Escolar Documentos
Profissional Documentos
Cultura Documentos
Resumo
A segurança da informação destaca-se como uma das principais preocupações em diversas organizações. Para
garantir que as informações e os sistemas de informações estejam protegidos contra ameaças de todos os tipos
é necessário definir processos gerenciados e assegurar a confidencialidade, integridade e disponibilidade delas.
Com esta finalidade, as normas ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002 provem um conjunto
de técnicas para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um
Sistema de Gestão de Segurança da Informação (SGSI). Porém, ainda é preciso definir uma metodologia
para aplicar os conceitos identificados nas normas. Este artigo traz uma metodologia para implantar um
SGSI, tomando como base a ABNT NBR ISO/IEC 27001 e 27002 simplificando o processo de planejamento,
implantação, análise crítica e modificação do sistema. Através do modelo sugerido, será possível classificar a
informação, identificar os riscos relevantes que atingem as informações, selecionar controles das normas e
construir um plano de ação para a implantação do SGSI em qualquer tipo de organização.
Palavras Chave: segurança da informação, Sistema de Gestão de Segurança da Informação, ABNT NBR
ISO/IEC 27001 e 27002
Abstract
Information security is highlighted as a major concern in many organizations. To ensure that information and
information systems are protected against threats of all kinds should be defined and managed processes to
ensure the confidentiality, integrity and availability of them. For this purpose, the standards ABNT NBR ISO/
IEC 27001 and ABNT NBR ISO/IEC 27002 comes a set of techniques for establishing, implementing, operating,
monitoring, reviewing, maintaining and improving a Information Security Management System (ISMS).
However, we still need to define a methodology for applying the concepts identified in the standards. This
paper provides a methodology to implement an MSIS, based on the ABNT NBR ISO/IEC 27001 and 27002 and
theorists studied during the literature search, simplifying the process of planning, implementation, review and
modification of the system. Through the suggested model, you can sort the information, identify relevant risks
affecting the information, select controls standards and build an action plan for implementation of ISMS in any
type of organization.
Keywords: Information security, Information Security Management System, ABNT NBR ISO/IEC 27001 e
27002
Sistemas de informação/TI mal integrados ou excessivamente complexos 13% 14% 19% 30%
A gestão da segurança da informação deve ser de segurança da informação (foco principal deste
encarada, principalmente, como um processo de trabalho).
gestão (e não um processo tecnológico) que é obtido Este trabalho está organizado da seguinte forma:
por meio da implantação de controles, políticas e na seção 2 serão abordados conceitos referentes a
procedimentos que, juntos, fortalecem os objetivos SGSI, na seção 3 será apresentada uma metodologia
de negócio com a minimização dos seus riscos e a para implantação de SGSI e na última seção serão
promoção da segurança da organização. realizadas as considerações finais deste trabalho.
Nesse contexto, destacam-se duas normas: a
norma ABNT NBR ISO/IEC 27001, que busca prover 2 Sistema de Gestão de Segurança da
mecanismos para implantar, operar, monitorar, Informação (SGSI) e as normas ABNT
rever, manter e melhorar um sistema de gestão de NBR ISO/IEC 27001 e 27002
segurança da informação (ABNT, 2006; FERNANDES
e ABREU, 2008); e a norma ABNT NBR ISO/IEC 27002, Um Sistema de Gestão de Segurança da
que traz um conjunto de diretrizes e princípios gerais Informação é um conjunto de processos e
para iniciar, implantar, operar, analisar criticamente, procedimentos, baseado em normas e na legislação,
e aperfeiçoar um sistema de gestão de segurança que uma organização implementa para prover
da informação (SGSI) (ABNT, 2005; FERNANDES e segurança no uso de seus ativos. Tal sistema deve
ABREU, 2008). ser seguido por todos aqueles que se relacionam
Os desafios que um estudo neste tema propõe direta ou indiretamente com a infraestrutura de TI
são: da organização, tais como: funcionários, prestadores
a) Estabelecer os requisitos de segurança da de serviço, parceiros e terceirizados. O SGSI deve
informação para uma organização que, para a norma possuir obrigatoriamente o aval da direção e do
ABNT NBR ISO/NBR 27002, podem ser obtidas departamento jurídico da organização para conferir
através de três fontes principais: sua legalidade.
A informação, conforme a ABNT NBR ISO/IEC
• A partir da análise/avaliação de riscos
27002, é um ativo que, como outro ativo de grande
para a organização, levando-se em conta
importância, demonstra ser essencial para o negócio
os objetivos e as estratégias globais de
e necessita ser adequadamente protegido.
negócios da organização. Por meio da
Ativos da informação são aqueles relevantes
análise/avaliação de riscos, são identificadas
ao escopo do sistema de gestão de segurança da
as ameaças aos ativos e as vulnerabilidades
informação (ABNT, 2006). Normalmente é algo
destes e é realizada uma estimativa da
que uma organização atribui valor e que contém,
probabilidade de ocorrência das ameaças e
transmite e armazena informação, também sendo
do impacto potencial ao negócio.
necessário mantê-los para continuidade do negócio.
• A partir da legislação vigente, os estatutos, Informações eletrônicas, documentos em papel,
a regulamentação e as cláusulas contratuais software, hardware, instalações, pessoas, imagem
que a organização, seus parceiros e reputação da companhia, serviços são todos
comerciais, contratados e provedores de considerados ativos da informação.
serviço têm que atender, além do seu De acordo com Reis et al. (2007), a informação se
ambiente sociocultural. localiza entre o que se pode chamar de dado puro e
• A partir de um conjunto particular de o conhecimento. Ela consiste em um dado com uma
princípios, objetivos e dos requisitos interpretação sobre ele.
do negócio para o processamento da A norma ABNT NBR ISO/IEC 27001 traz a
informação que uma organização tem que ideia de que os ativos da informação não incluem
desenvolver para apoiar suas operações necessariamente tudo o que uma empresa consta
(ABNT, 2005). que tem um valor. Uma cadeira tem um valor,
mas não é um ativo, pois não tem relação direta
b) Elaborar uma metodologia para implantar com informações. A organização deve determinar
um SGSI que melhor se adéque à realidade da quais ativos podem materialmente afetar a entrega
organização, observando suas particularidades, no de um produto ou serviço pela sua ausência ou
intuito de prover um sistema eficiente de gestão deteriorização, ou podem causar dano à organização
• Crítica (3): ativos nesse nível, caso sofra Entender os requisitos de segurança da
uma perda de disponibilidade, afetarão a informação de uma organização e a necessidade
continuidade do negócio. de estabelecer um conjunto de diretrizes e objetivos
para a segurança da informação;
2. 2 Principais Aspectos e Estrutura da Com base na compreensão dos riscos de
Norma ABNT NBR ISO/IEC 27001 negócios globais da organização, implantar e operar
controles para gerenciar os riscos de segurança da
Como escrito na norma ABNT NBR ISO/IEC informação;
27001, ela foi preparada para prover um modelo para Monitorar e analisar criticamente o próprio SGSI;
estabelecer, implementar, operar, monitorar, analisar Melhorar continuamente seguindo métricas
criticamente, manter e melhorar um Sistema de objetivas.
Gestão de Segurança da Informação (ABNT, 2006). Segundo a ABNT (2006) e Fernandes e Abreu
A definição da utilização de um SGSI deve respeitar (2008), essa norma utiliza o modelo Plan-Do-Check-
a estrutura da organização, o foco estratégico e suas Act (PDCA), também chamado de ciclo de Deming,
reais necessidades, devendo ainda ser adaptável às sendo aplicado na estrutura de todos os processos
situações encontradas (um problema de segurança do SGSI. A Figura 1 ilustra como o SGSI se relaciona
da informação que não demonstre complexidade com o modelo PDCA.
requer soluções igualmente simples de um SGSI). Em Faria (2008) o PDCA é definido como “um
Ela utiliza a abordagem de processo na intenção método amplamente aplicado para o controle eficaz
de estabelecer, implantar, operar, realizar a análise e confiável das atividades de uma organização,
crítica, manter e melhor o SGSI de uma organização principalmente àquelas relacionadas às melhorias,
(ABNT, 2006; FERNANDES e ABREU, 2008). possibilitando a padronização nas informações do
Conforme apresentam a ABNT (2006) e Fernandes e controle de qualidade e a menor probabilidade de
Abreu (2008), essa abordagem estimula os usuários a erros nas análises ao tornar as informações mais
enfatizar a importância de: entendíveis”.
A mesma autora define as etapas do PDCA da alcançar os objetivos e a definição do método para
seguinte forma: alcançá-los.
PLAN - É o primeiro passo para a aplicação do DO – Representa o segundo passo do PDCA e se
PDCA, constitui em um planejamento estabelecido constitui na definição do plano de ação e na execução
com base nos objetivos do negócio das organizações propriamente dita.
e considera três fases importantes: o estabelecimento CHECK – É o terceiro passo do PDCA, nesta fase
dos objetivos, o estabelecimento do caminho para podem ser detectados erros ou falhas, de acordo com
3. 1. 4 Avaliar os riscos Haja vista que um sistema, por mais eficiente
que seja, não consiga eliminar a totalidade dos riscos
Para isto, é preciso criar um terceiro quadro devido a fatores como a ocorrência de ameaças
(Quadro 3) representando as vulnerabilidades, não previstas e do alto custo/benefício, é necessário
ameaças e a probabilidade de ocorrência destas aceitar riscos residuais, que pela ABNT NBR ISO/IEC
ameaças. Por vulnerabilidade entende-se como as 27001 pode ser definido como o risco remanescente
fraquezas associadas ao ativo da informação (ponto após o tratamento de risco (ABNT, 2006).
fraco), já as ameaças são as ocorrências que podem
atingir as vulnerabilidades.
Declaração de Aplicabilidade
Versão
Responsável pela Declaração
Responsável pela Aprovação
Última Revisão __/__/__ Responsável:
__/__/__ Responsável:
Controles Controles já Controles em implantação Controles não implantados/
implantados Justificativa
Sua representação é realizada através de um partir da análise do gráfico, priorizar a ação que dará
gráfico, permitindo que as prioridades do problema um melhor resultado para a organização.
sejam melhor visualizadas e auxilia a estabelecer Para a construção do diagrama, deverão ser
metas (ELAINA, 2011). realizados os seguintes passos:
Segundo Elaina (2011), o diagrama de Pareto 1) Elaborar um quadro com todos os aspectos
serve para tornar mais clara a relação entre a ação que serão analisados conforme o modelo a seguir
tomada e o benefício que esta ação proporciona e, a (Quadro 6):
A B C D
Não conformidade/
Período
Janeiro
... ... ... ... ...
Nº total de não
conformidade
Porcentagem
3. 5 Documentação
Para atender aos requisitos de documentação do
SGSI, é preciso que a documentação inclua registros
de decisões da direção, assegure que seja possível
rastrear as ações de acordo com as políticas e
decisões da direção (ABNT, 2006).
5) Toda e qualquer alteração e registros qualidade e/ou ambiental – constituindo assim, mais
posteriores, bem como os registros requeridos pela uma norma para estudo.
norma ABNT NBR ISO/IEC 27001; No mesmo estudo, também pode ser observado
a análise crítica do SGSI, pois de acordo com a norma
4 Considerações Finais ISO/IEC 27001, a organização deve de forma periódica
analisar criticamente o sistema. Com essa medida ela
A segurança da informação vem se destacando visa a melhoria contínua do sistema aplicando ações
como um elemento fundamental para que processos preventivas e corretivas (ABNT, 2006).
e serviços que dependam da informação continuem a Para a análise crítica deve ser levado em
se desenvolver nas diversas organizações. consideração aspectos como os resultados de
Neste sentido, manter a segurança da auditorias internas, não conformidades não
informação com um gerenciamento eficaz implica contemplados na análise/avaliação de riscos e
garantir a continuidade do negócio da organização. quaisquer mudanças que possam afetar o SGSI
Por isso, se torna necessário um sistema que (ABNT, 2006).
envolva planejamento, documentação, definições de
responsabilidades e provisões de recursos. Referências
As normas ISO/IEC 27001 e 27002, traduzidas
pela ABNT, abordam o tema segurança da ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS.
informação e revelam boas práticas para que os NBR ISO/IEC 27002:2005 – Tecnologia da
gestores de TI implantem um sistema gerenciado informação – Técnicas de segurança – Código
de prática para gestão da segurança da
de segurança da informação. Porém, ainda era
Informação. Rio de Janeiro: ABNT, 2005.
preciso definir uma metodologia, para que qualquer
profissional que desejasse implantar esse sistema em ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS.
uma organização encontrasse nela um modelo que NBR ISO/IEC 27001:2006 – Tecnologia da
relacionasse todos os requisitos da norma de forma informação – Técnicas de segurança – Sistemas
simples e eficaz, servindo como um guia para real de gestão de segurança da informação -
implantação do SGSI. Requisitos. Rio de Janeiro: ABNT, 2006
O forte do modelo sugerido é que ele é genérico e,
portanto, pode ser aplicado desde uma instituição de ANDREA, E. O centro do furacão: muitos veem
ensino, até em instituições financeiras, por exemplo. a luz do sol, apesar da nebulosidade causada pela
estagnação da economia global e pelo aumento
Além disso, a implantação do SGSI em sua
do crime cibernético e das ameaças de segurança
totalidade e para seguir os requisitos de uma da informação. São Paulo: PwC, 2011
certificação deve ir além do planejamento e
implementação do plano de ação. Auditorias devem ELAINA, J; Diagrama de Pareto. 2011. Disponível
ser realizadas periodicamente com a finalidade em: http://www.empresasedinheiro.com/
identificar não conformidades e é preciso realizar diagrama-de-pareto/. Acesso em: 10 jun. 2012.
uma análise crítica do SGSI para que seja possível
melhorar e corrigir falhas pontuais. FARIA, C. PDCA (Plan, Do, Check, Action). 2008.
Estes dois fatores são abordados pela norma e Disponível em: http://www.infoescola.com/administracao/
podem ser utilizados em um estudo posterior. pdca-plan-do-check-action/. Acesso em: 28 jun. 2012.
As auditorias internas devem ser realizadas pela
FERNANDES, A.; ABREU, V. Implantando a
organização em intervalos de tempos planejados governança de TI: da estratégia à gestão dos processos
para determinar se os objetivos do SGSI estão sendo e serviços. 2. ed. Rio de Janeiro: Brasport, 2008.
alcançados (ABNT, 2006). Para as auditorias, é preciso
um programa planejado que leve em consideração os FERREIRA, F. N. F; ARAUJO, M. T.; Política
objetivos de controle das normas ISO 27001 e ISO de sgurança da informação: guia prático
27002. para elaboração e implementação. 2. ed. Rio
Para auxiliar no processo de auditoria pode ser de Janeiro: Editora Ciência Moderna, 2008.
utilizado a norma ABNT NBR ISO 19011:2002 –
Diretrizes para auditorias de sistema de gestão da