a daryus iso 27001:2013 o que é a … · byod – mitos e fatos ... information security...

AGENDA

A DARYUS

O que é a CONSUMERIZAÇÃO de TI?

O que muda para as organizações?

Como fica a gestão de TIC?

BYOD – Mitos e Fatos

Conclusões

Claudio Dodt, ISMAS, CISSP, CISA, ISO 27001 Lead Auditor

Business Continuity & Security Senior Consultant

[email protected] www.daryus.com.br claudiododt.com

www.twitter.com/daryusbr www.twitter.com/cdodt www.facebook.com/claudiododtcom

ISO 27001:2013 – Quais os impactos e

benefícios das atualizações da principal norma de Segurança da Informação?

Iluminando mentes,

capacitando profissionais

e protegendo negócios.

© Copyright 2013. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539

Lice

nça

de

Uso

COPYRIGHT© DARYUS / CLÁUDIO DODT

Você pode copiar, distribuir, criar obras derivadas e exibir as informações contidas neste documento com as seguintes restrições:

Deve ser dado crédito ao autor original, e a DARYUS. Ambas as fontes devem ser citadas.

$ Você NÃO pode utilizar as informações contidas neste documento para fins comerciais.

Compartilhamento exclusivo pela mesma Licença. Se você alterar, transformar, ou criar outra obra com nas informações contidas neste documento, você somente poderá distribuir a obra resultante sob uma licença idêntica a esta.


A DARYUS

A norma ISO 27001

Atualização 2013

•Modificações e Melhorias

• Período de Transição

Conclusões

Perguntas

AGENDA

• Empresa 100% nacional localizada em São Paulo capital;

• Representante educacional exclusiva do DRII – Disaster Recovery Institute International desde

2005;

• Especializada e líder no Brasil em consultoria e soluções para Continuidade de Negócios e

Recuperação de Desastres;

• Somos a empresa mais completa em Gestão de Riscos, por oferecer educação e consultoria de

forma especializada;

• Idealizadora de dois eventos que tornaram-se referencia no mercado nacional GRC International e

o GRM – Global Risk Meeting;

• Prêmio SECMASTER 2006 pela ISSA International;

• Reconhecida pela Infragard USA (California) em 2011.

Quem somos:

Nossas unidades

• Continuidade de Negócios

• Segurança da Informação

• Gestão de Processos de Negócios

• Governança, Risco e Conformidade

Nossos serviços:


Nossos clientes:


Claudio Dodt

Atua na área de tecnologia há mais de 10 anos exercendo atividades como técnico e analista de suporte, Analista de

Segurança Sr., Security Officer e Supervisor de Infraestrutura e Segurança.

Desenvolveu atividades em empresas brasileiras e multinacionais, tendo participado no Brasil e no exterior em

projetos de segurança de diversos segmentos como Educacional, Financeiro, Saúde, Agroindústria, Indústria

Alimentícia, Naval, Metal-Mecânica e Têxtil.

Geek convicto, mergulhador autônomo e um grande amante da leitura e dos videogames.

Especializações ITIL® V2 Service Manager / ITIL® Expert;

Certified Information Systems Security Professional (CISSP®);

Certified Information Systems Auditor (CISA);

Certified in Risk and Information Systems Control (CRISC);

ISO 27001 Lead Auditor;

ISO/IEC 20000 Foundation;

Information Security Foundation (ISFS) based on ISO/IEC 27002;

Information Security Management Advanced based on ISO/IEC 27002;

CobiT Foundation;

EXIN Cloud Computing Foundation;

EXIN Certified Integrator Secure Cloud Services;

EXIN Accredited Trainer – (ITIL Foundation; ISO 20000 Foundation, ISFS, ISMAS,

Cloud Foundation).

Cláudio Dodt Business Continuity & Security Senior Consultant - Regional Manager

WWW.CLAUDIODODT.COM https://www.facebook.com/claudiododtcom

CLAUDIODODT.COM


Objetivo: Esta norma foi preparada para fornecer os

requisitos para estabelecer, implementar, manter e melhorar

continuamente um Sistema de Gestão de Segurança da

Informação.

Objetivo: Prover um modelo para estabelecer, implementar,

operar, monitorar, analisar criticamente, manter e melhorar

um Sistema de Gestão de Segurança da Informação

(SGSI). 27001:2005

A 27000 é a principal família de normas de Segurança da Informação aceitas

internacionalmente;

Aplicável a qualquer organização, independentemente de tamanho ou

segmento;

Base para uma certificação, mas pode ser usada mesmo sem esse objetivo.

A norma ISO 27001


Objetivo: Esta norma foi preparada para fornecer os

requisitos para estabelecer, implementar, manter e melhorar

continuamente um Sistema de Gestão de Segurança da

Informação.

A norma ISO 27001

Atualizada em 25 de Setembro de 2013;

Update foi baseado na experiência de usuários que buscavam certificação;

Objetivo principal é simplificar a abordagem e proporcionar melhorias na

gestão de riscos.

27001:2013


Annex SL: Alinhamento com outros Sistemas de Gestão

Estrutura

Subcláusulas

Texto idêntico

Definições

Termos

Compatibilidade

Normas que adotam o Annex SL compartilham:

Atualização 2013 – Modificações e Melhorias


Annex SL: Alinhamento com outros Sistemas de Gestão

ISO

9001

ISO

22301

ISO

14001

ISO

20000

ISO

22000

ISO

27001



Estrutura da Norma

ISO 27001:2005 ISO 27001:2013 4. Sistema de Gestão de Segurança da Informação

5. Responsabilidades da Direção

6. Auditorias internas do SGSI

7. Análise Crítica do SGSI pela direção

8. Melhoria do SGSI

4. Contexto da Organização

5. Liderança

6. Planejamento

7. Suporte

8. Operação

9. Avaliação de Performance

10. Melhoria



A

C

D

P

Estrutura da Norma

Pontos Interessantes:

Ficou mais simples entender o ciclo PDCA

da 27001;

Agora é essencial entender o contexto e as

expectativas das partes interessadas.

A importância da participação da alta

direção na liderança e comprometimento

com todas as atividades relacionadas ao

SGSI ficou ainda mais evidente;


5. Liderança

6. Planejamento

7. Suporte

8. Operação


10. Melhoria

ISO 27001:2013



A

C

D

P

Estrutura da Norma

Transição para 27001:2013

Listar todas as partes interessadas:

Identificar todos os Stakeholders

Se você já fazia isso no controle

A.15.1.1, praticamente não existe

mudança.


5. Liderança

6. Planejamento

7. Suporte

8. Operação


10. Melhoria

ISO 27001:2013



A

C

D

P

Estrutura da Norma


Definir interfaces do escopo do SGSI:

Agora é necessário identificar todas as

interfaces do SGSI com atividades feitas

pela sua organização e diferenciar das

atividades feitas por terceiros.


5. Liderança

6. Planejamento

7. Suporte

8. Operação


10. Melhoria

ISO 27001:2013



A

C

D

P

Estrutura da Norma


Alinhar o SGSI x Estratégia Corporativa:

Na versão 2013 é necessário determinar

se os objetivos de Segurança da

Informação são compatíveis com a

direção estratégica da organização.


5. Liderança

6. Planejamento

7. Suporte

8. Operação


10. Melhoria

ISO 27001:2013



A

C

D

P

Estrutura da Norma


Mudanças na Política:

Não existe mais necessidade de uma

“Política do SGSI”, a Política de

Segurança é suficiente

Alguns requisitos mudaram, não é mais

necessário incluir o alinhamento com a

gestão de risco estratégica ou o critério

de avaliação de risco


5. Liderança

6. Planejamento

7. Suporte

8. Operação


10. Melhoria

ISO 27001:2013



A

C

D

P

Estrutura da Norma


Mudanças no processo de Avaliação de

Riscos:

É necessário identificar o responsável para cada

risco identificado

Não é mais necessário seguir uma metodologia

baseada na identificação de ativos ameaças

vulnerabilidades, você pode fazer de uma maneira

mais simples!

Importante identificar processos terceirizados e

como estes são controlados


5. Liderança

6. Planejamento

7. Suporte

8. Operação


10. Melhoria

ISO 27001:2013



A

C

D

P

Estrutura da Norma


Declaração de aplicabilidade:

Agora é necessário identificar se os

controles estão implementados ou não


5. Liderança

6. Planejamento

7. Suporte

8. Operação


10. Melhoria

ISO 27001:2013



A

C

D

P

Estrutura da Norma


Tratamento de Riscos:

Agora é necessário obter a aprovação

dos responsáveis pelo risco (risk

owners) tanto para o RTP, quanto para o

risco residual


5. Liderança

6. Planejamento

7. Suporte

8. Operação


10. Melhoria

ISO 27001:2013



A

C

D

P

Estrutura da Norma


Planejamento da Comunicação:

A comunicação deve ser sistemática

Deve existir um processo que defina o

que é comunicado, como, quando e para

quem

O processo de comunicação deve incluir

partes internas e externas


5. Liderança

6. Planejamento

7. Suporte

8. Operação


10. Melhoria

ISO 27001:2013



A

C

D

P

Estrutura da Norma


Processos de gerenciamento:

Não existe mais necessidade de um procedimento

de “ação preventiva”, pois este virou parte

avaliação/gestão de riscos

Não existe mais necessidade de ter procedimentos

documentados para Controle de Documentos,

Auditoria Interna e Ação corretiva

Ainda assim os processos devem ser mantidos,

mesmo que não documentados


5. Liderança

6. Planejamento

7. Suporte

8. Operação


10. Melhoria

ISO 27001:2013



A

C

D

P

Estrutura da Norma


Novas políticas e procedimentos:

Se os controles a seguir se aplicam ao

seu escopo, será necessário escrever

novos documentos:

Secure system engineering principles (control

A.14.2.5)

Supplier security policy (control A.15.1.1)

Incident management procedure (control

A.16.1.5)

Business continuity procedures (control

A.17.1.2)


5. Liderança

6. Planejamento

7. Suporte

8. Operação


10. Melhoria

ISO 27001:2013



A

C

D

P

Estrutura da Norma


Medição e relatoria:

Requisitos bem mais exigentes: Objetivos de segurança devem ser

mensuráveis;

Atividades para tratar riscos devem ser

avaliadas;

No planejamento de objetivos, deve ser

considerado como o resultado será avaliado;

É necessário definir o que será monitorado e

medido, quando isso vai ser feito, quem o fará

e quem vai avaliar os resultados;

O responsável por reportar o desempenho do

SGSI deve ser claramente identificado.


5. Liderança

6. Planejamento

7. Suporte

8. Operação


10. Melhoria

ISO 27001:2013



Anexo A – Novas seções

27001:2005

27001:2013

11 seções

14 seções

Reorganização

Consolidação

Atualização

Exclusões

Simplificação

Melhorias em geral

Mais seções significa mais trabalho?

133 controles

114 controles



Anexo A – Novas seções

5. Security Policies

6. Organization of information security

7. Human resource security

8. Asset management

9. Access control

10. Cryptography

11. Physical and environmental security

12. Operations security

13. Communications security

14. System acquisition, development and maintenance

15. Supplier relationships

16. Information security incident management

17. Information security aspects of business continuity

18. Compliance



Anexo A – 24 Controles Excluídos

• 12.2.3 Message integrity

• 12.2.4 Output data validation

• 11.5.5 Session time out

• 11.5.6 Limitation of connection time

• 11.6.2 Sensitive system isolation

• 12.5.4 Information leakage

• 14.1.2 Business continuity and risk assessment

• 14.1.3 Developing and implementing business continuity plans

• 14.1.4 Business continuity planning framework

• 15.1.5 Prevention of misuse of information processing facilities

• 15.3.2 Protection of information systems audit tools



Anexo A – 7 Novos Controles

• 14.2.1 Secure development policy – rules for development of software and

information systems

• 14.2.5 System development procedures – principles for system engineering

• 14.2.6 Secure development environment – establishing and protecting development

environment

• 14.2.8 System security testing – tests of security functionality

• 16.1.4 Assessment and decision of information security events – this is part of

incident management

• 17.2.1 Availability of information processing facilities – achieving redundancy



27001:2013

Quando devo passar a usar a

ISO 27001:2013?

Período de Transição


27001:2013

1 2 3

Setembro 2013

Setembro 2014

Setembro 2015

2 anos

1 ano 1 ano

Período de Transição

1. 27001:2013 Já é possível obter a certificação ISO

27001:2013 desde Setembro, mas a norma ainda não foi

publicada no Brasil. Isso deve acontecer ainda esse ano.

2. 27001:2005 É possível obter a certificação ISO

27001:2005 até 25 de Setembro de 2014 (um ano)

3. Migração Quem já possui a certificação na versão

anterior, deve migrar para a 27001 até 25 de Setembro

de 2015 (2 anos)


Facilidade de alinhamento com outros Sistemas de Gestão.

Estrutura, seções e controles foram consolidados e estão mais efetivos.

Mudanças refletem os paradigmas dos últimos 8 anos.

Foco na Gestão de Riscos e participação da Alta Direção.

Existe esforço na transição 27001:2005 27001:2013, porém é aceitável.

Melhorias na 27001:2013

Prazos máximo para migração é de até 2 anos.

Conclusões


• As melhorias da 27001:2013 justificam sua adoção...

...o prazo de adoção é de até 2 anos.

• Se você já está perto de certificar seu SGSI...

...mantenha a 27001:2005, mas pense no futuro.

• Se você vai iniciar um projeto de certificação...

...Prepare seu SGSI com a 27001:2013

Conclusões

a daryus iso 27001:2013 o que é a … · byod – mitos e fatos ... information security...

Documents