Sistemas de Gestão e Segurança da Informação Apresentado por: Djulles Ikeda Osnir F Cunha Introdução Neste mundo virtual globalizado, e cada vez mais competitivo, a informação é o maior patrimônio que uma organização pode possuir, se deseja manter-se competitiva. Considerada um ativo estratégico para o negócio da organização, a informação deve receber uma maior atenção no que tange ao seu tratamento, devendo ser protegida e gerenciada quanto ao seu armazenamento e tramitação, evitando que pessoas indesejadas a acessem. SGSI – Definição Um Sistema de Gestão de Segurança da Informação é um conjunto de regras e normas adotado por uma empresa, com o intuito de garantir a segurança de suas informações quanto a controles, perdas, roubos, alterações e consultas indevidas. ABRANGENCIA DO SGSI A delimitação da abrangência é muito importante para o auditor, pois é por meio desta que se consegue constatar as responsabilidades dos envolvidos. BENEFICIOS DO SGSI 1. 2. 3. 4. 5. 6. 7. 8. 9. Conhecimento dos riscos de segurança dos ambientes e processos de negócio suportados Identificação de possíveis fatores de perda e prejuízo Otimização do planejamento de segurança com um Plano de Ação consistente, integrado e priorizado com base nos riscos identificados; Implantação de controles, reduzindo os riscos identificados, mediante o estabelecimento de nível de segurança adequado à criticidade dos processos de negócio envolvidos; Fortalecimento da imagem diante dos clientes, funcionários, fornecedores e parceiros; Formalizar as regras de segurança do negócio; Possibilitar a criação de políticas e procedimentos com o objetivo de direcionar os usuários finais e membros da área de TI quanto às melhores práticas de uso da informação. Estabelecer futuros critérios para adoção e manutenção de controles de segurança. Prover uma maior disponibilidade dos serviços de TI da organização. PATROCINADORES E COMITE A escolha dos “patrocinadores” é fundamental para o sucesso da implantação de um Sistema de Gestão de Segurança de Informação (SGSI) em uma organização. É por meio deles que se obtêm o respaldo para a implantação do SGSI, tornando viável a tomada de ações decorrentes da aplicação do sistema. Geralmente, são escolhidos como patrocinadores profissionais da alta direção da organização, além de outras pessoas-chave da área do negócio. CONCEITOS-CHAVE Sanções: regras têm de ser cumpridas e, a cada não cumprimento, uma sanção pode ser aplicada. Todas as regras devem ter os riscos associados ao seu não cumprimento muito bem documentados, bem como têm necessidade de deixar claros as sansões possíveis de aplicação. MECANISMOS DE CONTROLE “Não se gerencia o que não se mede não se mede o que não se define, não se define o que não se entende, não há sucesso no que não se gerencia” (William Edwards Deming). Métricas Em vista da diversidade de atividades executadas, quando se desenvolve e implanta um SGSI, naturalmente este processo implica ao gestor responsável pela missão a necessidade de gerenciar diversos mecanismos de controles implementados em diversas plataformas e em vários ambientes organizacionais. Surge, então, a necessidade iminente de responder algumas questões: Como podemos saber se o nível atual de segurança está no patamar requerido para o nosso negócio? Como medir o nível de eficácia dos controles atuais frente aos riscos identificados? Definição Métricas em um SGSI são medidas estipuladas com base em metas a serem atingidas, as quais são comparadas aos resultados obtidos durante a sua operação de um SGSI. Um método bastante importante no SGSI é o Benchmarking. Tipos de métricas Mediante uma diversidade de métricas, devemos escolher as mais adequadas a cada caso. Como exemplo de acompanhamento das métricas, podemos citar: Benchmarking de pesquisas de sobre segurança da informação; Resultados de pesquisas internas de avaliação do SGSI; Gestão de incidentes de segurança. Passo a passo para o estabelecimento de métricas. 1. 2. 3. 4. 5. 6. 7. 8. 9. Métrica deve conter o nome da métrica e a descrição da escala que será usada. Escopo da métrica descreve o que deve ser medido. Por exemplo: o processo ou controles do ISMS e quais partes do processo ou controles. Propósito e objetivo defini o propósito da métrica, quais as metas e objetivos devem ser atingidos Método de medição descreve como a medição será realizada, por exemplo, usando cálculo, fórmula ou porcentagens. Frequência da medição descreve a periodicidade da medição. Por exemplo: mensal, semanal, diário etc. Origem dos dados e procedimento de coleta defini de onde os dados serão coletados e quais métodos são usados para a coleta. Indicadores contem os indicadores usados para otimizar a métrica e definir o seu propósito e como eles são entendidos e podem ser aplicados. Data da medição e responsável descreve a data da medição e a pessoa responsável por esta ação. Nível da efetividade alcançada contem o resultado e a data da medição Causas do não-cumprimento Este campo deve conter as causas do nãocumprimento dos objetivos, indicadores etc. Coleta de resultados A atividade de medir demanda recursos e, obviamente, tempo para a coleta e análise dos resultados. Por esta razão, as métricas devem fazer sentido e ser coerentes, além de alinhadas aos objetivos a serem alcançados. Fatores-chave de sucesso Conhecer o objetivo a ser alcançado; Conhecer as metas a serem alcançadas; Coletar os resultados em tempo hábil; Apresentar resultados válidos e confiáveis; Criar métricas que permitam monitorar o SGSI; Desenvolver metas desafiadoras. ALINHAMENTO DO SGSI COM O NEGOCIO DA EMPRESA O SGSI tem de estar alinhado com os negócios da empresa em relação a estratégias de negócio, competitividade, atuação no mercado, relação com clientes e fornecedores, dentre outros. O momento atual e o futuro pretendido devem estar alinhados com as normas e regras do SGSI. RISCOS Os riscos devem ser mensurados e constados no SGSI e estar bem claros para todos os envolvidos, assim como para a alta gerência. O auditor tem de constatar se os riscos estão contemplados pelo SGSI e se condizem com a realidade. IMPLANTAÇÃO DO SGSI Antes de realizar a implantação do SGSI, é preciso checar se o mesmo condiz com as medidas e as regras condizentes, por sua vez, com a natureza da segurança da informação de que a empresa necessita. EXECUÇÃO DO SGSI O auditor tem que conferir detalhadamente as normas contidas no SGSI e verificar in loco se estão sendo cumpridas. O não cumprimento do SGSI representa um risco de alto nível. Pior que não ter um SGSI é ter um que não é cumprido, é ter a sensação que as informações estão protegidas, quando não estão. ACOMPANHAMENTO DO SGSI O acompanhamento deve existir e um relatório deve ser divulgado constantemente a todos os envolvidos, inclusive os erros e ajustes que se fizeram necessários devem constar aí. Para que o SGSI não seja relegado a segundo plano, justifica-se a importância do acompanhamento, Curiosidades Após a implantação do Sistema de Gestão da Segurança da Informação e após ter realizadopelo menos um ciclo de auditoria interna e pelo menos uma análise crítica pela direção aempresa pode solicitar a realização da Pré-auditoria para verificar o nível de adequação ànorma em questão. Japan 22 South Africa 4 UK 4061 Netherlands 549 Slovenia 21 Belgium 3 India 545 Bulgaria 18 Gibraltar 3 C hina 504 Iran 18 Macau 3 Taiwan 459 Philippines 16 Albania 2 Germany 209 Argentina 14 Bosnia Herzegovina 2 C zech Republic 111 Pakistan 14 C yprus 2 Korea 106 Russian Federation 14 Ecuador 2 USA 104 Saudi Arabia 14 Jersey 2 Italy 86 Vietnam 14 Kazakhstan 2 Spain 77 Iceland 13 Luxembourg 2 Hungary 70 Indonesia 13 Macedonia 2 Poland 62 C olombia 12 Malta 2 Malaysia 58 Kuwait 11 Ukraine 2 Thailand 55 C anada 10 Mauritius 2 Ireland 50 Norway 10 Armenia 1 Austria 44 Portugal 10 Bangladesh 1 Romania 35 Sweden 10 Bolivia 1 Greece 32 Switzerland 9 Belarus 1 Hong Kong 32 Bahrain 8 Denmark 1 Australia 29 C hile 5 Kyrgyzstan 1 Singapore 29 Egypt 5 Lebanon 1 Turkey 29 Oman 5 Moldova 1 Mexico 28 Peru 5 New Zealand 1 C roatia 27 Qatar 5 Sudan 1 Slovakia 27 Sri Lanka 5 Uruguay 1 France 26 Dominican Republic 4 Yemen 1 Brazil 24 Morocco 4 UAE 20 Lithuania 4 Total 7840 Certification Body Standard BS 7799-2:2002 or Name of the Organization Country Certificate Number Atos Origin Brasil Ltda Brazil IS 98429 Axur Information Security Brazil IS 509742 BT BT Global Services Sao Paulo SOC/NOC Cardif do Brasil Vida e Previdencia S/A CIP Camara Interbancaria de Pagamentos Fucapi-Fundacao Brazil LRQ 4003984 IBM ITD Brazil Brazil Módulo Security Solutions S/A Poliedro - Informática, Consultoria e Serviços Ltda. Prodesp Brazil Brazil IS 512881 ISO/IEC 27001:2005 Promon Engenharia Ltda. Brazil IS 500248 ISO/IEC 27001:2005 Promon Tecnologia Ltda Brazil IS 500564 ISO/IEC 27001:2005 Samarco Mineração S/A. Brazil IS 524157 ISO/IEC 27001:2005 SERASA S.A. Serviço Federal de Processamento de Dados - SERPRO Superior Tribunal de Justiça Brazil 262326 ISMS ISO/IEC 27001:2005 Brazil IS 515421 ISO/IEC 27001:2005 Brazil IS 538457 ISO/IEC 27001:2005 Telefonica Empresas S/A Brazil IS 501039 ISO/IEC 27001:2005 Tivit Tecnologia da Informacao S.A. TIVIT TERCEIRIZAÇÃO DE TECNOLOGIA E SERVIÇOS S.A. T-Systems Brazil Brazil 00017-2006-AIS-OSL-NA DNV ISO/IEC 27001:2005 Brazil 16203-2007-AIS-BRA-NA DNV ISO/IEC 27001:2005 Brazil 336227 ISMS ISO/IEC 27001:2005 T-Systems do Brasil Ltda. Brazil 341898 ISMS ISO/IEC 27001:2005 UNISYS Global Outsourcing Brazil IS 97102 ISO/IEC 27001:2005 Zamprogna S/A Importacao Brazil IS 518855 ISO/IEC 27001:2005 ISO/IEC 27001:2005 ISO/IEC 27001:2005 ISO/IEC 27001:2005 Brazil LRQA ISO/IEC 27001:2005 4003984 LRQA ISO/IEC 27001:2005 Brazil IS 521855 ISO/IEC 27001:2005 Brazil IS 96934 ISO/IEC 27001:2005 Brazil IS 504391 ISO/IEC 27001:2005 62.691 Bureau Veritas Certification - Brazil IS 510466 Brazil ISO/IEC 27001:2005 ISO/IEC 27001:2005 44121081309 ISO/IEC 27001:2005