Gleidnei Gomes

ISO 27001: 2013

GUIA DE IMPLEMENTAÇÃO DE SEGURANÇA DA INFORMAÇÃO

2021
 INTRODUÇÃO
A maioria das empresas possui ou tem acesso a informações valiosas ou confidenciais. A falha em fornecer proteção
adequada a tais informações pode ter sérias consequências operacionais, financeiras e jurídicas. Em alguns casos, isso
pode levar ao fracasso total dos negócios.

O desafio que a maioria das empresas enfrenta é como fornecer proteção adequada. Em particular, como eles garantem
que identificaram todos os riscos aos quais estão expostos e como podem gerenciá-los de forma proporcional,
sustentável e econômica?

ISO 27001 é o padrão internacionalmente reconhecido para Sistemas de Gerenciamento de Segurança da Informação
(internationally-recognised standard for Information Security Management Systems) (ISMS). Ele fornece uma estrutura
robusta para proteger as informações que podem ser adaptadas a todos os tipos e tamanhos de organização. As
organizações que têm exposição significativa a riscos relacionados à segurança da informação estão cada vez mais
optando por implementar um ISMS que esteja em conformidade com a ISO 27001.

A Familia 27000
A série de padrões 27000 começou em 1995 como BS 7799 e
foi escrita pelo Department of Trade and Industry (DTI) do
Reino Unido. As normas recebem corretamente o título de
“ISO / IEC” porque são desenvolvidas e mantidas em conjunto
por dois organismos internacionais de normalização: ISO
(International Organization for Standardization) e IEC
(International Electrotechnical Commission). No entanto, para
simplificar, no uso diário, a parte “IEC” é freqüentemente
descartada.
Existem atualmente 45 padrões publicados na série ISO
Três dos padrões são particularmente úteis para
todos os tipos de organizações ao implementar um
SGSI. Estes são:
• ISO 27000 Tecnologia da Informação - Visão geral
e vocabulário
• ISO 27002 Tecnologia da informação - Técnicas de
segurança - Código de prática para controles de
segurança da informação. Este é o mais comumente

Gleidnei
27000. Destes, ISO 27001 é o único padrão destinado à
certificação. Todos os outros padrões fornecem orientação
sobre a implementação das melhores práticas. Alguns
referenciado, relacionado ao projeto e implementação
dos 114 controles especificados no Anexo A da ISO
27001.

Gomes
fornecem orientação sobre como desenvolver SGSI para
setores específicos; outros fornecem orientação sobre como
implementar os principais processos e controles de • ISO 27005 Tecnologia da Informação - Técnicas de
gerenciamento de riscos de segurança da informação. segurança - Gestão da segurança da informação.

Revisões e atualizações regulares

Os padrões ISO estão sujeitos a revisão a cada cinco anos para
avaliar se uma atualização é necessária.

A mais recente atualização da norma ISO 27001 em 2013 trouxe

uma mudança significativa com a adoção da estrutura “Anexo SL”.
Embora tenha havido algumas pequenas alterações feitas no texto
em 2017 para esclarecer o requisito de manter um inventário de
ativos de informações, a ISO 27001: 2013 continua sendo o padrão
atual para o qual as organizações podem obter a certificação.

Gleidnei Gomes - 2021 1

 BENEFÍCIOS DE
IMPLEMENTAÇÃO
A segurança da informação está se tornando cada vez mais importante para as organizações e,
portanto, a adoção da ISO 27001 é cada vez mais comum. A maioria das organizações agora
reconhece que não é uma questão de saber se elas serão afetadas por uma violação de
segurança; é uma questão de quando.

Implementar um ISMS e obter a certificação ISO 27001 é um empreendimento significativo para a maioria
das organizações. No entanto, se feito de forma eficaz, há benefícios significativos para as organizações
que dependem da proteção de informações valiosas ou confidenciais. Esses benefícios normalmente se
enquadram em três áreas:

COMERCIAL PAZ DE ESPIRITO

Ter o endosso de terceiros independentes de um SGSI
pode fornecer uma vantagem competitiva a uma
organização ou permitir que ela se 'equipare' com seus
concorrentes. Os clientes expostos a riscos
significativos de segurança da informação estão cada
vez mais tornando a certificação ISO 27001 um requisito
nas apresentações de licitações. Quando o cliente
também é certificado pela ISO 27001, ele irá, a médio
prazo, optar por trabalhar apenas com fornecedores
em cujos controles de segurança da informação ele
confia e que tenham capacidade para cumprir seus
requisitos contratuais.
Muitas organizações possuem informações de missão
crítica para suas operações, vitais para sustentar sua
vantagem competitiva ou uma parte inerente de seu
valor financeiro. Ter um ISMS robusto e eficaz em
vigor permite que os proprietários e gerentes de
negócios com a responsabilidade de gerenciar os
riscos durmam mais facilmente à noite, sabendo que
não estão expostos ao risco de multas pesadas,
grandes interrupções nos negócios ou um impacto
significativo em sua reputação.
Na economia atual baseada no conhecimento, quase

Gleidnei
todas as organizações dependem da segurança das
Para as organizações que desejam trabalhar com esse informações essenciais. A implementação de um ISMS
tipo de cliente, ter um ISMS com certificação ISO formal é um método comprovado de fornecer essa

Gomes
27001 é um requisito fundamental para sustentar e segurança.
aumentar suas receitas comerciais.
A ISO 27001 é uma estrutura reconhecida
internacionalmente para uma melhor prática de ISMS
e a conformidade com ela pode ser verificada de
OPERACIONAL forma independente para melhorar a imagem de uma
organização e dar confiança a seus clientes.
A abordagem holística da ISO 27001 apóia o
desenvolvimento de uma cultura interna que está
alerta aos riscos de segurança da informação e
tem uma abordagem consistente para lidar com
eles. Essa consistência de abordagem leva a
controles que são mais robustos para lidar com
ameaças. O custo de implementação e
manutenção também é minimizado e, caso
falhem, as consequências serão minimizadas e
mais eficazmente mitigadas.

Gleidnei Gomes - 2021 2

 PRINCÍPIOS CHAVE
E TERMINOLOGIA
O objetivo principal de um ISMS é fornecer proteção para informações confidenciais ou
valiosas.Informação sensível normalmente inclui informações sobre funcionários, clientes e
fornecedores.Informação valiosa pode incluir propriedade intelectual, dados financeiros,
registros legais, dados comerciais e dados operacionais.
os tipos de riscos aos
quais as informações
confidenciais e valiosas
estão sujeitas podem Confidencialidade
geralmente ser Garante que somente a
agrupados em três pessoa autorizada tenha
categorias acesso á informação
Esses tipos de risco de segurança da informação
são comumente chamados de "CID".
Riscos na segurança da informação normalmente
surgem devido à presença de ameaças e
vulnerabilidades para ativos que processam,
armazenam, mantêm, protegem ou controlam o
acesso a em formação que dá origem a
Gleidnei
incidentes.
Ativos neste contexto, normalmente são pessoas,
Gomes
equipamentos, sistemas ou infraestrutura.
Informação são os conjuntos de dados que uma
organização deseja proteger, como registros de
funcionários, registros de clientes, registros
financeiros, dados de design, dados de teste etc.
Incidentes são eventos indesejados que resultam
em uma perda de confidencialidade (por exemplo,
uma violação de dados) integridade (por exemplo,
corrupção de dados) ou disponibilidade (por
exemplo, falha do sistema).
Ameaças são o que causa incidentes ocorrer e
pode ser malicioso (por exemplo,
um ladrão), acidental (por exemplo, um erro de
tecla) ou um ato da natureza (por exemplo, uma
inundação).
Gleidnei Gomes - 2021
Integridade Disponibilidade
Garante que a Garante que o serviço
informação não será estará acessivo sempre
alterada ou manipulada que necessário.
Vulnerabilidades como janelas de escritório
abertas, erros de código fonte ou a localização de
edifícios próximos a rios, aumentam a
probabilidade de que a presença de um ameaça
resultará em um indesejado e caro incidente
Na segurança da informação, o risco é gerenciado
por meio do design, implementação e manutenção
de controles, como bloqueio Windows, teste de
software ou localização de equipamentos
vulneráveis acima dos níveis do piso térreo.
Um ISMS que está em conformidade com a ISO
27001 tem um inter-relacionado conjunto de
processos de melhores práticas que facilitam e
apoiam o design apropriado, implementação e
manutenção de controles. Os processos que
fazem parte de um SGSI são geralmente uma
combinação de processos de negócios centrais
existentes (por exemplo recrutamento, indução,
treinamento, compra, design de produto,
manutenção de equipamentos, prestação de
serviços) e aqueles específicos para manter e
melhorar a segurança da informação (por exemplo,
mudança gerenciamento, backup de informações,
controle de acesso, incidente gestão, classificação
da informação).
3
 CICLO PDCA
A ISO 27001 é baseada no ciclo Plan-Do-Check-Act (PDCA), também conhecido como roda de
Deming ou ciclo de Shewhart. O ciclo PDCA pode ser aplicado não apenas ao sistema de gestão
como um todo, mas também a cada elemento individual para fornecer um foco contínuo na
melhoria contínua.
RESUMO

Planejar Fazer Verificar Agir

Estabeleça objetivos, Implementar o que Monitorar e medir Tome medidas para
recursos Foi planejado processos para melhorar
necessários, estabelecer desempenho, como
cliente e parte desempenho contra necessário.
interessada políticas, objetivos,
requisitos, políticas requisitos e
organizacionais atividades
e identificar riscos e planejadas e
oportunidades. relatar os resultados.

PDCA modelo ISO 27001

SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO

ESTABELECER
Partes Partes
ISMS
interessadas interessadas
Planejar Fazer
Gleidnei
MANTER
Gomes IMPLEMENTAR
E MELHORAR E OPERAR
ISMS ISMS

Expectativas e Segurança da
Verificar Agir
Requisitos MONITORAR Informação
de Segurança E REVISAR Gerenciada
ISMS
da
Informação

Plan-Do-Check-Act é um exemplo de sistema de malha fechada. Isso garante que o aprendizado dos estágios 'fazer' e

4
'verificar' sejam usados para informar os estágios 'agir' e subsequentes 'planejar'. Em teoria, isso é cíclico; no entanto, é mais
uma espiral ascendente, pois o aprendizado o move cada vez que você passa pelo processo.
Gleidnei Gomes - 2021
 COM BASE NO RISCO
PENSAMENTO / AUDITORIAS
As auditorias são uma abordagem de processo sistemática e baseada em evidências para a
avaliação do seu Sistema de Gerenciamento de Segurança da Informação. Eles são realizados
interna e externamente para verificar a eficácia do SGSI. As auditorias são um exemplo
brilhante de como o pensamento baseado em riscos é adotado no Gerenciamento de Segurança
da Informação
Auditorias de 1ª Parte
Auditorias Internas
As auditorias internas são uma grande
oportunidade de aprendizado dentro
da sua organização. Eles fornecem tempo para se
concentrar em um processo ou departamento
específico, a fim de realmente avaliar seu
desempenho. O objetivo de uma auditoria
interna é garantir a aderência às políticas,
procedimentos e processos conforme
determinado por você, a organização, e para
confirmar a conformidade com os requisitos da
ISO 27001.
Planejamento de Auditoria
Elaborar um cronograma de auditoria pode
parecer um exercício complicado. Dependendo
Gleidnei
da escala e da complexidade de suas operações,
você pode agendar auditorias internas de
qualquer mês a uma vez por ano. Falamos falar
Gomes
com mais detalhes logo a frente.
Pensamento baseado em risco
A melhor maneira de considerar a frequência das
auditorias é examinar os riscos envolvidos no
processo ou na área de negócios a ser auditada.
Qualquer processo de alto risco, seja porque tem
um alto potencial de dar errado ou porque as
consequências seriam graves se desse errado,
deve ser auditado com mais frequência do que
um processo de baixo risco.
Como você avalia o risco depende inteiramente
de você. A ISO 27001 não impõe nenhum
método particular de avaliação ou gerenciamento
de risco.
Gleidnei Gomes - 2021
2ª Parte
Auditorias Externas
As auditorias de segunda parte geralmente são
realizadas por clientes ou por terceiros em seu nome, ou
você pode realizá-las em seus fornecedores externos.
As auditorias de 2a parte também podem ser realizadas
por reguladores ou qualquer outra parte externa que
tenha um interesse formal em uma organização.
Você pode ter pouco controle sobre o tempo e a
frequência dessas auditorias; no entanto, estabelecer
seu próprio SGSI garantirá que você esteja bem
preparado para sua chegada.
Terceiro - Auditorias de Certificação
As auditorias de terceiros são realizadas por organizações
externos, geralmente organizações de certificação
credenciados.
A Organização de certificação irá avaliar a conformidade
com o Padrão ISO 27001: 2013. Isso envolve um
representante da organização de certificação visitando a
organização e avaliando o sistema relevante e seus
processos. Manter a certificação também envolve
reavaliações periódicas.
A certificação demonstra aos clientes que você tem um
compromisso com a qualidade.
GARANTIAS DE CERTIFICAÇÃO:
avaliação regular para monitorar e melhorar
continuamente os processos.
• credibilidade de que o sistema pode atingir os
resultados pretendidos.
• redução do risco e da incerteza e aumento das
oportunidades de mercado.
5
• consistência nos resultados projetados para atender às
expectativas das partes interessadas.
 BASEADO EM PROCESSO
PENSAMENTO / AUDITORIA

Um processo é a transformação de entradas em saídas, que ocorre como uma série de etapas
ou atividades que resultam nos objetivos planejados. Freqüentemente, a saída de um processo
se torna uma entrada para outro processo subsequente. Muito poucos processos operam
isolados de qualquer outro.

“Processo: conjunto de atividades inter-relacionadas ou ISO 27001: 2013 Fundamentos

interagindo que usam entradas para entregar um e Vocabulário
resultado pretendido.”
Compreender como os processos se relacionam e
produzem resultados pode ajudá-lo a identificar
ISO 27001: 2013 Fundamentos e Vocabulário
oportunidades de melhoria e, assim, otimizar o
desempenho geral. Isso também se aplica onde os
Mesmo uma auditoria tem uma abordagem de processo.
processos, ou partes de processos, são terceirizados.
Ele começa com a identificação do escopo e dos critérios,
Entender exatamente como isso afeta ou pode afetar
estabelece um curso de ação claro para atingir o
o resultado e comunicar isso claramente ao parceiro
resultado e tem uma saída definida (o relatório de
de negócios (fornecendo o produto ou serviço
auditoria). Usar a abordagem de processo para auditoria
terceirizado) garante clareza e responsabilidade no
também garante que o tempo correto e as habilidades
processo. uma avaliação eficaz do desempenho do
sejam alocadas para a auditoria. Isso o torna uma
SGSI.
avaliação eficaz do desempenho do SGSI.
“Resultados consistentes e previsíveis são alcançados
de forma mais eficaz e eficiente quando as atividades
“Resultados consistentes e previsíveis são alcançados de
são entendidas e gerenciadas
forma mais eficaz e eficiente quando as atividades são
como processos inter-relacionados que funcionam
entendidas e gerenciadas como processos inter-
como um sistema
relacionados que funcionam como um sistema
coerente.”

Gleidnei
coerente.”
A etapa final do processo é revisar o resultado da
auditoria e
garantir que as informações obtidas sejam bem

Gomes utilizadas. Uma

Análise de Gestão formal é a oportunidade de refletir
sobre o
desempenho do SGSI e de tomar decisões sobre
como e onde
melhorar.

Gleidnei Gomes - 2021 6

 ANEXO SL
Uma das principais mudanças introduzidas na revisão de 2013 da ISO 27001 foi a adoção do
Anexo SL para a estrutura de cláusulas da norma revisada. O Anexo SL (anteriormente
conhecido como ISO Guia 83) foi usado dentro da ISO por redatores de padrões para fornecer
uma estrutura central comum para padrões de sistema de gerenciamento.

A ISO 27001 (Norma de Sistema de Gestão de Segurança ESTRUTURA DE ALTO NÍVEL

da Informação) adotou essa estrutura durante sua
revisão de 2013. A ISO 14001 (Padrão de Sistema de
O anexo SL consiste em 10 clásulas principais
Gestão Ambiental) também adotou essa estrutura
durante sua revisão de 2015. A recém-publicada ISO
1 - Alcance
45001 (Padrão do Sistema de Gestão de Saúde e
Segurança) também segue essa mesma estrutura 2 - Referências Normativas
comum. 3 - Termos e definições
4 - Contexto da Organizações
Antes da adoção do Anexo SL, havia muitas diferenças 5 - Liderança
entre as estruturas de cláusulas, requisitos e termos e
6 - Planejamento
definições usados nos vários padrões de sistema de
gestão. Isso tornou difícil para as organizações
7 - Apoio (suporte)
integrarem a implementação e o 8 - Operação
gerenciamento de vários padrões; Ambiente, Qualidade, 9 - Avaliação de Desemplenho
Saúde e Segurança e Segurança da Informação estão 10 - Melhorias
entre os mais comuns

Gleidnei
Destas cláusulas, os termos comuns e as definições principais não podem ser alterados. Os requisitos não podem
ser removidos ou alterados; no entanto, requisitos e recomendações específicas da disciplina podem ser
adicionados.

Gomes
Todos os sistemas de gestão requerem uma consideração do contexto da organização (mais sobre isso na seção 4);
um conjunto de objetivos relevantes para a disciplina, no caso a
qualidade, e alinhados ao direcionamento estratégico da organização; uma política documentada para apoiar o
sistema de gestão e seus objetivos; auditorias internas e análise crítica da gestão. Onde vários sistemas de
gerenciamento estão em vigor, muitos desses elementos podem ser combinados para abordar mais de um padrão.

Gleidnei Gomes - 2021 7

 AS 10 CLÁUSULAS DA ISO 27001: 2013

A ISO 27001 é composta por 10 seções conhecidas como

cláusulas.

Como acontece com a maioria dos outros padrões PARTES INTERESSADAS

de sistema de gerenciamento ISO, os requisitos da ISO

27001 que precisam ser satisfeitos são especificados nas
Seções 4.0 - 10.0. Ao contrário da maioria dos outros
padrões de sistema de gestão ISO, uma organização
deve cumprir todos os requisitos nas Cláusulas 4.0
- 10,0; eles não podem declarar uma ou mais cláusulas
como não sendo aplicáveis a eles.

Na ISO 27001, além das Cláusulas 4.0-10.0, há um

conjunto adicional de requisitos detalhados em uma
seção chamada Anexo A, que é referenciado na Cláusula
6.0. O Anexo A contém 114 melhores práticas de
controles de segurança da informação. Cada um desses
114 controles precisa ser considerado. Para estar em
conformidade com a ISO 27001, a organização deve
implementar esses controles ou uma justificativa
aceitável deve ser fornecida para a não implementação
de um determinado controle. As partes a seguir deste
guia fornecem uma explicação geral da finalidade de
cada cláusula, destacam o tipo de evidência que um
auditor espera ver para confirmar que você está em
conformidade e fornecem dicas sobre maneiras eficazes
de cumprir os requisitos.
Gleidnei
Gomes

Gleidnei Gomes - 2021 8

 CLÁUSULA 1:
ALCANCE
A seção de escopo da ISO 27001 estabelece

• o propósito do padrão;
• os tipos de organizações a que se destina; e
• as seções da norma (chamadas de cláusulas) que
contêm requisitos que uma organização precisa cumprir
para que a organização seja certificada como “conforme”
a ela (ou seja, em conformidade).

A ISO 27001 foi projetada para ser aplicável a qualquer

tipo de organização. Independentemente do tamanho,
complexidade, setor da indústria, propósito ou
maturidade, sua organização pode implementar e manter
um ISMS que esteja em conformidade com a ISO 27001.

CLÁUSULA 2:
NORMATIVO REFERÊNCIAS
Nos padrões ISO, a seção Referências normativas lista quaisquer outros
padrões que contenham informações adicionais que sejam relevantes
para determinar se uma organização está ou não em conformidade com o
padrão em questão. Na ISO 27001, apenas um documento é listado - ISO

Gleidnei
27000 Tecnologia da Informação - Visão geral e vocabulário.

Alguns dos termos usados ou requisitos detalhados na ISO 27001 são explicados

Gomes
mais detalhadamente na ISO 27000. A referência à ISO 27000 é muito útil para
ajudá-lo a entender melhor um requisito ou identificar a melhor maneira de
cumpri-lo.

EXTRA - Os auditores externos esperam que você leve em consideração as

informações contidas na ISO 27000 no desenvolvimento e implementação de seu
SGSI.

Gleidnei Gomes - 2021 9

 CLÁUSULA 3:
TERMOS E DEFINIÇÕES
Não há termos e definições dados na ISO 27001. Em vez disso, é feita referência à versão mais
atual da ISO 27000 Sistemas de gerenciamento de segurança da informação - Visão geral e
vocabulário. A versão atual deste documento contém 81 definições de termos que são usados na
ISO 27001.

Além dos termos explicados na seção "Princípios e Terminologia Chave" acima, os termos mais
importantes usados na ISO 27001 são:

'CONTROLES DE ACESSO' 'TRATAMENTO DE RISCO'

processos que garantem que apenas as processos ou ações que reduzem os riscos
pessoas que precisam ter acesso a um identificados a um nível
determinado ativo tenham esse acesso e tolerável ou aceitável.
a "necessidade" é determinado com
referência aos requisitos de negócios e de
segurança.

'EFICÁCIA' 'ALTA ADMINISTRAÇÃO'

até que ponto as atividades planejadas
(por exemplo, processos, procedimentos)
são executadas conforme planejado ou
especificado e alcançam os resultados ou
saídas planejados.
o grupo de indivíduos que são os
tomadores de decisão mais graduados em
uma organização. Eles provavelmente
serão responsáveis por definir sua direção
estratégica e por determinar e alcançar os
objetivos das partes interessadas

Gleidnei
Gomes
'RISCO'
uma combinação da probabilidade de
ocorrência de um evento de segurança da Ao escrever a documentação do Sistema
informação e as consequências
resultantes.
de gerenciamento de segurança da
informação, você não precisa usar esses
termos exatos. No entanto, ajuda a
'AVALIAÇÃO DE RISCO' esclarecer o significado e a intenção se
o processo de identificação de riscos, você puder definir os termos que usou.
analisando o nível de risco apresentado
por cada risco e avaliando se ações Fornecer um glossário na documentação
adicionais são necessárias para reduzir do sistema pode ser útil.
cada risco a um nível mais tolerável ou
aceitável.

Gleidnei Gomes - 2021 10

 CLÁUSULA 4:
CONTEXTO DA ORGANIZAÇÃO
O objetivo do seu SGSI é proteger os ativos de informação da sua organização, para que a organização
possa atingir seus objetivos.

Como você fará isso e as áreas específicas de prioridade serão direcionadas pelo contexto em que sua
organização opera, ambos:

Interno - as coisas sobre as quais a organização tem

algum controle; e Externo - as coisas sobre as quais a organização não tem
controle direto.
Uma análise cuidadosa do ambiente em que sua organização opera é fundamental para identificar os riscos
inerentes à segurança de seus ativos de informação. A análise é a base que permitirá que você avalie quais
processos você precisa considerar adicionar ou fortalecer para construir um SGSI eficaz.

Maturidade dos recursos: os recursos

'CONTEXTO INTERNO' disponíveis (funcionários /contratados)
A seguir estão exemplos das áreas que são bem informados, totalmente
podem ser consideradas ao treinados, confiáveis e consistentes, ou o
avaliar as questões internas que podem pessoal é inexperiente e está em
ter uma relação com os constante mudança?
riscos de SGSI:
Formatos de ativos de informação: seus
Maturidade: Você é uma start-up ágil com ativos de informação são armazenados
uma tela em branco para trabalhar principalmente em formato de cópia
ou uma instituição com mais de 30 anos impressa (papel) ou são armazenados
com processos e controles de eletronicamente em um servidor local ou

Gleidnei
segurança bem estabelecidos? em sistemas remotos baseados em
nuvem?
Cultura da organização: A sua

Gomes
organização está tranquila sobre como, Sensibilidade / valor do ativo de
quando e onde as pessoas trabalham, ou informação: sua organização precisa
é extremamente controlada? gerenciar ativos de informações
A cultura pode resistir à implementação altamente valiosos ou particularmente
de controles de Segurança da confidenciais?
Informação?
Consistência: você tem processos
Gestão: Existem canais e processos de uniformes em funcionamento em toda
comunicação claros desde os principais a organização ou uma infinidade de
tomadores de decisão da organização práticas operacionais diferentes com
até o restante da organização? pouca consistência?

Tamanho do recurso: você está Sistemas: sua organização tem muitos

trabalhando com uma equipe de sistemas legados em execução em
segurança da informação ou uma pessoa versões de software que não são mais
está fazendo tudo isso? suportadas
pelo fabricante ou você mantém a melhor

11
e mais atualizada
tecnologia disponível?
Gleidnei Gomes - 2021
Complexidade do sistema: você opera um
sistema principal que
faz todo o trabalho pesado ou vários
sistemas departamentais com
transferência de informações limitada
entre eles?
•Espaço físico: você tem uma instalação
de escritório segura
dedicada ou opera em um espaço
compartilhado com outras
organizações?
'Contexto Externo'
A seguir estão exemplos das áreas que
podem ser consideradas ao avaliar as
questões externas que podem ter uma
influência sobre os riscos de SGSI:
Concorrência: você opera em um
mercado inovador e que muda
rapidamente, exigindo muitas
atualizações de sistema para se manter
competitivo, ou em um mercado maduro
e estável com pouca inovação ano a ano?
Proprietário: você precisa de aprovação
para atualizar a segurança física?
Reguladores / órgãos de fiscalização: há
uma exigência em seu setor de fazer
alterações estatutárias regulares ou há
Gleidnei
pouca supervisão dos reguladores em seu
setor de mercado?
Gomes
Econômico / político: as flutuações da
moeda afetam sua organização; O Brexit
no Reino Unido terá um impacto?
Considerações ambientais: Seu site está
em uma planície de inundação com o(s)
servidor(es) localizado(s) em um porão?
Existem fatores que tornam seu(s)
site(s) um possível alvo para uma invasão
ou um ataque terrorista (por exemplo,
em um local proeminente no centro da
cidade; próximo a um possível alvo)?
Prevalência de ataques à segurança da
informação: sua organização opera em
um setor que atrai regularmente o
interesse de hackers (criminosos,
hacktivistas)?
Gleidnei Gomes - 2021
Acionistas: eles estão muito preocupados
com a vulnerabilidade da organização a
violações de dados? Eles estão
preocupados com o custo dos esforços da
organização para melhorar a segurança
da informação?
Partes interessadas
Uma parte interessada é qualquer pessoa que é,
pode ser ou se percebe afetada por uma ação ou
omissão de sua organização. Suas partes
interessadas ficarão claras através do processo de
realização de uma análise aprofundada de
questões internas e externas. Provavelmente
incluirão acionistas, proprietários, reguladores,
clientes, funcionários e concorrentes e podem se
estender ao público em geral e ao meio ambiente,
dependendo da natureza do seu negócio. Você
não precisa tentar entender ou satisfazer todos os
caprichos deles, mas precisa determinar quais
necessidades e expectativas são relevantes para o
seu SGSI.
Âmbito do Sistema de gestão
Para estar em conformidade com a ISO 27001, você
deve documentar o escopo de seu SGSI. Os escopos
documentados geralmente descrevem:
os limites do site físico ou sites incluídos (ou não
incluídos);
Os limites das redes físicas e lógicas incluídas (ou
não incluídas);
Os grupos de funcionários internos e externos
incluídos (ou não incluídos);
Os processos, atividades ou serviços internos e
externos incluídos (ou não incluídos); e
Interfaces-chave nos limites do escopo.
Se você deseja priorizar os recursos construindo um
SGSI que não cubra toda a sua organização, selecionar
um escopo que se limite ao gerenciamento dos
principais interesses das partes interessadas é uma
toda a sua organização, selecionar um escopo que se
limite ao abordagem pragmática. Isso pode ser feito
incluindo apenas sites, ativos, processos e unidades
de negócios ou departamentos específicos. Alguns
exemplos de declarações de escopo:
• “Todas as operações realizadas pelo Departamento
de TI”
• “Suporte e gerenciamento de e-mail”
• “Todos os equipamentos, sistemas, dados e
infraestrutura no Data Center da organização com
12
base no site de Basingstoke”

Liderança neste contexto significa
envolvimento ativo na definição da
direção do SGSI, promovendo sua
implementação e garantindo que os
recursos apropriados sejam
disponibilizados. Isso inclui:
garantir que os objetivos do SGSI
sejam claros e alinhados com a
estratégia geral;
CLÁUSULA 5:
LIDERANÇA
que haja clareza sobre as
responsabilidades
e responsabilidades;
que o pensamento baseado no risco
está no cerne de
todas as tomadas de decisão; e
que haja uma comunicação clara dessas
informações a todos os indivíduos
dentro do escopo de seu SGSI.
A ISO 27001 atribui grande
importância ao engajamento ativo da
Alta Administração no SGSI, com base
no pressuposto de que o
envolvimento da Alta Administração é
crucial para garantir a implementação
e manutenção eficazes de um SGSI
eficaz por todo o grupo de
funcionários.

Política de Segurança da Informação Papéis e responsabilidades

Uma responsabilidade vital da liderança é

Para que as atividades de segurança da informação

estabelecer e documentar uma Política de
façam parte das atividades do dia-a-dia da maioria
Segurança da Informação que esteja alinhada com
das pessoas na organização, as responsabilidades e
os objetivos principais da organização. No nível
obrigações que elas têm devem ser definidas e
superior, deve incluir objetivos ou uma estrutura
comunicadas com clareza. Embora não haja
(diretrizes) para defini-los. Para demonstrar
nenhum requisito na norma para um representante
que está alinhado com o contexto da sua
de Segurança da Informação nomeado, pode
organização e os requisitos das principais partes
ser útil para algumas organizações nomear um para
interessadas, recomenda-se que faça referência
liderar uma equipe de segurança da informação
ou contenha um resumo dos principais problemas e
para coordenar o treinamento, monitorar
requisitos que foi projetado para gerenciar. Também
os controles e relatar o desempenho do SGSI para a
deve incluir um compromisso com:
Alta Administração. Esse indivíduo já pode ser

Gleidnei
responsável pela proteção de dados ou serviços de
Satisfazer os requisitos aplicáveis relativos à
TI. No entanto, para desempenhar sua função de
Segurança da Informação, como requisitos
forma eficaz, o ideal é que eles sejam membros da
legais, expectativas do cliente e compromissos

Gomes
equipe da Alta Administração e tenham um forte
contratuais;
conhecimento técnico de gerenciamento de
A melhoria contínua do seu SGSI.
segurança da informação ou acesso a indivíduos
que os tenham.
Extra: Para garantir que sua Política de Segurança
da Informação seja bem comunicada e disponível
para as partes interessadas, é uma boa ideia:

Incluí-lo em pacotes de indução e apresentações

para novos funcionários e contratados;

publique a declaração principal em quadros de

avisos internos, intranets e no site da sua
organização; e
tornar seu cumprimento e / ou suporte uma
exigência contratual para funcionários,
contratados e fornecedores críticos para a
segurança da informação.

Gleidnei Gomes - 2021 13

 Evidenciando Liderança
para um Auditor

A Alta Administração será o grupo de indivíduos que definem a direção estratégica e

aprovam a alocação de recursos para a organização ou área de negócios com seu escopo de
SGSI. Dependendo de como sua organização está estruturada, esses
indivíduos podem ou não ser a equipe de gerenciamento do dia a dia. Um auditor
normalmente testará a liderança entrevistando um ou mais membros de sua Alta
Administração e avaliando seu nível de envolvimento e participação em:

avaliação de riscos e oportunidades;

estabelecimento e comunicação de políticas;
estabelecimento e comunicação de objetivos;
revisão e comunicação do desempenho do sistema; e
alocação de recursos apropriados, responsabilidades e
responsabilidades.

EXTRA - Antes de sua auditoria externa, identifique quem da

sua Alta Administração se reunirá com o auditor externo e
prepare-o para a entrevista com uma análise das prováveis
perguntas que serão feitas.

Gleidnei
Gomes

Gleidnei Gomes - 2021

14
 CLÁUSULA 6:
PLANEJAMENTO
A ISO 27001 é uma ferramenta de gerenciamento de risco que orienta uma organização a identificar os motivadores de seus
riscos de segurança da informação em uma ampla gama de fontes. Como tal, o objetivo subjacente de um ISMS é:

• identificar os riscos estrategicamente importantes, flagrantemente óbvios e ocultos, mas perigosos;

• garantir que as atividades do dia-a-dia e os processos operacionais de uma organização sejam projetados, direcionados e
dotados de recursos para gerenciar inerentemente esses riscos; e
• responder e se adaptar automaticamente às mudanças para lidar com novos riscos e reduzir continuamente a exposição
da organização aos riscos.

Ter um plano de ação detalhado que esteja alinhado, atualizado e apoiado por revisões regulares e monitoramento é crucial e
fornece a melhor evidência para o auditor do planejamento do sistema claramente definido.

AVALIAÇÃO DE RISCO ISO 27005 - Gerenciamento de risco de segurança

da informação oferece orientação sobre o

desenvolvimento de uma técnica de avaliação de

A avaliação de risco está no centro de qualquer
risco para sua organização. Qualquer que seja a
SGSI eficaz. Mesmo a organização com mais
técnica que você selecionar ou desenvolver, ela
recursos não pode eliminar completamente a
deve incluir os seguintes elementos-chave:
possibilidade de ocorrência de um incidente de
segurança da informação. Para todas as
organizações, a avaliação de risco é essencial para:
Fornece um prompt para a identificação
sistemática de riscos (por exemplo, revisão de
aumentar a probabilidade de identificar todos os
ativos, grupos de ativos, processos, tipos de
riscos potenciais por meio do envolvimento de
indivíduos-chave usando técnicas de avaliação 1 informações) um de cada vez, verificando cada um
quanto à presença de ameaças e vulnerabilidades
sistemática;
comuns e registrando os controles que você possui
alocar recursos para lidar com as áreas de maior
atualmente para gerenciar eles.
prioridade; e

Gleidnei
tomar decisões estratégicas sobre como gerenciar
riscos significativos de segurança da informação que
Fornece uma estrutura para avaliar a

2
probabilidade de cada risco ocorrer de forma
mais provavelmente atingirão seus objetivos.

Gomes
consistente (por exemplo, uma vez por mês, uma
vez por ano).
A maioria das estruturas de avaliação de risco consiste
em uma Tabela contendo os resultados dos elementos
Fornece uma estrutura para avaliar as

3
1-4 com uma tabela ou matriz suplementar cobrindo o
consequências de cada risco que ocorre de forma
ponto 5.
consistente (por exemplo, perda de £ 1.000, perda
de £ 100.000).
Um auditor externo espera ver um registro de sua
avaliação de risco, um proprietário designado para cada
Fornece uma estrutura para pontuar ou categorizar
risco identificado e os critérios que você usou.

4 cada risco identificado em uma base consistente

(por exemplo, 1-10, alto / médio / baixo), levando
em consideração sua avaliação da probabilidade e
consequências.

Defina critérios documentados que especifiquem,

5
para cada pontuação ou categoria de risco, que
tipo de ação precisa ser realizada e o nível ou

15
prioridade atribuída a ela.

Gleidnei Gomes - 2021

 Tratamento de Risco Anexo A e a Declaração de

Aplicabilidade
Para cada risco identificado em sua avaliação de

risco, você deve aplicar critérios consistentes para

Todas as opções de tratamento de risco (com
determinar se deve:
exceção da aceitação) envolvem a implementação
de um ou mais controles. O anexo A da ISO 27001
contém uma lista de 114 controles de segurança da
Aceitar o risco; ou Tratar o risco ( denominado "
informação de melhores práticas. Você precisará
Tratamento de Risco")
considerar se deve implementar cada um desses
controles ao formular seu Plano de Tratamento de
As opções de tratamento de risco disponíveis são
Risco. A descrição da maioria dos 114 controles é
normalmente uma das seguintes:
bastante vaga, portanto, é altamente
recomendável que você analise a ISO 27002, que
Evitar - deixar de realizar a atividade ou
contém mais informações sobre as melhores
processar as informações que estão expostas ao
práticas para implementá-los.
risco.
Remoção - eliminar a fonte do risco.
Como prova de que você concluiu esta avaliação,
Mudar a probabilidade - implementar um
um auditor externo espera que você produza um
controle que torne menos provável
documento denominado Declaração de
a ocorrência de um incidente de segurança da
Aplicabilidade. Dentro disso, para cada um dos 114
informação.
controles, você deve registrar:
Mude as consequências - implemente um controle
que diminuirá o impacto se ocorrer um incidente.
se é aplicável às suas atividades, processos e
Transfira o risco - terceirizar a atividade ou
riscos de segurança da informação;
processo para um terceiro que tenha maior
se você o implementou ou não; e
capacidade de gerenciar o risco.
caso tenha considerado não aplicável, sua
justificativa para fazê-lo.
Aceite o risco - se não houver tratamento prático
de risco disponível para a organização, ou se o
custo do tratamento de risco for considerado maior
Para a maioria das organizações, a maioria dos 114
do que o custo do impacto, você pode tomar uma
controles será aplicável, e é provável que já
decisão informada para aceitar o risco. Isso
tenham implementado vários deles em algum grau
precisaria ser aprovado pela Alta Administração.

Gleidnei
Um auditor externo espera ver um Plano de
EXTRA: Sua declaração de aplicabilidade não
Tratamento de Risco (por exemplo, uma lista de

Gomes
precisa ser um documento excessivamente
ações) que detalha as ações de tratamento de risco
complexo. Uma tabela simples com cabeçalhos de
que você implementou ou planeja implementar. O
coluna Controle, Aplicável ?, Implementado? E
plano deve ser suficientemente detalhado para
Justificativa será suficiente. Também é
permitir a verificação do status de implementação
aconselhável registrar algumas informações sobre
de cada ação. Também será necessário haver
como o controle foi aplicado (por exemplo,
evidências de que este plano foi aprovado pelos
referência a um procedimento ou política) para
proprietários de risco atribuídos e pela Alta
ajudá-lo a responder mais prontamente a qualquer
Administração.
questionamento de seu auditor externo.

Gleidnei Gomes - 2021 16

 Segurança da Informação
Objetivos e planejamento
para alcançá-los
Em níveis relevantes dentro de sua organização, você precisa ter um conjunto documentado de
objetivos relacionados à segurança da informação. Eles podem estar em um nível superior e se aplicar
a toda a organização (por exemplo, “obter a certificação ISO 27001”) ou departamentais (por exemplo,
“Briefings de segurança de informações completos para todos os novos iniciantes dentro de 1 semana
de sua data de início”).

Cada objetivo que você definir deve:

ser mensurável;
estar alinhado com sua Política de Segurança da Informação;
levar em consideração os requisitos de segurança da informação da organização; e
levar em consideração os resultados da avaliação de riscos e do processo de tratamento de riscos.

Os objetivos típicos que são relevantes para a segurança da informação

incluem:•

Não exceder uma frequência definida de certos tipos de incidentes de segurança da informação.
Atingir um nível mensurável de conformidade com os controles de segurança da informação.
Fornecimento de uma disponibilidade definida de serviços de
informação.
Não excedendo um número mensurável de erros de dados.
Fazer melhorias nos recursos disponíveis por meio de recrutamento, treinamento ou aquisição.
Implementação de novos controles.
Alcançar a conformidade com os padrões relacionados à segurança da informação.

Gleidnei
Cada objetivo deve ser comunicado às pessoas relevantes. Os objetivos devem ser atualizados quando
necessário para mantê-los relevantes e para avaliar o desempenho em relação a eles.

Gomes
Para cada um dos objetivos, você precisa planejar como vai alcançá-los. Isso
inclui determinar:

o que precisa ser alcançado;

quais recursos são atribuídos;
quem tem propriedade ou responsabilidade primária para cumprir o objetivo;
se há uma data prevista para a conclusão ou apenas um requisito contínuo; e
o método de avaliação do desempenho em relação ao objetivo (ou seja, qual é a sua medida).

EXTRA - Maneiras eficazes de comunicar os objetivos de segurança da informação incluem cobri-los

no treinamento inicial, defini-los como objetivos do funcionário ou incluí-los nas avaliações dos
funcionários, estabelecê-los em SLAs com fornecedores ou avaliar o desempenho em relação a eles
nas análises de desempenho do fornecedor

Gleidnei Gomes - 2021 17

 ISO 27001 - Um Guia para o Anexo A
ISO 27001: 2013 é a norma internacional que descreve as
melhores práticas para um Sistema de Gestão de Segurança
da Informação (SGSI). Se você estiver familiarizado com
nosso guia de implementação anterior, disponível aqui, já
terá examinado as cláusulas contidas na norma. Você
também deve ter aprendido que esse padrão segue uma
abordagem baseada em riscos ao considerar a segurança
das informações de uma organização. Isso requer a
identificação de riscos de segurança e, em seguida, a seleção
de controles apropriados para reduzir, eliminar ou gerenciar
esses riscos
A Norma tem os controles necessários para atender
aos requisitos de risco do Anexo A. No total, há 114
controles subdivididos em 14 categorias diferentes. Ao
considerar esses controles, é importante observar que
eles são simplesmente possibilidades ou opções. Ao
conduzir o processo de risco; o risco identificado deve
ter controles apropriados que foram selecionados da
lista no Anexo
A. Nem todo controle pode ser implementado. Por
exemplo; se sua organização não possui instalações e
opera remotamente, o uso de alguns controles do
domínio de segurança física não seria apropriado. Da
mesma forma, a mudança para soluções baseadas em
nuvem atrai uma nova visão dos controles existentes
nos domínios de Segurança de Operações e

Categorias de controles Comunicações

Conforme mencionado, o anexo contém 14 categorias. Eles estão listados a seguir:

A.5 Políticas de segurança da informação:
Orientação sobre como as políticas são escritas e revisadas.
A.6 Organização da segurança da informação:
Como atribuir responsabilidades para tarefas de segurança, incluindo:
• Contato com terceiros adequados à funcionalidade do SGSI
• Considerações de segurança para projetos • Provisão de política móvel e de teletrabalho
A.7 Segurança de recursos humanos:
Considerações de segurança para recrutar e manter uma força de trabalho, incluindo considerações de segurança na
saída dentro dos contratos.
A.8 Gestão de ativos:
Protegendo ativos de informação por meio de inventário e propriedade de ativos. Inclui rotulagem de informações e mídia.
A.9 Controle de acesso:
Controlar o acesso às informações dentro de uma organização para que não haja acesso não autorizado às informações.
Avançar; apenas as entidades apropriadas têm acesso administrativo quando necessário.
A.10 Criptografia:
A criptografia de informações confidenciais e o gerenciamento de chaves de criptografia.
A.11 Segurança física e ambiental:
Gleidnei
A segurança das instalações, equipamentos e informações físicas da cópia.
A.12 Operações de Segurança:

Gomes
Segurança de instalações de processamento de informações; inclui considerações técnicas de segurança, como proteção
contra malware, procedimentos de backup, captura de eventos etc.
A.13 Segurança de comunicações:
Segurança de redes; inclui o uso de mensagens eletrônicas.
A.14 Aquisição, desenvolvimento e manutenção do sistema:
Segurança nas operações de desenvolvimento. Garante que as considerações de segurança sejam totalmente
consideradas no processo de desenvolvimento.
A.15 Relações com fornecedores:
Acordos a incluir em contratos com qualquer entidade externa. Todos os terceiros devem estar sujeitos a um escrutínio
antes de as informações serem compartilhadas. Esses controles ajudam a gerenciar esse processo.
A.16 Gestão de incidentes de segurança da informação:
Guia sobre como identificar, relatar e registrar incidentes de informação. Fornece funcionalidade para permitir que a
pessoa responsável aprenda com os incidentes.
A.17 Aspectos de segurança da informação da gestão de continuidade de negócios:
Garantir que sua organização esteja bem preparada para sobreviver a interrupções e garantir que os planos sejam viáveis.
A.18 Conformidade:
Identifique as leis e regulamentos que irão moldar sua organização e registre qualquer revisão de seu sistema de gestão
ou segurança de uma fonte externa.

Gleidnei Gomes - 2021 18

 Outras Considerações
Antes da auditoria de certificação, uma organização deve
ter produzido uma Declaração de Aplicabilidade (SoA).
O requisito é descrito na Cláusula 6 da ISO 27001. O
SoA deve conter pelo menos 114 entradas com cada
uma das categorias e controles listados. Feito isso,
cada controle deve ser selecionado e justificado ou
excluído com justificativa semelhante. Todos os
documentos SoA devem ser
capaz de demonstrar que a consideração foi dada a
cada controle. Isso significa que um SoA deve conter
todas as entradas descritas, simplesmente listar os
controles selecionados não atenderá ao requisito.
Este exemplo aqui mostra como uma diferença entre
um controle selecionado e excluído pode ser
apresentada em um SoA:

Os controles selecionados provavelmente farão parte da As disposições de segurança do padrão não são algo que a
evidência do tratamento de risco e devem ser registrados equipe de TI ou de segurança de uma organização deva
como tal. Normalmente, isso será mantido em um registro seguir sozinha. A norma requer que todos os aspectos da
de risco, embora possa ser mantido como documentação organização sejam considerados ao examinar os riscos e o

Gleidnei
separada. A metodologia irá variar entre diferentes
organizações; embora demonstrar que os controles do
Anexo A estão implementados seja uma necessidade
consistente.
tratamento de riscos. Os indivíduos mais bem posicionados
para solucionar problemas e arriscar nem sempre estão no
Departamento de TI; a composição e localização exatas do
tratamento de risco variam de uma organização para outra. A

Gomes propriedade do risco é vital para garantir que os controles

estejam sujeitos a revisão.

Finalmente
Os controles do Anexo A são apenas algumas das opções disponíveis para uma organização. Controles de segurança adicionais não
descritos especificamente no Anexo A podem ser usados para fornecer tratamento a um risco identificado. Desde que as Cláusulas
e Controles dentro do Padrão sejam tratados conforme apropriado, o SGSI funcionará e fornecerá bons níveis de Segurança da
Informação.

Gleidnei Gomes - 2021 19

 CLÁUSULA 7:
Apoio, suporte
A cláusula 7 se preocupa com os recursos. Isso se aplica a pessoas, infraestrutura e ambiente, tanto quanto a
recursos físicos, materiais, ferramentas, etc. Há também um foco renovado no conhecimento como um recurso
significativo dentro de sua organização. Ao planejar seus objetivos de qualidade, uma consideração importante será
a capacidade e a capacidade atuais de seus recursos, bem como aqueles
que você pode precisar obter de fornecedores / parceiros externos.

Para implementar e manter um SGSI Consciência

eficaz, você precisa ter recursos de
apoio disponíveis. Esses recursos
precisarão ser suficientemente:
precisará estar ciente dos elementos básicos do seu SGSI.
• capaz - se são equipamentos ou
infraestrutura; e
• competente - se eles são pessoas.
• nas reuniões de Análise da Administração
Competência
Que você tem um ISMS e por que você tem um.
A implementação de controles eficazes de segurança da
informação depende muito do conhecimento e das
habilidades de seus funcionários, fornecedores e
contratados. Para ter certeza de uma base de
conhecimento e habilidades adequadas, você precisa:
• definir quais conhecimentos e habilidades são
necessários;
• determinar quem precisa ter o conhecimento e as
habilidades; e
Além de garantir a competência específica do pessoal-
chave em relação à segurança da informação, o grupo
mais amplo de funcionários, fornecedores e contratados
Isso é fundamental para estabelecer uma cultura de
apoio dentro da organização.
Todos os funcionários, fornecedores e contratados devem
estar cientes do seguinte:
Que você tem uma Política de Segurança da Informação e
quais elementos particulares dela são relevantes para
eles.
Como eles podem contribuir para sua organização
protegendo suas informações valiosas e o que eles
precisam fazer para ajudar a organização a atingir seus
objetivos de segurança da informação.
Quais políticas, procedimentos e controles são relevantes
para eles e quais são as consequências de não cumpri-los.

Gleidnei
• estabeleça como você pode avaliar ou verificar se as Comunicação
pessoas certas têm o conhecimento e as habilidades Para permitir que os processos em seu SGSI funcionem com
certas. eficácia, você precisará garantir que as atividades de

Gomes
Seu auditor espera que você tenha documentos
detalhando seus requisitos de conhecimento e
habilidades. Onde você acredita que os requisitos são
satisfeitos, isso precisará ser apoiado por registros,
como certificados de treinamento, registros de frequência
de cursos ou avaliações de competência interna.
EXTRA - A maioria das organizações que já usa
ferramentas como matrizes de
treinamento / habilidades, avaliações ou avaliações de
fornecedores pode
satisfazer a exigência de registros de competência,
expandindo as áreas cobertas
para incluir a segurança da informação
comunicação sejam bem planejadas e gerenciadas. A ISO
27001 detalha isso de forma concisa, exigindo que você
determine:
o que precisa ser comunicado;
quando precisa ser comunicado;
a quem deve ser comunicado;
quem é o responsável pela comunicação; e
quais são os processos de comunicação.
Extra- Se seus requisitos de comunicação estão bem definidos em
seus processos, políticas e procedimentos, você não precisa fazer
mais nada para satisfazer este requisito. Se não forem, você deve
considerar documentar suas principais atividades de comunicação
na forma de uma tabela ou procedimento que inclui os títulos
detalhados acima. Lembre-se de que o conteúdo desses
documentos também precisa ser comunicado!

Gleidnei Gomes - 2021 20

 Informação Documentada

Para serem úteis, as informações documentadas que você usa para implementar e manter seu SGSI precisam:

• ser preciso;
• ser compreensível para os indivíduos que o usam regularmente ou ocasionalmente; e
• apoiá-lo para cumprir os requisitos legais, gerenciar os riscos de segurança da informação e atingir seus objetivos

.Para que suas informações documentadas sempre satisfaçam esses requisitos, você precisará ter
processos em vigor para garantir que:

as informações documentadas são revisadas quando exigidas pelos indivíduos apropriados antes de serem
colocadas em circulação geral;
o acesso às informações documentadas é controlado de forma que não possa ser alterado acidentalmente,
corrompido, excluído ou acessado por indivíduos para os quais não é apropriado.
as informações são excluídas de forma segura ou devolvidas ao seu proprietário quando há necessidade de
fazê-lo; e
você pode rastrear alterações nas informações para garantir que o processo esteja sob controle.

A fonte de suas informações documentadas pode ser interna ou externa, portanto, seus processos de
controle precisam gerenciar informações documentadas de ambas as fontes.

EXTRA - Organizações que têm um bom controle de documentos geralmente têm um ou mais dos seguientes itens
em vigor:

Uma única pessoa ou pequena equipe responsável por garantir que emitidos, sejam armazenados no local
correto, sejam retirados de circulação quando substituídos e que um registro de alterações seja mantido.
Um sistema de gerenciamento eletrônico de documentos que contém fluxos de trabalho e controles
automáticos.
Processos robustos de backup eletrônico de dados e arquivamento / armazenamento de arquivos em papel.

Gleidnei
Forte consciência dos funcionários quanto ao controle de documentos, manutenção de registros e requisitos de
acesso / retenção de informações.

Gomes

Gleidnei Gomes - 2021 21

 CLÁUSULA 8:
OPERAÇÃO
Então, depois de todo o planejamento e avaliação de riscos, estamos prontos para passar para o estágio
de “fazer”. A cláusula 8 trata de ter o controle apropriado sobre a criação e entrega de seu produto ou
serviço.

Gerenciar seus riscos de segurança da informação e atingir seus objetivos requer a formalização de suas atividades
em um conjunto de processos claros e coerentes. Muitos desses processos provavelmente já existem (por exemplo,
indução, treinamento) e simplesmente precisarão ser modificados para incluir elementos relevantes para a
segurança da informação. Outros processos podem acontecer de forma ad-hoc (por exemplo, aprovações de
fornecedores), enquanto alguns podem não existir atualmente (por exemplo, auditoria interna)

Avaliação de risco de segurança

Para implementar processos eficazes, as
da informação
seguintes práticas são cruciais:

Os métodos e técnicas de avaliação de risco descritos na

1 Os processos são criados adaptando ou formalizando as
Seção 6 devem ser aplicados a todos os processos, ativos,
atividades de “negócios normais” de uma organização.
informações e atividades dentro do escopo do SGSI da
organização.
2 Identificação sistemática dos riscos de segurança da
informação relevantes para cada processo.
Uma vez que os riscos não são estáticos, os resultados
dessas avaliações devem ser revisados em frequências
3 Definição e comunicação claras do conjunto de
apropriadas. Geralmente, isso ocorre pelo menos uma vez
atividades necessárias para gerenciar os riscos de
por ano ou com maior frequência se a avaliação identificar
segurança da informação associados quando um evento
a presença de um ou mais riscos significativos. Os riscos
ocorre (por exemplo, um novo funcionário ingressando na
também devem ser revisados sempre que:
empresa).
quaisquer ações de Tratamento de Risco sejam
4 Atribuição clara das responsabilidades para a realização
concluídas (veja abaixo);
de atividades relacionadas.
•há mudanças nos ativos, informações ou processos da
organização;
5 Alocação adequada de recursos para garantir que as

Gleidnei
novos riscos são identificados; ou
atividades relacionadas possam ocorrer como e quando
experiência ou novas informações indicam que a
necessário.
probabilidade e a consequência de qualquer risco

Gomes
identificado mudo
6 Avaliação de rotina da consistência com que cada
processo é seguido e sua eficácia no gerenciamento de
TRATAMENTO DE RISCO DE SEGURANÇA DA
riscos de segurança da informação relevantes.
INFORMAÇÃO

O plano de tratamento de risco que você desenvolve

não pode simplesmente permanecer como uma
declaração de intenções; deve ser implementado. Onde
mudanças são necessárias para levar em consideração
novas informações sobre riscos e mudanças em seus
critérios de avaliação de risco, o plano precisa ser
atualizado e reautorizado.
O impacto do plano também deve ser avaliado e os
resultados dessa avaliação registrados. Isso pode ser
feito como parte de sua análise de gerenciamento ou
processos de auditoria interna ou usando avaliações
técnicas, como testes de penetração na rede,
auditorias de fornecedores ou auditorias de terceiros

22
não anunciadas.

Gleidnei Gomes - 2021

 CLÁUSULA 9:
ATUAÇÃO E AVALIAÇÃO
Existem três maneiras principais de
avaliar o desempenho de um SGSI.
Estes são:
• monitorar a eficácia dos controles
do SGSI;
• por meio de auditorias internas; e
• nas reuniões de Análise da Administração.
Monitoramento, Medição,
Análise e Avaliação
com que consistência os processos, procedimentos e
Sua organização precisará decidir o que precisa ser
monitorado para ter certeza de que o processo de ISMS e
os controles de segurança da informação estão operando
conforme planejado. É impraticável para uma organização
monitorar tudo o tempo todo; se você tentar fazer isso, é
provável que o volume de dados seja tão grande que seria
virtualmente impossível usá-lo de forma eficaz.
Portanto, na prática, você precisará tomar uma decisão
informada sobre o que monitorar. As seguintes
considerações são importantes:
Quais processos e atividades estão sujeitos às ameaças
mais frequentes e significativas?
Quais processos e atividades têm as vulnerabilidades
inerentes mais significativas?
O que é prático para monitorar e gerar informações
Gleidnei
significativas e oportunas?
Com cada processo de monitoramento que você
implementa, para que seja eficaz, você deve definir
claramente:
é definido em um procedimento);
quando é realizado;
Gomes
como o monitoramento é realizado (por exemplo, isso
quem é responsável por realizá-lo;
omo são comunicados os resultados, quando, a quem
e o que fazem com eles; e
se os resultados do monitoramento identificarem
desempenho inaceitável, qual é o processo ou
procedimento de escalonamento para lidar com essa
situação.
Para demonstrar a um auditor que você tem o
processamento de monitoramento apropriado em vigor,
você precisará reter registros de resultados de
monitoramento, análises, revisões de avaliação e
quaisquer atividades de escalonamento.
Gleidnei Gomes - 2021
Audições internas
O objetivo das auditorias internas é testar seus processos
de SGSI quanto a pontos fracos e identificar oportunidades
de melhoria. Eles também são uma oportunidade para
fornecer uma verificação da realidade para a Alta
Administração sobre o desempenho do SGSI. Quando bem
feitas, as auditorias internas podem garantir que não haja
surpresas nas auditorias externas.
As auditorias internas que você realiza devem
verificar:
controles são seguidos e aplicados
o grau de sucesso de seus processos, procedimentos e
controles na geração dos resultados pretendidos; e
se o seu ISMS permanece em conformidade com a ISO
27001 e os requisitos das partes interessadas.
Para garantir que as auditorias sejam realizadas com
um alto padrão e de uma forma que agregue valor, elas
precisam ser realizadas por indivíduos que:
são respeitados;
competente
entender os requisitos da ISO 27001;
podem interpretar rapidamente sua documentação e são
bem-treinados em técnicas e comportamentos de
auditoria sólidos.
E o mais importante de tudo, eles precisam ter tempo
suficiente para fazer a auditoria e ter a garantia da
cooperação dos funcionários relevantes. Você deve
manter um plano para realizar suas auditorias
internas. Um auditor externo espera que este plano
garanta que todos os seus processos de SGSI sejam
auditados ao longo de um ciclo de três anos e que os
processos:
tenham mostrado evidências de baixo desempenho
(ou seja, através de auditorias anteriores, ou resultados
de monitoramento ou incidentes de segurança da
informação);
gerenciar os riscos de segurança da informação mais
significativos
são auditados com uma frequência mais alta.
23
 CLÁUSULA 10:
MELHORIA
O principal objetivo da implementação de um SGSI deve ser reduzir a probabilidade de ocorrência de eventos
de segurança da informação e seu impacto. É provável que nenhum ISMS seja perfeito. No entanto, um ISMS
bem-sucedido melhorará com o tempo e aumentará a resiliência da organização a ataques à segurança da
informação
Não Conformidade e
Ação corretiva
Um dos principais impulsionadores da melhoria é
aprender com os incidentes de segurança, problemas
identificados em auditorias, problemas de desempenho
identificados a partir do monitoramento, reclamações de
partes interessadas e ideias geradas nas análises críticas.
Para cada oportunidade de aprendizagem identificada,
você deve manter um registro de:
o que ocorreu;
se o evento teve consequências indesejáveis, que ação
foi tomada para contê-las e mitigá-las;
a causa raiz do evento (se determinada);
a ação realizada para eliminar a causa raiz (se
necessário); e
uma avaliação da eficácia de qualquer ação realizada.
Gleidnei
Gomes
Gleidnei Gomes - 2021
Análise de causa raiz
Para identificar uma ação corretiva eficaz, é altamente
recomendável concluir uma análise da causa raiz do
problema ocorrido. Se você não descobrir por que ou
como isso aconteceu, é provável que qualquer correção
que você implementar não seja totalmente eficaz. Uma
abordagem simples como “5 porquês” é uma boa
ferramenta de análise da causa raiz: comece com o
problema, depois pergunte “Por que” vezes suficientes
para chegar à causa raiz. Normalmente, perguntar 5 vezes
é o suficiente, mas para problemas mais complexos, você
pode precisar ir mais fundo.
POR EXEMPLO:
Declaração do problema:
A organização foi infectada pelo vírus Wannacry
Porque?
Alguém clicou em um link em um e-mail e
baixou o vírus e infectou seu PC
Porque?
Eles não receberam nenhum treinamento para clicar
em links em e-mails que não esperam receber
Porque?
O gerente de treinamento está em licença
maternidade e a
organização não implementou cobertura para eles
Porque?
O processo de licença maternidade não é coberto no
Procedimento de gerenciamento de mudanças e,
portanto, uma avaliação de risco não foi concluída
para identificar quaisquer riscos de segurança da
informação.
EXTRA- Você pode não ter recursos suficientes para
realizar a análise da causa raiz para todos os eventos.
Para priorizar seus esforços, você deve considerar
primeiro a conclusão de uma avaliação de risco
simples de um evento e, em seguida, realizar
a análise da causa raiz apenas para aqueles de risco
médio ou alto.
24
 Dicas para a implementação bem-sucedida de um ISMS

Comece com “Por quê?”. Certifique-se de que as
razões para a implementação de um SGSI sejam
claras e alinhadas com sua direção estratégica, caso
contrário, você corre o risco de não obter a adesão crítica
da alta administração.
Mantenha seus processos e documentação de suporte
simples. Ele pode se desenvolver para se tornar mais
extenso com o tempo, se necessário.

Em seguida, considere “Para quê?”. Implementar e

Obtenha ajuda externa onde precisar. Não falhe por
manter um SGSI exige um compromisso significativo,
falta de habilidades ou conhecimentos técnicos
portanto, certifique-se de que seu escopo seja amplo o
internos. O gerenciamento de riscos de segurança
suficiente para cobrir as informações críticas que precisam
da informação freqüentemente requer conhecimento
ser protegidas, mas não tão amplo que você não
especializado. No entanto, certifique-se de verificar as
tenha recursos suficientes para implementá-lo e
credenciais de terceiros antes de contratá-los.
mantê-lo

Projete e implemente regras que você possa seguir

Envolva todos os seus principais interessados nos
momentos apropriados. Gestão de topo para definição de
contexto, requisitos, política e objetivos; gerentes e
funcionários com conhecimento valioso para avaliações de
risco, design de processos e redação de procedimentos.
na prática. Não cometa o erro de documentar uma
regra elaborada demais que ninguém pode seguir. É
melhor aceitar um risco e continuar procurando
maneiras
de gerenciá-lo.

Gleidnei
Comunique-se amplamente durante todo o processo Lembre-se de seus fornecedores. Alguns fornecedores
irão ajudá-lo a melhorar seu ISMS, alguns irão

Gomes
para todas as partes interessadas. Deixe-os saber o que
você está fazendo, por que está fazendo, como planeja
fazer e qual será o envolvimento deles. Fornece
atualizações de progresso regulares.
aumentar seu risco. Você precisa garantir que todos os
fornecedores de alto risco tenham controles em vigor
que sejam pelo menos tão bons quanto os seus. Se não
o fizerem, procure alternativas

Treine, treine e treine novamente. É provável que a

Lembre-se de alocar recursos suficientes para testar
segurança da informação seja um novo conceito
rotineiramente seus controles. As ameaças que sua
para muitos ou para a maioria de seus funcionários.
organização enfrenta mudam constantemente e você
As pessoas podem precisar mudar hábitos arraigados ao
precisa testar se é capaz de responder a essas ameaças.
longo de muitos anos. É improvável que um único
briefing de conscientização seja suficiente.

Gleidnei Gomes - 2021 25

PRÓXIMAS ETAPAS UMA VEZ
IMPLEMENTADO

Treinamento de Conscientização
Política e Objetivos
Análise de GAP interno
Documentação / Desgin do processo
Documentação / Implementação do Processo
Auditoria Interna
Organize uma reunião de avaliação do sistema de gestão
Análise total de GAP de sistemas implementados
Ações Corretivas
Auditoria de Certificação Final

Gleidnei
Gomes

Contato Doação
Deseja contribuir como forma de incentivação para
continuação de criação de conteúdos
gleidnei-gomes
Chave do pix gomesgomesbr2021@gmail.com

26
gomesgomesbr2021@gmail.com

Gleidnei Gomes - 2021