Você está na página 1de 12

DIVULGAO CIENTFICA E TECNOLGICA DO IFPB

N 22

Uma metodologia para implantao de


um Sistema de Gesto de Segurana da
Informao (SGSI) baseado nas normas
ABNT NBR ISO/IEC 27001 e 27002
Ricardo R. Mendes [1], Rmulo R. L. de Oliveira [2], Anderson F. B. F. da Costa [3],
Reinaldo Gomes [4]
[1] rr2mendes, [2] romuloricardo@gmail.com ; IFPB Campus Campina Grande. [3] anderson@ifpb.edu.br, IFPB Campus Campina
Grande. [4] reinaldo@dsc.ufcg.edu.br; Universidade Federal de Campina Grande.

Resumo
A segurana da informao destaca-se como uma das principais preocupaes em diversas organizaes. Para
garantir que as informaes e os sistemas de informaes estejam protegidos contra ameaas de todos os tipos
necessrio definir processos gerenciados e assegurar a confidencialidade, integridade e disponibilidade delas.
Com esta finalidade, as normas ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002 provem um conjunto
de tcnicas para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um
Sistema de Gesto de Segurana da Informao (SGSI). Porm, ainda preciso definir uma metodologia
para aplicar os conceitos identificados nas normas. Este artigo traz uma metodologia para implantar um
SGSI, tomando como base a ABNT NBR ISO/IEC 27001 e 27002 simplificando o processo de planejamento,
implantao, anlise crtica e modificao do sistema. Atravs do modelo sugerido, ser possvel classificar a
informao, identificar os riscos relevantes que atingem as informaes, selecionar controles das normas e
construir um plano de ao para a implantao do SGSI em qualquer tipo de organizao.
Palavras Chave: segurana da informao, Sistema de Gesto de Segurana da Informao, ABNT NBR
ISO/IEC 27001 e 27002
Abstract

Information security is highlighted as a major concern in many organizations. To ensure that information and
information systems are protected against threats of all kinds should be defined and managed processes to
ensure the confidentiality, integrity and availability of them. For this purpose, the standards ABNT NBR ISO/
IEC 27001 and ABNT NBR ISO/IEC 27002 comes a set of techniques for establishing, implementing, operating,
monitoring, reviewing, maintaining and improving a Information Security Management System (ISMS).
However, we still need to define a methodology for applying the concepts identified in the standards. This
paper provides a methodology to implement an MSIS, based on the ABNT NBR ISO/IEC 27001 and 27002 and
theorists studied during the literature search, simplifying the process of planning, implementation, review and
modification of the system. Through the suggested model, you can sort the information, identify relevant risks
affecting the information, select controls standards and build an action plan for implementation of ISMS in any
type of organization.
Keywords: Information security, Information Security Management System, ABNT NBR ISO/IEC 27001 e
27002

JOO PESSOA, Junho 2013

69

DIVULGAO CIENTFICA E TECNOLGICA DO IFPB

1 Introduo
A tecnologia da informao e comunicao
tem avanado rapidamente, o que tem possibilitado
a transformao de ambientes coorporativos,
resultando em novas estruturas organizacionais
caracterizadas principalmente pela cooperao.
A cooperao potencializa o compartilhamento
da informao e as relaes interpessoais e
interorganizacionais (NAKAMURA e GEUS, 2007).
Desta forma, em ambientes coorporativos, o ativo
organizacional, que era basicamente composto
por ativos fsicos, passa a incorporar tambm a
informao como um dos principais ativos.
A informao como um ativo pode definir o
sucesso ou insucesso nos mais variados ambientes.
Devido a sua importncia, as organizaes esto
sendo cada vez mais expostas a um nmero
crescente de ameaas. Nos ambientes coorporativos,
falhas de segurana da informao logo afetam o
desempenho de seu negcio, gerando prejuzos
que podem acarretar at mesmo a sua falncia.
Sendo a informao um elemento essencial para o
desenvolvimento de diversas atividades da empresa,
mecanismos eficientes de gesto de segurana da
informao so requeridos no intuito, principalmente,
de minimizar o risco ao negcio (ABNT, 2005).
Assim como tantos outros processos e aes
dentro de uma organizao, a segurana da
informao deve possuir uma estrutura de gesto

N 22

adequada s necessidades do negcio. Alm de


estabelecer as aes de segurana, a organizao
precisa assegurar que os investimentos em segurana
esto tendo o retorno pretendido e se os recursos
esto sendo adequadamente utilizados.
neste momento que a organizao percebe
a necessidade de uma estrutura para gerir
adequadamente a segurana da informao. Desta
forma, cada vez maior o interesse das empresas
em buscar um modelo de gesto de segurana da
informao que melhor se adque aos seus objetivos.
Na Pesquisa Global de Segurana da Informao
2012, o oramento limitado se destaca como um das
principais respostas que os CEOs (Chief Executive
Officer Presidente Executivo ou Diretor Geral da
Empresa), CFOs (Chief Financial Officer Diretor
Financeiro), CIOs (Chief Information Office Diretor
de TI) e CISOs (Chief Information Security Officer
Diretor de Segurana de TI), apontaram no estudo
como entrave para o aprimoramento geral da eficcia
estratgica da prtica de segurana da informao
de suas empresas. Observando a Tabela 1, nota-se
que para os CEOs, o oramento insuficiente para
os investimentos o principal obstculo para a
aplicao da gesto de segurana da informao nas
organizaes, com 27% das respostas, ficando entre
os quatro primeiros entraves para os CFOs, CIOs e
CISOs respondentes. Dados estes que justificam a
busca de uma metodologia de implantao de um
SGSI eficiente e de livre acesso.

Tabela 1 Principais dificuldades para o aprimoramento geral da eficcia


estratgica da prtica de segurana da informao nas empresas.
CEO

CFO

CIO

CISO

Liderana CEO, presidente, diretoria ou equivalente

25%

27%

25%

25%

Liderana CIO ou equivalente

14%

23%

18%

21%

Liderana CISO, CSO ou equivalente

12%

22%

16%

17%

Falta de estratgia eficaz de segurana da informao

18%

25%

25%

30%

Falta de viso e ou de entendimento

17%

25%

30%

37%

Oramento insuficiente para os investimentos

27%

23%

29%

29%

Oramento insuficiente para os gastos operacionais

23%

16%

23%

22%

Ausncia ou escassez de especialistas na empresa

23%

19%

25%

23%

Sistemas de informao/TI mal integrados ou excessivamente complexos

13%

14%

19%

30%

Fonte: Andrea (2011).

70

JOO PESSOA, Junho 2013

DIVULGAO CIENTFICA E TECNOLGICA DO IFPB

A gesto da segurana da informao deve ser


encarada, principalmente, como um processo de
gesto (e no um processo tecnolgico) que obtido
por meio da implantao de controles, polticas e
procedimentos que, juntos, fortalecem os objetivos
de negcio com a minimizao dos seus riscos e a
promoo da segurana da organizao.
Nesse contexto, destacam-se duas normas: a
norma ABNT NBR ISO/IEC 27001, que busca prover
mecanismos para implantar, operar, monitorar,
rever, manter e melhorar um sistema de gesto de
segurana da informao (ABNT, 2006; FERNANDES
e ABREU, 2008); e a norma ABNT NBR ISO/IEC 27002,
que traz um conjunto de diretrizes e princpios gerais
para iniciar, implantar, operar, analisar criticamente,
e aperfeioar um sistema de gesto de segurana
da informao (SGSI) (ABNT, 2005; FERNANDES e
ABREU, 2008).
Os desafios que um estudo neste tema prope
so:
a) Estabelecer os requisitos de segurana da
informao para uma organizao que, para a norma
ABNT NBR ISO/NBR 27002, podem ser obtidas
atravs de trs fontes principais:
A partir da anlise/avaliao de riscos
para a organizao, levando-se em conta
os objetivos e as estratgias globais de
negcios da organizao. Por meio da
anlise/avaliao de riscos, so identificadas
as ameaas aos ativos e as vulnerabilidades
destes e realizada uma estimativa da
probabilidade de ocorrncia das ameaas e
do impacto potencial ao negcio.
A partir da legislao vigente, os estatutos,
a regulamentao e as clusulas contratuais
que a organizao, seus parceiros
comerciais, contratados e provedores de
servio tm que atender, alm do seu
ambiente sociocultural.
A partir de um conjunto particular de
princpios, objetivos e dos requisitos
do negcio para o processamento da
informao que uma organizao tem que
desenvolver para apoiar suas operaes
(ABNT, 2005).
b) Elaborar uma metodologia para implantar
um SGSI que melhor se adque realidade da
organizao, observando suas particularidades, no
intuito de prover um sistema eficiente de gesto

N 22

de segurana da informao (foco principal deste


trabalho).
Este trabalho est organizado da seguinte forma:
na seo 2 sero abordados conceitos referentes a
SGSI, na seo 3 ser apresentada uma metodologia
para implantao de SGSI e na ltima seo sero
realizadas as consideraes finais deste trabalho.

2 Sistema de Gesto de Segurana da


Informao (SGSI) e as normas ABNT
NBR ISO/IEC 27001 e 27002
Um Sistema de Gesto de Segurana da
Informao um conjunto de processos e
procedimentos, baseado em normas e na legislao,
que uma organizao implementa para prover
segurana no uso de seus ativos. Tal sistema deve
ser seguido por todos aqueles que se relacionam
direta ou indiretamente com a infraestrutura de TI
da organizao, tais como: funcionrios, prestadores
de servio, parceiros e terceirizados. O SGSI deve
possuir obrigatoriamente o aval da direo e do
departamento jurdico da organizao para conferir
sua legalidade.
A informao, conforme a ABNT NBR ISO/IEC
27002, um ativo que, como outro ativo de grande
importncia, demonstra ser essencial para o negcio
e necessita ser adequadamente protegido.
Ativos da informao so aqueles relevantes
ao escopo do sistema de gesto de segurana da
informao (ABNT, 2006). Normalmente algo
que uma organizao atribui valor e que contm,
transmite e armazena informao, tambm sendo
necessrio mant-los para continuidade do negcio.
Informaes eletrnicas, documentos em papel,
software, hardware, instalaes, pessoas, imagem
e reputao da companhia, servios so todos
considerados ativos da informao.
De acordo com Reis et al. (2007), a informao se
localiza entre o que se pode chamar de dado puro e
o conhecimento. Ela consiste em um dado com uma
interpretao sobre ele.
A norma ABNT NBR ISO/IEC 27001 traz a
ideia de que os ativos da informao no incluem
necessariamente tudo o que uma empresa consta
que tem um valor. Uma cadeira tem um valor,
mas no um ativo, pois no tem relao direta
com informaes. A organizao deve determinar
quais ativos podem materialmente afetar a entrega
de um produto ou servio pela sua ausncia ou
deteriorizao, ou podem causar dano organizao

JOO PESSOA, Junho 2013

71

DIVULGAO CIENTFICA E TECNOLGICA DO IFPB

atravs de perda de disponibilidade, integridade ou


confidencialidade.
A informao pode existir de diversas formas.
Pode ser impressa ou escrita em papel, armazenada
eletronicamente (atravs de pendrive, disco rgido,
CD, DVD etc.), apresentada em filmes, ou at mesmo
em conversa. Seja qual for o meio de transmisso,
a forma de armazenamento ou apresentao, a
informao deve ser sempre apropriadamente
protegida.
Para cada forma que ela pode apresentar,
necessrio tomar os procedimentos adequados e
diferenciados para sua proteo, existindo assim a
necessidade de classific-la.
2.1 Classificao da informao
De forma simplificada, define-se que a Classificao
da Informao um processo que tem como objetivo
identificar e definir nveis e critrios adequados
para a proteo das informaes, de acordo com a
importncia desta para as organizaes, de modo
a garantir a sua confidencialidade, integridade e
disponibilidade.
Segundo Nakamura e Geus (2007), a inexistncia
de uma classificao das informaes quanto ao
seu valor e sua confiabilidade, um dos diversos
aspectos que expem as organizaes a maiores
riscos relacionados segurana da informao.
A informao deve garantir os seguintes
requisitos:
Confidencialidade: A confidencialidade
entendida como a propriedade de que a
informao no esteja disponvel ou revelada
a indivduos, entidades ou processos no
autorizados (ABNT, 2006).
Integridade: Significa proteger a exatido e
complexidade da informao e dos mtodos
de processamento. Tambm definida como
a garantia de que os dados recebidos esto
exatamente como foram enviados por um
emissor autorizado (STALLINGS, 2008).
Disponibilidade: A disponibilidade
definida como sendo a propriedade de um
sistema ou de um recurso do sistema ser
acessvel sob demanda por uma entidade
autorizada, de acordo com especificaes
de desempenho (STALLINGS, 2008). Em
outras palavras, assegurar que os usurios

72

JOO PESSOA, Junho 2013

N 22

autorizados tenham acesso informao e


ativos associados quando necessrio.
A partir da anlise de classificao da informao
foi possvel ampliar o conceito para classificar o ativo
da informao, atribuindo nveis em uma escala
numrica. Para efeito dessa classificao, a escala
numrica varia de 1 a 3, seguindo o modelo abaixo:
a) Quanto confidencialidade:
Pblico (1): ativos que contenham
informaes que no possuem restries
para divulgao e, portanto, podem ser de
conhecimento pblico;
Interno (2): ativos que contenham
informaes que no exigem um nvel
de confidencialidade, mas que no
interessante permitir o acesso pblico a eles,
sendo apenas utilizados internamente pela
empresa;
Confidencial ou restrito (3): ativos que
contenham informaes que exigem
um nvel de confidencialidade e, caso
sejam divulgados erroneamente, afetam
gravemente a continuidade dos negcios da
instituio.
b) Quanto integridade:
Bsica ou norma (1): a perda de sua
integridade decorrido um determinado prazo
no implica impactos empresa, sendo
assim, no exige controles de auditoria e de
acesso;
Relevante (2): sua perda gera transtornos
de baixo impacto para a empresa, portanto,
devem ser mantidos controles usuais para
garantir sua integridade;
Vital (3): a empresa deve garantir que
os ativos se preservaram intactos em seu
estado original por todo o tempo de sua
guarda, sob pena de impactar de forma
grave o negcio.
c) Quanto disponibilidade:
Baixa (1): a Perda da disponibilidade no
afeta a continuidade do negcio;
Moderada (2): caso ocorra uma perda
de disponibilidade que afete os ativos,
possvel dar continuidade ao negcio com
certa limitao;

DIVULGAO CIENTFICA E TECNOLGICA DO IFPB

Crtica (3): ativos nesse nvel, caso sofra


uma perda de disponibilidade, afetaro a
continuidade do negcio.
2.2 Principais Aspectos e Estrutura da
Norma ABNT NBR ISO/IEC 27001
Como escrito na norma ABNT NBR ISO/IEC
27001, ela foi preparada para prover um modelo para
estabelecer, implementar, operar, monitorar, analisar
criticamente, manter e melhorar um Sistema de
Gesto de Segurana da Informao (ABNT, 2006).
A definio da utilizao de um SGSI deve respeitar
a estrutura da organizao, o foco estratgico e suas
reais necessidades, devendo ainda ser adaptvel s
situaes encontradas (um problema de segurana
da informao que no demonstre complexidade
requer solues igualmente simples de um SGSI).
Ela utiliza a abordagem de processo na inteno
de estabelecer, implantar, operar, realizar a anlise
crtica, manter e melhor o SGSI de uma organizao
(ABNT, 2006; FERNANDES e ABREU, 2008).
Conforme apresentam a ABNT (2006) e Fernandes e
Abreu (2008), essa abordagem estimula os usurios a
enfatizar a importncia de:

N 22

Entender os requisitos de segurana da


informao de uma organizao e a necessidade
de estabelecer um conjunto de diretrizes e objetivos
para a segurana da informao;
Com base na compreenso dos riscos de
negcios globais da organizao, implantar e operar
controles para gerenciar os riscos de segurana da
informao;
Monitorar e analisar criticamente o prprio SGSI;
Melhorar continuamente seguindo mtricas
objetivas.
Segundo a ABNT (2006) e Fernandes e Abreu
(2008), essa norma utiliza o modelo Plan-Do-CheckAct (PDCA), tambm chamado de ciclo de Deming,
sendo aplicado na estrutura de todos os processos
do SGSI. A Figura 1 ilustra como o SGSI se relaciona
com o modelo PDCA.
Em Faria (2008) o PDCA definido como um
mtodo amplamente aplicado para o controle eficaz
e confivel das atividades de uma organizao,
principalmente quelas relacionadas s melhorias,
possibilitando a padronizao nas informaes do
controle de qualidade e a menor probabilidade de
erros nas anlises ao tornar as informaes mais
entendveis.

Figura 1 modelo Plan-Do-Check-Act (PDCA).

Fonte: ABNT (2006)

A mesma autora define as etapas do PDCA da


seguinte forma:
PLAN - o primeiro passo para a aplicao do
PDCA, constitui em um planejamento estabelecido
com base nos objetivos do negcio das organizaes
e considera trs fases importantes: o estabelecimento
dos objetivos, o estabelecimento do caminho para

alcanar os objetivos e a definio do mtodo para


alcan-los.
DO Representa o segundo passo do PDCA e se
constitui na definio do plano de ao e na execuo
propriamente dita.
CHECK o terceiro passo do PDCA, nesta fase
podem ser detectados erros ou falhas, de acordo com

JOO PESSOA, Junho 2013

73

DIVULGAO CIENTFICA E TECNOLGICA DO IFPB

a anlise ou verificao dos resultados alcanados e


dados coletados.
ACT Representa a ltima fase do PDCA, nela
sero realizadas aes corretivas de acordo com
falhas encontradas no terceiro passo.
A norma ISO/IEC 27001 uma norma certificadora,
sendo utilizada por institutos credenciados nos
mais diversos pases, no Brasil o IMETRO (Instituto
Nacional de Metrologia, Normalizao e Qualidade
Industrial), para certificar organizaes quanto
implantao de um SGSI. Com essa certificao, a
empresa garante ao mercado que em todos os seus
processos as informaes so resguardadas, dando
credibilidade e uma melhor projeo para ela. Por
este motivo, crescente o nmero de empresas que
se certificam na ISO/IEC 27001 conforme possvel
verificar em http://www.iso27001certificates.com/.
2.3 Principais aspectos e estrutura da
norma ABNT NBR ISO/IEC 27002
O objetivo principal dessa norma estabelecer
diretrizes e princpios gerais que vo auxiliar a iniciar,
implementar, manter e melhorar a governana de
segurana da informao em uma organizao
(ABNT, 2005; FERNANDES e ABREU, 2008). Tais
objetivos provem diretrizes gerais sobre as metas
para a gesto de segurana da informao (ABNT,
2005). Ela contm objetivos de controle e controles
que tm como finalidade ser implantados para
atender aos requisitos que foram identificados por
meio da anlise/avaliao de riscos. Alm disso, tem
como outro objetivo servir como um guia prtico no
desenvolvimento de procedimentos de segurana da
informao na organizao, como forma de ajudar
a estreitar laos nas atividades interorganizacionais
(ABNT, 2005; FERNANDES e ABREU, 2008; MATOS,
2010).
Segundo apresentado na prpria norma, ela
contm 11 sees de controles de segurana da
informao, que juntas totalizam 39 categorias
principais de segurana e uma seo introdutria que
aborda a anlise/avaliao e o tratamento de riscos.
Cada seo cobre um tpico ou rea diferente e so
organizadas da seguinte forma:
Poltica de Segurana da Informao;
Organizando a Segurana da Informao;
Gesto de Ativos;
Segurana em Recursos Humanos;

74

JOO PESSOA, Junho 2013

N 22

Segurana Fsica e do Ambiente;


Gesto das Operaes e Comunicaes;
Controle de Acesso;
Aquisio, Desenvolvimento e Manuteno de Sistemas de Informao;
Gesto de incidentes de Segurana da
Informao;
Gesto da Continuidade do Negcio;
Conformidade.
2.4 reas de atuao da norma ABNT NBR
ISO/IEC 27001 e 27002
A norma ABNT NBR ISO/IEC 27001 apresenta
requisitos genricos, por isso possvel que seja
aplicada em todas as organizaes, independente da
sua razo social e rea de atuao (ABNT, 2006). De
forma semelhante, a norma ABNT NBR ISO/IEC 27002,
de acordo com Matos (2010), cobre todos os tipos de
organizaes seja, por exemplo, empreendimentos
comerciais, agncias governamentais ou mesmo
organizaes sem fins lucrativos. Ela especifica
requisitos para implementao de controles de
segurana adaptados as particularidades de cada
organizao.

3 Metodologia para Implantao do


SGSI
A metodologia para implantao do SGSI
baseada no ciclo de Deming, sendo representada
atravs dos mdulos Planejar, Fazer, Checar e
Monitorar (PDCA) (SERRANO, 2012) e seguindo as
diretrizes referentes nas normas ABNT NBR ISO/IEC
27001 e 27002.
As sees seguintes exploram todos os mdulos
do ciclo de Demming, de tal modo que define cada
etapa da metodologia de implantao de um SGSI.
3.1 Planejar
3.1.1 Definir o escopo
O primeiro passo na implantao do SGSI,
segundo a norma ISO/IEC 27001, definir o escopo
e os limites do SGSI, que devem observar as
caractersticas do negcio, a organizao, sua
localizao, ativos e tecnologia, incluindo detalhes

DIVULGAO CIENTFICA E TECNOLGICA DO IFPB

e justificativas para quaisquer excluses do escopo


(ABNT, 2006).

N 22

Portanto, a especificao da poltica deve:


Ser breve, utilizar palavras simples e
formalizar o que esperado dos funcionrios
da organizao;

3.1.2 Definir uma poltica de segurana da


informao

Fornecer aos leitores informaes


suficientes para saber se os procedimentos
descritos na poltica so aplicveis a eles ou
no;

A poltica de segurana da informao


uma declarao formal da empresa acerca do
compromisso com a proteo do ativo da informao
e deve se fundamentar no escopo do SGSI (ABNT,
2006). Destaca-se na ISO/IEC 27001 que ela:
a) inclua uma estrutura para definir objetivos e
estabelea uma orientao global e princpios para
aes que envolvam a segurana da informao;
b) observe as obrigaes contratuais de
segurana, regulamentaes e os requisitos de
negcio;
d) estabelea limites e critrios para definir quais
riscos sero avaliados; e
e) seja aprovada pela direo
Ferreira e Arajo (2008) ressaltam, entre outros
pontos, que a poltica deve ser simples, compreensiva
(escrita de maneira clara e concisa), estruturada
de forma a permitir a sua implantao por fases,
alinhada estratgia de negcio da empresa, padres
e procedimentos e orientadas aos riscos.

Descrever sua finalidade especfica.


3.1.3 Definir o escopo
a) Identificar os ativos dentro do escopo do
SGSI e os proprietrios destes ativos, listando-os no
Quadro 1;
b) Outro ponto consiste em classificar os ativos
com base na perda de sua integridade, disponibilidade
e integridade, seguindo uma escala de 1 a 3 e
represent-los conforme o Quadro 2. O nmero 1
representa o menor impacto para a organizao e o 3
representa um dano crtico. Nesse quadro, o campo
Valor ser composto por uma mdia aritmtica entre
os 3 campos, arredondado para um nmero inteiro.

Quadro 1 Inventrio dos ativos da informao.


Natureza do Ativo

Ativos

Informao
Documentos em papel
Software
Fsico
Recursos Humanos
Servios ou atividades

Quadro 2 Classificao dos ativos da informao.


Ativos

Confidencialidade

Integridade

Disponibilidade

Valor

...

...

...

...

...

JOO PESSOA, Junho 2013

75

DIVULGAO CIENTFICA E TECNOLGICA DO IFPB

3.1.4 Avaliar os riscos


Para isto, preciso criar um terceiro quadro
(Quadro 3) representando as vulnerabilidades,
ameaas e a probabilidade de ocorrncia destas
ameaas. Por vulnerabilidade entende-se como as
fraquezas associadas ao ativo da informao (ponto
fraco), j as ameaas so as ocorrncias que podem
atingir as vulnerabilidades.

N 22

Haja vista que um sistema, por mais eficiente


que seja, no consiga eliminar a totalidade dos riscos
devido a fatores como a ocorrncia de ameaas
no previstas e do alto custo/benefcio, necessrio
aceitar riscos residuais, que pela ABNT NBR ISO/IEC
27001 pode ser definido como o risco remanescente
aps o tratamento de risco (ABNT, 2006).

Quadro 3 Avaliao de risco


Ativos

Vulnerabilidade

Ameaa

Probabilidade

...

...

...

...

3.1.5 Selecionar os objetivos de controle


Para atender aos requisitos de anlise/avaliao
de riscos identificados, preciso selecionar e
implementar os objetivos de controle e controles.
Esta seleo deve considerar os requisitos legais,
regulamentares e contratuais, bem como os critrios
para aceitao de riscos (ABNT, 2006).
Os objetivos de controle e controles listados
no Anexo A da norma ABNT NBR ISO/IEC 27001
devem ser selecionados para cobrir os requisitos
identificados, mas eles no so exaustivos, portanto,
objetivos de controles e controles adicionais podem
tambm ser selecionados (ABNT, 2006).

3.1.6 Preparar uma declarao de


aplicabilidade
A declarao de aplicabilidade, nada mais do
que um resumo das decises relativas ao tratamento
de riscos, ela deve incluir no mnimo trs aspectos,
so eles:
a) Os objetivos de controle e os controles
selecionados para o tratamento de riscos e a
justificativa para sua seleo;
b) Os objetivos de controles que j se encontram
implementados na organizao
c) A relao dos objetivos de controles excludos
do SGSI e a justificativa para tal excluso.
O Quadro 4 apresenta o modelo de Declarao
de aplicabilidade.

Quadro 4 Declarao de Aplicabilidade


Declarao de Aplicabilidade
Verso
Responsvel pela Declarao
Responsvel pela Aprovao
ltima Reviso

Controles

76

JOO PESSOA, Junho 2013

__/__/__

Responsvel:

__/__/__

Responsvel:

Controles j
implantados

Controles em implantao

Controles no implantados/
Justificativa

DIVULGAO CIENTFICA E TECNOLGICA DO IFPB

3.2 Fazer
O mdulo Fazer constitui a segunda fase do
PDCA. Portanto, ele dever ser desenvolvido logo
aps o planejamento do Sistema de Gesto de
Segurana da Informao, atravs da elaborao de
um plano de ao para implementao do SGSI e da
prpria execuo deste plano na prtica.
De acordo com o exposto anteriormente, o
mdulo Fazer segue as seguintes etapas:
a) Formular um plano de tratamento de riscos
que identifique a ao de gesto apropriada, recursos,
responsabilidades e prioridades para a gesto dos
riscos de segurana.

N 22

Para a criao do plano de tratamento de riscos,


ser utilizado o modelo 5W1H, que pode ser definida
como uma ferramenta estratgica de qualidade nas
empresas que tem como propriedade estabelecer
um plano de ao ttico, onde aes devero ser
executadas em geral em um perodo curto de tempo,
por volta de um ano (HASS, 2010). A sigla 5W1H
originada do ingls e representa os seis pilares do
plano de ao.
Seguindo a tcnica do 5W1H, o plano de
tratamento de riscos dever ser preenchido de
acordo com o Quadro 5 apresentado a seguir:

Quadro 5 Plano de tratamento de risco


PLANO DE TRATAMENTO DE RISCO
Responsvel:
Data: ___/___/___
Verso:
N

O qu

Porque

Como

Quando

Quem

Onde

1-

b) Implementar o plano de tratamento de riscos


para alcanar os objetivos de controle identificados,
que incluam consideraes de financiamentos e
atribuio de papis e responsabilidades. Para isto,
devero ser implementados os controles selecionados
anteriormente durante a anlise/avaliao de riscos.
Aps isso, preciso mensurar o desempenho
do plano de tratamento de risco, e para isso
necessrio definir como medir a eficcia dos controles
selecionados. Esse procedimento ir permitir que
os gestores determinem o quanto os controles
alcanaram com eficcia os objetivos de controles
planejados (ABNT, 2006).
c) Implementar programas de capacitao,
gerenciar as operaes do SGSI e gerenciar os
recursos para o SGSI (ABNT, 2006).
3.3 Verificar
A terceira fase do PDCA, mdulo Verificar,
define aes para serem realizadas com o objetivo
de identificar no conformidades do SGSI. A partir

da anlise crtica do sistema e da identificao destas


no conformidades, ser possvel selecionar novos
controles e aplicar melhorias pontuais no sistema.
Este mdulo dever seguir os seguintes passos:
a) Realizar anlises crticas regulares da eficcia
do SGSI (incluindo o atendimento da poltica e dos
objetivos do SGSI e a anlise crtica de controles de
segurana), levando em considerao os resultados
de auditorias de segurana da informao, incidentes
de segurana da informao, resultados da eficcia
das medies, sugestes e realimentao de todas as
partes interessadas.
Para este fim, ser utilizada a ferramenta
criada pelo economista Vilfredo Pareto em 1897,
denominada Diagrama de Pareto. O economista
tinha a inteno de provar que a distribuio de renda
era feita de forma desigual e posteriormente utilizou
esta tcnica para classificar problemas relacionados
qualidade em triviais e vitais. Elaina (2011) define
o Diagrama de Pareto como uma ferramenta
administrativa usada para destacar os elementos de
um grupo de acordo com a sua importncia.

JOO PESSOA, Junho 2013

77

DIVULGAO CIENTFICA E TECNOLGICA DO IFPB

Sua representao realizada atravs de um


grfico, permitindo que as prioridades do problema
sejam melhor visualizadas e auxilia a estabelecer
metas (ELAINA, 2011).
Segundo Elaina (2011), o diagrama de Pareto
serve para tornar mais clara a relao entre a ao
tomada e o benefcio que esta ao proporciona e, a

N 22

partir da anlise do grfico, priorizar a ao que dar


um melhor resultado para a organizao.
Para a construo do diagrama, devero ser
realizados os seguintes passos:
1) Elaborar um quadro com todos os aspectos
que sero analisados conforme o modelo a seguir
(Quadro 6):

Quadro 6 Identificao de no conformidade/perodo


A

...

...

...

...

No conformidade/
Perodo
Janeiro
...
N total de no
conformidade
Porcentagem

As colunas representam as no conformidades a


serem analisadas, as linhas representam os nmeros
de eventos detectados no perodo definido. Logo
abaixo existe uma representao da quantidade total
de no conformidades e sua porcentagem em relao
ao total.
2) Logo aps a listagem de todos os eventos
acontecidos no perodo deve ser construdo um
grfico em barras seguindo o modelo exemplificado
na Figura 2.
Figura 2 Diagrama de Pareto.

incidentes de segurana da informao foram


eficazes, cumprindo assim os requisito estabelecidos
no subitem 4.2.3 (Monitorar e analisar criticamente o
SGSI) da norma ABNT NBR ISO/IEC 27001.
3.4 Agir
A ltima etapa da metodologia do SGSI consiste
no mdulo Agir, do PDCA. Nessa etapa o objetivo
implantar as melhorias identificadas, tomar aes
preventivas e corretivas apropriadas, levar ao
conhecimento da direo os resultados e aes e
garantir que as melhorias alcancem os objetivos
definidos (ABNT, 2006).
3.5 Documentao
Para atender aos requisitos de documentao do
SGSI, preciso que a documentao inclua registros
de decises da direo, assegure que seja possvel
rastrear as aes de acordo com as polticas e
decises da direo (ABNT, 2006).

A anlise do Diagrama de Pareto possibilitar


detectar erros nos resultados de processamento,
identificar tentativas e violaes de segurana bemsucedidas e incidentes de segurana da informao
e determinar se as aes tomadas para prevenir

78

JOO PESSOA, Junho 2013

A documentao do SGSI deve incluir:


1) A poltica do SGSI;
2) O escopo do SGSI;
3) Uma descrio da metodologia de anlise/
avaliao de riscos junto com um relatrio;
4) O plano de tratamento de riscos;

DIVULGAO CIENTFICA E TECNOLGICA DO IFPB

5) Toda e qualquer alterao e registros


posteriores, bem como os registros requeridos pela
norma ABNT NBR ISO/IEC 27001;

4 Consideraes Finais
A segurana da informao vem se destacando
como um elemento fundamental para que processos
e servios que dependam da informao continuem a
se desenvolver nas diversas organizaes.
Neste sentido, manter a segurana da
informao com um gerenciamento eficaz implica
garantir a continuidade do negcio da organizao.
Por isso, se torna necessrio um sistema que
envolva planejamento, documentao, definies de
responsabilidades e provises de recursos.
As normas ISO/IEC 27001 e 27002, traduzidas
pela ABNT, abordam o tema segurana da
informao e revelam boas prticas para que os
gestores de TI implantem um sistema gerenciado
de segurana da informao. Porm, ainda era
preciso definir uma metodologia, para que qualquer
profissional que desejasse implantar esse sistema em
uma organizao encontrasse nela um modelo que
relacionasse todos os requisitos da norma de forma
simples e eficaz, servindo como um guia para real
implantao do SGSI.
O forte do modelo sugerido que ele genrico e,
portanto, pode ser aplicado desde uma instituio de
ensino, at em instituies financeiras, por exemplo.
Alm disso, a implantao do SGSI em sua
totalidade e para seguir os requisitos de uma
certificao deve ir alm do planejamento e
implementao do plano de ao. Auditorias devem
ser realizadas periodicamente com a finalidade
identificar no conformidades e preciso realizar
uma anlise crtica do SGSI para que seja possvel
melhorar e corrigir falhas pontuais.
Estes dois fatores so abordados pela norma e
podem ser utilizados em um estudo posterior.
As auditorias internas devem ser realizadas pela
organizao em intervalos de tempos planejados
para determinar se os objetivos do SGSI esto sendo
alcanados (ABNT, 2006). Para as auditorias, preciso
um programa planejado que leve em considerao os
objetivos de controle das normas ISO 27001 e ISO
27002.
Para auxiliar no processo de auditoria pode ser
utilizado a norma ABNT NBR ISO 19011:2002
Diretrizes para auditorias de sistema de gesto da

N 22

qualidade e/ou ambiental constituindo assim, mais


uma norma para estudo.
No mesmo estudo, tambm pode ser observado
a anlise crtica do SGSI, pois de acordo com a norma
ISO/IEC 27001, a organizao deve de forma peridica
analisar criticamente o sistema. Com essa medida ela
visa a melhoria contnua do sistema aplicando aes
preventivas e corretivas (ABNT, 2006).
Para a anlise crtica deve ser levado em
considerao aspectos como os resultados de
auditorias internas, no conformidades no
contemplados na anlise/avaliao de riscos e
quaisquer mudanas que possam afetar o SGSI
(ABNT, 2006).
Referncias
ASSOCIAO BRASILEIRA DE NORMAS TCNICAS.
NBR ISO/IEC 27002:2005 Tecnologia da
informao Tcnicas de segurana Cdigo
de prtica para gesto da segurana da
Informao. Rio de Janeiro: ABNT, 2005.
ASSOCIAO BRASILEIRA DE NORMAS TCNICAS.
NBR ISO/IEC 27001:2006 Tecnologia da
informao Tcnicas de segurana Sistemas
de gesto de segurana da informao Requisitos. Rio de Janeiro: ABNT, 2006
ANDREA, E. O centro do furaco: muitos veem
a luz do sol, apesar da nebulosidade causada pela
estagnao da economia global e pelo aumento
do crime ciberntico e das ameaas de segurana
da informao. So Paulo: PwC, 2011
ELAINA, J; Diagrama de Pareto. 2011. Disponvel
em: http://www.empresasedinheiro.com/
diagrama-de-pareto/. Acesso em: 10 jun. 2012.
FARIA, C. PDCA (Plan, Do, Check, Action). 2008.
Disponvel em: http://www.infoescola.com/administracao/
pdca-plan-do-check-action/. Acesso em: 28 jun. 2012.
FERNANDES, A.; ABREU, V. Implantando a
governana de TI: da estratgia gesto dos processos
e servios. 2. ed. Rio de Janeiro: Brasport, 2008.
FERREIRA, F. N. F; ARAUJO, M. T.; Poltica
de sgurana da informao: guia prtico
para elaborao e implementao. 2. ed. Rio
de Janeiro: Editora Cincia Moderna, 2008.

JOO PESSOA, Junho 2013

79

DIVULGAO CIENTFICA E TECNOLGICA DO IFPB

HAAS, V. Sistema de qualidade: 5W1H(5W2H).


2010. Disponvel em: http://www.ebah.com.br/content/
ABAAABYqYAK/5w1h-5w2h#. Acesso em: 05 jun. 2012.
MATOS, F.; Proposta de um checklist para
verificao da segurana fsica de uma empresa
baseada na norma ABNT NBR ISO/IEC 27002:2005.
Monografia apresentada ao curso de Cincias da
Computao. Fortaleza: Faculdade Loureno Filho, 2010.
NAKAMURA, E.; GEUS, P. Segurana de
redes em ambientes cooperativos. 2
ed. Rio de Janeiro: Novatec, 2007.
REIS, B; MOTA J. C.; OLIVEIRA, P. P. Classificao da
informao. 2007. Disponvel em: <www.lyfreitas.com/
artigos_mba/artclassinfo.pdf>. Acesso em: 20 jan. 2012.
STALLINGS, W.; Criptografia e segurana
de redes: princpios e prticas. 4. ed.
Rio de Janeiro: Pearson., 2008.
SERRANO, D. P. Ciclo PDCA. 2012. Disponvel em:
<http://www.portaldomarketing.com.br/Artigos3/
Ciclo_PDCA.htm>. Acesso em: 01 nov, 2012.

80

JOO PESSOA, Junho 2013

N 22