ECA CERT- Certificação de Sistemas de Segurança da Informação (SGSI) segundo a Norma ISO 27001

O que é o Sistema de Gestão de Segurança da Informação?

Um Sistema de Gestão de Segurança da Informação baseia-se numa análise de riscos para estabelecer, implementar, operar, monitorizar, rever, manter e melhorar a segurança da informação.

Segurança da Informação é a preservação da:
- Confidencialidade: só quem está autorizado pode aceder à informação;
- Integridade: salvaguarda-se a exactidão e a totalidade da informação e dos seus métodos;
- Disponibilidade: a informação e os seus recursos estão acessíveis quando se requeiram.

Porquê implementar e certificar um SGSI?

- Para conseguir um reconhecimento oficialmente aceite numa matéria de cada vez maior importância.
- Para aumentar a confiança de clientes, onde em função do serviço que se realiza aos mesmos pode chegar a ser a chave da segurança da informação.
- Para proteger a informação do seu negócio, segurança técnica e de processos da mesma mão, numa solução à medida da sua empresa, focalizada nas pessoas e nos riscos da sua organização.
- No aspecto organizativo, para aumentar o compromisso interno dado que o sistema permite garantir a eficácia dos esforços desenvolvidos em todos os níveis da sua organização.
- Para salvaguardar as suas vantagens competitivas sobre técnicas avançadas de gestão, melhoria de processos, novos desenvolvimentos de software, etc.
- Para obter possíveis reduções nos prémios de seguro, vinculadas a uma possível diminuição dos incidentes em segurança da informação.
- Para evitar perdas, roubos, erros nos activos de informação da sua organização.
- Para garantir o cumprimento legal em matéria de novas tecnologias e contratual com clientes e empresas colaboradoras.

Panorama actual

Em termos de segurança da informação, os riscos e a vulnerabilidade crescem, são cada vez mais diversos e menos visíveis. A segurança nos sistemas falha e, em muitos casos, não por falta de soluções técnicas, para além de também estar dividida: nem sempre depende de nós, mas de fornecedores, utilizadores, pelo que temos maior necessidade de confiança e segurança.
A segurança apresenta-se-nos, cada vez mais, como um activo de negócio / comercial: se perdemos informação, arriscamo-nos a perder a empresa. As considerações económicas da segurança tornam-se tão importantes quanto as técnicas.

Marco normativo

• ISO / IEC 27001:2005

Define um Sistema de Gestão da Segurança da Informação:
- determina o que é obrigatório para o sistema de gestão;
- norma pela qual o sistema de gestão de segurança da informação pode ser auditado e certificado.

A norma ISO 27001, ao ser uma especificação, determina o que é obrigatório para o sistema de gestão. Foi desenvolvida para poder fazer parte de um Sistema de Gestão Integrado (SGI), abarcando outras normas ISO (ex: ISO 9001, ISO 14001).
Esta norma possibilita que todo o tipo de organizações possam obter uma certificação que ateste o seu saber fazer em matéria de segurança da informação.

• ISO / IEC 17799:2005 (FDIS 27002)

Boas práticas ou recomendações para alcançar níveis mínimos, objectivos e de excelência em segurança da informação: apresenta linhas de orientação, sem que estas sejam obrigatórias.

A Norma ISO / IEC 27001:2005

A segurança da informação requer investimento tanto em capital humano, como em tecnologia.

A norma ISO / IEC 27001:2005 cobre:

1. Política de segurança
2. Aspectos organizativos da segurança
3. Classificação de activos
4. Segurança dos recursos humanos
5. Segurança física e ambiental
6. Gestão das comunicações e operações
7. Controlo de acesso
8. Sistemas de informação; aquisição, desenvolvimento e manutenção
9. Gestão da continuidade de negócio
10. Gestão de incidentes de segurança da informação
11. Conformidade legal e contratual

Destes onze pontos, derivam 39 objectivos de controlo (resultados que se esperam alcançar mediante a implementação de controlos) e 133 controlos (práticas, procedimentos ou mecanismos que reduzem o nível de risco).

Rota para a Certificação de um SGSI

GAP ANALYSIS ISO 27001

Este estudo opcional preliminar realizado pela ECA CERT identifica na organização a situação actual de cumprimento segundo as normas ISO 27001 - ISO 17799 e as acções a realizar na empresa para a sua correcta implementação e certificação.

Implementação de um SGSI

- Definição do âmbito do SGSI
- Avaliação dos riscos
- Declaração de aplicabilidade
- Estabelecer e definir o SGSI
- Implementar e operar o SGSI
- Formação e sensibilização
- Implementação de procedimentos, controlos
- Monitorização e análise
- Melhoria contínua
- Documentar o SGSI
- Integração com outros sistemas de gestão

Processo de Certificação

Processo de certificação SGSI ISO 27001	Acções
Questionário preliminar e Solicitação	Preencher o formulário de solicitação da certificação e um questionário inicial, que servirá de base para a recolha inicial de dados da organização, definição de tempos de auditoria e designação de equipa auditora. Aprovação do orçamento.
Auditoria de certificação FASE 1	Pré-auditoria para conhecer os desvios do sistema em relação ao referencial: análise dos documentos do SGSI para decidir se estes se adaptam à normativa e se se recomenda a certificação, Activos, Declaração de aplicabilidade, Análise de riscos, Política de segurança, Aspectos legais da segurança da informação.
Auditoria de certificação FASE 2	Auditoria ao SGSI, tratamento do risco, implementação de controlos, análise da documentação, plano de continuidade de negócio, gestão de incidências, formação e sensibilização, etc.
Apresentação do relatório de auditoria	Medidas correctivas, aspectos para a melhoria.
Emissão do certificado	Emissão do certificado, para que este possa ser utilizado nas relações da organização com clientes e fornecedores.
Auditoria de acompanhamento	Auditorias de acompanhamento com periodicidade semestral ou anual para verificar que o sistema continua a cumprir os requisitos aplicáveis e para verificar que se adoptaram as acções correctivas no prazo estabelecido.
Renovação da certificação	Auditoria de certificação a cada 3 anos para renovação da certificação.

Factores de Êxito de um SGSI

• Na fase inicial deve ter-se em conta:
- A segurança em TI é um processo que afecta toda a organização; deste modo, é necessário envolver todos os departamentos da empresa.
- Deve definir-se uma estratégia de segurança baseada no negócio e não na tecnologia.
- A segurança da informação não é um produto, é um processo contínuo.
- A segurança proporcionada por um SGSI é permanente e não se baseia em acções pontuais.
- A implementação de um SGSI requer um compromisso inicial e visível da gestão de topo.

• Na implementação do SGSI:
- Uma das chaves do sucesso de um SGSI é determinar o âmbito do mesmo, adequado ao objectivo do negócio e pensando na certificação do sistema.
- A segurança da informação baseia-se nas pessoas: é essencial a formação do pessoal e a distribuição da política de segurança da informação a todos os colaboradores.
- Implementar um SGSI implica não só controlar os aspectos técnicos, mas também os legais (lei de protecção de dados pessoais, de protecção intelectual, de segurança informática, etc.)
- Um SGSI pode ser o motor de gestão e direcção de um departamento de informática, como ITIL, COBIT, etc.
- Um SGSI pode integrar-se num sistema de gestão, pelo que uma empresa que tenha a ISO 9001 ou ISO 14001 pode facilmente integrar um SGSI.

• Na Certificação:
- Adequar o âmbito inicial do SGSI com o objectivo de o certificar posteriormente.
- Adaptar o plano de auditoria e as auditorias de acompanhamento aos objectivos de negócio.
- Contar com um Organismo de Certificação com experiência e conhecimento e que conheça o seu sector.

Formação

A ECA CERT organiza o CURSO OFICIAL DE AUDITORES SGSI ISO 27001, para obter um dos requisitos para auditor qualificado (curso oficial de 40 horas).

Ana Canais Medina
Directora Geral
ECA CERT - Certificação, Lda.