Diana Lusa Rocha Santos

Rita Maria Santos Silva

Segurana da Informao: a Norma ISO/IEC 27000 e ISO/IEC

27001
Trabalho de Segurana de Informao do MCI 2012/2013

Docente: Jos Manuel de Magalhes Cruz

Faculdade de Engenharia da Universidade do Porto

Mestrado em Cincia da Informao

Dezembro de 2012

1 Segurana da Informao | FEUP

Resumo

O presente trabalho foi realizado no mbito da unidade curricular de Segurana da

Informao e apresenta alguns resultados do estudo de duas normas, a ISO/IEC 27000 e a
ISO/IEC 27001.

A norma 27000 apresenta algum vocabulrio e definies e a norma 27001 apresenta

alguns requisitos que sugerem alguns procedimentos para uma boa Gesto da Segurana da
Informao.

Dentro da srie 27000 ainda podemos referir as normas 27002 (Cdigo de Prticas),
27003 (Guia de Implementao), 27004 (Mtricas e Medio), 27005 (Directrizes de Gesto de
Risco) e 27006 (Directrizes de Servios de Recuperao de Desastres).

Neste trabalho vamos focar a nossa ateno na norma ISO/IEC 27000 e 27001, seguindo
uma estrutura que abordar as suas aplicaes e objectivos. Apresentaremos tambm as
perspectivas de conciliao entre as duas normas, para mostrar a forma como estas se
complementam.

Por ltimo so apresentadas algumas concluses a alguns casos prticos da aplicao

destas normas.

2 Segurana da Informao | FEUP

Sumrio

1. Introduo ................................................................................................................................ 4
1.1. Apresentao do Tema ........................................................................................................ 4
1.2. Organizao e temas Abordados no Presente Relatrio ..................................................... 4
2. Segurana da Informao......................................................................................................... 5
2.1 Em que consiste a Segurana da Informao? ........................................................................... 5
2.2. Contextualizao da Segurana da Informao ................................................................... 6
2.3. Mecanismos de controlo s ameaas .................................................................................. 6
2.3.1. Controlo de Acesso........................................................................................................... 6
2.3.2. Deteco de Intrusos........................................................................................................ 6
2.3.3. Criptografia....................................................................................................................... 7
2.3.4. Assinatura Digital ............................................................................................................. 7
2.3.5. Proteco de Dados Armazenados .................................................................................. 7
2.3.6. Recuperao de Desastres ............................................................................................... 7
3. Modelos para a Segurana da Informao: a srie ISO/IEC 27000 .......................................... 8
3.1. O que um Sistema de Gesto de Segurana de Informao? ......................................... 10
3.1.1. Viso Geral e Princpios .................................................................................................. 10
3.2. A abordagem de processos ................................................................................................ 11
4. A Norma ISO/IEC 27001 ......................................................................................................... 12
4.1. Apresentao ..................................................................................................................... 12
4.2. Objectivos........................................................................................................................... 12
4.3. Aplicao ............................................................................................................................ 13
5. Perspectiva de conciliao da Norma ISO/IEC 27000 e 27001 .............................................. 14
6. A famlia da Norma ISO /IEC 27000 ........................................................................................ 17
7. Alguns casos prticos da Implementao da Norma ISO/IEC 27001 ..................................... 18
8. Entidades Certificadoras em Portugual que utilizam a norma ISO/IEC 27001 ...................... 20
9. Certificao............................................................................................................................. 22
9.1. O que a certificao? ....................................................................................................... 22
9.2. Como acreditada uma entidade certificadora?............................................................... 22
9.3. Quem tem autoridade para certificar as autoridades certificadoras? ............................... 22
9.4. O que a certificao de um sistema de gesto? .............................................................. 22
10. Concluses.......................................................................................................................... 24
11. Referncias Bibliogrficas .................................................................................................. 25

3 Segurana da Informao | FEUP

1. Introduo
O objectivo deste trabalho perceber mais profundamente o conceito de Segurana de
Informao. Neste contexto pareceu-nos interessante trabalhar com a temtica das Normas
ISO/IEC 27000 e ISO/IEC 27001 que consistem em definir um propsito para o desenvolvimento
de um Sistema de Gesto de Segurana da Informao (SGSI) nas Organizaes, o que
importante tendo em conta a quantidade de informao que actualmente produzida e
armazenada nas organizaes. Um SGSI envolve todas as actividades de gesto e as estruturas
de suporte gesto relevantes para a segurana da informao.

1.1. Apresentao do Tema

Actualmente a informao considerada a chave dos negcios de uma organizao,
devido sua utilidade e importncia. A problemtica da Segurana da Informao est
associada com a crescente dependncia das empresas em Sistemas de Informao e Tecnologias
da Informao. Reconhecendo o valor da informao, as organizaes devem certificar-se de
que a gerem de forma eficaz.

O SGSI permite uma gesto dos riscos da segurana da informao para garantir que a
informao no negada nem se tornar indisponvel, no ser perdida, destruda ou
danificada, divulgada sem autorizao ou at mesmo roubada.

1.2. Organizao e temas Abordados no Presente Relatrio

Na parte inicial do relatrio vamos descrever a nossa temtica central A Segurana da

Informao definindo o seu contexto e o seu propsito. Vamos abordar a questo da
proteco da informao, definindo os mecanismos utilizados para este fim como o controlo de
acesso, os antivrus, o sistema de deteco de intrusos, o processo de criptografia e assinatura
digital, o procedimento de proteco de dados armazenados e as polticas de recuperao de
desastres.

Seguidamente so apresentadas as normas que estudamos para suportar esta questo

da Segurana da Informao: as normas ISO/IEC 27000 e ISO/IEC 27001, definindo os seus
objectivos e aplicaes e apresentando as vantagens da conciliao destas normas que induzem
a medidas a ter em conta para a Gesto da Segurana da Informao, tais como a anlise e
avaliao dos riscos e o modelo PDCA (Plan, Do, Check and Act).

Por fim, so descritas algumas concluses da realizao deste trabalho que afirmam a
importncia da Segurana da Informao no s para as organizaes, mas em todas as reas
de vida de cada indivduo.

4 Segurana da Informao | FEUP

 2. Segurana da Informao

2.1 Em que consiste a Segurana da Informao?

A informao encontra-se nos activos que envolvem a organizao e que tm valor para
o seu negcio, pelo que, a proteco da informao deve ser feita tendo em conta estes activos.
Os activos podem ser fsicos (arquivos, bibliotecas, cofres que contm informao relevante),
tecnolgicos (recursos informticos como sistemas de informao, e-mails, intranets) e
humanos (pessoas que fazem parte das actividades das organizaes).

A Segurana da Informao consiste em garantir que a informao existente em

qualquer formato est protegida contra o acesso por pessoas no autorizadas
(confidencialidade), est sempre disponvel quando necessria (disponibilidade), confivel
(integridade) e autntica (autenticidade). Beal (2005, p.71) define a Segurana da Informao
como o processo de proteger a informao das ameaas para garantir a sua integridade,
disponibilidade e confidencialidade. Estes conceitos so vistos como suporte para a Segurana
da Informao.

Para garantir a segurana das informaes deve ser feita uma Anlise de Risco que
identifique todos os riscos que ameacem as informaes, apontando solues que eliminem,
minimizem ou transfiram os riscos. As ameaas so aces de origem humana, que quando so
exploradas podem gerar vulnerabilidade e produzir ataques, que por sua vez, causam incidentes
que comprometem as informaes, provocando perda de confidencialidade, disponibilidade e
integridade.

As ameaas so todas as situaes que colocam em causa a Segurana da Informao.

Uma ameaa pode ser qualquer aco, acontecimento ou entidade que age sobre um activo ou
pessoa, atravs de uma vulnerabilidade e consequentemente gera um determinado impacto. As
ameaas actuam sobre os activos e so classificadas com as mesmas categorias: ameaas fsicas
(normalmente decorrentes de fenmenos naturais), tecnolgicas (normalmente so ataques
propositados causados por agentes humanos como hackers, invasores, criadores e
disseminadores de vrus, mas tambm por defeitos tcnicos, falhas de hardware e software) e
humanas (so consideradas as mais perigosas, podendo ser casos de roubos e fraudes causados
por ladres e espies).

5 Segurana da Informao | FEUP

 2.2. Contextualizao da Segurana da Informao

Com a crescente evoluo da Web, a Internet promoveu o acesso a inmeros servios e

informaes. Este avano estimulou a proliferao da informao que vista segundo Cosmo
(2006, 9.6) como um bem vital responsvel pela formao e desenvolvimento tanto da
sociedade erudita como da sociedade contempornea.

A informao vem assumindo, cada vez mais, uma posio estratgica para as
organizaes, sendo o seu principal patrimnio. Neste sentido, o controlo de acesso s
informaes um requisito fundamental nos sistemas das organizaes, visto que actualmente
a grande maioria da informao de uma organizao est armazenada e trocada entre os seus
mais variados sistemas.

A importncia da informao disponibilizada na Internet fez com que houvesse a

necessidade de assegurar a sua preservao e integridade, pelo que surge o conceito de
Segurana da Informao. muito importante que mecanismos de informao sejam
projectados para prevenir acessos no autorizados.

Segundo Arajo (2005, p.5) o factor humano o principal desafio para se ter uma boa e
segura conduta de Segurana da Informao. Com o aumento das tecnologias e da flexibilidade
de acesso a qualquer tipo de informao, cabe aos indivduos demonstrar alguma preocupao
quanto segurana e s ameaas de que passam a ser alvo por parte de alguns indivduos mal
intencionados.

2.3. Mecanismos de controlo s ameaas

Na Segurana da Informao existem alguns mecanismos para preservar a informao,
de forma a garantir a sua disponibilidade, confidencialidade, integridade e autenticidade, estes
mecanismos so designados por mecanismos de controlo s ameaas.

2.3.1. Controlo de Acesso

Este mecanismo permite controlar quais as pessoas autorizadas a entrar em
determinado local e regista o dia e hora de acesso, controlando e decidindo as permisses que
cada utilizador tem. Um sistema de controlo de acesso constitudo por diferentes
equipamentos perifricos de controlo e comando, interligados a uma nica unidade de controlo
que permite, em diferentes pontos, vrios acessos.

2.3.2. Deteco de Intrusos

Os sistemas de deteco de intrusos alertam os administradores para a entrada de
possveis intrusos nos sistemas. Estes sistemas tentam reconhecer um comportamento/aco
intrusiva, atravs da anlise das informaes disponveis num sistema de computao ou rede.

6 Segurana da Informao | FEUP

 2.3.3. Criptografia
A criptografia a arte de codificao que permite a transformao reversvel da
informao de forma a torn-la inteligvel a terceiros. Esta utiliza determinados algoritmos numa
chave secreta para, a partir de um conjunto de dados no criptografados, produzir uma
sequncia de dados criptografados.

2.3.4. Assinatura Digital

Este mecanismo um conjunto de dados criptografados, associados a um documento
que garantem a sua integridade e autenticidade. A utilizao da assinatura digital prova que
uma mensagem vem de um determinado emissor, porque um processo que apenas o
signatrio pode realizar. No entanto, o receptor deve poder confirmar a assinatura feita pelo
emissor e a mensagem no pode ser alterada, seno a assinatura no corresponder mais ao
documento. A validade de uma assinatura digital verifica-se se esta se basear em certificados
emitidos por entidades certificadas credenciadas.

2.3.5. Proteco de Dados Armazenados

Neste mecanismo so utilizados os antivrus que so softwares capazes de detectar e
remover arquivos ou programas nocivos. A preocupao com a proteco de dados
armazenados faz com que se desenvolvam alguns mtodos para controlar o acesso por pessoas
externas, como a criptografia ou a assinatura digital.

2.3.6. Recuperao de Desastres

As catstrofes naturais (incndios, inundaes, terramotos, entre outros) designam-se
de desastres e so acontecimentos que podem causar grandes prejuzos, porm, com baixa
probabilidade de ocorrncia. No entanto levam-nos necessidade de implementar planos de
emergncia, para garantir a preservao dos documentos e a prpria integridade fsica dos
colaboradores de uma organizao.

7 Segurana da Informao | FEUP

 3. Modelos para a Segurana da Informao: a srie ISO/IEC 27000

O objectivo da Gesto de Segurana de Informao manter a qualidade das

informaes. E a qualidade dessas informaes depende da confidencialidade, integridade e
disponibilidade das mesmas. Esse princpio foi desenvolvido de modo a se tornar o padro
global de SI: o conjunto de ISO/IEC 27000.

A srie ISO 27000 constitui um padro de certificao de sistemas de gesto promovido

pelo International Organization for Standardization (ISO), neste caso aplica-se implementao
de Sistemas de Gesto de Segurana da Informao (SGSI), atravs do estabelecimento de uma
poltica de segurana, de controlos adequados e da gesto de riscos.

Esta norma serve de apoio s organizaes de qualquer sector, pblico ou privado, para
entender os fundamentos, princpios e conceitos que permitem uma melhor gesto dos seus
activos de informao.

A famlia de normas da ISO/IEC 27000 inclui padres que definem os requisitos para um
SGSI e para a certificao desses sistemas e prestam apoio directo e orientao detalhada para
os processos e requisitos do ciclo PDCA.

A ISO 27000 contm termos e definies utilizados ao longo da srie 27000. A aplicao
de qualquer padro necessita de um vocabulrio claramente definido, para evitar diferentes
interpretaes de conceitos tcnicos e de gesto.

Seguidamente sero apresentados alguns dos termos que so definidos na norma:

Controlo de acesso meios para assegurar que o acesso a activos est autorizado e restringido
com base no trabalho e em requisitos de segurana;

Responsabilidade responsabilidade de uma entidade pelas suas aces e decises;

Activos qualquer coisa que tenha valor para a organizao (informao, software, o prprio
computador, servios, as pessoas, entre outros);

Atacar tentar destruir, alterar, expor, inutilizar, roubar ou obter acesso no autorizado ou
fazer uso no autorizado de um activo;

Autenticao prestao de garantia de que uma caracterstica reclamada por uma entidade
correcta;

Autenticidade propriedade que nos diz que uma entidade aquilo que realmente afirma ser;

Disponibilidade propriedade de ser acessvel e utilizvel por uma entidade autorizada;

Confidencialidade propriedade que garante que a informao no est disponvel ou revelada

a indivduos no autorizados, entidades ou processos;

8 Segurana da Informao | FEUP

Controlar meio de gesto de risco, incluindo as polticas de procedimentos, directrizes,
prticas ou estruturas organizacionais, que podem ser de natureza administrativa, tcnica, de
gesto ou de natureza legal;

Aco correctiva aco para eliminar a causa de uma no conformidade detectada ou outra
situao indesejvel;

Directriz recomendao do que esperado que seja feito a fim de alcanar um objectivo;

Segurana da Informao preservao da confidencialidade, integridade e disponibilidade das

informaes

Sistema de Gesto de Segurana de Informao parte do sistema de gesto global, com base
numa abordagem de risco de negcio, para estabelecer, implementar, operar, monitorizar,
rever, manter e melhorar a segurana da informao.

Risco de Segurana da Informao potencial que uma ameaa explore uma vulnerabilidade de
um activo ou grupo de activos e, assim, causar danos organizao;

Integridade propriedade de proteger a exactido de activos;

Sistema de Gesto mbito das polticas, procedimentos, directrizes e recursos associados para
alcanar os objectivos de uma organizao;

Poltica inteno e direco geral como formalmente expressas pela gesto;

Processo conjunto de actividades inter-relacionadas ou interactivas que transformam insumos

em produtos;

Risco- combinao da probabilidade de um evento e das suas consequncias;

Evento ocorrncia de um determinado conjunto de circunstncias;

Anlise de risco uso sistemtico de informaes para identificar fontes e estimar a ocorrncia
de um risco;

Gesto de risco actividades coordenadas para dirigir e controlar uma organizao em relao a
um determinado risco;

Ameaa causa potencial de um incidente indesejado, o que pode resultar em danos para um
sistema ou entidade;

Vulnerabilidade fraqueza de um activo ou controlo, que pode ser explorado por ameaa.

9 Segurana da Informao | FEUP

A norma ISO/IEC 27000 tem como principais benefcios:

Estabelecimento de uma metodologia clara de Gesto da Segurana;

Reduzir o risco de perda, roubo ou alterao da informao;
O acesso informao feito atravs de medidas de segurana;
Confiana e regras claras para todos os envolvidos de uma organizao;
Aumento de segurana relativamente gesto de processos;
Conformidade com a legislao vigente sobre informao pessoal, propriedade
intelectual e outras;
Os riscos e os seus controlos so continuamente verificados;
Garantia de qualidade e confidencialidade comercial.

3.1. O que um Sistema de Gesto de Segurana de Informao?

3.1.1. Viso Geral e Princpios

Um Sistema de Gesto de Segurana da Informao (SGSI) fornece um modelo para o

estabelecimento, implementao, operacionalizao, monitorizao, reviso, manuteno e
melhoria da proteco dos activos de informao com vista a alcanar os objectivos propostos
por uma organizao com base numa correcta avaliao e gesto dos riscos inerentes a uma
organizao.

A implementao bem sucedida de um SGSI depende da anlise dos requisitos para a

proteco dos activos da informao, assim como dos controlos adequados para garantir essa
proteco.

Existem alguns princpios fundamentais para uma boa implementao de um SGSI:

A conscincia da necessidade de segurana da informao;

A atribuio de responsabilidades pela segurana da informao;
Incorporar o compromisso da gesto e os interesses de todas as partes interessadas;
Reforar os valores da sociedade;
Avaliar os riscos que determinam os controlos adequados para atingir nveis aceitveis
de risco;
Preveno activa e deteco de incidentes de segurana da informao;
Reavaliao contnua da segurana da informao.

Em termos de segurana da informao, um sistema de gesto permite que a

organizao:

Satisfaa os requisitos de segurana de clientes e outros interessados;

Melhore os seus planos a actividades;
Cumpra os seus objectivos de segurana da informao;
Faa uma gesto dos seus activos de informao de uma forma organizada, o que
facilita a melhoria contnua.

10 Segurana da Informao | FEUP

 3.2. A abordagem de processos

Um processo a transformao de entradas em sadas que utilizam um conjunto de

actividades interrelacionadas ou em interaco. A sada de um processo pode automaticamente
dar incio a um novo processo, isto feito normalmente de forma planeada e em condies
controladas.

Na famlia de normas de SGSI, a abordagem do processo para o SGSI baseia-se na

explorao do princpio adoptado nas normas ISO de gesto do sistema, conhecido como
processo PDCA: Plan Do Check Act.

PLAN - Planear significa estabelecer os objectivos e fazer planos (analisando a situao da

organizao, estabelecendo os objectivos e desenvolvendo planos para os alcanar).

DO - Os planos so postos em prtica e implementados (fazer o que foi planeado para fazer).

CHECK - Verificao dos resultados (monitorizao da realizao dos objectivos planeados).

ACT - As actividades so corrigidas e melhoradas (aprender com os erros).

A implementao de um SGSI tem como principal resultado a reduo dos riscos de

segurana da informao, ou seja, reduzir a probabilidade de ocorrerem incidentes a nvel de
segurana da informao e consequentemente reduzir os seus impactos.

Um SGSI para ser passvel de ser certificado tem de obedecer a um conjunto de

requisitos definidos pela norma ISO/IEC 27001, estes requisitos podem ser classificados como
obrigatrios ou selectivos.

11 Segurana da Informao | FEUP

 4. A Norma ISO/IEC 27001

4.1. Apresentao

Esta norma foi publicada pelo ISO e pelo IEC em Outubro de 2005. Foi elaborada para
especificar os requisitos para o estabelecimento, implementao, operacionalizao,
monitorizao, reviso, manuteno e melhoria de um SGSI, dentro do contexto dos riscos de
negcio de uma organizao.

A certificao no um requisito obrigatrio da norma ISO/IEC 27001, uma deciso da

organizao. No entanto, dezoito meses aps a sua publicao mais de 2000 organizaes de
mais de 50 pases foram certificadas e o crescimento nesta rea tem vindo a aumentar.

Antes da implementao desta norma num sistema convm pensar em algumas questes:

Quanto custar uma falha que implique uma perda efectiva de informao?
Quais as consequncias da utilizao da informao por pessoas que dela possam fazer
uso indevido e no autorizado?
Qual o custo da diminuio da produtividade por erros, falhas de sistema ou utilizao
de informao errada?
Qual o peso da ocorrncia de incidentes sobre as informaes de uma organizao?
Em que se deve fundamentar uma organizao para fazer uma avaliao dos riscos?
Quais as principais reas que uma organizao tem de considerar a fim de alcanar uma
implementao de SGSI de sucesso?

4.2. Objectivos

Esta norma foi estabelecida com o mbito de ser utilizada em conjunto com a ISO/IEC
17799 e pretende assegurar a seleco de controlo de segurana adequado e proporcional.

As organizaes que optam pela certificao sentem a necessidade de melhorar a

segurana das suas informaes devido a uma utilizao cada vez maior de TI e percepo do
aumento do risco.

A implementao da norma 27001 faz com que as organizaes devam manter o seu
foco nas necessidades do negcio e considerar a segurana da informao como parte
integrante dos objectivos de negcio para realizar a gesto dos riscos.

A norma ISO/IEC 27001 universal para todos os tipos de organizaes (comerciais,

governamentais, com ou sem fins lucrativos, entre outras) e especifica os requisitos para a
implementao de controlos de segurana personalizados consoante as necessidades de uma
organizao.

12 Segurana da Informao | FEUP

 4.3. Aplicao

A certificao em conformidade com a norma ISO/IEC 27001 normalmente envolve um

processo de auditoria em duas fases:

1 Fase Reviso linear da documentao chave bem como da poltica de segurana da

organizao, declarao de aplicabilidade (SOA) e plano de tratamento de risco (PTR).

2 Fase Realizao de uma auditoria em profundidade envolvendo o controlo do SGSI

declarado no SOA e PTR, bem como a documentao de suporte.

A renovao do certificado envolve algumas revises peridicas confirmando que o SGSI

continua a trabalhar como era desejado.

A norma ISO/IEC 27001 envolve alguns componentes:

1. O Sistema de Gesto de Segurana da Informao:

- Estabelecer o SGSI
- Implementar e Operar o SGSI
- Monitorizar e analisar criticamente o SGSI
- Manter e melhorar o SGSI
- Requisitos de documentao
- Controlo de documentos
- Controlo de registos

2. Responsabilidades da direco:
- Comprometimento da direco
- Gesto de recursos
- Proviso de recursos
- Treino, consciencializao e competncia

3. Auditorias internas que determinam se um SGSI:

- Atende aos requisitos da norma
- Atende aos requisitos de segurana identificados
- executado conforme esperado

Todo o procedimento de uma auditoria documentado e os auditores no podem

auditar o seu prprio trabalho, conferindo objectividade e imparcialidade.

4. Anlise crtica do SGSI pela direco:

- Entrada: resultado das auditorias e anlises crticas, situao das aces preventivas e
correctivas, vulnerabilidades no contempladas adequadamente nas anlises anteriores,
resultados, recomendaes e mudanas.
- Sada: oportunidade de incluir melhorias e mudanas, modificao do SGSI e das
necessidades de recursos.

5. Melhoria do SGSI:
- Melhoria contnua atravs do uso da poltica estabelecida, resultados das auditorias,
anlise dos eventos monitorizados, aces correctivas (etapas anteriores);
- Eliminao das no conformidades atravs de aces correctivas e preventivas.

13 Segurana da Informao | FEUP

 5. Perspectiva de conciliao da Norma ISO/IEC 27000 e 27001

Primeiramente necessrio ter-se noo de que no existe segurana absoluta, no

possvel eliminar 100% dos riscos e das ameaas. No entanto, um plano de controlo
previamente definido pode facilitar estas questes.

A norma 27000 surge como uma forma de definir alguns termos e definies para uma
futura implementao de um Sistema de Gesto de Segurana da Informao, enquanto a
norma 27001 apresenta alguns requisitos que sugerem alguns procedimentos para uma boa
Gesto de Segurana da Informao.

A Gesto da Segurana da Informao deve ser realizada tendo em conta algumas

medidas de controlo sugeridas por ambas as normas o modelo de processo PDCA e o processo
de anlise/avaliao e tratamento de riscos.

Modelo PDCA (Plan Do Check Act)

Este modelo baseia-se no controlo dos processos e na verificao dos Sistemas de

Segurana da Informao.

PLAN -
Estabelecer
o SGSI

Do -
Requisitos e expectativas Act - Manter Sistema de Gesto da
Implementar
e Optimizar
da Segurana da e Operar o Segurana da Informao
o SGSI
SGSI
Informao gerido

Check -
Monitorizar
e Rever o
SGSI

1 - O Modelo PDCA

14 Segurana da Informao | FEUP

PLAN (PLANEAR) Estabelecimento de polticas, objectivos, processos e procedimentos
relevantes para a administrao do risco e para a melhoria da Segurana da Informao.
Planeia os resultados de acordo com a estratgia da organizao.

DO (FAZER/IMPLEMENTAR/OPERAR) Implementao e operacionalizao das polticas de

controlo, processos e procedimentos do Sistema.

CHECK (VERIFICAR/MONITORIZAR/REVER) Inspeco da performance dos processos em

comparao com as polticas e objectivos de um SGSI. Estes resultados devem ser reportados
gesto para anlise.

ACT (AGIR/MANTER/OPTIMIZAR) Tomada de aces correctivas e preventivas, baseadas nos

resultados das auditorias internas do SGSI e demais informaes provenientes da gesto ou
demais fontes relevantes.

O resultado do processo PDCA a correcta gesto dos Sistemas de Segurana da Informao,

tendo como base as expectativas e necessidades de uma organizao.

Anlise e avaliao de riscos

A Gesto dos riscos um dos aspectos chave da norma ISO/IEC 27001, uma avaliao
dos riscos uma das exigncias desta norma. Como resultado da avaliao de riscos, deve ser
feita uma lista dos riscos identificados, classificados em ordem de gravidade para
posteriormente serem tomadas medidas.

O processo de gesto dos riscos existe devido ao constante surgimento de novas

ameaas aptas a explorar as vulnerabilidades dos activos da informao, o que exige que se
tomem algumas medidas de preveno.

Os resultados da anlise dos riscos devero ajudar a direccionar e determinar quais as

aces de controlo mais apropriadas para a gesto desses riscos.

A avaliao dos riscos deve ser feita tendo em conta uma anlise de custo-benefcio, para
revelar se compensa um risco ser minimizado ou transferido. Em suma, se um risco tem baixa
probabilidade de ocorrer e o seu custo de tratamento elevado, no compensa essa tomada de
deciso.

15 Segurana da Informao | FEUP

Aps o processo de anlise e avaliao dos riscos, existem vrias opes para o seu
tratamento:

Aplicar medidas de segurana: escolher as medidas mais apropriadas para reduzir o

custo;
Aceitar o risco: conhecer e conscientemente aceitar o risco, sabendo que este atenta
poltica de segurana da organizao;
Evitar o risco: no permitir aces que possam sequer causar a ocorrncia de riscos;
Transferir o risco: transferir os riscos associados para outras partes, por exemplo,
seguradoras ou fornecedores.

Estas medidas so definidas pela norma ISO/IEC 27002, que d suporte ao desenvolvimento de
planos de segurana e orienta de melhor forma a Gesto da Segurana da Informao.

16 Segurana da Informao | FEUP

 6. A famlia da Norma ISO /IEC 27000

Dentro da srie 27000 ainda podemos referir as normas 27002 (Cdigo de Prticas),
27003 (Guia de Implementao), 27004 (Mtricas e Medio), 27005 (Directrizes de Gesto
de Risco) e 27006 (Directrizes de Servios de Recuperao de Desastres).

A norma ISO 27002 a partir de Julho de 2007 o novo nome da norma ISO 17799. Esta
norma um guia de boas prticas que descreve os objectivos de controlo e os controlos
recomendados para a Segurana da Informao. A norma ISO 27001 contm alguns anexos
que resumem alguns destes controlos.

A norma ISO 27003 aborda algumas directrizes para a implementao de Sistemas de

Gesto de Segurana da Informao e contem informaes sobre como usar o modelo PDCA
e os requisitos das suas diferentes fases, ou seja, ir fornecer uma abordagem de processos
orientada para o sucesso da implementao de um SGSI de acordo com a norma ISO/IEC
27001.

A norma ISO 27004 especifica mtricas e tcnicas de medio aplicveis para determinar a
eficcia do SGSI, os objectivos de controlo e os controlos usados para implementar e gerir a
Segurana da Informao. Estas mtricas so usadas principalmente para medir os
componentes da fase CHECK do ciclo PDCA.

A norma ISO 27005 estabelece directrizes para a gesto de risco em Segurana da

Informao, fornecendo indicaes para implementao, monitorizao e melhoria contnua
do sistema de controlos. Para compreendermos melhor esta norma importante perceber
os conceitos, modelos e processos descritos nas normas ISO 27001 e ISO 27002. A norma
27005 aplicada a todos os tipos de organizaes que se destinam a gerir os riscos que
possam comprometer a segurana das suas informaes.

A norma ISO 27006 especifica requisitos e fornece orientaes para os organismos que
prestem servios de auditoria e certificao de um SGSI.

17 Segurana da Informao | FEUP

 7. Alguns casos prticos da Implementao da Norma ISO/IEC 27001

A norma ISO 27001 j tem um elevado nmero de certificaes distribudas por vrios pases1:

Japo 4152 Holanda 24 Blgica 3

Reino Unido 573 Arbia Saudita 24 Gibraltar 3
ndia 546 Emirados rabes Unidos 19 Litunia 3
Taiwan 461 Bulgria 18 Macau 3
China 393 Iro 18 Albnia 3
Alemanha 228 Portugal 18 Bsnia Herzegovina 2
Repblica Checa 112 Argentina 17 Chipre 2
Coreia 107 Filipinas 16 Equador 2
Estados Unidos da Amrica 105 Indonsia 15 Nova Jrsia 2
Itlia 82 Paquisto 15 Cazaquisto 2
Espanha 72 Colmbia 14 Luxemburgo 2
Hungria 71 Federao Russa 14 Macednia 2
Malsia 66 Vietname 14 Malta 2
Polnia 61 Islndia 13 Mauritnia 2
Tailndia 59 Kuwait 11 Ucrnia 2
Grcia 50 Canad 10 Armnia 1
Irlanda 48 Noruega 10 Bangladesh 1
ustria 42 Sucia 10 Bielorrssia 1
Turquia 35 Sua 9 Bolvia 1
Frana 34 Bahrain 8 Dinamarca 1
Hong Kong 32 Peru 7 Estnia 1
Austrlia 30 Chile 5 Quirguisto 1
Singapura 29 Egipto 5 Lbano 1
Crocia 27 Om 5 Moldvia 1
Eslovnia 26 Qatar 5 Nova Zelndia 1
Mxico 25 Sri Lanka 5 Sudo 1
Eslovquia 25 frica do Sul 5 Uruguai 1
Brasil 24 Repblica dominicana 4 Imen 1
Marrocos 4 Total 7940

1
Retirado do site: http://www.iso27001certificates.com
18 Segurana da Informao | FEUP
 Processo de Certificao de um Sistema de Gesto de Segurana da Informao

A primeira fase do processo envolve as organizaes, o facto de estarem preparadas

para a certificao do seu SGSI: desenvolvimento e implementao do seu SGSI, utilizao e
integrao do seu SGSI no seu dia-a-dia e nos seus processos de negcio, formao da sua
equipa e estabelecimento de um programa contnuo de manuteno do SGSI.

A segunda fase envolve uma auditoria do SGSI da organizao, envolvendo os

organismos de certificao acreditados. O certificado concedido tem a durao de trs anos,
pelo que a terceira fase do processo passa pelo acompanhamento por parte das entidades
certificadoras.

Organismos de Certificao

19 Segurana da Informao | FEUP

 8. Entidades Certificadoras em Portugual que utilizam a norma
ISO/IEC 27001

APCER (Associao Portuguesa de Certificao)

Organismo portugus privado que se dedica certificao de Sistemas de Gesto, Servios,

Produtos e Pessoas, de forma a garantir a qualidade e promovendo vantagens competitivas s
entidades, pblicas ou privadas, tanto nacionais como internacionais.

A APCER certifica organizaes a partir da norma ISO 27001 Tecnologias da Informao, para
que estas organizaes tenham um sistema de gesto que protege a sua informao com
mecanismos de controlo adequados s suas necessidades e realidade, verificados por uma
entidade externa. Atravs da avaliao e gesto do risco este sistema procura garantir a
continuidade de negcio e diminuir o impacto de eventuais incidentes de segurana.

A APCER tambm se encontra acreditada para a Certificao de Auditores, este processo

suportado pela ISO 19011 e constitudo por fases de avaliao distintas:

Avaliao de qualificaes e experincia;

Avaliao Escrita e Oral (esta ltima aplicvel apenas aos graus Auditor Coordenador e
Auditor).

SGS ICS

Entidade Certificadora que pretende formar Auditores experientes e qualificados para cada
sector de atividade, o reconhecimento em Portugal e no mundo, uma equipa orientada para
acompanhar as organizaes nos seus processos de Certificao, satisfao do cliente e melhoria
contnua.

A SGS ajuda as organizaes a desenvolver polticas de segurana das informaes e a fazer a

gesto de riscos por meio de sistemas e normas como a ISO 27001.

DNV - Det Norske Veritas

uma fundao independente que tem como principal competncia identificar, avaliar e
aconselhar as organizaes para a gesto de risco, sendo o seu foco a segurana e a
responsabilidade de melhorar o desempenho das organizaes.

Esta entidade utiliza a norma ISO 27001 que o padro de segurana internacional formal
contra a qual as organizaes podem procurar a certificao independente do seu SGSI. Ele
especifica os requisitos para estabelecer, implementar, operar, monitorizar, rever, manter e
melhorar um SGSI, utilizando uma abordagem de melhoria contnua.

20 Segurana da Informao | FEUP

 BVC - Bureau Veritas Certification

O Bureau Veritas Certification lder mundial em servios de certificao com mais de 80

000 empresas certificadas em 140 pases e reconhecido por mais de 40 Organismos de
Acreditao nacionais e internacionais para a certificao segundo o referencial ISO 9001.

Esta entidade certifica tambm de acordo com a norma 27001.

Organizaes com Certificados de SGSI em Portugal2

Nome da Organizao Nmero da Entidade Certificadora Norma de

Certificao Certificao
ARENA MEDIA 83889CC2-2010-AIS- DNV ISO/IEC 27001:2005
IBE-UKAS
Caixa Econmica de Cabo Verde Bureau Veritas Certiifcation ISO/IEC 27001:2005
Departamento de Jogos da Santa Casa IS 524281 ISO/IEC 27001:2005
da Misericrdia de Lisboa (DJSCML)
ENAME S.A. GB11/82769 SGS United Kingdom Ltd ISO/IEC 27001:2005
HAVAS SPORT & ENTERTAINMENT 83889CC6-2010-AIS- DNV ISO/IEC 27001:2005
IBE-UKAS
INSTITUTO DE INFORMTICA, I.P. 3896769 Bureau Veritas Certiifcation ISO/IEC 27001:2005
INTEGRITY S.A. GB12/85456 SGS United Kingdom Ltd ISO/IEC 27001:2005
LATTITUDE 83889CC3-2010-AIS- DNV ISO/IEC 27001:2005
IBE-UKAS
Maksen Consulting, S.A. PT001307 Bureau Veritas Certiifcation ISO/IEC 27001:2005
MEDIA CONTACTS 83889CC9-2010-AIS- DNV ISO/IEC 27001:2005
IBE-UKAS
MOBEXT 83889CC10-2010-AIS- DNV ISO/IEC 27001:2005
IBE-UKAS
MPG 83889CC13-2010-AIS- DNV ISO/IEC 27001:2005
IBE-UKAS
ONE TO ONE 83889CC8-2010-AIS- DNV ISO/IEC 27001:2005
IBE-UKAS
Ponto.C Desenvolvimento de Sistemas GB11/83230 SGS United Kingdom Ltd ISO/IEC 27001:2005
de Informao, Lda.
Portugalmail SA 12/86073 SGS United Kingdom Ltd ISO/IEC 27001:2005
TV Cabo Portugal 202194 Bureau Veritas Certiifcation ISO/IEC 27001:2005
VORTAL COMRCIO ELECTRNICO IS 515264 ISO/IEC 27001:2005
CONSULTADORIA E MULTIMEDIA SA
ZON TV CABO PORTUGAL, SA 202194 Bureau Veritas Certiifcation ISO/IEC 27001:2005

2
Retirado do site: http://www.iso27001certificates.com
21 Segurana da Informao | FEUP
 9. Certificao

9.1. O que a certificao?

A certificao uma declarao formal que exprime a veracidade de terminado

contexto. emitida por uma organizao certificadora, organizao essa que tem credibilidade e
autoridade moral e legal. Uma das suas exigncias que esta seja formal, isto , deve ser feita
seguindo um ritual e ser corporificada num documento3.
A certificao segue a avaliao de um determinado processo, sistema ou produto
segundo normas e critrios que visa verificar o cumprimento dos requisitos, conferindo um
certificado com o direito de uso de uma marca de conformidade associada ao produto ou
imagem institucional se os requisitos estiverem plenamente atendidos.

Segundo a BSI Brasil, Certificao o processo no qual uma terceira parte acreditada
visita uma organizao, audita o seu sistema de gesto e emite um certificado para demonstrar
que esta obedece aos princpios definidos na norma e que segue a melhor prtica da indstria.
O certificado o documento que corporifica a certificao.

9.2. Como acreditada uma entidade certificadora?

Todos j sabemos que as organizaes para serem acreditadas em certo servio

precisam de ser certificadas por uma entidade superior que as certifique. Esta acreditao de
uma entidade certificadora conferida por organismos independentes, que tm como objetivo
reconhecer as competncias dessas entidades, num determinado setor ou mbito, ou at um
determinado produto de acordo com referncias internacionais j estabelecidas.

9.3. Quem tem autoridade para certificar as autoridades certificadoras?

Em Portugal, a principal entidade acreditadora, desde 2004 o Instituo Portugus de
Acreditao (IPAC). A APCER, tambm uma empresa certificadora em Portugal de elevada
relevncia (j mencionada acima).

9.4. O que a certificao de um sistema de gesto?

um processo a partir do qual se verifica e avalia a conformidade do (s) sistema (s)

implementados, relativamente norma em referncia, neste caso a ISO 27001 e s organizaes
que pretendem obter a certificao. O processo envolve algumas fases onde se pode destacar a
Auditoria de Certificao. As empresas com sistemas certificados asseguram uma melhor
prestao de servios, porque os seus sistemas esto implementados e a funcionar de acordo
com os requisitos da (s) norma (s) de certificao.

3
Segundo a definio de Creditao em Wikipdia. Disponvel em:
http://pt.wikipedia.org/wiki/Certifica%C3%A7%C3%A3o
22 Segurana da Informao | FEUP
 A certificao uma deciso da organizao, principalmente uma opo estratgica no
sentido de evoluir, melhorar e ganhar mercados e exige o envolvimento de diversas partes da
organizao. As empresas certificadas tm diversas vantagens: melhoria do prestgio e da
imagem; aumento da competitividade e entrada em novos mercados; aumento da confiana dos
trabalhadores, clientes e administrao; cultura da melhoria contnua; reduo de custos;
preveno e minimizao de aspetos, perigos e de acidentes.

A certificao comea a tornar-se uma imposio do mercado nacional e internacional,

que muitas vezes impem a condio de determinados produtos estarem certificados para
serem colocados no mercado, o que tem crescido bastante com a globalizao.

A certificao de uma organizao temporria, todas as normas so reavaliadas

periodicamente por deciso do organismo internacional de normalizao e responsvel pela
publicao da maior parte dos referenciais normativos reconhecidos internacionalmente (ISO).

Os certificados emitidos tm um prazo ao fim do qual todo o processo de certificao

reiniciado. Durante cada ciclo de certificao a entidade certificadora faz visitas regulares
empresa, no sentido de confirmar que os requisitos continuam a ser cumpridos. A entidade
sujeita a avaliaes peridicas durante o perodo de validade dos certificados e o grau de
gravidade ou a importncia das no conformidades detetadas no decorrer destas, podem levar
suspenso da certificao ou mesmo perda do certificado.

23 Segurana da Informao | FEUP

 10.Concluses

Com a realizao deste trabalho percebemos quais os mecanismos de controlo s

ameaas, incidindo sobre o controlo de acesso, a deteco de intrusos, a criptografia, a
assinatura digital, a proteco de dados armazenados e a recuperao contra desastres.

O estudo das normas ISO 27000 e 27001 consiste em perceber os pressupostos

relacionados com a Segurana da Informao. Esta temtica actualmente tem bastante
importncia, uma vez que se fala muito em ataques de hackers e crackers contra plataformas
digitais, tentando aceder a informaes confidenciais.

A informao um bem com bastante valor para as organizaes e necessita de ser

convenientemente protegida, no sentido de manter a sua confidencialidade, disponibilidade,
integridade e autenticidade.

Na nossa pesquisa conseguimos analisar as normas com bastante clareza e identificar o

que caracteriza cada uma, sendo que a norma ISO 27000 nos d alguns termos e definies e a
norma ISO 27001 adopta uma abordagem de processos para o estabelecimento,
implementao, operacionalizao, monitorizao, reviso, manuteno e melhoria de um
Sistema de Gesto de Segurana da Informao.

24 Segurana da Informao | FEUP

11.Referncias Bibliogrficas

XISEC PUBLICATIONS. Disponvel em: http://www.xisec.com/ISMS_Publications.html

COMUINIDADE PORTUGUESA DE SEGURANA DA INFORMAO. Disponvel em:

http://ismspt.blogspot.pt/2005/11/organizaes-certificadas-quase-atingir.html

CERTIFICATION EUROPE. Disponvel em: http://certificationeurope.com/iso-27001-

information-security/

INTERNATIONAL REGISTER OF ISMS CERTIFICATES. Disponvel em:

http://www.iso27001certificates.com/

BERALDO, Joo Bosco; CAMARGO, Joo F. F. de; Segurana da Informao. Disponvel

em: http://www.bcinfo.com.br/docs/doc4.pdf

International Standard ISO/IEC 27001: Information technology -Security techniques -

Information security management systems Requirements. Disponvel
em:http://www.vazzi.com.br/moodle/pluginfile.php/135/mod_resource/content/1/ISO-
IEC-27001.pdf

International Standard ISO/IEC 27000: Information technology -Security techniques -

Information security management systems Overview and vocabulary. Disponvel em:
http://www.dcag.com/images/ISO_IEC_27000.pdf

LAUREANO, Marcos; Gesto de Segurana da Informao, 2005. Disponvel em:

http://www.mlaureano.org/aulas_material/gst/apostila_versao_20.pdf

MOREIRA, Ademilson; A importncia da segurana da informao, 2008. Disponvel em:

http://www.oficinadanet.com.br/artigo/1124/a_importancia_da_seguranca_da_inform
acao

SMOLA, Marcos; A importncia da Gesto da Segurana da Informao. Disponvel em:

http://www.lyfreitas.com/artigos_mba/GestaoSegurancaInformacao.pdf

SILVA FILHO, Antnio Mendes da; Segurana da Informao: Sobre a Necessidade de

Proteo de Sistemas de Informaes in Revista Espao Acadmico, n42, 2004.
Disponvel em: http://www.espacoacademico.com.br/042/42amsf.htm

BSI. Disponvel em:http://www.bsibrasil.com.br/sobre/

25 Segurana da Informao | FEUP