do Sul, 18
− No Brasil, 11
A ISO 27001
É uma metodologia
É um processo que visa validar, implementar, manter e gerir a segurança
Prevê o uso de um grupo de controles que representam as melhores práticas em segurança da informação
A ISO 27001
Origens
− BS7799 - Brithish Standard 7799, 1995− ISO 17799 – Norma Internacional, 2000− NBR ISO/IEC 17799 – versão brasileira da
norma, 2001
− BS 7799-2 – Norma britânica que hoje se tornou a ISO 27001
A “Família” 27000 ISO 27000 - Vocabulário de Gestão da Segurança
da Informação ISO 27001 - Sistema de Gestão de Segurança da
Informação. ISO 27002 – Substitui a ISO 17799:2005 (Código
de Boas Práticas) ISO 27003 - Gestão de Risco ISO 27004 - Mecanismos de mediação e de
relatório de um sistema de gestão de segurança da informação.
ISO 27005 - Indicadores para implementação, monitoração e melhoria contínua do SGSI, substituindo a BS 7799-3:2005
ISO 27006 – Recuperação de Desastres e Continuidade de Negócio.
A ISO 27001
Define um SGSI (Sistema de Gerenciamento da Segurança da Informação) - ISMS
A estrutura da norma− Sumário− Prefácio− 0 Introdução− 1 Escopo− 2 Referência normariva− 3 Termos e definições− 4 Sistema de gestão de segurança da
informação− 5 Responsabilidades de gestão− 6 Auditorias internas do SGSI− 7 Análise crítica pela direção do SGSI− 8 Melhoria do SGSI
A ISO 27001
Modelo para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI)
− Estratégia Entendimento dos requisitos de segurança da
informação de uma organização e da necessidade de estabelecer uma política e objetivos para a segurança de informação;
Implementação e operação de controles para gerenciar os riscos de segurança da informação de uma organização no contexto dos riscos de negócio globais da organização;
Monitoração e revisão do desempenho e efetividade do SGSI; e
Melhoria contínua baseada em medidas objetivas.
A ISO 27001
PDCA – Plan-Do-Check-Act
A ISO 27001 Plan
− Estabelecer política do SGSI, objetivos, processos e procedimentos relevantes para o gerenciamento de riscos e a melhoria da segurança da informação.
Do− Implementar e operar a política do SGSI,
controles, processos e procedimentos. Check
− Medir o desempenho de um processo contra a política do SGSI, objetivos e experiência prática e relatar os resultados.
Act− Tomar ações corretivas e preventivas, baseado
nos resultados da auditoria interna do SGSI para alcançar a melhoria contínua do SGSI.
A ISO 27001
4.2.1 Estabelecer o SGSI− Definir o escopo e limites do SGSI, a
organização, sua localização, recursos, tecnologia;
− Definir uma Política do SGSI que: Inclua uma estrutura de implementação para definir
objetivos e estabelecer um senso de direção global e princípios para ações relacionadas a segurança de informação;
Considere requisitos de negócio, legais e regulatórios, e obrigações de segurança contratuais;
Esteja alinhada com o contexto de gestão de risco estratégico da organização no qual o estabelecimento e manutenção do SGSI irão ocorrer;
Estabeleça critérios contra os quais os riscos serão avaliados (ver 4.2.1c)); e
Seja aprovada pela direção
A ISO 27001
Gestão de Riscos− Definir a estratégia de avaliação de risco da
organização; Identificar uma metodologia de avaliação de risco
adequada ao SGSI, e aos requisitos de negócio, legais e regulatórios identificados para a segurança da informação; e
Desenvolver critérios para a aceitação de riscos e identificação dos níveis aceitáveis de risco (ver 5.1f)).
A metodologia de avaliação de risco selecionada deverá assegurar que as avaliações de risco produzam resultados comparáveis e reproduzíveis.
A ISO 27001
Gestão de Riscos− Identificar os riscos
Identificar os ativos dentro do escopo do SGSI, e os proprietários destes ativos;
Identificar as ameaças para esses ativos; Identificar as vulnerabilidades que poderiam ser
exploradas pelas ameaças; e Identificar os impactos que perdas de
confidencialidade integridade e disponibilidade podem causar aos ativos.
A ISO 27001
Gestão de Riscos− Analisar e avaliar os riscos
Avaliar o impacto para o negócio da organização que poderia resultar de uma falha de segurança, considerando as conseqüências de uma perda de confidencialidade, integridade ou disponibilidade dos ativos;
Avaliar a probabilidade realista de como uma falha de segurança acontece à luz de ameaças e vulnerabilidades prevalecentes, e impactos associados a estes ativos, e os controles implementados atualmente;
Estimar os níveis de riscos; e Determinar se o risco é aceitável ou requer
tratamento que use o critério de aceitação de risco estabelecido em 4.2.1c)2).
A ISO 27001
Gestão de Riscos− Identificar e avaliar as opções para o
tratamento de riscos− Possíveis ações incluem:
Aplicar os controles apropriados; Aceitar os riscos conscientemente e objetivamente,
provendo a satisfação clara às políticas da organização e aos critérios para aceitação de risco (ver 4.2.1c)2);
Evitar riscos; e Transferir os riscos de negócio associados a outras
partes, por exemplo, corretores de seguro, provedores de serviço.
A ISO 27001
Gestão de Riscos− Selecionar objetivos de controle e controles
para o tratamento de riscos Serão selecionados e implementados objetivos de
controles e controles para satisfazer os requisitos identificados pela avaliação de risco e o processo de tratamento de risco. Esta seleção deve considerar o critério para aceitação de riscos (ver 4.2.1c) como também requisitos legais e regulatórios, e exigências contratuais.
Os objetivos de controle e controles do Anexo A (ISO 17799) deverão ser selecionados como parte deste processo, como satisfatórios, para cobrir estes requisitos.
Os objetivos de controle e controles listados no Anexo A não são completos, podendo ser selecionados objetivos de controle e controles adicionais.
A ISO 27001
ISO 177991. Política de segurança2. Segurança organizacional3. Classificação e controle dos ativos de
informação4. Segurança de pessoas5. Segurança física e do ambiente6. Gerenciamento das operações e comunicações7. Controle de acesso8. Desenvolvimento e manutenção de sistemas9. Gestão da continuidade do negócio10.Conformidade
A ISO 27001
Gestão de Riscos− Obter aprovação para os riscos residuais
propostos;− Obter autorização para implementar e operar o
SGSI; e− Preparar uma Declaração de Aplicabilidade,
contendo o seguinte: Os objetivos de controle e controles, e as razões para
sua seleção; Os objetivos de controle e controles implementados
atualmente; e A exclusão de qualquer objetivo de controle e
controle do Anexo 1 e a justificativa para esta exclusão.
A ISO 27001
4.2.2 Implementar e operar o SGSI− Formular um plano de tratamento de risco que
identifique a ação de gestão apropriada, recursos, responsabilidades e prioridades para a gestão dos riscos de segurança (ver 5);
− Implementar o plano de tratamento de risco para alcançar os objetivos de controle identificados, o que inclui a consideração de financiamentos e a distribuição de papéis e responsabilidades;
− Implementar os controles selecionados para alcançar os objetivos de controle;
A ISO 27001
4.2.2 Implementar e operar o SGSI− Definir como medir a efetividade dos controles
ou grupos de controles selecionados e especificar como estas medidas serão usadas para avaliar a efetividade do controle e gerar resultados comparáveis e reproduzíveis;
− Implementar programas de treinamento e conscientização (ver 5.2.2);
− Gerenciar as operações do SGSI;− Gerenciar os recursos para o SGSI (ver 5.2); e− Implementar procedimentos e outros controles
capazes de permitir a rápida detecção e resposta a incidentes de segurança (ver 4.2.3).
A ISO 27001
4.2.3 Monitorar e revisar o SGSI− Executar procedimentos de monitoração e
revisão e outros controles para: Rapidamente detectar erros nos resultados de
processamento; Rapidamente identificar tentativas e falhas de
segurança e incidentes bem sucedidos; Permitir à gerência determinar se as atividades de
segurança delegadas a pessoas ou implementadas por meio de tecnologias de informação estão sendo executadas como esperado;
Ajudar a detectar eventos de segurança e assim prevenir incidentes de segurança pelo uso de indicadores; e
Determinar se as ações tomadas para solucionar uma falha de segurança foram efetivas.
A ISO 27001
4.2.3 Monitorar e revisar o SGSI− Responsabilizar-se por revisões regulares da
efetividade do SGSI (incluindo o conhecimento da política do SGSI e objetivos, e revisão dos controles de segurança) considerando os resultados de auditorias de segurança, incidentes, efetividade das medidas, sugestões e respostas de todas as partes interessadas;
− Medir a efetividade dos controles para verificar se os requisitos de segurança foram atendidos;
A ISO 27001
4.2.3 Monitorar e revisar o SGSI− Revisar as avaliações de risco a intervalos
planejados e revisar o nível de risco residual e risco aceitável identificado, considerando mudanças de:
Organização; Tecnologias; Objetivos empresariais e processos; Ameaças identificadas; Efetividade dos controles implementados; e Eventos externos, como mudanças nos aspectos
legais ou regulatórios, alterações das obrigações contratuais e mudanças no aspecto social.
A ISO 27001
4.2.3 Monitorar e revisar o SGSI− Conduzir auditorias internas no SGSI a
intervalos planejados (ver 6);− Responsabilizar-se por revisões gerenciais do
SGSI em uma base regular para assegurar que o escopo permanece adequado e se são identificadas melhorias nos processos do SGSI (ver 7.1);
− Atualizar os planos de segurança considerando as descobertas das atividades de monitoração e revisão; e
− Registrar as ações e eventos que poderiam ter um impacto na efetividade ou desempenho do SGSI (ver 4.3.3).
A ISO 27001
4.2.4 Manter e melhorar o SGSI− Implementar as melhorias identificadas no SGSI;− Tomar as ações preventivas e corretivas
apropriadas conforme 8.2 e 8.3. Aplicar as lições aprendidas de experiências de segurança de outras organizações e aquelas da própria organização;
− Comunicar as ações e melhorias a todas as partes interessadas com o nível de detalhamento apropriado para as circunstâncias e, quando aplicável, aprovação de como proceder.
− Assegurar que as melhorias alcancem os objetivos propostos.
A ISO 27001
4.3 Requisitos de documentação− 4.3.1 Geral
A documentação deve incluir registros de decisões gerenciais, para garantir que as ações estejam alinhadas às decisões gerenciais e políticas.
A documentação do SGSI deve incluir:− Declaração da política do sgsi documentada e objetivos;− Escopo do sgsi;− Procedimentos e controles que suportam o sgsi;− Descrição da metodologia de avaliação de risco;− Relatório de avaliação de risco;− Plano de tratamento de risco;− Procedimentos documentados requeridos pela organização
para assegurar o planejamento efetivo, operação e controle de seus processos de segurança de informação, e descrever como medir a efetividade dos controles;
− Registros requeridos por esta Norma; e− Declaração de Aplicabilidade.
A ISO 27001 4.3.2 Controle de documentos 4.3.3 Controle de registros 5 Responsabilidades de gestão
− 5.1 Compromisso da gerência− 5.2 Gestão de recursos
5.2.1 Provisão de recursos 5.2.2 Treinamento, conscientização e competência
6 Auditorias internas do SGSI 7 Análise crítica pela direção do SGSI
− 7.1 Geral− 7.2 Análise crítica das entradas− 7.3 Análise crítica das saídas
8 Melhoria do SGSI− 8.1 Melhoria contínua− 8.2 Ações corretivas− 8.3 Ações preventivas
A ISO 27001
Metodologias de avaliação de risco− Impacto CIDAL
A ISO 27001
Metodologias de avaliação de risco− Prioridade GUT (Gravidade, Urgência e Tendência)
A ISO 27001
Ferramentas de Apoio
− AXUR ISMS
− Módulo Risk Manager
− Security Officer Best Friend
Implementando o SGSI
Internet Mainframe
Rede Interna
SI: 36,0 % Datacenter e-mail Call Center
Contrato de Terceiro
SI: 66,7 %
Tesoureiro
SI: 41,9 % SPB
Rede de Agências
SI: 71,4 % Loja de Varejo
Sistema de Aplicações e Investimentos
Mesa de Operações
SI: 36,0 %
Sistema de Gestão de Fundos
SI: 36,0 %
Serviço e-mail Call Center
Sistema de Agências
SI: 58,0 %
Transporte de Valores
SI: 51,6 %
SPB
SI: 71,4 %
Rede de Agências
SI: 71,4 %
Serviço Rede ATMs
SI: 71,4 %
Correspondente Bancário Varejo
BL OU Administração de
Ativos
SI: 36,0 %
BL BI Finanças Corporativas
SI: 36,0 %
BL OU Corretagem de Varejo
SI: 36,0 %
BL OU Seguros
SI: 36,0 %
BL BI Comércio e Vendas
BL BA Pagamentos e Liquidações
SI: 36,6 %
BL BA Banco Comercial
SI: 36,4 %
BL BA Serviços de Agências
SI: 58,0 %
BL BA Banco de Varejo
SI: 58,0 %
Visão
de Negócios
Implem
entar
Controles
Exemplo
Identifique um ativo da sua organização− Pessoal, Equipamentos, Sistema, Intangíveis
Quantifique a sua importância− Confidencialidade, Integridade, Disponibilidade
Identifique ameaças− Morte, Quebra, Erro de cálculo, Prejuízo imagem
Identifique controles− Plano de saúde, Contrato de manutenção,
Testes periódicos, Assessor Pessoal
Priorize ativos com base no risco− Risco = ameaça (probabilidade) x dano
Conclusão
A Gestão da Segurança é complexa!
Necessidade de comprometimento− Especialmente da alta direção− O elo mais fraco da corrente
Capacitação é fundamental
Ferramentas de apoio ajudam
Normas guiam a implementação
