Sistemas de Gestão e Segurança da Informação

Apresentado por: Djulles Ikeda

Osnir F Cunha

Introdução

Neste mundo virtual globalizado, e cada vez mais competitivo, a informação é o maior patrimônio que uma organização pode possuir, se deseja manter-se competitiva. Considerada um ativo estratégico para o negócio da organização, a informação deve receber uma maior atenção no que tange ao seu tratamento, devendo ser protegida e gerenciada quanto ao seu armazenamento e tramitação, evitando que pessoas indesejadas a acessem.

SGSI – Definição

Um Sistema de Gestão de Segurança da Informação é um conjunto de regras e normas adotado por uma empresa, com o intuito de garantir a segurança de suas informações quanto a controles, perdas, roubos, alterações e consultas indevidas.

ABRANGENCIA DO SGSI

A delimitação da abrangência é muito importante para o auditor, pois é por meio desta que se consegue constatar as responsabilidades dos envolvidos.

BENEFICIOS DO SGSI

1. Conhecimento dos riscos de segurança dos ambientes e processos de negócio suportados

2. Identificação de possíveis fatores de perda e prejuízo3. Otimização do planejamento de segurança com um Plano de Ação

consistente, integrado e priorizado com base nos riscos identificados;4. Implantação de controles, reduzindo os riscos identificados, mediante

o estabelecimento de nível de segurança adequado à criticidade dos processos de negócio envolvidos;

5. Fortalecimento da imagem diante dos clientes, funcionários, fornecedores e parceiros;

6. Formalizar as regras de segurança do negócio;7. Possibilitar a criação de políticas e procedimentos com o objetivo de

direcionar os usuários finais e membros da área de TI quanto às melhores práticas de uso da informação.

8. Estabelecer futuros critérios para adoção e manutenção de controles de segurança.

9. Prover uma maior disponibilidade dos serviços de TI da organização.

PATROCINADORES E COMITE

A escolha dos “patrocinadores” é fundamental para o sucesso da implantação de um Sistema de Gestão de Segurança de Informação (SGSI) em uma organização. É por meio deles que se obtêm o respaldo para a implantação do SGSI, tornando viável a tomada de ações decorrentes da aplicação do sistema. Geralmente, são escolhidos como patrocinadores profissionais da alta direção da organização, além de outras pessoas-chave da área do negócio.

CONCEITOS-CHAVE

Sanções: regras têm de ser cumpridas e, a cada não cumprimento, uma sanção pode ser aplicada. Todas as regras devem ter os riscos associados ao seu não cumprimento muito bem documentados, bem como têm necessidade de deixar claros as sansões possíveis de aplicação.

MECANISMOS DE CONTROLE

“Não se gerencia o que não se mede não se mede o que não se define, não se define o que não se entende, não há sucesso no que não se gerencia” (William Edwards Deming).

Métricas

Em vista da diversidade de atividades executadas, quando se desenvolve e implanta um SGSI, naturalmente este processo implica ao gestor responsável pela missão a necessidade de gerenciar diversos mecanismos de controles implementados em diversas plataformas e em vários ambientes organizacionais.

Surge, então, a necessidade iminente de responder algumas questões:

Como podemos saber se o nível atual de segurança está no patamar requerido para o nosso negócio?

Como medir o nível de eficácia dos controles atuais frente aos riscos identificados?

Definição

Métricas em um SGSI são medidas estipuladas com base em metas a serem atingidas, as quais são comparadas aos resultados obtidos durante a sua operação de um SGSI.

Um método bastante importante no SGSI é o Benchmarking.

Mediante uma diversidade de métricas, devemos escolher as mais adequadas a cada caso.

Como exemplo de acompanhamento das métricas, podemos citar: Benchmarking de pesquisas de sobre

segurança da informação; Resultados de pesquisas internas de

avaliação do SGSI; Gestão de incidentes de segurança.

Tipos de métricas

Passo a passo para o estabelecimento de métricas. 1. Métrica deve conter o nome da métrica e a descrição da escala que será

usada.2. Escopo da métrica descreve o que deve ser medido. Por exemplo: o

processo ou controles do ISMS e quais partes do processo ou controles.3. Propósito e objetivo defini o propósito da métrica, quais as metas e

objetivos devem ser atingidos4. Método de medição descreve como a medição será realizada, por exemplo,

usando cálculo, fórmula ou porcentagens.5. Frequência da medição descreve a periodicidade da medição. Por exemplo:

mensal, semanal, diário etc.6. Origem dos dados e procedimento de coleta defini de onde os dados serão

coletados e quais métodos são usados para a coleta.7. Indicadores contem os indicadores usados para otimizar a métrica e definir

o seu propósito e como eles são entendidos e podem ser aplicados.8. Data da medição e responsável descreve a data da medição e a pessoa

responsável por esta ação.9. Nível da efetividade alcançada contem o resultado e a data da medição

Causas do não-cumprimento Este campo deve conter as causas do não-cumprimento dos objetivos, indicadores etc.

Coleta de resultados

A atividade de medir demanda recursos e, obviamente, tempo para a coleta e análise dos resultados. Por esta razão, as métricas devem fazer sentido e ser coerentes, além de alinhadas aos objetivos a serem alcançados.

Fatores-chave de sucesso

Conhecer o objetivo a ser alcançado; Conhecer as metas a serem alcançadas; Coletar os resultados em tempo hábil; Apresentar resultados válidos e confiáveis; Criar métricas que permitam monitorar o

SGSI; Desenvolver metas desafiadoras.

ALINHAMENTO DO SGSI COM O NEGOCIO DA EMPRESA

O SGSI tem de estar alinhado com os negócios da empresa em relação a estratégias de negócio, competitividade, atuação no mercado, relação com clientes e fornecedores, dentre outros. O momento atual e o futuro pretendido devem estar alinhados com as normas e regras do SGSI.

RISCOS

Os riscos devem ser mensurados e constados no SGSI e estar bem claros para todos os envolvidos, assim como para a alta gerência. O auditor tem de constatar se os riscos estão contemplados pelo SGSI e se condizem com a realidade.

IMPLANTAÇÃO DO SGSI

Antes de realizar a implantação do SGSI, é preciso checar se o mesmo condiz com as medidas e as regras condizentes, por sua vez, com a natureza da segurança da informação de que a empresa necessita.

EXECUÇÃO DO SGSI

O auditor tem que conferir detalhadamente as normas contidas no SGSI e verificar in loco se estão sendo cumpridas. O não cumprimento do SGSI representa um risco de alto nível. Pior que não ter um SGSI é ter um que não é cumprido, é ter a sensação que as informações estão protegidas, quando não estão.

ACOMPANHAMENTO DO SGSI

O acompanhamento deve existir e um relatório deve ser divulgado constantemente a todos os envolvidos, inclusive os erros e ajustes que se fizeram necessários devem constar aí. Para que o SGSI não seja relegado a segundo plano, justifica-se a importância do acompanhamento,

Curiosidades

Após a implantação do Sistema de Gestão da Segurança da Informação e após ter realizadopelo menos um ciclo de auditoria interna e pelo menos uma análise crítica pela direção aempresa pode solicitar a realização da Pré-auditoria para verificar o nível de adequação ànorma em questão.

J apan 4061 Netherlands 22 South Africa 4

UK 549 Slovenia 21 Belgium 3

I ndia 545 Bulgaria 18 Gibraltar 3

China 504 I ran 18 Macau 3

Taiwan 459 Philippines 16 Albania 2

Germany 209 Argentina 14 Bosnia Herzegovina 2

Czech Republic 111 Pakistan 14 Cyprus 2

Korea 106 Russian Federation 14 Ecuador 2

USA 104 Saudi Arabia 14 J ersey 2

I taly 86 Vietnam 14 Kazakhstan 2

Spain 77 I celand 13 Luxembourg 2

Hungary 70 I ndonesia 13 Macedonia 2

Poland 62 Colombia 12 Malta 2

Malaysia 58 Kuwait 11 Ukraine 2

Thailand 55 Canada 10 Mauritius 2

I reland 50 Norway 10 Armenia 1

Austria 44 Portugal 10 Bangladesh 1

Romania 35 Sweden 10 Bolivia 1

Greece 32 Switzerland 9 Belarus 1

Hong Kong 32 Bahrain 8 Denmark 1

Australia 29 Chile 5 Kyrgyzstan 1

Singapore 29 Egypt 5 Lebanon 1

Turkey 29 Oman 5 Moldova 1

Mexico 28 Peru 5 New Zealand 1

Croatia 27 Qatar 5 Sudan 1

Slovakia 27 Sri Lanka 5 Uruguay 1

France 26 Dominican Republic 4 Yemen 1

Brazil 24 Morocco 4

UAE 20 Lithuania 4 Total 7840

Standard BS 7799-2:2002 or

ISO/IEC 27001:2005

Atos Origin Brasil Ltda Brazil IS 98429 ISO/IEC 27001:2005

Axur Information Security Brazil IS 509742 ISO/IEC 27001:2005

BT Brazil LRQ 4003984 LRQA ISO/IEC 27001:2005

BT Global Services Sao Paulo SOC/NOC

Brazil 4003984 LRQA ISO/IEC 27001:2005

Cardif do Brasil Vida e Previdencia S/A Brazil IS 521855 ISO/IEC 27001:2005

CIP Camara Interbancaria de Pagamentos

Brazil IS 96934 ISO/IEC 27001:2005

Fucapi-Fundacao Brazil IS 504391 ISO/IEC 27001:2005

IBM ITD Brazil Brazil 62.691 Bureau Veritas Certification - Brazil ISO/IEC 27001:2005

Módulo Security Solutions S/A Brazil IS 510466 ISO/IEC 27001:2005

Poliedro - Informática, Consultoria e Serviços Ltda.

Brazil 44121081309 ISO/IEC 27001:2005

Prodesp Brazil IS 512881 ISO/IEC 27001:2005

Promon Engenharia Ltda. Brazil IS 500248 ISO/IEC 27001:2005

Promon Tecnologia Ltda Brazil IS 500564 ISO/IEC 27001:2005

Samarco Mineração S/A. Brazil IS 524157 ISO/IEC 27001:2005

SERASA S.A. Brazil 262326 ISMS ISO/IEC 27001:2005

Serviço Federal de Processamento de Dados - SERPRO

Brazil IS 515421 ISO/IEC 27001:2005

Superior Tribunal de Justiça Brazil IS 538457 ISO/IEC 27001:2005

Telefonica Empresas S/A Brazil IS 501039 ISO/IEC 27001:2005

Tivit Tecnologia da Informacao S.A. Brazil 00017-2006-AIS-OSL-NA DNV ISO/IEC 27001:2005

TIVIT TERCEIRIZAÇÃO DE TECNOLOGIA E SERVIÇOS S.A.

Brazil 16203-2007-AIS-BRA-NA DNV ISO/IEC 27001:2005

T-Systems Brazil Brazil 336227 ISMS ISO/IEC 27001:2005

T-Systems do Brasil Ltda. Brazil 341898 ISMS ISO/IEC 27001:2005

UNISYS Global Outsourcing Brazil IS 97102 ISO/IEC 27001:2005

Zamprogna S/A Importacao Brazil IS 518855 ISO/IEC 27001:2005

Name of the Organization Country Certificate Number Certification Body