Guia de implementação da ISO 27001
Benefícios da certificação
A segurança da informação está a tornar-se cada vez mais importante para as organizações e, por isso, a adoção da norma ISO 27001 está a tornar-se mais comum. A maioria das organizações reconhece agora que não é uma questão de saber se serão afectadas por uma violação da segurança; a questão é quando.
Implementar um SGSI e obter a certificação ISO 27001 é uma tarefa importante para a maioria das organizações. No entanto, se for feito de forma eficaz, há benefícios significativos para as organizações que dependem da proteção de informações valiosas ou sensíveis. Estes benefícios dividem-se normalmente em três áreas:
COMERCIAL
O facto de um SGSI ser aprovado por terceiros independentes pode dar a uma organização uma vantagem competitiva ou permitir-lhe "apanhar" os seus concorrentes. Os clientes que estão expostos a riscos significativos de segurança da informação estão a exigir cada vez mais a certificação ISO 27001 nos concursos.
Se o cliente também estiver certificado pela norma ISO 27001, a médio prazo optará por trabalhar apenas com fornecedores em cujos controlos de segurança da informação confie e que tenham a capacidade de cumprir os seus requisitos contratuais.
Para as organizações que pretendem trabalhar com esses clientes, ter um SGSI com certificação ISO 27001 é um requisito fundamental para manter e aumentar as suas receitas comerciais.
OPERACIONAL
A abordagem holística da ISO 27001 apoia o desenvolvimento de uma cultura interna que está alerta para os riscos de segurança da informação e tem uma abordagem coerente para os enfrentar. Esta abordagem coerente conduz a controlos que são mais robustos na resposta às ameaças. O custo da sua implementação e manutenção é também minimizado e, em caso de falha, as consequências são minimizadas e atenuadas de forma mais eficaz.
TRANQUILIDADE
Muitas organizações têm informação que é crítica para as suas operações, vital para manter a sua vantagem competitiva ou uma parte inerente do seu valor financeiro.
A existência de um SGSI sólido e eficaz permite que os proprietários e gestores de empresas responsáveis pela gestão do risco durmam mais descansados, sabendo que não estão expostos ao risco de multas pesadas, de grandes perturbações na atividade ou de um impacto significativo na reputação.
Na atual economia baseada no conhecimento, quase todas as organizações dependem da segurança de informações importantes. A implementação de um SGSI formal é um método comprovado para garantir essa segurança.
A ISO 27001 é uma estrutura internacionalmente reconhecida para um SGSI de melhores práticas e a conformidade pode ser verificada de forma independente para melhorar a imagem de uma organização e dar confiança aos seus clientes.
PRINCÍPIOS FUNDAMENTAIS E TERMINOLOGIA
O principal objetivo de um SGSI é proteger a informação sensível ou valiosa. As informações sensíveis incluem normalmente informações sobre funcionários, clientes e fornecedores. As informações valiosas podem incluir propriedade intelectual, dados financeiros, registos legais, dados comerciais e dados operacionais.
Os tipos de risco a que estão sujeitas as informações sensíveis e valiosas podem geralmente ser agrupados em três categorias:
-
Confidencialidade: quando uma ou mais pessoas têm acesso não autorizado à informação.
-
Integralidade: quando o conteúdo da informação é alterado de modo a deixar de ser exato ou completo.
- Disponibilidade: quando o acesso à informação se perde ou se torna difícil.
Estes tipos de riscos para a segurança da informação são normalmente designados por "CIA" (Confidencialidade, Integridade, Disponibilidade).
Os riscos para a segurança da informação surgem muitas vezes devido à presença de ameaças e vulnerabilidades nos activos que processam, armazenam, guardam, protegem ou controlam o acesso à informação, dando origem a incidentes.
Neste contexto, os activos são normalmente pessoas, equipamentos, sistemas ou infra-estruturas.
A informação é o conjunto de dados que uma organização pretende proteger, tais como registos de empregados, registos de clientes, registos financeiros, dados de conceção, dados de testes, etc.
Os incidentes são acontecimentos indesejáveis que resultam numa perda de confidencialidade (por exemplo, uma violação de dados), integridade (por exemplo, corrupção de dados) ou disponibilidade (por exemplo, falha do sistema).
As ameaças são as causas dos incidentes e podem ser maliciosas (por exemplo, um ladrão), acidentais (por exemplo, um erro de teclado) ou um ato de Deus (por exemplo, uma inundação).
Vulnerabilidades como janelas de escritórios abertas, erros no código-fonte ou a localização de edifícios junto a rios aumentam a probabilidade de a presença de uma ameaça conduzir a um incidente indesejado e dispendioso.
Na segurança da informação, o risco é gerido através da conceção, implementação e manutenção de controlos como janelas fechadas, testes de software ou a localização de equipamento vulnerável acima do nível do solo.
Um SGSI em conformidade com a norma ISO 27001 tem um conjunto inter-relacionado de processos de boas práticas que facilitam e apoiam a conceção, implementação e manutenção adequadas dos controlos.
Os processos que fazem parte de um SGSI são, normalmente, uma combinação de processos empresariais essenciais existentes (por exemplo, recrutamento, indução, formação, aquisições, conceção de produtos, manutenção de equipamentos, prestação de serviços) e dos processos específicos para manter e melhorar a segurança da informação (por exemplo, gestão das alterações, cópia de segurança da informação, controlo do acesso, gestão de incidentes, classificação da informação).
Pensamento/auditorias baseadas no risco
As auditorias são uma abordagem sistemática e baseada em provas para o processo de avaliação do seu Sistema de Gestão da Segurança da Informação. São efectuadas interna e externamente para verificar a eficácia do SGSI. As auditorias são um exemplo brilhante de como o pensamento baseado no risco é adotado na gestão da segurança da informação.
PRIMEIRA PARTE AUDITORIAS - AUDITORIAS INTERNAS
As auditorias internas são uma óptima oportunidade para aprender na sua organização. Proporcionam tempo para se concentrar num determinado processo ou departamento, a fim de avaliar verdadeiramente o seu desempenho. O objetivo de uma auditoria interna é garantir a adesão às políticas, procedimentos e processos determinados por si, a organização, e confirmar a conformidade com os requisitos da norma ISO 27001.
PLANEAMENTO DA AUDITORIA
Elaborar um calendário de auditorias pode parecer um exercício complicado. Dependendo da escala e da complexidade das suas operações, pode programar auditorias internas mensais ou anuais. Para mais informações sobre este assunto, consulte a secção 9 - Avaliação do desempenho.
PENSAMENTO BASEADO NO RISCO
A melhor maneira de considerar a frequência das auditorias é examinar os riscos envolvidos no processo ou área de negócio a auditar. Qualquer processo de alto risco, quer porque tem um elevado potencial para correr mal, quer porque as consequências seriam graves se corresse mal, deve ser auditado com mais frequência do que um processo de baixo risco.
A forma como avalia os riscos depende inteiramente de si. A norma ISO 27001 não impõe nenhum método específico de avaliação ou gestão de riscos.
PARTE 2 - AUDITORIAS EXTERNAS
As auditorias de segunda parte são normalmente efectuadas por clientes ou outros em seu nome, ou pode efectuá-las aos seus fornecedores externos. As auditorias de segunda parte também podem ser efectuadas por entidades reguladoras ou por qualquer outra entidade externa que tenha um interesse formal numa organização.
Poderá ter pouco controlo sobre o momento e a frequência destas auditorias, mas a criação do seu próprio SGSI garantirá que está bem preparado para a sua chegada.
PARTE 3 - AUDITORIAS DE CERTIFICAÇÃO
As auditorias de terceiros são efectuadas por organismos externos, normalmente organismos de certificação acreditados pelo UKAS, como o NQA.
O organismo de certificação deve avaliar a conformidade com a norma ISO 27001:2013. Isto implica que um representante do organismo de certificação visite a organização e avalie o sistema relevante e os seus processos. A manutenção da certificação implica também reavaliações periódicas.
A certificação demonstra aos clientes o seu empenhamento na qualidade.
GARANTIAS DE CERTIFICAÇÃO
-
Avaliação periódica para monitorizar e melhorar continuamente os processos.
-
Credibilidade de que o sistema pode alcançar os resultados esperados.
-
Reduzir o risco e a incerteza e aumentar as oportunidades de mercado.
-
Consistência nos resultados concebidos para satisfazer as expectativas das partes interessadas.
Pensamento baseado em processos/auditorias
Um processo é a transformação de inputs em outputs, que ocorre como uma série de passos ou actividades que resultam no(s) objetivo(s) pretendido(s). Muitas vezes, a saída de um processo torna-se uma entrada para um processo subsequente. Muito poucos processos funcionam de forma isolada.
"Processo: um conjunto de actividades inter-relacionadas ou em interação que utilizam entradas para produzir um resultado pretendido." Fundamentos e vocabulário da ISO 27001:2013.
Mesmo uma auditoria tem uma abordagem processual. Começa com a identificação do âmbito e dos critérios, estabelece um curso de ação claro para atingir o resultado e tem um resultado definido (o relatório de auditoria). A utilização da abordagem por processos para a auditoria também garante que o tempo e as competências correctas sejam atribuídos à auditoria. Isto torna-a uma avaliação eficaz do desempenho do SGSI.
"Resultados consistentes e previsíveis são alcançados de forma mais eficaz e eficiente quando as actividades são compreendidas e geridas como processos inter-relacionados que funcionam como um sistema coerente."
FUNDAMENTOS E VOCABULÁRIO DA ISO 27001:2013
Compreender a forma como os processos se inter-relacionam e produzem resultados pode ajudá-lo a identificar oportunidades de melhoria e, assim, otimizar o desempenho global. Isto também se aplica quando os processos, ou partes de processos, são externalizados.
Compreender exatamente como afecta ou pode afetar o resultado e comunicá-lo claramente ao parceiro comercial (que fornece o produto ou serviço subcontratado) garante clareza e responsabilidade no processo. A etapa final do processo consiste em analisar o resultado da auditoria e garantir que a informação obtida é utilizada corretamente. Uma análise formal da gestão é a oportunidade de refletir sobre o desempenho do SGSI e de tomar decisões sobre como e onde melhorar. O processo de análise da gestão é discutido em maior profundidade na secção 9 - avaliação do desempenho.
As 10 cláusulas da norma ISO 27001:2013
Tal como acontece com a maioria das outras normas de sistemas de gestão ISO, os requisitos da ISO 27001 que devem ser satisfeitos são especificados nas cláusulas 4.0 - 10.0. Ao contrário da maioria das outras normas de sistemas de gestão ISO, uma organização tem de cumprir todos os requisitos das cláusulas 4.0 - 10.0; não pode declarar uma ou mais cláusulas como não aplicáveis a si.
Na norma ISO 27001, para além das cláusulas 4.0 - 10.0, existe um conjunto adicional de requisitos detalhados numa secção denominada Anexo A, que é referida na cláusula 6.0. O Anexo A contém 114 melhores práticas de controlo da segurança da informação. Cada um destes 114 controlos deve ser considerado. Para estar em conformidade com a norma ISO 27001, a organização deve implementar estes controlos, ou deve ser dada uma justificação aceitável para não implementar um determinado controlo.
As partes seguintes deste guia fornecem uma explicação geral do objetivo de cada cláusula, destacam o tipo de provas que um auditor esperaria ver para confirmar que cumpre os requisitos e dão conselhos sobre formas eficazes de cumprimento.
Secção 1: Âmbito de aplicação
A secção do âmbito da norma ISO 27001 indica
-
o objetivo da norma;
-
os tipos de organizações a que se aplica; e
-
as secções da norma (chamadas cláusulas) que contêm os requisitos que uma organização deve cumprir para ser certificada como "conforme" (ou seja, conforme) à norma.
A norma ISO 27001 foi concebida para ser aplicável a qualquer tipo de organização. Independentemente da dimensão, complexidade, sector industrial, objetivo ou maturidade, a sua organização pode implementar e manter um SGSI em conformidade com a norma ISO 27001.
Secção 2: Referências normativas
Nas normas ISO, a secção Referências Normativas enumera quaisquer outras normas que contenham informações adicionais relevantes para determinar se uma organização está ou não em conformidade com a norma em questão. Na ISO 27001, apenas um documento é listado: ISO 27000 Information Technology - Overview and vocabulary.
Alguns dos termos utilizados ou requisitos pormenorizados na ISO 27001 são explicados com mais pormenor na ISO 27000. A referência à ISO 27000 é muito útil para o ajudar a compreender melhor um requisito ou a identificar a melhor forma de o cumprir.
SUGESTÃO: Os auditores externos esperam que tenha tido em conta a informação contida na ISO 27000 no desenvolvimento e implementação do seu SGSI.
Secção 3: Termos e definições
A norma ISO 27001 não contém termos e definições. Em vez disso, é feita referência à versão mais atual da norma ISO 27000 Information security management systems - Overview and vocabulary. A versão atual deste documento contém 81 definições de termos que são utilizados na ISO 27001.
Para além dos termos explicados na secção "Princípios fundamentais e terminologia" acima, os termos mais importantes utilizados na ISO 27001 são
Controlos de acesso: processos que garantem que apenas as pessoas que precisam de ter acesso a um determinado bem têm esse acesso e que a "necessidade" é determinada com referência a requisitos comerciais e de segurança.
Eficácia: o grau em que as actividades planeadas (por exemplo, processos, procedimentos) são executadas como previsto ou especificado e atingem os resultados ou realizações pretendidos.
Risco: uma combinação da probabilidade de ocorrência de um evento de segurança da informação e das consequências daí resultantes.
Avaliação dos riscos: o processo de identificação dos riscos, de análise do nível de risco que cada risco representa e de avaliação da necessidade de medidas adicionais para reduzir cada risco para um nível mais tolerável ou aceitável.
Tratamento dos riscos: processos ou acções que reduzem os riscos identificados para um nível tolerável ou aceitável.
Direção: é o grupo de decisores de topo de uma organização. É provável que sejam responsáveis pela definição da sua orientação estratégica e pela determinação e realização dos objectivos das partes interessadas.
Ao redigir a documentação do seu sistema de gestão da segurança da informação, não tem de utilizar estes termos exactos. No entanto, é útil clarificar o significado e a intenção se puder definir os termos que utilizou. Pode ser útil incluir um glossário na documentação do sistema.
Secção 4: Contexto organizacional
O objetivo do seu SGSI é proteger os activos de informação da sua organização, para que esta possa atingir os seus objectivos.A forma como isto é feito e as áreas prioritárias específicas dependerão do contexto em que a sua organização opera:
-
Internos: elementos sobre os quais a organização tem algum controlo.
-
Externas: elementos sobre os quais a organização não tem controlo direto.
Uma análise cuidadosa do ambiente em que a sua organização opera é essencial para identificar os riscos inerentes à segurança dos seus activos de informação. A análise constitui a base para avaliar os processos que devem ser acrescentados ou reforçados para criar um SGSI eficaz.
CONTEXTO INTERNO
Seguem-se exemplos de áreas que podem ser consideradas ao avaliar questões internas que podem estar relacionadas com os riscos do SGSI:
-
Maturidade: é uma start-up ágil com uma tela em branco para trabalhar ou uma instituição com mais de 30 anos com processos e controlos de segurança bem estabelecidos?
-
Cultura organizacional: A sua organização é descontraída em relação a como, quando e onde as pessoas trabalham, ou é extremamente regrada? A cultura pode resistir à implementação de controlos de segurança da informação?
-
Gestão: Existem canais e processos de comunicação claros entre a gestão de topo e o resto da organização?
-
Dimensão dos recursos: trabalha com uma equipa de segurança da informação ou é uma pessoa que faz tudo?
-
Maturidade dos recursos: Os recursos disponíveis (empregados/contratantes) são conhecedores, têm formação completa, são fiáveis e consistentes, ou são inexperientes e estão em constante mudança?
-
Formatos dos activos de informação: Os seus activos de informação são armazenados principalmente em formato papel ou são armazenados eletronicamente num servidor no local ou em sistemas remotos baseados na nuvem?
-
Sensibilidade/valor dos activos de informação: a sua organização tem de gerir activos de informação muito valiosos ou particularmente sensíveis?
-
Coerência: existem processos uniformes em toda a organização ou uma multiplicidade de práticas operacionais diferentes com pouca coerência?
-
Sistemas: A sua organização tem muitos sistemas antigos que funcionam com versões de software que já não são suportadas pelo fabricante, ou mantém a tecnologia mais actualizada e melhor disponível?
-
Complexidade do sistema: utiliza um sistema principal que faz todo o trabalho pesado, ou vários sistemas departamentais com uma transferência de informação limitada entre eles?
-
Espaço físico: dispõe de um espaço de escritórios seguro e dedicado ou trabalha num espaço partilhado com outras organizações?
AMBIENTE EXTERNO
Seguem-se exemplos de áreas que podem ser consideradas ao avaliar questões externas que podem estar relacionadas com os riscos do SGSI:
-
Concorrência: Opera num mercado inovador e em rápida mudança, que requer muitas actualizações do sistema para se manter competitivo, ou num mercado maduro e estável com pouca inovação ano após ano?
-
Proprietário: Necessita de autorização para melhorar a segurança física?
-
Reguladores / vigilantes: No seu sector, existe a obrigação de proceder a alterações regulamentares regulares ou há pouca supervisão por parte dos reguladores no seu sector de mercado?
-
Economia/política: as flutuações monetárias influenciam a sua organização? O Brexit no Reino Unido terá impacto?
-
Considerações ambientais: O seu local está situado numa planície de inundação com o(s) servidor(es) localizado(s) numa cave? Existem factores que tornam o(s) seu(s) local(is) um alvo potencial para um assalto ou ataque terrorista (por exemplo, localização proeminente no centro da cidade; próximo de um alvo potencial)?
-
Prevalência de ataques à segurança da informação: A sua organização opera num sector que atrai regularmente o interesse de hackers (criminosos, hacktivistas)?
-
Accionistas: Estão muito preocupados com a vulnerabilidade da organização a violações de dados e até que ponto estão preocupados com o custo dos esforços da organização para melhorar a sua segurança da informação?
PARTES INTERESSADAS
Uma parte interessada é qualquer pessoa que é, pode ser ou é considerada afetada por uma ação ou inação da sua organização. As suas partes interessadas tornar-se-ão claras através do processo de realização de uma análise exaustiva das questões internas e externas.
É provável que incluam accionistas, proprietários, reguladores, clientes, funcionários e concorrentes, e podem estender-se ao público em geral e ao ambiente, dependendo da natureza da sua atividade. Não tem de tentar compreender ou satisfazer todos os seus caprichos, mas tem de determinar quais das suas necessidades e expectativas são relevantes para o seu SGSI.
Para cumprir a norma ISO 27001, é necessário documentar o âmbito do seu SGSI. Os âmbitos documentados descrevem normalmente:
-
os limites da(s) localização(ões) física(s) incluída(s) (ou não incluída(s));
-
os limites das redes físicas e lógicas incluídas (ou não incluídas);
-
os grupos de trabalhadores internos e externos incluídos (ou não incluídos);
-
os processos, actividades ou serviços internos e externos incluídos (ou não incluídos); e
-
interfaces-chave nos limites do âmbito de aplicação.
Se pretende dar prioridade aos recursos através da criação de um SGSI que não abranja toda a sua organização, selecionar um âmbito limitado à gestão dos interesses das principais partes interessadas é uma abordagem pragmática. Isto pode ser feito incluindo apenas locais, activos, processos e unidades de negócio ou departamentos específicos. Alguns exemplos de declarações de âmbito:
-
"Todas as operações efectuadas pelo serviço informático".
-
"Suporte e gestão de correio eletrónico".
-
"Todos os equipamentos, sistemas, dados e infra-estruturas do centro de dados da organização, situado nas instalações de Basingstoke."
SUGESTÃO: Documentar ou manter um arquivo de todas as informações recolhidas na sua análise do contexto organizacional e das partes interessadas, tais como
-
Discussões com um representante de alto nível da organização, por exemplo, um diretor-geral, CEO ou CTO.
-
Actas de reuniões ou planos de actividades.
-
Um documento específico que identifique as questões internas/externas e as partes interessadas, bem como as suas necessidades e expectativas, por exemplo, uma análise SWOT, um estudo PESTLE ou uma avaliação de alto nível do risco empresarial.
Secção 5: Liderança
A IMPORTÂNCIA DA LIDERANÇA
Neste contexto, liderança significa um envolvimento ativo na definição da direção do SGSI, promovendo a sua implementação e assegurando a existência de recursos adequados. Isto inclui:
-
garantir que os objectivos do SGSI são claros e estão alinhados com a estratégia global;
-
que haja clareza quanto às responsabilidades e à prestação de contas;
-
que o pensamento baseado no risco está no centro de todas as tomadas de decisão; e
-
que existe uma comunicação clara desta informação a todas as pessoas no âmbito do seu SGSI.
A ISO 27001 atribui grande importância ao envolvimento ativo da gestão de topo no SGSI, com base no pressuposto de que o compromisso da gestão de topo é crucial para garantir a implementação e manutenção eficazes de um SGSI eficaz por parte do grupo mais vasto de trabalhadores.
POLÍTICA DE SEGURANÇA DA INFORMAÇÃOUma responsabilidade vital da gestão é estabelecer e documentar uma Política de Segurança da Informação que esteja alinhada com os principais objectivos da organização. Ao mais alto nível, deve incluir objectivos ou um quadro (orientações) para os estabelecer. Para demonstrar que está alinhada com o contexto da organização e os requisitos das principais partes interessadas, recomenda-se que refira ou contenha um resumo das principais questões e requisitos a gerir. Deve também incluir um compromisso de:
-
satisfazer os requisitos de segurança da informação aplicáveis, tais como requisitos legais, expectativas dos clientes e compromissos contratuais; e
-
a melhoria contínua do seu SGSI.
A política de segurança da informação pode referir-se a, ou incluir, sub-políticas que abranjam os principais controlos do SGSI da organização. Exemplos: seleção de fornecedores críticos para a segurança da informação, contratação e formação de funcionários, "clear desk" e "clear screen", controlos criptográficos, controlos de acesso, etc.
Para demonstrar a importância da política de segurança da informação, é aconselhável que esta seja autorizada pelo membro mais graduado da direção ou por cada membro da equipa de direção.
SUGESTÃO: É uma boa ideia garantir que a sua política de segurança da informação é bem comunicada e está disponível para as partes interessadas:
-
incluí-lo nos pacotes de iniciação e nas apresentações para os novos empregados e contratantes;
-
afixar a declaração-chave em quadros de avisos internos, intranets e no sítio web da sua organização; e
-
tornar o seu cumprimento e/ou apoio um requisito contratual para os empregados, contratantes e fornecedores críticos para a segurança da informação.
FUNÇÕES E RESPONSABILIDADES
Para que as actividades de segurança da informação façam parte do dia a dia da maioria das pessoas na organização, as responsabilidades e obrigações devem ser claramente definidas e comunicadas.
Embora a norma não exija a nomeação de um representante para a segurança da informação, pode ser útil para algumas organizações nomear um representante que lidere uma equipa de segurança da informação para coordenar a formação, supervisionar os controlos e comunicar o desempenho do SGSI à direção. Esta pessoa pode já ser responsável pela proteção de dados ou pelos serviços de TI.
No entanto, para desempenharem o seu papel de forma eficaz, o ideal é que sejam membros da equipa de gestão de topo e tenham um forte conhecimento técnico da gestão da segurança da informação ou tenham acesso a pessoas que o tenham.
DEMONSTRAR LIDERANÇA A UM AUDITOR
A gestão de topo será o grupo de indivíduos que define a direção estratégica e aprova a atribuição de recursos para a organização ou área de negócio com o âmbito do seu SGSI. Dependendo da forma como a sua organização está estruturada, estes indivíduos podem ou não ser a equipa de gestão corrente. Um auditor verificará normalmente a liderança entrevistando um ou mais membros da direção e avaliando o seu nível de envolvimento e participação no SGSI:
-
avaliação de riscos e oportunidades;
-
definição de políticas e comunicação;
-
definição e comunicação de objectivos;
-
revisão e comunicação do desempenho do sistema; e
-
Atribuição de recursos, obrigações e responsabilidades adequados.
DICA: Antes da auditoria externa, identifique quem dos seus quadros superiores se vai reunir com o auditor externo e prepare-os para a entrevista, analisando as perguntas que provavelmente serão feitas.
Secção 6: Planeamento
A ISO 27001 é, na sua essência, uma ferramenta de gestão do risco que orienta uma organização para a identificação dos factores de risco para a segurança da informação em todas as suas fontes. Como tal, o objetivo subjacente de um SGSI é
-
identificar os riscos estrategicamente importantes, os mais óbvios e os mais ocultos mas perigosos;
-
assegurar que as actividades quotidianas e os processos operacionais da organização sejam concebidos, dirigidos e dotados de recursos para gerir inerentemente esses riscos; e
-
responder e adaptar-se automaticamente às mudanças para enfrentar novos riscos e reduzir continuamente a exposição da organização ao risco.
É crucial dispor de um plano de ação pormenorizado, alinhado, atualizado e apoiado por revisões e controlos regulares, que forneça ao auditor as melhores provas de um planeamento de sistema claramente definido.
AVALIAÇÃO DOS RISCOS
A avaliação do risco está no centro de qualquer SGSI eficaz. Mesmo a organização mais bem dotada de recursos não pode eliminar completamente a possibilidade de ocorrência de um incidente de segurança da informação. Para todas as organizações, a avaliação do risco é essencial para
-
aumentar a probabilidade de identificar todos os riscos potenciais através da participação de pessoas-chave, utilizando técnicas de avaliação sistemáticas;
-
afetar recursos para abordar os domínios mais prioritários; e
-
tomar decisões estratégicas sobre a forma de gerir riscos importantes para a segurança da informação, a fim de atingir os seus objectivos com maior probabilidade.
A maioria dos quadros de avaliação dos riscos consiste num quadro que contém os resultados dos elementos 1 a 4, com um quadro ou matriz suplementar que abrange o elemento 5.
Um auditor externo espera ver um registo da sua avaliação do risco, um proprietário atribuído para cada risco identificado e os critérios que utilizou.
SUGESTÃO: O Anexo A (8.1.1) contém um requisito de manutenção de uma lista de activos de informação, activos relacionados com a informação (por exemplo, edifícios, armários de arquivo, computadores portáteis) e instalações de processamento de informação. Se completar a sua avaliação do risco avaliando sistematicamente os riscos colocados por cada elemento desta lista, terá cumprido dois requisitos no mesmo exercício. Além disso, se atribuir um proprietário a cada elemento da lista, terá também cumprido outro requisito do Anexo A (8.1.2). Como é provável que o proprietário do ativo também seja o proprietário do risco, isto ajuda a evitar duplicações e potenciais confusões.
A norma ISO 27005 - Gestão de riscos para a segurança da informação fornece orientações para o desenvolvimento de uma técnica de avaliação de riscos para a sua organização. Qualquer que seja a técnica selecionada ou desenvolvida, deve incluir os seguintes elementos-chave
-
Dão um impulso à identificação sistemática dos riscos (por exemplo, analisando activos, grupos de activos, processos, tipos de informação), um de cada vez, verificando a presença de ameaças e vulnerabilidades comuns em cada um deles e registando os controlos atualmente em vigor para os gerir.
-
Fornecer um quadro para avaliar a probabilidade de ocorrência de cada risco numa base consistente (por exemplo, uma vez por mês, uma vez por ano). Fornecer um quadro para avaliar as consequências da ocorrência de cada risco numa base consistente (por exemplo, perda de £1.000, perda de £100.000).
-
Fornecer um quadro para classificar ou categorizar cada risco identificado numa base coerente (por exemplo, 1-10, elevado/médio/baixo), tendo em conta a sua avaliação da probabilidade e das consequências.
-
Estabelecer critérios documentados que especifiquem, para cada pontuação ou categoria de risco, o tipo de ação a tomar e o nível ou prioridade que lhe é atribuído.
TRATAMENTO DE RISCOS
Para cada risco identificado na sua avaliação de riscos, deve aplicar critérios coerentes para determinar se deve:
-
aceitar o risco; ou
-
tratamento do risco (designado "tratamento do risco")
As opções de tratamento de risco disponíveis são normalmente uma das seguintes:
-
Evitar: deixar de realizar a atividade ou processar a informação que está exposta ao risco.
-
Eliminação: eliminar a fonte do risco.
-
Alterar a probabilidade: implementar um controlo que torne menos provável a ocorrência de um incidente de segurança da informação.
-
Alterar as consequências: criar um controlo para reduzir o impacto em caso de incidente.
-
Transferir o risco: subcontratar a atividade ou o processo a um terceiro que esteja em melhores condições de gerir o risco.
-
Aceitar o risco: Se a organização não tiver um tratamento prático do risco, ou se o custo do tratamento do risco for considerado superior ao custo do impacto, pode ser tomada uma decisão informada de aceitar o risco. Esta decisão deve ser aprovada pela direção.
Um auditor externo espera ver um plano de tratamento do risco (por exemplo, uma lista de acções) que descreva pormenorizadamente as acções de tratamento do risco que foram implementadas ou que se pretende implementar. O plano deve ser suficientemente pormenorizado para que seja possível verificar o estado de implementação de cada ação. Também deve haver provas de que este plano foi aprovado pelos proprietários dos riscos atribuídos e pela direção.
ANEXO A E DECLARAÇÃO DE APLICABILIDADE
Todas as opções de tratamento de riscos (com exceção da aceitação) envolvem a implementação de um ou mais controlos. O anexo A da norma ISO 27001 contém uma lista de 114 controlos de segurança da informação de melhores práticas. Deve considerar a implementação de cada um destes controlos ao formular o seu plano de tratamento de riscos.
A descrição da maioria dos 114 controlos é bastante vaga e recomenda-se vivamente a revisão da norma ISO 27002, que contém mais informações sobre as melhores práticas para a sua implementação.
Como prova de que completou esta avaliação, um auditor externo espera que apresente um documento chamado Declaração de Aplicabilidade. Neste documento, deve registar cada um dos 114 controlos:
-
se é aplicável às suas actividades, processos e riscos de segurança da informação;
-
se o aplicou ou não; e
-
se tiver considerado que não é aplicável, a sua justificação para o fazer.
Para a maioria das organizações, a maior parte dos 114 controlos será aplicável e é provável que já tenham implementado vários deles até certo ponto.
SUGESTÃO: A declaração de aplicabilidade não precisa de ser um documento demasiado complexo. Um simples quadro com colunas intituladas "Controlo", "Aplicável", "Implementado" e "Justificação" será suficiente. Também é aconselhável registar algumas informações sobre a forma como o controlo foi implementado (por exemplo, referência a um procedimento ou política) para o ajudar a responder mais facilmente a quaisquer perguntas do seu auditor externo.
OBJECTIVOS DE SEGURANÇA DA INFORMAÇÃO E PLANEAMENTO PARA OS ATINGIR
Aos níveis relevantes da sua organização, deve ter um conjunto documentado de objectivos relacionados com a segurança da informação. Estes objectivos podem ser de alto nível e aplicar-se a toda a organização (por exemplo, "obter a certificação ISO 27001") ou a nível departamental (por exemplo, "concluir as sessões de informação sobre segurança da informação para todos os novos funcionários no prazo de uma semana após o início das suas funções").
Cada objetivo definido deve:
-
ser mensurável;
-
estar em conformidade com a sua política de segurança da informação;
-
ter em conta os requisitos de segurança da informação da organização; e
-
ter em conta os resultados da avaliação dos riscos e do processo de tratamento dos riscos.
Os objectivos típicos que são relevantes para a segurança da informação incluem
-
Não exceder uma frequência definida de certos tipos de incidentes de segurança da informação.
-
Atingir um nível mensurável de conformidade com os controlos de segurança da informação.
-
Fornecer uma disponibilidade definida de serviços de informação.
-
Não exceder um número mensurável de erros de dados.
-
Melhorar os recursos disponíveis através do recrutamento, da formação ou da aquisição.
-
Implementação de novos controlos.
-
Cumprir as normas relativas à segurança da informação.
Cada objetivo deverá ser comunicado às pessoas relevantes. Os objectivos devem ser actualizados sempre que necessário para manter a sua relevância e para avaliar o seu desempenho.
Para cada um dos objectivos, é necessário planear a forma como serão alcançados. Isto inclui determinar:
-
o que precisa de ser alcançado;
-
que recursos são atribuídos;
-
quem detém ou é o principal responsável pela realização do objetivo;
-
se existe uma data limite ou apenas um requisito contínuo; e
-
o método de avaliação dos resultados em relação ao objetivo (ou seja, como são medidos).
SUGESTÃO: As formas eficazes de comunicar os objectivos de segurança da informação incluem incluí-los na formação de iniciação, estabelecendo-os como objectivos dos funcionários ou incluindo-os nas avaliações dos funcionários, estabelecendo-os em acordos de nível de serviço com fornecedores ou avaliando o seu desempenho nas avaliações de desempenho dos fornecedores.
GUIA ANEXO A DA ISO 27001
A ISO 27001:2013 é a norma internacional que descreve as melhores práticas para um Sistema de Gestão da Segurança da Informação (SGSI). Se estiver familiarizado com o nosso guia de implementação anterior, disponível aqui, então já terá examinado as cláusulas contidas na norma. Também já terá aprendido que esta norma segue uma abordagem baseada no risco ao considerar a segurança da informação de uma organização. Isto requer a identificação dos riscos de segurança e, em seguida, a seleção de controlos adequados para reduzir, eliminar ou gerir esses riscos.
A norma inclui os controlos necessários para cumprir os requisitos de risco no Anexo A. No total, existem 114 controlos subdivididos em 14 categorias diferentes. Ao considerar estes controlos, é importante ter em conta que se trata apenas de possibilidades ou opções.
Na execução do processo de risco, o risco identificado deve ser objeto de controlos adequados, seleccionados a partir da lista do Anexo A. Nem todos os controlos podem ser implementados. Por exemplo, se a sua organização não tiver instalações e operar à distância, não será adequado utilizar alguns controlos do domínio da segurança física.
Do mesmo modo, a passagem para soluções baseadas na nuvem implica uma nova análise dos controlos existentes nas áreas da segurança das operações e das comunicações.
CATEGORIAS DE CONTROLOS
Como já foi referido, o anexo contém 14 categorias. Estas são enumeradas da seguinte forma:
A.5 |
Políticas de segurança da informação: Orientações sobre a forma como as políticas são redigidas e revistas. |
A.6 |
Organização da segurança da informação: Como atribuir responsabilidades pelas tarefas de segurança, incluindo:
|
A.7 |
Segurança dos recursos humanos: Considerações de segurança para o recrutamento e manutenção da força de trabalho, incluindo considerações de segurança à saída nos contratos. |
A.8 |
Gestão de activos: Garantir a segurança dos activos de informação através do inventário e da propriedade dos activos. Inclui a etiquetagem da informação e dos suportes. |
A.9 |
Controlo de acesso: Controlar o acesso à informação dentro de uma organização para que não haja acesso não autorizado à informação. Além disso, apenas as entidades adequadas têm acesso administrativo quando necessário. |
A.10 |
Criptografia: Encriptação de informações sensíveis e gestão de chaves de encriptação. |
A.11 |
Segurança física e ambiental: Segurança das instalações, do equipamento e das informações em papel. |
A.12 |
Segurança das operações: Segurança das instalações de processamento de informações; inclui considerações de segurança técnica, como proteção contra malware, procedimentos de backup, captura de eventos, etc. |
A.13 |
Segurança das comunicações: Segurança da rede; inclui a utilização de mensagens electrónicas. |
A.14 |
Aquisição, desenvolvimento e manutenção de sistemas: Segurança nas operações de desenvolvimento. Assegura que as considerações de segurança são plenamente tidas em conta no processo de desenvolvimento. |
A.15 |
Relações com fornecedores: Acordos a incluir nos contratos com qualquer entidade externa. Todos os terceiros devem ser examinados antes de partilharem informações. Estes controlos ajudam a gerir esse processo. |
A.16 |
Gestão de incidentes de segurança da informação: Orientações sobre como identificar, comunicar e registar incidentes de informação. Fornece uma funcionalidade que permite à pessoa responsável aprender com os incidentes. |
A.17 |
Aspectos da segurança da informação na gestão da continuidade das actividades: Assegure-se de que a sua organização está bem preparada para sobreviver às perturbações e de que os planos são viáveis. |
A.18 |
Conformidade: Identifique as leis e os regulamentos que regem a sua organização e registe qualquer revisão do seu sistema de gestão ou de segurança por uma fonte externa. |
CONSIDERAÇÕES ADICIONAIS
Antes da auditoria de certificação, a organização deve ter elaborado uma declaração de aplicabilidade (SoA).
Este requisito está descrito na cláusula 6 da norma ISO 27001. A declaração de aplicabilidade deve conter pelo menos 114 entradas para cada uma das categorias e controlos enumerados. Uma vez feito isto, cada controlo deve ser selecionado e justificado ou excluído com uma justificação semelhante. Todos os documentos SoA devem ser capazes de demonstrar que cada controlo foi tido em conta. Isto significa que um SoA deve conter todas as entradas assinaladas, uma simples listagem dos controlos seleccionados não satisfaz o requisito.
Este exemplo mostra como pode ser apresentada a diferença entre um controlo selecionado e um controlo excluído num SoA:
Os controlos seleccionados são susceptíveis de fazer parte das provas do tratamento do risco e devem ser registados como tal. Normalmente, estes controlos serão mantidos num registo de riscos, embora possam ser mantidos como documentação separada. A metodologia variará consoante as organizações, embora a demonstração de que os controlos do Anexo A estão implementados seja uma necessidade constante.
As disposições de segurança da norma não são algo a que a equipa de TI ou de segurança de uma organização tenha de aderir sozinha. A norma exige que todos os aspectos da organização sejam tidos em conta ao considerar os riscos e o seu tratamento.
As pessoas mais bem colocadas para resolver os problemas de risco nem sempre estão no departamento de TI; a composição exacta e a localização do tratamento do risco variam de organização para organização. A propriedade dos riscos é vital para garantir que os controlos são sujeitos a revisão.
FINALMENTE
Os controlos constantes do anexo A são apenas algumas das opções disponíveis para uma organização. Para fazer face a um risco identificado, podem ser utilizados controlos de segurança adicionais não especificamente descritos no anexo A. Desde que as cláusulas e controlos da norma sejam adequadamente tratados, o SGSI funcionará e proporcionará bons níveis de segurança da informação.
Secção 7: Apoio
A cláusula 7 refere-se aos recursos. Refere-se a pessoas, infra-estruturas e ambiente, bem como a recursos físicos, materiais, ferramentas, etc. Há também uma ênfase renovada no conhecimento como um recurso importante dentro da sua organização. Ao planear os seus objectivos de qualidade, uma das principais considerações será a capacidade atual dos seus recursos, bem como os que poderá necessitar de fornecedores ou parceiros externos.
A implementação e a manutenção de um SGSI eficaz requerem recursos de apoio. Estes recursos devem ser suficientes:
-
Capacidade: quer se trate de equipamento ou de infra-estruturas.
-
Competentes: se forem pessoas.
- Nas reuniões de análise da gestão.
COMPETÊNCIAA aplicação de controlos eficazes da segurança da informação depende, em grande medida, dos conhecimentos e competências dos seus empregados, fornecedores e contratantes. Para ter a certeza de que existe uma base adequada de conhecimentos e competências, é necessário:
-
definir os conhecimentos e competências necessários;
-
determinar quem deve possuir os conhecimentos e as competências; e
-
estabelecer a forma como pode avaliar ou verificar se as pessoas certas possuem os conhecimentos e as competências adequadas.
O seu auditor espera que disponha de documentos que especifiquem os seus requisitos em matéria de conhecimentos e competências. Se considerar que os requisitos estão preenchidos, deve basear-se em documentos como certificados de formação, registos de frequência de cursos ou avaliações internas de competências.
SUGESTÃO: A maioria das organizações que já utiliza ferramentas como matrizes de formação/competências, avaliações ou avaliações de fornecedores pode satisfazer o requisito de registos de competências alargando as áreas abrangidas de modo a incluir a segurança da informação.
CONSCIÊNCIA
Para além de garantir a competência específica do pessoal-chave em matéria de segurança da informação, o grupo mais vasto de funcionários, fornecedores e contratantes deve estar ciente dos elementos básicos do seu SGSI. Isto é essencial para estabelecer uma cultura de apoio no seio da organização.
Todo o pessoal, fornecedores e contratantes devem estar cientes do seguinte:
-
O que é um SGSI e porque é que o tem.
-
Que dispõem de uma política de segurança da informação e quais os elementos específicos dessa política que lhes dizem respeito.
-
Como podem ajudar a sua organização a proteger a sua valiosa informação e o que devem fazer para ajudar a organização a atingir os seus objectivos de segurança da informação.
-
Quais as políticas, procedimentos e controlos que os afectam e quais as consequências do seu incumprimento.
SUGESTÃO: A comunicação destas informações pode normalmente ser feita através de processos e documentos existentes, tais como cursos de iniciação, contratos de trabalho, conversas sobre ferramentas, acordos com fornecedores, briefings ou actualizações dos empregados.
COMUNICAÇÃO
Para que os processos do seu SGSI funcionem eficazmente, é necessário garantir que as actividades de comunicação são bem planeadas e geridas. A ISO 27001 detalha isto de forma concisa, exigindo que se determine:
-
o que precisa de ser comunicado;
-
quando é necessário comunicá-lo;
-
a quem deve ser comunicada;
-
quem é responsável pela comunicação; e
-
o que é o processo de comunicação.
SUGESTÃO: Se os seus requisitos de comunicação estiverem bem definidos nos seus processos, políticas e procedimentos, não precisa de fazer mais nada para satisfazer este requisito. Se não estiverem, deve considerar a possibilidade de documentar as suas principais actividades de comunicação sob a forma de uma tabela ou procedimento que inclua os títulos acima descritos. Não se esqueça que o conteúdo destes documentos também deve ser comunicado.
INFORMAÇÃO DOCUMENTADA
Para ser útil, a informação documentada que utiliza para implementar e manter o seu SGSI deve
-
para ser exato;
-
ser compreensível para as pessoas que o utilizam regular ou ocasionalmente; e
-
ajudá-lo a cumprir os requisitos legais, a gerir os riscos de segurança da informação e a atingir os seus objectivos.
Para garantir que as suas informações documentadas cumprem sempre estes requisitos, deve dispor de processos para o efeito:
-
As informações documentadas são revistas, se for caso disso, pelas pessoas competentes antes da sua divulgação geral;
-
o acesso à informação documentada é controlado de modo a que esta não possa ser acidentalmente modificada, corrompida, apagada ou acedida por pessoas não autorizadas;
-
que as informações sejam apagadas de forma segura ou devolvidas ao seu proprietário quando necessário; e
-
pode acompanhar as alterações na informação para garantir o controlo do processo.
A fonte da sua informação documentada pode ser interna ou externa, pelo que os seus processos de controlo devem gerir a informação documentada de ambas as fontes.
SUGESTÃO: As organizações com um bom controlo de documentos têm normalmente um ou mais dos seguintes elementos:
-
Uma única pessoa ou uma pequena equipa responsável por assegurar que os documentos novos/alterados são revistos antes da publicação, armazenados no local adequado, retirados de circulação quando substituídos e que é mantido um registo das alterações.
-
Um sistema de gestão de documentos electrónicos que contém fluxos de trabalho e controlos automatizados.
-
Processos robustos de salvaguarda de dados electrónicos e de arquivo/armazenamento de ficheiros em papel.
-
Elevada sensibilização dos empregados para os requisitos de controlo de documentos, manutenção de registos e acesso/preservação de informações.
Secção 8: Funcionamento
Assim, depois de todo o planeamento e avaliação de riscos, estamos prontos para passar à fase "fazer". A cláusula 8 diz respeito a um controlo adequado da criação e entrega do seu produto ou serviço.
A gestão dos riscos de segurança da informação e a realização dos seus objectivos exigem a formalização das suas actividades num conjunto de processos claros e coerentes.
É provável que muitos destes processos já existam (por exemplo, a indução ou a formação) e que precisem simplesmente de ser modificados para incluir elementos relevantes para a segurança da informação. Outros processos podem ter lugar numa base ad hoc (por exemplo, aprovação de fornecedores), enquanto outros podem nem sequer existir (por exemplo, auditoria interna).
As seguintes práticas são cruciais para a implementação de processos eficazes:
-
Os processos são criados através da adaptação ou formalização das actividades "habituais" de uma organização.
-
Identificação sistemática dos riscos de segurança da informação relevantes para cada processo.
-
Definição e comunicação claras do conjunto de actividades necessárias para gerir os riscos de segurança da informação quando ocorre um evento (por exemplo, a entrada de um novo funcionário na empresa).
-
Atribuição clara de responsabilidades para a realização de actividades conexas.
-
Atribuição adequada de recursos para garantir que as actividades conexas possam ser realizadas como e quando necessário.
-
Avaliação de rotina da coerência com que cada processo é seguido e da sua eficácia na gestão dos riscos relevantes para a segurança da informação.
DICA: Para cada processo, designe uma pessoa responsável por garantir a execução das etapas 2 a 6. Esta pessoa é frequentemente designada por "proprietário do processo".
AVALIAÇÃO DOS RISCOS PARA A SEGURANÇA DA INFORMAÇÃO
Os métodos e técnicas de avaliação do risco descritos na cláusula 6 devem ser aplicados a todos os processos, bens, informações e actividades no âmbito do SGSI da organização.
Uma vez que os riscos não são estáticos, os resultados destas avaliações devem ser revistos com uma frequência adequada. Em geral, esta frequência é, pelo menos, anual, ou mais frequente se a avaliação identificar a presença de um ou mais riscos significativos. Os riscos também devem ser revistos sempre que:
-
que todas as acções de tratamento dos riscos foram concluídas (ver abaixo);
-
se houver alterações nos activos, informações ou processos da organização;
-
forem identificados novos riscos; ou
-
A experiência ou novos dados indicam que a probabilidade e as consequências de quaisquer riscos identificados se alteraram.
SUGESTÃO: Para garantir que o seu processo de avaliação de riscos abrange os tipos de eventos que exigiriam uma revisão, deve também considerar os controlos no Anexo A para a Gestão de Vulnerabilidades Técnicas (A.12.6), Segurança nos Processos de Desenvolvimento e Suporte (A.14.2) e Gestão da Prestação de Serviços a Fornecedores (A.15.2).
LIDAR COM OS RISCOS DE SEGURANÇA DA INFORMAÇÃO
O plano de tratamento de riscos que desenvolver não pode ficar-se por uma mera declaração de intenções; tem de ser implementado. Quando são necessárias alterações para ter em conta novas informações sobre os riscos e alterações nos critérios de avaliação dos riscos, o plano deve ser atualizado e reaprovado.
O impacto do plano também deve ser avaliado e os resultados dessa avaliação devem ser registados. Isto pode ser feito como parte da análise da gestão ou dos processos de auditoria interna, ou através de avaliações técnicas, como testes de penetração da rede, auditorias de fornecedores ou auditorias de terceiros sem aviso prévio.
Secção 9: Avaliação do desempenho
Existem três formas principais de avaliar o desempenho de um SGSI. São elas:
-
monitorizar a eficácia dos controlos do SGSI;
-
através de auditorias internas; e
-
nas reuniões de análise da gestão.
ACOMPANHAMENTO, MEDIÇÃO, ANÁLISE E AVALIAÇÃO
A sua organização terá de decidir o que é necessário monitorizar para ter a certeza de que o processo do SGSI e os controlos de segurança da informação estão a funcionar como previsto. Não é prático para uma organização monitorizar tudo a toda a hora; se o tentar fazer, o volume de dados será provavelmente tão grande que seria praticamente impossível utilizá-lo eficazmente. Na prática, portanto, terá de tomar uma decisão informada sobre o que monitorizar.
As considerações que se seguem serão importantes:
-
Que processos e actividades estão sujeitos às ameaças mais frequentes e significativas?
-
Que processos e actividades apresentam as vulnerabilidades mais significativas?
-
O que é prático para monitorizar e gerar informações significativas e oportunas?
-
Para que cada processo de controlo implementado seja eficaz, é necessário defini-lo claramente:
-
A forma como o controlo é efectuado (por exemplo, se está definido num procedimento);
-
Quando é realizado;
-
Quem é responsável pela sua execução;
-
Como são comunicados os resultados, quando, a quem e o que fazem com eles
-
Se os resultados da monitorização identificarem um desempenho inaceitável, qual é o processo ou procedimento de escalonamento para resolver esta situação.
Para demonstrar a um auditor que existe um processo de monitorização adequado, devem ser conservados os registos dos resultados da monitorização, das análises, das revisões da avaliação e de quaisquer actividades de escalonamento.
AUDITORIAS INTERNAS
As auditorias internas que efectua devem verificar:
-
a coerência com que os processos, procedimentos e controlos são seguidos e aplicados;
-
o grau de sucesso dos seus processos, procedimentos e controlos na obtenção dos resultados pretendidos; e
-
se o seu SGSI continua a estar em conformidade com a norma ISO 27001 e com os requisitos das partes interessadas.
Para garantir que as auditorias são efectuadas com um elevado nível de qualidade e de uma forma que se considere representar um valor acrescentado, devem ser realizadas por pessoas que:
-
são respeitadas;
-
competente
-
compreender os requisitos da norma ISO 27001; e
-
possam interpretar rapidamente a sua documentação e tenham boas práticas em matéria de técnicas e comportamentos de auditoria.
O mais importante é que lhe seja atribuído tempo suficiente para efetuar a auditoria e que lhe seja assegurada a cooperação dos empregados relevantes. Deve manter um plano para efetuar as suas auditorias internas. Um auditor externo esperará que este plano garanta que todos os processos do SGSI sejam auditados num ciclo de três anos e que os processos que são auditados o sejam:
-
tenham apresentado provas de mau desempenho (por exemplo, através de auditorias anteriores, resultados de controlos ou incidentes de segurança da informação); e/ou
-
gestionar os riscos mais importantes para a segurança da informação
-
são objeto de auditorias mais frequentes.
O auditor externo espera igualmente que as acções identificadas nas auditorias sejam registadas, analisadas pelos funcionários adequados e que as acções sejam aplicadas atempadamente para retificar quaisquer problemas significativos. Devem ter em conta, no momento do encerramento, quaisquer oportunidades de melhoria identificadas que exijam um investimento significativo de recursos.
ANÁLISE DA GESTÃO
A análise pela direção é um elemento essencial de um SGSI. É o momento formal em que a direção analisa a eficácia do SGSI e assegura o seu alinhamento com a direção estratégica da organização. As revisões pela direção devem ter lugar a intervalos planeados e o programa global de revisão (ou seja, uma ou mais reuniões) deve abranger, pelo menos, uma lista de áreas fundamentais especificadas no ponto 9.3 da norma.
Não é essencial realizar uma única reunião de análise pela direção que abranja toda a ordem de trabalhos.
Se atualmente realiza uma série de reuniões que abrangem os contributos entre elas, não há necessidade específica de as duplicar.
Deberá conservar información documentada sobre sus revisiones de la gestión. Normalmente se trata de las actas de las reuniones o de las grabaciones de las llamadas si se realizan conferencias telefónicas. No es necesario que sean notas extensas, pero deben contener un registro de las decisiones tomadas y las acciones acordadas, idealmente con responsabilidades y plazos.
SUGERENCIA: Si decide adaptar su actual calendario de reuniones de gestión y estas reuniones cubren varias áreas, puede considerar la posibilidad de resumir las áreas que cubren estas reuniones en forma de tabla o procedimiento, de modo que quede claro para usted y para un auditor qué reuniones cubren cada una de las áreas de revisión requeridas.
Sección 10: Mejora
El objetivo principal de la implantación de un SGSI debe ser reducir la probabilidad de que se produzcan eventos de seguridad de la información y su impacto. Ningún SGSI será perfecto. Sin embargo, un SGSI exitoso mejorará con el tiempo y aumentará la resistencia de la organización a los ataques a la seguridad de la información.
NO CONFORMIDAD Y ACCIÓN CORRECTIVA
Uno de los principales motores de la mejora es aprender de los incidentes de seguridad, de los problemas detectados en las auditorías, de los problemas de rendimiento detectados en la supervisión, de las quejas de las partes interesadas y de las ideas generadas en las revisiones de la gestión.
Para cada oportunidad de aprendizaje identificada debe mantener un registro de:
-
lo que ocurrió;
-
si el suceso tuvo consecuencias indeseables, qué medidas se tomaron para contenerlas y mitigarlas;
-
la causa raíz del suceso (si se determina);
-
las medidas adoptadas para eliminar la causa principal (si es necesario); y
-
una evaluación de la eficacia de las medidas adoptadas.
ANÁLISIS DE LA CAUSA RAÍZ
Para identificar una acción correctiva eficaz, es muy recomendable realizar un análisis de la causa raíz del problema que se ha producido. Si no se llega al fondo de por qué o cómo ha ocurrido, es probable que cualquier solución que se aplique no sea del todo eficaz. Un enfoque sencillo, como el de los "5 porqués", es una buena herramienta de análisis de la causa raíz: empezar con el problema y preguntar "por qué" suficientes veces para llegar a la causa raíz. Por lo general, basta con preguntar cinco veces, pero en el caso de problemas más complejos puede ser necesario profundizar más.
Por ejemplo:
Planteamiento del problema:
La organización fue infectada por el virus Wannacry
¿Por qué?
Alguien hizo clic en un enlace en un correo electrónico y descargó el virus e infectó su PC
¿Por qué?
No han recibido ninguna formación para hacer clic en los enlaces de los correos electrónicos que no esperan recibir
¿Por qué?
El responsable de formación está de baja por maternidad y la organización no ha implementado su cobertura
¿Por qué?
El proceso de baja por maternidad no está contemplado en el Procedimiento de Gestión de Cambios, por lo que no se completó una evaluación de riesgos para identificar cualquier riesgo para la seguridad de la información.
CONSEJO: Es posible que no disponga de recursos suficientes para llevar a cabo el análisis de la causa raíz de cada suceso. Para priorizar sus esfuerzos, debería considerar la posibilidad de realizar primero una simple evaluación del riesgo de un suceso y, a continuación, emprender el análisis de la causa raíz sólo para aquellos que presenten un riesgo medio o alto.
Saque el máximo partido a su sistema de gestión
Consejos para implantar con éxito un SGSI
-
Comience con el "¿Por qué?". Asegúrese de que las razones para implantar un SGSI son claras y están en consonancia con su dirección estratégica; de lo contrario, corre el riesgo de no obtener la aceptación crítica de la alta dirección.
-
A continuación, considere el "¿Para qué?". Implantar y mantener un SGSI requiere un compromiso importante, así que asegúrese de que su alcance es lo suficientemente amplio como para abarcar la información crítica que hay que proteger, pero no es tan amplio como para no disponer de recursos suficientes para implantarlo y mantenerlo.
-
Consiga que todas las partes interesadas clave participen en los momentos adecuados. La alta dirección para el establecimiento del contexto, los requisitos, la política y los objetivos; los directivos y empleados con valiosos conocimientos para las evaluaciones de riesgos, el diseño de procesos y la redacción de procedimientos.
-
Comuníquese ampliamente a lo largo del proceso con todas las partes interesadas. Hágales saber lo que está haciendo, por qué lo está haciendo, cómo piensa hacerlo y cuál será su participación. Proporcione actualizaciones periódicas sobre el progreso.
-
Consiga ayuda externa cuando la necesite. No fracase por falta de conocimientos técnicos internos. La gestión de los riesgos de seguridad de la información suele requerir conocimientos especializados. Sin embargo, asegúrese de comprobar las credenciales de un tercero antes de contratarlo.
-
Mantenga la sencillez de sus procesos y la documentación de apoyo. Puede desarrollarse para ser más extensa con el tiempo si es necesario.
-
Diseñe y aplique reglas que pueda seguir en la práctica. No cometas el error de documentar una norma demasiado elaborada que nadie pueda seguir. Es mejor aceptar un riesgo y seguir buscando formas de gestionarlo.
-
Recuerde a sus proveedores. Algunos proveedores le ayudarán a mejorar su SGSI, otros aumentarán su riesgo. Debe asegurarse de que los proveedores de alto riesgo tienen controles al menos tan buenos como los suyos. Si no es así, busque alternativas.
-
Formar, formar y volver a formar. Es probable que la seguridad de la información sea un concepto nuevo para muchos o la mayoría de sus empleados. Es posible que la gente tenga que cambiar hábitos arraigados durante muchos años. Es poco probable que una sola sesión informativa de concienciación sea suficiente.
-
Recuerde que debe asignar recursos suficientes para probar rutinariamente sus controles. Las amenazas a las que se enfrenta su organización cambiarán constantemente y debe comprobar si es capaz de responder a ellas.
Para obtener un presupuesto para la certificación ISO 27001, simplemente haga clic aquí y complete nuestro formulario de presupuesto online.
Puede descargar un PDF de esta guía de implementación aquí: Guía de implementación de la norma ISO 27001 de NQA.