Escolar Documentos
Profissional Documentos
Cultura Documentos
Dezembro de 2012
Dentro da série 27000 ainda podemos referir as normas 27002 (Código de Práticas),
27003 (Guia de Implementação), 27004 (Métricas e Medição), 27005 (Directrizes de Gestão de
Risco) e 27006 (Directrizes de Serviços de Recuperação de Desastres).
Neste trabalho vamos focar a nossa atenção na norma ISO/IEC 27000 e 27001, seguindo
uma estrutura que abordará as suas aplicações e objectivos. Apresentaremos também as
perspectivas de conciliação entre as duas normas, para mostrar a forma como estas se
complementam.
Por último são apresentadas algumas conclusões a alguns casos práticos da aplicação
destas normas.
1. Introdução ................................................................................................................................ 4
1.1. Apresentação do Tema ........................................................................................................ 4
1.2. Organização e temas Abordados no Presente Relatório ..................................................... 4
2. Segurança da Informação......................................................................................................... 5
2.1 Em que consiste a Segurança da Informação? ........................................................................... 5
2.2. Contextualização da Segurança da Informação ................................................................... 6
2.3. Mecanismos de controlo às ameaças .................................................................................. 6
2.3.1. Controlo de Acesso........................................................................................................... 6
2.3.2. Detecção de Intrusos........................................................................................................ 6
2.3.3. Criptografia....................................................................................................................... 7
2.3.4. Assinatura Digital ............................................................................................................. 7
2.3.5. Protecção de Dados Armazenados .................................................................................. 7
2.3.6. Recuperação de Desastres ............................................................................................... 7
3. Modelos para a Segurança da Informação: a série ISO/IEC 27000 .......................................... 8
3.1. O que é um Sistema de Gestão de Segurança de Informação? ......................................... 10
3.1.1. Visão Geral e Princípios .................................................................................................. 10
3.2. A abordagem de processos ................................................................................................ 11
4. A Norma ISO/IEC 27001 ......................................................................................................... 12
4.1. Apresentação ..................................................................................................................... 12
4.2. Objectivos........................................................................................................................... 12
4.3. Aplicação ............................................................................................................................ 13
5. Perspectiva de conciliação da Norma ISO/IEC 27000 e 27001 .............................................. 14
6. A família da Norma ISO /IEC 27000 ........................................................................................ 17
7. Alguns casos práticos da Implementação da Norma ISO/IEC 27001 ..................................... 18
8. Entidades Certificadoras em Portugual que utilizam a norma ISO/IEC 27001 ...................... 20
9. Certificação............................................................................................................................. 22
9.1. O que é a certificação? ....................................................................................................... 22
9.2. Como é acreditada uma entidade certificadora?............................................................... 22
9.3. Quem tem autoridade para certificar as autoridades certificadoras? ............................... 22
9.4. O que é a certificação de um sistema de gestão? .............................................................. 22
10. Conclusões.......................................................................................................................... 24
11. Referências Bibliográficas .................................................................................................. 25
O SGSI permite uma gestão dos riscos da segurança da informação para garantir que a
informação não é negada nem se tornará indisponível, não será perdida, destruída ou
danificada, divulgada sem autorização ou até mesmo roubada.
Seguidamente são apresentadas as normas que estudamos para suportar esta questão
da Segurança da Informação: as normas ISO/IEC 27000 e ISO/IEC 27001, definindo os seus
objectivos e aplicações e apresentando as vantagens da conciliação destas normas que induzem
a medidas a ter em conta para a Gestão da Segurança da Informação, tais como a análise e
avaliação dos riscos e o modelo PDCA (Plan, Do, Check and Act).
Por fim, são descritas algumas conclusões da realização deste trabalho que afirmam a
importância da Segurança da Informação não só para as organizações, mas em todas as áreas
de vida de cada indivíduo.
Para garantir a segurança das informações deve ser feita uma Análise de Risco que
identifique todos os riscos que ameacem as informações, apontando soluções que eliminem,
minimizem ou transfiram os riscos. As ameaças são acções de origem humana, que quando são
exploradas podem gerar vulnerabilidade e produzir ataques, que por sua vez, causam incidentes
que comprometem as informações, provocando perda de confidencialidade, disponibilidade e
integridade.
A informação vem assumindo, cada vez mais, uma posição estratégica para as
organizações, sendo o seu principal património. Neste sentido, o controlo de acesso às
informações é um requisito fundamental nos sistemas das organizações, visto que actualmente
a grande maioria da informação de uma organização está armazenada e é trocada entre os seus
mais variados sistemas.
Segundo Araújo (2005, p.5) “o factor humano é o principal desafio para se ter uma boa e
segura conduta de Segurança da Informação”. Com o aumento das tecnologias e da flexibilidade
de acesso a qualquer tipo de informação, cabe aos indivíduos demonstrar alguma preocupação
quanto à segurança e às ameaças de que passam a ser alvo por parte de alguns indivíduos mal
intencionados.
Esta norma serve de apoio às organizações de qualquer sector, público ou privado, para
entender os fundamentos, princípios e conceitos que permitem uma melhor gestão dos seus
activos de informação.
A família de normas da ISO/IEC 27000 inclui padrões que definem os requisitos para um
SGSI e para a certificação desses sistemas e prestam apoio directo e orientação detalhada para
os processos e requisitos do ciclo PDCA.
A ISO 27000 contém termos e definições utilizados ao longo da série 27000. A aplicação
de qualquer padrão necessita de um vocabulário claramente definido, para evitar diferentes
interpretações de conceitos técnicos e de gestão.
Seguidamente serão apresentados alguns dos termos que são definidos na norma:
Controlo de acesso – meios para assegurar que o acesso a activos está autorizado e restringido
com base no trabalho e em requisitos de segurança;
Activos – qualquer coisa que tenha valor para a organização (informação, software, o próprio
computador, serviços, as pessoas, entre outros);
Atacar – tentar destruir, alterar, expor, inutilizar, roubar ou obter acesso não autorizado ou
fazer uso não autorizado de um activo;
Autenticação – prestação de garantia de que uma característica reclamada por uma entidade é
correcta;
Autenticidade – propriedade que nos diz que uma entidade é aquilo que realmente afirma ser;
Confidencialidade – propriedade que garante que a informação não está disponível ou revelada
a indivíduos não autorizados, entidades ou processos;
Acção correctiva – acção para eliminar a causa de uma não conformidade detectada ou outra
situação indesejável;
Directriz – recomendação do que é esperado que seja feito a fim de alcançar um objectivo;
Sistema de Gestão de Segurança de Informação – parte do sistema de gestão global, com base
numa abordagem de risco de negócio, para estabelecer, implementar, operar, monitorizar,
rever, manter e melhorar a segurança da informação.
Risco de Segurança da Informação – potencial que uma ameaça explore uma vulnerabilidade de
um activo ou grupo de activos e, assim, causar danos à organização;
Sistema de Gestão – âmbito das políticas, procedimentos, directrizes e recursos associados para
alcançar os objectivos de uma organização;
Análise de risco – uso sistemático de informações para identificar fontes e estimar a ocorrência
de um risco;
Gestão de risco – actividades coordenadas para dirigir e controlar uma organização em relação a
um determinado risco;
Ameaça – causa potencial de um incidente indesejado, o que pode resultar em danos para um
sistema ou entidade;
Vulnerabilidade – fraqueza de um activo ou controlo, que pode ser explorado por ameaça.
DO - Os planos são postos em prática e implementados (fazer o que foi planeado para fazer).
4.1. Apresentação
Esta norma foi publicada pelo ISO e pelo IEC em Outubro de 2005. Foi elaborada para
especificar os requisitos para o estabelecimento, implementação, operacionalização,
monitorização, revisão, manutenção e melhoria de um SGSI, dentro do contexto dos riscos de
negócio de uma organização.
Antes da implementação desta norma num sistema convém pensar em algumas questões:
Quanto custará uma falha que implique uma perda efectiva de informação?
Quais as consequências da utilização da informação por pessoas que dela possam fazer
uso indevido e não autorizado?
Qual o custo da diminuição da produtividade por erros, falhas de sistema ou utilização
de informação errada?
Qual o peso da ocorrência de incidentes sobre as informações de uma organização?
Em que se deve fundamentar uma organização para fazer uma avaliação dos riscos?
Quais as principais áreas que uma organização tem de considerar a fim de alcançar uma
implementação de SGSI de sucesso?
4.2. Objectivos
Esta norma foi estabelecida com o âmbito de ser utilizada em conjunto com a ISO/IEC
17799 e pretende assegurar a selecção de controlo de segurança adequado e proporcional.
A implementação da norma 27001 faz com que as organizações devam manter o seu
foco nas necessidades do negócio e considerar a segurança da informação como parte
integrante dos objectivos de negócio para realizar a gestão dos riscos.
2. Responsabilidades da direcção:
- Comprometimento da direcção
- Gestão de recursos
- Provisão de recursos
- Treino, consciencialização e competência
5. Melhoria do SGSI:
- Melhoria contínua através do uso da política estabelecida, resultados das auditorias,
análise dos eventos monitorizados, acções correctivas (etapas anteriores);
- Eliminação das não conformidades através de acções correctivas e preventivas.
Primeiramente é necessário ter-se noção de que não existe segurança absoluta, não é
possível eliminar 100% dos riscos e das ameaças. No entanto, um plano de controlo
previamente definido pode facilitar estas questões.
A norma 27000 surge como uma forma de definir alguns termos e definições para uma
futura implementação de um Sistema de Gestão de Segurança da Informação, enquanto a
norma 27001 apresenta alguns requisitos que sugerem alguns procedimentos para uma boa
Gestão de Segurança da Informação.
PLAN -
Estabelecer
o SGSI
Do -
Requisitos e expectativas Act - Manter Sistema de Gestão da
Implementar
e Optimizar
da Segurança da e Operar o Segurança da Informação
o SGSI
SGSI
Informação gerido
Check -
Monitorizar
e Rever o
SGSI
1 - O Modelo PDCA
A Gestão dos riscos é um dos aspectos chave da norma ISO/IEC 27001, uma avaliação
dos riscos é uma das exigências desta norma. Como resultado da avaliação de riscos, deve ser
feita uma lista dos riscos identificados, classificados em ordem de gravidade para
posteriormente serem tomadas medidas.
A avaliação dos riscos deve ser feita tendo em conta uma análise de custo-benefício, para
revelar se compensa um risco ser minimizado ou transferido. Em suma, se um risco tem baixa
probabilidade de ocorrer e o seu custo de tratamento é elevado, não compensa essa tomada de
decisão.
Estas medidas são definidas pela norma ISO/IEC 27002, que dá suporte ao desenvolvimento de
planos de segurança e orienta de melhor forma a Gestão da Segurança da Informação.
Dentro da série 27000 ainda podemos referir as normas 27002 (Código de Práticas),
27003 (Guia de Implementação), 27004 (Métricas e Medição), 27005 (Directrizes de Gestão
de Risco) e 27006 (Directrizes de Serviços de Recuperação de Desastres).
A norma ISO 27002 a partir de Julho de 2007 é o novo nome da norma ISO 17799. Esta
norma é um guia de boas práticas que descreve os objectivos de controlo e os controlos
recomendados para a Segurança da Informação. A norma ISO 27001 contém alguns anexos
que resumem alguns destes controlos.
A norma ISO 27004 especifica métricas e técnicas de medição aplicáveis para determinar a
eficácia do SGSI, os objectivos de controlo e os controlos usados para implementar e gerir a
Segurança da Informação. Estas métricas são usadas principalmente para medir os
componentes da fase “CHECK” do ciclo PDCA.
A norma ISO 27006 especifica requisitos e fornece orientações para os organismos que
prestem serviços de auditoria e certificação de um SGSI.
A norma ISO 27001 já tem um elevado número de certificações distribuídas por vários países1:
1
Retirado do site: http://www.iso27001certificates.com
18 Segurança da Informação | FEUP
Processo de Certificação de um Sistema de Gestão de Segurança da Informação
Organismos de Certificação
A APCER certifica organizações a partir da norma ISO 27001 – Tecnologias da Informação, para
que estas organizações tenham um sistema de gestão que protege a sua informação com
mecanismos de controlo adequados às suas necessidades e realidade, verificados por uma
entidade externa. Através da avaliação e gestão do risco este sistema procura garantir a
continuidade de negócio e diminuir o impacto de eventuais incidentes de segurança.
SGS ICS
Entidade Certificadora que pretende formar Auditores experientes e qualificados para cada
sector de atividade, o reconhecimento em Portugal e no mundo, uma equipa orientada para
acompanhar as organizações nos seus processos de Certificação, satisfação do cliente e melhoria
contínua.
É uma fundação independente que tem como principal competência identificar, avaliar e
aconselhar as organizações para a gestão de risco, sendo o seu foco a segurança e a
responsabilidade de melhorar o desempenho das organizações.
Esta entidade utiliza a norma ISO 27001 que é o padrão de segurança internacional formal
contra a qual as organizações podem procurar a certificação independente do seu SGSI. Ele
especifica os requisitos para estabelecer, implementar, operar, monitorizar, rever, manter e
melhorar um SGSI, utilizando uma abordagem de melhoria contínua.
2
Retirado do site: http://www.iso27001certificates.com
21 Segurança da Informação | FEUP
9. Certificação
Segundo a BSI Brasil, “Certificação é o processo no qual uma terceira parte acreditada
visita uma organização, audita o seu sistema de gestão e emite um certificado para demonstrar
que esta obedece aos princípios definidos na norma e que segue a melhor prática da indústria.
O certificado é o documento que corporifica a certificação.”
3
Segundo a definição de Creditação em Wikipédia. Disponível em:
http://pt.wikipedia.org/wiki/Certifica%C3%A7%C3%A3o
22 Segurança da Informação | FEUP
A certificação é uma decisão da organização, é principalmente uma opção estratégica no
sentido de evoluir, melhorar e ganhar mercados e exige o envolvimento de diversas partes da
organização. As empresas certificadas têm diversas vantagens: melhoria do prestígio e da
imagem; aumento da competitividade e entrada em novos mercados; aumento da confiança dos
trabalhadores, clientes e administração; cultura da melhoria contínua; redução de custos;
prevenção e minimização de aspetos, perigos e de acidentes.