O documento discute a adoção da norma ISO 27001 para garantir a segurança da informação nos negócios. Ele explica que a ISO 27001 estabelece os requisitos para um Sistema de Gestão de Segurança da Informação efetivo que considera fatores como governança, riscos, controles e gestão de incidentes. Além disso, destaca os benefícios da certificação, como redução de riscos, conformidade legal e confiança de parceiros. Por fim, fornece estatísticas sobre o crescimento no número de empresas certificadas global
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
1. “COMO GARANTIR A SEGURANÇA DA INFORMAÇÃO
NOS NEGÓCIOS, ADOTANDO A ISO 27001”
Prof. Giovani F. de Sant’Anna MSc, MBA, MCSO, Security+, BS 7799 Lead Auditor
E-mail: gfsantanna@gmail.com
2009
UNIVERSIDADE PRESBITERIANA MACKENZIE
2. 1
• Segurança da Informação
• Estratégia Corporativa
• Riscos
• Gestão de Segurança da Informação
• Empresas Certificadas ISO 27001 no Mundo
• Perguntas
Agenda
8. Sistema de Gestão de
Tecnologia e Segurança da
Informação
Medição
dos
Controles
Aplicação
dos
Controles
ITIL
Novo
Código Civil
Cobit
ISO/IEC 17799:2005
Cobit x Sarbanes
GoodPriv@cy
Melhores Práticas
7
22. NBR ISO/IEC 17799:2005
• Política de Segurança da Informação
• Organizando a Segurança da Informação
• Gestão de Ativos
• Classificação da Informação
• Segurança nos Recursos Humanos
• Segurança Física e do Ambiente
• Gerenciamento das Operações e Comunicações
• Controle de Acessos
• Aquisição, Desenvolvimento e Manut. De Sistemas de Informação
• Gestão de Incidentes de Segurança da Informação
• Gestão da Continuidade dos Negócios
• Conformidade
Gerenciamento
de Riscos
Gestão de
Incidentes de
Segurança
17 Novos
Controles foram
Introduzidos
21
23. Faz recomendações claras sobre
a guarda de mídias de dados de backups
(capítulo 8.4.1)
“Convém que as mídias sejam
controladas e fisicamente protegidas”
“Convém que seja dado às cópias de
segurança um nível adequado de proteção
física e ambiental”
(3 cópias)
Norma Técnica da NBR ISO IEC 17799
22
29. Sistema Gestão de Segurança da Informação -
SGSI
• É o resultado da aplicação planejada de objetivos,
diretrizes, políticas, procedimentos, modelos e outras
medidas administrativas que, de forma conjunta, define
como são reduzidos os riscos para a segurança da
informação.
– Para as empresas implantarem a norma, para constituir um
SGSI, elas consideram o seguintes pontos:
• Os ativos que estão sendo protegidos;
• O gerenciamento de riscos; e
• Os objetivos de controles e controles implementados.
28
30. A ISO 27002 e a ISO 27001
• A ISO 27002 define as melhores práticas para a
gestão da segurança da informação.
• A ISO 27001 considera: segurança física,
técnica, procedimental e em pessoas.
• Sem um Sistema de Gestão da Segurança da
Informação formal, existe um grande risco da
segurança ser quebrada.
• A segurança da informação é um processo de
gestão, não é um processo tecnológico.
• A ISO 27001 é a única norma internacional que pode ser
auditada por uma terceira parte.
29
31. Visão Geral ISO 27001
• Incorpora um processo de escalonamento
de risco e valorização de ativos.
• O grau em que o sistema é formal e contém
processos estruturados irá facilitar a
replicação do sistema de um local para outro.
• O investimento no compromisso da direção
e em treinamento dos funcionários reduz a
probabilidade de ameaças bem sucedidas.
• A infra-estrutura (sistemas de gestão e
processos) pode ser desenvolvida
centralmente e então desdobrada
globalmente.
• Controles adicionais podem ser
incorporados ao SGSI se assim for desejado.
30
32. • Governança Corporativa
• Melhoria da eficácia da Segurança da Informação
• Diferencial de mercado
• Atender os requisitos de partes interessadas e dos clientes
• Única norma com aceitação global
• Redução potencial no valor do seguro
• Focada nas responsabilidades dos funcionários
• A norma cobre TI bem como a organização, pessoal e instalações
• Conformidade com as legislações
Por que adotar a ABNT NBR ISO/IEC ISO 27001 ?
31
33. Dificuldades para Implementar um SGSI
• Dificuldade na definição do escopo.
• Dificuldade para desenvolver uma abordagem
sistemática simples e clara para a Gestão de Risco.
• Mesmo existindo Planos de Continuidade de
Negócio, raramente eles são testados de alguma forma.
• Designação da área de TI como responsável por
desenvolver o projeto.
• Falta de visão e “mente aberta” ao estabelecer
os parâmetros dos controles identificados na Norma.
• Falta de ação para identificar e usar controles
fora da norma.
• Limitação de orçamento.
32
34. Benefícios da Implementação da ISO 27001
• Reduz o risco de responsabilidade pela não implementação ou determinação
de políticas e procedimentos.
• Oportunidade de identificar e corrigir pontos fracos.
• A alta direção assume a responsabilidade pela segurança da informação.
• Permite revisão independente do sistema de gestão da segurança da
Informação.
• Oferece confiança aos parceiros comerciais, partes interessadas, e clientes.
Melhor conscientização sobre segurança.
• Combina recursos com outros Sistemas de Gestão.
• Mecanismo para se medir o sucesso do sistema.
33
36. Responsabilidade da Direção / Entendendo comprometimento
Para o bife a cavalo dar certo, a galinha
apenas botou o ovo, já a vaca deu a VIDA.
É muito fácil ser galinha, o difícil é
ser a vaca ?
A Alta Direção precisa estar comprometida,
precisa dar sua carne e seu sangue
E o cavalo ?
Não fez nada e levou a fama
35
40. Compatibilidade com outros Sistemas de Gestão
Possível adaptação a sistemas já
existentes na organização
43
41. A norma ISO 27001:
• Cobre todos os tipos de organizações,
• Especifica requisitos para estabelecer, implementar,
operar, monitorar,analisar criticamente, manter e
melhorar um SGSI documentado dentro do
contexto dos riscos de negócios globais da
organização.
•Especifica requisitos para a implementação de
controles de segurança personalizados para as
necessidades individuais de organizações ou suas
partes.
Objetivo Geral
44
44. Região Número de Certificados
Australia 5
Austria 2
Brazil 2
China 5
Egypt 1
Finland 8
Germany 8
Greece 2
Hong Kong 7
Hungary 3
Iceland 1
India 13
Ireland 3
Italy 11
Japan 34
Korea 11
Malaysia 1
Mexico 1
Norway 7
Singapore 9
Spain 1
Sweden 4
Switzerland 1
Taiwan 4
UAE 1
UK 91
USA 3
TOTAL 239
Em 2000:
Registros de Certificações
47
45. Em Junho de 2004:
Japan 365 USA 9 Argentina 1
UK 139 Ireland 8 Egypt 1
India 34 China 6 Macau 1
Germany 24 Sweden 4 Malaysia 1
Korea 23 Austria 3 Netherlands 1
Taiwan 20 Brazil 3 Poland 1
Italy 18 Iceland 3 Qatar 1
Hong Kong 15 Mexico 3 Saudi Arabia 1
Singapore 11 Switzerland 3 Slovenia 1
Australia 10 Belgium 2 South Africa 1
Finland 10 Denmark 2 Spain 1
Hungary 9 Greece 2 Relative Total 749
Norway 9 UAE 2 Absolute Total 744
Registros de Certificações
48
51. Financeiro Governo Telecom Comércio e IndústriaServiços
Algumas Empresas Certificadas
fonte: http://www.iso27001certificates.com/
Em MAIO de 2009
54