O documento apresenta uma agenda sobre consumo de TI e norma ISO 27001. A agenda inclui tópicos como o que é a consumerização de TI, como muda a gestão de TIC com BYOD e as conclusões sobre a atualização 2013 da norma ISO 27001.

1. AGENDA
A DARYUS
O que é a CONSUMERIZAÇÃO de TI?
O que muda para as organizações?
Como fica a gestão de TIC?
BYOD – Mitos e Fatos
Conclusões
Claudio Dodt, ISMAS, CISSP, CISA, ISO 27001 Lead Auditor
Business Continuity & Security Senior Consultant
claudio.dodt@daryus.com.br www.daryus.com.br claudiododt.com
www.twitter.com/daryusbr www.twitter.com/cdodt www.facebook.com/claudiododtcom
ISO 27001:2013 – Quais os impactos e
benefícios das atualizações da principal norma de
Segurança da Informação?
Iluminando mentes,
capacitando profissionais
e protegendo negócios.

2. © Copyright 2013. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
LicençadeUso COPYRIGHT© DARYUS / CLÁUDIO DODT
Você pode copiar, distribuir, criar obras derivadas e exibir
as informações contidas neste documento com as
seguintes restrições:
Deve ser dado crédito ao autor original, e a DARYUS. Ambas as
fontes devem ser citadas.
$
Você NÃO pode utilizar as informações contidas neste
documento para fins comerciais.
Compartilhamento exclusivo pela mesma Licença. Se você
alterar, transformar, ou criar outra obra com nas informações
contidas neste documento, você somente poderá distribuir a
obra resultante sob uma licença idêntica a esta.

3. © Copyright 2013. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
 A DARYUS
 A norma ISO 27001
 Atualização 2013
• Modificações e Melhorias
• Período de Transição
 Conclusões
 Perguntas
AGENDA

4. • Empresa 100% nacional localizada em São Paulo capital;
• Representante educacional exclusiva do DRII – Disaster Recovery Institute International desde
2005;
• Especializada e líder no Brasil em consultoria e soluções para Continuidade de Negócios e
Recuperação de Desastres;
• Somos a empresa mais completa em Gestão de Riscos, por oferecer educação e consultoria de
forma especializada;
• Idealizadora de dois eventos que tornaram-se referencia no mercado nacional GRC International e
o GRM – Global Risk Meeting;
• Prêmio SECMASTER 2006 pela ISSA International;
• Reconhecida pela Infragard USA (California) em 2011.
Quem somos:

5. Nossas unidades

6. • Continuidade de Negócios
• Segurança da Informação
• Gestão de Processos de Negócios
• Governança, Risco e Conformidade
Nossos serviços:

7. © Copyright 2013. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
Nossos clientes:

8. © Copyright 2013. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
Claudio Dodt
Atua na área de tecnologia há mais de 10 anos exercendo atividades como técnico e analista de suporte, Analista de
Segurança Sr., Security Officer e Supervisor de Infraestrutura e Segurança.
Desenvolveu atividades em empresas brasileiras e multinacionais, tendo participado no Brasil e no exterior em
projetos de segurança de diversos segmentos como Educacional, Financeiro, Saúde, Agroindústria, Indústria
Alimentícia, Naval, Metal-Mecânica e Têxtil.
Geek convicto, mergulhador autônomo e um grande amante da leitura e dos videogames.
Especializações
 ITIL® V2 Service Manager / ITIL® Expert;
 Certified Information Systems Security Professional (CISSP®);
 Certified Information Systems Auditor (CISA);
 Certified in Risk and Information Systems Control (CRISC);
 ISO 27001 Lead Auditor;
 ISO/IEC 20000 Foundation;
 Information Security Foundation (ISFS) based on ISO/IEC 27002;
 Information Security Management Advanced based on ISO/IEC 27002;
 CobiT Foundation;
 EXIN Cloud Computing Foundation;
 EXIN Certified Integrator Secure Cloud Services;
 EXIN Accredited Trainer – (ITIL Foundation; ISO 20000 Foundation, ISFS, ISMAS,
Cloud Foundation).
Cláudio Dodt
Business Continuity & Security Senior Consultant - Regional Manager
WWW.CLAUDIODODT.COM https://www.facebook.com/claudiododtcom
CLAUDIODODT.COM

9. © Copyright 2013. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
Objetivo: Esta norma foi preparada para fornecer os
requisitos para estabelecer, implementar, manter e melhorar
continuamente um Sistema de Gestão de Segurança da
Informação.
Objetivo: Prover um modelo para estabelecer, implementar,
operar, monitorar, analisar criticamente, manter e melhorar
um Sistema de Gestão de Segurança da Informação
(SGSI).
27001:2005
 A 27000 é a principal família de normas de Segurança da Informação aceitas
internacionalmente;
 Aplicável a qualquer organização, independentemente de tamanho ou
segmento;
 Base para uma certificação, mas pode ser usada mesmo sem esse objetivo.
A norma ISO 27001

10. © Copyright 2013. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
Objetivo: Esta norma foi preparada para fornecer os
requisitos para estabelecer, implementar, manter e melhorar
continuamente um Sistema de Gestão de Segurança da
Informação.
A norma ISO 27001
 Atualizada em 25 de Setembro de 2013;
 Update foi baseado na experiência de usuários que buscavam certificação;
 Objetivo principal é simplificar a abordagem e proporcionar melhorias na
gestão de riscos.
27001:2013

11. © Copyright 2013. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
Annex SL: Alinhamento com outros Sistemas de Gestão
Estrutura
Subcláusulas
Texto idêntico
Definições
Termos
Compatibilidade
Normas que adotam o Annex SL compartilham:
Atualização 2013 – Modificações e Melhorias

12. © Copyright 2013. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
Annex SL: Alinhamento com outros Sistemas de Gestão
ISO
9001
ISO
22301
ISO
14001
ISO
20000
ISO
22000
ISO
27001
Atualização 2013 – Modificações e Melhorias

13. © Copyright 2013. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
Estrutura da Norma
ISO 27001:2005 ISO 27001:2013
4. Sistema de Gestão de Segurança da
Informação
5. Responsabilidades da Direção
6. Auditorias internas do SGSI
7. Análise Crítica do SGSI pela direção
8. Melhoria do SGSI
4. Contexto da Organização
5. Liderança
6. Planejamento
7. Suporte
8. Operação
9. Avaliação de Performance
10. Melhoria
Atualização 2013 – Modificações e Melhorias

14. © Copyright 2013. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
A
C
D
P
Estrutura da Norma
Pontos Interessantes:
 Ficou mais simples entender o ciclo PDCA
da 27001;
 Agora é essencial entender o contexto e as
expectativas das partes interessadas.
 A importância da participação da alta
direção na liderança e comprometimento
com todas as atividades relacionadas ao
SGSI ficou ainda mais evidente;
4. Contexto da Organização
5. Liderança
6. Planejamento
7. Suporte
8. Operação
9. Avaliação de Performance
10. Melhoria
ISO 27001:2013
Atualização 2013 – Modificações e Melhorias

15. © Copyright 2013. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
A
C
D
P
Estrutura da Norma
Transição para 27001:2013
 Listar todas as partes interessadas:
 Identificar todos os Stakeholders
 Se você já fazia isso no controle
A.15.1.1, praticamente não existe
mudança.
4. Contexto da Organização
5. Liderança
6. Planejamento
7. Suporte
8. Operação
9. Avaliação de Performance
10. Melhoria
ISO 27001:2013
Atualização 2013 – Modificações e Melhorias

16. © Copyright 2013. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
A
C
D
P
Estrutura da Norma
Transição para 27001:2013
 Definir interfaces do escopo do SGSI:
 Agora é necessário identificar todas as
interfaces do SGSI com atividades feitas
pela sua organização e diferenciar das
atividades feitas por terceiros.
4. Contexto da Organização
5. Liderança
6. Planejamento
7. Suporte
8. Operação
9. Avaliação de Performance
10. Melhoria
ISO 27001:2013
Atualização 2013 – Modificações e Melhorias

17. © Copyright 2013. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
A
C
D
P
Estrutura da Norma
Transição para 27001:2013
 Alinhar o SGSI x Estratégia Corporativa:
 Na versão 2013 é necessário determinar
se os objetivos de Segurança da
Informação são compatíveis com a
direção estratégica da organização.
4. Contexto da Organização
5. Liderança
6. Planejamento
7. Suporte
8. Operação
9. Avaliação de Performance
10. Melhoria
ISO 27001:2013
Atualização 2013 – Modificações e Melhorias

18. © Copyright 2013. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
A
C
D
P
Estrutura da Norma
Transição para 27001:2013
 Mudanças na Política:
 Não existe mais necessidade de uma
“Política do SGSI”, a Política de
Segurança é suficiente
 Alguns requisitos mudaram, não é mais
necessário incluir o alinhamento com a
gestão de risco estratégica ou o critério
de avaliação de risco
4. Contexto da Organização
5. Liderança
6. Planejamento
7. Suporte
8. Operação
9. Avaliação de Performance
10. Melhoria
ISO 27001:2013
Atualização 2013 – Modificações e Melhorias

19. © Copyright 2013. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
A
C
D
P
Estrutura da Norma
Transição para 27001:2013
 Mudanças no processo de Avaliação de
Riscos:
 É necessário identificar o responsável para cada
risco identificado
 Não é mais necessário seguir uma metodologia
baseada na identificação de ativos  ameaças 
vulnerabilidades, você pode fazer de uma maneira
mais simples!
 Importante identificar processos terceirizados e
como estes são controlados
4. Contexto da Organização
5. Liderança
6. Planejamento
7. Suporte
8. Operação
9. Avaliação de Performance
10. Melhoria
ISO 27001:2013
Atualização 2013 – Modificações e Melhorias

20. © Copyright 2013. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
A
C
D
P
Estrutura da Norma
Transição para 27001:2013
 Declaração de aplicabilidade:
 Agora é necessário identificar se os
controles estão implementados ou não
4. Contexto da Organização
5. Liderança
6. Planejamento
7. Suporte
8. Operação
9. Avaliação de Performance
10. Melhoria
ISO 27001:2013
Atualização 2013 – Modificações e Melhorias

21. © Copyright 2013. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
A
C
D
P
Estrutura da Norma
Transição para 27001:2013
 Tratamento de Riscos:
 Agora é necessário obter a aprovação
dos responsáveis pelo risco (risk
owners) tanto para o RTP, quanto para o
risco residual
4. Contexto da Organização
5. Liderança
6. Planejamento
7. Suporte
8. Operação
9. Avaliação de Performance
10. Melhoria
ISO 27001:2013
Atualização 2013 – Modificações e Melhorias

22. © Copyright 2013. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
A
C
D
P
Estrutura da Norma
Transição para 27001:2013
 Planejamento da Comunicação:
 A comunicação deve ser sistemática
 Deve existir um processo que defina o
que é comunicado, como, quando e para
quem
 O processo de comunicação deve incluir
partes internas e externas
4. Contexto da Organização
5. Liderança
6. Planejamento
7. Suporte
8. Operação
9. Avaliação de Performance
10. Melhoria
ISO 27001:2013
Atualização 2013 – Modificações e Melhorias

23. © Copyright 2013. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
A
C
D
P
Estrutura da Norma
Transição para 27001:2013
 Processos de gerenciamento:
 Não existe mais necessidade de um procedimento
de “ação preventiva”, pois este virou parte
avaliação/gestão de riscos
 Não existe mais necessidade de ter procedimentos
documentados para Controle de Documentos,
Auditoria Interna e Ação corretiva
 Ainda assim os processos devem ser mantidos,
mesmo que não documentados
4. Contexto da Organização
5. Liderança
6. Planejamento
7. Suporte
8. Operação
9. Avaliação de Performance
10. Melhoria
ISO 27001:2013
Atualização 2013 – Modificações e Melhorias

24. © Copyright 2013. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
A
C
D
P
Estrutura da Norma
Transição para 27001:2013
 Novas políticas e procedimentos:
 Se os controles a seguir se aplicam ao
seu escopo, será necessário escrever
novos documentos:
 Secure system engineering principles (control
A.14.2.5)
 Supplier security policy (control A.15.1.1)
 Incident management procedure (control
A.16.1.5)
 Business continuity procedures (control
A.17.1.2)
4. Contexto da Organização
5. Liderança
6. Planejamento
7. Suporte
8. Operação
9. Avaliação de Performance
10. Melhoria
ISO 27001:2013
Atualização 2013 – Modificações e Melhorias

25. © Copyright 2013. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
A
C
D
P
Estrutura da Norma
Transição para 27001:2013
 Medição e relatoria:
 Requisitos bem mais exigentes:
 Objetivos de segurança devem ser
mensuráveis;
 Atividades para tratar riscos devem ser
avaliadas;
 No planejamento de objetivos, deve ser
considerado como o resultado será avaliado;
 É necessário definir o que será monitorado e
medido, quando isso vai ser feito, quem o fará
e quem vai avaliar os resultados;
 O responsável por reportar o desempenho do
SGSI deve ser claramente identificado.
4. Contexto da Organização
5. Liderança
6. Planejamento
7. Suporte
8. Operação
9. Avaliação de Performance
10. Melhoria
ISO 27001:2013
Atualização 2013 – Modificações e Melhorias

26. © Copyright 2013. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
Anexo A – Novas seções
27001:2005
27001:2013
11 seções
14 seções
Reorganização
Consolidação
Atualização
Exclusões
Simplificação
Melhorias em geral
Mais seções significa mais trabalho?
133 controles
114 controles
Atualização 2013 – Modificações e Melhorias

27. © Copyright 2013. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
Anexo A – Novas seções
5. Security Policies
6. Organization of information security
7. Human resource security
8. Asset management
9. Access control
10. Cryptography
11. Physical and environmental security
12. Operations security
13. Communications security
14. System acquisition, development and maintenance
15. Supplier relationships
16. Information security incident management
17. Information security aspects of business continuity
18. Compliance
Atualização 2013 – Modificações e Melhorias

28. © Copyright 2013. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
Anexo A – 24 Controles Excluídos
• 12.2.3 Message integrity
• 12.2.4 Output data validation
• 11.5.5 Session time out
• 11.5.6 Limitation of connection time
• 11.6.2 Sensitive system isolation
• 12.5.4 Information leakage
• 14.1.2 Business continuity and risk assessment
• 14.1.3 Developing and implementing business continuity plans
• 14.1.4 Business continuity planning framework
• 15.1.5 Prevention of misuse of information processing facilities
• 15.3.2 Protection of information systems audit tools
Atualização 2013 – Modificações e Melhorias

29. © Copyright 2013. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
Anexo A – 7 Novos Controles
• 14.2.1 Secure development policy – rules for development of software and
information systems
• 14.2.5 System development procedures – principles for system engineering
• 14.2.6 Secure development environment – establishing and protecting development
environment
• 14.2.8 System security testing – tests of security functionality
• 16.1.4 Assessment and decision of information security events – this is part of
incident management
• 17.2.1 Availability of information processing facilities – achieving redundancy

Atualização 2013 – Modificações e Melhorias

30. © Copyright 2013. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
27001:2013
Quando devo passar a usar a
ISO 27001:2013?
Período de Transição

31. © Copyright 2013. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
27001:2013
1 2 3
Setembro
2013
Setembro
2014
Setembro
2015
2 anos
1 ano 1 ano
Período de Transição
1. 27001:2013 Já é possível obter a certificação ISO
27001:2013 desde Setembro, mas a norma ainda não foi
publicada no Brasil. Isso deve acontecer ainda esse ano.
2. 27001:2005 É possível obter a certificação ISO
27001:2005 até 25 de Setembro de 2014 (um ano)
3. Migração Quem já possui a certificação na versão
anterior, deve migrar para a 27001 até 25 de Setembro
de 2015 (2 anos)

32. © Copyright 2013. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
Facilidade de alinhamento com outros Sistemas de Gestão.
Estrutura, seções e controles foram consolidados e estão mais efetivos.
Mudanças refletem os paradigmas dos últimos 8 anos.
Foco na Gestão de Riscos e participação da Alta Direção.
Existe esforço na transição 27001:2005  27001:2013, porém é aceitável.
Melhorias na 27001:2013
Prazos máximo para migração é de até 2 anos.
Conclusões

33. © Copyright 2013. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
• As melhorias da 27001:2013 justificam sua adoção...
...o prazo de adoção é de até 2 anos.
• Se você já está perto de certificar seu SGSI...
...mantenha a 27001:2005, mas pense no futuro.
• Se você vai iniciar um projeto de certificação...
...Prepare seu SGSI com a 27001:2013
Conclusões