0 évaluation0% ont trouvé ce document utile (0 vote)
394 vues25 pages
1. O documento discute a implementação de um Sistema de Gestão de Segurança da Informação (SGSI) de acordo com a norma NBR ISO/IEC 27001.
2. Ele define o que é um SGSI, seus objetivos, benefícios e escopo, incluindo a escolha de patrocinadores e a formação de um comitê gestor.
3. Também descreve os passos para a implantação, execução, acompanhamento e certificação de um SGSI de acordo com as melhores práticas.
Description originale:
Titre original
SGSI - Sistema de Gestão de Sistemas de Informacao.docx
1. O documento discute a implementação de um Sistema de Gestão de Segurança da Informação (SGSI) de acordo com a norma NBR ISO/IEC 27001.
2. Ele define o que é um SGSI, seus objetivos, benefícios e escopo, incluindo a escolha de patrocinadores e a formação de um comitê gestor.
3. Também descreve os passos para a implantação, execução, acompanhamento e certificação de um SGSI de acordo com as melhores práticas.
1. O documento discute a implementação de um Sistema de Gestão de Segurança da Informação (SGSI) de acordo com a norma NBR ISO/IEC 27001.
2. Ele define o que é um SGSI, seus objetivos, benefícios e escopo, incluindo a escolha de patrocinadores e a formação de um comitê gestor.
3. Também descreve os passos para a implantação, execução, acompanhamento e certificação de um SGSI de acordo com as melhores práticas.
CURITIBA Maio 2012 DJULLES IKEDA OSNIR FERREIRA DA CUNHA
Sistema de Gesto de Segurana da Informao
Trabalho de avaliao da disciplina Segurana e Auditoria de Sistemas do Stimo perodo do curso de Sistemas de Informao, Faculdade de Cincias Sociais e Aplicadas do Paran FACET. Professor Tiago Celuppi.
CURITIBA Maio 2012 SUMRIO 1. INTRODUO ...................................................................................... 4 2. SGSI DEFINIO .............................................................................. 5 3. ABRANGENCIA DO SGSI ....................................................................... 7 4. BENEFICIOS DO SGSI ............................................................................ 8 5. PATROCINADORES E COMITE .............................................................. 9 6. CONCEITOS-CHAVE ............................................................................ 10 7. MECANISMOS DE CONTROLE ............................................................ 11 7.1. MTRICAS ............................................................................................. 11 7.2. DEFINIO ............................................................................................ 12 7.3. TIPOS DE MTRICAS ............................................................................... 12 7.4. COLETA DE RESULTADOS ....................................................................... 13 7.5. FATORES-CHAVE DE SUCESSO ................................................................ 14 8. ALINHAMENTO DO SGSI COM O NEGOCIO DA EMPRESA ............... 15 9. RISCOS .................................................................................................. 16 10. AMEAAS DE INVASO .................................................................... 17 11. RECURSOS DE TI ABRANGENTES NO SGSI ................................... 18 12. IMPLANTAO DO SGSI ................................................................... 19 13. EXECUO DO SGSI ......................................................................... 20 14. ACOMPANHAMENTO DO SGSI ......................................................... 21 15. PROCESSO DE CERTIFICAO NBR ISSO IEC 27001 ................... 22 15.1. PR AUDITORIA ...................................................................................... 22 15.2. CERTIFICAO NBR ISSO IEC 27001 ................................................... 22 16. CONCLUSO...................................................................................... 25
4 SGSI 1. INTRODUO
Vivemos hoje em um mundo globalizado, interligado via redes de computadores, onde as distncias desapareceram. A agilidade na composio e realizao de negcios, bem como a necessidade de entregar produtos com qualidade e rapidez a clientes sempre mais exigentes, forou as organizaes a mudarem a sua estratgia. O uso de sistemas de informao e comunicao passou a constituir uma necessidade para atender a esta demanda, trazendo maior dinmica aos processos do negcio da organizao. Neste mundo virtual globalizado, e cada vez mais competitivo, a informao o maior patrimnio que uma organizao pode possuir, se deseja manter-se competitiva. Considerada um ativo estratgico para o negcio da organizao, a informao deve receber uma maior ateno no que tange ao seu tratamento, devendo ser protegida e gerenciada quanto ao seu armazenamento e tramitao, evitando que pessoas indesejadas a acessem. Desta forma a segurana da informao passa a ter um papel fundamental na estratgia de negcio das organizaes. A adoo de solues de segurana com a aplicao de controles seja fsica ou lgica, mas compatveis com os processos e os riscos do negcio da organizao uma realidade no mundo virtual, tornando-se vital para a sobrevivncia e competitividade de muitas organizaes.
5 SGSI 2. SGSI DEFINIO
Um Sistema de Gesto de Segurana da Informao um conjunto de regras e normas adotado por uma empresa, com o intuito de garantir a segurana de suas informaes quanto a controles, perdas, roubos, alteraes e consultas indevidas. No se trata de um sistema de informao convencional programado com uma linguagem de programao, mas de um procedimento para monitorar e analisar o comportamento das informaes e garantir a segurana destas. Os objetivos pretendidos do SGSI devem ser confrontados com os resultados esperados, devendo ser parametrizado para adequar-se com os processos da empresa e garantir a segurana de continuidade dos negcios. Os riscos envolvidos com a perda da informao versus a segurana do SGSI devem ser analisados. A abrangncia de auditoria de um SGSI vai desde a segurana fsica e lgica da informao at a verificao da legislao pertinente s obrigaes contratuais. A documentao do SGSI tem de estar sempre em conformidade com o que praticado pela empresa e pelos funcionrios envolvidos, sendo revista constantemente e reapresentada a todos os envolvidos pelos responsveis em conferir a execuo do SGSI. O SGSI projetado para assegurar a seleo de controles de segurana adequados e proporcionados para proteger os ativos de informao e propiciar confiana s partes interessadas. A NBR ISO/IEC 27001 foi criada para prover um modelo de processo que estabelea, implemente, opere, monitore, analise criticamente, mantenha e melhore um Sistema de Gesto de Segurana da Informao (SGSI). O estabelecimento de um Sistema de Gesto da Segurana da Informao o resultado da aplicao planejada dos objetivos, diretrizes, normas, procedimentos, estrutura de trabalho e outras medidas administrativas que, de forma conjunta, definem como os objetivos de controles e controles esto implementados e gerenciados, como os ativos esto protegidos e como os riscos so gerenciados. Antes de verificar o escopo da auditoria de Sistema de Gesto de 6 SGSI Segurana da Informao (SGSI), necessrio compreender a sua abrangncia. A seguir sero apresentados alguns tpicos (ISO/IEC 27001, 2005, 2006) mais relevantes que norteiam o auditor ao adequar a abrangncia da auditoria ao porte da empresa e do fator crtico de segurana da informao, analisando-lhe os passos desde a implantao at a execuo do mesmo.
7 SGSI 3. ABRANGENCIA DO SGSI
A delimitao da abrangncia muito importante para o auditor, pois por meio desta que se consegue constatar as responsabilidades dos envolvidos. Normalmente, quando as responsabilidades, funes e limites no ficam bem definidos, por exemplo, nos casos de perda da informao, fica difcil encontrar o verdadeiro responsvel. Assim, a abrangncia atribui no somente as responsabilidades como tambm os requisitos cobertos pelo SGSI. Pode variar de empresa para empresa, devendo cobrir reas como tecnologia envolvida em desenvolvimento de sistemas, sistemas operacionais, ferramentas de escritrio, integrao de sistemas, banco de dados, redes, controles organizacionais, equipes, etc. Em cada rea de abrangncia, o auditor deve checar se o SGSI est sendo cumprido e se condiz para que a segurana da informao realmente seja eficaz.
8 SGSI 4. BENEFICIOS DO SGSI
Os benefcios de um SGSI so: 1. Conhecimento dos riscos de segurana dos ambientes e processos de negcio suportados 2. Identificao de possveis fatores de perda e prejuzo 3. Otimizao do planejamento de segurana com um Plano de Ao consistente, integrado e priorizado com base nos riscos identificados; 4. Implantao de controles, reduzindo os riscos identificados, mediante o estabelecimento de nvel de segurana adequado criticidade dos processos de negcio envolvidos; 5. Fortalecimento da imagem diante dos clientes, funcionrios, fornecedores e parceiros; 6. Formalizar as regras de segurana do negcio; 7. Possibilitar a criao de polticas e procedimentos com o objetivo de direcionar os usurios finais e membros da rea de TI quanto s melhores prticas de uso da informao. 8. Estabelecer futuros critrios para adoo e manuteno de controles de segurana. 9. Prover uma maior disponibilidade dos servios de TI da organizao.
9 SGSI 5. PATROCINADORES E COMITE
A escolha dos patrocinadores fundamental para o sucesso da implantao de um Sistema de Gesto de Segurana de Informao (SGSI) em uma organizao. por meio deles que se obtm o respaldo para a implantao do SGSI, tornando vivel a tomada de aes decorrentes da aplicao do sistema. Geralmente, so escolhidos como patrocinadores profissionais da alta direo da organizao, alm de outras pessoas-chave da rea do negcio. Estas pessoas devem formar um comit, comumente chamado de Grupo Gestor de Segurana da Informao (GGSI), que tem como meta a manuteno do SGSI na organizao. Entre as atribuies deste grupo, est a criao da Poltica de Segurana da Informao, bem como os procedimentos que decorrem dela e a aplicao de eventuais sanes, que devem ser aplicadas de forma imparcial a qualquer colaborador que infrinja a poltica estabelecida, no importando seu grau hierrquico. Para que esta premissa possa ser cumprida, entretanto, necessrio que o GGSI tenha influncia suficiente para sensibilizar os colaboradores dos riscos envolvidos no no cumprimento da poltica. Porm, vale destacar que a segurana da informao uma questo cultural, de aprendizado e de processos. Por isso, as sanes devem ser aplicadas medida que o sistema torna-se consistente, de conhecimento de todos, e a partir do momento em que a curva de aprendizado se mostrar favorvel. Este um processo lento e que exige muita dedicao do GGSI.
10 SGSI 6. CONCEITOS-CHAVE
Sanes: regras tm de ser cumpridas e, a cada no cumprimento, uma sano pode ser aplicada. Todas as regras devem ter os riscos associados ao seu no cumprimento muito bem documentados, bem como tm necessidade de deixar claros as sanses possveis de aplicao.
11 SGSI 7. MECANISMOS DE CONTROLE
No se gerencia o que no se mede no se mede o que no se define, no se define o que no se entende, no h sucesso no que no se gerencia (William Edwards Deming).
7.1. Mtricas
Em vista da diversidade de atividades executadas, quando se desenvolve e implanta um SGSI, naturalmente este processo implica ao gestor responsvel pela misso a necessidade de gerenciar diversos mecanismos de controles implementados em diversas plataformas e em vrios ambientes organizacionais. Dependendo do nmero de pessoas, processos e tecnologias envolvidas, esta atividade pode se tornar rdua, devido quantidade e diversidade de elementos a serem monitorados. Surge, ento, a necessidade iminente de responder algumas questes: Como podemos saber se o nvel atual de segurana est no patamar requerido para o nosso negcio? Como medir o nvel de eficcia dos controles atuais frente aos riscos identificados? Uma boa estrutura de mtricas permite avaliar a efetividade de um SGSI. Mas, para se chegar a este nvel, a organizao precisa desenvolver um plano de mtricas, que deve incluir a forma de coleta, o repositrio, os procedimentos para reteno e a forma de avaliao, entre outras. O primeiro passo compreender quais so os objetivos a serem atingidos e, a partir disto, desenvolver mtricas que satisfaam estes objetivos. Medir a eficcia de um SGSI est longe de ser uma tarefa fcil. Para tanto, estratgias devem ser elaboradas para monitor-la, resultando em informaes que faam sentido e auxiliam os tomadores de deciso. Em muitos casos, a falta de tempo, conhecimento e a adoo de uma estratgia inadequada para a criao de mtricas podem prejudicar o SGSI. 12 SGSI Por outro lado, como o SGSI muito dinmico. Mtricas bem definidas ajudam a visualizar a situao atual, bem como auxiliam a realizao de simulaes e o desenvolvimento das melhorias necessrias. preciso manter o SGSI vivo e em constante evoluo.
7.2. Definio
Mtricas em um SGSI so medidas estipuladas com base em metas a serem atingidas, as quais so comparadas aos resultados obtidos durante a sua operao de um SGSI. Contudo, isto no invalida a importncia de comparar os resultados alcanados anteriormente, pois, desta forma, possvel vislumbrar tendncias e avaliar o amadurecimento de seu SGSI. Esta anlise de tendncia ajudar a organizao a se precaver e tomar medidas preventivas para a correo de determinados desvios. Um mtodo bastante importante no SGSI o Benchmarking. Ele usado para se comparar o desempenho de algum processo a outro similar, de outra organizao, que esteja sendo executado de maneira mais eficaz e eficiente.
7.3. Tipos de mtricas
Mediante uma diversidade de mtricas, devemos escolher as mais adequadas a cada caso. Algumas podem ser utilizadas (mas no se limita a estas) para medir eficcia, eficincia, tempo, produtividade, qualidade, desempenho e confiabilidade do SGSI. Como exemplo de acompanhamento das mtricas, podemos citar: Benchmarking de pesquisas de sobre segurana da informao; Resultados de pesquisas internas de avaliao do SGSI; Gesto de incidentes de segurana. Independente da diversidade dos tipos de mtricas existentes, a 13 SGSI organizao deve selecionar aquelas que lhe forneam informaes relevantes de seu SGSI, conforme citado anteriormente. A seguir, apresentamos uma tabela com as informaes mnimas, porm, necessrias, para se criar um plano de mtricas. Passo a passo para o estabelecimento de mtricas. 1. Mtrica deve conter o nome da mtrica e a descrio da escala que ser usada. 2. Escopo da mtrica descreve o que deve ser medido. Por exemplo: o processo ou controles do ISMS e quais partes do processo ou controles. 3. Propsito e objetivo defini o propsito da mtrica, quais as metas e objetivos devem ser atingidos 4. Mtodo de medio descreve como a medio ser realizada, por exemplo, usando clculo, frmula ou porcentagens. 5. Frequncia da medio descreve a periodicidade da medio. Por exemplo: mensal, semanal, dirio etc. 6. Origem dos dados e procedimento de coleta defini de onde os dados sero coletados e quais mtodos so usados para a coleta. 7. Indicadores contem os indicadores usados para otimizar a mtrica e definir o seu propsito e como eles so entendidos e podem ser aplicados. 8. Data da medio e responsvel descreve a data da medio e a pessoa responsvel por esta ao. 9. Nvel da efetividade alcanada contem o resultado e a data da medio Causas do no-cumprimento Este campo deve conter as causas do no-cumprimento dos objetivos, indicadores etc. Fonte: Measuring the effectiveness of your ISMS.
7.4. Coleta de resultados
A atividade de medir demanda recursos e, obviamente, tempo para a coleta e anlise dos resultados. Por esta razo, as mtricas devem fazer sentido e ser coerentes, alm de alinhadas aos objetivos a serem alcanados. 14 SGSI Como nem todos os resultados podem ser coletados automaticamente, importante determinar a melhor forma de faz-lo, principalmente quando o envolvimento de outras reas se faz necessrio e a coleta tem de ser realizada manualmente. Alguns processos eventualmente so executados e os registros coletados e armazenados em outra localidade. Independente disto, o resultado deve ser coletado e consolidado em um nico repositrio.
7.5. Fatores-chave de sucesso
Destacamos alguns fatores que devem ser gerenciados adequadamente para que a organizao consiga desenvolver mtricas adequadas e que ajudem a monitorar de forma mais assertiva o seu SGSI. Conhecer o objetivo a ser alcanado; Conhecer as metas a serem alcanadas; Coletar os resultados em tempo hbil; Apresentar resultados vlidos e confiveis; Criar mtricas que permitam monitorar o SGSI; Desenvolver metas desafiadoras. de fundamental importncia que os fatores-chave de sucesso sejam identificados e documentados para que a organizao consiga administr-los. Por fim, notria a importncia do estabelecimento de mtricas, para que seja possvel vislumbrar a efetividade de qualquer SGSI. Sem elas, o gerenciamento passa a ser realizado de forma pontual, com muitas aes sem foco e, em alguns casos, sem critrios definidos. A gesto que utiliza um sistema de mtricas permite no apenas uma visualizao rpida da situao atual, mas, tambm, contribui para uma tomada de deciso mais assertiva.
15 SGSI 8. ALINHAMENTO DO SGSI COM O NEGOCIO DA EMPRESA
O SGSI tem de estar alinhado com os negcios da empresa em relao a estratgias de negcio, competitividade, atuao no mercado, relao com clientes e fornecedores, dentre outros. O momento atual e o futuro pretendido devem estar alinhados com as normas e regras do SGSI. Exemplo Se a empresa pretende utilizar tecnologia WEB na totalidade de seus sistemas de gesto de vendas, o SGGI deve conter uma regra proibindo o desenvolvimento de novas solues que no utilizem a tecnologia WEB, e assim por diante. Outro ponto relevante a ser auditado se a parte legal envolvida est implantada nos sistemas ou se esta pode gerar impedimento para novos negcios, como por exemplo, se as licenas dos softwares existentes so suficientes para futuros negcios.
16 SGSI 9. RISCOS
Os riscos devem ser mensurados e constados no SGSI e estar bem claros para todos os envolvidos, assim como para a alta gerncia. O auditor tem de constatar se os riscos esto contemplados pelo SGSI e se condizem com a realidade. Os riscos podem ser divididos em atuais e futuros. Os atuais envolvem a integrao dos sistemas existentes com o negcio atual. Os riscos futuros so derivados de futuros negcios que a empresa pretenda, como por exemplo, a fuso com outras empresas, aberturas de filiais, mudanas de tecnologia, expanso de negcios com fornecedores, que podem comprometer a utilizao dos recursos de TI. A importncia de mensurar os riscos to relevante, porque, justamente atravs do conhecimento destes que se implantam as regras de segurana no SGSI. Essencial que a alta gerncia tenha conhecimento dos riscos que a empresa esteja correndo, para no ser surpreendida. Uma avaliao constante dos riscos deve ser realizada e a estratgia de recuperao, em caso de perda ou dano, tem que estar relacionada. Muitas vezes, as polticas de conteno para evitar riscos demandam custos financeiros, tempo e consomem mais recursos computacionais e humanos. Por estes motivos, gerentes de informtica ou diretores relegam o segundo plano de implantao de medidas, no sentido de evitar riscos, deixando que eles existam e possam acontecer. Nestes casos, cabe ao auditor responsabilizar pontualmente a pessoa pelo eventual risco que a empresa est correndo. O simples fato de atribuir um determinado risco a uma determinada pessoa faz com que esta delegue medidas para evitar o risco de segurana da informao.
17 SGSI 10. AMEAAS DE INVASO
Ameaa de invaso o que toda empresa no quer. As invases podem vir tanto de fora da empresa como de dentro. A proteo contra invaso tem de ser contemplada pelo SGSI e o auditor tem de verificar se existem tentativas de invaso ou se j ocorreram. As invases podem interferir na continuidade dos negcios da empresa, como perda de confiabilidade das informaes, integridade e, principalmente, a continuidade de disponibilidade da mesma. O auditor avalia o grau de risco de cada possibilidade de invaso. Normalmente a proteo contra invaso est na constante atualizao dos softwares de proteo. Ter evitado uma invaso no significa que a empresa no v mais sofrer o mesmo ataque, por isso os controles contra acessos indevidos precisam estar ativos durante as 24 horas do dia, inclusive sobre dados e informaes que saiam da empresa, como por exemplo, o envio de cpias de segurana para locais fora da empresa.
18 SGSI 11. RECURSOS DE TI ABRANGENTES NO SGSI
Os recursos de TI, hardware e software, devem estar documentados no SGSI. Ter os respectivos recursos autorizados pode no ser o suficiente, preciso que estes sejam utilizados em conformidade com o estipulado pelo SGSI. Um exemplo de utilizao pode ser conferido aos e-mails, os quais devem ser utilizados com a finalidade de efetuar operaes relacionadas ao trabalho na empresa, e no para assuntos particulares. Atividades de trabalho inerentes s atividades da empresa tambm devem ser conferidas pelo auditor, pois possvel que funcionrios tragam trabalhos externos empresa, para serem executados ali. Este tipo de prtica tem de ser verificado por softwares que realizem varreduras nas estaes de trabalho, em busca de contedos suspeitos.
19 SGSI 12. IMPLANTAO DO SGSI
Antes de realizar a implantao do SGSI, preciso checar se o mesmo condiz com as medidas e as regras condizentes, por sua vez, com a natureza da segurana da informao de que a empresa necessita. O auditor tambm deve averiguar se as pessoas envolvidas na elaborao do SGSI tm capacidade tcnica para tal realizao. Uma vez elaborado o SGSI, um plano de implantao deve ser tratado, visto que pode haver resistncia por parte de alguns funcionrios com relao a poder e antiguidade na empresa. O processo de implantao deve deixar clara a necessidade de um SGSI na empresa e o benefcio do mesmo para a segurana da informao, como tornar evidente que este um processo irreversvel.
20 SGSI 13. EXECUO DO SGSI
Tudo no pode ficar excelente apenas no papel, preciso averiguar se as normas e controles propostos no SGSI esto sendo executados pelos envolvidos e respaldados pela alta gerncia. O auditor tem que conferir detalhadamente as normas contidas no SGSI e verificar in loco se esto sendo cumpridas. O no cumprimento do SGSI representa um risco de alto nvel. Pior que no ter um SGSI ter um que no cumprido, ter a sensao que as informaes esto protegidas, quando no esto. O auditor deve realizar esta verificao em vrios nveis e locais na empresa, inclusive realizando tentativas de violao das regras do SGSI para a verificao da eficincia dos controles de segurana. relevante que uma avaliao peridica do SGSI seja feita e repassada ao conhecimento dos envolvidos, para, cada vez mais, ampliar as responsabilidades dos funcionrios da empresa perante a aplicao do SGSI. O incio da implantao do SGSI tem que ser documentado e validado pela alta gerncia e levado ao conhecimento de todos os funcionrios envolvidos e, se for o caso, coletar um ciente de cada funcionrio da empresa. A importncia do conhecimento elimina, futuramente, a alegao de desconhecimento do SGSI para justificar prticas ilegais.
21 SGSI 14. ACOMPANHAMENTO DO SGSI
No basta implantar um SGSI e virar as costas e achar que tudo correr perfeito: necessrio acompanhar a execuo para analisar se o que foi elaborado est sendo cumprido e se o mesmo suficiente para garantir a segurana da informao. O acompanhamento deve existir e um relatrio deve ser divulgado constantemente a todos os envolvidos, inclusive os erros e ajustes que se fizeram necessrios devem constar a. Para que o SGSI no seja relegado a segundo plano, justifica-se a importncia do acompanhamento, assim como importante divulgar as aes de correo e se estas foram suficientes. O acompanhamento ainda deve verificar se as auditorias foram realizadas regularmente e a sua respectiva abrangncia. A ausncia de auditoria pode esconder deficincias do SGSI, e, conforme a gravidade dessas, colocar as informaes em risco. possvel que o SGSI fique defasado por falta de recursos humanos disponveis na empresa, o que pode decorrer de uma forte mudana de estratgia em seus negcios. Esta constatao deve ser apontada pelo auditor para certificao de que o SGSI no esteja prejudicado em sua abrangncia. O relatrio do acompanhamento, como o prprio auditor, tambm pode sugerir um aperfeioamento no SGSI. Manter um histrico do acompanhamento muito til para constatar se as aes passadas se tornaram eficazes. Um histrico um forte respaldo para justificar uma ao futura, inclusive uma ao de conduta individual no apropriada. Importante Um aspecto relevante quanto ao acompanhamento levar em considerao as constataes colocadas pelos funcionrios, pois algumas sugestes podem trazer medidas de segurana eficazes, visto que so eles que lidam no dia a dia com as informaes. Ou seja, a leitura que se faz da necessidade de acompanhamento traduz-se na constatao de que o SGSI eficaz, ou no, o que muito importante para o auditor, pois, conforme o caso, pode levar a rever todo o modelo do SGSI, ou garantir a tranquilidade de que as informaes esto seguras 22 SGSI 15. PROCESSO DE CERTIFICAO NBR ISSO IEC 27001
Aps a implantao do Sistema de Gesto da Segurana da Informao e aps ter realizado pelo menos um ciclo de auditoria interna e pelo menos uma anlise crtica pela direo a empresa pode solicitar a realizao da Pr- auditoria para verificar o nvel de adequao norma em questo.
15.1. Pr auditoria
A Pr-auditoria tem como principal objetivo a deteco de eventuais problemas conceituais que possam vir a ser despercebidos pela empresa em processo de certificao. realizada nas instalaes da empresa e segue os mesmos passos da Auditoria de Certificao. So verificados os procedimentos e a documentao em relao sua adequao norma de referncia. O tempo dimensionado para esta auditoria, normalmente no permite que a equipe auditora tenha tempo para verificar se as prticas descritas na documentao esto adequadamente implementadas isto o que chamamos de auditoria de conformidade, que ser realizada durante a Auditoria de Certificao (Inicial) e nas Auditorias de Manuteno (Anuais ou semestrais). Na realidade, a maior parte das empresas a emprega dessa forma, uma vez que elas ainda no identificaram a necessidade ou a possibilidade de realizarem o processo de certificao.
15.2. Certificao NBR ISSO IEC 27001
A certificao um documento emitido por uma entidade certificadora independente que garante que uma dada empresa implantou corretamente todos os controles da norma aplicveis. A certificao emitida aps uma auditoria externa para verificao da conformidade da empresa com a norma. 23 SGSI Ela comprova, para as empresas certificadas, que a segurana da informao est garantida de forma efetiva, o que no significa, contudo, que a empresa esteja imune a violaes de segurana. Alm disso, a certificao comprova, para os clientes e fornecedores da empresa, a preocupao que esta tem com a segurana da informao, reforando sua imagem junto ao mercado. Dependendo da atividade da empresa, essa certificao pode ser essencial para a realizao de certos negcios. A auditoria do Sistema de Gesto da Segurana da Informao dividida em 2 etapas: Auditoria de Documentao, conhecida como Fase 1 e Auditoria de Certificao, conhecida como Fase 2. No Mundo so apenas 7840 empresas certificadas.
Japan 4061 Netherlands 22 South Africa 4 UK 549 Slovenia 21 Belgium 3 India 545 Bulgaria 18 Gibraltar 3 China 504 Iran 18 Macau 3 Taiwan 459 Philippines 16 Albania 2 Germany 209 Argentina 14 Bosnia Herzegovina 2 Czech Republic 111 Pakistan 14 Cyprus 2 Korea 106 Russian Federation 14 Ecuador 2 USA 104 Saudi Arabia 14 Jersey 2 Italy 86 Vietnam 14 Kazakhstan 2 Spain 77 Iceland 13 Luxembourg 2 Hungary 70 Indonesia 13 Macedonia 2 Poland 62 Colombia 12 Malta 2 Malaysia 58 Kuwait 11 Ukraine 2 Thailand 55 Canada 10 Mauritius 2 Ireland 50 Norway 10 Armenia 1 Austria 44 Portugal 10 Bangladesh 1 Romania 35 Sweden 10 Bolivia 1 Greece 32 Switzerland 9 Belarus 1 Hong Kong 32 Bahrain 8 Denmark 1 Australia 29 Chile 5 Kyrgyzstan 1 Singapore 29 Egypt 5 Lebanon 1 Turkey 29 Oman 5 Moldova 1 Mexico 28 Peru 5 New Zealand 1 Croatia 27 Qatar 5 Sudan 1 Slovakia 27 Sri Lanka 5 Uruguay 1 France 26 Dominican Republic 4 Yemen 1 Brazil 24 Morocco 4 UAE 20 Lithuania 4 Total 7840 24 SGSI No Brasil so apenas 24 empresas certificadas.
Standard BS 7799-2:2002 or ISO/IEC 27001:2005 Atos Origin Brasil Ltda Brazil IS 98429 ISO/IEC 27001:2005 Axur Information Security Brazil IS 509742 ISO/IEC 27001:2005 BT Brazil LRQ 4003984 LRQA ISO/IEC 27001:2005 BT Global Services Sao Paulo SOC/NOC Brazil 4003984 LRQA ISO/IEC 27001:2005 Cardif do Brasil Vida e Previdencia S/A Brazil IS 521855 ISO/IEC 27001:2005 CIP Camara Interbancaria de Pagamentos Brazil IS 96934 ISO/IEC 27001:2005 Fucapi-Fundacao Brazil IS 504391 ISO/IEC 27001:2005 IBM ITD Brazil Brazil 62.691 Bureau Veritas Certification - Brazil ISO/IEC 27001:2005 Mdulo Security Solutions S/A Brazil IS 510466 ISO/IEC 27001:2005 Poliedro - Informtica, Consultoria e Servios Ltda. Brazil 44121081309 ISO/IEC 27001:2005 Prodesp Brazil IS 512881 ISO/IEC 27001:2005 Promon Engenharia Ltda. Brazil IS 500248 ISO/IEC 27001:2005 Promon Tecnologia Ltda Brazil IS 500564 ISO/IEC 27001:2005 Samarco Minerao S/A. Brazil IS 524157 ISO/IEC 27001:2005 SERASA S.A. Brazil 262326 ISMS ISO/IEC 27001:2005 Servio Federal de Processamento de Dados - SERPRO Brazil IS 515421 ISO/IEC 27001:2005 Superior Tribunal de Justia Brazil IS 538457 ISO/IEC 27001:2005 Telefonica Empresas S/A Brazil IS 501039 ISO/IEC 27001:2005 Tivit Tecnologia da Informacao S.A. Brazil 00017-2006-AIS-OSL-NA DNV ISO/IEC 27001:2005 TIVIT TERCEIRIZAO DE TECNOLOGIA E SERVIOS S.A. Brazil 16203-2007-AIS-BRA-NA DNV ISO/IEC 27001:2005 T-Systems Brazil Brazil 336227 ISMS ISO/IEC 27001:2005 T-Systems do Brasil Ltda. Brazil 341898 ISMS ISO/IEC 27001:2005 UNISYS Global Outsourcing Brazil IS 97102 ISO/IEC 27001:2005 Zamprogna S/A Importacao Brazil IS 518855 ISO/IEC 27001:2005 Name of the Organization Country Certificate Number Certification Body 25 SGSI 16. CONCLUSO
Logicamente pode-se concluir que o processo de busca de solues para os problemas de segurana em ambientes computacionais envolve a necessidade do desenvolvimento de padres, os quais sero tanto utilizados no apoio construo de sistemas computacionais "seguros", como para a avaliao dos mesmos. A existncia de um SGSI implantado na organizao, permite ao usurio tomar conhecimento do quo protegidas e seguras estaro as suas informaes. A grande contribuio da metodologia permitir que o responsvel pela implementao do projeto de segurana tenha uma viso nica do sistema de segurana da informao e dos diversos padres, controles e mtodos que o compem. A implementao e manuteno de um SGSI exigem uma dedicao e anlise profunda do ambiente computacional e organizacional. Esta no uma tarefa fcil e obrigaria o apoio da direo da organizao e a participao de todos os funcionrios com esta finalidade. Alm disso, o processo poderia envolver a participao de terceiros, como clientes e fornecedores, bem como a contratao de uma consultoria externa. Por tudo isso, tornar seguro um ambiente computacional pode ser uma tarefa bastante complexa, requerendo gesto e procedimentos apropriados. Porm, para se atingir o patamar de segurana desejado nem sempre necessria a adoo de todos os mecanismos, mas sim uma seleo criteriosa dos controles a partir da realizao de uma anlise de risco.