UNIVERSIDADE DE ARARAQUARA – UNIARA MBA

EM GESTÃO DE TECNOLOGIA DA INFORMAÇÃO

PÓS-GRADUAÇÃO A DISTÂNCIA

CURSO

CONTROL OBJECTIVES FOR INFORMATION AND

RELATED TECHNOLOGY (COBIT)

PROF. RENATA MIRELLA FARINA

ESTUDANTE

WILLIAM RENE ESTEPA ROMERO

CÓDIGO DO ALUNO 51519-003

ATIVIDADE TAREFA Nº10

“Produtos do ITGI”

BOGOTÁ D.C., COLÔMBIA

01 DE ABRIL DE 2019
Atividade Tarefa nº 10 - Janeiro 2019

Fazer uma pesquisa sobre o framework do ISO 27002, demonstrando suas vantagens e
como ele se integra com o COBIT.

A NORMA ISSO 27002

A ISO / IEC 27002 (anteriormente conhecida como ISO 17799) é um padrão para segurança
da informação publicado pela International Organization for Standardization e pela
International Electrotechnical Commission. A versão mais recente é a ISO / IEC 27002: 2013.
Precedentes e evolução histórica
A norma ISO / IEC 17799 tem origem na norma britânica BS 7799-1, publicada pela primeira
vez em 1995. Em 2000, a International Organization for Standardization e a International
Electrotechnical Commission publicaram a norma ISO / IEC 17799: 2000, com o título de
Tecnologia da Informação - Técnicas de Segurança - Código de Prática para Gestão da
Segurança da Informação. Após um período de revisão e atualização do conteúdo da norma,
o documento modificado ISO / IEC 17799: 2005 foi publicado em 2005.
Com a aprovação da ISO / IEC 27001 em outubro de 2005 e a reserva do número 27.000 para
Segurança da Informação, a norma ISO / IEC 17799: 2005 foi renomeada para ISO / IEC 27002
em 2007.
Diretrizes padrão
A ISO / IEC 27002 fornece recomendações de melhores práticas em gerenciamento de
segurança da informação para todas as partes interessadas e responsável por iniciar,
implementar ou manter sistemas de gerenciamento de segurança da informação. A segurança
da informação é definida na norma como "a preservação da confidencialidade (garantindo que
somente aqueles que são autorizados podem acessar as informações), a integridade
(garantindo que as informações e seus métodos de processamento sejam precisos e
completos) e a disponibilidade ( garantindo que os usuários autorizados tenham acesso às
informações e seus recursos associados quando necessário) ".
A versão de 2013 da norma descreve os seguintes quatorze domínios principais:
1. Políticas de Segurança: Sobre as diretrizes e conjunto de políticas para segurança da
informação. Revisão de políticas para segurança da informação.
2. Organização da Segurança da Informação: trata da organização interna: atribuição de
responsabilidades relacionadas à segurança da informação, segregação de funções,
contato com as autoridades, contato com grupos de interesses especiais e segurança
da informação na gestão. de projetos.
3. Segurança dos Recursos Humanos: Inclui aspectos a serem considerados antes,
durante e para a cessação ou mudança de trabalho. Antes de contratar, sugere-se
investigar o histórico dos candidatos e a revisão dos termos e condições dos contratos.
Durante a contratação, é proposto lidar com questões de responsabilidade de gestão,
conscientização, educação e treinamento em segurança da informação. No caso de
demissão ou mudança de emprego, medidas de segurança também devem ser
tomadas, como a ativação ou atualização de privilégios ou acesso.
4. Gestão de Ativos: Esta parte desempenha a responsabilidade sobre os ativos
(inventário, uso aceitável, propriedade e retorno de ativos), a classificação de
informações (orientações, rotulagem e manuseio, movimentação) e lidar com os media
armazenamento (gerenciamento de mídia removível, remoção e mídia física em
trânsito).
5. Controle de Acesso: Refere-se aos requisitos da organização para controle de acesso,
gerenciamento de acesso do usuário, responsabilidade do usuário e controle de acesso
a sistemas e aplicativos.
6. Criptografia: Versa em controles como políticas para o uso de controles de criptografia
e gerenciamento de chaves.
7. Física e Ambiental Segurança: Discute o estabelecimento de zonas de segurança
(perímetro de segurança física, controles de entrada físicos, escritórios de segurança,
escritório e recursos, proteção contra ameaças externas e ambientais, o trabalho em
áreas seguras e áreas de acesso público) e a segurança do equipamento (localização
e proteção de equipamentos, instalações de fornecimento, segurança de fiação,
manutenção de equipamentos, ativos fora do local, segurança de equipamentos e ativos
fora do local, reutilização ou remoção de equipamentos de armazenamento ,
 equipamento de usuário desacompanhado e política de local de trabalho e bloqueio de
tela).
8. Segurança das Operações: procedimentos e responsabilidades; proteção contra
malware; abrigo; registro de atividades e monitoramento; controle de software
operacional; gestão de vulnerabilidades técnicas; coordenação da auditoria de sistemas
de informação.
9. Segurança de Comunicações: gerenciamento de segurança de rede; gestão de
transferências de informação.
10. Aquisição de sistemas, desenvolvimento e manutenção: requisitos de segurança de
sistemas de informação; segurança nos processos de desenvolvimento e suporte;
dados para testes.
11. Relações com Fornecedores: segurança da informação nas relações com fornecedores;
gestão da prestação de serviços pelos fornecedores.
12. Gestão de Incidentes que afetam a Segurança da Informação: gerenciamento de
incidentes que afetam a segurança da informação; melhorias.
13. Aspectos de Segurança da Informação para a Gestão da Continuidade dos Negócios:
continuidade da segurança da informação; despedimentos.
14. Conformidade: cumprimento dos requisitos legais e contratuais; revisões de segurança
da informação.

Dentro de cada seção, os objetivos dos diferentes controles para segurança da informação
são especificados. Para cada um dos controles, um guia para sua implementação também é
indicado. O número total de controles soma 114 entre todas as seções, embora cada
organização deva primeiro considerar quantas serão realmente aplicáveis de acordo com suas
próprias necessidades.

COMO ISSO 27002 SE INTEGRA COM O COBIT

O COBIT (publicado pelo ITGI) é uma estrutura de alto nível (relativa ao ITIL, ISO 27002 e
NIST) que mapeia os processos centrais de TI de forma a permitir que órgãos governamentais
- geralmente executivos de negócios - executem com sucesso políticas e procedimentos
chaves Como a ISO 27002, ela responde ao 'o que' está sendo tratado, ao contrário do 'como'
respondido pelo ITIL. No entanto, enquanto o ITIL e o ISO 27002 se concentram apenas na
segurança da informação, o COBIT permite um escopo muito mais amplo, levando em
consideração todos os processos de gerenciamento de TI.

O COBIT é um bom candidato quando uma organização deseja criar uma estrutura para toda
a organização para gerenciamento que é delimitada fora da segurança da informação apenas.
Embora não forneça credenciamento direto, a certificação pode ser obtida por meio de
caminhos estreitamente alinhados.

A certificação associada à ISO 27002 fornece reconhecimento e aceitação em todo o mundo,

portanto, as organizações que desejam operar em fronteiras internacionais podem achar a
implementação e a certificação vantajosas. Além disso, algumas empresas certificadas pela
ISO 27001 exigem que os parceiros também sejam certificados.

Por tanto, uma combinação dos dois é geralmente a melhor abordagem. O COBIT pode ser
usado para determinar se as necessidades da empresa estão sendo adequadamente
suportadas pelo IT.ISO podem ser usadas para determinar e melhorar a postura de segurança
da empresa. E o ITIL pode ser usado para melhorar os processos de TI para atender aos
objetivos da empresa (incluindo segurança).