Diana Luísa Rocha Santos

Rita Maria Santos Silva

Segurança da Informação: a Norma ISO/IEC 27000 e ISO/IEC

27001
Trabalho de Segurança de Informação do MCI 2012/2013

Docente: José Manuel de Magalhães Cruz

Faculdade de Engenharia da Universidade do Porto

Mestrado em Ciência da Informação

Dezembro de 2012

1 Segurança da Informação | FEUP

Resumo

O presente trabalho foi realizado no âmbito da unidade curricular de Segurança da

Informação e apresenta alguns resultados do estudo de duas normas, a ISO/IEC 27000 e a
ISO/IEC 27001.

A norma 27000 apresenta algum vocabulário e definições e a norma 27001 apresenta

alguns requisitos que sugerem alguns procedimentos para uma boa Gestão da Segurança da
Informação.

Dentro da série 27000 ainda podemos referir as normas 27002 (Código de Práticas),
27003 (Guia de Implementação), 27004 (Métricas e Medição), 27005 (Directrizes de Gestão de
Risco) e 27006 (Directrizes de Serviços de Recuperação de Desastres).

Neste trabalho vamos focar a nossa atenção na norma ISO/IEC 27000 e 27001, seguindo
uma estrutura que abordará as suas aplicações e objectivos. Apresentaremos também as
perspectivas de conciliação entre as duas normas, para mostrar a forma como estas se
complementam.

Por último são apresentadas algumas conclusões a alguns casos práticos da aplicação
destas normas.

2 Segurança da Informação | FEUP

Sumário

1. Introdução ................................................................................................................................ 4
1.1. Apresentação do Tema ........................................................................................................ 4
1.2. Organização e temas Abordados no Presente Relatório ..................................................... 4
2. Segurança da Informação......................................................................................................... 5
2.1 Em que consiste a Segurança da Informação? ........................................................................... 5
2.2. Contextualização da Segurança da Informação ................................................................... 6
2.3. Mecanismos de controlo às ameaças .................................................................................. 6
2.3.1. Controlo de Acesso........................................................................................................... 6
2.3.2. Detecção de Intrusos........................................................................................................ 6
2.3.3. Criptografia....................................................................................................................... 7
2.3.4. Assinatura Digital ............................................................................................................. 7
2.3.5. Protecção de Dados Armazenados .................................................................................. 7
2.3.6. Recuperação de Desastres ............................................................................................... 7
3. Modelos para a Segurança da Informação: a série ISO/IEC 27000 .......................................... 8
3.1. O que é um Sistema de Gestão de Segurança de Informação? ......................................... 10
3.1.1. Visão Geral e Princípios .................................................................................................. 10
3.2. A abordagem de processos ................................................................................................ 11
4. A Norma ISO/IEC 27001 ......................................................................................................... 12
4.1. Apresentação ..................................................................................................................... 12
4.2. Objectivos........................................................................................................................... 12
4.3. Aplicação ............................................................................................................................ 13
5. Perspectiva de conciliação da Norma ISO/IEC 27000 e 27001 .............................................. 14
6. A família da Norma ISO /IEC 27000 ........................................................................................ 17
7. Alguns casos práticos da Implementação da Norma ISO/IEC 27001 ..................................... 18
8. Entidades Certificadoras em Portugual que utilizam a norma ISO/IEC 27001 ...................... 20
9. Certificação............................................................................................................................. 22
9.1. O que é a certificação? ....................................................................................................... 22
9.2. Como é acreditada uma entidade certificadora?............................................................... 22
9.3. Quem tem autoridade para certificar as autoridades certificadoras? ............................... 22
9.4. O que é a certificação de um sistema de gestão? .............................................................. 22
10. Conclusões.......................................................................................................................... 24
11. Referências Bibliográficas .................................................................................................. 25

3 Segurança da Informação | FEUP

1. Introdução
O objectivo deste trabalho é perceber mais profundamente o conceito de Segurança de
Informação. Neste contexto pareceu-nos interessante trabalhar com a temática das Normas
ISO/IEC 27000 e ISO/IEC 27001 que consistem em definir um propósito para o desenvolvimento
de um Sistema de Gestão de Segurança da Informação (SGSI) nas Organizações, o que é
importante tendo em conta a quantidade de informação que actualmente é produzida e
armazenada nas organizações. Um SGSI envolve todas as actividades de gestão e as estruturas
de suporte à gestão relevantes para a segurança da informação.

1.1. Apresentação do Tema

Actualmente a informação é considerada a chave dos negócios de uma organização,
devido à sua utilidade e importância. A problemática da Segurança da Informação está
associada com a crescente dependência das empresas em Sistemas de Informação e Tecnologias
da Informação. Reconhecendo o valor da informação, as organizações devem certificar-se de
que a gerem de forma eficaz.

O SGSI permite uma gestão dos riscos da segurança da informação para garantir que a
informação não é negada nem se tornará indisponível, não será perdida, destruída ou
danificada, divulgada sem autorização ou até mesmo roubada.

1.2. Organização e temas Abordados no Presente Relatório

Na parte inicial do relatório vamos descrever a nossa temática central – A Segurança da

Informação – definindo o seu contexto e o seu propósito. Vamos abordar a questão da
protecção da informação, definindo os mecanismos utilizados para este fim como o controlo de
acesso, os antivírus, o sistema de detecção de intrusos, o processo de criptografia e assinatura
digital, o procedimento de protecção de dados armazenados e as políticas de recuperação de
desastres.

Seguidamente são apresentadas as normas que estudamos para suportar esta questão
da Segurança da Informação: as normas ISO/IEC 27000 e ISO/IEC 27001, definindo os seus
objectivos e aplicações e apresentando as vantagens da conciliação destas normas que induzem
a medidas a ter em conta para a Gestão da Segurança da Informação, tais como a análise e
avaliação dos riscos e o modelo PDCA (Plan, Do, Check and Act).

Por fim, são descritas algumas conclusões da realização deste trabalho que afirmam a
importância da Segurança da Informação não só para as organizações, mas em todas as áreas
de vida de cada indivíduo.

4 Segurança da Informação | FEUP

 2. Segurança da Informação

2.1 Em que consiste a Segurança da Informação?

A informação encontra-se nos activos que envolvem a organização e que têm valor para
o seu negócio, pelo que, a protecção da informação deve ser feita tendo em conta estes activos.
Os activos podem ser físicos (arquivos, bibliotecas, cofres que contém informação relevante),
tecnológicos (recursos informáticos como sistemas de informação, e-mails, intranets) e
humanos (pessoas que fazem parte das actividades das organizações).

A Segurança da Informação consiste em garantir que a informação existente em

qualquer formato está protegida contra o acesso por pessoas não autorizadas
(confidencialidade), está sempre disponível quando necessária (disponibilidade), é confiável
(integridade) e autêntica (autenticidade). Beal (2005, p.71) define a Segurança da Informação
como “o processo de proteger a informação das ameaças para garantir a sua integridade,
disponibilidade e confidencialidade”. Estes conceitos são vistos como suporte para a Segurança
da Informação.

Para garantir a segurança das informações deve ser feita uma Análise de Risco que
identifique todos os riscos que ameacem as informações, apontando soluções que eliminem,
minimizem ou transfiram os riscos. As ameaças são acções de origem humana, que quando são
exploradas podem gerar vulnerabilidade e produzir ataques, que por sua vez, causam incidentes
que comprometem as informações, provocando perda de confidencialidade, disponibilidade e
integridade.

As ameaças são todas as situações que colocam em causa a Segurança da Informação.

Uma ameaça pode ser qualquer acção, acontecimento ou entidade que age sobre um activo ou
pessoa, através de uma vulnerabilidade e consequentemente gera um determinado impacto. As
ameaças actuam sobre os activos e são classificadas com as mesmas categorias: ameaças físicas
(normalmente decorrentes de fenómenos naturais), tecnológicas (normalmente são ataques
propositados causados por agentes humanos como hackers, invasores, criadores e
disseminadores de vírus, mas também por defeitos técnicos, falhas de hardware e software) e
humanas (são consideradas as mais perigosas, podendo ser casos de roubos e fraudes causados
por ladrões e espiões).

5 Segurança da Informação | FEUP

 2.2. Contextualização da Segurança da Informação

Com a crescente evolução da Web, a Internet promoveu o acesso a inúmeros serviços e

informações. Este avanço estimulou a proliferação da informação que é vista segundo Cosmo
(2006, 9.6) como “um bem vital responsável pela formação e desenvolvimento tanto da
sociedade erudita como da sociedade contemporânea”.

A informação vem assumindo, cada vez mais, uma posição estratégica para as
organizações, sendo o seu principal património. Neste sentido, o controlo de acesso às
informações é um requisito fundamental nos sistemas das organizações, visto que actualmente
a grande maioria da informação de uma organização está armazenada e é trocada entre os seus
mais variados sistemas.

A importância da informação disponibilizada na Internet fez com que houvesse a

necessidade de assegurar a sua preservação e integridade, pelo que surge o conceito de
Segurança da Informação. É muito importante que mecanismos de informação sejam
projectados para prevenir acessos não autorizados.

Segundo Araújo (2005, p.5) “o factor humano é o principal desafio para se ter uma boa e
segura conduta de Segurança da Informação”. Com o aumento das tecnologias e da flexibilidade
de acesso a qualquer tipo de informação, cabe aos indivíduos demonstrar alguma preocupação
quanto à segurança e às ameaças de que passam a ser alvo por parte de alguns indivíduos mal
intencionados.

2.3. Mecanismos de controlo às ameaças

Na Segurança da Informação existem alguns mecanismos para preservar a informação,
de forma a garantir a sua disponibilidade, confidencialidade, integridade e autenticidade, estes
mecanismos são designados por mecanismos de controlo às ameaças.

2.3.1. Controlo de Acesso

Este mecanismo permite controlar quais as pessoas autorizadas a entrar em
determinado local e regista o dia e hora de acesso, controlando e decidindo as permissões que
cada utilizador tem. Um sistema de controlo de acesso é constituído por diferentes
equipamentos periféricos de controlo e comando, interligados a uma única unidade de controlo
que permite, em diferentes pontos, vários acessos.

2.3.2. Detecção de Intrusos

Os sistemas de detecção de intrusos alertam os administradores para a entrada de
possíveis intrusos nos sistemas. Estes sistemas tentam reconhecer um comportamento/acção
intrusiva, através da análise das informações disponíveis num sistema de computação ou rede.

6 Segurança da Informação | FEUP

 2.3.3. Criptografia
A criptografia é a arte de codificação que permite a transformação reversível da
informação de forma a torná-la inteligível a terceiros. Esta utiliza determinados algoritmos numa
chave secreta para, a partir de um conjunto de dados não criptografados, produzir uma
sequência de dados criptografados.

2.3.4. Assinatura Digital

Este mecanismo é um conjunto de dados criptografados, associados a um documento
que garantem a sua integridade e autenticidade. A utilização da assinatura digital prova que
uma mensagem vem de um determinado emissor, porque é um processo que apenas o
signatário pode realizar. No entanto, o receptor deve poder confirmar a assinatura feita pelo
emissor e a mensagem não pode ser alterada, senão a assinatura não corresponderá mais ao
documento. A validade de uma assinatura digital verifica-se se esta se basear em certificados
emitidos por entidades certificadas credenciadas.

2.3.5. Protecção de Dados Armazenados

Neste mecanismo são utilizados os antivírus que são softwares capazes de detectar e
remover arquivos ou programas nocivos. A preocupação com a protecção de dados
armazenados faz com que se desenvolvam alguns métodos para controlar o acesso por pessoas
externas, como a criptografia ou a assinatura digital.

2.3.6. Recuperação de Desastres

As catástrofes naturais (incêndios, inundações, terramotos, entre outros) designam-se
de desastres e são acontecimentos que podem causar grandes prejuízos, porém, com baixa
probabilidade de ocorrência. No entanto levam-nos à necessidade de implementar planos de
emergência, para garantir a preservação dos documentos e a própria integridade física dos
colaboradores de uma organização.

7 Segurança da Informação | FEUP

 3. Modelos para a Segurança da Informação: a série ISO/IEC 27000

O objectivo da Gestão de Segurança de Informação é manter a qualidade das

informações. E a qualidade dessas informações depende da confidencialidade, integridade e
disponibilidade das mesmas. Esse princípio foi desenvolvido de modo a se tornar o padrão
global de SI: o conjunto de ISO/IEC 27000.

A série ISO 27000 constitui um padrão de certificação de sistemas de gestão promovido

pelo International Organization for Standardization (ISO), neste caso aplica-se à implementação
de Sistemas de Gestão de Segurança da Informação (SGSI), através do estabelecimento de uma
política de segurança, de controlos adequados e da gestão de riscos.

Esta norma serve de apoio às organizações de qualquer sector, público ou privado, para
entender os fundamentos, princípios e conceitos que permitem uma melhor gestão dos seus
activos de informação.

A família de normas da ISO/IEC 27000 inclui padrões que definem os requisitos para um
SGSI e para a certificação desses sistemas e prestam apoio directo e orientação detalhada para
os processos e requisitos do ciclo PDCA.

A ISO 27000 contém termos e definições utilizados ao longo da série 27000. A aplicação
de qualquer padrão necessita de um vocabulário claramente definido, para evitar diferentes
interpretações de conceitos técnicos e de gestão.

Seguidamente serão apresentados alguns dos termos que são definidos na norma:

Controlo de acesso – meios para assegurar que o acesso a activos está autorizado e restringido
com base no trabalho e em requisitos de segurança;

Responsabilidade – responsabilidade de uma entidade pelas suas acções e decisões;

Activos – qualquer coisa que tenha valor para a organização (informação, software, o próprio
computador, serviços, as pessoas, entre outros);

Atacar – tentar destruir, alterar, expor, inutilizar, roubar ou obter acesso não autorizado ou
fazer uso não autorizado de um activo;

Autenticação – prestação de garantia de que uma característica reclamada por uma entidade é
correcta;

Autenticidade – propriedade que nos diz que uma entidade é aquilo que realmente afirma ser;

Disponibilidade – propriedade de ser acessível e utilizável por uma entidade autorizada;

Confidencialidade – propriedade que garante que a informação não está disponível ou revelada
a indivíduos não autorizados, entidades ou processos;

8 Segurança da Informação | FEUP

Controlar – meio de gestão de risco, incluindo as políticas de procedimentos, directrizes,
práticas ou estruturas organizacionais, que podem ser de natureza administrativa, técnica, de
gestão ou de natureza legal;

Acção correctiva – acção para eliminar a causa de uma não conformidade detectada ou outra
situação indesejável;

Directriz – recomendação do que é esperado que seja feito a fim de alcançar um objectivo;

Segurança da Informação – preservação da confidencialidade, integridade e disponibilidade das

informações

Sistema de Gestão de Segurança de Informação – parte do sistema de gestão global, com base
numa abordagem de risco de negócio, para estabelecer, implementar, operar, monitorizar,
rever, manter e melhorar a segurança da informação.

Risco de Segurança da Informação – potencial que uma ameaça explore uma vulnerabilidade de
um activo ou grupo de activos e, assim, causar danos à organização;

Integridade – propriedade de proteger a exactidão de activos;

Sistema de Gestão – âmbito das políticas, procedimentos, directrizes e recursos associados para
alcançar os objectivos de uma organização;

Política – intenção e direcção geral como formalmente expressas pela gestão;

Processo – conjunto de actividades inter-relacionadas ou interactivas que transformam insumos

em produtos;

Risco- combinação da probabilidade de um evento e das suas consequências;

Evento – ocorrência de um determinado conjunto de circunstâncias;

Análise de risco – uso sistemático de informações para identificar fontes e estimar a ocorrência
de um risco;

Gestão de risco – actividades coordenadas para dirigir e controlar uma organização em relação a
um determinado risco;

Ameaça – causa potencial de um incidente indesejado, o que pode resultar em danos para um
sistema ou entidade;

Vulnerabilidade – fraqueza de um activo ou controlo, que pode ser explorado por ameaça.

9 Segurança da Informação | FEUP

A norma ISO/IEC 27000 tem como principais benefícios:

 Estabelecimento de uma metodologia clara de Gestão da Segurança;

 Reduzir o risco de perda, roubo ou alteração da informação;
 O acesso à informação é feito através de medidas de segurança;
 Confiança e regras claras para todos os envolvidos de uma organização;
 Aumento de segurança relativamente à gestão de processos;
 Conformidade com a legislação vigente sobre informação pessoal, propriedade
intelectual e outras;
 Os riscos e os seus controlos são continuamente verificados;
 Garantia de qualidade e confidencialidade comercial.

3.1. O que é um Sistema de Gestão de Segurança de Informação?

3.1.1. Visão Geral e Princípios

Um Sistema de Gestão de Segurança da Informação (SGSI) fornece um modelo para o

estabelecimento, implementação, operacionalização, monitorização, revisão, manutenção e
melhoria da protecção dos activos de informação com vista a alcançar os objectivos propostos
por uma organização com base numa correcta avaliação e gestão dos riscos inerentes a uma
organização.

A implementação bem sucedida de um SGSI depende da análise dos requisitos para a

protecção dos activos da informação, assim como dos controlos adequados para garantir essa
protecção.

Existem alguns princípios fundamentais para uma boa implementação de um SGSI:

 A consciência da necessidade de segurança da informação;

 A atribuição de responsabilidades pela segurança da informação;
 Incorporar o compromisso da gestão e os interesses de todas as partes interessadas;
 Reforçar os valores da sociedade;
 Avaliar os riscos que determinam os controlos adequados para atingir níveis aceitáveis
de risco;
 Prevenção activa e detecção de incidentes de segurança da informação;
 Reavaliação contínua da segurança da informação.

Em termos de segurança da informação, um sistema de gestão permite que a

organização:

 Satisfaça os requisitos de segurança de clientes e outros interessados;

 Melhore os seus planos a actividades;
 Cumpra os seus objectivos de segurança da informação;
 Faça uma gestão dos seus activos de informação de uma forma organizada, o que
facilita a melhoria contínua.

10 Segurança da Informação | FEUP

 3.2. A abordagem de processos

Um processo é a transformação de entradas em saídas que utilizam um conjunto de

actividades interrelacionadas ou em interacção. A saída de um processo pode automaticamente
dar início a um novo processo, isto é feito normalmente de forma planeada e em condições
controladas.

Na família de normas de SGSI, a abordagem do processo para o SGSI baseia-se na

exploração do princípio adoptado nas normas ISO de gestão do sistema, conhecido como
processo PDCA: Plan – Do – Check – Act.

PLAN - Planear significa estabelecer os objectivos e fazer planos (analisando a situação da

organização, estabelecendo os objectivos e desenvolvendo planos para os alcançar).

DO - Os planos são postos em prática e implementados (fazer o que foi planeado para fazer).

CHECK - Verificação dos resultados (monitorização da realização dos objectivos planeados).

ACT - As actividades são corrigidas e melhoradas (aprender com os erros).

A implementação de um SGSI tem como principal resultado a redução dos riscos de

segurança da informação, ou seja, reduzir a probabilidade de ocorrerem incidentes a nível de
segurança da informação e consequentemente reduzir os seus impactos.

Um SGSI para ser passível de ser certificado tem de obedecer a um conjunto de

requisitos definidos pela norma ISO/IEC 27001, estes requisitos podem ser classificados como
obrigatórios ou selectivos.

11 Segurança da Informação | FEUP

 4. A Norma ISO/IEC 27001

4.1. Apresentação

Esta norma foi publicada pelo ISO e pelo IEC em Outubro de 2005. Foi elaborada para
especificar os requisitos para o estabelecimento, implementação, operacionalização,
monitorização, revisão, manutenção e melhoria de um SGSI, dentro do contexto dos riscos de
negócio de uma organização.

A certificação não é um requisito obrigatório da norma ISO/IEC 27001, é uma decisão da

organização. No entanto, dezoito meses após a sua publicação mais de 2000 organizações de
mais de 50 países foram certificadas e o crescimento nesta área tem vindo a aumentar.

Antes da implementação desta norma num sistema convém pensar em algumas questões:

 Quanto custará uma falha que implique uma perda efectiva de informação?
 Quais as consequências da utilização da informação por pessoas que dela possam fazer
uso indevido e não autorizado?
 Qual o custo da diminuição da produtividade por erros, falhas de sistema ou utilização
de informação errada?
 Qual o peso da ocorrência de incidentes sobre as informações de uma organização?
 Em que se deve fundamentar uma organização para fazer uma avaliação dos riscos?
 Quais as principais áreas que uma organização tem de considerar a fim de alcançar uma
implementação de SGSI de sucesso?

4.2. Objectivos

Esta norma foi estabelecida com o âmbito de ser utilizada em conjunto com a ISO/IEC
17799 e pretende assegurar a selecção de controlo de segurança adequado e proporcional.

As organizações que optam pela certificação sentem a necessidade de melhorar a

segurança das suas informações devido a uma utilização cada vez maior de TI e à percepção do
aumento do risco.

A implementação da norma 27001 faz com que as organizações devam manter o seu
foco nas necessidades do negócio e considerar a segurança da informação como parte
integrante dos objectivos de negócio para realizar a gestão dos riscos.

A norma ISO/IEC 27001 é universal para todos os tipos de organizações (comerciais,

governamentais, com ou sem fins lucrativos, entre outras) e especifica os requisitos para a
implementação de controlos de segurança personalizados consoante as necessidades de uma
organização.

12 Segurança da Informação | FEUP

 4.3. Aplicação

A certificação em conformidade com a norma ISO/IEC 27001 normalmente envolve um

processo de auditoria em duas fases:

1ª Fase – Revisão linear da documentação chave bem como da política de segurança da

organização, declaração de aplicabilidade (SOA) e plano de tratamento de risco (PTR).

2ª Fase – Realização de uma auditoria em profundidade envolvendo o controlo do SGSI

declarado no SOA e PTR, bem como a documentação de suporte.

A renovação do certificado envolve algumas revisões periódicas confirmando que o SGSI

continua a trabalhar como era desejado.

A norma ISO/IEC 27001 envolve alguns componentes:

1. O Sistema de Gestão de Segurança da Informação:

- Estabelecer o SGSI
- Implementar e Operar o SGSI
- Monitorizar e analisar criticamente o SGSI
- Manter e melhorar o SGSI
- Requisitos de documentação
- Controlo de documentos
- Controlo de registos

2. Responsabilidades da direcção:
- Comprometimento da direcção
- Gestão de recursos
- Provisão de recursos
- Treino, consciencialização e competência

3. Auditorias internas que determinam se um SGSI:

- Atende aos requisitos da norma
- Atende aos requisitos de segurança identificados
- É executado conforme esperado

Todo o procedimento de uma auditoria é documentado e os auditores não podem

auditar o seu próprio trabalho, conferindo objectividade e imparcialidade.

4. Análise crítica do SGSI pela direcção:

- Entrada: resultado das auditorias e análises críticas, situação das acções preventivas e
correctivas, vulnerabilidades não contempladas adequadamente nas análises anteriores,
resultados, recomendações e mudanças.
- Saída: oportunidade de incluir melhorias e mudanças, modificação do SGSI e das
necessidades de recursos.

5. Melhoria do SGSI:
- Melhoria contínua através do uso da política estabelecida, resultados das auditorias,
análise dos eventos monitorizados, acções correctivas (etapas anteriores);
- Eliminação das não conformidades através de acções correctivas e preventivas.

13 Segurança da Informação | FEUP

 5. Perspectiva de conciliação da Norma ISO/IEC 27000 e 27001

Primeiramente é necessário ter-se noção de que não existe segurança absoluta, não é
possível eliminar 100% dos riscos e das ameaças. No entanto, um plano de controlo
previamente definido pode facilitar estas questões.

A norma 27000 surge como uma forma de definir alguns termos e definições para uma
futura implementação de um Sistema de Gestão de Segurança da Informação, enquanto a
norma 27001 apresenta alguns requisitos que sugerem alguns procedimentos para uma boa
Gestão de Segurança da Informação.

A Gestão da Segurança da Informação deve ser realizada tendo em conta algumas

medidas de controlo sugeridas por ambas as normas – o modelo de processo PDCA e o processo
de análise/avaliação e tratamento de riscos.

 Modelo PDCA (Plan – Do – Check – Act)

Este modelo baseia-se no controlo dos processos e na verificação dos Sistemas de

Segurança da Informação.

PLAN -
Estabelecer
o SGSI

Do -
Requisitos e expectativas Act - Manter Sistema de Gestão da
Implementar
e Optimizar
da Segurança da e Operar o Segurança da Informação
o SGSI
SGSI
Informação gerido

Check -
Monitorizar
e Rever o
SGSI

1 - O Modelo PDCA

14 Segurança da Informação | FEUP

PLAN (PLANEAR) – Estabelecimento de políticas, objectivos, processos e procedimentos
relevantes para a administração do risco e para a melhoria da Segurança da Informação.
Planeia os resultados de acordo com a estratégia da organização.

DO (FAZER/IMPLEMENTAR/OPERAR) – Implementação e operacionalização das políticas de

controlo, processos e procedimentos do Sistema.

CHECK (VERIFICAR/MONITORIZAR/REVER) – Inspecção da performance dos processos em

comparação com as políticas e objectivos de um SGSI. Estes resultados devem ser reportados à
gestão para análise.

ACT (AGIR/MANTER/OPTIMIZAR) – Tomada de acções correctivas e preventivas, baseadas nos

resultados das auditorias internas do SGSI e demais informações provenientes da gestão ou
demais fontes relevantes.

O resultado do processo PDCA é a correcta gestão dos Sistemas de Segurança da Informação,

tendo como base as expectativas e necessidades de uma organização.

 Análise e avaliação de riscos

A Gestão dos riscos é um dos aspectos chave da norma ISO/IEC 27001, uma avaliação
dos riscos é uma das exigências desta norma. Como resultado da avaliação de riscos, deve ser
feita uma lista dos riscos identificados, classificados em ordem de gravidade para
posteriormente serem tomadas medidas.

O processo de gestão dos riscos existe devido ao constante surgimento de novas

ameaças aptas a explorar as vulnerabilidades dos activos da informação, o que exige que se
tomem algumas medidas de prevenção.

Os resultados da análise dos riscos deverão ajudar a direccionar e determinar quais as

acções de controlo mais apropriadas para a gestão desses riscos.

A avaliação dos riscos deve ser feita tendo em conta uma análise de custo-benefício, para
revelar se compensa um risco ser minimizado ou transferido. Em suma, se um risco tem baixa
probabilidade de ocorrer e o seu custo de tratamento é elevado, não compensa essa tomada de
decisão.

15 Segurança da Informação | FEUP

Após o processo de análise e avaliação dos riscos, existem várias opções para o seu
tratamento:

 Aplicar medidas de segurança: escolher as medidas mais apropriadas para reduzir o

custo;
 Aceitar o risco: conhecer e conscientemente aceitar o risco, sabendo que este atenta à
política de segurança da organização;
 Evitar o risco: não permitir acções que possam sequer causar a ocorrência de riscos;
 Transferir o risco: transferir os riscos associados para outras partes, por exemplo,
seguradoras ou fornecedores.

Estas medidas são definidas pela norma ISO/IEC 27002, que dá suporte ao desenvolvimento de
planos de segurança e orienta de melhor forma a Gestão da Segurança da Informação.

16 Segurança da Informação | FEUP

 6. A família da Norma ISO /IEC 27000

Dentro da série 27000 ainda podemos referir as normas 27002 (Código de Práticas),
27003 (Guia de Implementação), 27004 (Métricas e Medição), 27005 (Directrizes de Gestão
de Risco) e 27006 (Directrizes de Serviços de Recuperação de Desastres).

 A norma ISO 27002 a partir de Julho de 2007 é o novo nome da norma ISO 17799. Esta
norma é um guia de boas práticas que descreve os objectivos de controlo e os controlos
recomendados para a Segurança da Informação. A norma ISO 27001 contém alguns anexos
que resumem alguns destes controlos.

 A norma ISO 27003 aborda algumas directrizes para a implementação de Sistemas de

Gestão de Segurança da Informação e contem informações sobre como usar o modelo PDCA
e os requisitos das suas diferentes fases, ou seja, irá fornecer uma abordagem de processos
orientada para o sucesso da implementação de um SGSI de acordo com a norma ISO/IEC
27001.

 A norma ISO 27004 especifica métricas e técnicas de medição aplicáveis para determinar a
eficácia do SGSI, os objectivos de controlo e os controlos usados para implementar e gerir a
Segurança da Informação. Estas métricas são usadas principalmente para medir os
componentes da fase “CHECK” do ciclo PDCA.

 A norma ISO 27005 estabelece directrizes para a gestão de risco em Segurança da

Informação, fornecendo indicações para implementação, monitorização e melhoria contínua
do sistema de controlos. Para compreendermos melhor esta norma é importante perceber
os conceitos, modelos e processos descritos nas normas ISO 27001 e ISO 27002. A norma
27005 é aplicada a todos os tipos de organizações que se destinam a gerir os riscos que
possam comprometer a segurança das suas informações.

 A norma ISO 27006 especifica requisitos e fornece orientações para os organismos que
prestem serviços de auditoria e certificação de um SGSI.

17 Segurança da Informação | FEUP

 7. Alguns casos práticos da Implementação da Norma ISO/IEC 27001

A norma ISO 27001 já tem um elevado número de certificações distribuídas por vários países1:

Japão 4152 Holanda 24 Bélgica 3

Reino Unido 573 Arábia Saudita 24 Gibraltar 3
Índia 546 Emirados Árabes Unidos 19 Lituânia 3
Taiwan 461 Bulgária 18 Macau 3
China 393 Irão 18 Albânia 3
Alemanha 228 Portugal 18 Bósnia Herzegovina 2
República Checa 112 Argentina 17 Chipre 2
Coreia 107 Filipinas 16 Equador 2
Estados Unidos da América 105 Indonésia 15 Nova Jérsia 2
Itália 82 Paquistão 15 Cazaquistão 2
Espanha 72 Colômbia 14 Luxemburgo 2
Hungria 71 Federação Russa 14 Macedónia 2
Malásia 66 Vietname 14 Malta 2
Polónia 61 Islândia 13 Mauritânia 2
Tailândia 59 Kuwait 11 Ucrânia 2
Grécia 50 Canadá 10 Arménia 1
Irlanda 48 Noruega 10 Bangladesh 1
Áustria 42 Suécia 10 Bielorrússia 1
Turquia 35 Suíça 9 Bolívia 1
França 34 Bahrain 8 Dinamarca 1
Hong Kong 32 Peru 7 Estónia 1
Austrália 30 Chile 5 Quirguistão 1
Singapura 29 Egipto 5 Líbano 1
Croácia 27 Omã 5 Moldávia 1
Eslovénia 26 Qatar 5 Nova Zelândia 1
México 25 Sri Lanka 5 Sudão 1
Eslováquia 25 África do Sul 5 Uruguai 1
Brasil 24 República dominicana 4 Iémen 1
Marrocos 4 Total 7940

1
Retirado do site: http://www.iso27001certificates.com
18 Segurança da Informação | FEUP
 Processo de Certificação de um Sistema de Gestão de Segurança da Informação

A primeira fase do processo envolve as organizações, o facto de estarem preparadas

para a certificação do seu SGSI: desenvolvimento e implementação do seu SGSI, utilização e
integração do seu SGSI no seu dia-a-dia e nos seus processos de negócio, formação da sua
equipa e estabelecimento de um programa contínuo de manutenção do SGSI.

A segunda fase envolve uma auditoria do SGSI da organização, envolvendo os

organismos de certificação acreditados. O certificado concedido tem a duração de três anos,
pelo que a terceira fase do processo passa pelo acompanhamento por parte das entidades
certificadoras.

Organismos de Certificação

19 Segurança da Informação | FEUP

 8. Entidades Certificadoras em Portugual que utilizam a norma
ISO/IEC 27001

 APCER (Associação Portuguesa de Certificação)

Organismo português privado que se dedica à certificação de Sistemas de Gestão, Serviços,

Produtos e Pessoas, de forma a garantir a qualidade e promovendo vantagens competitivas às
entidades, públicas ou privadas, tanto nacionais como internacionais.

A APCER certifica organizações a partir da norma ISO 27001 – Tecnologias da Informação, para
que estas organizações tenham um sistema de gestão que protege a sua informação com
mecanismos de controlo adequados às suas necessidades e realidade, verificados por uma
entidade externa. Através da avaliação e gestão do risco este sistema procura garantir a
continuidade de negócio e diminuir o impacto de eventuais incidentes de segurança.

A APCER também se encontra acreditada para a Certificação de Auditores, este processo é

suportado pela ISO 19011 e é constituído por fases de avaliação distintas:

 Avaliação de qualificações e experiência;

 Avaliação Escrita e Oral (esta última aplicável apenas aos graus Auditor Coordenador e
Auditor).

 SGS ICS

Entidade Certificadora que pretende formar Auditores experientes e qualificados para cada
sector de atividade, o reconhecimento em Portugal e no mundo, uma equipa orientada para
acompanhar as organizações nos seus processos de Certificação, satisfação do cliente e melhoria
contínua.

A SGS ajuda as organizações a desenvolver políticas de segurança das informações e a fazer a

gestão de riscos por meio de sistemas e normas como a ISO 27001.

 DNV - Det Norske Veritas

É uma fundação independente que tem como principal competência identificar, avaliar e
aconselhar as organizações para a gestão de risco, sendo o seu foco a segurança e a
responsabilidade de melhorar o desempenho das organizações.

Esta entidade utiliza a norma ISO 27001 que é o padrão de segurança internacional formal
contra a qual as organizações podem procurar a certificação independente do seu SGSI. Ele
especifica os requisitos para estabelecer, implementar, operar, monitorizar, rever, manter e
melhorar um SGSI, utilizando uma abordagem de melhoria contínua.

20 Segurança da Informação | FEUP

  BVC - Bureau Veritas Certification

O Bureau Veritas Certification é líder mundial em serviços de certificação com mais de 80

000 empresas certificadas em 140 países e é reconhecido por mais de 40 Organismos de
Acreditação nacionais e internacionais para a certificação segundo o referencial ISO 9001.

Esta entidade certifica também de acordo com a norma 27001.

Organizações com Certificados de SGSI em Portugal2

Nome da Organização Número da Entidade Certificadora Norma de

ARENA MEDIA
Caixa Económica de Cabo Verde
Departamento de Jogos da Santa Casa
da Misericórdia de Lisboa (DJSCML)
ENAME S.A.
HAVAS SPORT & ENTERTAINMENT
INSTITUTO DE INFORMÁTICA, I.P.
INTEGRITY S.A.
LATTITUDE
Maksen Consulting, S.A.
MEDIA CONTACTS
MOBEXT
MPG
ONE TO ONE
Ponto.C – Desenvolvimento de Sistemas
de Informação, Lda.
Portugalmail SA
TV Cabo Portugal
VORTAL – COMÉRCIO ELECTRÓNICO
CONSULTADORIA E MULTIMEDIA SA
ZON TV CABO PORTUGAL, SA
Certificação Certificação
83889CC2-2010-AIS- DNV ISO/IEC 27001:2005
IBE-UKAS
Bureau Veritas Certiifcation ISO/IEC 27001:2005
IS 524281 ISO/IEC 27001:2005
GB11/82769 SGS United Kingdom Ltd ISO/IEC 27001:2005
83889CC6-2010-AIS- DNV ISO/IEC 27001:2005
IBE-UKAS
3896769 Bureau Veritas Certiifcation ISO/IEC 27001:2005
GB12/85456 SGS United Kingdom Ltd ISO/IEC 27001:2005
83889CC3-2010-AIS- DNV ISO/IEC 27001:2005
IBE-UKAS
PT001307 Bureau Veritas Certiifcation ISO/IEC 27001:2005
83889CC9-2010-AIS- DNV ISO/IEC 27001:2005
IBE-UKAS
83889CC10-2010-AIS- DNV ISO/IEC 27001:2005
IBE-UKAS
83889CC13-2010-AIS- DNV ISO/IEC 27001:2005
IBE-UKAS
83889CC8-2010-AIS- DNV ISO/IEC 27001:2005
IBE-UKAS
GB11/83230 SGS United Kingdom Ltd ISO/IEC 27001:2005
12/86073 SGS United Kingdom Ltd ISO/IEC 27001:2005
202194 Bureau Veritas Certiifcation ISO/IEC 27001:2005
IS 515264 ISO/IEC 27001:2005
202194 Bureau Veritas Certiifcation ISO/IEC 27001:2005

2
Retirado do site: http://www.iso27001certificates.com
21 Segurança da Informação | FEUP
 9. Certificação

9.1. O que é a certificação?

A certificação é uma declaração formal que exprime a veracidade de terminado

contexto. É emitida por uma organização certificadora, organização essa que tem credibilidade e
autoridade moral e legal. Uma das suas exigências é que esta seja formal, isto é, “deve ser feita
seguindo um ritual e ser corporificada num documento”3.
A certificação segue a avaliação de um determinado processo, sistema ou produto
segundo normas e critérios que visa verificar o cumprimento dos requisitos, conferindo um
certificado com o direito de uso de uma marca de conformidade associada ao produto ou
imagem institucional se os requisitos estiverem plenamente atendidos.

Segundo a BSI Brasil, “Certificação é o processo no qual uma terceira parte acreditada
visita uma organização, audita o seu sistema de gestão e emite um certificado para demonstrar
que esta obedece aos princípios definidos na norma e que segue a melhor prática da indústria.
O certificado é o documento que corporifica a certificação.”

9.2. Como é acreditada uma entidade certificadora?

Todos já sabemos que as organizações para serem acreditadas em certo serviço

precisam de ser certificadas por uma entidade superior que as certifique. Esta acreditação de
uma entidade certificadora é conferida por organismos independentes, que têm como objetivo
reconhecer as competências dessas entidades, num determinado setor ou âmbito, ou até um
determinado produto de acordo com referências internacionais já estabelecidas.

9.3. Quem tem autoridade para certificar as autoridades certificadoras?

Em Portugal, a principal entidade acreditadora, desde 2004 é o Instituo Português de
Acreditação (IPAC). A APCER, também é uma empresa certificadora em Portugal de elevada
relevância (já mencionada acima).

9.4. O que é a certificação de um sistema de gestão?

É um processo a partir do qual se verifica e avalia a conformidade do (s) sistema (s)

implementados, relativamente à norma em referência, neste caso a ISO 27001 e às organizações
que pretendem obter a certificação. O processo envolve algumas fases onde se pode destacar a
Auditoria de Certificação. As empresas com sistemas certificados asseguram uma melhor
prestação de serviços, porque os seus sistemas estão implementados e a funcionar de acordo
com os requisitos da (s) norma (s) de certificação.

3
Segundo a definição de Creditação em Wikipédia. Disponível em:
http://pt.wikipedia.org/wiki/Certifica%C3%A7%C3%A3o
22 Segurança da Informação | FEUP
 A certificação é uma decisão da organização, é principalmente uma opção estratégica no
sentido de evoluir, melhorar e ganhar mercados e exige o envolvimento de diversas partes da
organização. As empresas certificadas têm diversas vantagens: melhoria do prestígio e da
imagem; aumento da competitividade e entrada em novos mercados; aumento da confiança dos
trabalhadores, clientes e administração; cultura da melhoria contínua; redução de custos;
prevenção e minimização de aspetos, perigos e de acidentes.

A certificação começa a tornar-se uma imposição do mercado nacional e internacional,

que muitas vezes impõem a condição de determinados produtos estarem certificados para
serem colocados no mercado, o que tem crescido bastante com a globalização.

A certificação de uma organização é temporária, todas as normas são reavaliadas

periodicamente por decisão do organismo internacional de normalização e responsável pela
publicação da maior parte dos referenciais normativos reconhecidos internacionalmente (ISO).

Os certificados emitidos têm um prazo ao fim do qual todo o processo de certificação é

reiniciado. Durante cada ciclo de certificação a entidade certificadora faz visitas regulares à
empresa, no sentido de confirmar que os requisitos continuam a ser cumpridos. A entidade é
sujeita a avaliações periódicas durante o período de validade dos certificados e o grau de
gravidade ou a importância das não conformidades detetadas no decorrer destas, podem levar à
suspensão da certificação ou mesmo à perda do certificado.

23 Segurança da Informação | FEUP

 10.Conclusões

Com a realização deste trabalho percebemos quais os mecanismos de controlo às

ameaças, incidindo sobre o controlo de acesso, a detecção de intrusos, a criptografia, a
assinatura digital, a protecção de dados armazenados e a recuperação contra desastres.

O estudo das normas ISO 27000 e 27001 consiste em perceber os pressupostos

relacionados com a Segurança da Informação. Esta temática actualmente tem bastante
importância, uma vez que se fala muito em ataques de hackers e crackers contra plataformas
digitais, tentando aceder a informações confidenciais.

A informação é um bem com bastante valor para as organizações e necessita de ser

convenientemente protegida, no sentido de manter a sua confidencialidade, disponibilidade,
integridade e autenticidade.

Na nossa pesquisa conseguimos analisar as normas com bastante clareza e identificar o

que caracteriza cada uma, sendo que a norma ISO 27000 nos dá alguns termos e definições e a
norma ISO 27001 adopta uma abordagem de processos para o estabelecimento,
implementação, operacionalização, monitorização, revisão, manutenção e melhoria de um
Sistema de Gestão de Segurança da Informação.

24 Segurança da Informação | FEUP

11.Referências Bibliográficas

 XISEC PUBLICATIONS. Disponível em: http://www.xisec.com/ISMS_Publications.html

 COMUINIDADE PORTUGUESA DE SEGURANÇA DA INFORMAÇÃO. Disponível em:

http://ismspt.blogspot.pt/2005/11/organizaes-certificadas-quase-atingir.html

 CERTIFICATION EUROPE. Disponível em: http://certificationeurope.com/iso-27001-

information-security/

 INTERNATIONAL REGISTER OF ISMS CERTIFICATES. Disponível em:

http://www.iso27001certificates.com/

 BERALDO, João Bosco; CAMARGO, João F. F. de; Segurança da Informação. Disponível

em: http://www.bcinfo.com.br/docs/doc4.pdf

 International Standard ISO/IEC 27001: Information technology -Security techniques -

Information security management systems – Requirements. Disponível
em:http://www.vazzi.com.br/moodle/pluginfile.php/135/mod_resource/content/1/ISO-
IEC-27001.pdf

 International Standard ISO/IEC 27000: Information technology -Security techniques -

Information security management systems – Overview and vocabulary. Disponível em:
http://www.dcag.com/images/ISO_IEC_27000.pdf

 LAUREANO, Marcos; Gestão de Segurança da Informação, 2005. Disponível em:

http://www.mlaureano.org/aulas_material/gst/apostila_versao_20.pdf

 MOREIRA, Ademilson; A importância da segurança da informação, 2008. Disponível em:

http://www.oficinadanet.com.br/artigo/1124/a_importancia_da_seguranca_da_inform
acao

 SÊMOLA, Marcos; A importância da Gestão da Segurança da Informação. Disponível em:

http://www.lyfreitas.com/artigos_mba/GestaoSegurancaInformacao.pdf

 SILVA FILHO, António Mendes da; Segurança da Informação: Sobre a Necessidade de

Proteção de Sistemas de Informações in Revista Espaço Académico, nº42, 2004.
Disponível em: http://www.espacoacademico.com.br/042/42amsf.htm

 BSI. Disponível em:http://www.bsibrasil.com.br/sobre/

25 Segurança da Informação | FEUP