Estude fácil! Tem muito documento disponível na Docsity
Ganhe pontos ajudando outros esrudantes ou compre um plano Premium
Prepare-se para as provas
Estude fácil! Tem muito documento disponível na Docsity
Prepare-se para as provas com trabalhos de outros alunos como você, aqui na Docsity
Os melhores documentos à venda: Trabalhos de alunos formados
Prepare-se com as videoaulas e exercícios resolvidos criados a partir da grade da sua Universidade
Responda perguntas de provas passadas e avalie sua preparação.
Ganhe pontos para baixar
Ganhe pontos ajudando outros esrudantes ou compre um plano Premium
Comunidade
Peça ajuda à comunidade e tire suas dúvidas relacionadas ao estudo
Descubra as melhores universidades em seu país de acordo com os usuários da Docsity
Guias grátis
Baixe gratuitamente nossos guias de estudo, métodos para diminuir a ansiedade, dicas de TCC preparadas pelos professores da Docsity
ISO 27001:2022 Sistema de Gestão de Segurança da Informação
Tipologia: Resumos
1 / 29
Esta página não é visível na pré-visualização
Não perca as partes importantes!
Maputo, Novembro de 2024
Curso de Engenharia Informática Administração de Sistemas e Segurança de Computadores ISO SISTEMA DE GESTÃO DE SEGURNÇA DA INFORMAÇÃO Discentes: Chivambo, Dalton Chivambo Uqueio, Kevin Grupo Docente: Eng.º Délcio Chadreca Eng.º Ivone Cipriano
A ISO 27001 destaca-se como uma norma internacional essencial para o gerenciamento da segurança da informação em organizações de todos os tamanhos e setores. Ela fornece um modelo estruturado para a implementação, operação, monitoramento, revisão, manutenção e melhoria de um Sistema de Gestão de Segurança da Informação (SGSI). Mais do que apenas conformidade, a ISO 27001 é uma ferramenta estratégica que ajuda as organizações a protegerem dados sensíveis contra ameaças e vulnerabilidades, garantindo confidencialidade, integridade e disponibilidade. No contexto atual de aumento de ataques cibernéticos e exigências regulatórias mais rígidas, a implementação da ISO 27001 se torna um diferencial competitivo, promovendo confiança junto a clientes e parceiros. Além disso, a norma facilita a identificação de riscos, adoção de controles apropriados e estabelecimento de uma cultura organizacional voltada à segurança da informação Palavras chave : segurança da informação, confidencialidade, integridade, disponibilidade, SGSI, riscos, controles, ameaças, conformidade.
Na era digital, a segurança da informação tornou-se um pilar estratégico para organizações que dependem da tecnologia para suas operações diárias. Com o aumento exponencial no volume de dados e a sofisticação das ameaças cibernéticas, proteger informações sensíveis contra acessos não autorizados, violações e perdas é uma prioridade global. Nesse cenário, a ISO 27001 emerge como uma norma internacional indispensável para a implementação de um Sistema de Gestão de Segurança da Informação (SGSI). Este trabalho tem como objetivo explorar os fundamentos e benefícios da ISO 27001, destacando como ela ajuda as organizações a estabelecerem controles eficazes para garantir a confidencialidade, integridade e disponibilidade das informações. Serão abordados os requisitos principais da norma, o processo de identificação e tratamento de riscos e as vantagens estratégicas que ela oferece para atender às demandas de segurança e conformidade regulatória. Ao longo deste estudo, serão discutidos os desafios enfrentados pelas organizações na proteção de seus ativos de informação e como a ISO 27001 fornece uma estrutura sistemática para mitigação de riscos e melhoria contínua. Dessa forma, busca-se evidenciar a relevância dessa norma na promoção de uma cultura organizacional voltada à segurança, essencial para o sucesso e a sustentabilidade no mundo moderno.
A metodologia adotada para este estudo será qualitativa, com foco em compreender em profundidade os aspectos teóricos e práticos relacionados à implementação e gestão da norma ISO 27001. Essa abordagem possibilita uma análise detalhada dos elementos que compõem o Sistema de Gestão de Segurança da Informação (SGSI), incluindo seus requisitos, estrutura e aplicabilidade. Por meio de revisão bibliográfica e análise documental, o trabalho investigará os princípios da norma, com ênfase na TRIAD CIA (Confidencialidade, Integridade e Disponibilidade), no Anexo A e nos documentos obrigatórios. Serão examinados estudos de caso e práticas de mercado que ilustram a aplicação da ISO 27001, buscando identificar os benefícios, desafios e melhores práticas associados à sua implementação.
O Sistema de Gestão de Segurança da Informação (SGSI) é um framework estruturado e abrangente que engloba políticas, processos, diretrizes, controles técnicos e administrativos que uma organização implementa para proteger seus ativos informacionais contra ameaças, vulnerabilidades e incidentes. Seu objetivo central é assegurar a confidencialidade, integridade e disponibilidade das informações, pilares fundamentais para a segurança da informação. O SGSI é projetado para ser dinâmico e adaptável, permitindo que as organizações respondam de forma proativa às mudanças no cenário de ameaças, aos avanços tecnológicos e às exigências regulatórias. Ele opera em conformidade com o ciclo de melhoria contínua PDCA (Planejar-Executar-Verificar-Agir), o que garante uma abordagem sistemática para o gerenciamento da segurança. Figura 1 PDCA
Empresas certificadas na ISO 27001 demonstram seu compromisso com a segurança da informação, sendo altamente valorizadas em setores regulamentados, como finanças, saúde e TI. A certificação também proporciona vantagens competitivas, pois clientes e parceiros de negócios confiam mais em empresas com essa certificação devido à sua conformidade com as melhores práticas de segurança da informação.
A confidencialidade é o que garante o sigilo de informação e impede que elas não sejam ‘’roubadas” ou acessadas por pessoas não autorizadas. Para garantir a confidencialidade das informações, a ISO 27001 estabelece requisitos como o Criptografia, controle de acesso, autenticação (como senhas e autenticação multifator), e classificação de dados para definir níveis de confidencialidade.
A integridade se refere à proteção dos dados contra alterações não autorizadas ou acidentais, para que permaneçam consistentes, corretos e confiáveis. Isso é fundamental para que a informação mantenha seu valor e autenticidade, sem modificações não detectadas. Para garantir a integridade da informação, a ISO 27001 exige que as empresas adotem medidas de controle para prevenir, detectar e corrigir erros e modificações não autorizadas, ao longo de todo o seu ciclo de vida, desde a criação até o descarte seguro. Controles de versões, somas de verificação (hashes), assinaturas digitais, controles de auditoria e registros de logs que detectam alterações e asseguram a consistência dos dados.
A disponibilidade assegura que os sistemas e dados estejam acessíveis a usuários autorizados, especialmente em momentos críticos. Isso inclui prevenção contra interrupções, como falhas de hardware, ataques de negação de serviço (DoS) e desastres naturais, que poderiam afetar a continuidade de operações. Exemplos de Medidas: Backups regulares, redundância de sistemas, planejamento de recuperação de desastres, e configuração de alta disponibilidade e balanceamento de carga para minimizar o risco de interrupções.
Seção 8 - Operação: Detalha a implementação dos controles e processos para tratar riscos e atingir objetivos. Seção 9 - Avaliação de desempenho: Estabelece requisitos para monitoramento, análise crítica e auditorias internas. Seção 10 - Melhoria: Orienta sobre como abordar não conformidades e melhorar continuamente o SGSI. Figura 2 Secções da ISO 27001 4 - Contexto da Organização 4.1 Compreensão da Organização e seu Contexto - identificar questões externas e internas que são relevantes para sua finalidade; 4. 2 Compreensão das Necessidades e Expectativas das Partes Interessadas - Identificar as partes interessadas e os requisitos dessas partes interessadas, pertinentes a segurança da informação.
4. 3 Determinação do Escopo do Sistema de Gestão de Segurança da Informação – A organização deve definir os limites e a aplicabilidade do SGSI para estabelecer o seu escopo. 4. 4 Sistema de Gestão de Segurança da Informação - A organização deve estabelecer, implementar, manter e melhorar continuamente um sistema de gestão de segurança da informação (SGSI), de acordo com os requisitos desta Norma Internacional.
6.2 Objetivos de Segurança da Informação e Planos para Alcançá-los A organização deve definir e aplicar um processo de tratamento de risco de segurança da informação para:
8. Operação 8.1 Planejamento e Controle Operacional - A organização deve planejar, implementar e monitorar processos para cumprir os requisitos de segurança e atingir objetivos de segurança da informação. Documentação suficiente deve ser mantida para garantir que os processos sejam executados como planejado, incluindo o controle de mudanças e o monitoramento de processos terceirizados. 8.2 Avaliação de Risco de Segurança da Informação - Avaliações de risco de segurança devem ser realizadas periodicamente ou sempre que houver mudanças significativas, e os resultados documentados. Essas avaliações garantem que os riscos à segurança sejam continuamente identificados e avaliados. 8.3 Tratamento de Risco de Segurança da Informação - A organização deve implementar planos de tratamento de riscos para mitigar ameaças identificadas e documentar os resultados. Essa etapa assegura que os riscos de segurança sejam gerenciados de forma eficaz, reduzindo o impacto potencial sobre os ativos de informação. 9 Avaliação de Desempenho 9.1 Monitoramento, Medição, Análise e Avaliaçã o - Avaliar o desempenho e eficácia do sistema de gestão de segurança da informação; Definir o que monitorar, métodos a serem usados, frequência e responsáveis; Manter documentação para garantir resultados válidos e confiáveis. 9.2 Auditoria Interna - Realizar auditorias internas periodicamente para verificar a conformidade e eficácia do SGSI; Estabelecer um programa de auditoria com critérios claros, selecionar auditores imparciais e relatar resultados à gestão. 9.3 Revisão pela Direção - A alta direção deve revisar o SGSI regularmente para assegurar adequação e eficácia.
O Anexo A apresenta um catálogo de 114 controles, organizados em 14 categorias principais, que abrangem diferentes aspetos da segurança da informação. Cada controle tem um objetivo específico e fornece diretrizes práticas para implementar medidas de segurança adequadas. Essas categorias incluem tópicos como:
Anexo A.5 – Políticas de segurança da informação (2 controles) - O Anexo A.5 garante que as políticas sejam escritas e revisadas de acordo com as práticas de segurança da informação da organização. Anexo A.6 – Organização da segurança da informação (7 controles) - Este anexo cobre a atribuição de responsabilidades para tarefas específicas. É dividido em duas seções. O Anexo
