Certificação 27001

CERTIFICAÇÃO ISO/IEC 27001

Resumo

¾ O presente trabalho tem por objetivo abordar a questão da segurança da informação nas organizações. A Certificação 27001 será discutida dentro desse contexto como uma ferramenta que possibilita fornecer um modelo para o processo de estabelecimento e, posterior, administração de um Sistema de Gestão de Segurança da informação. Algumas diretrizes serão adotadas ao longo do texto para a consecução desse estudo, com a definição dos elementos, da estrutura e dos requisitos exigidos para a implantação da Certificação 27001.

Abstract

¾ The present work has for objective to approach the question of the security guard of the information in the organizations. Certification 27001 will be argued inside of this context as a tool that it makes possible to supply a model the establishment process and, posterior, administration of a System of Management of Security of the information. Some lines of direction will be adopted throughout the text for the achievement of this study, with the definition of the elements, the structure and the requirements demanded for the implantation of Certification 27001.

Palavras-chave ¾ Informação, Segurança da Informação, Certificação 27001.

1. Introdução

Nas últimas décadas, observa-se o crescimento da importância da informação para as organizações. Isso pode ser verificado ao se analisar os diferentes métodos e estratégias utilizados para adquirir, desenvolver e manter o conhecimento. Diante desse cenário, torna-se imprescindível a adoção de ferramentas para auxiliar no processo de preservação da informação. Diversas ameaças surgem e colocam em risco a integridade e segurança dos dados produzidos como pode ser observados nos seguintes casos: falha em algum processo ou método de trabalho; desconhecimento, omissão ou vulnerabilidade na aplicação de mecanismos de segurança e obtenção de conhecimento por parte dos concorrentes. A segurança da informação representa, portanto, um fator crítico de sucesso para a dinâmica de negócio de qualquer tipo de organização. É nesse momento que surge a possibilidade de implantação da Certificação 27001.

A Certificação 27001 foi desenvolvida com o objetivo de fornecer um modelo para o estabelecimento, implantação, operação, monitoramento, revisão, manutenção e melhoria do Sistema de Gestão de Segurança da Informação (SGSI).

Pretende-se com esse estudo realizar uma análise sobre a Certificação 27001. Para o cumprimento desse objetivo, alguns questionamentos serão realizados, a saber: significado, componentes e estrutura da certificação, assim como requisitos necessários para o desenvolvimento.

Na seção 2, alguns conceitos relacionados à informação e a segurança da informação serão listados.

Na seção 3, será abordada a norma ISO 27001. Já no tópico de número 4, os benefícios da certificação ISO 27001 vão ser discutidos. Por fim, na seção 5, será mostrado na conclusão o levantamento das principais observações e resultados alcançados por meio desse estudo.

2. Conceitos

Nesta seção serão abordados alguns conceitos relativos à segurança da informação. Estes conceitos foram retirados de (ISO/IEC 27000, 2009).

2.1 Informação

A informação pode ser entendida como dados que possuem significado para a organização.

2.2 Segurança?

De acordo com Ramos (2006), significa estar livre de incertezas e perigos.

2.3 Segurança da Informação

Este conceito diz respeito à proteção da informação, que está vinculada à preservação de alguns requisitos, como disponibilidade, integridade e confidencialidade.

2.3 Ativos

Ativo pode ser entendido como tudo aquilo que propicia valor para a organização.

2.3 Proteções

São entendidas como estratégias e ações adotadas para que se possa disponibilizar maior segurança para a informação.

2.4 Confidencialidade

Visa garantir que somente as pessoas que possuem direito, ou seja, legitimadas pela organização tenham acesso às informações.

2.5 Integridade

Está relacionada à preservação das características originais da informação. Inclui o controle de mudanças não autorizadas, garantindo, com isso, o ciclo de vida (criação, manutenção e destruição).

2.6 Disponibilidade

Característica fundamental, pois assegura que a informação deve sempre estar disponível para as pessoas que possuem direito de acesso.

3. Certificação ISO 27001

De acordo com Zafenate (2007), a norma ISO/IEC 27001, publicada em 2005 pelo International Organization for Standardization e International Electrotechnical Commision, foi elaborada para servir de referencial no que diz respeito ao gerenciamento da segurança da informação.

3.1 Definição e Objetivos da Certificação 27001

A certificação pode ser adotada por todos os tipos de organizações, como por exemplo, empreendimentos comerciais, agências governamentais, organizações sem fins lucrativos. Esta Norma especifica os requisitos para estabelecer, implantar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negócio globais da organização. Especifica também requisitos para a criação de controles de segurança personalizados para as necessidades individuais das organizações ou das partes.

O SGSI é projetado para assegurar a seleção de controles de segurança adequados para proteger os ativos de informação e propiciar confiabilidade para as partes interessadas.

3.2 Estrutura da Certificação 27001

Esta Norma promove a adoção da metodologia de processo para estabelecer, implantar, operar, analisar, manter e melhorar o Sistema de Gestão de Segurança da Informação (SGSI) de uma organização.

Uma organização precisa identificar e gerenciar diversas atividades para funcionar efetivamente. Qualquer atividade que faz uso de recursos e os gerencia para proceder à transformação de entradas (insumos) em saídas (produtos ou serviços) pode ser considerada com um processo. Freqüentemente a saída de um processo é utilizada para a construção da entrada do processo seguinte.

A determinação de um sistema de processos, aliada à identificação e interação destes com a posterior gestão, constitui a abordagem de processo que é utilizada no desenvolvimento da certificação.

A abordagem de processo para a gestão da segurança da informação, evidenciada nesta norma, prioriza o entendimento de algumas questões por parte dos integrantes da organização, que podem ser vistas a seguir, baseado em ABNT NBR ISO/IEC 27001 (2006):

1) Conhecimento dos requisitos de segurança da informação de uma organização e também da necessidade de definição de políticas de segurança;

2) Definição e gerenciamento dos controles de segurança, tendo em vista os riscos que frequentemente podem causar diversos problemas para as organizações;

3) Acompanhamento e análise do desempenho e eficácia do SGSI;

4) Atualização contínua das etapas baseada em análises objetivas.

A Certificação 27001 adota o modelo PDCA, do Inglês Plan, Do, Check e Action, que em uma tradução para o português significa: Planejamento, Execução, Verificação e Ação. Esse modelo é usado para organizar todos os processos do SGSI.

A 1, vista em ABNT NBR ISO/IEC 27001 (2006), revela como um SGSI considera os requisitos de entradas de segurança da informação e as expectativas das partes interessadas, e como as ações e processos de segurança da informação produzidos resultam no atendimento dessas expectativas e requisitos.

O planejamento é a etapa do PDCA responsável pelo estabelecimento da política, dos processos e objetivos do SGSI. Essas atividades são importantes para a administração das ameaças e definição de melhorias para a segurança da informação.

A execução é a etapa do PDCA onde ocorre a implantação e operação da política, dos controles e procedimentos do SGSI.

A etapa de verificação é necessária para a avaliação dos processos implantados e, posterior, apresentação dos resultados obtidos para a direção.

Na Ação, ocorre a aplicação de medidas preventivas e corretivas, baseadas nos resultados da auditoria que é realizada no SGSI e também por meio da análise crítica promovida pela direção, sempre tendo em vista a melhoria progressiva do SGSI.

3.3 Requisitos para a implantação da Certificação 27001

De acordo com ABNT NBR ISO/IEC 27001 (2006), existem diversos passos que, ao serem seguidos possibilitam o preenchimento dos requisitos necessários para a obtenção da certificação ISO 27001. Logo abaixo são abordados alguns requisitos:

Estabelecimento do SGSI:

a) Definição da estrutura e dos limites do SGSI nos termos das características do negócio, organização, localização, ativos e tecnologia.

b) Definição de uma política para o SGSI nos termos das características do negócio, organização, localização, ativos e tecnologia.

c) Definir da forma de análise/avaliação de riscos da organização.

d) Identificação de riscos.

e) Análise dos riscos.

f) Identificação e definição de ações para o tratamento de riscos.

g) Filtrar objetivos de controle para o tratamento de riscos.

h) Conseguir aprovação da direção dos riscos residuais propostos.

i) Conseguir autorização da direção para implantar e operar o SGSI.

j) Elaborar uma Declaração de Aplicabilidade.

Implantação e operação do SGSI:

a) Criação de um plano de tratamento de riscos para identificar medidas de gestão adequada, recursos, responsabilidades e prioridades para a gestão dos riscos de segurança.

b) Implantação de uma plano de resolução de riscos para atingir os objetivos de controle identificados, que abarquem questões como financiamentos e atribuição de papéis e responsabilidades.

c) Implementação dos controles selecionados para atender aos objetivos de controle.

d) Especificação de mecanismos para medir a eficiência dos controles ou grupos de controles adotados, assim como especificar como estes mecanismos serão usados para avaliar a eficácia dos controles com vistas a obter resultados positivos..

e) Implantar ações de conscientização e treinamento.

f) Administra as tarefas do SGSI.

g) Administrar os recursos do SGSI.

Monitorar e analisar criticamente o SGSI

a) Realizar ações de monitoramento e análise crítica dos controles.

b) Fazer análises periódicas sobre a eficiência do SGSI.

c) Mensurar a eficiência dos controles para analisar se os requisitos de segurança da informação foram atendidos.

d) Mensurar de forma crítica a análise sobre os riscos.

e) Realizar procedimentos de auditoria interna no SGSI.

f) Fazer uma análise crítica do SGSI segundo os julgamentos da direção.

g) Atualizar os mecanismos implantados para a segurança da informação.

Manter e melhorar o SGSI

a) Implantar as ações corretivas necessárias para elevar a qualidade do SGSI.

b) Aplicar os mecanismos de prevenção e também correção apropriados.

c) Divulgar os mecanismos de melhorias para todos os que estão envolvidos no SGSI.

d) Certificar-se de que as ações de melhoria cumpram todos os objetivos desejados.

3.4 Por que implantar um SGSI?

Diante da importância da informação, faz-se necessário investir em mecanismos de segurança para que os atributos fundamentais da informação (disponibilidade, integridade e confidencialidade) possam ser devidamente alcançados. A informação é o bem valioso para qualquer organização, e como tal, deve estar protegida. Caso não seja dada a devida importância, a organização estará vulnerável a uma grande quantidade de ameaças.

3.5 Importância da Segurança da Informação

Vemos no gráfico abaixo, retirado de (ISO 27001 Security, 2009), a evolução do número de certificações ISO 27001 emitidas ao longo dos anos no mundo.

Gráfico 1: Evolução do número de certificações ISO 27001 no mundo.

O gráfico acima revela a evolução do número de certificações ISO/IEC 27001 obtidas ao longo do período de julho de 2005 até abril de 2009, totalizando quase seis mil certificações.

A certificação não é obrigatória. No entanto, está sendo exigida cada vez mais dos fornecedores e dos sócios comerciais das organizações, A certificação ISO/IEC 27001 traz diversos benefícios, assim como a cerificação da série ISO 9000. O tratamento mais organizado e seguro da informação agrega vantagens comerciais, visto que, contribui para elevar a imagem da organização.

A tabela abaixo, retirado de (ISO 27001 Security, 2009), traz o número de certificações ISO/IEC 27001 emitidas por país.

Japan

3273

France

12

Peru

3

India

477

Netherlands

12

Vietnam

3

UK

401

Saudi Arabia

12

Belgium

2

Taiwan

331

Pakistan

11

Isle of Man

2

China

205

Singapore

11

Kazakhstan

2

Germany

120

Norway

10

Morocco

2

Korea

102

Russian Federation

10

Portugal

2

USA

95

Slovenia

10

Ukraine

2

Czech Republic

82

Sweden

9

Argentina

1

Hungary

65

Slovakia

8

Armenia

1

Italy

57

Bahrain

6

Bangladesh

1

Poland

40

Indonesia

6

Belarus

1

Spain

37

Kuwait

6

Bosnia Herzegovina

1

Austria

31

Switzerland

6

Denmark

1

Hong Kong

31

Canada

5

Kyrgyzstan

1

Australia

29

Colombia

5

Lebanon

1

Ireland

29

Croatia

5

Lithuania

1

Mexico

28

South Africa

5

Luxembourg

1

Malaysia

26

Sri Lanka

5

Macedonia

1

Brazil

23

Bulgaria

4

Mauritius

1

Greece

22

Qatar

4

Moldova

1

Turkey

21

Chile

3

New Zealand

1

Thailand

20

Egypt

3

Sudan

1

UAE

18

Gibraltar

3

Uruguay

1

Romania

16

Iran

3

Yemen

1

Philippines

15

Macau

3

Iceland

13

Oman

3

Total

5822

Tabela 1: Número de certificações ISO/IEC 27001 por país.

4. Controles existentes na certificação ISO 27001

A ISO 27001 cita vários controles de segurança. Nestes controles são definidas orientações para proteger a organização. Logo abaixo, alguns controles serão apresentados, segundo ABNT NBR ISO/IEC 27001 (2006).

Os objetivos de controles e controles podem ser resumidos em:

Política de segurança da informação (SI) para documentação e análise crítica da política de segurança da informação. É uma orientação para a segurança da informação, observando as regras de negócio da organização e suas regulamentações.

Na parte de infra-estrutura, faz o gerenciamento da segurança da informação dentro da organização. Desta forma, temos o comprometimento da direção e coordenação da SI, atribuição de responsabilidades, requisitos para confiabilidade para proteção da informação.

Para manter a segurança dos recursos de processamento da informação, é essencial a identificação dos riscos para que controles apropriados possam ser aplicados para a proteção dos sistemas.

A responsabilidade pelos ativos é um dos itens de controle de gestão de ativos. Visa alcançar e manter a proteção adequada dos ativos da organização, identificando-se os ativos importantes e criando-se regras para utilização de informações associadas aos recursos de processamento da informação.

Para evitar acesso físico não autorizado, a ISO/IEC 27001 recomenda a utilização de perímetros de segurança para proteção das áreas críticas, controles de entrada física, proteção contra ameaças externas e do meio ambiente.

Devem ser estabelecidas políticas de controle de acesso tomando-se como base os requisitos de acesso dos negócios e da SI. Os privilégios de uso devem ser restritos e controlados.

Visando a continuidade do negócio, relativos à SI, é feita uma análise/avaliação de risco, identificando qualquer evento que possa causar interrupção dos negócios da organização. Deve-se estruturar um plano de continuidade para assegurar consistência a todos os planos organizacionais.

Deve-se assegurar a proteção de dados e privacidade da informação pessoal conforme legislações relevantes e/ou regulamentações contratuais.

5. Benefícios da certificação ISO 27001

Com a certificação, as organizações têm a oportunidade de identificar e eliminar deficiências; participação da gerência na Segurança da Informação; revisão do SGSI; melhor consciência da segurança.

Uma certificação confere maior credibilidade à organização, possibilitando com isso, o reconhecimento e respeito perante as demais empresas do mercado. De acordo com ABNT NBR ISO/IEC 27001 (2006), a certificação ISO27001 habilita uma organização a demonstrar para qualquer um dos clientes que os sistemas de informação existentes são seguros. Um certificado tem validade de até 03 (três) anos.

Referências

ABNT NBR ISO/IEC 27001:2006. http://books4share.net/?p=8516 . Publicado em 2006. Acesso em 03 de novembro de 2009.

ISO 27001 Security. “ISO/IEC 27001”. Publicado em 2009. [disponível on -line: http://www.iso27001security.com/html/27001.html]. Acessado em: 02 de novembro de 2009.

RAMOS, Anderson(org). Security Officer -1: guia oficial para formação de gestores em segurança da informação. Porto Alegre, RS: Zouk, 2006.

VERDI, L. “Sistema de Gerenciamento da Segurança da Informação”. VCE Consult, 2007. [disponível on-line: http://www.vceconsult.com.br/projetosbs.htm]. Acessado em: 26 de outubro de 2009.

ZAFENATE, D. “ISO 27001 - ISMS - Information Security Management System”. Oficina da Net, Novembro, 2007. Publicado em 2009. [disponível on-line: http://www.oficinadanet.com.br/artigo/589/iso_27001_-_isms_-_information_security_management_system]. Acessado em: 26 de outubro de 2009.

Please be aware that the free essay that you were just reading was not written by us. This essay, and all of the others available to view on the website, were provided to us by students in exchange for services that we offer. This relationship helps our students to get an even better deal while also contributing to the biggest free essay resource in the UK!