ISO 27001:2013 Quais os impactos e O que muda para as organizações?

Documentos relacionados
Segurança da Informação:

Inovação com Segurança da Informação: Desafios de uma gestão flexível para inovar de maneira segura.

Bem-vindo ao Circuito de Palestras EXIN 2014 Conheça o novo Portfólio EXIN:

BYOD: Qual o risco de usar dispositivos pessoais no ambiente corporativo?

Segurança da Informação

Apresentação. Objetivo. Dados Principais. Período 20/06 à 25/07

Roadmap para Implementação e Certificação ISO Mário Rui Costa

Segurança da Informação ISO/IEC ISO/IEC 27002

ILUMINANDO MENTES, PROTEGENDO NEGÓCIOS E CAPACITANDO PESSOAS.

ILUMINANDO MENTES, PROTEGENDO NEGÓCIOS E CAPACITANDO PESSOAS.

Gerenciamento e Interoperabilidade de Redes. Gestão de Segurança da Informação Prof. João Henrique Kleinschmidt

Promoção:? Campanha de Natal: 10% de desconto até 31/DezembroValor com campanha: Reserve já a sua vaga!

Pós-graduação Cyber Security & Data Protection (PGCS&DP)

Padrões que auxiliam no gerenciamento da qualidade e segurança da informação de uma organização, a figura do profissional qualificado neste contexto

PROJECTO ÂNCORA QUALIFICAÇÃO E CERTIFICAÇÃO NO SECTOR DAS TICE. Qualificação e Certificação em Gestão de Serviços de TI

WORKSHOP DE COBIT 2019

Segurança da Informação Aula 10 SGSI ISO e Prof. Dr. Eng. Fred Sauer

Interpretação da norma NBR ISO/IEC 27001:2006

NBR ISO/IEC I. Políticas de segurança da informação. Organizando a Segurança da Informação; Gestão de Ativos; Segurança em Recursos Humanos;

José Maria Pedro CISA CASO PRÁTICO 2: COBIT (STANDARDS UTILIZADOS EM AUDITORIA DE SISTEMAS DE INFORMAÇÃO)

Principais alterações ISO 14001:2015

Gestão de Segurança da Informação

Copyright Proibida Reprodução. Prof. Éder Clementino dos Santos

A Implantação do Sistema do Sistema da Qualidade e os requisitos da Norma ISO NBR 9001:2000

Processos COBIT 5 x ITIL V3

Gerenciamento e Interoperabilidade de Redes

Governança a de TI e Arquitetura Corporativa Investindo nos Projetos Certos

Campus Capivari Análise e Desenvolvimento de Sistemas (ADS) Prof. André Luís Belini /

Gerência de Integração

Treinamento e-learning. Interpretação e implantação da ISO 9001:2015

2º Ciclo MEIC. Tecnologias dos Sistemas Informáticos. José Delgado

ISO/DIS Compreendendo a nova norma internacional para a saúde e segurança no trabalho. Mapping Guide

Segurança da Informação Aula 9 Políticas de Segurança. Prof. Dr. Eng. Fred Sauer

2º Ciclo MEIC. Tecnologias dos Sistemas Informáticos

POLÍTICA DE TECNOLOGIA DA INFORMAÇÃO

SIMULADO 01 Governança de TI

Uma abordagem de gerência de configuração em ambiente de TI com as melhores práticas em I.T.I.L

A Easy Net ajuda a melhorar suas habilidades através dos cursos oficiais Microsoft, e outros que elevarão seu potencial ao máximo.

DESCRITORES (TÍTULOS E TERMOS)

Sistema de Gestão Integrado SEGURANÇA DE INFORMAÇÃO COMO PILAR ESTRATÉGICO

Segurança de Redes. Gestão de Segurança da Informação. Prof. João Henrique Kleinschmidt

Desenvolvimento de um Conjunto de Processos de Governança de Tecnologia de Informação para uma Instituição de Ensino Superior

Gerenciamento de Crises e Continuidade do Negócio

Prof. Sandro Wambier

IBM Software Group Transformando as Capabilities de Software em Vendas

WEBINAR. Tema: GESTÃO DE SERVIÇOS DE TI: OTIMIZAÇÃO DE RECURSOS E PROCESSOS. Pós-graduação Gestão de Serviços em TI. Prof.

SISTEMA DE GESTÃO A EXECUÇÃO DA ESTRATÉGIA

ISO 45001:2018. Ricardo Marques, Coordenador Comercial

Gestão da Tecnologia da Informação

WEBINAR Resolução 4658 BACEN

Foundation Bridge in IT Service Management. based on ISO/IEC Guia de Preparação

RISCO OPERACIONAL INTRODUÇÃO MISSÃO E RESPONSABILIDADES CONTROLES PERMANENTES

GIR - Gestão Integrada de Riscos

Segurança da Informação

Gestão de Segurança da Informação. Interpretação da norma NBR ISO/IEC 27001:2006. Curso e- Learning Sistema de

Governança em TI PROFA. DRA. ELISA YUMI NAKAGAWA. SSC 531 Gestão de Sistemas de Informação. 2. Semestre de 2016

ISO/IEC família de normas ISO / IEC ISMS

Especificar os requisitos de um Sistema de Gestão Ambiental, permitindo à organização desenvolver e implementar :

Universidade de São Paulo. Faculdade de Economia, Administração e Contabilidade Departamento de Contabilidade e Atuária EAC FEA - USP

Mudando da ISO 9001:2008 para a ISO 9001:2015 Guia de transição

Terminologia portuguesa relativa a Gestão de Energia (Comissão Técnica Gestão de Energia)

POLÍTICA PCT 007 GERENCIAMENTO DE RISCOS E CONTROLES INTERNOS

Campus Capivari Análise e Desenvolvimento de Sistemas (ADS) Prof. André Luís Belini /

Encontro IPQ RGPD Presente e Futuro

Política de. Gestão de Serviços. Service Management Policy. A direcção pretendida The desired direction

A Auditoria Interna da Governança Corporativa

Cloud Computing O papel da auditoria interna no equilíbrio entre o risco e a oportunidade 16 novembro 2017

Sistemas de Informação. Governança de TI

Questões sobre a IS014001

INFORMAÇÕES SOBRE O TREINAMENTO SCRUM.

CYBER SECURITY & DATA PROTECTION CIBERSEGURANÇA & PROTEÇÃO DE DADOS

CHECK-LIST ISO 14001:

GRUPO DE INTERCÂMBIO EM AUDITORIA, CONTROLE E GESTÃO. Resultado da Pesquisa de Temas de Interesse. Agosto de 2014

3) Qual é o foco da Governança de TI?

OHSAS 18001:2007 SAÚDE E SEGURANÇA OCUPACIONAL

Julho a Dezembro Formações ITEN

Esta é a primeira carreira de um conjunto de três, que compõem a carreira mais longa, a Cyber Security.

RAPHAEL MANDARINO JUNIOR Diretor do Departamento de Segurança da Informação e Comunicações

Glossário BiSL. Bert Pranger / Michelle Hofland 28 Maio 2012 Versão

Antes de começar. por Daniela Albuquerque

Norma 2110 Governança

Gerenciamento e Administração de Redes

Governança Corporativa em Tempos de Lava Jato. Bem vindos!

Segurança e Auditoria de Sistemas

Prof. Victor Dalton COMPARATIVO. PMBOK x ITIL x COBIT

Segurança da Informação

Transcrição:

Iluminando mentes, capacitando profissionais e protegendo negócios. AGENDA A DARYUS O que é a CONSUMERIZAÇÃO de TI? ISO 27001:2013 Quais os impactos e O que muda para as organizações? benefícios das atualizações da principal norma de Segurança da Informação? Como fica a gestão de TIC? BYOD Mitos e Fatos Claudio Dodt, ISMAS, CISSP, CISA, ISO 27001 Lead Auditor Business Continuity & Security Senior Consultant Conclusões claudio.dodt@daryus.com.br www.daryus.com.br claudiododt.com www.twitter.com/daryusbr www.twitter.com/cdodt www.facebook.com/claudiododtcom

Licença de Uso COPYRIGHT DARYUS / CLÁUDIO DODT Você pode copiar, distribuir, criar obras derivadas e exibir as informações contidas neste documento com as seguintes restrições: Deve ser dado crédito ao autor original, e a DARYUS. Ambas as fontes devem ser citadas. $ Você NÃO pode utilizar as informações contidas neste documento para fins comerciais. Compartilhamento exclusivo pela mesma Licença. Se você alterar, transformar, ou criar outra obra com nas informações contidas neste documento, você somente poderá distribuir a obra resultante sob uma licença idêntica a esta.

AGENDA A DARYUS A norma ISO 27001 Atualização 2013 Modificações e Melhorias Período de Transição Conclusões Perguntas

Quem somos: Empresa 100% nacional localizada em São Paulo capital; Representante educacional exclusiva do DRII Disaster Recovery Institute International desde 2005; Especializada e líder no Brasil em consultoria e soluções para Recuperação de Desastres; Continuidade de Negócios e Somos a empresa mais completa em Gestão de Riscos, por oferecer educação e consultoria de forma especializada; Idealizadora de dois eventos que tornaram-se referencia no mercado nacional GRC International e o GRM Global Risk Meeting; Prêmio SECMASTER 2006 pela ISSA International; Reconhecida pela Infragard USA (California) em 2011.

Nossas unidades

Nossos serviços: Continuidade de Negócios Segurança da Informação Gestão de Processos de Negócios Governança, Risco e Conformidade

Nossos clientes:

Cláudio Dodt Business Continuity & Security Senior Consultant - Regional Manager Claudio Dodt WWW.CLAUDIODODT.COM https://www.facebook.com/claudiododtcom Atua na área de tecnologia há mais de 10 anos exercendo atividades como técnico e analista de suporte, Analista de Segurança Sr., Security Officer e Supervisor de Infraestrutura e Segurança. Desenvolveu atividades em empresas brasileiras e multinacionais, tendo participado no Brasil e no exterior em projetos de segurança de diversos segmentos como Educacional, Financeiro, Saúde, Agroindústria, Indústria Alimentícia, Naval, Metal-Mecânica e Têxtil. Geek convicto, mergulhador autônomo e um grande amante da leitura e dos videogames. CLAUDIODODT.COM Especializações ITIL V2 Service Manager / ITIL Expert; Certified Information Systems Security Professional (CISSP ); Certified Information Systems Auditor (CISA); Certified in Risk and Information Systems Control (CRISC); ISO 27001 Lead Auditor; ISO/IEC 20000 Foundation; Information Security Foundation (ISFS) based on ISO/IEC 27002; Information Security Management Advanced based on ISO/IEC 27002; CobiT Foundation; EXIN Cloud Computing Foundation; EXIN Certified Integrator Secure Cloud Services; EXIN Accredited Trainer (ITIL Foundation; ISO 20000 Foundation, ISFS, ISMAS, Cloud Foundation).

A norma ISO 27001 27001:2005 Objetivo: Prover Esta um norma modelo foi para preparada estabelecer, para implementar, fornecer os operar, requisitos monitorar, para estabelecer, analisar criticamente, implementar, manter e melhorar um continuamente Sistema de um Gestão Sistema de de Segurança Gestão de da Segurança Informação da (SGSI). Informação. A 27000 é a principal família de normas de Segurança da Informação aceitas internacionalmente; Aplicável a qualquer organização, independentemente de tamanho ou segmento; Base para uma certificação, mas pode ser usada mesmo sem esse objetivo.

A norma ISO 27001 27001:2013 Objetivo: Esta norma foi preparada para fornecer os requisitos para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gestão de Segurança da Informação. Atualizada em 25 de Setembro de 2013; Update foi baseado na experiência de usuários que buscavam certificação; Objetivo principal é simplificar a abordagem e proporcionar melhorias na gestão de riscos.

Annex SL: Alinhamento com outros Sistemas de Gestão Normas que adotam o Annex SL compartilham: Estrutura Texto idêntico Termos Subcláusulas Definições Compatibilidade

Annex SL: Alinhamento com outros Sistemas de Gestão ISO 9001 ISO 22301 ISO 27001 ISO 22000 ISO 14001 ISO 20000

Estrutura da Norma ISO 27001:2005 ISO 27001:2013 4. Sistema de Gestão de Segurança da Informação 5. Responsabilidades da Direção 6. Auditorias internas do SGSI 4. Contexto da Organização 5. Liderança 6. Planejamento 7. Suporte 7. Análise Crítica do SGSI pela direção 8. Melhoria do SGSI 8. Operação 9. Avaliação de Performance 10. Melhoria

Estrutura da Norma ISO 27001:2013 4. Contexto da Organização 5. Liderança 6. Planejamento 7. Suporte 8. Operação 9. Avaliação de Performance 10. Melhoria P D C A Pontos Interessantes: Ficou mais simples entender o ciclo PDCA da 27001; Agora é essencial entender o contexto e as expectativas das partes interessadas. A importância da participação da alta direção na liderança e comprometimento com todas as atividades relacionadas ao SGSI ficou ainda mais evidente;

Estrutura da Norma ISO 27001:2013 4. Contexto da Organização 5. Liderança 6. Planejamento 7. Suporte 8. Operação 9. Avaliação de Performance 10. Melhoria P D C A Transição para 27001:2013 Listar todas as partes interessadas: Identificar todos os Stakeholders Se você já fazia isso no controle A.15.1.1, praticamente não existe mudança.

Estrutura da Norma ISO 27001:2013 4. Contexto da Organização 5. Liderança 6. Planejamento 7. Suporte 8. Operação 9. Avaliação de Performance 10. Melhoria P D C A Transição para 27001:2013 Definir interfaces do escopo do SGSI: Agora é necessário identificar todas as interfaces do SGSI com atividades feitas pela sua organização e diferenciar das atividades feitas por terceiros.

Estrutura da Norma ISO 27001:2013 4. Contexto da Organização 5. Liderança 6. Planejamento 7. Suporte 8. Operação 9. Avaliação de Performance 10. Melhoria P D C A Transição para 27001:2013 Alinhar o SGSI x Estratégia Corporativa: Na versão 2013 é necessário determinar se os objetivos de Segurança da Informação são compatíveis com a direção estratégica da organização.

Estrutura da Norma ISO 27001:2013 4. Contexto da Organização 5. Liderança 6. Planejamento 7. Suporte 8. Operação 9. Avaliação de Performance 10. Melhoria P D C A Transição para 27001:2013 Mudanças na Política: Não existe mais necessidade de uma Política do SGSI, a Política de Segurança é suficiente Alguns requisitos mudaram, não é mais necessário incluir o alinhamento com a gestão de risco estratégica ou o critério de avaliação de risco

Estrutura da Norma ISO 27001:2013 4. Contexto da Organização 5. Liderança 6. Planejamento 7. Suporte 8. Operação 9. Avaliação de Performance 10. Melhoria P D C A Transição para 27001:2013 Mudanças no processo de Avaliação de Riscos: É necessário identificar o responsável para cada risco identificado Não é mais necessário seguir uma metodologia baseada na identificação de ativos ameaças vulnerabilidades, você pode fazer de uma maneira mais simples! Importante identificar processos terceirizados e como estes são controlados

Estrutura da Norma ISO 27001:2013 4. Contexto da Organização 5. Liderança 6. Planejamento 7. Suporte 8. Operação 9. Avaliação de Performance 10. Melhoria P D C A Transição para 27001:2013 Declaração de aplicabilidade: Agora é necessário identificar se os controles estão implementados ou não

Estrutura da Norma ISO 27001:2013 4. Contexto da Organização 5. Liderança 6. Planejamento 7. Suporte 8. Operação 9. Avaliação de Performance 10. Melhoria P D C A Transição para 27001:2013 Tratamento de Riscos: Agora é necessário obter a aprovação dos responsáveis pelo risco (risk owners) tanto para o RTP, quanto para o risco residual

Estrutura da Norma ISO 27001:2013 4. Contexto da Organização 5. Liderança 6. Planejamento 7. Suporte 8. Operação 9. Avaliação de Performance 10. Melhoria P D C A Transição para 27001:2013 Planejamento da Comunicação: A comunicação deve ser sistemática Deve existir um processo que defina o que é comunicado, como, quando e para quem O processo de comunicação deve incluir partes internas e externas

Estrutura da Norma ISO 27001:2013 4. Contexto da Organização 5. Liderança 6. Planejamento 7. Suporte 8. Operação 9. Avaliação de Performance 10. Melhoria P D C A Transição para 27001:2013 Processos de gerenciamento: Não existe mais necessidade de um procedimento de ação preventiva, pois este virou parte avaliação/gestão de riscos Não existe mais necessidade de ter procedimentos documentados para Controle de Documentos, Auditoria Interna e Ação corretiva Ainda assim os processos devem ser mantidos, mesmo que não documentados

Estrutura da Norma ISO 27001:2013 4. Contexto da Organização 5. Liderança 6. Planejamento 7. Suporte 8. Operação 9. Avaliação de Performance 10. Melhoria P D C A Transição para 27001:2013 Novas políticas e procedimentos: Se os controles a seguir se aplicam ao seu escopo, será necessário escrever novos documentos: Secure system engineering principles (control A.14.2.5) Supplier security policy (control A.15.1.1) Incident management procedure (control A.16.1.5) Business continuity procedures (control A.17.1.2)

Estrutura da Norma ISO 27001:2013 4. Contexto da Organização 5. Liderança 6. Planejamento 7. Suporte 8. Operação 9. Avaliação de Performance 10. Melhoria P D C A Transição para 27001:2013 Medição e relatoria: Requisitos bem mais exigentes: Objetivos de segurança devem ser mensuráveis; Atividades para tratar riscos devem ser avaliadas; No planejamento de objetivos, deve ser considerado como o resultado será avaliado; É necessário definir o que será monitorado e medido, quando isso vai ser feito, quem o fará e quem vai avaliar os resultados; O responsável por reportar o desempenho do SGSI deve ser claramente identificado.

Anexo A Novas seções 27001:2005 11 seções 133 controles 27001:2013 14 seções 114 controles Mais seções significa mais trabalho? Reorganização Atualização Simplificação Consolidação Exclusões Melhorias em geral

Anexo A Novas seções 5. Security Policies 6. Organization of information security 7. Human resource security 8. Asset management 9. Access control 10. Cryptography 11. Physical and environmental security 12. Operations security 13. Communications security 14. System acquisition, development and maintenance 15. Supplier relationships 16. Information security incident management 17. Information security aspects of business continuity 18. Compliance

Anexo A 24 Controles Excluídos 12.2.3 Message integrity 12.2.4 Output data validation 11.5.5 Session time out 11.5.6 Limitation of connection time 11.6.2 Sensitive system isolation 12.5.4 Information leakage 14.1.2 Business continuity and risk assessment 14.1.3 Developing and implementing business continuity plans 14.1.4 Business continuity planning framework 15.1.5 Prevention of misuse of information processing facilities 15.3.2 Protection of information systems audit tools

Anexo A 7 Novos Controles 14.2.1 Secure development policy rules for development of software and information systems 14.2.5 System development procedures principles for system engineering 14.2.6 Secure development environment establishing and protecting development environment 14.2.8 System security testing tests of security functionality 16.1.4 Assessment and decision of information security events this is part of incident management 17.2.1 Availability of information processing facilities achieving redundancy

Período de Transição 27001:2013 Quando devo passar a usar a ISO 27001:2013?

Período de Transição 1. 27001:2013 Já é possível obter a certificação ISO 27001:2013 desde Setembro, mas a norma ainda não foi publicada no Brasil. Isso deve acontecer ainda esse ano. 2. 27001:2005 É possível obter a certificação ISO 27001:2005 até 25 de Setembro de 2014 (um ano) 27001:2013 3. Migração Quem já possui a certificação na versão anterior, deve migrar para a 27001 até 25 de Setembro de 2015 (2 anos) 1 ano 1 ano 1 2 3 Setembro 2013 Setembro 2014 2 anos Setembro 2015

Conclusões Melhorias na 27001:2013 Facilidade de alinhamento com outros Sistemas de Gestão. Estrutura, seções e controles foram consolidados e estão mais efetivos. Mudanças refletem os paradigmas dos últimos 8 anos. Foco na Gestão de Riscos e participação da Alta Direção. Existe esforço na transição 27001:2005 27001:2013, porém é aceitável. Prazos máximo para migração é de até 2 anos.

Conclusões As melhorias da 27001:2013 justificam sua adoção......o prazo de adoção é de até 2 anos. Se você já está perto de certificar seu SGSI......mantenha a 27001:2005, mas pense no futuro. Se você vai iniciar um projeto de certificação......prepare seu SGSI com a 27001:2013

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback