SEGURANA EM TECNOLOGIA DA INFORMAO DISCIPLINA: SISTEMA DE GESTO DE SEGURANA DA INFORMAO

Prof.: Leonardo Lemes Aluno: Felipe Bubolz, Paulo Campos, Paulo Gino e Maurcio Lus Wecker Verso atual: 1.4

Rexnord Correntes Ltda.

Relatrio de Auditoria do Sistema de Gesto de Segurana da Informao Dezembro de 2010

SEGURANA EM TECNOLOGIA DA INFORMAO DISCIPLINA: SISTEMA DE GESTO DE SEGURANA DA INFORMAO

Prof.: Leonardo Lemes Aluno: Felipe Bubolz, Paulo Campos, Paulo Gino e Maurcio Lus Wecker Verso atual: 1.4

Porto Alegre, 03 de dezembro de 2010.

Rexnord Correntes Ltda. Rua Christopher Levalley, 187, So Leopoldo, Brasil.

Prezados Senhores:

Apresentamos a V.S.as o relatrio previamente acordado de auditoria do Sistema de gesto de Segurana da Informao Rexnord Correntes Ltda. Este relatrio para uso exclusivo da Rexnord Correntes Ltda., e no deve ser apresentado ou distribudo a terceiros, tendo em vista a finalidade especfica descrita no primeiro pargrafo do sumrio executivo.

Atenciosamente,
__________________________ Felipe Bubolz de Souza Auditor lder

Pgina 2 de 15

SEGURANA EM TECNOLOGIA DA INFORMAO DISCIPLINA: SISTEMA DE GESTO DE SEGURANA DA INFORMAO

Prof.: Leonardo Lemes Aluno: Felipe Bubolz, Paulo Campos, Paulo Gino e Maurcio Lus Wecker Verso atual: 1.4

1. A auditoria
No ltimo dia trs de dezembro, do presente ano, foi realizada a auditoria do Sistema de Gesto da Segurana da Informao da empresa Rexnord Correntes Ltda., atualmente localizada em So Leopoldo, na Rua Christopher Levalley, nmero 187. Conduzida pelo auditor lder Felipe Bubolz de Souza e os auditores Paulo Campos, Paulo Gino Moreira e Maurcio Luis Wecker, a anlise crtica teve como escopo o Manual do SGSI da Rexnord. Adicionalmente, a auditoria foi executada com os objetivos e critrios previamente definidos. Usando como validador a norma ISO 27001:2006, a auditoria teve como foco principal qualificar a empresa de acordo com esta norma, sugerindo ainda, quando possveis oportunidades de melhoria. Os resultados obtidos na auditoria realizada so demonstrados na tabela abaixo:

Pgina 3 de 15

SEGURANA EM TECNOLOGIA DA INFORMAO DISCIPLINA: SISTEMA DE GESTO DE SEGURANA DA INFORMAO

Prof.: Leonardo Lemes Aluno: Felipe Bubolz, Paulo Campos, Paulo Gino e Maurcio Lus Wecker Verso atual: 1.4

#
4.2.1

Objetivo do controle
Estabelecer o SGSI Definir o escopo e os limites do SGSI nos termos das caractersticas do negcio, a organizao, sua localizao, ativos e tecnologia, incluindo detalhes e justificativas para quaisquer excluses do escopo

Avaliao

Justificativas
Apresentado na item 04 do SGSI N/A

Sugestes de melhoria

Auditor Revisor

Data da Data da Auditoria reviso

4.2.1.a

Conforme

Paulo Campos

Felipe Souza

28/11/2010

01/12/2010

Definir uma poltica do SGSI nos termos das caractersticas do negcio, a organizao, sua localizao, ativos e tecnologia que: Inclua uma estrutura para definir objetivos e No apresentado claramente o contexto onde estabelea um direcionamento global e o SGSI v apoiar o direcionamento global e No 4.2.1.b.1 princpios para aes Conformidade princpios para aes de segurana da relacionadas com a segurana da informao informao Maior 4.2.1.b Considere requisitos de negcio, legais e/ou 4.2.1.b.2 regulamentares, e obrigaes de segurana contratuais citado de maneira sucinta necessidades de No Conformidade negcio Maior

Incluir no SGSI uma estrutura que apoiar na definio de objetivos e direcionamento no contexto global da organizao no que se refere a segurana da informao

Paulo Campos

Paulo Gino

28/11/2010

01/12/2010

Apresentar de maneira mais clara as necessidades de negcio referentes a este processo Citar ou prover subsdios que permitam definir se h ou no alinhamento entre a gesto de riscos do SGSI e da organizao N/A N/A

Paulo Campos

Paulo Gino

28/11/2010

01/12/2010

Esteja alinhada com o contexto estratgico de No apresentado o modelo de gesto de riscos No gesto de riscos da organizao no qual o da organizao. Portanto, no h como saber se 4.2.1.b.3 estabelecimento e manuteno do SGSI iro Conformidade est alinhado Maior ocorrer Estabelea critrios em relao aos quais os 4.2.1.b.4 riscos sero avaliados 4.2.1.b.5 4.2.1.c Tenha sido aprovada pela direo Conforme Conforme Os critrios esto definidos na poltica de SGSI Est apresentado de maneira explicita a aprovao da direo ao SGSI

Paulo Campos Paulo Campos Paulo Campos

Paulo Gino

28/11/2010

01/12/2010

Paulo Gino Paulo Gino

28/11/2010 28/11/2010

01/12/2010 01/12/2010

4.2.1.c.1

Definir a abordagem de anlise/avaliao de riscos da organizao Identificar uma metodologia de No est clara a metodologia de anlise/avaliao de riscos que seja adequada anlise/avaliao de riscos. No ao SGSI e aos requisitos legais, Conformidade regulamentares e de segurana da Maior informao, identificados para o negcio Desenvolver critrios para a aceitao de riscos e identificar os nveis aceitveis de risco Identificar os riscos No est claro a maneira como sero aceitos os No Conformidade riscos e nveis aceitveis Maior

Definir claramente a metodologia utilizada e expor os critrios que sero utilizados para anlise/avaliao de riscos

Paulo Campos

Felipe Souza

28/11/2010

01/12/2010

4.2.1.c.2 4.2.1.d

Definir e expor claramente os nveis de aceitos de riscos.

Paulo Campos

Felipe Souza

28/11/2010

01/12/2010

SEGURANA EM TECNOLOGIA DA INFORMAO DISCIPLINA: SISTEMA DE GESTO DE SEGURANA DA INFORMAO

Prof.: Leonardo Lemes Aluno: Felipe Bubolz, Paulo Campos, Paulo Gino e Maurcio Lus Wecker Verso atual: 1.4

Identificar os ativos dentro do escopo do SGSI 4.2.1.d.1 e os proprietrios destes ativos 4.2.1.d.2 Identificar as ameaas a esses ativos

Conforme Conforme Conforme

Os ativos esto identificados na anlise/avaliao N/A de riscos As ameaas esto identificadas na anlise/avaliao de riscos As vulnerabilidades esto identificadas na anlise/avaliao de riscos Esto identificados o impacto que perda de cada uma das caractersticas pode causar. N/A N/A N/A

Paulo Campos Paulo Campos Paulo Campos Paulo Campos

Felipe Souza Felipe Souza Felipe Souza Felipe Souza

28/11/2010 28/11/2010 28/11/2010

01/12/2010 01/12/2010 01/12/2010

Identificar as vulnerabilidades que podem ser 4.2.1.d.3 exploradas pelas ameaas Identificar os impactos que as perdas de 4.2.1.d.4 confidencialidade, integridade e disponibilidade podem causar aos ativos Analisar e avaliar os riscos Avaliar os impactos para o negcio da organizao que podem resultar de falhas de segurana, levando em considerao as 4.2.1.e.1 consequncias de uma perda de confidencialidade, integridade ou disponibilidade dos ativos 4.2.1.e Avaliar a probabilidade real da ocorrncia de falhas de segurana luz de ameaas e 4.2.1.e.2 vulnerabilidades prevalecentes, e impactos associados a estes ativos e os controles atualmente implementados 4.2.1.e.3 Estimar os nveis de riscos

Conforme

28/11/2010

01/12/2010

Esto avaliados os impactos da perda de confidencialidade, integridade e disponibilidade Conforme

N/A Paulo Campos Felipe Souza

28/11/2010

01/12/2010

Conforme

Est avaliada a probabilidade falhas considerando ameaas e vulnerabilidades nos ativos.

N/A Paulo Campos Felipe Souza 28/11/2010 01/12/2010

Conforme

Esto estimados os nveis dos riscos

N/A No est claro a definio de aceitao de riscos.

Paulo Gino

Felipe Souza Felipe Souza

28/11/2010

01/12/2010

Determinar se os riscos so aceitveis ou se requerem tratamento utilizando os critrios 4.2.1.e.4 para aceitao de riscos estabelecidos em 4.2.1.c.2. 4.2.1.f 4.2.1.f.1

H identificao de riscos aceitveis ou que No requerem tratamento para aceitao. Conformidade Menor

Paulo Gino

28/11/2010

01/12/2010

Identificar e avaliar as opes para o tratamento de riscos Aplicar os controles apropriados No so aplicados controles apropriados para o No Conformidade tratamento de riscos Maior

Paulo Gino

Felipe Souza

28/11/2010

01/12/2010

Pgina 5 de 15

SEGURANA EM TECNOLOGIA DA INFORMAO DISCIPLINA: SISTEMA DE GESTO DE SEGURANA DA INFORMAO

Prof.: Leonardo Lemes Aluno: Felipe Bubolz, Paulo Campos, Paulo Gino e Maurcio Lus Wecker Verso atual: 1.4

4.2.1.f.2

Aceitar os riscos consciente e objetivamente, desde que satisfaam claramente s polticas da organizao e aos critrios de aceitao de riscos (ver 4.2.1.c.2)

No est claro quais so as politicas da organizao. Tambm a anlise/avaliao de No Conformidade riscos no fornece subsdios para concluir se satisfazem os critrios. Maior No est claro quais os critrios de aceitao de No risco para que seja possvel a identificao de Conformidade evitar riscos na anlise/avaliao de riscos Maior No est claro quais os critrios de aceitao de No risco para que seja possvel a identificao de Conformidade transferir riscos na anlise/avaliao de riscos Maior No foram apresentados objetivos de controles No Conformidade para tratamento de riscos. Maior Esto apresentados os riscos residuais, mas no No Conformidade h aprovao explicita da direo quanto a eles. Maior Conforme Existe uma declarao explicita da direo quanto a aprovao da politica de SGSI

Apresentar politicas da organizao que deem subsdios para atender a estes critrios Paulo Gino Felipe Souza 28/11/2010 01/12/2010

Evitar riscos 4.2.1.f.3

Reavaliar a anlise/avaliao de riscos e contemplar a possibilidade de evitar alguns riscos apresentados ao negcio. Reavaliar a anlise/avaliao de riscos e contemplar a possibilidade de transferir alguns riscos apresentados ao negcio. Definir controles de tratamento para os riscos

Paulo Gino

Felipe Souza

28/11/2010

01/12/2010

4.2.1.f.4

Transferir os riscos associados ao negcio a outras partes, por exemplo, seguradoras e fornecedores Selecionar objetivos de controle e controles para o tratamento de riscos Obter aprovao da direo dos riscos residuais propostos Obter autorizao da direo para implementar e operar o SGSI Preparar uma Declarao de Aplicabilidade Os objetivos de controle e os controles selecionados em 4.2.1.g e as razes para sua seleo Os objetivos de controle e os controles atualmente implementados (ver 4.2.1e.2) A excluso de quaisquer objetivos de controle e controles do anexo A e a justificativa para sua excluso Implementar e operar o SGSI

Paulo Gino

Felipe Souza

28/11/2010

01/12/2010

4.2.1.g

Paulo Gino Apresentar aprovao da direo quantos aos riscos residuais apresentados N/A

Felipe Souza Felipe Souza Felipe Souza

28/11/2010

01/12/2010

4.2.1.h

Paulo Gino

28/11/2010

01/12/2010

4.2.1.i 4.2.1.j 4.2.1.j.1

Paulo Gino

28/11/2010

01/12/2010

No h controles selecionados para os riscos No Conformidade apresentados. Maior

Definir controles para os riscos identificados.

Paulo Campos Paulo Campos Paulo Campos

Felipe Souza Felipe Souza Felipe Souza

28/11/2010

01/12/2010

4.2.1.j.2

No foram apresentados objetivos de controles e Apresentar controles para os riscos No identificados. Alm de apresentar os j Conformidade controles implementados. implementados. Maior Conforme Foram apresentadas justificativas para os objetivos de controles excludos. N/A

28/11/2010

01/12/2010

4.2.1.j.3 4.2.2

28/11/2010

01/12/2010

Pgina 6 de 15

SEGURANA EM TECNOLOGIA DA INFORMAO DISCIPLINA: SISTEMA DE GESTO DE SEGURANA DA INFORMAO

Prof.: Leonardo Lemes Aluno: Felipe Bubolz, Paulo Campos, Paulo Gino e Maurcio Lus Wecker Verso atual: 1.4

4.2.2.a

Formular um plano de tratamento de riscos que identifique a ao de gesto apropriada, recursos, responsabilidades e prioridades para a gesto dos riscos de segurana

So apresentadas as aes no plano de tratamento de riscos. Porm, no h No Conformidade atendimento aos outros itens exigidos pela norma. Maior No foram apresentados documentos que comprovem a implementao do plano de No Conformidade tratamento de riscos. Existe apenas as aes que devem ser tomadas. Maior No foram apresentados documentos que No comprovem a existncia de seleo de controles Conformidade para atender aos objetivos. Maior

Definir recursos, responsabilidade e prioridades para a gesto de riscos. Paulo Campos Felipe Souza 28/11/2010 01/12/2010

4.2.2.b

Implementar o plano de tratamento de riscos para alcanar os objetivos de controle identificados, que inclua consideraes de financiamentos e atribuio de papis e responsabilidades Implementar os controles selecionados em 4.2.1g para atender aos objetivos de controle

Implementar um plano de tratamento de risco e criar documentao que comprove a sua existncia.

Paulo Campos

Felipe Souza

28/11/2010

01/12/2010

4.2.2.c

Selecionar controles para ento implementar e assim criar a documentao necessria para comprovar sua existncia.

Paulo Campos

Felipe Souza

28/11/2010

01/12/2010

4.2.2.d

Definir como medir a eficcia dos controles ou grupos de controles selecionados, e especificar como estas medidas devem ser usadas para avaliar a eficcia dos controles de modo a produzir resultados comparveis e reproduzveis Implementar programas de conscientizao e treinamento Gerenciar as operaes do SGSI

No foram apresentados controles. Portanto no Apresentar controles a serem definidos ou j h como medir eficcia destes. implementados. A partir disto podero ser No exigidos documentos que comprovem sua Conformidade eficcia. Maior

Paulo Campos

Felipe Souza

28/11/2010

01/12/2010

4.2.2.e

No foram apresentados documentos para No Conformidade comprovar a existncia de um plano de conscientizao e treinamento Maior

Criar um plano de conscientizao e treinamento e ento criar a documentao necessria para comprovar sua existncia.

Paulo Campos Paulo Campos Paulo Campos

Felipe Souza Felipe Souza Felipe Souza

28/11/2010

01/12/2010

4.2.2.f Gerenciar os recursos para o SGSI 4.2.2.g Implementar procedimentos e outros controles capazes de permitir a pronta deteco de eventos de segurana da informao e resposta a incidentes de segurana da informao

No foi apresentado documento que comprove a Estruturar uma gesto de operao para ento No criar a documentao que ir comprovar a Conformidade gesto de operao do SGSI existncia deste processo. Maior No foi apresentado documento que compre a No Conformidade existncia da gesto de recursos para o SGSI Maior No existe documentao referente a outros procedimentos para permitir a deteco de No Conformidade eventos de segurana da informao Maior Estruturar uma gesto para o SGSI e ento criar a documentao que ir comprovar a existncia deste processo. Criar procedimentos para deteco de eventos de segurana da informao e a partir disto, estruturar a documentao que comprove a sua existncia e aplicao.

28/11/2010

01/12/2010

28/11/2010

01/12/2010

4.2.2.h

Paulo Campos

Felipe Souza

28/11/2010

01/12/2010

Pgina 7 de 15

SEGURANA EM TECNOLOGIA DA INFORMAO DISCIPLINA: SISTEMA DE GESTO DE SEGURANA DA INFORMAO

Prof.: Leonardo Lemes Aluno: Felipe Bubolz, Paulo Campos, Paulo Gino e Maurcio Lus Wecker Verso atual: 1.4

Monitorar e analisar criticamente o SGSI Executar procedimentos de monitorao e anlise crtica e outros controles para: Prontamente detectar erros nos resultados No localizada metodologia de deteco de erros Incluir metodologia de deteco de erros nos No resultados de processamento 4.2.3.a.1 de processamento Conformidade nos resultados de processamento Maior 4.2.3 4.2.3.a Prontamente identificar tentativas e 4.2.3.a.2 violaes de segurana bem-sucedidas, e incidentes de segurana da informao No encontrada metodologia de deteco para No Conformidade violaes bem sucedidas Maior Incluir metodologia de deteco de violaes e incidentes de segurana da informao

Felipe Souza Felipe Souza

Paulo Gino

28/11/2010

01/12/2010

Paulo Gino

28/11/2010

01/12/2010

Permitir direo determinar se as atividades No encontrada metodologia que permita Incluir metodologia para permitir determinar a de segurana da informao delegadas a direo determinar se as atividades de SI delegao de atividades No pessoas ou implementadas por meio de delegadas a pessoas ou implementadas por meio 4.2.3.a.3 Conformidade tecnologias de informao so executadas de tecnologias de informao so executadas Maior conforme esperado conforme esperado Ajudar a detectar eventos de segurana da informao e assim prevenir incidentes de 4.2.3.a.4 segurana da informao pelo uso de indicadores Determinar se as aes tomadas para 4.2.3.a.5 solucionar uma violao de segurana da informao foram eficazes Realizar anlises crticas regulares da eficcia do SGSI (incluindo o atendimento da poltica e dos objetivos do SGSI, e a anlise crtica de controles de segurana), levando em considerao os resultados de auditorias de segurana da informao, incidentes de segurana da informao, resultados da eficcia das medies, sugestes e realimentao de todas as partes interessadas Medir a eficcia dos controles para verificar que os requisitos de segurana da informao foram atendidos Forma de deteco apenas via e-mail de No usurios, sem indicadores. Conformidade Menor Incluir indicares de deteco e desenvolver cultura interna para auxlio de usurios

Felipe Souza

Paulo Gino

28/11/10

01/12/2010

Felipe Souza

Paulo Gino

28/11/2010

01/12/2010

No identificado forma para avaliao de eficcia Incluir metodologia que defina critrios de No avaliao de eficcia Conformidade de aes tomadas Maior No localizado cronograma de anlises crticas regulares da eficcia do SGSI Incluir cronograma de anlises crticas da eficcia do SGSI

Felipe Souza

Paulo Gino

28/11/2010

01/12/2010

4.2.3.b

No Conformidade Maior

Felipe Souza

Paulo Gino

28/11/2010

01/12/2010

4.2.3.c

No localizada metodologia de medio de a No eficcia dos controles para verificar que os Conformidade requisitos de segurana da informao foram Maior atendidos

Incluir metodologia para medio de eficcia dos controles

Felipe Souza

Paulo Gino

28/11/2010

01/12/2010

Pgina 8 de 15

SEGURANA EM TECNOLOGIA DA INFORMAO DISCIPLINA: SISTEMA DE GESTO DE SEGURANA DA INFORMAO

Prof.: Leonardo Lemes Aluno: Felipe Bubolz, Paulo Campos, Paulo Gino e Maurcio Lus Wecker Verso atual: 1.4

Analisar criticamente as anlises/avaliaes de riscos a intervalos planejados e analisar criticamente os riscos residuais e os nveis de riscos aceitveis identificados, levando em considerao mudanas relativas a: Organizao No localizadas evidncias de um cronograma de Incluir cronograma de anlises crticas de anlises criticas de anlises/avaliaes de riscos, riscos residuais, nveis de riscos aceitveis e No riscos residuais e nveis de riscos aceitveis a anlise/avaliao de riscos Felipe Paulo 4.2.3.d.1 Conformidade intervalos planejados para mudanas relativas a 28/11/2010 01/12/2010 Souza Campos Maior organizao. 4.2.3.d

Tecnologias

4.2.3.d.2

No localizadas evidncias de um cronograma de Incluir cronograma de anlises crticas de anlises criticas de anlises/avaliaes de riscos, riscos residuais, nveis de riscos aceitveis e No riscos residuais e nveis de riscos aceitveis a anlise/avaliao de riscos Conformidade intervalos planejados para mudanas relativas a Maior tecnologias.

Felipe Souza

Paulo Campos

28/11/2010

01/12/2010

Objetivos e processos de negcio

4.2.3.d.3

No localizadas evidncias de um cronograma de Incluir cronograma de anlises crticas de anlises criticas de anlises/avaliaes de riscos, riscos residuais, nveis de riscos aceitveis e riscos residuais e nveis de riscos aceitveis a anlise/avaliao de riscos No intervalos planejados para mudanas relativas a Conformidade objetivos e processos de negcios Maior

Felipe Souza

Paulo Campos

28/11/2010

01/12/2010

Ameaas identificadas

4.2.3.d.4

No localizadas evidncias de um cronograma de Incluir cronograma de anlises crticas de anlises criticas de anlises/avaliaes de riscos, riscos residuais, nveis de riscos aceitveis e No riscos residuais e nveis de riscos aceitveis a anlise/avaliao de riscos Conformidade intervalos planejados para mudanas relativas a Maior ameaas identificadas.

Felipe Souza

Paulo Campos

28/11/2010

01/12/2010

Eficcia dos controles implementados

4.2.3.d.5

No localizadas evidncias de um cronograma de Incluir cronograma de anlises crticas de anlises criticas de anlises/avaliaes de riscos, riscos residuais, nveis de riscos aceitveis e riscos residuais e nveis de riscos aceitveis a anlise/avaliao de riscos No intervalos planejados para mudanas relativas a Conformidade eficincia dos controles implementados. Maior

Felipe Souza

Paulo Campos

28/11/2010

01/12/2010

Pgina 9 de 15

SEGURANA EM TECNOLOGIA DA INFORMAO DISCIPLINA: SISTEMA DE GESTO DE SEGURANA DA INFORMAO

Prof.: Leonardo Lemes Aluno: Felipe Bubolz, Paulo Campos, Paulo Gino e Maurcio Lus Wecker Verso atual: 1.4

Eventos externos, tais como mudanas nos ambientes legais ou regulamentares, alteraes das obrigaes contratuais e 4.2.3.d.6 mudanas na conjuntura social

No localizadas evidncias de um cronograma de Incluir cronograma de anlises crticas de anlises criticas de anlises/avaliaes de riscos, riscos residuais, nveis de riscos aceitveis e No riscos residuais e nveis de riscos aceitveis a anlise/avaliao de riscos Conformidade intervalos planejados para mudanas relativas a Maior eventos externos.

Felipe Souza

Paulo Campos

28/11/2010

01/12/2010

4.2.3.e

Conduzir auditorias internas do SGSI a intervalos planejados

No localizadas evidncias de planejamento de No Conformidade auditorias internas do SGSI Maior

Incluir cronograma de auditoria internas do SGSI Incluir cronograma de anlise crtica do escopo do SGSI

Felipe Souza

Paulo Campos

28/11/2010

01/12/2010

4.2.3.f

Realizar uma anlise crtica do SGSI pela No localizado cronograma de anlise crtica do direo em bases regulares para assegurar escopo do SGSI pela direo em bases regulares. No que o escopo permanece adequado e que so Conformidade identificadas melhorias nos processos do SGSI Maior Atualizar os planos de segurana da informao para levar em considerao os resultados das atividades de monitoramento e anlise crtica Manter e melhorar o SGSI Comunicar as aes e melhorias a todas as partes interessadas com um nvel de detalhe apropriado s circunstncias e, se relevante, obter a concordncia sobre como procede No localizado plano de atualizao dos planos No de segurana da informao. Conformidade Maior

Felipe Souza

Paulo Campos

28/11/2010

01/12/2010

Incluir cronograma de anlise crtica do escopo do SGSI

4.2.3.g

Felipe Souza

Paulo Campos

28/11/2010

01/12/2010

4.2.4

4.2.4.c

No identificada forma de comunicao de aes Incluir metodologia de comunicao de aes e melhorias e melhorias No Conformidade Maior No identificadas melhorias do SGSI No Conformidade Maior

Felipe Souza

Paulo Campos

28/11/2010

01/12/2010

4.2.4.d 4.3 4.3.1 4.3.1.a

Assegurar-se de que as melhorias atinjam os objetivos pretendidos Requisitos de documentao Geral Declaraes documentadas da poltica e objetivos do SGSI O escopo do SGSI

Felipe Souza

Paulo Campos

28/11/2010

01/12/2010

No localizado os objetivos do SGSI. No Conformidade Maior Conforme O escopo do SGSI foi definido

Incluir os objetivos do SGSI.

Felipe Souza Felipe Souza

Paulo Campos Paulo Campos

28/11/2010

01/12/2010

4.3.1.b

N/A

28/11/2010

01/12/2010

Pgina 10 de 15

SEGURANA EM TECNOLOGIA DA INFORMAO DISCIPLINA: SISTEMA DE GESTO DE SEGURANA DA INFORMAO

Prof.: Leonardo Lemes Aluno: Felipe Bubolz, Paulo Campos, Paulo Gino e Maurcio Lus Wecker Verso atual: 1.4

4.3.1.c

Procedimentos e controles que apoiam o SGSI Uma descrio da metodologia de anlise/avaliao de riscos O relatrio de anlise/avaliao de riscos O plano de tratamento de riscos Procedimentos documentados requeridos pela organizao para assegurar o planejamento efetivo, a operao e o controle de seus processos de segurana de informao e para descrever como medir a eficcia dos controles Registros requeridos por esta Norma

A identificao de procedimentos e controles No Conformidade que apoiam o SGSI foi feita de maneira superficial Maior Identificada metodologia, porm no h No Conformidade descrio da mesma. Menor Conforme Conforme Identificado relatrio de anlise/avaliao de riscos H um plano para o tratamento de riscos

Definir de maneira mais claro quais os procedimentos e controles que apoiam o SGSI

Felipe Souza Felipe Souza

Maurcio Wecker Maurcio Wecker Maurcio Wecker Maurcio Wecker

28/11/2010

01/12/2010

4.3.1.d

28/11/2010

01/12/2010

4.3.1.e 4.3.1.f

N/A N/A Incluir documentao

Felipe Souza Felipe Souza

28/11/2010 28/11/2010

01/12/2010 01/12/2010

4.3.1.g

No localizada documentao dos procedimentos requeridos para o planejamento No efetivo, a operao e o controle de seus Conformidade processos de SI, bem como descrio de como Maior medir a eficcia dos controles.

Felipe Souza

Maurcio Wecker

28/11/2010

01/12/2010

4.3.1.h A Declarao de Aplicabilidade Controle de documentos Aprovar documentos para adequao antes de sua emisso Analisar criticamente e atualizar, quando necessrio, e reaprovar documentos Assegurar que as alteraes e a situao da reviso atual dos documentos sejam identificadas

No localizados registros requeridos por esta No Conformidade Norma Maior Conforme Identificada Declarao de Aplicabilidade

Incluir registros

Felipe Souza Felipe Souza

Maurcio Wecker Maurcio Wecker

28/11/2010

01/12/2010

4.3.1.i 4.3.2 4.3.2.a

N/A

28/11/2010

01/12/2010

No foram encontrados registros de aprovao No Conformidade Maior Poltica do SGSI especifica que deve ser revisado No Conformidade anualmente, porm processo de reaprovao no foi evidenciado Maior Existe versionamento, porm no possui histrico do mesmo, nem quem alterou e o que No Conformidade alterou no documento. Existe apenas no documento do SGSI e no em seus anexos Maior

Incluir controle de alteraes.

Maurcio Wecker Maurcio Wecker

Felipe Souza Felipe Souza

28/11/2010

01/12/2010

4.3.2.b

Incluir processo de aprovao/reprovao de documentos Implementar em todos documentos do SGSI, incluir campos para identificar alteraes e quem as fez

28/11/2010

01/12/2010

4.3.2.c

Maurcio Wecker

Felipe Souza

28/11/2010

01/12/2010

Pgina 11 de 15

SEGURANA EM TECNOLOGIA DA INFORMAO DISCIPLINA: SISTEMA DE GESTO DE SEGURANA DA INFORMAO

Prof.: Leonardo Lemes Aluno: Felipe Bubolz, Paulo Campos, Paulo Gino e Maurcio Lus Wecker Verso atual: 1.4

4.3.2.e

Assegurar que os documentos permaneam legveis e prontamente identificveis Assegurar que os documentos estejam disponveis queles que deles precisam e sejam transferidos, armazenados e finalmente descartados conforme os procedimentos aplicveis sua classificao

Conforme

Documentao legvel e devidamente identificada

N/A Incluir metodologia para classificao da informao

Maurcio Wecker

Felipe Souza

28/11/2010

01/12/2010

4.3.2.f

A poltica cita no item 2.8 que os itens devem ser classificados e tratados de acordo com norma No especfica, porm no existe norma para isso e Conformidade nem evidncias de classificao das informaes Maior

Maurcio Wecker

Felipe Souza

28/11/2010

01/12/2010

4.3.2.g

Assegurar que documentos de origem externa sejam identificados Assegurar que a distribuio de documentos seja controlada

No foi encontrada nenhuma evidncia de No Conformidade identificao de documentos de origem externa Maior Apesar de a poltica de segurana de informao No citar que foi desenvolvida para este propsito, Conformidade no consta como ela faz isto Maior No existe poltica de descarte de documentos No Conformidade obsoletos ou armazenamento dos mesmos quando saem de utilizao Maior

Incluir metodologia de identificao de documentos externos Incluir metodologia para distribuio de documentos

Maurcio Wecker Maurcio Wecker Maurcio Wecker Maurcio Wecker

Felipe Souza Felipe Souza Felipe Souza Felipe Souza

28/11/2010

01/12/2010

4.3.2.h

28/11/2010

01/12/2010

4.3.2.i

Prevenir o uso no intencional de documentos obsoletos Aplicar identificao adequada nos casos em que sejam retidos para qualquer propsito

Incluir metodologia que contemple o ciclo de vida da informao

28/11/2010

01/12/2010

4.3.2.j

No identificada metodologia de identificao de Incluir metodologia de reteno de No documentos Conformidade documentos retidos Maior

28/11/2010

01/12/2010

Pgina 12 de 15

SEGURANA EM TECNOLOGIA DA INFORMAO DISCIPLINA: SISTEMA DE GESTO DE SEGURANA DA INFORMAO

Prof.: Leonardo Lemes Aluno: Felipe Bubolz, Paulo Campos, Paulo Gino e Maurcio Lus Wecker Verso atual: 1.4

Adicionalmente, o grfico abaixo demonstra de forma resumida o resultado da auditoria.

71% 4% Conformidades (17) NC Maior (49) NC Menor (3)

25%

Pgina 13 de 15

SEGURANA EM TECNOLOGIA DA INFORMAO DISCIPLINA: SISTEMA DE GESTO DE SEGURANA DA INFORMAO

Prof.: Leonardo Lemes Aluno: Felipe Bubolz, Paulo Campos, Paulo Gino e Maurcio Lus Wecker Verso atual: 1.4

2. Concluso
A equipe responsvel pela auditoria do sistema de gesto da segurana da informao da Rexnord Correntes Ltda, com base em seus princpios de conduta tica e independncia, concluiu que o sistema de gesto de segurana da informao da Rexnord Correntes Ltda no est suficientemente em conformidade com a norma ISO27001. Em contrapartida, foram identificados distintos indcios positivos de controles, processos e metodologias que atualmente j apiam o sistema de gesto de segurana da informao da Rexnord. Estes devem ser mantidos. Adicionalmente foram ainda sugeridas algumas oportunidades de melhoria. Sugere-se ainda a reviso dos itens acima e tambm, um posterior agendamento para nova auditoria.

Parecer final: No Conforme

Pgina 14 de 15

SEGURANA EM TECNOLOGIA DA INFORMAO DISCIPLINA: SISTEMA DE GESTO DE SEGURANA DA INFORMAO

Prof.: Leonardo Lemes Aluno: Felipe Bubolz, Paulo Campos, Paulo Gino e Maurcio Lus Wecker Verso atual: 1.4

3. Aprovao
Este documento, anterior sua publicao, foi aprovado pelo auditor lder e a equipe de auditoria, responsveis pelo do parecer final.

__________________________ Felipe Bubolz de Souza Auditor lder ______________________________ Local e Data

__________________________ Paulo Campos Auditor ______________________________ Local e Data

__________________________ Paulo Gino Moreira Auditor ______________________________ Local e Data

__________________________ Maurcio Lus Wecker Auditor ______________________________ Local e Data

Pgina 15 de 15