Diana Lusa Rocha Santos Rita Maria Santos Silva

Segurana da Informao: a Norma ISO/IEC 27000 e ISO/IEC 27001

Trabalho de Segurana de Informao do MCI 2012/2013

Docente: Jos Manuel de Magalhes Cruz

Faculdade de Engenharia da Universidade do Porto Mestrado em Cincia da Informao Dezembro de 2012

Segurana da Informao | FEUP

Resumo

O presente trabalho foi realizado no mbito da unidade curricular de Segurana da Informao e apresenta alguns resultados do estudo de duas normas, a ISO/IEC 27000 e a ISO/IEC 27001. A norma 27000 apresenta algum vocabulrio e definies e a norma 27001 apresenta alguns requisitos que sugerem alguns procedimentos para uma boa Gesto da Segurana da Informao. Dentro da srie 27000 ainda podemos referir as normas 27002 (Cdigo de Prticas), 27003 (Guia de Implementao), 27004 (Mtricas e Medio), 27005 (Directrizes de Gesto de Risco) e 27006 (Directrizes de Servios de Recuperao de Desastres). Neste trabalho vamos focar a nossa ateno na norma ISO/IEC 27000 e 27001, seguindo uma estrutura que abordar as suas aplicaes e objectivos. Apresentaremos tambm as perspectivas de conciliao entre as duas normas, para mostrar a forma como estas se complementam. Por ltimo so apresentadas algumas concluses a alguns casos prticos da aplicao destas normas.

Segurana da Informao | FEUP

Sumrio

1. 1.1. 1.2. 2.

Introduo ................................................................................................................................ 4 Apresentao do Tema ........................................................................................................ 4 Organizao e temas Abordados no Presente Relatrio ..................................................... 4 Segurana da Informao......................................................................................................... 5

2.1 Em que consiste a Segurana da Informao? ........................................................................... 5 2.2. 2.3. 2.3.1. 2.3.2. 2.3.3. 2.3.4. 2.3.5. 2.3.6. 3. 3.1. 3.1.1. 3.2. 4. 4.1. 4.2. 4.3. 5. 6. 7. 8. 9. 9.1. 9.2. 9.3. 9.4. 10. 11. 3 Contextualizao da Segurana da Informao ................................................................... 6 Mecanismos de controlo s ameaas .................................................................................. 6 Controlo de Acesso........................................................................................................... 6 Deteco de Intrusos........................................................................................................ 6 Criptografia....................................................................................................................... 7 Assinatura Digital ............................................................................................................. 7 Proteco de Dados Armazenados .................................................................................. 7 Recuperao de Desastres ............................................................................................... 7

Modelos para a Segurana da Informao: a srie ISO/IEC 27000 .......................................... 8 O que um Sistema de Gesto de Segurana de Informao? ......................................... 10 Viso Geral e Princpios .................................................................................................. 10 A abordagem de processos ................................................................................................ 11 A Norma ISO/IEC 27001 ......................................................................................................... 12 Apresentao ..................................................................................................................... 12 Objectivos........................................................................................................................... 12 Aplicao ............................................................................................................................ 13 Perspectiva de conciliao da Norma ISO/IEC 27000 e 27001 .............................................. 14 A famlia da Norma ISO /IEC 27000 ........................................................................................ 17 Alguns casos prticos da Implementao da Norma ISO/IEC 27001 ..................................... 18 Entidades Certificadoras em Portugual que utilizam a norma ISO/IEC 27001 ...................... 20 Certificao............................................................................................................................. 22 O que a certificao? ....................................................................................................... 22 Como acreditada uma entidade certificadora?............................................................... 22 Quem tem autoridade para certificar as autoridades certificadoras? ............................... 22 O que a certificao de um sistema de gesto? .............................................................. 22 Concluses.......................................................................................................................... 24 Referncias Bibliogrficas .................................................................................................. 25

Segurana da Informao | FEUP

1. Introduo
O objectivo deste trabalho perceber mais profundamente o conceito de Segurana de Informao. Neste contexto pareceu-nos interessante trabalhar com a temtica das Normas ISO/IEC 27000 e ISO/IEC 27001 que consistem em definir um propsito para o desenvolvimento de um Sistema de Gesto de Segurana da Informao (SGSI) nas Organizaes, o que importante tendo em conta a quantidade de informao que actualmente produzida e armazenada nas organizaes. Um SGSI envolve todas as actividades de gesto e as estruturas de suporte gesto relevantes para a segurana da informao.

1.1.

Apresentao do Tema

Actualmente a informao considerada a chave dos negcios de uma organizao, devido sua utilidade e importncia. A problemtica da Segurana da Informao est associada com a crescente dependncia das empresas em Sistemas de Informao e Tecnologias da Informao. Reconhecendo o valor da informao, as organizaes devem certificar-se de que a gerem de forma eficaz. O SGSI permite uma gesto dos riscos da segurana da informao para garantir que a informao no negada nem se tornar indisponvel, no ser perdida, destruda ou danificada, divulgada sem autorizao ou at mesmo roubada.

1.2. Organizao e temas Abordados no Presente Relatrio

Na parte inicial do relatrio vamos descrever a nossa temtica central A Segurana da Informao definindo o seu contexto e o seu propsito. Vamos abordar a questo da proteco da informao, definindo os mecanismos utilizados para este fim como o controlo de acesso, os antivrus, o sistema de deteco de intrusos, o processo de criptografia e assinatura digital, o procedimento de proteco de dados armazenados e as polticas de recuperao de desastres. Seguidamente so apresentadas as normas que estudamos para suportar esta questo da Segurana da Informao: as normas ISO/IEC 27000 e ISO/IEC 27001, definindo os seus objectivos e aplicaes e apresentando as vantagens da conciliao destas normas que induzem a medidas a ter em conta para a Gesto da Segurana da Informao, tais como a anlise e avaliao dos riscos e o modelo PDCA (Plan, Do, Check and Act). Por fim, so descritas algumas concluses da realizao deste trabalho que afirmam a importncia da Segurana da Informao no s para as organizaes, mas em todas as reas de vida de cada indivduo.

Segurana da Informao | FEUP

2. Segurana da Informao 2.1 Em que consiste a Segurana da Informao?

A informao encontra-se nos activos que envolvem a organizao e que tm valor para o seu negcio, pelo que, a proteco da informao deve ser feita tendo em conta estes activos. Os activos podem ser fsicos (arquivos, bibliotecas, cofres que contm informao relevante), tecnolgicos (recursos informticos como sistemas de informao, e-mails, intranets) e humanos (pessoas que fazem parte das actividades das organizaes). A Segurana da Informao consiste em garantir que a informao existente em qualquer formato est protegida contra o acesso por pessoas no autorizadas (confidencialidade), est sempre disponvel quando necessria (disponibilidade), confivel (integridade) e autntica (autenticidade). Beal (2005, p.71) define a Segurana da Informao como o processo de proteger a informao das ameaas para garantir a sua integridade, disponibilidade e confidencialidade. Estes conceitos so vistos como suporte para a Segurana da Informao. Para garantir a segurana das informaes deve ser feita uma Anlise de Risco que identifique todos os riscos que ameacem as informaes, apontando solues que eliminem, minimizem ou transfiram os riscos. As ameaas so aces de origem humana, que quando so exploradas podem gerar vulnerabilidade e produzir ataques, que por sua vez, causam incidentes que comprometem as informaes, provocando perda de confidencialidade, disponibilidade e integridade. As ameaas so todas as situaes que colocam em causa a Segurana da Informao. Uma ameaa pode ser qualquer aco, acontecimento ou entidade que age sobre um activo ou pessoa, atravs de uma vulnerabilidade e consequentemente gera um determinado impacto. As ameaas actuam sobre os activos e so classificadas com as mesmas categorias: ameaas fsicas (normalmente decorrentes de fenmenos naturais), tecnolgicas (normalmente so ataques propositados causados por agentes humanos como hackers, invasores, criadores e disseminadores de vrus, mas tambm por defeitos tcnicos, falhas de hardware e software) e humanas (so consideradas as mais perigosas, podendo ser casos de roubos e fraudes causados por ladres e espies).

Segurana da Informao | FEUP

2.2. Contextualizao da Segurana da Informao

Com a crescente evoluo da Web, a Internet promoveu o acesso a inmeros servios e informaes. Este avano estimulou a proliferao da informao que vista segundo Cosmo (2006, 9.6) como um bem vital responsvel pela formao e desenvolvimento tanto da sociedade erudita como da sociedade contempornea. A informao vem assumindo, cada vez mais, uma posio estratgica para as organizaes, sendo o seu principal patrimnio. Neste sentido, o controlo de acesso s informaes um requisito fundamental nos sistemas das organizaes, visto que actualmente a grande maioria da informao de uma organizao est armazenada e trocada entre os seus mais variados sistemas. A importncia da informao disponibilizada na Internet fez com que houvesse a necessidade de assegurar a sua preservao e integridade, pelo que surge o conceito de Segurana da Informao. muito importante que mecanismos de informao sejam projectados para prevenir acessos no autorizados. Segundo Arajo (2005, p.5) o factor humano o principal desafio para se ter uma boa e segura conduta de Segurana da Informao. Com o aumento das tecnologias e da flexibilidade de acesso a qualquer tipo de informao, cabe aos indivduos demonstrar alguma preocupao quanto segurana e s ameaas de que passam a ser alvo por parte de alguns indivduos mal intencionados.

2.3.

Mecanismos de controlo s ameaas

Na Segurana da Informao existem alguns mecanismos para preservar a informao, de forma a garantir a sua disponibilidade, confidencialidade, integridade e autenticidade, estes mecanismos so designados por mecanismos de controlo s ameaas.

2.3.1. Controlo de Acesso

Este mecanismo permite controlar quais as pessoas autorizadas a entrar em determinado local e regista o dia e hora de acesso, controlando e decidindo as permisses que cada utilizador tem. Um sistema de controlo de acesso constitudo por diferentes equipamentos perifricos de controlo e comando, interligados a uma nica unidade de controlo que permite, em diferentes pontos, vrios acessos.

2.3.2. Deteco de Intrusos

Os sistemas de deteco de intrusos alertam os administradores para a entrada de possveis intrusos nos sistemas. Estes sistemas tentam reconhecer um comportamento/aco intrusiva, atravs da anlise das informaes disponveis num sistema de computao ou rede.

Segurana da Informao | FEUP

2.3.3. Criptografia
A criptografia a arte de codificao que permite a transformao reversvel da informao de forma a torn-la inteligvel a terceiros. Esta utiliza determinados algoritmos numa chave secreta para, a partir de um conjunto de dados no criptografados, produzir uma sequncia de dados criptografados.

2.3.4. Assinatura Digital

Este mecanismo um conjunto de dados criptografados, associados a um documento que garantem a sua integridade e autenticidade. A utilizao da assinatura digital prova que uma mensagem vem de um determinado emissor, porque um processo que apenas o signatrio pode realizar. No entanto, o receptor deve poder confirmar a assinatura feita pelo emissor e a mensagem no pode ser alterada, seno a assinatura no corresponder mais ao documento. A validade de uma assinatura digital verifica-se se esta se basear em certificados emitidos por entidades certificadas credenciadas.

2.3.5. Proteco de Dados Armazenados

Neste mecanismo so utilizados os antivrus que so softwares capazes de detectar e remover arquivos ou programas nocivos. A preocupao com a proteco de dados armazenados faz com que se desenvolvam alguns mtodos para controlar o acesso por pessoas externas, como a criptografia ou a assinatura digital.

2.3.6. Recuperao de Desastres

As catstrofes naturais (incndios, inundaes, terramotos, entre outros) designam-se de desastres e so acontecimentos que podem causar grandes prejuzos, porm, com baixa probabilidade de ocorrncia. No entanto levam-nos necessidade de implementar planos de emergncia, para garantir a preservao dos documentos e a prpria integridade fsica dos colaboradores de uma organizao.

Segurana da Informao | FEUP

3. Modelos para a Segurana da Informao: a srie ISO/IEC 27000

O objectivo da Gesto de Segurana de Informao manter a qualidade das informaes. E a qualidade dessas informaes depende da confidencialidade, integridade e disponibilidade das mesmas. Esse princpio foi desenvolvido de modo a se tornar o padro global de SI: o conjunto de ISO/IEC 27000. A srie ISO 27000 constitui um padro de certificao de sistemas de gesto promovido pelo International Organization for Standardization (ISO), neste caso aplica-se implementao de Sistemas de Gesto de Segurana da Informao (SGSI), atravs do estabelecimento de uma poltica de segurana, de controlos adequados e da gesto de riscos. Esta norma serve de apoio s organizaes de qualquer sector, pblico ou privado, para entender os fundamentos, princpios e conceitos que permitem uma melhor gesto dos seus activos de informao. A famlia de normas da ISO/IEC 27000 inclui padres que definem os requisitos para um SGSI e para a certificao desses sistemas e prestam apoio directo e orientao detalhada para os processos e requisitos do ciclo PDCA. A ISO 27000 contm termos e definies utilizados ao longo da srie 27000. A aplicao de qualquer padro necessita de um vocabulrio claramente definido, para evitar diferentes interpretaes de conceitos tcnicos e de gesto.

Seguidamente sero apresentados alguns dos termos que so definidos na norma:

Controlo de acesso meios para assegurar que o acesso a activos est autorizado e restringido com base no trabalho e em requisitos de segurana; Responsabilidade responsabilidade de uma entidade pelas suas aces e decises; Activos qualquer coisa que tenha valor para a organizao (informao, software, o prprio computador, servios, as pessoas, entre outros); Atacar tentar destruir, alterar, expor, inutilizar, roubar ou obter acesso no autorizado ou fazer uso no autorizado de um activo; Autenticao prestao de garantia de que uma caracterstica reclamada por uma entidade correcta; Autenticidade propriedade que nos diz que uma entidade aquilo que realmente afirma ser; Disponibilidade propriedade de ser acessvel e utilizvel por uma entidade autorizada; Confidencialidade propriedade que garante que a informao no est disponvel ou revelada a indivduos no autorizados, entidades ou processos;

Segurana da Informao | FEUP

Controlar meio de gesto de risco, incluindo as polticas de procedimentos, directrizes, prticas ou estruturas organizacionais, que podem ser de natureza administrativa, tcnica, de gesto ou de natureza legal; Aco correctiva aco para eliminar a causa de uma no conformidade detectada ou outra situao indesejvel; Directriz recomendao do que esperado que seja feito a fim de alcanar um objectivo; Segurana da Informao preservao da confidencialidade, integridade e disponibilidade das informaes Sistema de Gesto de Segurana de Informao parte do sistema de gesto global, com base numa abordagem de risco de negcio, para estabelecer, implementar, operar, monitorizar, rever, manter e melhorar a segurana da informao. Risco de Segurana da Informao potencial que uma ameaa explore uma vulnerabilidade de um activo ou grupo de activos e, assim, causar danos organizao; Integridade propriedade de proteger a exactido de activos; Sistema de Gesto mbito das polticas, procedimentos, directrizes e recursos associados para alcanar os objectivos de uma organizao; Poltica inteno e direco geral como formalmente expressas pela gesto; Processo conjunto de actividades inter-relacionadas ou interactivas que transformam insumos em produtos; Risco- combinao da probabilidade de um evento e das suas consequncias; Evento ocorrncia de um determinado conjunto de circunstncias; Anlise de risco uso sistemtico de informaes para identificar fontes e estimar a ocorrncia de um risco; Gesto de risco actividades coordenadas para dirigir e controlar uma organizao em relao a um determinado risco; Ameaa causa potencial de um incidente indesejado, o que pode resultar em danos para um sistema ou entidade; Vulnerabilidade fraqueza de um activo ou controlo, que pode ser explorado por ameaa.

Segurana da Informao | FEUP

A norma ISO/IEC 27000 tem como principais benefcios:

Estabelecimento de uma metodologia clara de Gesto da Segurana; Reduzir o risco de perda, roubo ou alterao da informao; O acesso informao feito atravs de medidas de segurana; Confiana e regras claras para todos os envolvidos de uma organizao; Aumento de segurana relativamente gesto de processos; Conformidade com a legislao vigente sobre informao pessoal, propriedade intelectual e outras; Os riscos e os seus controlos so continuamente verificados; Garantia de qualidade e confidencialidade comercial.

3.1.

O que um Sistema de Gesto de Segurana de Informao? 3.1.1. Viso Geral e Princpios

Um Sistema de Gesto de Segurana da Informao (SGSI) fornece um modelo para o estabelecimento, implementao, operacionalizao, monitorizao, reviso, manuteno e melhoria da proteco dos activos de informao com vista a alcanar os objectivos propostos por uma organizao com base numa correcta avaliao e gesto dos riscos inerentes a uma organizao. A implementao bem sucedida de um SGSI depende da anlise dos requisitos para a proteco dos activos da informao, assim como dos controlos adequados para garantir essa proteco.

Existem alguns princpios fundamentais para uma boa implementao de um SGSI:

A conscincia da necessidade de segurana da informao; A atribuio de responsabilidades pela segurana da informao; Incorporar o compromisso da gesto e os interesses de todas as partes interessadas; Reforar os valores da sociedade; Avaliar os riscos que determinam os controlos adequados para atingir nveis aceitveis de risco; Preveno activa e deteco de incidentes de segurana da informao; Reavaliao contnua da segurana da informao.

Em termos de segurana da informao, um sistema de gesto permite que a organizao:

Satisfaa os requisitos de segurana de clientes e outros interessados; Melhore os seus planos a actividades; Cumpra os seus objectivos de segurana da informao; Faa uma gesto dos seus activos de informao de uma forma organizada, o que facilita a melhoria contnua.

10

Segurana da Informao | FEUP

3.2.

A abordagem de processos

Um processo a transformao de entradas em sadas que utilizam um conjunto de actividades interrelacionadas ou em interaco. A sada de um processo pode automaticamente dar incio a um novo processo, isto feito normalmente de forma planeada e em condies controladas. Na famlia de normas de SGSI, a abordagem do processo para o SGSI baseia-se na explorao do princpio adoptado nas normas ISO de gesto do sistema, conhecido como processo PDCA: Plan Do Check Act. PLAN - Planear significa estabelecer os objectivos e fazer planos (analisando a situao da organizao, estabelecendo os objectivos e desenvolvendo planos para os alcanar). DO - Os planos so postos em prtica e implementados (fazer o que foi planeado para fazer). CHECK - Verificao dos resultados (monitorizao da realizao dos objectivos planeados). ACT - As actividades so corrigidas e melhoradas (aprender com os erros). A implementao de um SGSI tem como principal resultado a reduo dos riscos de segurana da informao, ou seja, reduzir a probabilidade de ocorrerem incidentes a nvel de segurana da informao e consequentemente reduzir os seus impactos. Um SGSI para ser passvel de ser certificado tem de obedecer a um conjunto de requisitos definidos pela norma ISO/IEC 27001, estes requisitos podem ser classificados como obrigatrios ou selectivos.

11

Segurana da Informao | FEUP

4. A Norma ISO/IEC 27001 4.1. Apresentao

Esta norma foi publicada pelo ISO e pelo IEC em Outubro de 2005. Foi elaborada para especificar os requisitos para o estabelecimento, implementao, operacionalizao, monitorizao, reviso, manuteno e melhoria de um SGSI, dentro do contexto dos riscos de negcio de uma organizao. A certificao no um requisito obrigatrio da norma ISO/IEC 27001, uma deciso da organizao. No entanto, dezoito meses aps a sua publicao mais de 2000 organizaes de mais de 50 pases foram certificadas e o crescimento nesta rea tem vindo a aumentar.

Antes da implementao desta norma num sistema convm pensar em algumas questes: Quanto custar uma falha que implique uma perda efectiva de informao? Quais as consequncias da utilizao da informao por pessoas que dela possam fazer uso indevido e no autorizado? Qual o custo da diminuio da produtividade por erros, falhas de sistema ou utilizao de informao errada? Qual o peso da ocorrncia de incidentes sobre as informaes de uma organizao? Em que se deve fundamentar uma organizao para fazer uma avaliao dos riscos? Quais as principais reas que uma organizao tem de considerar a fim de alcanar uma implementao de SGSI de sucesso?

4.2.

Objectivos

Esta norma foi estabelecida com o mbito de ser utilizada em conjunto com a ISO/IEC 17799 e pretende assegurar a seleco de controlo de segurana adequado e proporcional. As organizaes que optam pela certificao sentem a necessidade de melhorar a segurana das suas informaes devido a uma utilizao cada vez maior de TI e percepo do aumento do risco. A implementao da norma 27001 faz com que as organizaes devam manter o seu foco nas necessidades do negcio e considerar a segurana da informao como parte integrante dos objectivos de negcio para realizar a gesto dos riscos. A norma ISO/IEC 27001 universal para todos os tipos de organizaes (comerciais, governamentais, com ou sem fins lucrativos, entre outras) e especifica os requisitos para a implementao de controlos de segurana personalizados consoante as necessidades de uma organizao.

12

Segurana da Informao | FEUP

4.3.

Aplicao

A certificao em conformidade com a norma ISO/IEC 27001 normalmente envolve um processo de auditoria em duas fases: 1 Fase Reviso linear da documentao chave bem como da poltica de segurana da organizao, declarao de aplicabilidade (SOA) e plano de tratamento de risco (PTR). 2 Fase Realizao de uma auditoria em profundidade envolvendo o controlo do SGSI declarado no SOA e PTR, bem como a documentao de suporte. A renovao do certificado envolve algumas revises peridicas confirmando que o SGSI continua a trabalhar como era desejado.

A norma ISO/IEC 27001 envolve alguns componentes:

1. O Sistema de Gesto de Segurana da Informao: - Estabelecer o SGSI - Implementar e Operar o SGSI - Monitorizar e analisar criticamente o SGSI - Manter e melhorar o SGSI - Requisitos de documentao - Controlo de documentos - Controlo de registos 2. Responsabilidades da direco: - Comprometimento da direco - Gesto de recursos - Proviso de recursos - Treino, consciencializao e competncia 3. Auditorias internas que determinam se um SGSI: - Atende aos requisitos da norma - Atende aos requisitos de segurana identificados - executado conforme esperado Todo o procedimento de uma auditoria documentado e os auditores no podem auditar o seu prprio trabalho, conferindo objectividade e imparcialidade. 4. Anlise crtica do SGSI pela direco: - Entrada: resultado das auditorias e anlises crticas, situao das aces preventivas e correctivas, vulnerabilidades no contempladas adequadamente nas anlises anteriores, resultados, recomendaes e mudanas. - Sada: oportunidade de incluir melhorias e mudanas, modificao do SGSI e das necessidades de recursos. 5. Melhoria do SGSI: - Melhoria contnua atravs do uso da poltica estabelecida, resultados das auditorias, anlise dos eventos monitorizados, aces correctivas (etapas anteriores); - Eliminao das no conformidades atravs de aces correctivas e preventivas.

13

Segurana da Informao | FEUP

5. Perspectiva de conciliao da Norma ISO/IEC 27000 e 27001

Primeiramente necessrio ter-se noo de que no existe segurana absoluta, no possvel eliminar 100% dos riscos e das ameaas. No entanto, um plano de controlo previamente definido pode facilitar estas questes. A norma 27000 surge como uma forma de definir alguns termos e definies para uma futura implementao de um Sistema de Gesto de Segurana da Informao, enquanto a norma 27001 apresenta alguns requisitos que sugerem alguns procedimentos para uma boa Gesto de Segurana da Informao. A Gesto da Segurana da Informao deve ser realizada tendo em conta algumas medidas de controlo sugeridas por ambas as normas o modelo de processo PDCA e o processo de anlise/avaliao e tratamento de riscos.

Modelo PDCA (Plan Do Check Act)

Este modelo baseia-se no controlo dos processos e na verificao dos Sistemas de Segurana da Informao.

PLAN Estabelecer o SGSI

Requisitos e expectativas da Segurana da Informao

Act - Manter e Optimizar o SGSI

Do Implementar e Operar o SGSI

Sistema de Gesto da Segurana da Informao gerido

Check Monitorizar e Rever o SGSI

1 - O Modelo PDCA

14

Segurana da Informao | FEUP

PLAN (PLANEAR) Estabelecimento de polticas, objectivos, processos e procedimentos relevantes para a administrao do risco e para a melhoria da Segurana da Informao. Planeia os resultados de acordo com a estratgia da organizao. DO (FAZER/IMPLEMENTAR/OPERAR) Implementao e operacionalizao das polticas de controlo, processos e procedimentos do Sistema. CHECK (VERIFICAR/MONITORIZAR/REVER) Inspeco da performance dos processos em comparao com as polticas e objectivos de um SGSI. Estes resultados devem ser reportados gesto para anlise. ACT (AGIR/MANTER/OPTIMIZAR) Tomada de aces correctivas e preventivas, baseadas nos resultados das auditorias internas do SGSI e demais informaes provenientes da gesto ou demais fontes relevantes.

O resultado do processo PDCA a correcta gesto dos Sistemas de Segurana da Informao, tendo como base as expectativas e necessidades de uma organizao.

Anlise e avaliao de riscos

A Gesto dos riscos um dos aspectos chave da norma ISO/IEC 27001, uma avaliao dos riscos uma das exigncias desta norma. Como resultado da avaliao de riscos, deve ser feita uma lista dos riscos identificados, classificados em ordem de gravidade para posteriormente serem tomadas medidas. O processo de gesto dos riscos existe devido ao constante surgimento de novas ameaas aptas a explorar as vulnerabilidades dos activos da informao, o que exige que se tomem algumas medidas de preveno. Os resultados da anlise dos riscos devero ajudar a direccionar e determinar quais as aces de controlo mais apropriadas para a gesto desses riscos. A avaliao dos riscos deve ser feita tendo em conta uma anlise de custo-benefcio, para revelar se compensa um risco ser minimizado ou transferido. Em suma, se um risco tem baixa probabilidade de ocorrer e o seu custo de tratamento elevado, no compensa essa tomada de deciso.

15

Segurana da Informao | FEUP

Aps o processo de anlise e avaliao dos riscos, existem vrias opes para o seu tratamento: Aplicar medidas de segurana: escolher as medidas mais apropriadas para reduzir o custo; Aceitar o risco: conhecer e conscientemente aceitar o risco, sabendo que este atenta poltica de segurana da organizao; Evitar o risco: no permitir aces que possam sequer causar a ocorrncia de riscos; Transferir o risco: transferir os riscos associados para outras partes, por exemplo, seguradoras ou fornecedores.

Estas medidas so definidas pela norma ISO/IEC 27002, que d suporte ao desenvolvimento de planos de segurana e orienta de melhor forma a Gesto da Segurana da Informao.

16

Segurana da Informao | FEUP

6. A famlia da Norma ISO /IEC 27000

Dentro da srie 27000 ainda podemos referir as normas 27002 (Cdigo de Prticas), 27003 (Guia de Implementao), 27004 (Mtricas e Medio), 27005 (Directrizes de Gesto de Risco) e 27006 (Directrizes de Servios de Recuperao de Desastres).

A norma ISO 27002 a partir de Julho de 2007 o novo nome da norma ISO 17799. Esta norma um guia de boas prticas que descreve os objectivos de controlo e os controlos recomendados para a Segurana da Informao. A norma ISO 27001 contm alguns anexos que resumem alguns destes controlos.

A norma ISO 27003 aborda algumas directrizes para a implementao de Sistemas de Gesto de Segurana da Informao e contem informaes sobre como usar o modelo PDCA e os requisitos das suas diferentes fases, ou seja, ir fornecer uma abordagem de processos orientada para o sucesso da implementao de um SGSI de acordo com a norma ISO/IEC 27001. A norma ISO 27004 especifica mtricas e tcnicas de medio aplicveis para determinar a eficcia do SGSI, os objectivos de controlo e os controlos usados para implementar e gerir a Segurana da Informao. Estas mtricas so usadas principalmente para medir os componentes da fase CHECK do ciclo PDCA. A norma ISO 27005 estabelece directrizes para a gesto de risco em Segurana da Informao, fornecendo indicaes para implementao, monitorizao e melhoria contnua do sistema de controlos. Para compreendermos melhor esta norma importante perceber os conceitos, modelos e processos descritos nas normas ISO 27001 e ISO 27002. A norma 27005 aplicada a todos os tipos de organizaes que se destinam a gerir os riscos que possam comprometer a segurana das suas informaes. A norma ISO 27006 especifica requisitos e fornece orientaes para os organismos que prestem servios de auditoria e certificao de um SGSI.

17

Segurana da Informao | FEUP

7. Alguns casos prticos da Implementao da Norma ISO/IEC 27001

A norma ISO 27001 j tem um elevado nmero de certificaes distribudas por vrios pases1:

Japo Reino Unido ndia Taiwan China Alemanha Repblica Checa Coreia Estados Unidos da Amrica Itlia Espanha Hungria Malsia Polnia Tailndia Grcia Irlanda ustria Turquia Frana Hong Kong Austrlia Singapura Crocia Eslovnia Mxico Eslovquia Brasil

4152 573 546 461 393 228 112 107 105 82 72 71 66 61 59 50 48 42 35 34 32 30 29 27 26 25 25 24

Holanda Arbia Saudita Emirados rabes Unidos Bulgria Iro Portugal Argentina Filipinas Indonsia Paquisto Colmbia Federao Russa Vietname Islndia Kuwait Canad Noruega Sucia Sua Bahrain Peru Chile Egipto Om Qatar Sri Lanka frica do Sul Repblica dominicana Marrocos

24 24 19 18 18 18 17 16 15 15 14 14 14 13 11 10 10 10 9 8 7 5 5 5 5 5 5 4 4

Blgica Gibraltar Litunia Macau Albnia Bsnia Herzegovina Chipre Equador Nova Jrsia Cazaquisto Luxemburgo Macednia Malta Mauritnia Ucrnia Armnia Bangladesh Bielorrssia Bolvia Dinamarca Estnia Quirguisto Lbano Moldvia Nova Zelndia Sudo Uruguai Imen Total

3 3 3 3 3 2 2 2 2 2 2 2 2 2 2 1 1 1 1 1 1 1 1 1 1 1 1 1 7940

Retirado do site: http://www.iso27001certificates.com

18

Segurana da Informao | FEUP

Processo de Certificao de um Sistema de Gesto de Segurana da Informao

A primeira fase do processo envolve as organizaes, o facto de estarem preparadas para a certificao do seu SGSI: desenvolvimento e implementao do seu SGSI, utilizao e integrao do seu SGSI no seu dia-a-dia e nos seus processos de negcio, formao da sua equipa e estabelecimento de um programa contnuo de manuteno do SGSI. A segunda fase envolve uma auditoria do SGSI da organizao, envolvendo os organismos de certificao acreditados. O certificado concedido tem a durao de trs anos, pelo que a terceira fase do processo passa pelo acompanhamento por parte das entidades certificadoras.

Organismos de Certificao

19

Segurana da Informao | FEUP

8. Entidades Certificadoras em Portugual que utilizam a norma ISO/IEC 27001

APCER (Associao Portuguesa de Certificao) Organismo portugus privado que se dedica certificao de Sistemas de Gesto, Servios, Produtos e Pessoas, de forma a garantir a qualidade e promovendo vantagens competitivas s entidades, pblicas ou privadas, tanto nacionais como internacionais. A APCER certifica organizaes a partir da norma ISO 27001 Tecnologias da Informao, para que estas organizaes tenham um sistema de gesto que protege a sua informao com mecanismos de controlo adequados s suas necessidades e realidade, verificados por uma entidade externa. Atravs da avaliao e gesto do risco este sistema procura garantir a continuidade de negcio e diminuir o impacto de eventuais incidentes de segurana. A APCER tambm se encontra acreditada para a Certificao de Auditores, este processo suportado pela ISO 19011 e constitudo por fases de avaliao distintas:

Avaliao de qualificaes e experincia; Avaliao Escrita e Oral (esta ltima aplicvel apenas aos graus Auditor Coordenador e Auditor).

SGS ICS Entidade Certificadora que pretende formar Auditores experientes e qualificados para cada sector de atividade, o reconhecimento em Portugal e no mundo, uma equipa orientada para acompanhar as organizaes nos seus processos de Certificao, satisfao do cliente e melhoria contnua. A SGS ajuda as organizaes a desenvolver polticas de segurana das informaes e a fazer a gesto de riscos por meio de sistemas e normas como a ISO 27001. DNV - Det Norske Veritas uma fundao independente que tem como principal competncia identificar, avaliar e aconselhar as organizaes para a gesto de risco, sendo o seu foco a segurana e a responsabilidade de melhorar o desempenho das organizaes. Esta entidade utiliza a norma ISO 27001 que o padro de segurana internacional formal contra a qual as organizaes podem procurar a certificao independente do seu SGSI. Ele especifica os requisitos para estabelecer, implementar, operar, monitorizar, rever, manter e melhorar um SGSI, utilizando uma abordagem de melhoria contnua.

20

Segurana da Informao | FEUP

 BVC - Bureau Veritas Certification O Bureau Veritas Certification lder mundial em servios de certificao com mais de 80 000 empresas certificadas em 140 pases e reconhecido por mais de 40 Organismos de Acreditao nacionais e internacionais para a certificao segundo o referencial ISO 9001. Esta entidade certifica tambm de acordo com a norma 27001.

Organizaes com Certificados de SGSI em Portugal2

Nome da Organizao ARENA MEDIA Caixa Econmica de Cabo Verde Departamento de Jogos da Santa Casa da Misericrdia de Lisboa (DJSCML) ENAME S.A. HAVAS SPORT & ENTERTAINMENT INSTITUTO DE INFORMTICA, I.P. INTEGRITY S.A. LATTITUDE Maksen Consulting, S.A. MEDIA CONTACTS MOBEXT MPG ONE TO ONE Ponto.C Desenvolvimento de Sistemas de Informao, Lda. Portugalmail SA TV Cabo Portugal VORTAL COMRCIO ELECTRNICO CONSULTADORIA E MULTIMEDIA SA ZON TV CABO PORTUGAL, SA

Nmero da Certificao 83889CC2-2010-AISIBE-UKAS IS 524281 GB11/82769 83889CC6-2010-AISIBE-UKAS 3896769 GB12/85456 83889CC3-2010-AISIBE-UKAS PT001307 83889CC9-2010-AISIBE-UKAS 83889CC10-2010-AISIBE-UKAS 83889CC13-2010-AISIBE-UKAS 83889CC8-2010-AISIBE-UKAS GB11/83230 12/86073 202194 IS 515264 202194

Entidade Certificadora DNV Bureau Veritas Certiifcation

Norma de Certificao ISO/IEC 27001:2005 ISO/IEC 27001:2005 ISO/IEC 27001:2005 ISO/IEC 27001:2005 ISO/IEC 27001:2005 ISO/IEC 27001:2005 ISO/IEC 27001:2005 ISO/IEC 27001:2005 ISO/IEC 27001:2005 ISO/IEC 27001:2005 ISO/IEC 27001:2005 ISO/IEC 27001:2005 ISO/IEC 27001:2005 ISO/IEC 27001:2005 ISO/IEC 27001:2005 ISO/IEC 27001:2005 ISO/IEC 27001:2005 ISO/IEC 27001:2005

SGS United Kingdom Ltd DNV Bureau Veritas Certiifcation SGS United Kingdom Ltd DNV Bureau Veritas Certiifcation DNV DNV DNV DNV SGS United Kingdom Ltd SGS United Kingdom Ltd Bureau Veritas Certiifcation

Bureau Veritas Certiifcation

Retirado do site: http://www.iso27001certificates.com

21

Segurana da Informao | FEUP

9. Certificao 9.1.
O que a certificao?

A certificao uma declarao formal que exprime a veracidade de terminado contexto. emitida por uma organizao certificadora, organizao essa que tem credibilidade e autoridade moral e legal. Uma das suas exigncias que esta seja formal, isto , deve ser feita seguindo um ritual e ser corporificada num documento3. A certificao segue a avaliao de um determinado processo, sistema ou produto segundo normas e critrios que visa verificar o cumprimento dos requisitos, conferindo um certificado com o direito de uso de uma marca de conformidade associada ao produto ou imagem institucional se os requisitos estiverem plenamente atendidos. Segundo a BSI Brasil, Certificao o processo no qual uma terceira parte acreditada visita uma organizao, audita o seu sistema de gesto e emite um certificado para demonstrar que esta obedece aos princpios definidos na norma e que segue a melhor prtica da indstria. O certificado o documento que corporifica a certificao.

9.2.

Como acreditada uma entidade certificadora?

Todos j sabemos que as organizaes para serem acreditadas em certo servio precisam de ser certificadas por uma entidade superior que as certifique. Esta acreditao de uma entidade certificadora conferida por organismos independentes, que tm como objetivo reconhecer as competncias dessas entidades, num determinado setor ou mbito, ou at um determinado produto de acordo com referncias internacionais j estabelecidas.

Quem tem autoridade para certificar as autoridades certificadoras? Em Portugal, a principal entidade acreditadora, desde 2004 o Instituo Portugus de Acreditao (IPAC). A APCER, tambm uma empresa certificadora em Portugal de elevada relevncia (j mencionada acima).

9.3.

9.4.

O que a certificao de um sistema de gesto?

um processo a partir do qual se verifica e avalia a conformidade do (s) sistema (s) implementados, relativamente norma em referncia, neste caso a ISO 27001 e s organizaes que pretendem obter a certificao. O processo envolve algumas fases onde se pode destacar a Auditoria de Certificao. As empresas com sistemas certificados asseguram uma melhor prestao de servios, porque os seus sistemas esto implementados e a funcionar de acordo com os requisitos da (s) norma (s) de certificao.
3

Segundo a definio de Creditao em Wikipdia. Disponvel em: http://pt.wikipedia.org/wiki/Certifica%C3%A7%C3%A3o

22

Segurana da Informao | FEUP

A certificao uma deciso da organizao, principalmente uma opo estratgica no sentido de evoluir, melhorar e ganhar mercados e exige o envolvimento de diversas partes da organizao. As empresas certificadas tm diversas vantagens: melhoria do prestgio e da imagem; aumento da competitividade e entrada em novos mercados; aumento da confiana dos trabalhadores, clientes e administrao; cultura da melhoria contnua; reduo de custos; preveno e minimizao de aspetos, perigos e de acidentes. A certificao comea a tornar-se uma imposio do mercado nacional e internacional, que muitas vezes impem a condio de determinados produtos estarem certificados para serem colocados no mercado, o que tem crescido bastante com a globalizao. A certificao de uma organizao temporria, todas as normas so reavaliadas periodicamente por deciso do organismo internacional de normalizao e responsvel pela publicao da maior parte dos referenciais normativos reconhecidos internacionalmente (ISO). Os certificados emitidos tm um prazo ao fim do qual todo o processo de certificao reiniciado. Durante cada ciclo de certificao a entidade certificadora faz visitas regulares empresa, no sentido de confirmar que os requisitos continuam a ser cumpridos. A entidade sujeita a avaliaes peridicas durante o perodo de validade dos certificados e o grau de gravidade ou a importncia das no conformidades detetadas no decorrer destas, podem levar suspenso da certificao ou mesmo perda do certificado.

23

Segurana da Informao | FEUP

10.Concluses
Com a realizao deste trabalho percebemos quais os mecanismos de controlo s ameaas, incidindo sobre o controlo de acesso, a deteco de intrusos, a criptografia, a assinatura digital, a proteco de dados armazenados e a recuperao contra desastres. O estudo das normas ISO 27000 e 27001 consiste em perceber os pressupostos relacionados com a Segurana da Informao. Esta temtica actualmente tem bastante importncia, uma vez que se fala muito em ataques de hackers e crackers contra plataformas digitais, tentando aceder a informaes confidenciais. A informao um bem com bastante valor para as organizaes e necessita de ser convenientemente protegida, no sentido de manter a sua confidencialidade, disponibilidade, integridade e autenticidade. Na nossa pesquisa conseguimos analisar as normas com bastante clareza e identificar o que caracteriza cada uma, sendo que a norma ISO 27000 nos d alguns termos e definies e a norma ISO 27001 adopta uma abordagem de processos para o estabelecimento, implementao, operacionalizao, monitorizao, reviso, manuteno e melhoria de um Sistema de Gesto de Segurana da Informao.

24

Segurana da Informao | FEUP

11.Referncias Bibliogrficas
XISEC PUBLICATIONS. Disponvel em: http://www.xisec.com/ISMS_Publications.html COMUINIDADE PORTUGUESA DE SEGURANA DA INFORMAO. Disponvel em: http://ismspt.blogspot.pt/2005/11/organizaes-certificadas-quase-atingir.html CERTIFICATION EUROPE. Disponvel em: http://certificationeurope.com/iso-27001information-security/ INTERNATIONAL REGISTER OF http://www.iso27001certificates.com/ ISMS CERTIFICATES. Disponvel em:

BERALDO, Joo Bosco; CAMARGO, Joo F. F. de; Segurana da Informao. Disponvel em: http://www.bcinfo.com.br/docs/doc4.pdf International Standard ISO/IEC 27001: Information technology -Security techniques Information security management systems Requirements. Disponvel em:http://www.vazzi.com.br/moodle/pluginfile.php/135/mod_resource/content/1/ISOIEC-27001.pdf International Standard ISO/IEC 27000: Information technology -Security techniques Information security management systems Overview and vocabulary. Disponvel em: http://www.dcag.com/images/ISO_IEC_27000.pdf LAUREANO, Marcos; Gesto de Segurana da Informao, 2005. Disponvel em: http://www.mlaureano.org/aulas_material/gst/apostila_versao_20.pdf MOREIRA, Ademilson; A importncia da segurana da informao, 2008. Disponvel em: http://www.oficinadanet.com.br/artigo/1124/a_importancia_da_seguranca_da_inform acao SMOLA, Marcos; A importncia da Gesto da Segurana da Informao. Disponvel em: http://www.lyfreitas.com/artigos_mba/GestaoSegurancaInformacao.pdf SILVA FILHO, Antnio Mendes da; Segurana da Informao: Sobre a Necessidade de Proteo de Sistemas de Informaes in Revista Espao Acadmico, n42, 2004. Disponvel em: http://www.espacoacademico.com.br/042/42amsf.htm

BSI. Disponvel em:http://www.bsibrasil.com.br/sobre/

25

Segurana da Informao | FEUP