Seminário Anual 10 A Segurança de Informação e a Gestão de Serviços O papel da norma ISO/IEC 27001 Sub-título da Apresentação Data
Temas Porquê auditar? O processo de auditoria Factores críticos de sucesso Qual o âmbito de uma 1ª auditoria para certificação? Evidências! Sucessos e insucessos O dilema do auditor A melhoria contínua
Porquê auditar? 4.2.3 e) Conduct internal ISMS audits at planned intervals (see 6). NOTE: Internal audits, sometimes called first party audits, are conducted by, or on behalf of, the organization itself for internal purposes. ISO 27001:2005 Para determinar a conformidade ou não conformidade de elementos de um sistema de gestão para com requisitos específicos Para determinar a eficácia do sistema de gestão implementado para com objectivos específicos Para disponibilizar, ao auditado, oportunidades para a melhoria do sistema de gestão
O processo de auditoria Adjudicação / Envio de informação base Reunião 01 - Notificação de Arranque / Introdução Avaliação 02 Âmbito Planeamento Preliminar e processos (opcional) 03 Reunião de Abertura 04 Responsabilidades Trabalho de Campo de Segurança da Informação 05 6 Conformidade semanas Comunicação de intervalo, Legal / escalamento no máximo 06 Produção de relatório preliminar 07 Continuidade Obtenção de de resposta Negóciodos stakeolders 08 Controlos Reunião de de Segurança Fecho Física Certificação 09 Entrega de Relatório Formal 10 Controlos Calendarização de Segurança de Actividades Tecnológica de Seguimento Recursos Humanos Revisão de Documentação (Estágio 1) Elementos cruciais do SGSI Avaliação Inicial (Estágio 2) Verificação da implementação - PPPC s Avaliação anual contínua (semestral, caso necessário) A cada três anos, estágio 1 parcialmente, estágio 2 na totalidade Controlo de Sistemas de Informação Tratamento do Risco Reunião de Fecho
Factores críticos de sucesso Comunicação antecipada: Do calendário detalhado da auditoria Dos objectivos a atingir com cada um dos intervenientes Dos benefícios da auditoria a todos os potenciais intervenientes Da participação da gestão de topo Da disponibilidade dos auditados Da qualidade das evidências Um sistema de gestão de segurança da informação: que realmente exista; que faça sentido para a organização; que seja utilizado por esta que seja de facto uma FERRAMENTA DE GESTÃO INTERNA!!!
Qual o âmbito de uma 1ª auditoria para certificação? Tudo depende de Recursos Humanos, internos ou externos Financeiros Temporais Mas tem que ser um âmbito que: Possua um, ou mais, processos que tenham VALOR para com a organização Não exclua processos críticos da organização Justifique plenamente a exclusão de processos críticos evidentes se consiga gerir, nas diversas fases de planeamento, implementação, verificação e melhoria
Evidências! Podem ser obtidas em diversas fontes: Não conformidade Entrevistas com responsáveis de processos e activos Documentos no âmbito do sistema de gestão Registos Relatórios de várias origens, incluindo de Clientes Não conformidade GRAVE Observação Todas as evidências têm que ser verificadas pelo auditor Não interessa o nome Todas são oportunidades de melhoria, mas o objectivo deverá ser sempre evidenciar CONFORMIDADE
Sucessos e insucessos Sucessos: Compromisso inquestionável da gestão de topo Marketing agressivo no interior da organização Uma evidenciação clara das decisões de gestão do grupo de gestão do SGSI Insucessos Uma deficiente formalização das responsabilidades para a gestão da segurança da informação Um inadequado inventário de activos, face aos objectivos dos processos do âmbito Uma deficiente visão (conhecimento) do processo de gestão de risco
O dilema do auditor O normativo 27001 expressa que nem todos os controlos são relevantes para todas as situações A organização a certificar interpreta o normativo 27002 de acordo com os seus objectivos de negócio A organização pode justificar o não implementar de determinados controlos por decisão do negócio Quem toma a decisão de que um SGSI se encontra realmente desenhado e implementado para com os objectivos identificados pela organização? É A PRÓPRIA ORGANIZAÇÃO!
A melhoria contínua Plan Interested Parties DO Implement & operate the ISMS Establish ISMS Maintain & Improve the ISMS Act Interested Parties Information Security Requirements and expectations Monitor & Review the ISMS Check Managed information security