AGENDA

A DARYUS O que é a CONSUMERIZAÇÃO de TI? O que muda para as organizações? Como fica a gestão de TIC? BYOD – Mitos e Fatos Conclusões

Claudio Dodt, ISMAS, CISSP, CISA, ISO 27001 Lead AuditorBusiness Continuity & Security Senior Consultant

claudio.dodt@daryus.com.br www.daryus.com.br claudiododt.com

www.twitter.com/daryusbr www.twitter.com/cdodt www.facebook.com/claudiododtcom

ISO 27001:2013 – Quais os impactos e benefícios das atualizações da principal norma de Segurança da Informação?

Iluminando mentes, capacitando profissionais e

protegendo negócios.

Bem-vindo ao Circuito de Palestras EXIN 2013 Nosso foco de hoje:

AGENDA

A DARYUS A norma ISO 27001 Atualização 2013

Modificações e MelhoriasPeríodo de Transição

Conclusões Perguntas

• Empresa 100% nacional localizada em São Paulo capital;

• Representante educacional exclusiva do DRII – Disaster Recovery Institute International desde 2005;

• Especializada e líder no Brasil em consultoria e soluções para Continuidade de Negócios e Recuperação de Desastres;

• Somos a empresa mais completa em Gestão de Riscos, por oferecer educação e consultoria de forma especializada;

• Idealizadora de dois eventos que tornaram-se referencia no mercado nacional GRC International e o GRM – Global Risk Meeting;

• Prêmio SECMASTER 2006 pela ISSA International;

• Reconhecida pela Infragard USA (California) em 2011.

Quem somos:

Nossas unidades

• Continuidade de Negócios

• Segurança da Informação

• Gestão de Processos de Negócios

• Governança, Risco e Conformidade

Nossos serviços:

Objetivo: Esta norma foi preparada para fornecer os requisitos para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gestão de Segurança da Informação.

Objetivo: Prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI).

A norma ISO 27001

27001:200527001:2013

A 27000 é a principal família de normas de Segurança da Informação aceitas internacionalmente;

Aplicável a qualquer organização, independentemente de tamanho ou segmento;

Base para uma certificação, mas pode ser usada mesmo sem esse objetivo.

Atualizada em 25 de Setembro de 2013;

Update foi baseado na experiência de usuários que buscavam certificação;

Objetivo principal é simplificar a abordagem e proporcionar melhorias na gestão de riscos.

Atualizada em 25 de Setembro de 2013;

Update foi baseado na experiência de usuários que buscavam certificação;

Objetivo principal é simplificar a abordagem e proporcionar melhorias na gestão de riscos.

É possível baixar gratuitamente a ISO 27000:2012 (vocabulário) aqui: http://dary.us/1adqpM1 (em inglês)

Atualização 2013 – Modificações e Melhorias

Annex SL: Alinhamento com outros Sistemas de Gestão

Estrutura

Subcláusulas

Texto idêntico

Definições

Termos

Compatibilidade

Normas que adotam o Annex SL compartilham:

ISO 9001

ISO 22301

ISO 14001

ISO 20000

ISO 22000

ISO 27001

Atualização 2013 – Modificações e Melhorias

Estrutura da Norma

ISO 27001:2005 ISO 27001:20134. Sistema de Gestão de Segurança da Informação

5. Responsabilidades da Direção

6. Auditorias internas do SGSI

7. Análise Crítica do SGSI pela direção

8. Melhoria do SGSI

4. Contexto da Organização

5. Liderança

6. Planejamento

7. Suporte

8. Operação

9. Avaliação de Performance

10. Melhoria

A

C

D

P

Atualização 2013 – Modificações e Melhorias

Estrutura da Norma

Pontos Interessantes:

Ficou mais simples entender o ciclo PDCA da 27001;

Agora é essencial entender o contexto e as expectativas das partes interessadas.

A importância da participação da alta direção na liderança e comprometimento com todas as atividades relacionadas ao SGSI ficou ainda mais evidente;

4. Contexto da Organização

5. Liderança

6. Planejamento

7. Suporte

8. Operação

9. Avaliação de Performance

10. Melhoria

ISO 27001:2013

A

C

D

P

Atualização 2013 – Modificações e Melhorias

Estrutura da Norma

Transição para 27001:2013

Listar todas as partes interessadas:

Identificar todos os Stakeholders

Se você já fazia isso no controle A.15.1.1, praticamente não existe mudança.

4. Contexto da Organização

5. Liderança

6. Planejamento

7. Suporte

8. Operação

9. Avaliação de Performance

10. Melhoria

ISO 27001:2013

A

C

D

P

Atualização 2013 – Modificações e Melhorias

Estrutura da Norma

Transição para 27001:2013

Definir interfaces do escopo do SGSI:

Agora é necessário identificar todas as interfaces do SGSI com atividades feitas pela sua organização e diferenciar das atividades feitas por terceiros.

4. Contexto da Organização

5. Liderança

6. Planejamento

7. Suporte

8. Operação

9. Avaliação de Performance

10. Melhoria

ISO 27001:2013

A

C

D

P

Atualização 2013 – Modificações e Melhorias

Estrutura da Norma

Transição para 27001:2013

Alinhar o SGSI x Estratégia Corporativa:

Na versão 2013 é necessário determinar se os objetivos de Segurança da Informação são compatíveis com a direção estratégica da organização.

4. Contexto da Organização

5. Liderança

6. Planejamento

7. Suporte

8. Operação

9. Avaliação de Performance

10. Melhoria

ISO 27001:2013

A

C

D

P

Atualização 2013 – Modificações e Melhorias

Estrutura da Norma

Transição para 27001:2013

Mudanças na Política:

Não existe mais necessidade de uma “Política do SGSI”, a Política de Segurança é suficiente

Alguns requisitos mudaram, não é mais necessário incluir o alinhamento com a gestão de risco estratégica ou o critério de avaliação de risco

4. Contexto da Organização

5. Liderança

6. Planejamento

7. Suporte

8. Operação

9. Avaliação de Performance

10. Melhoria

ISO 27001:2013

A

C

D

P

Atualização 2013 – Modificações e Melhorias

Estrutura da Norma

Transição para 27001:2013

Mudanças no processo de Avaliação de Riscos:

É necessário identificar o responsável para cada risco identificado

Não é mais necessário seguir uma metodologia baseada na identificação de ativos ameaças vulnerabilidades, você pode fazer de uma maneira mais simples!

Importante identificar processos terceirizados e como estes são controlados

4. Contexto da Organização

5. Liderança

6. Planejamento

7. Suporte

8. Operação

9. Avaliação de Performance

10. Melhoria

ISO 27001:2013

A

C

D

P

Atualização 2013 – Modificações e Melhorias

Estrutura da Norma

Transição para 27001:2013

Declaração de aplicabilidade:

Agora é necessário identificar se os controles estão implementados ou não

4. Contexto da Organização

5. Liderança

6. Planejamento

7. Suporte

8. Operação

9. Avaliação de Performance

10. Melhoria

ISO 27001:2013

A

C

D

P

Atualização 2013 – Modificações e Melhorias

Estrutura da Norma

Transição para 27001:2013

Tratamento de Riscos:

Agora é necessário obter a aprovação dos responsáveis pelo risco (risk owners) tanto para o RTP, quanto para o risco residual

4. Contexto da Organização

5. Liderança

6. Planejamento

7. Suporte

8. Operação

9. Avaliação de Performance

10. Melhoria

ISO 27001:2013

A

C

D

P

Atualização 2013 – Modificações e Melhorias

Estrutura da Norma

Transição para 27001:2013

Planejamento da Comunicação:

A comunicação deve ser sistemática

Deve existir um processo que defina o que é comunicado, como, quando e para quem

O processo de comunicação deve incluir partes internas e externas

4. Contexto da Organização

5. Liderança

6. Planejamento

7. Suporte

8. Operação

9. Avaliação de Performance

10. Melhoria

ISO 27001:2013

A

C

D

P

Atualização 2013 – Modificações e Melhorias

Estrutura da Norma

Transição para 27001:2013

Processos de gerenciamento:

Não existe mais necessidade de um procedimento de “ação preventiva”, pois este virou parte avaliação/gestão de riscos

Não existe mais necessidade de ter procedimentos documentados para Controle de Documentos, Auditoria Interna e Ação corretiva

Ainda assim os processos devem ser mantidos, mesmo que não documentados

4. Contexto da Organização

5. Liderança

6. Planejamento

7. Suporte

8. Operação

9. Avaliação de Performance

10. Melhoria

ISO 27001:2013

A

C

D

P

Atualização 2013 – Modificações e Melhorias

Estrutura da Norma

Transição para 27001:2013

Novas políticas e procedimentos:

Se os controles a seguir se aplicam ao seu escopo, será necessário escrever novos documentos:

Secure system engineering principles (control A.14.2.5)

Supplier security policy (control A.15.1.1) Incident management procedure (control

A.16.1.5) Business continuity procedures (control

A.17.1.2)

4. Contexto da Organização

5. Liderança

6. Planejamento

7. Suporte

8. Operação

9. Avaliação de Performance

10. Melhoria

ISO 27001:2013

A

C

D

P

Atualização 2013 – Modificações e Melhorias

Estrutura da Norma

Transição para 27001:2013

Medição e relatoria:

Requisitos bem mais exigentes: Objetivos de segurança devem ser

mensuráveis; Atividades para tratar riscos devem ser

avaliadas; No planejamento de objetivos, deve ser

considerado como o resultado será avaliado; É necessário definir o que será monitorado e

medido, quando isso vai ser feito, quem o fará e quem vai avaliar os resultados;

O responsável por reportar o desempenho do SGSI deve ser claramente identificado.

4. Contexto da Organização

5. Liderança

6. Planejamento

7. Suporte

8. Operação

9. Avaliação de Performance

10. Melhoria

ISO 27001:2013

Atualização 2013 – Modificações e Melhorias

Anexo A – Novas seções

27001:2005

27001:2013

11 seções

14 seções

Reorganização

Consolidação

Atualização

Exclusões

Simplificação

Melhorias em geral

Mais seções significa mais trabalho?

133 controles

114 controles

Atualização 2013 – Modificações e Melhorias

Anexo A – Novas seções

5. Security Policies6. Organization of information security7. Human resource security8. Asset management9. Access control10. Cryptography11. Physical and environmental security12. Operations security13. Communications security14. System acquisition, development and maintenance15. Supplier relationships16. Information security incident management17. Information security aspects of business continuity18. Compliance

Atualização 2013 – Modificações e Melhorias

Anexo A – 24 Controles Excluídos

• 6.2.2 Addressing security when dealing with customers• 10.4.2 Controls against mobile code• 10.7.3 Information handling procedures• 10.7.4 Security of system documentation• 10.8.5 Business information systems• 10.9.3 Publicly available information• 11.4.2 User authentication for external connections• 11.4.3 Equipment identification in networks• 11.4.4 Remote diagnostic and configuration port protection• 11.4.6 Network connection control• 11.4.7 Network routing control• 12.2.1 Input data validation• 12.2.2 Control of internal processing

û

Atualização 2013 – Modificações e Melhorias

Anexo A – 24 Controles Excluídos

• 12.2.3 Message integrity• 12.2.4 Output data validation• 11.5.5 Session time out• 11.5.6 Limitation of connection time• 11.6.2 Sensitive system isolation• 12.5.4 Information leakage• 14.1.2 Business continuity and risk assessment• 14.1.3 Developing and implementing business continuity plans• 14.1.4 Business continuity planning framework• 15.1.5 Prevention of misuse of information processing facilities• 15.3.2 Protection of information systems audit tools

û

Atualização 2013 – Modificações e Melhorias

Anexo A – 7 Novos Controles

• 14.2.1 Secure development policy – rules for development of software and information systems

• 14.2.5 System development procedures – principles for system engineering• 14.2.6 Secure development environment – establishing and protecting development

environment• 14.2.8 System security testing – tests of security functionality• 16.1.4 Assessment and decision of information security events – this is part of

incident management• 17.2.1 Availability of information processing facilities – achieving redundancy

ü

Atualização 2013 – Período de Transição

27001:2013

Quando devo passar a usar a ISO 27001:2013?

Atualização 2013 – Período de Transição

27001:2013

1. 27001:2013 Já é possível obter a certificação ISO 27001:2013 desde Setembro, mas a norma ainda não foi publicada no Brasil. Isso deve acontecer ainda esse ano.

2. 27001:2005 É possível obter a certificação ISO 27001:2005 até 25 de Setembro de 2014 (um ano)

3. Migração Quem já possui a certificação na versão anterior, deve migrar para a 27001 até 25 de Setembro de 2015 (2 anos)

1 2 3

Setembro 2013

Setembro 2014

Setembro 2015

2 anos

1 ano 1 ano

Conclusões

Facilidade de alinhamento com outros Sistemas de Gestão.

Estrutura, seções e controles foram consolidados e estão mais efetivos.

Mudanças refletem os paradigmas dos últimos 8 anos.

Foco na Gestão de Riscos e participação da Alta Direção.

Existe esforço na transição 27001:2005 27001:2013, porém é aceitável.

Melhorias na 27001:2013

Prazos máximo para migração é de até 2 anos.

Conclusões

• As melhorias da 27001:2013 justificam sua adoção...

...o prazo de adoção é de até 2 anos.

• Se você já está perto de certificar seu SGSI...

...mantenha a 27001:2005, mas pense no futuro.

• Se você vai iniciar um projeto de certificação...

...Prepare seu SGSI com a 27001:2013

Perguntas?

Cláudio DodtBC & SegInfo Consultant - Regional

Managerclaudio.dodt@daryus.com.br

www.daryus.com.br www.claudiododt.com

www.facebook.com/claudiododtcom

CONSIDERAÇÕES FINAIS:

• Vamos disponibilizar Cópia desta apresentação + Certificado de Participação para todos que responderem nossa pesquisa de satisfação e nos ajudarem a aprimorar nossas futuras ações.

• Vamos iniciar a sessão de PERGUNTAS. Utilize a ferramenta do chat (para digitar) ou do hands on (para pedir acesso e perguntar diretamente ao palestrante.

• Dúvidas? Mais Informações?

Milena AndradeRegional Manager

Milena.andrade@exin.comwww.exin.com