Escolar Documentos
Profissional Documentos
Cultura Documentos
2021
INTRODUÇÃO
A maioria das empresas possui ou tem acesso a informações valiosas ou confidenciais. A falha em fornecer proteção
adequada a tais informações pode ter sérias consequências operacionais, financeiras e jurídicas. Em alguns casos, isso
pode levar ao fracasso total dos negócios.
O desafio que a maioria das empresas enfrenta é como fornecer proteção adequada. Em particular, como eles garantem
que identificaram todos os riscos aos quais estão expostos e como podem gerenciá-los de forma proporcional,
sustentável e econômica?
ISO 27001 é o padrão internacionalmente reconhecido para Sistemas de Gerenciamento de Segurança da Informação
(internationally-recognised standard for Information Security Management Systems) (ISMS). Ele fornece uma estrutura
robusta para proteger as informações que podem ser adaptadas a todos os tipos e tamanhos de organização. As
organizações que têm exposição significativa a riscos relacionados à segurança da informação estão cada vez mais
optando por implementar um ISMS que esteja em conformidade com a ISO 27001.
A Familia 27000
A série de padrões 27000 começou em 1995 como BS 7799 e
foi escrita pelo Department of Trade and Industry (DTI) do
Reino Unido. As normas recebem corretamente o título de Três dos padrões são particularmente úteis para
“ISO / IEC” porque são desenvolvidas e mantidas em conjunto todos os tipos de organizações ao implementar um
por dois organismos internacionais de normalização: ISO SGSI. Estes são:
(International Organization for Standardization) e IEC
(International Electrotechnical Commission). No entanto, para • ISO 27000 Tecnologia da Informação - Visão geral
simplificar, no uso diário, a parte “IEC” é freqüentemente e vocabulário
descartada.
• ISO 27002 Tecnologia da informação - Técnicas de
Existem atualmente 45 padrões publicados na série ISO segurança - Código de prática para controles de
segurança da informação. Este é o mais comumente
Gleidnei
27000. Destes, ISO 27001 é o único padrão destinado à
certificação. Todos os outros padrões fornecem orientação referenciado, relacionado ao projeto e implementação
sobre a implementação das melhores práticas. Alguns dos 114 controles especificados no Anexo A da ISO
27001.
Gomes
fornecem orientação sobre como desenvolver SGSI para
setores específicos; outros fornecem orientação sobre como
implementar os principais processos e controles de • ISO 27005 Tecnologia da Informação - Técnicas de
gerenciamento de riscos de segurança da informação. segurança - Gestão da segurança da informação.
Implementar um ISMS e obter a certificação ISO 27001 é um empreendimento significativo para a maioria
das organizações. No entanto, se feito de forma eficaz, há benefícios significativos para as organizações
que dependem da proteção de informações valiosas ou confidenciais. Esses benefícios normalmente se
enquadram em três áreas:
Gleidnei
todas as organizações dependem da segurança das
Para as organizações que desejam trabalhar com esse informações essenciais. A implementação de um ISMS
tipo de cliente, ter um ISMS com certificação ISO formal é um método comprovado de fornecer essa
Gomes
27001 é um requisito fundamental para sustentar e segurança.
aumentar suas receitas comerciais.
A ISO 27001 é uma estrutura reconhecida
internacionalmente para uma melhor prática de ISMS
e a conformidade com ela pode ser verificada de
OPERACIONAL forma independente para melhorar a imagem de uma
organização e dar confiança a seus clientes.
A abordagem holística da ISO 27001 apóia o
desenvolvimento de uma cultura interna que está
alerta aos riscos de segurança da informação e
tem uma abordagem consistente para lidar com
eles. Essa consistência de abordagem leva a
controles que são mais robustos para lidar com
ameaças. O custo de implementação e
manutenção também é minimizado e, caso
falhem, as consequências serão minimizadas e
mais eficazmente mitigadas.
geralmente ser Garante que somente a Garante que a Garante que o serviço
agrupados em três pessoa autorizada tenha informação não será estará acessivo sempre
categorias acesso á informação alterada ou manipulada que necessário.
Gleidnei
incidentes. de controles, como bloqueio Windows, teste de
software ou localização de equipamentos
Ativos neste contexto, normalmente são pessoas, vulneráveis acima dos níveis do piso térreo.
Gomes
equipamentos, sistemas ou infraestrutura.
Um ISMS que está em conformidade com a ISO
Informação são os conjuntos de dados que uma 27001 tem um inter-relacionado conjunto de
organização deseja proteger, como registros de processos de melhores práticas que facilitam e
funcionários, registros de clientes, registros apoiam o design apropriado, implementação e
financeiros, dados de design, dados de teste etc. manutenção de controles. Os processos que
fazem parte de um SGSI são geralmente uma
Incidentes são eventos indesejados que resultam combinação de processos de negócios centrais
em uma perda de confidencialidade (por exemplo, existentes (por exemplo recrutamento, indução,
uma violação de dados) integridade (por exemplo, treinamento, compra, design de produto,
corrupção de dados) ou disponibilidade (por manutenção de equipamentos, prestação de
exemplo, falha do sistema). serviços) e aqueles específicos para manter e
melhorar a segurança da informação (por exemplo,
Ameaças são o que causa incidentes ocorrer e mudança gerenciamento, backup de informações,
pode ser malicioso (por exemplo, controle de acesso, incidente gestão, classificação
um ladrão), acidental (por exemplo, um erro de da informação).
tecla) ou um ato da natureza (por exemplo, uma
3
inundação).
ESTABELECER
Partes Partes
ISMS
interessadas interessadas
Planejar Fazer
Gleidnei
MANTER
Gomes IMPLEMENTAR
E MELHORAR E OPERAR
ISMS ISMS
Expectativas e Segurança da
Verificar Agir
Requisitos MONITORAR Informação
de Segurança E REVISAR Gerenciada
ISMS
da
Informação
Plan-Do-Check-Act é um exemplo de sistema de malha fechada. Isso garante que o aprendizado dos estágios 'fazer' e
4
'verificar' sejam usados para informar os estágios 'agir' e subsequentes 'planejar'. Em teoria, isso é cíclico; no entanto, é mais
uma espiral ascendente, pois o aprendizado o move cada vez que você passa pelo processo.
Gleidnei Gomes - 2021
COM BASE NO RISCO
PENSAMENTO / AUDITORIAS
Gleidnei
da escala e da complexidade de suas operações,
você pode agendar auditorias internas de credenciados.
qualquer mês a uma vez por ano. Falamos falar
A Organização de certificação irá avaliar a conformidade
Gomes
com mais detalhes logo a frente.
com o Padrão ISO 27001: 2013. Isso envolve um
Pensamento baseado em risco representante da organização de certificação visitando a
organização e avaliando o sistema relevante e seus
A melhor maneira de considerar a frequência das
processos. Manter a certificação também envolve
auditorias é examinar os riscos envolvidos no
reavaliações periódicas.
processo ou na área de negócios a ser auditada.
Qualquer processo de alto risco, seja porque tem
A certificação demonstra aos clientes que você tem um
um alto potencial de dar errado ou porque as
compromisso com a qualidade.
consequências seriam graves se desse errado,
deve ser auditado com mais frequência do que GARANTIAS DE CERTIFICAÇÃO:
um processo de baixo risco. avaliação regular para monitorar e melhorar
Como você avalia o risco depende inteiramente continuamente os processos.
de você. A ISO 27001 não impõe nenhum • credibilidade de que o sistema pode atingir os
método particular de avaliação ou gerenciamento resultados pretendidos.
de risco. • redução do risco e da incerteza e aumento das
oportunidades de mercado.
5
• consistência nos resultados projetados para atender às
expectativas das partes interessadas.
Gleidnei Gomes - 2021
BASEADO EM PROCESSO
PENSAMENTO / AUDITORIA
Um processo é a transformação de entradas em saídas, que ocorre como uma série de etapas
ou atividades que resultam nos objetivos planejados. Freqüentemente, a saída de um processo
se torna uma entrada para outro processo subsequente. Muito poucos processos operam
isolados de qualquer outro.
Gleidnei
coerente.”
A etapa final do processo é revisar o resultado da
auditoria e
garantir que as informações obtidas sejam bem
Gleidnei
Destas cláusulas, os termos comuns e as definições principais não podem ser alterados. Os requisitos não podem
ser removidos ou alterados; no entanto, requisitos e recomendações específicas da disciplina podem ser
adicionados.
Gomes
Todos os sistemas de gestão requerem uma consideração do contexto da organização (mais sobre isso na seção 4);
um conjunto de objetivos relevantes para a disciplina, no caso a
qualidade, e alinhados ao direcionamento estratégico da organização; uma política documentada para apoiar o
sistema de gestão e seus objetivos; auditorias internas e análise crítica da gestão. Onde vários sistemas de
gerenciamento estão em vigor, muitos desses elementos podem ser combinados para abordar mais de um padrão.
• o propósito do padrão;
• os tipos de organizações a que se destina; e
• as seções da norma (chamadas de cláusulas) que
contêm requisitos que uma organização precisa cumprir
para que a organização seja certificada como “conforme”
a ela (ou seja, em conformidade).
CLÁUSULA 2:
NORMATIVO REFERÊNCIAS
Nos padrões ISO, a seção Referências normativas lista quaisquer outros
padrões que contenham informações adicionais que sejam relevantes
para determinar se uma organização está ou não em conformidade com o
padrão em questão. Na ISO 27001, apenas um documento é listado - ISO
Gleidnei
27000 Tecnologia da Informação - Visão geral e vocabulário.
Alguns dos termos usados ou requisitos detalhados na ISO 27001 são explicados
Gomes
mais detalhadamente na ISO 27000. A referência à ISO 27000 é muito útil para
ajudá-lo a entender melhor um requisito ou identificar a melhor maneira de
cumpri-lo.
Além dos termos explicados na seção "Princípios e Terminologia Chave" acima, os termos mais
importantes usados na ISO 27001 são:
Gleidnei
Gomes
'RISCO'
uma combinação da probabilidade de
ocorrência de um evento de segurança da Ao escrever a documentação do Sistema
informação e as consequências
resultantes.
de gerenciamento de segurança da
informação, você não precisa usar esses
termos exatos. No entanto, ajuda a
'AVALIAÇÃO DE RISCO' esclarecer o significado e a intenção se
o processo de identificação de riscos, você puder definir os termos que usou.
analisando o nível de risco apresentado
por cada risco e avaliando se ações Fornecer um glossário na documentação
adicionais são necessárias para reduzir do sistema pode ser útil.
cada risco a um nível mais tolerável ou
aceitável.
Como você fará isso e as áreas específicas de prioridade serão direcionadas pelo contexto em que sua
organização opera, ambos:
Gleidnei
segurança bem estabelecidos? em sistemas remotos baseados em
nuvem?
Cultura da organização: A sua
Gomes
organização está tranquila sobre como, Sensibilidade / valor do ativo de
quando e onde as pessoas trabalham, ou informação: sua organização precisa
é extremamente controlada? gerenciar ativos de informações
A cultura pode resistir à implementação altamente valiosos ou particularmente
de controles de Segurança da confidenciais?
Informação?
Consistência: você tem processos
Gestão: Existem canais e processos de uniformes em funcionamento em toda
comunicação claros desde os principais a organização ou uma infinidade de
tomadores de decisão da organização práticas operacionais diferentes com
até o restante da organização? pouca consistência?
11
e mais atualizada
tecnologia disponível?
Gleidnei Gomes - 2021
Complexidade do sistema: você opera um Acionistas: eles estão muito preocupados
sistema principal que com a vulnerabilidade da organização a
faz todo o trabalho pesado ou vários violações de dados? Eles estão
sistemas departamentais com preocupados com o custo dos esforços da
transferência de informações limitada organização para melhorar a segurança
entre eles? da informação?
•Espaço físico: você tem uma instalação
de escritório segura
Partes interessadas
dedicada ou opera em um espaço
Uma parte interessada é qualquer pessoa que é,
compartilhado com outras
pode ser ou se percebe afetada por uma ação ou
organizações?
omissão de sua organização. Suas partes
interessadas ficarão claras através do processo de
'Contexto Externo' realização de uma análise aprofundada de
A seguir estão exemplos das áreas que questões internas e externas. Provavelmente
podem ser consideradas ao avaliar as incluirão acionistas, proprietários, reguladores,
questões externas que podem ter uma clientes, funcionários e concorrentes e podem se
influência sobre os riscos de SGSI: estender ao público em geral e ao meio ambiente,
dependendo da natureza do seu negócio. Você
não precisa tentar entender ou satisfazer todos os
Concorrência: você opera em um caprichos deles, mas precisa determinar quais
mercado inovador e que muda necessidades e expectativas são relevantes para o
rapidamente, exigindo muitas seu SGSI.
atualizações de sistema para se manter
Gleidnei
pouca supervisão dos reguladores em seu incluídos (ou não incluídos);
setor de mercado? Os processos, atividades ou serviços internos e
externos incluídos (ou não incluídos); e
Gomes
Econômico / político: as flutuações da Interfaces-chave nos limites do escopo.
moeda afetam sua organização; O Brexit
no Reino Unido terá um impacto? Se você deseja priorizar os recursos construindo um
SGSI que não cubra toda a sua organização, selecionar
Considerações ambientais: Seu site está um escopo que se limite ao gerenciamento dos
em uma planície de inundação com o(s) principais interesses das partes interessadas é uma
servidor(es) localizado(s) em um porão? toda a sua organização, selecionar um escopo que se
Existem fatores que tornam seu(s) limite ao abordagem pragmática. Isso pode ser feito
site(s) um possível alvo para uma invasão incluindo apenas sites, ativos, processos e unidades
ou um ataque terrorista (por exemplo, de negócios ou departamentos específicos. Alguns
em um local proeminente no centro da exemplos de declarações de escopo:
cidade; próximo a um possível alvo)?
• “Todas as operações realizadas pelo Departamento
Prevalência de ataques à segurança da de TI”
informação: sua organização opera em • “Suporte e gerenciamento de e-mail”
um setor que atrai regularmente o • “Todos os equipamentos, sistemas, dados e
interesse de hackers (criminosos, infraestrutura no Data Center da organização com
12
hacktivistas)? base no site de Basingstoke”
Gleidnei
responsável pela proteção de dados ou serviços de
Satisfazer os requisitos aplicáveis relativos à
TI. No entanto, para desempenhar sua função de
Segurança da Informação, como requisitos
forma eficaz, o ideal é que eles sejam membros da
legais, expectativas do cliente e compromissos
Gomes
equipe da Alta Administração e tenham um forte
contratuais;
conhecimento técnico de gerenciamento de
A melhoria contínua do seu SGSI.
segurança da informação ou acesso a indivíduos
que os tenham.
Extra: Para garantir que sua Política de Segurança
da Informação seja bem comunicada e disponível
para as partes interessadas, é uma boa ideia:
Gleidnei
Gomes
Ter um plano de ação detalhado que esteja alinhado, atualizado e apoiado por revisões regulares e monitoramento é crucial e
fornece a melhor evidência para o auditor do planejamento do sistema claramente definido.
Gleidnei
tomar decisões estratégicas sobre como gerenciar
riscos significativos de segurança da informação que
Fornece uma estrutura para avaliar a
2
probabilidade de cada risco ocorrer de forma
mais provavelmente atingirão seus objetivos.
Gomes
consistente (por exemplo, uma vez por mês, uma
vez por ano).
A maioria das estruturas de avaliação de risco consiste
em uma Tabela contendo os resultados dos elementos
Fornece uma estrutura para avaliar as
3
1-4 com uma tabela ou matriz suplementar cobrindo o
consequências de cada risco que ocorre de forma
ponto 5.
consistente (por exemplo, perda de £ 1.000, perda
de £ 100.000).
Um auditor externo espera ver um registro de sua
avaliação de risco, um proprietário designado para cada
Fornece uma estrutura para pontuar ou categorizar
risco identificado e os critérios que você usou.
5
para cada pontuação ou categoria de risco, que
tipo de ação precisa ser realizada e o nível ou
15
prioridade atribuída a ela.
Gleidnei
Um auditor externo espera ver um Plano de
EXTRA: Sua declaração de aplicabilidade não
Tratamento de Risco (por exemplo, uma lista de
Gomes
precisa ser um documento excessivamente
ações) que detalha as ações de tratamento de risco
complexo. Uma tabela simples com cabeçalhos de
que você implementou ou planeja implementar. O
coluna Controle, Aplicável ?, Implementado? E
plano deve ser suficientemente detalhado para
Justificativa será suficiente. Também é
permitir a verificação do status de implementação
aconselhável registrar algumas informações sobre
de cada ação. Também será necessário haver
como o controle foi aplicado (por exemplo,
evidências de que este plano foi aprovado pelos
referência a um procedimento ou política) para
proprietários de risco atribuídos e pela Alta
ajudá-lo a responder mais prontamente a qualquer
Administração.
questionamento de seu auditor externo.
ser mensurável;
estar alinhado com sua Política de Segurança da Informação;
levar em consideração os requisitos de segurança da informação da organização; e
levar em consideração os resultados da avaliação de riscos e do processo de tratamento de riscos.
Não exceder uma frequência definida de certos tipos de incidentes de segurança da informação.
Atingir um nível mensurável de conformidade com os controles de segurança da informação.
Fornecimento de uma disponibilidade definida de serviços de
informação.
Não excedendo um número mensurável de erros de dados.
Fazer melhorias nos recursos disponíveis por meio de recrutamento, treinamento ou aquisição.
Implementação de novos controles.
Alcançar a conformidade com os padrões relacionados à segurança da informação.
Gleidnei
Cada objetivo deve ser comunicado às pessoas relevantes. Os objetivos devem ser atualizados quando
necessário para mantê-los relevantes e para avaliar o desempenho em relação a eles.
Gomes
Para cada um dos objetivos, você precisa planejar como vai alcançá-los. Isso
inclui determinar:
Gomes
Segurança de instalações de processamento de informações; inclui considerações técnicas de segurança, como proteção
contra malware, procedimentos de backup, captura de eventos etc.
A.13 Segurança de comunicações:
Segurança de redes; inclui o uso de mensagens eletrônicas.
A.14 Aquisição, desenvolvimento e manutenção do sistema:
Segurança nas operações de desenvolvimento. Garante que as considerações de segurança sejam totalmente
consideradas no processo de desenvolvimento.
A.15 Relações com fornecedores:
Acordos a incluir em contratos com qualquer entidade externa. Todos os terceiros devem estar sujeitos a um escrutínio
antes de as informações serem compartilhadas. Esses controles ajudam a gerenciar esse processo.
A.16 Gestão de incidentes de segurança da informação:
Guia sobre como identificar, relatar e registrar incidentes de informação. Fornece funcionalidade para permitir que a
pessoa responsável aprenda com os incidentes.
A.17 Aspectos de segurança da informação da gestão de continuidade de negócios:
Garantir que sua organização esteja bem preparada para sobreviver a interrupções e garantir que os planos sejam viáveis.
A.18 Conformidade:
Identifique as leis e regulamentos que irão moldar sua organização e registre qualquer revisão de seu sistema de gestão
ou segurança de uma fonte externa.
Os controles selecionados provavelmente farão parte da As disposições de segurança do padrão não são algo que a
evidência do tratamento de risco e devem ser registrados equipe de TI ou de segurança de uma organização deva
como tal. Normalmente, isso será mantido em um registro seguir sozinha. A norma requer que todos os aspectos da
de risco, embora possa ser mantido como documentação organização sejam considerados ao examinar os riscos e o
Gleidnei
separada. A metodologia irá variar entre diferentes tratamento de riscos. Os indivíduos mais bem posicionados
organizações; embora demonstrar que os controles do para solucionar problemas e arriscar nem sempre estão no
Anexo A estão implementados seja uma necessidade Departamento de TI; a composição e localização exatas do
consistente. tratamento de risco variam de uma organização para outra. A
Finalmente
Os controles do Anexo A são apenas algumas das opções disponíveis para uma organização. Controles de segurança adicionais não
descritos especificamente no Anexo A podem ser usados para fornecer tratamento a um risco identificado. Desde que as Cláusulas
e Controles dentro do Padrão sejam tratados conforme apropriado, o SGSI funcionará e fornecerá bons níveis de Segurança da
Informação.
Gleidnei
• estabeleça como você pode avaliar ou verificar se as Comunicação
pessoas certas têm o conhecimento e as habilidades Para permitir que os processos em seu SGSI funcionem com
certas. eficácia, você precisará garantir que as atividades de
Gomes
comunicação sejam bem planejadas e gerenciadas. A ISO
Seu auditor espera que você tenha documentos 27001 detalha isso de forma concisa, exigindo que você
detalhando seus requisitos de conhecimento e determine:
habilidades. Onde você acredita que os requisitos são
satisfeitos, isso precisará ser apoiado por registros, o que precisa ser comunicado;
como certificados de treinamento, registros de frequência quando precisa ser comunicado;
de cursos ou avaliações de competência interna. a quem deve ser comunicado;
quem é o responsável pela comunicação; e
EXTRA - A maioria das organizações que já usa quais são os processos de comunicação.
ferramentas como matrizes de
treinamento / habilidades, avaliações ou avaliações de Extra- Se seus requisitos de comunicação estão bem definidos em
fornecedores pode seus processos, políticas e procedimentos, você não precisa fazer
satisfazer a exigência de registros de competência, mais nada para satisfazer este requisito. Se não forem, você deve
expandindo as áreas cobertas considerar documentar suas principais atividades de comunicação
para incluir a segurança da informação na forma de uma tabela ou procedimento que inclui os títulos
detalhados acima. Lembre-se de que o conteúdo desses
documentos também precisa ser comunicado!
Para serem úteis, as informações documentadas que você usa para implementar e manter seu SGSI precisam:
• ser preciso;
• ser compreensível para os indivíduos que o usam regularmente ou ocasionalmente; e
• apoiá-lo para cumprir os requisitos legais, gerenciar os riscos de segurança da informação e atingir seus objetivos
.Para que suas informações documentadas sempre satisfaçam esses requisitos, você precisará ter
processos em vigor para garantir que:
as informações documentadas são revisadas quando exigidas pelos indivíduos apropriados antes de serem
colocadas em circulação geral;
o acesso às informações documentadas é controlado de forma que não possa ser alterado acidentalmente,
corrompido, excluído ou acessado por indivíduos para os quais não é apropriado.
as informações são excluídas de forma segura ou devolvidas ao seu proprietário quando há necessidade de
fazê-lo; e
você pode rastrear alterações nas informações para garantir que o processo esteja sob controle.
A fonte de suas informações documentadas pode ser interna ou externa, portanto, seus processos de
controle precisam gerenciar informações documentadas de ambas as fontes.
EXTRA - Organizações que têm um bom controle de documentos geralmente têm um ou mais dos seguientes itens
em vigor:
Uma única pessoa ou pequena equipe responsável por garantir que emitidos, sejam armazenados no local
correto, sejam retirados de circulação quando substituídos e que um registro de alterações seja mantido.
Um sistema de gerenciamento eletrônico de documentos que contém fluxos de trabalho e controles
automáticos.
Processos robustos de backup eletrônico de dados e arquivamento / armazenamento de arquivos em papel.
Gleidnei
Forte consciência dos funcionários quanto ao controle de documentos, manutenção de registros e requisitos de
acesso / retenção de informações.
Gomes
Gerenciar seus riscos de segurança da informação e atingir seus objetivos requer a formalização de suas atividades
em um conjunto de processos claros e coerentes. Muitos desses processos provavelmente já existem (por exemplo,
indução, treinamento) e simplesmente precisarão ser modificados para incluir elementos relevantes para a
segurança da informação. Outros processos podem acontecer de forma ad-hoc (por exemplo, aprovações de
fornecedores), enquanto alguns podem não existir atualmente (por exemplo, auditoria interna)
Gleidnei
novos riscos são identificados; ou
atividades relacionadas possam ocorrer como e quando
experiência ou novas informações indicam que a
necessário.
probabilidade e a consequência de qualquer risco
Gomes
identificado mudo
6 Avaliação de rotina da consistência com que cada
processo é seguido e sua eficácia no gerenciamento de
TRATAMENTO DE RISCO DE SEGURANÇA DA
riscos de segurança da informação relevantes.
INFORMAÇÃO
22
não anunciadas.
com que consistência os processos, procedimentos e
Sua organização precisará decidir o que precisa ser controles são seguidos e aplicados
monitorado para ter certeza de que o processo de ISMS e o grau de sucesso de seus processos, procedimentos e
os controles de segurança da informação estão operando controles na geração dos resultados pretendidos; e
conforme planejado. É impraticável para uma organização se o seu ISMS permanece em conformidade com a ISO
monitorar tudo o tempo todo; se você tentar fazer isso, é 27001 e os requisitos das partes interessadas.
provável que o volume de dados seja tão grande que seria
virtualmente impossível usá-lo de forma eficaz. Para garantir que as auditorias sejam realizadas com
Portanto, na prática, você precisará tomar uma decisão um alto padrão e de uma forma que agregue valor, elas
informada sobre o que monitorar. As seguintes precisam ser realizadas por indivíduos que:
considerações são importantes:
são respeitados;
Quais processos e atividades estão sujeitos às ameaças competente
mais frequentes e significativas? entender os requisitos da ISO 27001;
Quais processos e atividades têm as vulnerabilidades
inerentes mais significativas? podem interpretar rapidamente sua documentação e são
O que é prático para monitorar e gerar informações bem-treinados em técnicas e comportamentos de
Gleidnei
significativas e oportunas? auditoria sólidos.
Com cada processo de monitoramento que você
implementa, para que seja eficaz, você deve definir E o mais importante de tudo, eles precisam ter tempo
claramente: suficiente para fazer a auditoria e ter a garantia da
é definido em um procedimento);
quando é realizado;
Gomes
como o monitoramento é realizado (por exemplo, isso cooperação dos funcionários relevantes. Você deve
manter um plano para realizar suas auditorias
internas. Um auditor externo espera que este plano
quem é responsável por realizá-lo; garanta que todos os seus processos de SGSI sejam
omo são comunicados os resultados, quando, a quem auditados ao longo de um ciclo de três anos e que os
e o que fazem com eles; e processos:
se os resultados do monitoramento identificarem
desempenho inaceitável, qual é o processo ou tenham mostrado evidências de baixo desempenho
procedimento de escalonamento para lidar com essa (ou seja, através de auditorias anteriores, ou resultados
situação. de monitoramento ou incidentes de segurança da
informação);
Para demonstrar a um auditor que você tem o gerenciar os riscos de segurança da informação mais
processamento de monitoramento apropriado em vigor, significativos
você precisará reter registros de resultados de são auditados com uma frequência mais alta.
monitoramento, análises, revisões de avaliação e
quaisquer atividades de escalonamento.
Não Conformidade e
Análise de causa raiz
Ação corretiva Para identificar uma ação corretiva eficaz, é altamente
Um dos principais impulsionadores da melhoria é recomendável concluir uma análise da causa raiz do
aprender com os incidentes de segurança, problemas problema ocorrido. Se você não descobrir por que ou
identificados em auditorias, problemas de desempenho como isso aconteceu, é provável que qualquer correção
identificados a partir do monitoramento, reclamações de que você implementar não seja totalmente eficaz. Uma
partes interessadas e ideias geradas nas análises críticas. abordagem simples como “5 porquês” é uma boa
ferramenta de análise da causa raiz: comece com o
Para cada oportunidade de aprendizagem identificada, problema, depois pergunte “Por que” vezes suficientes
você deve manter um registro de: para chegar à causa raiz. Normalmente, perguntar 5 vezes
é o suficiente, mas para problemas mais complexos, você
o que ocorreu; pode precisar ir mais fundo.
se o evento teve consequências indesejáveis, que ação
foi tomada para contê-las e mitigá-las; POR EXEMPLO:
a causa raiz do evento (se determinada);
a ação realizada para eliminar a causa raiz (se Declaração do problema:
necessário); e A organização foi infectada pelo vírus Wannacry
uma avaliação da eficácia de qualquer ação realizada.
Porque?
Alguém clicou em um link em um e-mail e
baixou o vírus e infectou seu PC
Porque?
Eles não receberam nenhum treinamento para clicar
Porque?
Gomes
O gerente de treinamento está em licença
maternidade e a
organização não implementou cobertura para eles
Porque?
O processo de licença maternidade não é coberto no
Procedimento de gerenciamento de mudanças e,
portanto, uma avaliação de risco não foi concluída
para identificar quaisquer riscos de segurança da
informação.
Comece com “Por quê?”. Certifique-se de que as Mantenha seus processos e documentação de suporte
razões para a implementação de um SGSI sejam simples. Ele pode se desenvolver para se tornar mais
claras e alinhadas com sua direção estratégica, caso extenso com o tempo, se necessário.
contrário, você corre o risco de não obter a adesão crítica
da alta administração.
Gleidnei
Comunique-se amplamente durante todo o processo Lembre-se de seus fornecedores. Alguns fornecedores
irão ajudá-lo a melhorar seu ISMS, alguns irão
Gomes
para todas as partes interessadas. Deixe-os saber o que
você está fazendo, por que está fazendo, como planeja aumentar seu risco. Você precisa garantir que todos os
fazer e qual será o envolvimento deles. Fornece fornecedores de alto risco tenham controles em vigor
atualizações de progresso regulares. que sejam pelo menos tão bons quanto os seus. Se não
o fizerem, procure alternativas
Treinamento de Conscientização
Política e Objetivos
Análise de GAP interno
Documentação / Desgin do processo
Documentação / Implementação do Processo
Auditoria Interna
Organize uma reunião de avaliação do sistema de gestão
Análise total de GAP de sistemas implementados
Ações Corretivas
Auditoria de Certificação Final
Gleidnei
Gomes
Contato Doação
Deseja contribuir como forma de incentivação para
continuação de criação de conteúdos
gleidnei-gomes
Chave do pix gomesgomesbr2021@gmail.com
26
gomesgomesbr2021@gmail.com