TESTE

Sua empresa est em conformidade com a ISO 27002?

O objetivo do teste tem cunho prtico e o objetivo de auxili-lo a perceber o grau de aderncia de sua empresa em relao s recomendaes de Segurana da Informao da NBR ISO/IEC 27002. Ele ir revelar a sua percepo quanto ao grau de conformidade que a organizao tem em relao aos controles sugeridos pelo cdigo de conduta de gesto de segurana da informao definidos pela norma. Instrues Escolha apenas uma resposta para cada pergunta e contabilize os pontos ao final. Sua empresa possui:

POLTICA DE SEGURANA
1. Poltica de segurana? A- Sim B- Sim, porm desatualizada C- No

2. Algum responsvel pela gesto da poltica de segurana?

A- Sim B- Sim, porm no est desempenhando esta funo C- No

SEGURANA ORGANIZACIONAL
3. Infra-estrutura de segurana da informao para gerenciar as aes corporativas? A- Sim B- Sim, porm desatualizada C- No

4.

Frum de segurana formado pelo corpo diretor a fim de gerir

mudanas estratgicas? A- Sim B- Sim, mas no est sendo utilizado atualmente. C- No 5. Definio clara das atribuies de responsabilidade associadas segurana da informao? A- Sim B- Sim, porm desatualizada C- No 6. Identificao dos riscos no acesso de prestadores de servio? A- Sim B- Sim, porm desatualizada C- No 7. Controle de acesso especfico para os prestadores de servio?

A- Sim B- Sim, porm desatualizado C- No 8. Requisitos de segurana dos contratos de terceirizao? A- Sim B- Sim, porm desatualizados C- No

CLASSIFICAO INFORMAO

CONTROLE

DOS

ATIVOS

DE

9. Inventrio dos ativos fsicos, tecnolgicos e humanos? A- Sim B- Sim, porm desatualizado C- No 10. Critrios de classificao da informao? A- Sim B- Sim, porm desatualizados C- No

SEGURANA EM PESSOAS
11. Critrios de seleo e poltica de pessoal? A- Sim B- Sim, porm desatualizados C- No 12. Acordo de confidencialidade, termos e condies de trabalho? A- Sim B- Sim, porm desatualizados C- No 13. Processos para capacitao e treinamento de usurios? A- Sim B- Sim, porm desatualizados C- No 14. Estrutura para notificar e responder aos incidentes e falhas de segurana? A- Sim B- Sim, porm desatualizada C- No

SEGURANA FSICA E DE AMBIENTE

15. Definio de permetros e controles de acesso fsico aos ambientes? A- Sim B- Sim, porm desatualizada C- No 16. Recursos para segurana e manuteno dos equipamentos? A- Sim B- Sim, porm desatualizados C- No 17. Estrutura para fornecimento adequado de energia? A- Sim B- Sim, porm desatualizada C- No 18. Segurana do cabeamento? A- Sim B- Sim, porm desatualizada C- No

GERENCIAMENTO DAS OPERAES E COMUNICAES

19. Procedimentos e responsabilidades operacionais? A- Sim B- Sim, porm desatualizados C- No 20. Controle de mudanas operacionais? A- Sim B- Sim, porm desatualizado C- No 21. Segregao de funes e ambientes? A- Sim B- Sim, porm desatualizada C- No 22. Planejamento e aceitao de sistemas? A- Sim B- Sim, porm desatualizados C- No

23. Procedimentos para cpias de segurana? A- Sim B- Sim, porm desatualizados C- No 24. Controles e gerenciamento de Rede? A- Sim B- Sim, porm desatualizados C- No 25. Mecanismos de segurana e tratamento de mdias? A- Sim B- Sim, porm desatualizados C- No 26. Procedimentos para documentao de sistemas? A- Sim B- Sim, porm desatualizados C- No 27. Mecanismos de segurana do correio eletrnico? A- Sim B- Sim, porm desatualizados C- No

CONTROLE DE ACESSO
28. Requisitos do negcio para controle de acesso? A- Sim B- Sim, porm desatualizados C- No

29. Gerenciamento de acessos do usurio? A- Sim B- Sim, porm desatualizado C- No 30. Controle de acesso rede? A- Sim B- Sim, porm desatualizado C- No 31. Controle de acesso ao sistema operacional? A- Sim B- Sim, porm desatualizado C- No

32. Controle de acesso s aplicaes? A- Sim B- Sim, porm desatualizado C- No 33. Monitorao do uso e acesso ao sistema? A- Sim B- Sim, porm desatualizado C- No 34. Critrios para computao mvel e trabalho remoto? A- Sim B- Sim, porm desatualizados C- No

DESENVOLVIMENTO E MANUTENO DE SISTEMAS

35. Requisitos de segurana de sistemas? A- Sim B- Sim, porm desatualizados C- No

36. Controles de criptografia? A- Sim B- Sim, porm desatualizados C- No 37. Mecanismos de segurana nos processo de desenvolvimento e suporte? A- Sim B- Sim, porm desatualizados C- No

GESTO DA CONTINUIDADE DO NEGCIO

38. Processo de gesto da continuidade do negcio? A- Sim B- Sim, porm desatualizado C- No

CONFORMIDADE
39. Gesto de conformidades tcnicas e legais? A- Sim B- Sim, porm desatualizado C- No

40. Recursos e critrios para auditoria de sistemas? A- Sim B- Sim, porm desatualizado C- No

Tabela de pontuao Some os pontos correspondentes s respostas de acordo com a tabela abaixo: Resposta A: some 2 pontos Resposta B: some 1 ponto Resposta C: no some nem subtraia pontos.

ndices de Conformidade com a norma ISO 17799 Depois de preencher as 40 questes do teste, voc deve ter notado a amplitude dos assuntos abordados pela norma e, obviamente, a complexidade em planejar, implementar e gerir todos os controle de segurana a fim de proteger a confidencialidade, integridade e disponibilidade das informaes. Faz-lo conhecer todos os aspectos envolvidos orientando-o a dimensionar a grandeza dos desafios o primeiro objetivo deste exerccio. Seria ingnuo prometer com este teste o mesmo resultado de uma anlise de riscos mas, atravs dos ndices obtidos com a pontuao final, ser possvel ver o quo distante sua empresa est do que vem sendo considerado referncia nacional e internacional de gesto de segurana da informao.

 bem provvel que sua empresa se saia bem em um ou mais domnios. Esta situao est presente na maioria das organizaes e acontece comumente pela ausncia de um diagnstico abrangente e capaz de integrar o levantamento de ameaas, impactos, vulnerabilidades fsicas, tecnolgicas e humanas, associando-as s reais necessidades do negcio. Sem uma anlise de riscos desse tipo, as aes tornam-se desorientadas, mal priorizadas, redundantes muitas vezes, e assim no pecam por no oferecer o retorno esperado e medido pelo nvel de segurana da empresa. Veja agora a que distncia sua empresa est da conformidade com a norma.

Resultado entre 80-54 Parabns! Sua empresa uma exceo e deve estar em destaque em seu segmento de mercado por conta da abrangncia dos controles que aplica no negcio. Apesar de no podermos ver a uniformidade das aes, distribudas pelos 10 domnios, podemos dizer que sua empresa est conscientizada da importncia da segurana para a sade dos negcios. A situao estar ainda melhor se todas as aes e controles aplicados tiverem sido decididos com base em uma anlise de riscos integrada e ainda sob a gesto de um Security Officer.

Resultado entre 53-27 Ateno! Este resultado pode ter sido alcanado de diversas formas. Sua empresa pode ter adotado quase que a totalidade dos controles, mas a maioria dos quesitos pode estar defasada, desatualizada ou inativa, o que demonstraria um bom nvel de conscincia, mas tambm deficincia na estrutura de gesto ou a falta de flego financeiro para subsidiar os recursos de administrao. Poderia ainda ter parcela representativa dos controles em ordem, deixando os demais inoperantes, ou mesmo inexistentes. Diante disso, conveniente alertarmos para a grande possibilidade de evoluo, bem como a possibilidade de estagnao e de

reduo tendenciosa do nvel de segurana por falta de orientao. Mais uma vez, a ausncia de uma anlise de riscos pode ser a causa para a desorientao dos investimentos e a dificuldade de priorizao das atividades.

Resultado entre 26-0 Cuidado! A situao no confortvel para a empresa. A segurana da informao no est sendo tratada como prioridade e a pontuao indica a ausncia ou ineficcia de muitos dos controles recomendados pela norma. As causas podem ser o desconhecimento dos riscos e a falta de sensibilizao dos executivos e da alta administraoArrisco dizer que seu segmento de mercado no vive um momento muito competitivo ou que a segurana no seja vista por seus clientes como um fator crtico de sucesso por conta da natureza de sua atividade. Outra hiptese que devem estar ocorrendo aes isoladas - de um departamento ou de outro - que apesar de louvveis, no distribuem uniformemente a segurana e acabam por minimizar o aumento do nvel de segurana do negcio. Apesar de tudo, no hora de desanimar. Sempre h tempo de reverter a situao. Comece com uma anlise de riscos e boa sorte.