Conhecendo a ABNT NBR ISO/IEC 27001 – Parte 3

Continuando a apresentação dos requisitos da norma, iniciada no post Conhecendo a ABNT NBR ISO/IEC 27001 – Parte 2, serão abordados os demais requisitos, tais como documentação, responsabilidades da direção, entre outros.

Requisitos de Documentação

Devem estar incluídos na documentação do SGSI as declarações documentadas da política, os objetivos e o escopo do SGSI; os procedimentos documentados e controles, incluindo aqueles relacionados ao planejamento, à operação e ao controle dos processos de segurança da informação;  a metodologia descrita para análise e avaliação de riscos e o relatório dessa avaliação; o plano de tratamento de riscos; os registros descritos na norma no item Controle de Registros (descrito mais adiante) e a Declaração de Aplicabilidade. As decisões da Direção também devem ser registradas e os registros dos resultados devem ser reproduzíveis. Também é importante que os controles selecionados sejam relacionados com os resultados da análise e avaliação dos riscos.

Controle de Documentos

Um procedimento documentado deve ser estabelecido definindo ações para aprovar e atualizar documentos; assegurar que as alterações e as versões dos documentos sejam identificadas e estejam disponíveis quando necessárias; garantir a legibilidade, a identificação, o armazenamento, o controle da distribuição e o descarte dos documentos; identificar documentos de origem externa e prevenir o uso não intencional de documentos obsoletos.

Controle de Registros

Os registros são elementos utilizados para evidenciar a conformidade aos requisitos e a eficácia da operação de um SGSI. Eles devem ser controlados, sendo identificados, armazenados, protegidos, recuperáveis prontamente e com tempo de retenção definido. Registros do desempenho do processo e de todas as ocorrências de incidentes devem ser mantidos.

 

Seção 5 - Responsabilidades da Direção

O  comprometimento da Direção com o estabelecimento, implementação, operação, monitoração, análise crítica, manutenção e melhoria de um Sistema de Gestão de Segurança da Informação deve ser evidenciado através do estabelecimento da política do SGSI; da garantia de que os planos e os objetivos do SGSI são estabelecidos; de que papéis e responsabilidades pela segurança da informação foram estabelecidos; da comunicação com a organização informando a importância do atendimento dos objetivos de segurança da informação; da provisão suficiente de recursos para o SGSI; da definição de critérios para aceitação de riscos e dos níveis de riscos aceitáveis; da garantia da execução das auditorias internas e da realização de análises críticas pela Direção.

Gestão de Recursos

A organização deve determinar e prover recursos para o estabelecimento, implementação, operação, monitoração, análise crítica, manutenção e melhoria de um Sistema de Gestão de Segurança da Informação.

Ela também deve assegurar que as pessoas têm as competências necessárias para executar atividades relacionadas à segurança da informação, contratando pessoal capacitado ou fornecendo treinamentos, quando necessário. Deve ainda registrar a educação, o treinamento, as habilidades, as experiências e a qualificação do pessoal.

 

Seção 6 – Auditorias Internas do SGSI

As auditorias internas devem ser planejadas para determinar se objetivos de controle, os controles, os processos e procedimentos do SGSI atendem à norma, à legislação pertinente, aos requisitos de segurança da informação identificados, se são mantidos e implementados de modo eficaz e, sobretudo, se são executados conforme definidos.

Devem ser definidos ainda os critérios de auditoria, escopo, frequência e métodos a serem utilizados, bem como devem ser selecionados auditores que assegurem objetividade e imparcialidade à auditoria. Ressalta-se que as responsabilidades e os requisitos para planejar e executar auditorias, relatar resultados e manter registros devem estar definidos em procedimento documentado.

Seção 7 – Análise Crítica do SGSI pela Direção

O SGSI deve ser analisado criticamente pela Direção em intervalos planejados (ao menos uma vez por ano), incluindo a avaliação de oportunidades para melhoria e necessidades de mudança do SGSI. Os resultados dessas análises devem ser documentados e os registros mantidos. A tabela abaixo exibe as entradas que devem ser incluídas para realizar a análise crítica, bem como as decisões e ações advindas dessa análise (saídas).

Tabela 1 – Entradas e Saídas da Análise Crítica do SGSI pela Direção. Fonte: ABNT, 2006, p. 11-2.

Seção 8 – Melhoria do SGSI

A organização deve continuamente melhorar o SGSI através da política de segurança da informação, dos resultados das auditorias, das análises de eventos monitorados, da análise crítica pela Direção e das ações corretivas e preventivas. Devem existir procedimentos documentados para essas ações, conforme mostrado na tabela abaixo:

Tabela 2 – Requisitos para procedimento documentado de Ação Corretiva e Ação Preventiva. Fonte: ABNT, 2006, p. 12-3.

 

Conclusão

Como visto, a norma ABNT NBR ISO/IEC 27001 contempla requisitos para o estabelecimento, implementação, operação, monitoração, análise crítica, manutenção e melhoria de um Sistema de Gestão de Segurança da Informação.

Ela foi concebida prevendo sua compatibilidade com as normas ABNT NBR ISO 9001 (ainda que seja relacionada à versão 2000) e à ABNT NBR ISO 14001:2004 (vide Anexo C da norma: Correspondência entre a ABNT NBR ISO 9001:2000 e ABNT NBR ISO 14001:2004 e esta Norma). 

Portanto, organizações que tiverem seus sistemas de gestão certificados nessas normas poderão alinhar e integrar um SGSI com os requisitos desses sistemas de gestão de forma consistente.

Referência Bibliográfica:

ABNT – Associação Brasileira de Normas Técnicas. ABNT NBR ISO/IEC 27001 - Tecnologia da informação - Técnicas de segurança – Sistemas de gestão de segurança da informação - Requisitos. ABNT, 2006.

Você pode fazer o download completo deste artigo em: http://www.box.net/shared/0g9pztf5a9

Conhecendo a ABNT NBR ISO/IEC 27001 – Parte 2

Continuando a apresentação da norma, iniciada no post Conhecendo a ABNT NBR ISO/IEC 27001 – Parte 1, serão apresentados agora os requisitos propriamente ditos.

Seção 4 – Sistema de Gestão de Segurança da Informação

Conforme visto anteriormente, a norma adota o ciclo PDCA (Plan, Do, Check, Act) para estruturar todos os processos envolvidos em um Sistema de Gestão de Segurança da Informação (SGSI). Cada uma dessas fases será apresentada a seguir.

 

Figura 2 – Ciclo PDCA aplicado aos processos de um Sistema de Gestão de Segurança da Informação. Fonte: ABNT, 2006, p. v.

 

Estabelecer SGSI (Plan)

Esta fase compreende toda a preparação necessária para a implementação do SGSI na organização, a qual deve:

Definir o escopo (abrangência) do SGSI considerando-se características do negócio, a organização, sua localização, ativos e tecnologia. Exclusões de escopo deverão ser justificadas, se houver;

Definir uma Política de SGSI aprovada pela direção, que contenha princípios para ações relacionadas à Segurança da Informação;

Definir uma metodologia para identificação, análise e avaliação de riscos, bem como a definição de opções de tratamento desses riscos que seja adequada ao SGSI e aos requisitos identificados para o negócio, contendo identificação de ativos, ameaças, vulnerabilidades e impactos desses riscos aos ativos, critérios e níveis para aceitação de riscos, considerando-se os impactos para o negócio, a avaliação da probabilidade real da ocorrência, a estimativa de níveis de riscos e se esses riscos serão aceitos ou se será necessário tratá-los.

Selecionar objetivos de controle e quais controles serão utilizados para tratar os riscos. Esta norma sugere como ponto de partida controles derivados da norma ABNT NBR ISO/IEC 27002, que são apresentados no Anexo A da norma 27001;

Obter aprovação da direção dos riscos residuais propostos, bem como da autorização para implementar e operar o SGSI;

Preparar a Declaração de Aplicabilidade, que fornece um resumo das decisões relativas ao tratamento de riscos (lista dos objetivos de controle e controles selecionados e atualmente implementados, bem como quaisquer um deles que tenha sido excluído, devidamente justificado).

Implementar e Operar SGSI (Do)

Esta fase compreende o funcionamento do SGSI na organização, a qual deve:

Elaborar e implementar um plano de tratamento de riscos, identificando ação apropriada, recursos, responsabilidades e prioridades para a gestão de riscos de segurança;

Implementar controles selecionados anteriormente para atender aos objetivos de controle;

Definir a medição da eficácia dos controles, bem como como as medidas que devem ser utilizadas para avaliação da eficácia;

Implementar programas de conscientização e treinamento;

Gerenciar operações e recursos para o SGSI;

Implementar procedimentos e outros controles para detectar e responder prontamente a incidentes de segurança da informação.

Monitorar e Analisar Criticamente SGSI (Check)

É através desta fase que são verificados o desempenho e a eficácia do SGSI na organização, a qual deve:

Executar procedimentos de monitoração e análise crítica para detectar erros, tentativas, violações de segurança e incidentes prontamente; possibilitar à direção verificar se as atividades designadas a pessoas ou implementadas via tecnologia são executadas conforme esperado e verificar se as ações tomadas para solucionar violações foram eficazes;

Realizar regularmente análises críticas da eficácia do SGSI, considerando-se resultados das auditorias de SGSI, incidentes, resultados das medições de eficácia, sugestões, etc.;

Medir a eficácia dos controles;

Realizar análise crítica periódica das avaliações de riscos para verificar e considerar mudanças ocorridas ao longo do tempo;

Realizar auditorias internas periódicas do SGSI;

Realizar periodicamente a análise crítica do SGSI pela direção;

Atualizar  planos de segurança conforme resultados obtidos na monitoração e análise crítica;

Registrar eventos e ações que possam impactar na eficácia ou no desempenho do SGSI.

Manter e melhorar SGSI (Act)

Esta fase foca na manutenção e no aprimoramento contínuo do SGSI da organização, a qual deve:

Implementar melhorias identificadas no SGSI;

Executar ações preventivas e corretivas aplicando-se as lições aprendidas de outras organizações e/ou advindas da própria experiência organizacional;

Comunicar ações e melhorias para as partes interessadas;

Garantir que as melhorias realmente estejam atingindo os objetivos pretendidos.

No próximo artigo, serão abordados mais requisitos, tais como documentação, responsabilidades da direção, entre outros.

Referência Bibliográfica:

ABNT – Associação Brasileira de Normas Técnicas. ABNT NBR ISO/IEC 27001 - Tecnologia da informação - Técnicas de segurança – Sistemas de gestão de segurança da informação - Requisitos. ABNT, 2006.

Você pode fazer o download completo deste artigo em: http://www.box.net/shared/0g9pztf5a9

Conhecendo a ABNT NBR ISO/IEC 27001 – Parte 1

A ABNT NBR ISO/IEC 27001 – Sistemas de gestão de segurança da informação - Requisitos especifica requisitos para um Sistema de Gestão de Segurança da Informação (SGSI). E o que é um SGSI? É um sistema de gestão desenvolvido para a segurança da informação de uma organização, baseado em uma abordagem de riscos do negócio.

O documento da norma é estruturado em oito seções. As seções 0 a 3 referem-se à Introdução, Objetivo, Referência Normativa e Termos e Definições. Já os requisitos propriamente ditos se localizam nas seções 4 a 8. Para facilitar o entendimento, serão apresentadas primeiramente as seções 0 a 2. A seção 3 referente aos Termos e Definições não será abordada. Apenas quando se fizer necessário, um ou outro termo será aqui esclarecido.

Seção 0 – Introdução

A norma sugere a adoção de uma abordagem de processo para um SGSI, ou seja, que a organização deve identificar e gerenciar os processos envolvidos em um Sistema de Gestão de Segurança da Informação, bem como reconhecer suas interações. Além disso, a ABNT NBR ISO/IEC 27001 também adota o ciclo denominado PDCA (Plan, Do, Check, Act) para estruturar todos os processos envolvidos em um SGSI. O PDCA é uma ferramenta gerencial que possibilita a melhoria contínua de processos e a solução de problemas.

Figura 1 – Ciclo PDCA aplicado aos processos de um Sistema de Gestão de Segurança da Informação. Fonte: ABNT, 2006, p. v.

Na fase Plan, devem ser estabelecidos a política, os objetivos, os processos e os procedimentos de um Sistema de Gestão de Segurança da Informação. Na etapa Do, a política, os controles, os processos e os procedimentos do sistema são implementados e entram em operação. Na fase Check, o SGSI é monitorado e avaliado (com medição de desempenho, quando aplicável) e seus resultados são apresentados para a direção para que sejam analisados criticamente. Por fim, na fase Act, as ações corretivas e preventivas identificadas em auditorias, em análise crítica da direção ou por qualquer outra forma pertinente, são implementadas.

Ressalta-se que a ABNT NBR ISO/IEC 27001 está alinhada às normas ABNT NBR ISO 9001:2000 e ABNT NBR ISO 14001:2004, de forma a permitir que seja compatível com outros sistemas de gestão.

Seção 1 – Objetivo

A ABNT NBR ISO/IEC 27001 tem como objetivo especificar requisitos para o estabelecimento, implementação, operação, monitoração, análise crítica, manutenção e melhoria de um Sistema de Gestão de Segurança da Informação (SGSI). Os requisitos são genéricos de maneira a permitir que sejam aplicáveis a quaisquer organizações, independentemente do tipo, tamanho e natureza.

É importante salientar que não é aceitável que uma organização que pretenda estar conforme a norma exclua quaisquer requisitos descritos nas seções 4 a 8. Porém, é observado que:

“Qualquer exclusão de controles considerada necessária para satisfazer aos critérios de aceitação de riscos precisa ser justificada e as evidências de que os riscos associados foram aceitos pelas pessoas responsáveis precisam ser fornecidas. Onde quaisquer controles forem excluídos, reivindicações de conformidade a esta Norma não são aceitáveis, a menos que tais exclusões não afetem a capacidade da organização, e/ou responsabilidade de prover segurança da informação que atenda os requisitos de segurança determinados pela análise/avaliação de riscos e por requisitos legais e regulamentares aplicáveis (ABNT, 2006, p. 2).”

Seção 2 – Referência Normativa

A norma ABNT NBR ISO/IEC 17799:2005 é referenciada como indispensável para a aplicação da norma ABNT NBR ISO/IEC 27001. Contudo, a ABNT NBR ISO/IEC 17799:2005 foi cancelada e substituída pela ABNT NBR ISO/IEC 27002. Você pode saber um pouco mais sobre essa norma em Conheça a NBR ISO/IEC 27002 – Parte 1

No próximo artigo, serão abordados os requisitos da norma ABNT NBR ISO/IEC 27001.

Referência Bibliográfica:

ABNT – Associação Brasileira de Normas Técnicas. ABNT NBR ISO/IEC 27001 - Tecnologia da informação - Técnicas de segurança – Sistemas de gestão de segurança da informação - Requisitos. ABNT, 2006.

Você pode fazer o download completo deste artigo em: http://www.box.net/shared/0g9pztf5a9

Chart Advisor sugere tipos de gráficos para exibir dados

Tenho certeza de que você vive, ou já viveu o dilema, de ter que exibir dados em um gráfico e ficar indeciso em escolher qual é o melhor para demonstrar o que você quer. Por causa disso, anteriormente eu já havia postado o artigo Você sabe escolher o melhor gráfico para exibir dados?, com duas sugestões para ajudar na escolha do tipo de gráfico. Uma delas é uma tabela com sugestões de gráficos para demonstrar determinado tipo de informação. A outra é o Chart Chooser, que lhe mostra, para uma determinado tipo de informação, quais são as opções de gráficos.

Agora eu lhe apresento uma terceira alternativa, que considero mais prática: Chart Advisor. Ele sugere, a partir de um conjunto de dados selecionado, quais são os gráficos mais indicados. O que é interessante é a forma de sugerir. Como em um cardápio de opções sob a forma de imagens, são exibidos os possíveis gráficos com o conjunto de dados selecionado, de tal forma que você obtém uma prévia visualização dos seus dados para cada tipo de gráfico. Dessa forma, você primeiro vê as possíveis opções, compara-as e depois escolhe a melhor forma de exibir seus dados.

O Chart Advisor é um suplemento (add-in) gratuito para o Excel, produzido pela Microsoft Office Labs, e por isso, trata-se de um protótipo, ou seja, está em experimentação. Porém, na minha opinião, isso não é motivo para não se fazer uso dele, ainda que sua performance não esteja otimizada, conforme advertido pela própria Microsoft.

No site, é informado que o suplemento pode ser instalado em ambientes 32-bit Windows XP ou Windows Vista, no Excel 2007. Mas eu instalei no Windows 7 e está funcionando perfeitamente.As limitações desse add-in referem-se à linguagem, pois está disponível somente em inglês e à sua capacidade de fazer análise de dados limitada a 8.000 células.

Para você ter uma ideia do uso desse suplemento, eu fiz um teste com dados bem simples dispostos em duas colunas. São os mesmos dados que utilizei para explicar o uso da ferramenta Diagrama de Pareto, no artigo Diagrama de Pareto: você sabe utilizá-lo? Os dados referem-se às causas de problemas típicos de prazo, custo, escopo, etc. que afetam projetos de desenvolvimento de software e à quantidade de vezes em que elas ocorreram nesses projetos.

 

Para que você possa entender melhor o uso desse suplemento, produzi um vídeo que exemplifica o uso do Chart Advisor. Clique na imagem abaixo para ampliar o vídeo na tela e visualizar em detalhes o funcionamento desse suplemento.

 

Download do Chart Advisor: http://goo.gl/GVkv

 

Você pode baixar este artigo completo em: http://www.box.net/shared/c0plr4e5o6