FACULDADE DE CINCIAS SOCIAIS E APLICADAS DO PARAN

Sistema de Gesto de Segurana da Informao

CURITIBA
Maio 2012
DJULLES IKEDA
OSNIR FERREIRA DA CUNHA












Sistema de Gesto de Segurana da Informao


Trabalho de avaliao da disciplina
Segurana e Auditoria de Sistemas do
Stimo perodo do curso de Sistemas
de Informao, Faculdade de Cincias
Sociais e Aplicadas do Paran
FACET.
Professor Tiago Celuppi.








CURITIBA
Maio 2012
SUMRIO
1. INTRODUO ...................................................................................... 4
2. SGSI DEFINIO .............................................................................. 5
3. ABRANGENCIA DO SGSI ....................................................................... 7
4. BENEFICIOS DO SGSI ............................................................................ 8
5. PATROCINADORES E COMITE .............................................................. 9
6. CONCEITOS-CHAVE ............................................................................ 10
7. MECANISMOS DE CONTROLE ............................................................ 11
7.1. MTRICAS ............................................................................................. 11
7.2. DEFINIO ............................................................................................ 12
7.3. TIPOS DE MTRICAS ............................................................................... 12
7.4. COLETA DE RESULTADOS ....................................................................... 13
7.5. FATORES-CHAVE DE SUCESSO ................................................................ 14
8. ALINHAMENTO DO SGSI COM O NEGOCIO DA EMPRESA ............... 15
9. RISCOS .................................................................................................. 16
10. AMEAAS DE INVASO .................................................................... 17
11. RECURSOS DE TI ABRANGENTES NO SGSI ................................... 18
12. IMPLANTAO DO SGSI ................................................................... 19
13. EXECUO DO SGSI ......................................................................... 20
14. ACOMPANHAMENTO DO SGSI ......................................................... 21
15. PROCESSO DE CERTIFICAO NBR ISSO IEC 27001 ................... 22
15.1. PR AUDITORIA ...................................................................................... 22
15.2. CERTIFICAO NBR ISSO IEC 27001 ................................................... 22
16. CONCLUSO...................................................................................... 25


4
SGSI
1. INTRODUO

Vivemos hoje em um mundo globalizado, interligado via redes de
computadores, onde as distncias desapareceram. A agilidade na composio
e realizao de negcios, bem como a necessidade de entregar produtos com
qualidade e rapidez a clientes sempre mais exigentes, forou as organizaes
a mudarem a sua estratgia. O uso de sistemas de informao e comunicao
passou a constituir uma necessidade para atender a esta demanda, trazendo
maior dinmica aos processos do negcio da organizao.
Neste mundo virtual globalizado, e cada vez mais competitivo, a
informao o maior patrimnio que uma organizao pode possuir, se deseja
manter-se competitiva. Considerada um ativo estratgico para o negcio da
organizao, a informao deve receber uma maior ateno no que tange ao
seu tratamento, devendo ser protegida e gerenciada quanto ao seu
armazenamento e tramitao, evitando que pessoas indesejadas a acessem.
Desta forma a segurana da informao passa a ter um papel
fundamental na estratgia de negcio das organizaes. A adoo de solues
de segurana com a aplicao de controles seja fsica ou lgica, mas
compatveis com os processos e os riscos do negcio da organizao uma
realidade no mundo virtual, tornando-se vital para a sobrevivncia e
competitividade de muitas organizaes.

5
SGSI
2. SGSI DEFINIO

Um Sistema de Gesto de Segurana da Informao um conjunto de
regras e normas adotado por uma empresa, com o intuito de garantir a
segurana de suas informaes quanto a controles, perdas, roubos, alteraes
e consultas indevidas. No se trata de um sistema de informao convencional
programado com uma linguagem de programao, mas de um procedimento
para monitorar e analisar o comportamento das informaes e garantir a
segurana destas.
Os objetivos pretendidos do SGSI devem ser confrontados com os
resultados esperados, devendo ser parametrizado para adequar-se com os
processos da empresa e garantir a segurana de continuidade dos negcios.
Os riscos envolvidos com a perda da informao versus a segurana do SGSI
devem ser analisados. A abrangncia de auditoria de um SGSI vai desde a
segurana fsica e lgica da informao at a verificao da legislao
pertinente s obrigaes contratuais.
A documentao do SGSI tem de estar sempre em conformidade com o
que praticado pela empresa e pelos funcionrios envolvidos, sendo revista
constantemente e reapresentada a todos os envolvidos pelos responsveis em
conferir a execuo do SGSI.
O SGSI projetado para assegurar a seleo de controles de segurana
adequados e proporcionados para proteger os ativos de informao e propiciar
confiana s partes interessadas.
A NBR ISO/IEC 27001 foi criada para prover um modelo de processo
que estabelea, implemente, opere, monitore, analise criticamente, mantenha e
melhore um Sistema de Gesto de Segurana da Informao (SGSI).
O estabelecimento de um Sistema de Gesto da Segurana da
Informao o resultado da aplicao planejada dos objetivos, diretrizes,
normas, procedimentos, estrutura de trabalho e outras medidas administrativas
que, de forma conjunta, definem como os objetivos de controles e controles
esto implementados e gerenciados, como os ativos esto protegidos e como
os riscos so gerenciados.
Antes de verificar o escopo da auditoria de Sistema de Gesto de
6
SGSI
Segurana da Informao (SGSI), necessrio compreender a sua
abrangncia. A seguir sero apresentados alguns tpicos (ISO/IEC 27001,
2005, 2006) mais relevantes que norteiam o auditor ao adequar a abrangncia
da auditoria ao porte da empresa e do fator crtico de segurana da informao,
analisando-lhe os passos desde a implantao at a execuo do mesmo.


7
SGSI
3. ABRANGENCIA DO SGSI

A delimitao da abrangncia muito importante para o auditor, pois
por meio desta que se consegue constatar as responsabilidades dos
envolvidos. Normalmente, quando as responsabilidades, funes e limites no
ficam bem definidos, por exemplo, nos casos de perda da informao, fica
difcil encontrar o verdadeiro responsvel. Assim, a abrangncia atribui no
somente as responsabilidades como tambm os requisitos cobertos pelo SGSI.
Pode variar de empresa para empresa, devendo cobrir reas como
tecnologia envolvida em desenvolvimento de sistemas, sistemas operacionais,
ferramentas de escritrio, integrao de sistemas, banco de dados, redes,
controles organizacionais, equipes, etc. Em cada rea de abrangncia, o
auditor deve checar se o SGSI est sendo cumprido e se condiz para que a
segurana da informao realmente seja eficaz.



8
SGSI
4. BENEFICIOS DO SGSI

Os benefcios de um SGSI so:
1. Conhecimento dos riscos de segurana dos ambientes e processos de
negcio suportados
2. Identificao de possveis fatores de perda e prejuzo
3. Otimizao do planejamento de segurana com um Plano de Ao
consistente, integrado e priorizado com base nos riscos identificados;
4. Implantao de controles, reduzindo os riscos identificados, mediante o
estabelecimento de nvel de segurana adequado criticidade dos
processos de negcio envolvidos;
5. Fortalecimento da imagem diante dos clientes, funcionrios,
fornecedores e parceiros;
6. Formalizar as regras de segurana do negcio;
7. Possibilitar a criao de polticas e procedimentos com o objetivo de
direcionar os usurios finais e membros da rea de TI quanto s
melhores prticas de uso da informao.
8. Estabelecer futuros critrios para adoo e manuteno de controles de
segurana.
9. Prover uma maior disponibilidade dos servios de TI da organizao.

9
SGSI
5. PATROCINADORES E COMITE

A escolha dos patrocinadores fundamental para o sucesso da
implantao de um Sistema de Gesto de Segurana de Informao (SGSI) em
uma organizao. por meio deles que se obtm o respaldo para a
implantao do SGSI, tornando vivel a tomada de aes decorrentes da
aplicao do sistema. Geralmente, so escolhidos como patrocinadores
profissionais da alta direo da organizao, alm de outras pessoas-chave da
rea do negcio.
Estas pessoas devem formar um comit, comumente chamado de Grupo
Gestor de Segurana da Informao (GGSI), que tem como meta a
manuteno do SGSI na organizao. Entre as atribuies deste grupo, est a
criao da Poltica de Segurana da Informao, bem como os procedimentos
que decorrem dela e a aplicao de eventuais sanes, que devem ser
aplicadas de forma imparcial a qualquer colaborador que infrinja a poltica
estabelecida, no importando seu grau hierrquico. Para que esta premissa
possa ser cumprida, entretanto, necessrio que o GGSI tenha influncia
suficiente para sensibilizar os colaboradores dos riscos envolvidos no no
cumprimento da poltica.
Porm, vale destacar que a segurana da informao uma questo
cultural, de aprendizado e de processos. Por isso, as sanes devem ser
aplicadas medida que o sistema torna-se consistente, de conhecimento de
todos, e a partir do momento em que a curva de aprendizado se mostrar
favorvel. Este um processo lento e que exige muita dedicao do GGSI.


10
SGSI
6. CONCEITOS-CHAVE

Sanes: regras tm de ser cumpridas e, a cada no cumprimento, uma
sano pode ser aplicada. Todas as regras devem ter os riscos associados ao
seu no cumprimento muito bem documentados, bem como tm necessidade
de deixar claros as sanses possveis de aplicao.

11
SGSI
7. MECANISMOS DE CONTROLE

No se gerencia o que no se mede no se mede o que no se define,
no se define o que no se entende, no h sucesso no que no se gerencia
(William Edwards Deming).

7.1. Mtricas

Em vista da diversidade de atividades executadas, quando se
desenvolve e implanta um SGSI, naturalmente este processo implica ao gestor
responsvel pela misso a necessidade de gerenciar diversos mecanismos de
controles implementados em diversas plataformas e em vrios ambientes
organizacionais. Dependendo do nmero de pessoas, processos e tecnologias
envolvidas, esta atividade pode se tornar rdua, devido quantidade e
diversidade de elementos a serem monitorados.
Surge, ento, a necessidade iminente de responder algumas questes:
Como podemos saber se o nvel atual de segurana est no patamar
requerido para o nosso negcio?
Como medir o nvel de eficcia dos controles atuais frente aos riscos
identificados?
Uma boa estrutura de mtricas permite avaliar a efetividade de um
SGSI. Mas, para se chegar a este nvel, a organizao precisa desenvolver um
plano de mtricas, que deve incluir a forma de coleta, o repositrio, os
procedimentos para reteno e a forma de avaliao, entre outras. O primeiro
passo compreender quais so os objetivos a serem atingidos e, a partir disto,
desenvolver mtricas que satisfaam estes objetivos.
Medir a eficcia de um SGSI est longe de ser uma tarefa fcil. Para
tanto, estratgias devem ser elaboradas para monitor-la, resultando em
informaes que faam sentido e auxiliam os tomadores de deciso. Em muitos
casos, a falta de tempo, conhecimento e a adoo de uma estratgia
inadequada para a criao de mtricas podem prejudicar o SGSI.
12
SGSI
Por outro lado, como o SGSI muito dinmico. Mtricas bem definidas
ajudam a visualizar a situao atual, bem como auxiliam a realizao de
simulaes e o desenvolvimento das melhorias necessrias. preciso manter
o SGSI vivo e em constante evoluo.

7.2. Definio

Mtricas em um SGSI so medidas estipuladas com base em metas a
serem atingidas, as quais so comparadas aos resultados obtidos durante a
sua operao de um SGSI. Contudo, isto no invalida a importncia de
comparar os resultados alcanados anteriormente, pois, desta forma,
possvel vislumbrar tendncias e avaliar o amadurecimento de seu SGSI. Esta
anlise de tendncia ajudar a organizao a se precaver e tomar medidas
preventivas para a correo de determinados desvios.
Um mtodo bastante importante no SGSI o Benchmarking. Ele
usado para se comparar o desempenho de algum processo a outro similar, de
outra organizao, que esteja sendo executado de maneira mais eficaz e
eficiente.

7.3. Tipos de mtricas

Mediante uma diversidade de mtricas, devemos escolher as mais
adequadas a cada caso. Algumas podem ser utilizadas (mas no se limita a
estas) para medir eficcia, eficincia, tempo, produtividade, qualidade,
desempenho e confiabilidade do SGSI.
Como exemplo de acompanhamento das mtricas, podemos citar:
Benchmarking de pesquisas de sobre segurana da informao;
Resultados de pesquisas internas de avaliao do SGSI;
Gesto de incidentes de segurana.
Independente da diversidade dos tipos de mtricas existentes, a
13
SGSI
organizao deve selecionar aquelas que lhe forneam informaes relevantes
de seu SGSI, conforme citado anteriormente. A seguir, apresentamos uma
tabela com as informaes mnimas, porm, necessrias, para se criar um
plano de mtricas.
Passo a passo para o estabelecimento de mtricas.
1. Mtrica deve conter o nome da mtrica e a descrio da escala que
ser usada.
2. Escopo da mtrica descreve o que deve ser medido. Por exemplo: o
processo ou controles do ISMS e quais partes do processo ou controles.
3. Propsito e objetivo defini o propsito da mtrica, quais as metas e
objetivos devem ser atingidos
4. Mtodo de medio descreve como a medio ser realizada, por
exemplo, usando clculo, frmula ou porcentagens.
5. Frequncia da medio descreve a periodicidade da medio. Por
exemplo: mensal, semanal, dirio etc.
6. Origem dos dados e procedimento de coleta defini de onde os dados
sero coletados e quais mtodos so usados para a coleta.
7. Indicadores contem os indicadores usados para otimizar a mtrica e
definir o seu propsito e como eles so entendidos e podem ser
aplicados.
8. Data da medio e responsvel descreve a data da medio e a
pessoa responsvel por esta ao.
9. Nvel da efetividade alcanada contem o resultado e a data da
medio Causas do no-cumprimento Este campo deve conter as
causas do no-cumprimento dos objetivos, indicadores etc.
Fonte: Measuring the effectiveness of your ISMS.

7.4. Coleta de resultados

A atividade de medir demanda recursos e, obviamente, tempo para a
coleta e anlise dos resultados. Por esta razo, as mtricas devem fazer
sentido e ser coerentes, alm de alinhadas aos objetivos a serem alcanados.
14
SGSI
Como nem todos os resultados podem ser coletados automaticamente,
importante determinar a melhor forma de faz-lo, principalmente quando o
envolvimento de outras reas se faz necessrio e a coleta tem de ser realizada
manualmente.
Alguns processos eventualmente so executados e os registros
coletados e armazenados em outra localidade. Independente disto, o resultado
deve ser coletado e consolidado em um nico repositrio.

7.5. Fatores-chave de sucesso

Destacamos alguns fatores que devem ser gerenciados adequadamente
para que a organizao consiga desenvolver mtricas adequadas e que
ajudem a monitorar de forma mais assertiva o seu SGSI.
Conhecer o objetivo a ser alcanado;
Conhecer as metas a serem alcanadas;
Coletar os resultados em tempo hbil;
Apresentar resultados vlidos e confiveis;
Criar mtricas que permitam monitorar o SGSI;
Desenvolver metas desafiadoras.
de fundamental importncia que os fatores-chave de sucesso sejam
identificados e documentados para que a organizao consiga administr-los.
Por fim, notria a importncia do estabelecimento de mtricas, para que seja
possvel vislumbrar a efetividade de qualquer SGSI. Sem elas, o
gerenciamento passa a ser realizado de forma pontual, com muitas aes sem
foco e, em alguns casos, sem critrios definidos.
A gesto que utiliza um sistema de mtricas permite no apenas uma
visualizao rpida da situao atual, mas, tambm, contribui para uma tomada
de deciso mais assertiva.


15
SGSI
8. ALINHAMENTO DO SGSI COM O NEGOCIO DA EMPRESA

O SGSI tem de estar alinhado com os negcios da empresa em relao
a estratgias de negcio, competitividade, atuao no mercado, relao com
clientes e fornecedores, dentre outros. O momento atual e o futuro pretendido
devem estar alinhados com as normas e regras do SGSI.
Exemplo
Se a empresa pretende utilizar tecnologia WEB na totalidade de seus
sistemas de gesto de vendas, o SGGI deve conter uma regra proibindo o
desenvolvimento de novas solues que no utilizem a tecnologia WEB, e
assim por diante.
Outro ponto relevante a ser auditado se a parte legal envolvida est
implantada nos sistemas ou se esta pode gerar impedimento para novos
negcios, como por exemplo, se as licenas dos softwares existentes so
suficientes para futuros negcios.


16
SGSI
9. RISCOS

Os riscos devem ser mensurados e constados no SGSI e estar bem
claros para todos os envolvidos, assim como para a alta gerncia. O auditor
tem de constatar se os riscos esto contemplados pelo SGSI e se condizem
com a realidade. Os riscos podem ser divididos em atuais e futuros. Os atuais
envolvem a integrao dos sistemas existentes com o negcio atual. Os riscos
futuros so derivados de futuros negcios que a empresa pretenda, como por
exemplo, a fuso com outras empresas, aberturas de filiais, mudanas de
tecnologia, expanso de negcios com fornecedores, que podem comprometer
a utilizao dos recursos de TI.
A importncia de mensurar os riscos to relevante, porque, justamente
atravs do conhecimento destes que se implantam as regras de segurana
no SGSI. Essencial que a alta gerncia tenha conhecimento dos riscos que a
empresa esteja correndo, para no ser surpreendida. Uma avaliao constante
dos riscos deve ser realizada e a estratgia de recuperao, em caso de perda
ou dano, tem que estar relacionada.
Muitas vezes, as polticas de conteno para evitar riscos demandam
custos financeiros, tempo e consomem mais recursos computacionais e
humanos. Por estes motivos, gerentes de informtica ou diretores relegam o
segundo plano de implantao de medidas, no sentido de evitar riscos,
deixando que eles existam e possam acontecer. Nestes casos, cabe ao auditor
responsabilizar pontualmente a pessoa pelo eventual risco que a empresa est
correndo. O simples fato de atribuir um determinado risco a uma determinada
pessoa faz com que esta delegue medidas para evitar o risco de segurana da
informao.


17
SGSI
10. AMEAAS DE INVASO

Ameaa de invaso o que toda empresa no quer. As invases podem
vir tanto de fora da empresa como de dentro. A proteo contra invaso tem de
ser contemplada pelo SGSI e o auditor tem de verificar se existem tentativas de
invaso ou se j ocorreram.
As invases podem interferir na continuidade dos negcios da empresa,
como perda de confiabilidade das informaes, integridade e, principalmente, a
continuidade de disponibilidade da mesma. O auditor avalia o grau de risco de
cada possibilidade de invaso. Normalmente a proteo contra invaso est na
constante atualizao dos softwares de proteo. Ter evitado uma invaso no
significa que a empresa no v mais sofrer o mesmo ataque, por isso os
controles contra acessos indevidos precisam estar ativos durante as 24 horas
do dia, inclusive sobre dados e informaes que saiam da empresa, como por
exemplo, o envio de cpias de segurana para locais fora da empresa.



18
SGSI
11. RECURSOS DE TI ABRANGENTES NO SGSI

Os recursos de TI, hardware e software, devem estar documentados no
SGSI. Ter os respectivos recursos autorizados pode no ser o suficiente,
preciso que estes sejam utilizados em conformidade com o estipulado pelo
SGSI. Um exemplo de utilizao pode ser conferido aos e-mails, os quais
devem ser utilizados com a finalidade de efetuar operaes relacionadas ao
trabalho na empresa, e no para assuntos particulares. Atividades de trabalho
inerentes s atividades da empresa tambm devem ser conferidas pelo auditor,
pois possvel que funcionrios tragam trabalhos externos empresa, para
serem executados ali. Este tipo de prtica tem de ser verificado por softwares
que realizem varreduras nas estaes de trabalho, em busca de contedos
suspeitos.



19
SGSI
12. IMPLANTAO DO SGSI

Antes de realizar a implantao do SGSI, preciso checar se o mesmo
condiz com as medidas e as regras condizentes, por sua vez, com a natureza
da segurana da informao de que a empresa necessita. O auditor tambm
deve averiguar se as pessoas envolvidas na elaborao do SGSI tm
capacidade tcnica para tal realizao. Uma vez elaborado o SGSI, um plano
de implantao deve ser tratado, visto que pode haver resistncia por parte de
alguns funcionrios com relao a poder e antiguidade na empresa. O
processo de implantao deve deixar clara a necessidade de um SGSI na
empresa e o benefcio do mesmo para a segurana da informao, como tornar
evidente que este um processo irreversvel.


20
SGSI
13. EXECUO DO SGSI

Tudo no pode ficar excelente apenas no papel, preciso averiguar se
as normas e controles propostos no SGSI esto sendo executados pelos
envolvidos e respaldados pela alta gerncia. O auditor tem que conferir
detalhadamente as normas contidas no SGSI e verificar in loco se esto sendo
cumpridas. O no cumprimento do SGSI representa um risco de alto nvel. Pior
que no ter um SGSI ter um que no cumprido, ter a sensao que as
informaes esto protegidas, quando no esto. O auditor deve realizar esta
verificao em vrios nveis e locais na empresa, inclusive realizando tentativas
de violao das regras do SGSI para a verificao da eficincia dos controles
de segurana. relevante que uma avaliao peridica do SGSI seja feita e
repassada ao conhecimento dos envolvidos, para, cada vez mais, ampliar as
responsabilidades dos funcionrios da empresa perante a aplicao do SGSI.
O incio da implantao do SGSI tem que ser documentado e validado
pela alta gerncia e levado ao conhecimento de todos os funcionrios
envolvidos e, se for o caso, coletar um ciente de cada funcionrio da empresa.
A importncia do conhecimento elimina, futuramente, a alegao de
desconhecimento do SGSI para justificar prticas ilegais.


21
SGSI
14. ACOMPANHAMENTO DO SGSI

No basta implantar um SGSI e virar as costas e achar que tudo correr
perfeito: necessrio acompanhar a execuo para analisar se o que foi
elaborado est sendo cumprido e se o mesmo suficiente para garantir a
segurana da informao. O acompanhamento deve existir e um relatrio deve
ser divulgado constantemente a todos os envolvidos, inclusive os erros e
ajustes que se fizeram necessrios devem constar a. Para que o SGSI no
seja relegado a segundo plano, justifica-se a importncia do acompanhamento,
assim como importante divulgar as aes de correo e se estas foram
suficientes. O acompanhamento ainda deve verificar se as auditorias foram
realizadas regularmente e a sua respectiva abrangncia. A ausncia de
auditoria pode esconder deficincias do SGSI, e, conforme a gravidade dessas,
colocar as informaes em risco.
possvel que o SGSI fique defasado por falta de recursos humanos
disponveis na empresa, o que pode decorrer de uma forte mudana de
estratgia em seus negcios. Esta constatao deve ser apontada pelo auditor
para certificao de que o SGSI no esteja prejudicado em sua abrangncia.
O relatrio do acompanhamento, como o prprio auditor, tambm pode
sugerir um aperfeioamento no SGSI. Manter um histrico do
acompanhamento muito til para constatar se as aes passadas se
tornaram eficazes. Um histrico um forte respaldo para justificar uma ao
futura, inclusive uma ao de conduta individual no apropriada.
Importante
Um aspecto relevante quanto ao acompanhamento levar em
considerao as constataes colocadas pelos funcionrios, pois algumas
sugestes podem trazer medidas de segurana eficazes, visto que so eles
que lidam no dia a dia com as informaes.
Ou seja, a leitura que se faz da necessidade de acompanhamento
traduz-se na constatao de que o SGSI eficaz, ou no, o que muito
importante para o auditor, pois, conforme o caso, pode levar a rever todo o
modelo do SGSI, ou garantir a tranquilidade de que as informaes esto
seguras
22
SGSI
15. PROCESSO DE CERTIFICAO NBR ISSO IEC 27001

Aps a implantao do Sistema de Gesto da Segurana da Informao
e aps ter realizado pelo menos um ciclo de auditoria interna e pelo menos
uma anlise crtica pela direo a empresa pode solicitar a realizao da Pr-
auditoria para verificar o nvel de adequao norma em questo.

15.1. Pr auditoria

A Pr-auditoria tem como principal objetivo a deteco de eventuais
problemas conceituais que possam vir a ser despercebidos pela empresa em
processo de certificao. realizada nas instalaes da empresa e segue os
mesmos passos da Auditoria de Certificao.
So verificados os procedimentos e a documentao em relao sua
adequao norma de referncia. O tempo dimensionado para esta auditoria,
normalmente no permite que a equipe auditora tenha tempo para verificar se
as prticas descritas na documentao esto adequadamente implementadas
isto o que chamamos de auditoria de conformidade, que ser realizada
durante a Auditoria de Certificao (Inicial) e nas Auditorias de Manuteno
(Anuais ou semestrais).
Na realidade, a maior parte das empresas a emprega dessa forma, uma
vez que elas ainda no identificaram a necessidade ou a possibilidade de
realizarem o processo de certificao.

15.2. Certificao NBR ISSO IEC 27001

A certificao um documento emitido por uma entidade certificadora
independente que garante que uma dada empresa implantou corretamente
todos os controles da norma aplicveis. A certificao emitida aps uma
auditoria externa para verificao da conformidade da empresa com a norma.
23
SGSI
Ela comprova, para as empresas certificadas, que a segurana da
informao est garantida de forma efetiva, o que no significa, contudo, que a
empresa esteja imune a violaes de segurana. Alm disso, a certificao
comprova, para os clientes e fornecedores da empresa, a preocupao que
esta tem com a segurana da informao, reforando sua imagem junto ao
mercado. Dependendo da atividade da empresa, essa certificao pode ser
essencial para a realizao de certos negcios.
A auditoria do Sistema de Gesto da Segurana da Informao
dividida em 2 etapas: Auditoria de Documentao, conhecida como Fase 1 e
Auditoria de Certificao, conhecida como Fase 2.
No Mundo so apenas 7840 empresas certificadas.



Japan 4061 Netherlands 22 South Africa 4
UK 549 Slovenia 21 Belgium 3
India 545 Bulgaria 18 Gibraltar 3
China 504 Iran 18 Macau 3
Taiwan 459 Philippines 16 Albania 2
Germany 209 Argentina 14 Bosnia Herzegovina 2
Czech Republic 111 Pakistan 14 Cyprus 2
Korea 106 Russian Federation 14 Ecuador 2
USA 104 Saudi Arabia 14 Jersey 2
Italy 86 Vietnam 14 Kazakhstan 2
Spain 77 Iceland 13 Luxembourg 2
Hungary 70 Indonesia 13 Macedonia 2
Poland 62 Colombia 12 Malta 2
Malaysia 58 Kuwait 11 Ukraine 2
Thailand 55 Canada 10 Mauritius 2
Ireland 50 Norway 10 Armenia 1
Austria 44 Portugal 10 Bangladesh 1
Romania 35 Sweden 10 Bolivia 1
Greece 32 Switzerland 9 Belarus 1
Hong Kong 32 Bahrain 8 Denmark 1
Australia 29 Chile 5 Kyrgyzstan 1
Singapore 29 Egypt 5 Lebanon 1
Turkey 29 Oman 5 Moldova 1
Mexico 28 Peru 5 New Zealand 1
Croatia 27 Qatar 5 Sudan 1
Slovakia 27 Sri Lanka 5 Uruguay 1
France 26 Dominican Republic 4 Yemen 1
Brazil 24 Morocco 4
UAE 20 Lithuania 4 Total
7840
24
SGSI
No Brasil so apenas 24 empresas certificadas.



















Standard BS 7799-2:2002 or
ISO/IEC 27001:2005
Atos Origin Brasil Ltda Brazil IS 98429 ISO/IEC 27001:2005
Axur Information Security Brazil IS 509742 ISO/IEC 27001:2005
BT Brazil LRQ 4003984 LRQA ISO/IEC 27001:2005
BT Global Services Sao Paulo
SOC/NOC
Brazil 4003984 LRQA ISO/IEC 27001:2005
Cardif do Brasil Vida e Previdencia S/A Brazil IS 521855 ISO/IEC 27001:2005
CIP Camara Interbancaria de
Pagamentos
Brazil IS 96934 ISO/IEC 27001:2005
Fucapi-Fundacao Brazil IS 504391 ISO/IEC 27001:2005
IBM ITD Brazil Brazil 62.691 Bureau Veritas Certification - Brazil ISO/IEC 27001:2005
Mdulo Security Solutions S/A Brazil IS 510466 ISO/IEC 27001:2005
Poliedro - Informtica, Consultoria e
Servios Ltda.
Brazil 44121081309 ISO/IEC 27001:2005
Prodesp Brazil IS 512881 ISO/IEC 27001:2005
Promon Engenharia Ltda. Brazil IS 500248 ISO/IEC 27001:2005
Promon Tecnologia Ltda Brazil IS 500564 ISO/IEC 27001:2005
Samarco Minerao S/A. Brazil IS 524157 ISO/IEC 27001:2005
SERASA S.A. Brazil 262326 ISMS ISO/IEC 27001:2005
Servio Federal de Processamento de
Dados - SERPRO
Brazil IS 515421 ISO/IEC 27001:2005
Superior Tribunal de Justia Brazil IS 538457 ISO/IEC 27001:2005
Telefonica Empresas S/A Brazil IS 501039 ISO/IEC 27001:2005
Tivit Tecnologia da Informacao S.A. Brazil 00017-2006-AIS-OSL-NA DNV ISO/IEC 27001:2005
TIVIT TERCEIRIZAO DE
TECNOLOGIA E SERVIOS S.A.
Brazil 16203-2007-AIS-BRA-NA DNV ISO/IEC 27001:2005
T-Systems Brazil Brazil 336227 ISMS ISO/IEC 27001:2005
T-Systems do Brasil Ltda. Brazil 341898 ISMS ISO/IEC 27001:2005
UNISYS Global Outsourcing Brazil IS 97102 ISO/IEC 27001:2005
Zamprogna S/A Importacao Brazil IS 518855 ISO/IEC 27001:2005
Name of the Organization Country Certificate Number Certification Body
25
SGSI
16. CONCLUSO

Logicamente pode-se concluir que o processo de busca de solues
para os problemas de segurana em ambientes computacionais envolve a
necessidade do desenvolvimento de padres, os quais sero tanto utilizados
no apoio construo de sistemas computacionais "seguros", como para a
avaliao dos mesmos. A existncia de um SGSI implantado na organizao,
permite ao usurio tomar conhecimento do quo protegidas e seguras estaro
as suas informaes.
A grande contribuio da metodologia permitir que o responsvel pela
implementao do projeto de segurana tenha uma viso nica do sistema de
segurana da informao e dos diversos padres, controles e mtodos que o
compem.
A implementao e manuteno de um SGSI exigem uma dedicao e
anlise profunda do ambiente computacional e organizacional. Esta no uma
tarefa fcil e obrigaria o apoio da direo da organizao e a participao de
todos os funcionrios com esta finalidade. Alm disso, o processo poderia
envolver a participao de terceiros, como clientes e fornecedores, bem como
a contratao de uma consultoria externa. Por tudo isso, tornar seguro um
ambiente computacional pode ser uma tarefa bastante complexa, requerendo
gesto e procedimentos apropriados.
Porm, para se atingir o patamar de segurana desejado nem sempre
necessria a adoo de todos os mecanismos, mas sim uma seleo criteriosa
dos controles a partir da realizao de uma anlise de risco.