ISO 27001 - ENTENDA DE VEZ!

o Olá pessoal hoje eu vou falar de um sistema de gestão específico para segurança da informação ou sgs sistema de gestão se relaciona com a gestão de lixo O que é um sistema de gestão O legal é que a 27001 orienta o que deve ser feito para isso acontecer na sua empresa e não pense que serve só para se certificar você pode usá-la como melhor prática tá para estruturar um sistema de gestão na sua empresa vem comigo é E aí e a ISO 27001 orienta os requisitos para implantação e como tocar o sgc na sua

empresa Existem duas normas que devem ser conhecidas para um melhor entendimento e maior arrependimento da 27001 que é 27001 27002 27001 ela é um conjunto de vocabulários para entendimento da 27001 e eu já vou disponibilizar aqui no link do canal esse vocabulário para vocês entender ele já 27002 ela tem um conjunto de melhor prática de principais controles para reduzir o risco de segurança da informação essa 27000/12 foi resumida no anexo à está na 27 e esses anexos deve estar numa declaração de aplicabilidade e nós vamos ver mais à frente o principal objetivo da 27001 é

orientar os requisitos que devem ser cumpridos para que o SG sim seja e eficaz Então vamos Então vamos para a estrutura da ISO e a ISO ela a estrutura e os ela tem 10 cláusulas e tem um anexo as causas principais da ISO são e seguinte contexto da organização liderança planejamento apoio operação avaliação desempenho e melhoria a todos esses requisitos da ISO 27001 essas cláusulas elas estão organizadas e a gente entende como um PDF Ah tá a exclusão de qualquer um dos requisitos não é aceitável não é aceitável se você busca uma conformidade com a

norma vamos falar da cláusula 4 contexto da organização e a gente encontrar o sgsi o primeiro passo é a gente entender o contexto da organização e nesta cláusula ela tem alguns tópicos são contextos partes interessadas e implantação do sgs o contexto são identificados as questões internas e as questões externas o CG interna da relacionado com a governança missão visão da empresa e as externas são fatores políticos econômicos regulatório financeiro e já se podia o outro pontos são as partes interessadas eu tenho que detalhar quem são as partes interessadas em seus objetivos a para a segurança

na informação novamente internas e externas com isso composto eu consigo definir o chama os corpo do meu sistema de gestão de segurança da informação que é definir os limites de aplicabilidade de sistema de gestão dentro da sua empresa é uma vez organizado isso a gente deve fazer o que implantar estabelecer e manter continuamente é um sistema de gestão de segurança da informação então a gente entende o escopo para compor Esse sistema de gestão Vamos então a cláusula 5 a causa ela cinco ela foca em liderança que que significa isso significa que a governança o alta

direção deve demonstrar sua liderança e comprometimento com o SG si por meio de alguns vamos dizer assim alguns instrumentos primeiro deles política de segurança tá segundo algum instrumento que demonstra a integração dos requisitos do sgsi nos processos da organização a a garantia que eu tenho também recursos disponíveis tá comunicar a importância e conformidade Com estes requisitos orientar as equipes e promover essa melhoria contínua do sistema de gestão de segurança da informação e deve também definir Quem são as autoridades responsabilidades e papéis para tocar o sistema de gestão de segurança da informação é para garantir que

as responsabilidades estejam claramente definidas e que é seus responsáveis eu garanto que o sgc Segue a norma e garantam que o desempenho do sgs seja relatado para organizar a alta direção chegamos ao planejamento é uma vez que eu estabeleci o contexto os recursos para tocar o sgsi eu preciso executar ações para contemplar riscos e oportunidades no sistema de gestão como qualquer planejamento faz então eu tenho que fazer ações fazer uma análise swot like a para garantir que o sgsi alcance os resultados pretendidos tá prevenir o reduzir os efeitos de algumas algumas ações indesejadas e alcançar

a melhoria contínua com isso eu consigo identificar dentro do uma variação de Justus oportunidade ações que eu devo fazer para reduzir para tratar essas esses riscos e oportunidades tem o também que fazer uma avaliação de risco da segurança da informação ou seja para identificar e riscos eu tenho no na segurança na informação que o objetivo do sgs essa avaliação de riscos deve considerar está alinhada com a ISO 30 e ele se cozinha que a gente conhece corpo contente critério processo de avaliação de riscos e tratamento agora eles têm que ser conte-nos com resultados comparáveis válidos

e consistentes é um aspecto importante no tratamento de gente que segurança da informação é que uma vez você estabeleceu Quais são os controles que precisam ser implementados eles têm que ser comparados com anexo a porque é exigido na Norma que os controles do anexo à são os mínimos e necessários para garantir a segurança caso algum controle não seja aplicável hoje se algum controle adicional que você precisa colocar eles devem ser claramente justificados no que a gente chama de declaração de aplicabilidade e a declaração de aplicabilidade ao requisito forte ou seja se eu tenho algum controle

que eu não preciso implementar você tem que deixar claro e justificar Por que não vai implementar então com isso tudo montado eu vou definido agora o objetivo de segurança na informação E o planejamento para alcançar Então a gente tem que estabelecer esses objetivos para diversas funções e determinar o que deve ser feito por causa e para implantar a segurança na informação chegamos então a 7 apoio apoio são os recursos e competências e comunicação conscientização e informação documentada para suportar o sgc Então deve ser determinado e provido recursos necessários para o estabelecimento implantação e manutenção é

melhor melhoria contínua do sgs CE a primeira competência tem que determinar a competência necessária das pessoas que trabalham que atum no sistema de gestão de segurança da informação tem o também que conscientizá-las ou seja estar cientes da política de segurança da informação de entender qual a participação delas no sgsi tá Ih também informar Quais são as sanções da não conformidade com os requisitos definidos na comunicação ou tem que determinar as comunicações internas e externas para o sgsi o que a gente chama de um plano de comunicação O que é a uma definição uma tabela de

o que eu vou comunicar quando comunicar para quem comunicar audiência que vai comunicar em como será comunicado e por último dos apoios a informação documentada aqui é escreve o que faz e faz o que escreve então o SG e deve incluir informação documentada e é requerida pela Norma e determinada pela empresa como necessária todos os processos que nós falamos aqui precisam ter uma informação documentada de como se deve de se deve fazer e as defendem as evidências daquilo que foi feito o processo de criação e atualização da documentação informada deve envolver o formato como deve

ser feito análise crítica e aprovação para pertinência e adequação da informação documentada o controle da informação documentada a informação documentada deve ser controlada estando disponível para uso com controle de acesso adequado então deve-se controlar o acesso de quem pode apenas ler e quem pode ler e alterar oito operação a operação envolve ação do dia a dia ou seja tem que ter um planejamento operacional a gestão dos controles que devem ser implementados tão esses controles deve atender os requisitos da segurança da informação e os resultados dos riscos e oportunidades e dos riscos de segurança da informação

a Então essas ações devem incluir também o controle de mudanças planejadas e analisar criticamente as consequências de mudanças não previstas a avaliação de riscos é algo que tem que ser executado de forma perene ou seja então ele também está no planejamento ele tá no mundo também então a gente tem que ter essa execução das avaliações de riscos em intervalos regulares planejados ou até quando tiver alguma mudança significativa no seu escopo como eu já falei o tratamento de risco tem que ser feito em adequação ao anexo à ou seja ela deve implementar um plano para tratar

os riscos de segurança informação que seja aderente ao anexo a 9 avaliação de desempenho avaliação de desempenho envolve monitoramento medição e análise avaliação através de indicadores e são indicadores do de segurança da informação e do sistema de gestão tá envolve também os aspectos relacionados a auditoria interna e análise crítica da direção auditoria interna é é um requisito obrigatório a empresa devem conduzir auditorias internas para prover informações e o sistema de gestão está em conformidade com os requisitos do sgq sincronizado e com os requisitos da 27001 os está efetivamente implementado e mantido no Então a gente

tem que planejar e manter um programa de vistoria com frequências métodos metodologias etc a ideia que a gente consiga também garante que os resultados da auditoria são relatados para áreas de governança para a alta direção análises críticas pela direção o sistema de gestão deve ser analisado criticamente pela alta direção intervalos planejados para que para assegurar a adequação e pertinência e eficácia melhoria a melhoria envolve o resultado de análise auditoria e melhoria contínua tão a organização deve responder a não conformidade e avaliar necessidade de ações corretivas para eliminar as suas a creditar sua repetição ou recorrência

a melhoria contínua é um foco mais de promover ajustes necessários para que a o seu sistema de gestão sofra uma melhoria continuar mente e a alta Gestão responsável por fazer isso além das causas de 4 a 10 existe um anexo a que é uma referência aos controles objetivos de controle essa esse anexo à é um resumo do que tem na 27002 e deve ser considerado como referência para controle como conclusão eu recomendo fortemente adoção de um sistema de gestão de segurança da informação como base para ações e processos de segurança informação na sua empresa e

o desço quatro dicas 1ª a fazer isso no seu escopo e declaração de aplicabilidade o segundo produzem informação documentada valho escreve escreve o que vale terceiro Vale desse seu sistema de gestão está em conformidade com a ISO 27001 último quarto verifique se seus controles estão aderentes com anexo a mesmo se você não vai se certificar escreva nos comentários se já usaram como referência a em 27001 e se tem alguma dica de aplicação para compartilhar com a comunidade eu vou deixar algumas informações extras e nem para download na descrição do vídeo já deixa seu like aqui

embaixo e se inscreva se ainda não é inscrito não se esqueça de acionar o Sininho para receber as novidades e notificações do canal até a próxima tchau E aí [Música] E aí [Música]