Implementação da LGPD

Alcançando resultados com SI

4. Medindo a eficácia da SI

Licenciado para - CLEORBETE SANTOS - 86088220325 - Protegido por Eduzz.com

 ESCREVA AQUI. VOCÊ PODE TROCAR A
“SE VOCÊ NÃO PODE

IMAGEM AO LADO
MEDIR, VOCÊ NÃO
PODE GERENCIAR.”
Peter Drucker

Licenciado para - CLEORBETE SANTOS - 86088220325 - Protegido por Eduzz.com

 SISTEMA DE GESTÃO DE SI (27001)
FONTE: INTEGRITY

Licenciado para - CLEORBETE SANTOS - 86088220325 - Protegido por Eduzz.com

 9 Avaliação do desempenho

9.1 Monitoramento, medição, análise e avaliação

A organização deve avaliar o desempenho da

segurança da informação e a eficácia do sistema de
gestão da segurança da informação

Licenciado para - CLEORBETE SANTOS - 86088220325 - Protegido por Eduzz.com

 A organização deve determinar:

a) o que precisa ser monitorado e medido, incluindo controles e

processos de segurança da informação;

b) os métodos para monitoramento, medição, análise e avaliação,

conforme aplicável, para assegurar resultados válidos;

c) quando o monitoramento e a medição devem ser realizados;

d) o que deve ser monitorado e medido;

e) quando os resultados do monitoramento e da medição devem ser

analisados e avaliados;

f) quem deve analisar e avaliar estes resultados.

Licenciado para - CLEORBETE SANTOS - 86088220325 - Protegido por Eduzz.com

 POR QUÊ MONITORAR, MEDIR, ANALISAR E AVALIAR?

• conhecer o • auto avaliação do • para identificar • para estabelecer

rendimento do rendimento do não conformidades um processo de
sistema de sistema de em comprimento melhoria
dos requisitos contínua.
gestão e saber se gestão e a
legais, contratuais,
está satisfazendo eficácia dos normativos,
as necessidade e controles estatutários,
expectativas das existentes; negócio;
partes
interessadas;

Licenciado para - CLEORBETE SANTOS - 86088220325 - Protegido por Eduzz.com

 REQUISITOS ISO/IEC 27001:2013
6 Planejamento | 6.1 Ações para contemplar riscos e oportunidades | 6.1.1 Geral
Quando do planejamento do sistema de gestão da segurança da informação, a organização deve considerar as questões referenciadas
em 4.1 e os requisitos descritos em 4.2 e determinar os riscos e oportunidades que precisam ser consideradas para:

a) assegurar que o sistema de gestão da segurança da informação pode alcançar seus resultados pretendidos;
b) prevenir ou reduzir os efeitos indesejados; e
c) alcançar a melhoria continua.

A organização deve planejar:

d) as ações para considerar estes riscos e oportunidades; e

e) como

1) integrar e implementar estas ações dentro dos processos do seu sistema de gestão da segurança da informação; e
2) avaliar a eficácia destas ações.

Licenciado para - CLEORBETE SANTOS - 86088220325 - Protegido por Eduzz.com

 REQUISITOS ISO/IEC 27001:2013
6 Planejamento | 6.2 Objetivo de segurança da informação e planejamento para alcançá-los
A organização deve estabelecer os objetivos de segurança da informação para as funções e níveis relevantes.
Os objetivos de segurança da informação devem:
a) ser consistentes com a politica de segurança da informação;
b) ser mensuráveis (quando aplicável);
c) levar em conta os requisitos de segurança da informação aplicáveis e os resultados da avaliação e tratamento dos riscos;
d) ser comunicados; e
e) ser atualizados, conforme apropriado.
A organização deve reter informação documentada dos objetivos de segurança da informação.
Quando do planejamento para alcançar os seus objetivos de segurança da informação, a organização deve determinar:
a) o que será́ feito;
b) quais recursos serão necessários;
c) quem será́ responsável;
d) quando estará́ concluído;
e) como os resultados serão avaliados

Licenciado para - CLEORBETE SANTOS - 86088220325 - Protegido por Eduzz.com

 REQUISITOS ISO/IEC 27001:2013
10 Melhoria | 10.1 Não conformidade e ação corretiva

Quando uma não conformidade ocorre, a organização deve:

a) reagir a não conformidade e, conforme apropriado:

1) tomar ações para controlar e corrigi-la; e

2) tratar com as consequências;

b) avaliar a necessidade de ações para eliminar as causas de não conformidade, para evitar sua repetição ou ocorrência, por um dos seguintes meios:

1) analisando criticamente a não conformidade;

2) determinando as causas da não conformidade; e

3) determinando se não conformidades similares existem, ou podem potencialmente ocorrer.

c) implementar quaisquer ações necessárias;

d) analisar criticamente a eficácia de quaisquer ações corretivas tomadas; e

e) realizar mudanças no sistema de gestão da segurança da informação, quando necessário.

As ações corretivas devem ser apropriadas aos efeitos das não conformidades encontradas.

A organização deve reter informação documentada como evidencia da:

a) natureza das não conformidades e quaisquer ações subsequentes tomadas; e

b) resultados de qualquer ação corretiva.

Licenciado para - CLEORBETE SANTOS - 86088220325 - Protegido por Eduzz.com

 REQUISITOS ISO/IEC 27001:2013
7 Apoio | 7.1 Recursos
A organização deve determinar e prover recursos necessários para o estabelecimento, implementação, manutenção e melhoria continua do
sistema de gestão da segurança da informação.

7 APOIO | 7.2 Competência

A organização deve:
a) determinar a competência necessária das pessoas que realizam trabalho sob o seu controle e que afeta o desempenho da segurança da
informação;
b) assegurar que essas pessoas são competentes, com base na educação, treinamento ou experiência apropriados;
c) onde aplicável, tomar ações para adquirir a competência necessária e avaliar a eficácia das ações tomadas; e
d) reter informação documentada apropriada como evidência da competência.
NOTA Ações apropriadas podem incluir, por exemplo: fornecimento de treinamento para os facilitadores, os funcionários atuais ou pessoas
competentes, próprias ou contratadas.

Licenciado para - CLEORBETE SANTOS - 86088220325 - Protegido por Eduzz.com

 REQUISITOS ISO/IEC 27001:2013
7.3 Conscientização
Pessoas que realizam trabalho sob o controle da organização devem estar cientes da:
a) politica de segurança da informação;
b) suas contribuições para a eficácia do sistema de gestão da segurança da informação, incluindo os benefícios da melhoria do
desempenho da segurança da informação; e
c) implicações da não conformidade com os requisitos do sistema de gestão da segurança da informação.

Licenciado para - CLEORBETE SANTOS - 86088220325 - Protegido por Eduzz.com

 Introdução

Este documento tem como objetivo auxiliar as

organizações a avaliar o desempenho da segurança da
informação e a eficácia do sistema de gestão de
segurança da informação, a fim de atender aos
requisitos da ABNT NBR ISO/IEC 27001:2013, 9.1:
monitoramento, medição, analise e avaliação.

Licenciado para - CLEORBETE SANTOS - 86088220325 - Protegido por Eduzz.com

ISO 27004:2017

ABNT Catálogo

Licenciado para - CLEORBETE SANTOS - 86088220325 - Protegido por Eduzz.com

 ESCOPO

• o monitoramento e a medição do desempenho

da segurança da informação;

• o monitoramento e a medição da eficácia de um

sistema de gestão de segurança da informação
(SGSI), incluindo seus processos e controles;

• analise e a avaliação dos resultados do

monitoramento e medição.

Licenciado para - CLEORBETE SANTOS - 86088220325 - Protegido por Eduzz.com

 SISTEMA DE GESTÃO DE SI
Fonte: ISO/IEC 27004:2016

Licenciado para - CLEORBETE SANTOS - 86088220325 - Protegido por Eduzz.com

 JUSTIFICATIVA

• Objetivo geral do SGSI: confidencialidade,

integridade e disponibilidade

• Planejamento e implementação. Contudo, essas

atividades não garantem que a execução
atenderá aos objetivos.

• Definido na ISO/IEC 27001, requisitos para avaliar

o alcance dos objetivos.

Licenciado para - CLEORBETE SANTOS - 86088220325 - Protegido por Eduzz.com

 BENEFÍCIOS
Aumento na responsabilização: monitoramento, medição, analise e avaliação podem
aumentar a responsabilização da segurança da informação, ajudando a identificar

GARANTIR O DESEMPENHO DE
processos ou controles específicos de segurança da informação que estejam
implementados incorretamente, não estejam implementados ou sejam ineficazes.

PROCESSOS + CONTROLE
Aumento no desempenho da SI e processos SGSI: monitoramento, medição, análise e
avaliação podem permitir que organizações quantifiquem melhorias na segurança da
informação dentro do escopo de seu SGSI e demonstrem progressos quantificáveis no
atingimento dos objetivos de segurança da informação da organização.

Evidência do atendimento de requisitos: monitoramento, medição, análise e avaliação

podem fornecer evidências documentadas que ajudam a demonstrar o atendimento dos
requisitos da ISO/IEC 27001 (e outras normas), bem como leis, regras e regulamentações
aplicáveis.

Apoio à tomada de decisões: monitoramento, medição, análise e avaliação podem apoiar

decisões baseadas em risco, contribuindo com informações quantificáveis para o
processo de gestão de riscos. Isso pode permitir que organizações meçam seus sucessos e
falhas nos investimentos em segurança da informação passados e atuais, e fornecer
dados quantificáveis que podem apoiar a alocação de recursos para futuros
investimentos.

Licenciado para - CLEORBETE SANTOS - 86088220325 - Protegido por Eduzz.com

 Monitorament Variedade Exequibilidade Atenção!
o e Medição

São os primeiros passo no Variedade potencialmente É impraticável, custoso e Grande número de

processo de avaliação de grande de atributos de contraproducente medir atributos , pode
desempenho da SI e SGSI. entidades relacionadas à atributos demasiados ou obscurecer
SI é um ponto de atenção . errados. questões-chave.
Podem não ser obvias
quais medições devem ser
medidas

A organização deve definir o que deseja alcançar

com a avaliação de desempenho de SI e do SGSI.
Licenciado para - CLEORBETE SANTOS - 86088220325 - Protegido por Eduzz.com
 É a determinação do estado de
um sistema, um processo ou uma
atividade, a fim de atender a uma
necessidade de informação
especificada.
MONITORAMENTO

ISO/IEC 27004:2016

Licenciado para - CLEORBETE SANTOS - 86088220325 - Protegido por Eduzz.com

 O QUE MONITORAR?

• implementação do SGSI;
• processos (risco, incidentes, vulnerabilidades, CMDB);
• conscientização e treinamentos;
• controle de acesso, firewall, antivírus;
• eventos de rede;
• Sistemas.

Licenciado para - CLEORBETE SANTOS - 86088220325 - Protegido por Eduzz.com

 É uma atividade que determina o valor,
estado, tendência de desempenho ou
eficácia para auxiliar e identificar
possíveis necessidades de melhoria.
Medições podem ser aplicadas a
quaisquer processos, atividades ou
grupos de controles do SGSI.
MEDIÇÃO

ISO/IEC 27004:2016
Licenciado para - CLEORBETE SANTOS - 86088220325 - Protegido por Eduzz.com
 O QUE É NECESSÁRIO MONITORAR, MEDIR,
ANALISAR E AVALIAR?
7 APOIO | 7.2 Competência
A organização deve:
c) onde aplicável, tomar ações para adquirir a competência necessária e avaliar a
eficácia das ações tomadas; e

• Exemplo contido na própria ISO/IEC 27004:2017: Será que todos os indivíduos que necessitavam de treinamentos
realizaram-no? O treinamento foi executado conforme planejado?

Licenciado para - CLEORBETE SANTOS - 86088220325 - Protegido por Eduzz.com

 O QUE MEDIR?
• Próprios processos do SGSI:

• planejamento;
• liderança;
• gestão de riscos;
• gestão de políticas;
• gestão de recursos;
• comunicação;
• análise crítica pela Alta Direção;
• documentação; e
• auditoria.

Licenciado para - CLEORBETE SANTOS - 86088220325 - Protegido por Eduzz.com

 O QUE MEDIR?
• Controles de SI e plano de tratamento de riscos:

• Controles determinados por meio do processo de tratamento de riscos e referenciados com base na ISO/IEC 27001:2013
ANEXO A (controles necessários).

• Controles específicos (setoriais), e de outras normas também podem ser projetados.

• Como vimos, o propósito de um controle é a modificação do risco, há diversos atributos que podem ser medidos, como:

• o grau pelo qual o controle reduz a probabilidade da ocorrência de um evento;

• o grau pelo qual o controle reduz a consequência de um evento;
• a frequência de eventos que o controle pode lidar antes de uma falha; e
• quanto tempo depois da ocorrência de um evento o controle leva para detectar que o evento ocorreu.

Licenciado para - CLEORBETE SANTOS - 86088220325 - Protegido por Eduzz.com

 QUANDO MEDIR?

• cada caso é um caso;

• intervalos específicos com base na necessidade de informação;

• características da operação, do ciclo de vida do dado, questões regulatórias.

Licenciado para - CLEORBETE SANTOS - 86088220325 - Protegido por Eduzz.com

 ESCREVA AQUI
O PROCESSO COM BASE NA ISO/IEC 27004:2016

Licenciado para - CLEORBETE SANTOS - 86088220325 - Protegido por Eduzz.com

 SISTEMA DE GESTÃO DE SI
Fonte: ISO/IEC 27004:2016

Licenciado para - CLEORBETE SANTOS - 86088220325 - Protegido por Eduzz.com

 IDENTIFICAR AS NECESSIDADE DE
INFORMAÇÃO
A criação das medidas deve iniciar com a identificação das necessidades de informação, que pode
estar fundamentada em um dos itens abaixo:

• necessidades das partes interessadas;

• direção estratégica da organização;
• politica e objetivos de segurança da informação; e
• plano de tratamento de riscos.

Licenciado para - CLEORBETE SANTOS - 86088220325 - Protegido por Eduzz.com

 IDENTIFICAR AS NECESSIDADE DE
INFORMAÇÃO
É necessário examinar cuidadosamente o SGSI e outros elementos, como:

• politicas de SI, objetivos e controles;

• requisitos legais, regulatórios, contratuais e organizacionais para SI; e

• os resultados do processo de gestão de riscos de SI;

Licenciado para - CLEORBETE SANTOS - 86088220325 - Protegido por Eduzz.com

 IDENTIFICAR AS NECESSIDADE DE
INFORMAÇÃO
Priorizar as necessidades de informação identificadas com base em critérios como:

• prioridades de tratamento de riscos;

• recursos e capacidades da organização;
• necessidades das partes interessadas;
• politicas de SI̧ e objetivos, controles e objetivos de controles;
• informações requeridas para atender às obrigações legais, regulatórias e contratuais da
organização; e
• o valor da informação a ser obtida em relação ao custo da medição.

Licenciado para - CLEORBETE SANTOS - 86088220325 - Protegido por Eduzz.com

 CRIAR E MANTER AS MEDIDAS

Criar e analisar criticamente. Revisar e atualizar sistematicamente as medidas em intervalos

planejados ou quando o SGSI sofrer mudanças significativas. Essas mudanças podem tem como
origem:

• escopo;
• estrutura organizacional;
• partes interessadas, incluindo seus papéis, responsabilidades e autoridades;
• objetivos e requisitos de negócio;
• requisitos legais e regulatórios;
• Ambiente de negócio;
• introdução de novas tecnologias.

Licenciado para - CLEORBETE SANTOS - 86088220325 - Protegido por Eduzz.com

Licenciado para - CLEORBETE SANTOS - 86088220325 - Protegido por Eduzz.com
 ESTABELECER PROCEDIMENTOS

• Para implementar as medidas definidas e priorizadas, as etapas abaixo devem ser conduzidas:

• participação das partes interessadas desde o início;

• identificação de ferramentas de coleta de dados considerando ajustes;
• estabelecer procedimentos para coleta, análise e comunicação:

• armazenamento seguro e verificação dos dados;

• frequência;
• formatos (painéis, relatórios, scorecards e etc);
• público (executivos e operacionais);
• questões legais e de privacidade.

Licenciado para - CLEORBETE SANTOS - 86088220325 - Protegido por Eduzz.com

 MONITORAR E MEDIR

• definir procedimentos para monitoramento e medição;

• forma manual e automatizada;
• armazenamento e verificação;
• periodicidade;
• atualização dos processos;
• compartilhados e com quem;
• reproduzível, precisa e consistente.

Licenciado para - CLEORBETE SANTOS - 86088220325 - Protegido por Eduzz.com

 ANALISAR RESULTADO

• analisados em relação às metas para cada medida individual;

• orientação para realizar análises estatísticas pode ser encontrada na ABNT ISO/TR 10017;
• interpretação dos resultados da análise;
• atenção sobre quem reporta e os processos técnicos associados às medidas;
• observações referente ao contexto;
• identificação de falhas do SGSI.

Licenciado para - CLEORBETE SANTOS - 86088220325 - Protegido por Eduzz.com

 AVALIAR O DESEMPENHO DA SI E EFICÁCIA DO SGSI

O item 5.2 da norma, diz que as organizações devem:

• Expressar suas necessidades de informação em termos de questões relativas ao

desempenho da segurança da informação e eficácia do SGSI; e

• Expressar suas medidas nos termos destas necessidades de informação.

A partir desse conhecimento e da análise do produto do monitoramento/medição que a

organização obterá dados para satisfazer a necessidade de informação definida no início do
ciclo.

Licenciado para - CLEORBETE SANTOS - 86088220325 - Protegido por Eduzz.com

 É o processo de interpretar estes
dados para responder as questões da
organização relacionadas ao
desempenho de SI e eficácia do SGSI.
AVALIAÇÃO

ISO/IEC 27004:2016

Licenciado para - CLEORBETE SANTOS - 86088220325 - Protegido por Eduzz.com

 ANÁLISE CRÍTICA E MELHORIA DO PROCESSO

É necessário promover:

• feedback das partes interessadas;

• revisão técnica;
• revisão do procedimentos;
• comparação com a indústria.

Licenciado para - CLEORBETE SANTOS - 86088220325 - Protegido por Eduzz.com

 ESCREVA AQUI
EXEMPLO MODELOS DE MEDIÇÃO
ANEXO B ISO/IEC 27004:2017

Licenciado para - CLEORBETE SANTOS - 86088220325 - Protegido por Eduzz.com

Licenciado para - CLEORBETE SANTOS - 86088220325 - Protegido por Eduzz.com
Licenciado para - CLEORBETE SANTOS - 86088220325 - Protegido por Eduzz.com
Licenciado para - CLEORBETE SANTOS - 86088220325 - Protegido por Eduzz.com
Licenciado para - CLEORBETE SANTOS - 86088220325 - Protegido por Eduzz.com
Licenciado para - CLEORBETE SANTOS - 86088220325 - Protegido por Eduzz.com
Licenciado para - CLEORBETE SANTOS - 86088220325 - Protegido por Eduzz.com
Licenciado para - CLEORBETE SANTOS - 86088220325 - Protegido por Eduzz.com
 RESUMO
• ISO27001 orientada ao PDCA
• Cuidados endereçados na 27001
• Motivos para monitorar
• ISO27004 (Escopo)
• Cruzamento 27001 e 27004
• Justificativa e benefícios
• Desafios
• Monitoramento
• O que monitorar
• Medição
• O que medir
• Quando medir
• Processo na 27004
• Modelos de medição

Licenciado para - CLEORBETE SANTOS - 86088220325 - Protegido por Eduzz.com

 PRÓXIMA AULA
• Incidente SI segundo 27000
• Incidente ciber segundo NIST
• Gestão de Incidentes
• Recomendações básicas
• Eventos
• Benefícios
• Modelo NIST
• Preparação
• Detecção
• Contenção
• Pós Incidente

Licenciado para - CLEORBETE SANTOS - 86088220325 - Protegido por Eduzz.com