{"id":12635,"date":"2023-03-28T16:11:24","date_gmt":"2023-03-28T19:11:24","guid":{"rendered":"https:\/\/leonlisboa.com.br\/site\/?p=12635"},"modified":"2023-03-28T16:15:01","modified_gmt":"2023-03-28T19:15:01","slug":"serie-iso-27001-como-se-adaptar","status":"publish","type":"post","link":"https:\/\/leonlisboa.com.br\/site\/serie-iso-27001-como-se-adaptar\/","title":{"rendered":"S\u00c9RIE – ISO 27001 – Como se adaptar"},"content":{"rendered":"\n

No post anterior falamos sobre O que \u00e9 a ISO 27001<\/a>. Agora falaremos de adapta\u00e7\u00e3o a esta ISO.<\/p>\n\n\n\n

Para tudo no caso das ISO \u00e9 necess\u00e1rio o Compromisso da Alta Dire\u00e7\u00e3o. Sem isto n\u00e3o existe um projeto de adapta\u00e7\u00e3o ou de auditoria de ISOs.<\/p>\n\n\n\n

<\/p>\n\n\n\n

ISO 27001 \u2013 O compromisso da Alta Dire\u00e7\u00e3o<\/h2>\n\n\n\n

Uma das bases fundamentais para se iniciar o projeto de ISO 27001 \u00e9 o apoio claro e decidido da Dire\u00e7\u00e3o de uma organiza\u00e7\u00e3o. N\u00e3o apenas por ser um ponto nevr\u00e1lgico na norma, mas porque a mudan\u00e7a de cultura e consci\u00eancia que se fazem necess\u00e1rias prov\u00e9m da pr\u00f3pria Alta Dire\u00e7\u00e3o. E isto exige um plano, datas e respons\u00e1veis. Como todo projeto desta envergadura, o tempo e o esfor\u00e7o investidos nesta fase multiplicam seus efeitos positivos sobre as demais fases.<\/p>\n\n\n\n

<\/p>\n\n\n

\n
\"iso
ISO 27001 \u2013 Planejamnto<\/figcaption><\/figure>\n<\/div>\n\n\n

O Planejamento<\/h2>\n\n\n\n

Uma das primeiras coisas nesta fase \u00e9 definir o alcance do SGSI<\/strong> (Sistema de Gest\u00e3o de Seguran\u00e7a da Informa\u00e7\u00e3o). Em fun\u00e7\u00e3o das caracter\u00edsticas de neg\u00f3cio, organiza\u00e7\u00e3o, localiza\u00e7\u00e3o, ativos e tecnologia<\/strong>, deve-se definir os limites do SGSI (que n\u00e3o precisa ser definido em toda a organiza\u00e7\u00e3o, e \u00e9 recomendado come\u00e7ar por um ponto espec\u00edfico).<\/p>\n\n\n\n

Outro ponto importante \u00e9 definir as pol\u00edticas de seguran\u00e7a.<\/strong> Estas devem incluir o marco geral e os objetivos de seguran\u00e7a da informa\u00e7\u00e3o da organiza\u00e7\u00e3o, levando em conta os requisitos do neg\u00f3cio (legais e contratuais) com rela\u00e7\u00e3o \u00e0 seguran\u00e7a, e que estejam alinhadas \u00e0 Gest\u00e3o de Risco geral , estabelecendo crit\u00e9rios de evolu\u00e7\u00e3o dos riscos, e que seja aprovada pela Alta Dire\u00e7\u00e3o. <\/p>\n\n\n\n

Tamb\u00e9m \u00e9 necess\u00e1rio definir a evolu\u00e7\u00e3o dos riscos<\/strong>, atrav\u00e9s de uma metodologia apropriada para o SGSI e as necessidades da organiza\u00e7\u00e3o, desenvolvendo crit\u00e9rios de aceita\u00e7\u00e3o de riscos e a determina\u00e7\u00e3o do risco aceit\u00e1vel. O risco nunca \u00e9 totalmente elimin\u00e1vel, da\u00ed a necessidade de definir uma estrat\u00e9gia de aceita\u00e7\u00e3o de risco.<\/p>\n\n\n\n

Al\u00e9m disso faz-se o invent\u00e1rio dos ativos<\/strong>. Todos aqueles ativos de informa\u00e7\u00e3o que t\u00eam algum valor para a organiza\u00e7\u00e3o e est\u00e3o dentro do alcance do SGSI devem ser inventariados com crit\u00e9rios r\u00edgidos. <\/p>\n\n\n\n

\u00c9 imprescind\u00edvel tamb\u00e9m identificar amea\u00e7as e vulnerabilidades<\/strong>, principalmente as que afetam os ativos inventariados.<\/p>\n\n\n\n

    \n
  • Idenficar os impactos<\/strong>, como perda de confidencialidade ou a integridade ou a disponibilidade dos ativos \u00e9 extremamente necess\u00e1rio tamb\u00e9m.<\/li>\n\n\n\n
  • Outras partes extremamente importantes s\u00e3o :<\/li>\n\n\n\n
  • An\u00e1lise e evolu\u00e7\u00e3o dos riscos :<\/strong> analisar o dano resultante de uma falha de seguran\u00e7a e a probabilidade de ocorr\u00eancia da falha; estimar o risco resultante e se este risco \u00e9 aceit\u00e1vel ou se requer tratamento.<\/li>\n\n\n\n
  • Identificar e analisar op\u00e7\u00f5es para o tratamento de riscos : <\/strong>o risco pode ser reduzido, eliminado, aceito ou transferido.<\/li>\n\n\n\n
  • Sele\u00e7\u00e3o dos controles : <\/strong>selecionar controles para o tratamento dos riscos em fun\u00e7\u00e3o de an\u00e1lise anterior. Utilizar para isto os controles do anexo A da ISO 27001, e outros controles adicionais se consider\u00e1-los necess\u00e1rios.<\/li>\n\n\n\n
  • Aprova\u00e7\u00e3o por parte da Alta Dire\u00e7\u00e3o do risco residual e autoriza\u00e7\u00e3o para se implantar o SGSI :<\/strong> lembremos que os riscos de seguran\u00e7a da informa\u00e7\u00e3o s\u00e3o riscos de neg\u00f3cio e apenas a Alta Dire\u00e7\u00e3o pode tomar decis\u00f5es sobre sua aceita\u00e7\u00e3o e tratamento. O risco residual \u00e9 o que resta ainda depois de se haver aplicado os controles, pois \u201crisco zero\u201d n\u00e3o existe.<\/li>\n\n\n\n
  • Confeccionar uma Declara\u00e7\u00e3o de Aplicabilidade : <\/strong>a chamada SOA (Statemente of Aplicability) \u00e9 uma lista de todos os controles selecionados e o porqu\u00ea de sua sele\u00e7\u00e3o, dos controles atualmente implementados e a justificativa de qualquer controle do anexo A que tenha sido exclu\u00eddo. \u00c9, em definitivo, o resumo das decis\u00f5es tomadas quanto ao tratamento dos riscos.<\/li>\n<\/ul>\n\n\n\n

    Mesmo que pare\u00e7a complicada a parte de Planejamento da ISO 27001, ela n\u00e3o \u00e9. Mas exige sim que a Alta Dire\u00e7\u00e3o esteja \u00e0 frente de todas estas decis\u00f5es.<\/p>\n\n\n\n

    No pr\u00f3ximo artigo falaremos sobre a Implementa\u00e7\u00e3o da ISO 27001. At\u00e9 mais !<\/p>\n","protected":false},"excerpt":{"rendered":"

    Uma das bases fundamentais para se iniciar o projeto de ISO 27001 \u00e9 o apoio claro e decidido da Dire\u00e7\u00e3o de uma organiza\u00e7\u00e3o. N\u00e3o apenas por ser um ponto nevr\u00e1lgico na norma, mas porque a mudan\u00e7a de cultura e consci\u00eancia que se fazem necess\u00e1rias prov\u00e9m da pr\u00f3pria Alta Dire\u00e7\u00e3o. E isto exige um plano, datas e respons\u00e1veis. Como todo projeto desta envergadura, o tempo e o esfor\u00e7o investidos nesta fase multiplicam seus efeitos positivos sobre as demais fases.<\/p>\n","protected":false},"author":1,"featured_media":12644,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"om_disable_all_campaigns":false,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"_uf_show_specific_survey":0,"_uf_disable_surveys":false,"_jetpack_memberships_contains_paid_content":false,"footnotes":"","jetpack_publicize_message":"","jetpack_publicize_feature_enabled":true,"jetpack_social_post_already_shared":false,"jetpack_social_options":{"image_generator_settings":{"template":"highway","default_image_id":0,"font":"","enabled":false},"version":2}},"categories":[3,4,159],"tags":[39,40,59,86,124,126,129,130],"class_list":["post-12635","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-auditoria-de-ti","category-compliance-de-ti","category-iso-27001","tag-ciberneticos","tag-ciberseguranca","tag-empresa","tag-iso-2701","tag-seguranca","tag-seguranca-da-informacao","tag-sgsi","tag-sistema-de-gestao-da-seguranca-da-informacao"],"jetpack_publicize_connections":[],"jetpack_featured_media_url":"https:\/\/leonlisboa.com.br\/site\/wp-content\/uploads\/iso-27001-8.jpeg","jetpack_sharing_enabled":true,"jetpack_likes_enabled":true,"_links":{"self":[{"href":"https:\/\/leonlisboa.com.br\/site\/wp-json\/wp\/v2\/posts\/12635","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/leonlisboa.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/leonlisboa.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/leonlisboa.com.br\/site\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/leonlisboa.com.br\/site\/wp-json\/wp\/v2\/comments?post=12635"}],"version-history":[{"count":10,"href":"https:\/\/leonlisboa.com.br\/site\/wp-json\/wp\/v2\/posts\/12635\/revisions"}],"predecessor-version":[{"id":12648,"href":"https:\/\/leonlisboa.com.br\/site\/wp-json\/wp\/v2\/posts\/12635\/revisions\/12648"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/leonlisboa.com.br\/site\/wp-json\/wp\/v2\/media\/12644"}],"wp:attachment":[{"href":"https:\/\/leonlisboa.com.br\/site\/wp-json\/wp\/v2\/media?parent=12635"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/leonlisboa.com.br\/site\/wp-json\/wp\/v2\/categories?post=12635"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/leonlisboa.com.br\/site\/wp-json\/wp\/v2\/tags?post=12635"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}