O documento discute a adoção da norma ISO 27001 para garantir a segurança da informação nos negócios. Ele explica que a ISO 27001 estabelece os requisitos para um Sistema de Gestão de Segurança da Informação efetivo que considera fatores como governança, riscos, controles e gestão de incidentes. Além disso, destaca os benefícios da certificação, como redução de riscos, conformidade legal e confiança de parceiros. Por fim, fornece estatísticas sobre o crescimento no número de empresas certificadas global

1. “COMO GARANTIR A SEGURANÇA DA INFORMAÇÃO
NOS NEGÓCIOS, ADOTANDO A ISO 27001”
Prof. Giovani F. de Sant’Anna MSc, MBA, MCSO, Security+, BS 7799 Lead Auditor
E-mail: gfsantanna@gmail.com
2009
UNIVERSIDADE PRESBITERIANA MACKENZIE

2. 1
• Segurança da Informação
• Estratégia Corporativa
• Riscos
• Gestão de Segurança da Informação
• Empresas Certificadas ISO 27001 no Mundo
• Perguntas
Agenda

3. Segurança da Informação
e
Riscos
2

4.  “Segurança é um processo, não um produto.”
(Bruce Schneier)
Livro: Secrets & Lies
3

5. 1a Geração
Portões, Armas, Guardas
Gerenciamento
Tempo
2a Geração
Segurança Reativa
3a Geração
Segurança habilitando
os negócios
4a Geração
Gerenciamento Proativo e
Auditabilidade
Evolução da Segurança
4

6. Estratégia Corporativa
5

7. Princípio das Mudanças
6

8. Sistema de Gestão de
Tecnologia e Segurança da
Informação
Medição
dos
Controles
Aplicação
dos
Controles
ITIL
Novo
Código Civil
Cobit
ISO/IEC 17799:2005
Cobit x Sarbanes
GoodPriv@cy
Melhores Práticas
7

9. Transparência - Eqüidade - Prestação de Contas -
Responsabilidade Corporativa
Sócios
Conselhode
Administração
Diretoria
Executiva
Auditoria
Práticas
Pilares da
Governança
Corporativa
Princípios
Básicos
ConselhoFiscal
Governança – Princípios, Pilares e Práticas
8

10. Tecnologia
•1
•2
•3
Processos
Pessoas
A segurança da informação deve considerar 3 fatores críticos de
sucesso e influenciadores dos critérios de proteção.
Fatores críticos de Sucesso
9

11. •Segurança não é somente
um problema de tecnologia...
•...é a gestão inteligente da
informação em todos os
ambientes!
Quebrando o paradigma
10

12. 11
RISCOS

13. 12
RISCOS

14. •Vulnerabilidades
•Integridade
•Confidencialidade
•Disponibilidade
•Ativos
Riscos
•Medidas de
Segurança
•Impactos no
negócio
•aumenta•diminui
•aumenta
•aumenta
•aumenta
•Ameaças
•sujeitos
•permitem•limitados
•causam
•protege
•perdas
•Segurança é uma questão de gestão e não somente técnica!
Ciclo de vida da Segurança
13

15. Categoria dos Riscos
14

16. 15
Gestão de Segurança
da
Informação

17. 16
Governança Corporativa,SI e Riscos...

18. 17
Infraestrututa
Equipamentos
Organizacional
Acessoàinformação
Cópiasdesegurança
Continuidadedonegócio
Ambienteinterconexão
Negócio da organização
Segurança da Informação
Dimensões da Segurança da Informação

19. Abrangência da ISO 27001 – Sistema Gestão SI
18

20. NBR ISO / IEC 27002 (ISO 17799:2005)
Código de Prática para Gestão de Segurança da Informação
19

21. NBR ISO/IEC 17799:2005
134
Controles
20

22. NBR ISO/IEC 17799:2005
• Política de Segurança da Informação
• Organizando a Segurança da Informação
• Gestão de Ativos
• Classificação da Informação
• Segurança nos Recursos Humanos
• Segurança Física e do Ambiente
• Gerenciamento das Operações e Comunicações
• Controle de Acessos
• Aquisição, Desenvolvimento e Manut. De Sistemas de Informação
• Gestão de Incidentes de Segurança da Informação
• Gestão da Continuidade dos Negócios
• Conformidade
Gerenciamento
de Riscos
Gestão de
Incidentes de
Segurança
17 Novos
Controles foram
Introduzidos
21

23. Faz recomendações claras sobre
a guarda de mídias de dados de backups
(capítulo 8.4.1)
“Convém que as mídias sejam
controladas e fisicamente protegidas”
“Convém que seja dado às cópias de
segurança um nível adequado de proteção
física e ambiental”
(3 cópias)
Norma Técnica da NBR ISO IEC 17799
22

24. Norma Técnica da BS EN 1047-1:1997
23

25. Norma Técnica da BS EN 1047-1:1997
24

26. Sistema de Gestão
em
Segurança da Informação (SGSI)
ou
Information Security Management
System (ISMS)
25

27. ISO/IEC 27001:2006
Sistema de Gestão de Segurança da Informação
26

28. ISO/IEC 27001:2006
27

29. Sistema Gestão de Segurança da Informação -
SGSI
• É o resultado da aplicação planejada de objetivos,
diretrizes, políticas, procedimentos, modelos e outras
medidas administrativas que, de forma conjunta, define
como são reduzidos os riscos para a segurança da
informação.
– Para as empresas implantarem a norma, para constituir um
SGSI, elas consideram o seguintes pontos:
• Os ativos que estão sendo protegidos;
• O gerenciamento de riscos; e
• Os objetivos de controles e controles implementados.
28

30. A ISO 27002 e a ISO 27001
• A ISO 27002 define as melhores práticas para a
gestão da segurança da informação.
• A ISO 27001 considera: segurança física,
técnica, procedimental e em pessoas.
• Sem um Sistema de Gestão da Segurança da
Informação formal, existe um grande risco da
segurança ser quebrada.
• A segurança da informação é um processo de
gestão, não é um processo tecnológico.
• A ISO 27001 é a única norma internacional que pode ser
auditada por uma terceira parte.
29

31. Visão Geral ISO 27001
• Incorpora um processo de escalonamento
de risco e valorização de ativos.
• O grau em que o sistema é formal e contém
processos estruturados irá facilitar a
replicação do sistema de um local para outro.
• O investimento no compromisso da direção
e em treinamento dos funcionários reduz a
probabilidade de ameaças bem sucedidas.
• A infra-estrutura (sistemas de gestão e
processos) pode ser desenvolvida
centralmente e então desdobrada
globalmente.
• Controles adicionais podem ser
incorporados ao SGSI se assim for desejado.
30

32. • Governança Corporativa
• Melhoria da eficácia da Segurança da Informação
• Diferencial de mercado
• Atender os requisitos de partes interessadas e dos clientes
• Única norma com aceitação global
• Redução potencial no valor do seguro
• Focada nas responsabilidades dos funcionários
• A norma cobre TI bem como a organização, pessoal e instalações
• Conformidade com as legislações
Por que adotar a ABNT NBR ISO/IEC ISO 27001 ?
31

33. Dificuldades para Implementar um SGSI
• Dificuldade na definição do escopo.
• Dificuldade para desenvolver uma abordagem
sistemática simples e clara para a Gestão de Risco.
• Mesmo existindo Planos de Continuidade de
Negócio, raramente eles são testados de alguma forma.
• Designação da área de TI como responsável por
desenvolver o projeto.
• Falta de visão e “mente aberta” ao estabelecer
os parâmetros dos controles identificados na Norma.
• Falta de ação para identificar e usar controles
fora da norma.
• Limitação de orçamento.
32

34. Benefícios da Implementação da ISO 27001
• Reduz o risco de responsabilidade pela não implementação ou determinação
de políticas e procedimentos.
• Oportunidade de identificar e corrigir pontos fracos.
• A alta direção assume a responsabilidade pela segurança da informação.
• Permite revisão independente do sistema de gestão da segurança da
Informação.
• Oferece confiança aos parceiros comerciais, partes interessadas, e clientes.
Melhor conscientização sobre segurança.
• Combina recursos com outros Sistemas de Gestão.
• Mecanismo para se medir o sucesso do sistema.
33

35. Estrutura da Norma NBR ISO/IEC 27001:2006
34

36. Responsabilidade da Direção / Entendendo comprometimento
Para o bife a cavalo dar certo, a galinha
apenas botou o ovo, já a vaca deu a VIDA.
É muito fácil ser galinha, o difícil é
ser a vaca ?
A Alta Direção precisa estar comprometida,
precisa dar sua carne e seu sangue
E o cavalo ?
Não fez nada e levou a fama
35

37. Abordagem do Processo
36

38. Abordagem do Processo

39. Abordagem do Processo
Modelo PDCA - Aplicado ao SGSI
38

40. Compatibilidade com outros Sistemas de Gestão
Possível adaptação a sistemas já
existentes na organização
43

41. A norma ISO 27001:
• Cobre todos os tipos de organizações,
• Especifica requisitos para estabelecer, implementar,
operar, monitorar,analisar criticamente, manter e
melhorar um SGSI documentado dentro do
contexto dos riscos de negócios globais da
organização.
•Especifica requisitos para a implementação de
controles de segurança personalizados para as
necessidades individuais de organizações ou suas
partes.
Objetivo Geral
44

42. Aplicação
Qualquer Produtos/Serviços
Qualquer Tamanho
Qualquer Tipo
45

43. Empresas Certificadas ISO 27001
No Mundo
Diferencial Competitivo
46

44. Região Número de Certificados
Australia 5
Austria 2
Brazil 2
China 5
Egypt 1
Finland 8
Germany 8
Greece 2
Hong Kong 7
Hungary 3
Iceland 1
India 13
Ireland 3
Italy 11
Japan 34
Korea 11
Malaysia 1
Mexico 1
Norway 7
Singapore 9
Spain 1
Sweden 4
Switzerland 1
Taiwan 4
UAE 1
UK 91
USA 3
TOTAL 239
Em 2000:
Registros de Certificações
47

45. Em Junho de 2004:
Japan 365 USA 9 Argentina 1
UK 139 Ireland 8 Egypt 1
India 34 China 6 Macau 1
Germany 24 Sweden 4 Malaysia 1
Korea 23 Austria 3 Netherlands 1
Taiwan 20 Brazil 3 Poland 1
Italy 18 Iceland 3 Qatar 1
Hong Kong 15 Mexico 3 Saudi Arabia 1
Singapore 11 Switzerland 3 Slovenia 1
Australia 10 Belgium 2 South Africa 1
Finland 10 Denmark 2 Spain 1
Hungary 9 Greece 2 Relative Total 749
Norway 9 UAE 2 Absolute Total 744
Registros de Certificações
48

46. Em Novembro de 2006
Registros de Certificações
49

47. Em Novembro de 2006
Registros de Certificações
50

48. fonte: http://www.iso27001certificates.com/
Registros de Certificações
Em Março de 2007
51

49. fonte: http://www.iso27001certificates.com/
Registros de Certificações
Em Março de 2007
52

50. Em Maio de 2009
Registros de Certificações
53

51. Financeiro Governo Telecom Comércio e IndústriaServiços
Algumas Empresas Certificadas
fonte: http://www.iso27001certificates.com/
Em MAIO de 2009
54

52. 55
OBRIGADO