ISO 27001/ISO 22301 documents, presentation decks and implementation guidelines


Free_Downloads
 

Have a question on ISO 27001 or ISO 22301?

Ask an Expert
 

Free eBook

Free eBook 9 Steps to Cybersecurity
 
Becoming Resilient: The Definitive Guide to ISO 22301 Implementation
 
Newsletter
 
Sign up for our free Newsletter and as bonus you'll receive my tips on how to launch an information security and business continuity project.
 
 
 
 
 
 

Recent Posts

 
    

UPCOMING FREE WEBINAR

    

 
ISO 27001 benefits: How to obtain management support

    

Wednesday
April 23, 2014

    Register_now_green
    
 
 
 

Os mais populares posts do blog ISO 27001 & ISO 22301

ByDejan Kosutic on March 26, 2014

Este é o meu centésimo post no blog! Quando eu comecei este blog a quatro anos atrás, nunca sonhei que teria tantas coisas sobre o que escrever… E agora, quanto mais eu escrevo, mais ideias eu tenho – agora mesmo, eu tenho ao menos 10 novos tópicos em mente.

Mas desta vez eu não escreverei algo novo; talvez esta seja uma boa ocasião para resumir os mais populares artigos deste blog. Então aqui estão eles:

Artigo gerais sobre segurança da informação e continuidade de negócio:

Artigos sobre ISO 27001:

Artigos sobre ISO 22301:

Caso você deseje receber novos posts do blog automaticamente, inscreva-se em nosso informativo ISO 27001 & ISO 22301 ou RSS feed. E agora, vamos rumo ao artigo número 200!

Nós agradecemos a Rhand Leal pela tradução para o português.


Qual seguir – Cybersecurity Framework ou ISO 27001?

ByDejan Kosutic on February 25, 2014

Em 12 de Fevereiro de 2014, o National Institute of Standards and Technology (NIST) publicou o “Framework for Improving Critical Infrastructure Cybersecurity”, comumente conhecido como Cybersecurity Framework. Se você já trabalhou com a ISO 27001 deve estar imaginando: O que este Framework tem a ver com a ISO 27001? Deveria usar um ao invés do outro? Qual é o melhor para a minha organização?

Visão geral

O Cybersecurity Framework vem decorente da ordem executiva “Improving Critical Infrastructure Cybersecurity”, de 2013, do presidente dos EUA, e originalmente era destinado para as organizações dos EUA que eram consideradas parte da infraestrutura crítica. Contudo, ele é adequado para uso por qualquer organização que enfrente riscos de cibersegurança, e é voluntário.

A ISO/IEC 27001 é uma norma de segurança da informação publicada em 2005 e revisada em 2013, publicada pela International Organization for Standardization (ISO). Embora não seja obrigatória, ela é aceita em vários países como um dos principais de facto frameworks para implementação de segurança da informação / cibersegurança. Ele descreve o sistema de gestão de segurança da informação, e coloca a segurança no contexto geral da gestão e dos processos em uma organização.

O que o Cybersecurity Framework e a ISO 27001 tem em comum?

Mais importante, tanto o Cybersecurity Framework quanto a ISO 27001 fornecem uma metodologia sobre como implementar a segurança da informação ou a cibersegurança em uma organização. Na verdade, você poderia implementar a segurança da informação de acordo com quaisquer um deles, e você provavelmente obteria bons resultados.

Ambas são neutras em termos de tecnologia, aplicáveis a qualquer tipo de organização (não apenas para aquelas que são parte da infraestrutura crítica), e ambas tem o propósito de atingir benefícios de negócio ao mesmo tempo em que observam requisitos regulatórios e legais, além de requisitos de todas as partes interessadas.

E, talvez a maior similaridade, seja que ambas são baseadas em gestão de riscos: isto significa que ambas requerem que a implementação de salvaguardas somente seja feita se riscos de cibersegurança forem detectados.

O que o Framework possui que a ISO 27001 não tem?

O que eu realmente gosto no Cybersecurity Framework é sua estrutura clara quando se trata de planejamento e implementação – Eu devo admitir que é melhor do que a ISO 27001 neste respeito:

O Framework Core encontra-se dividido em Funções (Identificar, Proteger, Detectar, Responder, e Recuperar), e então em 22 Categorias relacionadas (e.g., Gestão de ativos, Gestão de riscos, etc. – muito similar as seções do Anexo A da ISO 27001), 98 Subcategorias (muito similar aos controles do Anexo A da ISO 27001), e para cada subcategoria diversas referências são feitas para outros frameworks tais como ISO 27001, COBIT, NIST SP 800-53, ISA 62443 e CCS CSC. Desta forma, é muito fácil ver o que são os requisitos para a cibersegurança, onde encontrá-los e como implementá-los.

O Framework Implementation Tiers (Parcial, Informado sobre o Risco, Repetível e Adaptativo) explica quão profundamente a implementação da cibersegurança deveria ir. Desta forma, uma organização pode facilmente decidir até onde ela quer chegar com sua implementação, levando em conta os requisitos das várias partes interessadas.

O Framework Profile (e.g., Profile Atual, Profile Alvo) facilmente ilustra onde a organização encontra-se no momento, em relação as categorias e subcategorias do Framework Core, e onde ela quer chegar. Desta forma, é muito fácil ver onde as lacunas estão, e então planos de ação podem ser desenvolvidos para eliminar essas lacunas.

Adicionalmente, o Framesita Profiles podem ser utilizados para definir requisitos mínimos para outras organizações – e.g., fornecedores ou parceiros, e tal técnica infelizmente não existe na ISO 27001.

De modo geral, o Cybersecurity Framework capacita a alta administração, engenheiros e outras equipes de TI a entender facilmente o que é para ser implementado, e onde as lacunas estão.

Onde a ISO 27001 é melhor

Uma das maiores vantagens da ISO 27001 é que organizações podem ser certificadas por ela – isto significa que uma organização pode provar aos seus clientes, parceiros, acionistas, agências governamentais e outros, que ela pode de fato manter suas informações seguras.

Adicionalmente, a ISO 27001 é uma norma reconhecida e aceita internacionalmente – se uma organização dos EUS quer provar sua capacidade para seus clientes, parceiros e agências governamentais fora do Estados Unidos, a ISO 27001 será bem melhor dos que Cybersecurity Framework.

A ISO 27001 se concentra em proteger todos os tipos de informação, não apenas aquelas armazenadas ou processadas em sistemas de TI. É verdade que informações em papel tem cada vez menos importância, mas para algumas organizações tais informações ainda podem representar ricos significativos.

Diferentemente do Cybersecurity Framework, a ISO 27001 define claramente quais documentos e registros são necessários, e quais os mínimos que devem ser implementados. Veja também o artigo Lista de documentos obrigatórios requeridos pela ISO 27001 (revisão de 2013).

Finalmente, se o Framework se concentra apenas em como planejar e implementar a cibersegurança, a ISO 27001 utiliza uma abordagem muito mais ampla– sua metodologia é baseada no ciclo PDCA, o que significa que ela constrói um sistema de gestão que não apenas planeja e implementa a cibersegurança, mas que também mantém e melhora todo o sistema. Isto porque a prática tem mostrado que não basta apenas planejar e implementar um sistema, porque sem medições constantes, revisões, auditorias, ações corretivas e melhorias, tal sistema irá gradualmente se deteriorar e finalmente perder o seu propósito. Saiba mais aqui: Lista de verificação para implementação da ISO 27001.

Cybersecurity Framework ou ISO 27001?

Bem, eu diria que não é uma questão de “um ou outro” – me parece que seria melhor combinar os dois. (A propósito, o Cybersecurity Framework sugere que ele pode ser facilmente complementado por outros programas ou sistemas, e a ISO 27001 já se provou ser um bom framework guarda-chuva para diferentes metodologias de segurança.)

O Cybersecurity Framework é melhor quando ele vem para estruturar áreas de segurança que estão para serem implementadas e quando o propósito é definir exatamente os perfis de segurança que devem ser atingidos; a ISO 27001 é melhor para se obter uma imagem holística: para projetar um sistema dentro do qual a segurança pode ser gerenciada no longo prazo.

Desta forma, eu entendo que os melhores resultados podem ser atingidos se o projeto de toda a segurança da informação / cibersegurança fosse definido de acordo com a ISO 27001 (cláusulas 4, 5, 7, 9 e 10), e o Cybersecurity Framework fosse utilizado quando do levantamento de riscos e da implementação de áreas e salvaguarda de cibersegurança em particular. Claro que a prática irá mostrar como o Cybersecurity Framework funciona na vida real, e se este tipo de combinação faz sentido. Qual a sua opinião?

Para um melhor entendimento sobre como implementar a cibersegurança, veja este eBook gratuito 9 Steps to Cybersecurity.

Nós agradecemos a Rhand Leal pela tradução para o português.


Estudo de caso da ISO 27001 para data centers: Uma entrevista com Goran Djoreski

ByDejan Kosutic on October 30, 2013

DK: Mais de uma ano e meio se passou desde que você foi certificado pela ISO 27001 – quais são suas impressões? Valeu a pena?

GD: Definitivamente valeu a pena, uma vez que uma certificação ISO 27001 não é necessariamente uma vantagem competitiva, mas sim uma necessidade. O contexto da estória toda é que estamos tentando atender mercados sujeitos a regulamentações. Estamos falando da indústria farmacêutica. Telecomunicações, indústria financeira, e talvez no futuro indústrias de alimentos e similares, e todos eles são extremamente regulados, e em uma conversa com eles você descobre que a ISO 27001 é algo que eles esperam, caso contrário eles não querem conversar com você. Então ninguém diria que vale a pena porque a certificação traz clientes para nós; ao invés disso, ela nos permite entrar em um mercado que de outro modo estaria fechado para nós.

DK: Por que tantos clientes em potencial estão dando ênfase a ISO 27001; Por que esta norma é aceita como necessária?

GD: Para eles a ISO 27001 frequentemente não é o bastante. Ela é necessária, mas não suficiente. Mas com a ISO 27001 eles estabelecem uma patamar inicial, algo do tipo: “Agora nós podemos começar a conversar.” Se uma empresa tem um certificado ISO 27001, eles assumem que alguns critérios básicos são atendidos, e após isso, eles estão realmente interessados em seus anexos específicos. Adicionalmente, o processo da ISO 27001 encurta a auditoria deles – que passa a durar apenas dois dias, ao invés de seis.

DK: Então a ISO 27001 é na verdade considerada uma linha de base.

GD: Exato, uma linha de base.

DK: Há alguma outra norma sendo considerada, que poderia ser uma linha de base para estes compradores em potencial?

GD: Não, eu diria que a ISO 27001 é o principal requisito. Em particular, a indústria financeira considera a PCI DSS, mas uma vez que somos uma infraestrutura de data center, nós não nos aprofundamos em seus dados e transações quando entregamos a infraestrutura, e caso a PCI DSS fosse considerada, tudo não relacionado a infraestrutura está fora do escopo para nós. Então eles esperam que com a certificação ISO 27001 nós tratemos aqueles capítulos da PCI DSS que são relevantes para a infraestrutura. Eles não pedem pela ISO 9001 porque em geral eles assumem que se temos a certificação ISO 27001, a ISO 9001, que é importante para eles, já está incluída.

DK: Se eu entendi bem o seu negócio, você primariamente alugam infraestrutura, e então não manuseiam os dados propriamente ditos?

GD: Na maioria dos casos é desta forma sim.

DK: Quão benéfica é a certificação ISO 27001 para você como um provedor de serviços de infraestrutura, considerando que esta norma tem um foco em informação?

GD: Eu diria que a ISO 27001 não é baseada apenas em informação, mas também em tudo que ajuda a garantir a segurança e transferência desta informação, e tudo necessário para fazer com que a informação esteja disponível, seja autêntica, etc. De fato, a informação por si só não pode existir fora de uma infraestrutura.

DK: Recentemente, a tendência tem sido cada vez mais e mais em direção das estruturas em nuvem; quão útil é a ISO 27001 considerando esta tendência, ou ela está mais para um obstáculo? Ela pode ser um obstáculo de fato, uma vez que organizações utilizando serviços em nuvem na verdade perdem o controle sobre seus dados.

GD: Na verdade ão. Se nós pensarmos a nuvem da forma como ela é utilizada pelos grandes provedores – como a Amazon AWS, Rackspace ou similares – eles possuem nuvens altamente industrializadas, e possuem um conjunto padronizado de produtos, os quais atendem mais ou menos o mesmo padrão; tudo isto é projetado de forma a se ter data centers ao redor do mundo, e que eles possam migrar servidores virtuais entre eles, então desta forma, a partir desta perspectiva realmente parece que os usuários não tem controle sobre seus dados. Você não tem como saber onde eles estão, uma vez que hoje eles podem estar em Johannesburgo e amanhã talvez em Munique, e você não tem influência sobre a estrutura da rede, etc. Isto é uma nuvem.

Mas a nuvem é também algo mais. A nuvem também é o que fazemos, mas comparado a outros fornecedores nós faríamos uma distinção, assim como fazemos ente roupas sob medida e roupas  manufaturadas de forma industrial. Assim nós fazemos redes sob medida: o usuário, que vem até nós, entra em acordo conosco sobre a estrutura da rede, onde o servidor virtual será colocado, e durante o processo, como a segurança será tratada. Claro que tudo isso está dentro de certos padrões  com relação aos grandes provedores, uma vez que são nos servidores deles e em suas cidades, entre outros fatores, onde as máquinas virtuais dos usuários estão fisicamente localizadas. Nós podemos definir uma estrutura, dentro da qual a nuvem estará atuando.0

DK: Então, em contraste com estes provedores altamente industrializados também existem pequenos provedores, que de fato ajustam a nuvem para necessidades de segurança específicas de seus clientes.

GD: Sim. Na verdade, em minha opinião, neste tipo de arranjo nós temos conseguido conciliar segurança e economia. A nuvem poupa recursos significativos e torna possível alcançar o mesmo nível de redundância, ou até superá-lo, e em caso de falhas ou problemas técnicos, o servidor virtual continuará a operar em uma infraestrutura completamente diferente e você não precisará comprar 3 ou 4 servidores para este propósito. Isto significa que nós alinhamos a abordagem com a fato de que o ambiente, onde tudo está configurado, será controlado, de forma que você estará ciente do fato de que poderá compartilhar um servidor físico com outro usuário. Mas, por outro lado, você saberá que possui um segmento de rede completamente separado – que entre você e qualquer um existe um firewall, que ele esta em um cluster, onde o acesso é controlado, de forma que não existe a possibilidade de que alguém remova um disco do servidor e o coloque de volta sem controle, etc. Ele de fato dá ao usuário a sensação de que eles tem a mesma segurança de antes, mas com os benefícios de utilizar uma nuvem.

Por favor clique aqui para ler o restante desta entrevista: Entrevista com Goran Djoreski: Organizações precisam escrever sua própria documentação da ISO 27001.

Goran Djoreski é CEO do Data Center independente Altus Information Technology. Anteriormente ele trabalhou por 12 anos na indústria financeira, empregado na Card business development, assim como na segurança de pagamentos com cartões de crédito.

Nós agradecemos a Rhand Leal pela tradução para o português.


Como abordar as principais preocupações envolvendo a implementação da ISO 27001

ByDejan Kosutic on October 23, 2013

Semana passada eu apresentei dois webinars sobre ISO 27001, e solicitei aos participantes que me enviassem suas principais preocupações a respeito da implementação da ISO 27001 antes que os webinars fossem realizados.

Eu resumi as preocupações mais comuns nas cinco áreas apresentadas a seguir – eu as apresentei nos webinars, e aqui está uma explicação mais detalhada sobre como eu entendo que elas deveriam ser abordadas:

1) O esforço requerido para realizar a transição da versão 2005 para a 27001 versão 2013

É verdade que cada organização certificada pela ISO 27001:2005 terá de realizar a transição para a versão 2013 dentro de dois anos, e é verdade que a versão 2013 possui novos requisitos, enquanto alguns foram eliminados. Também é verdade que este processo não será finalizado em algumas horas, mas certamente não será nada perto do esforço inicial para implementação da norma.

A chave encontra-se em um planejamento cuidadoso – se você souber exatamente quais passos precisa tomar, você reduzirá este esforço de transição ao mínimo. Com isto em mente, leia meu artigo Como fazer a transição da ISO 27001 versão 2005 para a versão 2013.

2) Comunicar com sucesso uma razão benéfica de por que uma organização deveria implementar a ISO 27001

A chave é determinar benefícios para o aspecto de negócio da organização – benefícios que são facilmente entendidos e que claramente agregam valor ao negócio, não para a TI. Isto porque, no final das contas, a decisão sobre a ISO 27001 não será feita pelo responsável pelo departamento de TI, e sim pela administração sênior da organização.

Na minha opinião, existem quatro benefícios potenciais que podem ser aplicados às organizações: (1) conformidade, (2) vantagem mercadológica, (3) redução de custos, e (4) otimização de processos. Clique aqui para ler os detalhes: Quatro benefícios chave da implementação da ISO 27001.

3) Definir um processo de levantamento e tratamento de riscos adequado e pragmático

Primeiro de tudo, levantamento e tratamento de risco não pode ser realizado baixando um arquivo que você encontrou em algum lugar na Internet, ou através do uso da primeira ferramenta que você encontrou. A gestão de risco precisa ser feita baseada em uma metodologia de levantamento e tratamento de risco que esteja adaptada ao tamanho de sua organização, seus vários requisitos e a sensitividade da informação que você possui.

Muitas vezes tenho visto pequenas organizações utilizando uma ferramenta de levantamento de risco que é feita para grandes organizações, apenas para perceber que eles gastaram seis meses para realizar um trabalho que poderiam ter terminado em um mês, e com resultados questionáveis. Entretanto, antes de iniciar seu processo de gestão de riscos, você precisa encontrar uma metodologia apropriada que definirá como identificar os principais elementos dos seus riscos (ativos, ameaças e vulnerabilidades) e quais escalas você usará para avaliar as consequências  e a probabilidade. Registre-se para este webinar para mais informações: The basics of risk assessment and treatment according to ISO 27001.

4) Os recursos requeridos para manter a certificação

Eu temo que esta preocupação mostre-se como um dos principais mitos sobre a ISO 27001 – de que os documentos são escritos apenas para fins de certificação. Deixe-me dar um exemplo – se você desenvolve uma política de Backup porque implementa a ISO 27001, você irá necessitar de recursos adicionais apenas porque agora está em conformidade com esta política? Ou, quer apenas deixar claro para todos como ele é realizado, caso já venha realizando seu backup normalmente, antes de escrever a política?

Meu ponto é – você não deveria escrever o documento por causa do auditor – você tem que escrevê-los por você. E caso você faça isso, não existem recursos adicionais requeridos porque tais regras são parte da sua rotina diária; em alguns casos você  até mesmo terá menos trabalho porque alguns problemas (isto é, incidentes de segurança) não acontecerão novamente..

5) Quanto tempo o SGSI tomará das minhas atividades principais?

A resposta para esta questão é muito similar a da questão anterior, mas eu adicionaria que, claro, você precisará de alguém para coordenar todos os esforços de segurança da informação em sua organização. Mas se você tem, por exemplo, 50 empregados, estes irão requerer talvez um par de horas de trabalho por semana, de forma que isto pode ser a atividade de alguém em paralelo com seu trabalho normal. Somente quando você passa o número de 1.000 empregados em uma organização é que você deveria considerar um responsável pela segurança em tempo integral – mas este profissional de segurança da informação provavelmente economizará a você tanto dinheiro ao prevenir incidentes que esta decisão certamente valerá a pena.

Clique aqui para se registrar para um webinar gratuito ISO 27001: An overview of ISMS implementation process.

Nós agradecemos a Rhand Leal pela tradução para o português.


As lições aprendidas com WikiLeaks: o que é, exatamente, segurança da informação?

ByDejan Kosutic on January 10, 2011

O WikiLeaks, hoje, é uma história muito popular por um bom motivo: não é muito comum que os documentos confidenciais do governo mais poderoso do mundo sejam publicados na Internet. E alguns desses documentos são, no mínimo, constrangedores.

Não vou escrever sobre a legalidade, ou ilegalidade, da publicação dessas informações pelo WikiLeaks, se essas informações deveriam ter se tornado públicas devido ao interesse do público ou não, ou sobre o que vai acontecer com o fundador do site (no momento em que escrevo este artigo Julian Assange está sob custódia) etc.

A questão é: se o WikiLeaks for encerrado, um novo WikiLeaks surgirá. Em outras palavras, a ameaça de vazamento de informações para o público é cada vez maior. (A propósito, antes de ser preso, Julian Assange tinha anunciado que iria publicar informações importantes sobre um banco dos EUA e suas principais negligências.)

Quero falar aqui sobre o ponto de vista corporativo: e se nós fôssemos o próximo alvo do WikiLeaks ou de seu clone? Como garantir a segurança de nossas informações e prevenir os danos de um incidente tão grande?

Exemplo simples

Mas como funciona a segurança da informação na prática? Vamos tomar um exemplo simples: você, muitas vezes, deixa seu laptop em seu carro, no banco de trás. Existem grandes possibilidades de que, mais cedo ou mais tarde, ele seja roubado.

O que você pode fazer para diminuir esse risco? Primeiro de tudo, você pode criar uma regra (escrevendo um procedimento ou uma política) que estabeleça que laptops não podem ser deixados em um carro sozinho, ou que os carros devem ser estacionados onde exista algum tipo de proteção física. Segundo, você pode proteger suas informações criando uma senha forte e criptografando seus dados. Além disso, você pode exigir que seus funcionários assinem uma declaração dizendo que eles são legalmente responsáveis pelos danos que possam ocorrer. Mas todas essas medidas poderão permanecer ineficazes se você não explicar as regras para seus funcionários através de um breve treinamento.

Então, o que você pode concluir a partir desse exemplo? A segurança da informação nunca é uma medida única de segurança, é sempre um conjunto de medidas. E as medidas não estão apenas relacionadas à TI, mas envolvem também questões organizacionais, gestão de recursos humanos, segurança física e proteção jurídica.

O problema é que esse foi um exemplo de um único laptop, sem nenhuma ameaça interna. Agora considere o quão complexo é proteger as informações de sua empresa, onde as informações não são arquivadas apenas nos seus PCs, mas também em vários servidores; não só nas gavetas de sua mesa, mas também em todos os seus telefones celulares; não somente em pen drives, mas também nas cabeças de todos os funcionários. E você pode ter um funcionário muito insatisfeito.

Parece uma tarefa impossível? Difícil, sim, mas não impossível.

Como abordar o problema

O que você precisa para resolver esse complexo problema é uma estrutura. A boa notícia é que essas estruturas já existem na forma de normas. A mais conhecida é a ISO 27001, a principal norma internacional sobre gestão da segurança da informação, mas existem outras: COBIT, NIST SP série 800, PCI DSS etc.

Neste post, meu foco será a ISO 27001, pois acho que ela fornece um boa base para a construção do sistema de segurança da informação, pois oferece um catálogo com 133 controles de segurança, além da flexibilidade de aplicar apenas os controles que são realmente necessários para seus riscos. Mas sua melhor característica é que define uma estrutura de gestão para controlar e direcionar as questões de segurança, fazendo com que a gestão da segurança se torne parte da gestão global da organização.

Em resumo, essa norma permite considerar todas as informações de diversas formas e todos os riscos, além de fornecer um caminho para solucionar cuidadosamente cada possível problema e manter suas informações seguras.

Consequências para os negócios

As empresas devem ter medo de que suas informações vazem para o público? Se estão fazendo algo ilegal ou antiético, certamente deveriam.

No entanto, para as empresas que operam legalmente, se desejam proteger seus negócios, elas não podem pensar apenas em termos de retorno sobre investimento, participação no mercado, competência específica e visão de longo prazo. Sua estratégia também deve levar em conta as questões de segurança, pois ter informações desprotegidas pode custar-lhes muito mais do que, por exemplo, um lançamento fracassado de um novo produto. Por segurança, me refiro não só à segurança física, porque isso simplesmente não é mais suficiente – a tecnologia possibilita o vazamento de informações através de vários meios.

O que é necessário é uma abordagem abrangente da segurança da informação. Não importa se você usa a ISO 27001, o COBIT ou alguma outra estrutura, o importante é fazer isso de forma sistemática. E isso não é um esforço isolado, é uma operação contínua. E, sim, isso não é algo que sua equipe de TI pode fazer sozinha; toda a empresa tem de participar, começando pela diretoria executiva.