AGENDA

 A DARYUS
 que é a CONSUMERIZAÇÃO impactos e
ISO O 27001:2013 – Quais os de TI?
benefícios das atualizações da p...
Bem-vindo ao Circuito de Palestras EXIN
2013 Nosso foco de hoje:
AGENDA

 A DARYUS
 A norma ISO 27001
 Atualização 2013
 Modificações e Melhorias
 Período de Transição
 Conclusões
...
Quem somos:
• Empresa 100% nacional localizada em São Paulo capital;
• Representante educacional exclusiva do DRII – Disas...
Nossas unidades
Nossos serviços:
• Continuidade de Negócios
• Segurança da Informação
• Gestão de Processos de Negócios
• Governança, Risc...
A norma ISO 27001

27001:2013
27001:2005








Esta norma foi preparada para fornecer os
Objetivo: Prover um model...
Atualização 2013 – Modificações e Melhorias
Annex SL: Alinhamento com outros Sistemas de Gestão

ISO
14001

ISO
9001

ISO
...
Atualização 2013 – Modificações e Melhorias
Estrutura da Norma

ISO 27001:2005
4. Sistema de Gestão de Segurança da
Inform...
Atualização 2013 – Modificações e Melhorias
Estrutura da Norma

ISO 27001:2013

Pontos Interessantes:

4. Contexto da Orga...
Atualização 2013 – Modificações e Melhorias
Estrutura da Norma

ISO 27001:2013

Transição para 27001:2013

4. Contexto da ...
Atualização 2013 – Modificações e Melhorias
Estrutura da Norma

ISO 27001:2013

Transição para 27001:2013

4. Contexto da ...
Atualização 2013 – Modificações e Melhorias
Estrutura da Norma

ISO 27001:2013

Transição para 27001:2013

4. Contexto da ...
Atualização 2013 – Modificações e Melhorias
Estrutura da Norma

ISO 27001:2013

Transição para 27001:2013

4. Contexto da ...
Atualização 2013 – Modificações e Melhorias
Estrutura da Norma

ISO 27001:2013

Transição para 27001:2013

4. Contexto da ...
Atualização 2013 – Modificações e Melhorias
Estrutura da Norma

ISO 27001:2013

Transição para 27001:2013

4. Contexto da ...
Atualização 2013 – Modificações e Melhorias
Estrutura da Norma

ISO 27001:2013

Transição para 27001:2013

4. Contexto da ...
Atualização 2013 – Modificações e Melhorias
Estrutura da Norma

ISO 27001:2013

Transição para 27001:2013

4. Contexto da ...
Atualização 2013 – Modificações e Melhorias
Estrutura da Norma

ISO 27001:2013

Transição para 27001:2013

4. Contexto da ...
Atualização 2013 – Modificações e Melhorias
Estrutura da Norma

ISO 27001:2013

Transição para 27001:2013

4. Contexto da ...
Atualização 2013 – Modificações e Melhorias
Estrutura da Norma

ISO 27001:2013

Transição para 27001:2013

4. Contexto da ...
Atualização 2013 – Modificações e Melhorias
Anexo A – Novas seções
27001:2005

11 seções

133 controles

27001:2013

14 se...
Atualização 2013 – Modificações e Melhorias
Anexo A – Novas seções
5. Security Policies
6. Organization of information sec...
Atualização 2013 – Modificações e Melhorias
Anexo A – 24 Controles Excluídos
•
•
•
•
•
•
•
•
•
•
•
•
•

6.2.2 Addressing s...
Atualização 2013 – Modificações e Melhorias
Anexo A – 24 Controles Excluídos
•
•
•
•
•
•
•
•
•
•
•

12.2.3 Message integri...
Atualização 2013 – Modificações e Melhorias
Anexo A – 7 Novos Controles
•
•
•
•
•

14.2.1 Secure development policy – rule...
Atualização 2013 – Período de Transição

27001:2013

Quando devo passar a usar a
ISO 27001:2013?
Atualização 2013 – Período de Transição
1. 27001:2013 Já é possível obter a certificação ISO
27001:2013 desde Setembro, ma...
Conclusões

Melhorias na 27001:2013
Facilidade de alinhamento com outros Sistemas de Gestão.
Estrutura, seções e controles...
Conclusões
•

As melhorias da 27001:2013 justificam sua adoção...

...o prazo de adoção é de até 2 anos.
• Se você já está...
Perguntas?
CONSIDERAÇÕES FINAIS:
•

•

•

Vamos disponibilizar Cópia desta apresentação + Certificado
de Participação para todos que ...
ISO 270012013 – Quais os impactos e benefícios das atualizações da principal norma de Segurança da Informação
Upcoming SlideShare
Loading in …5
×

ISO 270012013 – Quais os impactos e benefícios das atualizações da principal norma de Segurança da Informação

709 views
571 views

Published on

2013 - 10 - 30

Published in: Education
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
709
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
51
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

ISO 270012013 – Quais os impactos e benefícios das atualizações da principal norma de Segurança da Informação

  1. 1. AGENDA  A DARYUS  que é a CONSUMERIZAÇÃO impactos e ISO O 27001:2013 – Quais os de TI? benefícios das atualizações da principal norma de  O que muda para as organizações? Segurança da Informação?de TIC?  Como fica a gestão Claudio Dodt, ISMAS, CISSP, CISA, ISO 27001 Lead Auditor  BYOD – Mitos eSenior Consultant Business Continuity & Security Fatos  Conclusões claudio.dodt@daryus.com.br www.daryus.com.br claudiododt.com www.twitter.com/daryusbr www.twitter.com/cdodt www.facebook.com/claudiododtcom Iluminando mentes, capacitando profissionais e protegendo negócios.
  2. 2. Bem-vindo ao Circuito de Palestras EXIN 2013 Nosso foco de hoje:
  3. 3. AGENDA  A DARYUS  A norma ISO 27001  Atualização 2013  Modificações e Melhorias  Período de Transição  Conclusões  Perguntas
  4. 4. Quem somos: • Empresa 100% nacional localizada em São Paulo capital; • Representante educacional exclusiva do DRII – Disaster Recovery Institute International desde 2005; • Especializada e líder no Brasil em consultoria e soluções para Recuperação de Desastres; Continuidade de Negócios e • Somos a empresa mais completa em Gestão de Riscos, por oferecer educação e consultoria de forma especializada; • Idealizadora de dois eventos que tornaram-se referencia no mercado nacional GRC International e o GRM – Global Risk Meeting; • Prêmio SECMASTER 2006 pela ISSA International; • Reconhecida pela Infragard USA (California) em 2011.
  5. 5. Nossas unidades
  6. 6. Nossos serviços: • Continuidade de Negócios • Segurança da Informação • Gestão de Processos de Negócios • Governança, Risco e Conformidade
  7. 7. A norma ISO 27001 27001:2013 27001:2005       Esta norma foi preparada para fornecer os Objetivo: Prover um modelo para estabelecer, implementar, requisitos para estabelecer, implementar, manter e operar, monitorar, analisar criticamente, manter e melhorar continuamente um Sistema de Gestão de Segurança da um Sistema de Gestão de Segurança da Informação Informação. (SGSI). A 27000 é a 25 de Setembro de 2013; Atualizada emprincipal família de normas de Segurança da Informação aceitas internacionalmente; Update foi baseado na experiência de usuários que buscavam certificação; Aplicável a qualquer organização, independentemente de tamanho ou segmento; Objetivo principal é simplificar a abordagem e proporcionar melhorias na gestão de riscos. Base para uma certificação, mas pode ser usada mesmo sem esse objetivo. É possível baixar gratuitamente a ISO 27000:2012 (vocabulário) aqui: http://dary.us/1adqpM1 (em inglês)
  8. 8. Atualização 2013 – Modificações e Melhorias Annex SL: Alinhamento com outros Sistemas de Gestão ISO 14001 ISO 9001 ISO 27001 Normas que adotam o Annex SL compartilham: ISO Estrutura 22301 Subcláusulas Texto idêntico Definições ISO 20000 Termos ISO 22000 Compatibilidade
  9. 9. Atualização 2013 – Modificações e Melhorias Estrutura da Norma ISO 27001:2005 4. Sistema de Gestão de Segurança da Informação ISO 27001:2013 4. Contexto da Organização 5. Liderança 5. Responsabilidades da Direção 6. Planejamento 6. Auditorias internas do SGSI 7. Suporte 7. Análise Crítica do SGSI pela direção 8. Operação 9. Avaliação de Performance 8. Melhoria do SGSI 10. Melhoria
  10. 10. Atualização 2013 – Modificações e Melhorias Estrutura da Norma ISO 27001:2013 Pontos Interessantes: 4. Contexto da Organização 5. Liderança P  6. Planejamento  7. Suporte 8. Operação D  9. Avaliação de Performance C 10. Melhoria A Ficou mais simples entender o ciclo PDCA da 27001; Agora é essencial entender o contexto e as expectativas das partes interessadas. A importância da participação da alta direção na liderança e comprometimento com todas as atividades relacionadas ao SGSI ficou ainda mais evidente;
  11. 11. Atualização 2013 – Modificações e Melhorias Estrutura da Norma ISO 27001:2013 Transição para 27001:2013 4. Contexto da Organização 5. Liderança P  Listar todas as partes interessadas: 6. Planejamento  7. Suporte  8. Operação D 9. Avaliação de Performance C 10. Melhoria A Identificar todos os Stakeholders Se você já fazia isso no controle A.15.1.1, praticamente não existe mudança.
  12. 12. Atualização 2013 – Modificações e Melhorias Estrutura da Norma ISO 27001:2013 Transição para 27001:2013 4. Contexto da Organização 5. Liderança P  Definir interfaces do escopo do SGSI:  6. Planejamento 7. Suporte 8. Operação D 9. Avaliação de Performance C 10. Melhoria A Agora é necessário identificar todas as interfaces do SGSI com atividades feitas pela sua organização e diferenciar das atividades feitas por terceiros.
  13. 13. Atualização 2013 – Modificações e Melhorias Estrutura da Norma ISO 27001:2013 Transição para 27001:2013 4. Contexto da Organização 5. Liderança P  Alinhar o SGSI x Estratégia Corporativa:  6. Planejamento 7. Suporte 8. Operação D 9. Avaliação de Performance C 10. Melhoria A Na versão 2013 é necessário determinar se os objetivos de Segurança da Informação são compatíveis com a direção estratégica da organização.
  14. 14. Atualização 2013 – Modificações e Melhorias Estrutura da Norma ISO 27001:2013 Transição para 27001:2013 4. Contexto da Organização 5. Liderança P  Mudanças na Política:  6. Planejamento 7. Suporte 8. Operação D 9. Avaliação de Performance C 10. Melhoria A  Não existe mais necessidade de uma “Política do SGSI”, a Política de Segurança é suficiente Alguns requisitos mudaram, não é mais necessário incluir o alinhamento com a gestão de risco estratégica ou o critério de avaliação de risco
  15. 15. Atualização 2013 – Modificações e Melhorias Estrutura da Norma ISO 27001:2013 Transição para 27001:2013 4. Contexto da Organização 5. Liderança P 6. Planejamento  Mudanças no processo de Avaliação de Riscos:  7. Suporte 8. Operação D 9. Avaliação de Performance C 10. Melhoria A   É necessário identificar o responsável para cada risco identificado Não é mais necessário seguir uma metodologia baseada na identificação de ativos  ameaças  vulnerabilidades, você pode fazer de uma maneira mais simples! Importante identificar processos terceirizados e como estes são controlados
  16. 16. Atualização 2013 – Modificações e Melhorias Estrutura da Norma ISO 27001:2013 Transição para 27001:2013 4. Contexto da Organização 5. Liderança P  Declaração de aplicabilidade:  6. Planejamento 7. Suporte 8. Operação D 9. Avaliação de Performance C 10. Melhoria A Agora é necessário identificar se os controles estão implementados ou não
  17. 17. Atualização 2013 – Modificações e Melhorias Estrutura da Norma ISO 27001:2013 Transição para 27001:2013 4. Contexto da Organização 5. Liderança P  Tratamento de Riscos:  6. Planejamento 7. Suporte 8. Operação D 9. Avaliação de Performance C 10. Melhoria A Agora é necessário obter a aprovação dos responsáveis pelo risco (risk owners) tanto para o RTP, quanto para o risco residual
  18. 18. Atualização 2013 – Modificações e Melhorias Estrutura da Norma ISO 27001:2013 Transição para 27001:2013 4. Contexto da Organização 5. Liderança P  Planejamento da Comunicação: 6. Planejamento  7. Suporte  8. Operação D 9. Avaliação de Performance C 10. Melhoria A  A comunicação deve ser sistemática Deve existir um processo que defina o que é comunicado, como, quando e para quem O processo de comunicação deve incluir partes internas e externas
  19. 19. Atualização 2013 – Modificações e Melhorias Estrutura da Norma ISO 27001:2013 Transição para 27001:2013 4. Contexto da Organização 5. Liderança P  Processos de gerenciamento:  6. Planejamento 7. Suporte 8. Operação D  9. Avaliação de Performance C  10. Melhoria A Não existe mais necessidade de um procedimento de “ação preventiva”, pois este virou parte avaliação/gestão de riscos Não existe mais necessidade de ter procedimentos documentados para Controle de Documentos, Auditoria Interna e Ação corretiva Ainda assim os processos devem ser mantidos, mesmo que não documentados
  20. 20. Atualização 2013 – Modificações e Melhorias Estrutura da Norma ISO 27001:2013 Transição para 27001:2013 4. Contexto da Organização 5. Liderança P Novas políticas e procedimentos:  6. Planejamento 7. Suporte 8. Operação D 9. Avaliação de Performance C 10. Melhoria  A Se os controles a seguir se aplicam ao seu escopo, será necessário escrever novos documentos:     Secure system engineering principles (control A.14.2.5) Supplier security policy (control A.15.1.1) Incident management procedure (control A.16.1.5) Business continuity procedures (control A.17.1.2)
  21. 21. Atualização 2013 – Modificações e Melhorias Estrutura da Norma ISO 27001:2013 Transição para 27001:2013 4. Contexto da Organização 5. Liderança P 6. Planejamento 7. Suporte  Medição e relatoria:  Requisitos bem mais exigentes:   8. Operação D 9. Avaliação de Performance C  10. Melhoria A   Objetivos de segurança devem ser mensuráveis; Atividades para tratar riscos devem ser avaliadas; No planejamento de objetivos, deve ser considerado como o resultado será avaliado; É necessário definir o que será monitorado e medido, quando isso vai ser feito, quem o fará e quem vai avaliar os resultados; O responsável por reportar o desempenho do SGSI deve ser claramente identificado.
  22. 22. Atualização 2013 – Modificações e Melhorias Anexo A – Novas seções 27001:2005 11 seções 133 controles 27001:2013 14 seções 114 controles Mais seções significa mais trabalho? Reorganização Atualização Simplificação Consolidação Exclusões Melhorias em geral
  23. 23. Atualização 2013 – Modificações e Melhorias Anexo A – Novas seções 5. Security Policies 6. Organization of information security 7. Human resource security 8. Asset management 9. Access control 10. Cryptography 11. Physical and environmental security 12. Operations security 13. Communications security 14. System acquisition, development and maintenance 15. Supplier relationships 16. Information security incident management 17. Information security aspects of business continuity 18. Compliance
  24. 24. Atualização 2013 – Modificações e Melhorias Anexo A – 24 Controles Excluídos • • • • • • • • • • • • • 6.2.2 Addressing security when dealing with customers 10.4.2 Controls against mobile code 10.7.3 Information handling procedures 10.7.4 Security of system documentation 10.8.5 Business information systems 10.9.3 Publicly available information 11.4.2 User authentication for external connections 11.4.3 Equipment identification in networks 11.4.4 Remote diagnostic and configuration port protection 11.4.6 Network connection control 11.4.7 Network routing control 12.2.1 Input data validation 12.2.2 Control of internal processing
  25. 25. Atualização 2013 – Modificações e Melhorias Anexo A – 24 Controles Excluídos • • • • • • • • • • • 12.2.3 Message integrity 12.2.4 Output data validation 11.5.5 Session time out 11.5.6 Limitation of connection time 11.6.2 Sensitive system isolation 12.5.4 Information leakage 14.1.2 Business continuity and risk assessment 14.1.3 Developing and implementing business continuity plans 14.1.4 Business continuity planning framework 15.1.5 Prevention of misuse of information processing facilities 15.3.2 Protection of information systems audit tools
  26. 26. Atualização 2013 – Modificações e Melhorias Anexo A – 7 Novos Controles • • • • • 14.2.1 Secure development policy – rules for development of software and information systems 14.2.5 System development procedures – principles for system engineering 14.2.6 Secure development environment – establishing and protecting development environment 14.2.8 System security testing – tests of security functionality 16.1.4 Assessment and decision of information security events – this is part of incident management 17.2.1 Availability of information processing facilities – achieving redundancy  •
  27. 27. Atualização 2013 – Período de Transição 27001:2013 Quando devo passar a usar a ISO 27001:2013?
  28. 28. Atualização 2013 – Período de Transição 1. 27001:2013 Já é possível obter a certificação ISO 27001:2013 desde Setembro, mas a norma ainda não foi publicada no Brasil. Isso deve acontecer ainda esse ano. 2. 27001:2005 É possível obter a certificação ISO 27001:2005 até 25 de Setembro de 2014 (um ano) 27001:2013 3. Migração Quem já possui a certificação na versão anterior, deve migrar para a 27001 até 25 de Setembro de 2015 (2 anos) 1 ano 1 ano 1 2 3 Setembro 2013 Setembro 2014 Setembro 2015 2 anos
  29. 29. Conclusões Melhorias na 27001:2013 Facilidade de alinhamento com outros Sistemas de Gestão. Estrutura, seções e controles foram consolidados e estão mais efetivos. Mudanças refletem os paradigmas dos últimos 8 anos. Foco na Gestão de Riscos e participação da Alta Direção. Existe esforço na transição 27001:2005  27001:2013, porém é aceitável. Prazos máximo para migração é de até 2 anos.
  30. 30. Conclusões • As melhorias da 27001:2013 justificam sua adoção... ...o prazo de adoção é de até 2 anos. • Se você já está perto de certificar seu SGSI... ...mantenha a 27001:2005, mas pense no futuro. • Se você vai iniciar um projeto de certificação... ...Prepare seu SGSI com a 27001:2013
  31. 31. Perguntas?
  32. 32. CONSIDERAÇÕES FINAIS: • • • Vamos disponibilizar Cópia desta apresentação + Certificado de Participação para todos que responderem nossa pesquisa de satisfação e nos ajudarem a aprimorar nossas futuras ações. Vamos iniciar a sessão de PERGUNTAS. Utilize a ferramenta do chat (para digitar) ou do hands on (para pedir acesso e perguntar diretamente ao palestrante. Dúvidas? Mais Informações? Cláudio Dodt BC & SegInfo Consultant - Regional Manager claudio.dodt@daryus.com.br www.daryus.com.br www.claudiododt.com www.facebook.com/claudiododtcom Milena Andrade Regional Manager Milena.andrade@exin.com www.exin.com

×