Sistemas de Gestão e
Segurança da Informação
Apresentado por: Djulles Ikeda
Osnir F Cunha
Introdução
 Neste mundo virtual globalizado, e cada vez
mais competitivo, a informação é o maior
patrimônio que uma organização pode
possuir, se deseja manter-se competitiva.
Considerada um ativo estratégico para o
negócio da organização, a informação deve
receber uma maior atenção no que tange ao
seu tratamento, devendo ser protegida e
gerenciada quanto ao seu armazenamento e
tramitação, evitando que pessoas
indesejadas a acessem.
SGSI – Definição
 Um Sistema de Gestão de Segurança da
Informação é um conjunto de regras e
normas adotado por uma empresa, com o
intuito de garantir a segurança de suas
informações quanto a controles, perdas,
roubos, alterações e consultas indevidas.
ABRANGENCIA DO SGSI
 A delimitação da abrangência é muito
importante para o auditor, pois é por meio
desta que se consegue constatar as
responsabilidades dos envolvidos.
BENEFICIOS DO SGSI
1.
2.
3.
4.
5.
6.
7.
8.
9.
Conhecimento dos riscos de segurança dos ambientes e processos
de negócio suportados
Identificação de possíveis fatores de perda e prejuízo
Otimização do planejamento de segurança com um Plano de Ação
consistente, integrado e priorizado com base nos riscos identificados;
Implantação de controles, reduzindo os riscos identificados, mediante
o estabelecimento de nível de segurança adequado à criticidade dos
processos de negócio envolvidos;
Fortalecimento da imagem diante dos clientes, funcionários,
fornecedores e parceiros;
Formalizar as regras de segurança do negócio;
Possibilitar a criação de políticas e procedimentos com o objetivo de
direcionar os usuários finais e membros da área de TI quanto às
melhores práticas de uso da informação.
Estabelecer futuros critérios para adoção e manutenção de controles
de segurança.
Prover uma maior disponibilidade dos serviços de TI da organização.
PATROCINADORES E COMITE
 A escolha dos “patrocinadores” é
fundamental para o sucesso da implantação
de um Sistema de Gestão de Segurança de
Informação (SGSI) em uma organização. É
por meio deles que se obtêm o respaldo para
a implantação do SGSI, tornando viável a
tomada de ações decorrentes da aplicação
do sistema. Geralmente, são escolhidos
como patrocinadores profissionais da alta
direção da organização, além de outras
pessoas-chave da área do negócio.
CONCEITOS-CHAVE
 Sanções: regras têm de ser cumpridas e, a
cada não cumprimento, uma sanção pode
ser aplicada. Todas as regras devem ter os
riscos associados ao seu não cumprimento
muito bem documentados, bem como têm
necessidade de deixar claros as sansões
possíveis de aplicação.
MECANISMOS DE CONTROLE

“Não se gerencia o que não se mede não
se mede o que não se define, não se define o
que não se entende, não há sucesso no que
não se gerencia” (William Edwards Deming).
Métricas
 Em vista da diversidade de atividades
executadas, quando se desenvolve e
implanta um SGSI, naturalmente este
processo implica ao gestor responsável pela
missão a necessidade de gerenciar diversos
mecanismos de controles implementados em
diversas plataformas e em vários ambientes
organizacionais.
Surge, então, a necessidade iminente de
responder algumas questões:
 Como podemos saber se o nível atual de
segurança está no patamar requerido para o
nosso negócio?
 Como medir o nível de eficácia dos controles
atuais frente aos riscos identificados?
Definição
 Métricas em um SGSI são medidas
estipuladas com base em metas a serem
atingidas, as quais são comparadas aos
resultados obtidos durante a sua operação
de um SGSI.
 Um método bastante importante no SGSI é o
Benchmarking.
Tipos de métricas
 Mediante uma diversidade de métricas,
devemos escolher as mais adequadas a
cada caso.
 Como exemplo de acompanhamento das
métricas, podemos citar:



Benchmarking de pesquisas de sobre
segurança da informação;
Resultados de pesquisas internas de
avaliação do SGSI;
Gestão de incidentes de segurança.
Passo a passo para o estabelecimento
de métricas.
1.
2.
3.
4.
5.
6.
7.
8.
9.
Métrica deve conter o nome da métrica e a descrição da escala que será
usada.
Escopo da métrica descreve o que deve ser medido. Por exemplo: o
processo ou controles do ISMS e quais partes do processo ou controles.
Propósito e objetivo defini o propósito da métrica, quais as metas e
objetivos devem ser atingidos
Método de medição descreve como a medição será realizada, por exemplo,
usando cálculo, fórmula ou porcentagens.
Frequência da medição descreve a periodicidade da medição. Por exemplo:
mensal, semanal, diário etc.
Origem dos dados e procedimento de coleta defini de onde os dados serão
coletados e quais métodos são usados para a coleta.
Indicadores contem os indicadores usados para otimizar a métrica e definir
o seu propósito e como eles são entendidos e podem ser aplicados.
Data da medição e responsável descreve a data da medição e a pessoa
responsável por esta ação.
Nível da efetividade alcançada contem o resultado e a data da medição
Causas do não-cumprimento Este campo deve conter as causas do nãocumprimento dos objetivos, indicadores etc.
Coleta de resultados
 A atividade de medir demanda recursos e,
obviamente, tempo para a coleta e análise
dos resultados. Por esta razão, as métricas
devem fazer sentido e ser coerentes, além de
alinhadas aos objetivos a serem alcançados.
Fatores-chave de sucesso






Conhecer o objetivo a ser alcançado;
Conhecer as metas a serem alcançadas;
Coletar os resultados em tempo hábil;
Apresentar resultados válidos e confiáveis;
Criar métricas que permitam monitorar o
SGSI;
Desenvolver metas desafiadoras.
ALINHAMENTO DO SGSI COM O
NEGOCIO DA EMPRESA
 O SGSI tem de estar alinhado com os
negócios da empresa em relação a
estratégias de negócio, competitividade,
atuação no mercado, relação com clientes e
fornecedores, dentre outros. O momento
atual e o futuro pretendido devem estar
alinhados com as normas e regras do SGSI.
RISCOS
 Os riscos devem ser mensurados e
constados no SGSI e estar bem claros para
todos os envolvidos, assim como para a alta
gerência. O auditor tem de constatar se os
riscos estão contemplados pelo SGSI e se
condizem com a realidade.
IMPLANTAÇÃO DO SGSI
 Antes de realizar a implantação do SGSI, é
preciso checar se o mesmo condiz com as
medidas e as regras condizentes, por sua
vez, com a natureza da segurança da
informação de que a empresa necessita.
EXECUÇÃO DO SGSI
 O auditor tem que conferir detalhadamente
as normas contidas no SGSI e verificar in
loco se estão sendo cumpridas. O não
cumprimento do SGSI representa um risco de
alto nível. Pior que não ter um SGSI é ter um
que não é cumprido, é ter a sensação que as
informações estão protegidas, quando não
estão.
ACOMPANHAMENTO DO SGSI
 O acompanhamento deve existir e um
relatório deve ser divulgado constantemente
a todos os envolvidos, inclusive os erros e
ajustes que se fizeram necessários devem
constar aí. Para que o SGSI não seja
relegado a segundo plano, justifica-se a
importância do acompanhamento,
Curiosidades
 Após a implantação do Sistema de Gestão da
Segurança da Informação e após ter
realizadopelo menos um ciclo de auditoria
interna e pelo menos uma análise crítica pela
direção aempresa pode solicitar a realização
da Pré-auditoria para verificar o nível de
adequação ànorma em questão.
Japan
22 South Africa
4
UK
4061 Netherlands
549 Slovenia
21 Belgium
3
India
545 Bulgaria
18 Gibraltar
3
C hina
504 Iran
18 Macau
3
Taiwan
459 Philippines
16 Albania
2
Germany
209 Argentina
14 Bosnia Herzegovina
2
C zech Republic
111 Pakistan
14 C yprus
2
Korea
106 Russian Federation
14 Ecuador
2
USA
104 Saudi Arabia
14 Jersey
2
Italy
86 Vietnam
14 Kazakhstan
2
Spain
77 Iceland
13 Luxembourg
2
Hungary
70 Indonesia
13 Macedonia
2
Poland
62 C olombia
12 Malta
2
Malaysia
58 Kuwait
11 Ukraine
2
Thailand
55 C anada
10 Mauritius
2
Ireland
50 Norway
10 Armenia
1
Austria
44 Portugal
10 Bangladesh
1
Romania
35 Sweden
10 Bolivia
1
Greece
32 Switzerland
9 Belarus
1
Hong Kong
32 Bahrain
8 Denmark
1
Australia
29 C hile
5 Kyrgyzstan
1
Singapore
29 Egypt
5 Lebanon
1
Turkey
29 Oman
5 Moldova
1
Mexico
28 Peru
5 New Zealand
1
C roatia
27 Qatar
5 Sudan
1
Slovakia
27 Sri Lanka
5 Uruguay
1
France
26 Dominican Republic
4 Yemen
1
Brazil
24 Morocco
4
UAE
20 Lithuania
4 Total
7840
Certification Body
Standard BS 7799-2:2002 or
Name of the Organization
Country Certificate Number
Atos Origin Brasil Ltda
Brazil
IS 98429
Axur Information Security
Brazil
IS 509742
BT
BT Global Services Sao Paulo
SOC/NOC
Cardif do Brasil Vida e Previdencia S/A
CIP Camara Interbancaria de
Pagamentos
Fucapi-Fundacao
Brazil
LRQ 4003984
IBM ITD Brazil
Brazil
Módulo Security Solutions S/A
Poliedro - Informática, Consultoria e
Serviços Ltda.
Prodesp
Brazil
Brazil
IS 512881
ISO/IEC 27001:2005
Promon Engenharia Ltda.
Brazil
IS 500248
ISO/IEC 27001:2005
Promon Tecnologia Ltda
Brazil
IS 500564
ISO/IEC 27001:2005
Samarco Mineração S/A.
Brazil
IS 524157
ISO/IEC 27001:2005
SERASA S.A.
Serviço Federal de Processamento de
Dados - SERPRO
Superior Tribunal de Justiça
Brazil
262326 ISMS
ISO/IEC 27001:2005
Brazil
IS 515421
ISO/IEC 27001:2005
Brazil
IS 538457
ISO/IEC 27001:2005
Telefonica Empresas S/A
Brazil
IS 501039
ISO/IEC 27001:2005
Tivit Tecnologia da Informacao S.A.
TIVIT TERCEIRIZAÇÃO DE
TECNOLOGIA E SERVIÇOS S.A.
T-Systems Brazil
Brazil
00017-2006-AIS-OSL-NA DNV
ISO/IEC 27001:2005
Brazil
16203-2007-AIS-BRA-NA DNV
ISO/IEC 27001:2005
Brazil
336227 ISMS
ISO/IEC 27001:2005
T-Systems do Brasil Ltda.
Brazil
341898 ISMS
ISO/IEC 27001:2005
UNISYS Global Outsourcing
Brazil
IS 97102
ISO/IEC 27001:2005
Zamprogna S/A Importacao
Brazil
IS 518855
ISO/IEC 27001:2005
ISO/IEC 27001:2005
ISO/IEC 27001:2005
ISO/IEC 27001:2005
Brazil
LRQA
ISO/IEC 27001:2005
4003984 LRQA
ISO/IEC 27001:2005
Brazil
IS 521855
ISO/IEC 27001:2005
Brazil
IS 96934
ISO/IEC 27001:2005
Brazil
IS 504391
ISO/IEC 27001:2005
62.691 Bureau Veritas Certification - Brazil
IS 510466
Brazil
ISO/IEC 27001:2005
ISO/IEC 27001:2005
44121081309
ISO/IEC 27001:2005