Julho, 2018
Qualidade, Ambiente e Segurança:
para obtenção do Grau de Mestre em Sistemas Integrados de Gestão, ao Instituto Politécnico do Cávado e do Ave Trabalho de Projeto apresentado
Professor Doutor Nuno Lopes
Professora Doutora Martinha Pereira
Orientadores
Aida Maria Calheiros Cepa Carneiro
DE TECNOLOGIAS DE INFORMAÇÃO
SEGURANÇA DA INFORMAÇÃO NUMA EMPRESA DEFINIÇÃO DE UM SISTEMA DE GESTÃO DE
DEFINIÇÃO DE UM SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO NUMA EMPRESA DE TECNOLOGIAS DE INFORMAÇÃO
Aida Maria Calheiros Cepa Carneiro
Orientadores
Professora Doutora Martinha Pereira Professor Doutor Nuno Lopes
Trabalho de Projeto apresentado
ao Instituto Politécnico do Cávado e do Ave
para obtenção do Grau de Mestre em Sistemas Integrados de Gestão, Qualidade, Ambiente e Segurança:
Julho, 2018
Declaração
Nome: Aida Maria Calheiros Cepa Carneiro Endereço eletrónico: aida.cepa@gmail.com Tel./Telem.: 93 325 17 85
Número do Bilhete de Identidade: 10253269 Título da dissertação □/Trabalho
Definição de um Sistema de Gestão de Segurança da Informação numa empresa de Tecnologias de Informação
Orientador(es):
Professora Doutora Martinha Pereira Professor Doutor Nuno Lopes Ano de conclusão: 2018
Designação do Curso de Mestrado: Sistemas Integrados de Gestão Qualidade, Ambiente e Segurança
DE ACORDO COM A LEGISLAÇÃO EM VIGOR, NÃO É PERMITIDA A REPRODUÇÃO DE QUALQUER PARTE DESTA DISSERTAÇÃO/TRABALHO
Instituto Politécnico do Cávado e do Ave, __/___/______
Assinatura: ________________________________________________
RESUMO
Vive-se no mundo global onde a informação chega a velocidade relâmpago, sendo, no entanto volátil e frágil, podendo desaparecer ou deteriorar-se num ápice. A informação é essencial e indispensável aos negócios das organizações. Esta informação, no mundo dos negócios modernos constitui o objeto de maior valor para as empresas (Calder & Watkins, 2012), sendo considerada um ativo crítico, onde se quer evitar intrusões e manipulações que coloquem em risco, tanto a integridade, confidencialidade e disponibilidade da informação, como as operações da própria organização (Arévalo Ascanio, Bayona Trillos & Rico Bautista, 2015). A informação é um elemento essencial para a tomada de decisões e representa efetivamente valor para o negócio. A segurança da informação, dada a evolução constante das tecnologias de informação, é um assunto muito importante, pois as organizações estão cada vez mais dependentes de todos os seus sistemas informáticos.
Palavras-chave: Informação, Segurança, Sistema de Gestão, implementação, Controlos de segurança.
A implementação de um istema de estão de egurança da nformação (SGSI) permite S G S I internacionalmente reconhecidas para definir, implementar, monitorizar e melhorar a segurança da informação. Um problema que a maioria das empresas enfrentamatualmente é: a atribuição de um investimento em segurança da informação, a seleção dos controlos a implementar para
protegerem os seus sistemas de segurança de informação e a alocação de recursos, sendo certo que a segurança não deve complicar a vida da empresa, mas ser uma forma de melhorar a produtividade, mesmo com um orçamento limitado (Yevseyeva, Iryna, Fernandes, Vitor et al, 2015).
Este trabalho consiste na definição de um SGSI com vista à sua implementação segundo a ISO IEC 27001:2013, aplicável à empresa WeMake - Tecnologias de informação, Lda, que considera de extrema importância pelo tipo de serviços que fornece e presta,bem como pelo ramo de negócio em que atua comercialmente.
ABSTRACT
We live in the global world where information arrives at lightning speed, being, however, volatile and fragile and able to disappear or to deteriorate to an apex. Information is essential and indispensable to organizations' businesses. That information, in the modern business world, is the object of greater value to companies (Calder & Watkins, 2012), and is considered a critical asset, where subsists the need to avoid intrusions and manipulations that endanger the integrity, confidentiality and availability of information, such as the operations of the organization itself (Arévalo Ascanio, Bayona Trillos & Rico Bautista, 2015). Information is an essential element for decision making and effectively represents value to the business. Companies are increasingly dependent on all their IT systems and because of that,Information security becomesa very important issue that organizations need to protect for still operating.
The implementation of an Information Security Management System (ISMS) allows the articulation of internationally recognized standards to define, implement, monitor and improve information security. One problem that most companies face todayis the allocation of an investment in information security, the selection of controls to be implemented to protect their information security systems and the allocation of resources. Security should not complicate the company's life, but be a way to improve productivity, even with a limited budget (Yevseyeva, Iryna, Fernandes, Vitor et al, 2015). Thisworkconsists of the definition of an ISMS system with the purpose of its implementation according to ISO IEC 27001: 2013, applicable to the company WeMake – Tecnologias de Informação, Lda, which considers as extreme importance for the type of services that it provides and for the business area in which it operates commercially.
Keywords: Information, Security, Management System, implementation, Security Controls
DEDICATÓRIA
Dedico todo o meu trabalho à minha Família, em especial aos meus Filhos Mariana e Pedro, meu Marido e Meus Pais.
“Talvez não tenha conseguido fazer o melhor, mas lutei para que o melhor fosse feito. Não sou o que deveria ser, mas Graças a Deus, não sou o que era antes”.
Marthin Luther King
AGRADECIMENTOS
Agradeço a todos os Professores do Mestrado MSIGQAS, mas muito particularmente à Professora Doutora Martinha Pereira e ao Professor Doutor Nuno Lopes. À Professora Doutora que, com a sua grande sabedoria e empenho trouxe para as salas de aula do IPCA muita da sua experiência profissional, contribuindo sem dúvida para o meu crescimento em termos de conhecimento teórico e prático de todos os referenciais normativos. Ao Professor Doutor Nuno Lopes por todos os seus ensinamentos e em especial pela sua paciência, disponibilidade e capacidade, conseguindo cativar- me para as tecnologias de informação e para a escolha deste projeto.
A ambos os Orientadores deste projeto, sempre disponíveis e contactáveis, agilizando as suas agendas, de forma a contribuir para o desenvolvimento deste trabalho. Foram conselhos, dicas e sugestões preciosas que contribuíram para o crescimento e desenvolvimento deste processo.
Agradeço à WeMake toda a disponibilidade, ajuda, acolhimento, em especial ao Engº Filipe Pires de Morais, que geriu e acompanhou todo o projeto e muito anseia pela implementação da ISO IEC 27001:2013 na empresa.
Agradeço igualmente aos restantes sócios da WeMake, Eng. Luís Barreiros e em especial ao Engº Pedro Carneiro e Engº Jorge Martins pela confiança depositada, pela ajuda e disponibilidade que sempre demonstraram.
Obrigada!!!
SIGLAS E ABREVIATURAS
ACs – Ações corretivas
IEC – International Eletrotechnical Comission ISO – International organization for standardization
MSIGQAS – Mestrado em Sistema de Gestão em Qualidade Ambiente e Segurança NCs – Não conformidades
NP – Norma Portuguesa
SGSI – Sistema de Gestão de Segurança da Informação TICs – Tecnologias de Informação e Comunicações
ÍNDICE
CAPÍTULO I ... 1
1. INTRODUÇÃO ... 2
1.1 MOTIVAÇÃO ... 2
1.2 OBJETIVOS ... 3
1.3 ESTRUTURA DO DOCUMENTO ...3
CAPÍTULO II ... 5
2. REVISÃO DA LITERATURA ... 7
2.1 INFORMAÇÃO ... 7
2.2 SEGURANÇA DA INFORMAÇÃO ... 7
2.3 IMPORTÂNCIA DO SISTEMA DE SEGURANÇA DA INFORMAÇÃO ... 9
2.4 CULTURA ORGANIZACIONAL E O COMPROMISSO DENTRO DAS ORGANIZAÇÕES ... 11
2.5 BENEFICÍOS DE IMPLEMENTAÇÃO DE UM SGSI ... 12
2.6 OBSTÁCULOS À IMPLEMENTAÇÃO DE UM SGSI ... 13
2.7 PERSPETIVA HISTÓRICA DA ISO IEC 27001 ... 14
2.8 A ESTRUTURA GLOBAL DA NP ISO/IEC 27001:2013 ... 15
2.9 PRINCIPAIS MUDANÇAS DA REVISÃO DE 2013 DA ISO/IEC 27001... 16
2.10 A METODOLOGIA DE AVALIAÇÃO DE RISCOS DA NP ISO/IEC 27001:2013 ... 16
CAPÍTULO III ... 23
3. APRESENTAÇÃO DA EMPRESA, METODOLOGIAS E FASES A ABORDAR NO PROJETO ... 25
3.1 BREVE APRESENTAÇÃO DA EMPRESA ... 25
3.2 METODOLOGIA ... 25
3.3 METODOLOGIA DE TRABALHO DESENVOLVIDA NA EMPRESA ... 26
3.4 FASES A ABORDAR NO PROJETO ... 29
CAPITULO IV ... 31
4. DEFINIÇÃO DO SGSI DA WEMAKE ... 33
4.1 CONTEXTO DA ORGANIZAÇÃO ... 33
4.2 NECESSIDADES E EXPETATIVAS DOS STAKEHOLDERS ... 37
4.3 ÂMBITO DO SGSI ... 38
4.4 LIDERANÇA ... 38
4.4.1 COMPROMETIMENTO ... 38
4.4.2 POLÍTICA ... 38
4.4.3 FUNÇÕES, RESPONSABILIDADES E AUTORIDADES NA ORGANIZAÇÃO ... 39
4.5 PLANEAMENTO ... 39
4.5.1 METODOLOGIA PARA AVALIAÇÃO E TRATAMENTO DO RISCO DA SEGURANÇA DA INFORMAÇÃO………39
4.5.2 FASES PARA AVALIAÇÃO DO RISCO DE SEGURANÇA DA INFORMAÇÃO ... 41
4.5.3 TRATAMENTO DO RISCO NA SEGURANÇA DA INFORMAÇÃO ... 44
4.5.4 DECLARAÇÃO DE APLICABILIDADE ... 45
4.6 OBJETIVOS DE SEGURANÇA DA INFORMAÇÃO E PLANEAMENTO PARA OS ATINGIR ... 46
4.7 SUPORTE ... 46
4.7.1 RECURSOS ... 46
4.7.2 COMPETÊNCIA ... 47
4.7.3 CONSCIENCIALIZAÇÃO ... 47
4.7.4 COMUNICAÇÃO ... 47
4.7.5 INFORMAÇÃO DOCUMENTADA ... 47
4.8 AUDITORIA INTERNA ... 48
4.9 REVISÃO PELA GESTÃO ... 48
CAPITULO V ... 49
5. CONCLUSÃO ... 50
5.1 TRABALHO FUTURO ... 51
REFERÊNCIAS BIBLIOGRÁFICAS ... 54
ANEXOS ... 58
ÍNDICE DE ANEXOS
ANEXO I - Diagnóstico inicial para implementação da ISO IEC 27001:2013 ... 59
ANEXO II - Plano de ações para a implementação da ISO IEC 27001:2013 ... 60
ANEXO III - Diagnóstico inicial controlos previstos no Anexo A da ISO IEC 27001:2013 ... 61
ANEXO IV - Manual de Segurança da Informação... 62
ANEXO V - Proposta de política do SGSI ... 63
ANEXO VI - A Nossa Política ... 64
ANEXO VII - Manual de funções ... 65
ANEXO VIII - Matriz de responsabilidades ... 66
ANEXO IX – Organigrama ... 67
ANEXO X - Metodologia de Avaliação de riscos ... 68
ANEXO XI - Declaração de Aplicabilidade ... 69
ANEXO XII - Manual de Políticas de segurança da informação ... 70
ANEXO XIII - Inventário de ativos ... 71
ANEXO XIV - Procedimento de admissão e formação de colaboradores ... 72
ANEXO XV - Procedimento na cessação da relação laboral ... 73
ANEXO XVI - Procedimento Incidentes WeHelp ... 74
ANEXO XVII - Procedimento de atuação áreas restritas ... 75
ANEXO XVIII - Ata entrega de chaves, computadores e telemóveis ... 76
ANEXO XIX - Acordo de confidencialidade entre parceiros e não divulgação ... 77
ANEXO XX - Código deontológico colaboradores ... 78
ANEXO XXI - Comunicação e registo de entrada ... 79
ANEXO XXII - Objetivos e plano de ações de melhoria para o ano ... 80
ANEXO XXIII - Formação realizada – powerpoint ... 81
ANEXO XXIV - Procedimento de comunicação ... 82
ANEXO XXV - Procedimento controlo de documentos ... 83
64
ÍNDICE DE TABELAS
Tabela 1 –Alinhamento: ISO/IEC 27001:2013 com ISO/IEC 27002:2013... 20
Tabela 2 –Trabalho realizado... 30
Tabela 3 –Análise SWOT... 33
Tabela 4 –Questões Internas... 35
Tabela 5 –Questões Externas... 36
Tabela 6 –Necessidades e expetativas das partes interessadas... 37
ÍNDICE DE FIGURAS
Figura 1 -Evolução temporal da ISO/IEC 27001...14
Figura 2 -Estrutura global da NP ISO/IEC 27001...15
Figura 3 –Alinhamento dos conceitos e metodologia de avaliação dos risco da ISO 31000:2013 com os requisitos da ISO/IEC27001:2013……….18
Figura 4–Diagnóstico inicial para implementação da ISO IEC 27001:2013 –Ilustração anexo I..27
Figura 5–Diagnóstico inicial dos controlos previstos no Anexo da ISO 27001:2013 -Ilustração parcial do Anexo III...28
Figura 6-Fases de implementação da ISO IEC 27001:2013...29
Figura 7-Tabela A.1 IEC/ISO 31010:2009 -Applicability of tools used for risk assessment ...40
Figura 8– Identificação dos riscos -Ilustração parcial do anexo X...41
Figura 9–Tabelas de classificação dos níveis de confidencialidade, integridade e disponibili- dade -Ilustração parcial do anexo X...42
Figura 10–Tabela de classificação de probabilidade -Ilustração parcial do anexo X...42
Figura 11–Matriz de aceitabilidade -Ilustração parcial do anexo X...42
Figura 12–Identificação da aceitabilidade do risco -Ilustração parcial do anexo X...43
Figura 13–Identificação das fontes e cenários de risco -Ilustração parcial do anexo X...43
Figura 14–Apreciação do risco -Ilustração parcial do anexo X...44
Figura 15–Tratamento do risco -Ilustração parcial do anexo X...44
Figura 16–Declaração de aplicabilidade -Ilustração parcial do anexo XXI...45
CAPÍTULO I
INTRODUÇÃO
1. INTRODUÇÃO
A empresa contemporânea enfrenta um problema de elevada dependência da informação digitalizada e ao mesmo tempo do alto risco de vulnerabilidades desta informação (Fomin, Vries &
Barlette, 2008), por isso depende da confiabilidade dos seus sistemas baseados em tecnologias de informação (Netto & Silveira, 2007). Qualquer problema que as afete, por mais pequeno que seja, pode comprometer a continuidade do serviço, da tarefa e até do negócio, originando perdas econó- micas, atrasos nas entregas e uma crise na confiança dos seus clientes (Beckers, Fassbender, Heisel, & Schmidt, 2012, citado por Ascanio et al., 2015).
A gestão de topo das organizações deve ter consciência da importância da tecnologia na esfera negocial onde estão inseridos, pois esta permitir-lhes-á otimizar custos, ter informação efici- ente e oportuna, mas para isso há necessidade de implementar várias ferramentas tecnológicas que ajudam a melhorar a sua posição e a ter controlo sobre a sua situação empresarial (Villalobos, 2010;
Zaini e Masrek, 2013, citado por Ascanio et al., 2015), dado que, o avanço tecnológico trouxe con- sigo uma oportunidade de difusão de novas tecnologias e metodologias de ataque informático cada vez mais eficazes e sofisticadas (Ascanio et al., 2015).
Desta forma, o reverso da medalha de todos estes benefícios da tecnologia e o problema que se coloca às organizações pode ser mais sério do que parece. O que podem fazer as organi- zações para assegurar a sua continuidade face a uma perda da informação? Face a estes e outros problemas que podem surgir, as organizações devem prever e efetuar planos de ações. Um desses planos é a implementação de um SGSI. Este sistema de gestão contém os comandos e instruções que devem seguir-se na organização, quais os responsáveis e a documentação necessária para garantir que o sistema de gestão seja aplicado (Jovanovic, 2008 citado por Ascanio et al., 2015). A definição dos requisitos de um SGSI encontram-se definidos na NP ISO/IEC 27001 – Tecnologias de informação, Técnicas de segurança, Sistemas de gestão de segurança da informação – Requi- sitos, onde se podem recolher todos os métodos e melhores práticas da segurança da informação.
Este referencial normativo tem o seu foco na proteção da confidencialidade, integridade e disponi- bilidade da informação; mas, também explica como conseguir implementar sistematicamente a se- gurança da informação numa empresa, através duma abordagem equilibrada para construir um SGSI.
1.1 MOTIVAÇÃO
As organizações, em consequência da globalização e das novas regras dos negócios, têm de ser criativas e inovadoras para conseguirem manter-se no mercado e aumentar a sua competiti- vidade. Assim, a segurança da informação é um tema de extrema relevância para as organizações e para todos os seus colaboradores e stakeholders. Tendo em conta todas as ameaças e riscos que existem para a informação das organizações, entende-se que o trabalho desenvolvido nesta área é
uma mais-valia para a organização WeMake, Tecnologias de Informação, dado que lida day by day com informação dos seus clientes e informação que é relevante, sensível e, por isso, crítica e de elevado valor para o seu negócio. Com a definição do sistema de gestão clientes e stakeholders sairão beneficiados, dado que terão as suas informações tratadas e protegidas de acordo com re- gras internacionais de elevado valor de proteção. A empresa encontra-se em claro desenvolvimento em termos negociais e considerou como um dos seus objetivos estratégicos a implementação da referida norma.
Contribuir para o desenvolvimento desta organização e para tão grande objetivo é neste momento a meta e a motivação do projeto.
1.2 OBJETIVOS
O primordial objetivo deste trabalho é contribuir para a definição do SGSIda WeMake,de acordo com os requisitos normativos da NP ISO/IEC 27001:2013, construindodocumentação indi- cada por este referencial.
Os seus objetivos específicos são:
Realizar diagnóstico inicial para identificar a maturidade e capacidade da empresa e identificar falhas e lacunas.
Criar metodologias para determinar o contexto da organização, designadamente na identificação de partes interessadas.
Determinar os limites e aplicabilidade do SGSI.
Estabelecer uma política de segurança da informação.
Criar manual de segurança da informação.
Definir procedimentos para o controlo da informação documentada, auditorias internas, avaliação e tratamento do risco da segurança dainformação.
Produzir a declaração de aplicabilidade.
Criar manual de politicas de segurança.
Criar procedimentos operacionais para responder à avaliação de riscos e declara- ção de aplicabilidade.
1.3 ESTRUTURA DO DOCUMENTO
Nesta secção apresenta-se a organização do presente trabalho e a sintetização do conteúdo de cada capítulo que se encontram estruturados, da seguinte forma:
O primeiro capítulo, apresenta a introdução, o enquadramento do projeto, a motiva- ção para a sua realização, os seus objetivos e a estrutura do projeto.
O segundo capítulo contém a revisão bibliográfica sobre informação, segurança da informação, suas propriedades básicas, a importância da implementação de um SGSI, os benefícios e obstáculos à sua implementação, bem como a necessidade
da existência de uma cultura organizacional e um envolvimento da gestão de topo.
Posteriormente apresenta uma breve perspetiva histórica da ISO 27001, a estrutura da atual NP ISO/IEC 27001:2013 e sua metodologia de avaliação dos riscos.
O terceiro capítulo identifica e apresenta a empresa onde foi desenvolvido o projeto, a metodologia aplicada no desenvolvimento do projeto, bem como a metodologia utilizada na definição do SGSI da WeMake. Este capítulo elenca e identifica todas as fases trabalhadas e definidas no âmbito do SGSI da WeMake.
O quarto capítulo apresenta a definição do SGSI da WeMake, indicando os requisi- tos normativos que foram trabalhados no decorrer do projeto.
O quinto capítulo inclui a conclusão e trabalho futuro a realizar.
CAPÍTULO II
REVISÃO DE LITERATURA
2. REVISÃO DA LITERATURA
2.1 INFORMAÇÃO
No mundo global a informação está acessível a todos, disponível a toda a hora e todos acedem àinformação de qualquer parte do mundo através de dispositivos ligados à internet.Mas o que significa informação? Será ela assim tão importante para a vida das organizações e para os seus negócios?
O termo informação provém do latim “informatio,onis”, que significa “delinear, conceber ideia". Informação é o que resulta do processamento, manipulação e organização de dados e ele- mentos que deve potenciar alteração e crescimento do conhecimento do homem ou da máquina que a recebe. Segundo Le Codiac, (1994), a informação é um conhecimento inscrito sob a forma escrita, oral ou audiovisual.
Ainformação estáno âmagodas organizações modernas (Calder & Watkins, 2012).A in- formação é fulcralna definição estratégica de uma organização e auxilia os seus responsáveis a identificar as ameaças e as oportunidades, ajudando na implementação de medidas e respostas eficientes e eficazes. É na informação que todos os processos de negócio da organização se apoiam e esta informação não pode falhar, pois só assim podem ser tomadas decisões de forma fiável e eficiente.A informação está armazenada em computadores (Netto & Silveira, 2007) e é a base dos processos de negócio e o meio de obter vantagem competitiva sobre a concorrência, tornan- o-se um ativo crítico no desempenho das organizações, que deveser protegido adequadamente (Von Solms &Von Solms, 2006, citado porCasaca & Correia, 2013).
O uso generalizado das tecnologias, o seu crescimento e desenvolvimento e a globalização da informação,faz com que as organizações cresçam cada vez mais e cada vez mais rápido. As tecnologiasde informação sãouma ferramenta que faz parte do processo de globalização ao facilitar a comunicação e a troca de informações entre os diversos agentes em tempo real, independente- mente do local onde se encontrem. Através destas tecnologiasas organizações potenciaram o in- tercâmbio estratégicoe comercialpois atingiram mercados que anteriormente eram inacessíveis.
Noentanto, toda esta facilidade gera problemas às organizações, pois cada dia estas tornam-se cada vezmais vulneráveis às ameaças que se apresentam no meio, que podem tornar-se um risco sério para a organização e podem afetar o correto funcionamento do negócio.
2.2 SEGURANÇA DA INFORMAÇÃO
A segurança é a perceção de proteção de possíveis ameaças, riscos, perigos ou perdas. A segurança da informação diz respeito à proteção de informações de forma a preservar os valores e os negócios de uma organização. Moulton & Coles, (2003) citado por Fazlida & Said, (2015) definiu a segurança da informação como existência e a manutenção de um ambiente de controlo para gerir
os riscos. Segundo Casaca & Correia, (2013), aproteção dos ativos de informação das organiza- ções é conseguida através de políticas de segurança que permitam gerir e avaliar os riscos da informação ealocar corretamente os recursos.A segurança da informação não é apenas uma sim- ples questão de ter nomes de utilizadores esenhas (Susantoet al., 2011).
O crescente aparecimentode ameaças à segurança da informação exige que esta seja vista como uma área crítica pelagestão de topo das organizações (Fazlida & Said, 2015). Também se- gundo Ruivo et al., (2014), apreocupação com a segurança e proteção de dados é uma área que tem merecido uma maior atenção devido à enorme quantidade de informaçãoque as organizações têm armazenadas, transmitidase tratadaspelos seus serviços e equipas profissionais.
A segurança de determinadas informações pode ser afetada por vários fatores, como o comportamento do utilizador, o ambiente/infraestrutura em que ela se encontra e por pessoas que têm o objetivo de roubar, destruir ou modificar essas informações. Proteger e guardar informa ções deuma organização é um grande trabalho que exige criatividade e tolerância zero(Susanto, Almunawar& Tuan, 2012).
Para a NP ISO/IEC 27001, a definição de segurança da informação é a preservação da confidencialidade, integridade e disponibilidade da informação. Estas são consideradas as três pro- priedades básicas da segurança da informação. Segundo Netto & Silveira,(2007), a
confi dddde confidencialida-
deda informa ção é a garantia de que apenas as pessoas autorizadas terão acesso a ela, protegendo-a. Diz respeito à inacessibilidade da informação, que não pode ser divulgada a um utilizador, entidade ou processo não autorizado; o acesso à informação deve ser concedido a quem de direito, ou seja, apenas àsentidades autorizadas pelo proprietário ou dono da informação. A integridadeda infor- mação tem como objetivogarantir a exatidão da informação.
Significa que a informação não deve ser alterada ou excluída sem autorização; está ligadaà propriedade de manter a informação arma- zenada com todas as suas características originais estabelecidas pelo dono da informação, tendo em atenção o seu ciclo de vida. A disponibilidade garante que os utilizadores autorizados possam aceder à informação sempre que necessário, ou seja, o acesso aos serviços do sistema/máquina pelos utili- zadores ou entidades autorizadas deve garantir que a informação esteja sempre disponível para ser utilizada quando os utilizadores autorizados necessitarem.
A segurança da informação é o processo de gestão mais adequado para garantir que a informação é protegida de ameaças à sua confidencialidade,integridade e disponibilidade(Ca saca
&Correia, 2013).A segurança da informação consiste em garantir que a informação está pro- tegida contra o acesso de utilizadores não autorizados (confidencialidade), está sempre disponível quandoo utilizador dela necessita(disponibilidade)eé idónea e confiável (integridade). Assim, um SGSItem por objetivo proteger e controlar os ativos de informação, garantindo as suas propriedades
básicas. A existência de medidas adequadas e imprescindíveis para a proteção destas três propri- edades permitem, com toda a certeza a criação de um ambiente seguro para que as organizações alcancem o seu êxito.
Na opinião de Calder & Watkins, (2012) os riscos futuros são enormes, as ameaças à con- fidencialidade, integridade e disponibilidade da informação são evidentes e as organizações não podem ignorar a necessidade da segurança da informação.
2.3 IMPORTÂNCIA DO SISTEMA DE SEGURANÇA DA INFORMAÇÃO
Hávários fatores e elementos que tornam as empresas bem-sucedidas.Alguns desses ele- mentos são tangíveis, como produtos, edifícios e pessoas. Outros são intangíveis, como os valores, o conhecimento, a reputação e a confiança. Os ativos intangíveis são difíceis de medir,mas consid- eram-se ofuturo das empresas de Tecnologia da Informação e das Comunicações (TIC) (Ruivo et al.,2014).A confiança deve estar no centro da empresa, pois sem ela osclientes não partilhariam os seus dados e informações, nem usariam os serviços ou produtos da empresa. Garantir a privac- idade das informações do cliente éum fator chave para a confiança.
Não é possível ter privacidade da informação sem segurança(Ruivo et al.,2014).
Todas as organizações possuem um sistema de informação que recebe, processa,arma- zena e distribui informação, de modo a que estafique acessível a todos os que dela necessitem (Buckingham et al. 1987 citado por Carvalho, 1996). Um Sistema de informação pode ou não en- volver a utilização de computadores (Carvalho, 1996). No entanto,hoje são raras as organizações que não integram computadores no seu sistema de informação.A natureza omnipresente da inter- net, a acessibilidade e a disponibilidade de dispositivos móveis (por exemplo, computadores portáteis, telefones, tablets) oferecem grandes oportunidades às empresas (Yevseyeva, et al., 2105). Mas, estas tendências expõem os dispositivos e a informação neles contida a grandes riscos de segurança. Os dispositivos contendo informação das empresas podem ser perdidos, roubados, danificados, rasurados ou alterados. Daí que,odesenvolvimentodeumSGSI,ondese incluem as politicas de segurança, é o necessário e essencial.Estas políticas que protegem contra ataques
maliciosos são difíceis de desenvolver e aplicar, mas, na verdade, tal como se verificou, os cenários são multidimensionais (Yevseyeva, et al., 2015).
Desta forma, um sistema de informação é a combinação de procedimentos, informação, pessoas, tecnologiasde informação devidamente organizadas que contribuem para o alcance dos objetivos das organizações (Alter, 1996, citado por Carvalho, 1996).
Com a crescente importância das tecnologias de informação, há uma necessidade urgente de aplicar medidas adequadas à segurança da informação e as organizações já reconhecem as suas responsabilidades na proteçãodos seus ativos físicos e de informação (Disterer,2013).
Daíque, a prevençãoe asmedidas de segurança podem incluir: controlos de acesso, cripto- grafia na transferência e armazenamento de informação, segurança física e auditoria, entre outras medidas que são abordadas por várias normas, como por exemploa ISO/IEC27001. Esta é amplamente reconhecida paraa certificação de gestão de segurança queespecifica a privacidade ea gestão da prática(Ruivo et al.,2014).As normas ISO/IEC 27000(Information Security
Management Systems -Overview and vocabulary),ISO/IEC 27001 (Information Security Management Systems) e ISO/IEC 27002(Code of practice for information security controls)têm recebido um crescente reconhecimento, pois são nor- mas para a segurança da informação com linguagem comum às organizações de todo o mundo (Disterer, 2013).
As organizaçõese os seus sistemasenfrentam sérias ameaças à segurança, desde a espi- onagem, sabotagem,terrorismo, desastres naturais difíceis de serem antecipados, além dos ata- ques focados em sistemasde informação e redes de comunicação, que estão cada vez mais espe- cializados e difíceis de serem identificados e prevenidos.
Pelos motivos elencados, a implementação de um SGSI é um forte apoio para a gestão do risco nas organizações, sendo um compromisso forte com a proteção da informação. A adoção de um SGSI éuma decisão estratégica e é influenciadapelas necessidades e objetivos da organização, pelos seus requisitos de segurança, pelos processos organizacionais utilizados e pela sua dimensão e estrutura. O SGSIpreserva aconfidencialidade, integridade e disponibilidade da informação atra- vés da aplicação de um processo de gestão do risco e dá confiança àspartes interessadas de que os riscos são geridos adequadamente (IPQ, 2013).
As organizações que adotam e se certificam nesta norma, atribuem especial importância à proteção da informação e demonstram-no através da certificação na mesma.
O desenvolvimento de um sistema de gestão tende a tornar-se uma necessidade para fazer face às necessidades dos stakeholders, proporcionando-lhes conforto no que concerne à segurança da informação. Se for construído a partir de uma perspetiva holística, com a flexibilidade e adapta- bilidade proporcionadas por uma construção modular, o sistema de gestão será um mecanismo de autodefesa da organização para um ambiente de inserção rápida e permite a sua sobrevivência num mercado cada vez mais globalizado e sofisticado (Dragomir, 2010, citado por Maiera, Vadastreanu, Keppler, Eidenmuller & Maier, 2015).A adoção da NP ISO/IEC 27001 fornece segurança a longo prazo com base na implementação de políticas, procedimentos e métodos de segurança para proteger as informações e recursos das organizações (Maiera et al., 2015).Pesquisas e trabalhos já foram realizados sobre a sensibilidade das empresas portuguesas para as questões relacionadas
com a segurança e nesse sentido, Casaca & Correia (2013), concluíram que a maioria das empresas portuguesas não conhecem,nem estão sensibilizadas para as principais normas e regulamentações que suportam os programas de segurança da informação. Segundoo Guia das Empresas Certifica- das (2016), em Portugal há 56 empresas certificadas, mas como ainda éconsiderada uma norma recente a sua implementação não é global. No final de 2015, a ISO/IEC27001 erautilizada em 150 países nos diferentes continentes. Nos três primeiros lugares encontram-se, respetivamente, o Ja- pão, Reino Unido e Índia(Guia das Empresas Certificadas, 2016).
Nos últimos anos, as discussões de custo-benefício influenciaram a prática de segurança da informação. O valor da informação deve justificar os custos de proteção.
O ajustamento e a relação custo-eficácia sãoelementos-chave de um SGSI bem-sucedido (Haufeet al., 2016).
Assim, oSGSI consiste em ter quatro elementos principais(Patience, 2008, citado por Maiera et al., 2015):
• Definição da política e objetivos de gestão;
• Atribuição de responsabilidades, para quecada pessoa envolvida saiba quais são as necessidades e exigências da posição que ocupam;
• Definiçãodeprocessos que estabelecem as ligações entre as pessoas e os objetivos organizacionais;
• Distribuição e análise de dados (documentos e registos) de modo a assegurar a melho- ria do desempenho organizacional.
2.4 CULTURA ORGANIZACIONAL E O COMPROMISSO DENTRO DAS ORGANIZA- ÇÕES
A decisão de implementação do SGSI prevêo compromisso e o envolvimento de todas as hierarquias da organização numa ótica democrática e participativa (Ascanio, et al., 2015).
Esta norma é citada como o principal referencialpara a segurança da informaçãoe a sua implementação podeser alcançada se:
A gestão de topo manifestar interesse e atençãonasegurança da informação, em vez de a considerar um problema daresponsabilidade dos técnicos de informática.
Apolítica de segurança da informação é claramente comunicada pela gestão de topo a todos os colaboradores e trabalhadores.
Todos os colaboradores a todos os níveis da organização envolvidos na
política de segurança, bem como todas as partes interessadas conscientes do valor acrescentado obtido pela implementação da segurança da informação (Fazlida &
Said, 2015).
A gestão da segurança da informação deve estar presente na cultura organizacional da empresa, tendo apoio de todos os níveis da gestão, principalmente da gestão de topo.
Não é suficiente ter-se apenas uma organização certificada à luz da NP ISO/IEC27001. O importante é que as organizaçõestenham uma cultura desegurança da informação e de adap- tação enraizada no seu seio e que todos os que entrem na sua esfera negocial partilhem dessa mesma cultura.
Até porque,ao iniciar as tarefas para a sua implementação, vai haver uma grande sobre- carga do ritmo habitual de trabalho de toda a organização e todos devem estar conscientes de que se exige sempre um esforço adicional.
Decidindo a gestão de topo pela implementação do SGSI, independentemente da certifica- ção ou não, a realização e acumulação das atividades realizadas exige a sua manutenção con- tínua, pois caso contrário deixa de ser um SGSI e tudo pode terminar a curto prazo. Não se pode deixar de lado por determinado tempo oSGSI, uma vez que, posteriormente será reque- rido um novo esforço para o alcançar novamente. Também é necessário que haja compreensão dos requisitos para proteção da informação e gestão de riscos, através da consciencialização global dos colaboradores, da realização de ações desensibilização e formação dos mesmos, criação de normas eregras, deixando claro o papel de cada um no processo de consolidação do SGSI.
Além das atividadesreferidas,é de extrema importância criar metodologiaspara a gestão e resposta a incidentes de segurança da informação e continuidade de negócio.
2.5 BENEFICÍOS DE IMPLEMENTAÇÃO DE UM SGSI
As empresas precisam de estar plenamente conscientes, que face ao desenvolvimento das tecnologias e sendo as informações empresariaiscada vez mais informatizadas, devem adotar con- trolos de segurança que sejam capazes de proteger adequadamente as informações, tendo em conta todos os riscos a que estão sujeitos esses ativos(Beal, 2005 referido em Netto & Silveira, 2007).
O principal benefícioda implementação de um SGSI na organização é a reduçãoda proba- bilidade ou do impacto causado por incidentes de segurança da informação.
Noentanto,existem outros benefícios, como por exemplo (Fazenda & Fagundes, 2014; Cal- der & Watkins, 2012; Disterer, 2013 e Susanto et al., 2012):
Um método organizado para apoiar o processo de implementação e manutenção de um SGSI.
Permite a gestão desegurança da informação dentro do contexto de risco, gestão e admi- nistração.
Adopção de boas práticas de uma forma flexível, possibilitando adaptação de acordo com necessidades específicas de cada negócio.
Gestão mais eficaz dos investimentos destinados a segurança da informação.
Demonstra um compromisso da gestão de topo para com a segurança da informação e com a legislação de proteção de dados e privacidade.
Aumenta a fiabilidade e proteção da segurança da informação e dos sistemas, em termos de confidencialidade, disponibilidade e integridade.
Incentiva a participação, motivação e sensibilização dos colaboradores da organização para com a segurança da informação.
Identifica oportunidades de melhoria no desempenho da organização e permite mais eficá- cia.
Aumenta a confiança, satisfação dos clientes e parceiros.
Cria oportunidades de mais negócios e aumenta a credibilidadeda organização.
Permite conformidade com requisitos legais, dado que existem cada vez mais leis, regula- mentações e requisitos contratuais relacionados com a segurança da informação.
Obter vantagem de marketing em relação aos concorrentes.
A segurança torna-se parte integrante dosProcessos.
Priorizar a segurança do negócio.
Conheceremonitorizar os riscos.
Normamundialmente reconhecida.
Reduzir os prémios de seguro.
Reduzir custos, prevenir incidentes de segurança, pois elescustam muito dinheiro e alguns dificeís de recuperar.
2.6 OBSTÁCULOS ÀIMPLEMENTAÇÃO DE UM SGSI
Existem obstáculos à implementação de um SGSI, dado que há quem entenda que a segu- rança não é importante nem para a organização, nem para as partes interessadas, não havendo, portanto, uma cultura organizacional voltada para esta preocupação. Há rejeição das pessoas à implementação e uma grande resistência à mudança(Fazlida & Said, 2015). Por outro lado, não havendo o apoio e o comprometimento da gestão de topo, e este compromisso mesmo que haja vontade dos colaboradores nada se pode fazer. Acresce ainda que, os colaboradores não estão suficiente- mente formados nem envolvidos nasegurança dainformação, havendo quem entenda que é sufici- ente apenas proteger o computador.Segundo Susanto et al.(2011), as organizações entendem que alguns controlos essenciais do Anexo A da ISO/IEC 27001são muito difíceis de entender, são in- comensuráveis e difíceis de serem implementados e muitas vezes a
implementaçãode um SGSI é vistacomo uma iniciativadodepartamento de tecnologia.
Falhas na avaliação de riscos é também considerado outro obstáculo, uma vez que as falhas na elaboração da análise de risco desencadeiam outros desafios. Uma análise de riscos malfeita é um dano estrutural no sistema de gestão de segurança da informação, pois é a base do processo como um todo. É da análise de riscos que os ativos do âmbitodeste sistema de gestão são identifi- cados e, a partir destes ativos, as políticas de segurança da informação e toda a cadeia de proces- sos serão elaboradas (Fazenda &Fagundes, 2014). Um outro ponto negativo é a inexistência de
atribuição de recursos para implementação da norma e também a definição de políticas pouco cla- ras.
2.7 PERSPETIVA HISTÓRICA DA ISO/IEC 27001
A BS7799 foi a norma britânica que precedeu àISO/IEC27001. Foi originalmente o re- sultado de uma iniciativa conjunta do departamento do comércio e da indústria do Reino Unidoe das principais empresas privadas do setorno Reino Unido (Calder &Watkins, 2012).Information Security Management British Standard 7799 surgiu da necessidade de criar um código de boas práticas relativo à gestão da segurança da informação e foi a norma publicada originalmente em 1995. Foi escrita pelo departamento de indústria e comércio do Governo do Reino Unido e tem várias partes.
A primeira parte contém as melhores práticas para a gestão de segurança da informação e foi revista em 1998. Após uma longa discussão nos órgãos mundiais de padrões, em 2000 foi adotada pela ISO comoISO/IEC 17799 -"Tecnologia da Informação -Código de prática para gestão de segurança da informação". A ISO/IEC 17799 foi então revista em junho de 2005 e finalmente incorporada nas séries de padrões ISO 27000 como ISO/IEC 27001 em julho de 2007.
A segunda parte da BS7799 foi publicada 1999, conhecida como BS 7799 Parte 2 -"Siste- mas de Gestão de Segurança da Informação -Especificação com orientação de uso”. A BS 7799-2 focava um conjunto de procedimentos para auxiliar a implementação de um sistema de gestão de segurança da informação. A versão 2002 do BS 7799-2 introduziu o Plan-Do-Check-Act (PDCA), modelo de garantia de qualidade de Deming, ali- nhando-o com padrões de qualidade como o da ISO 9000. O BS 7799 Parte 2 foi adaptado pela ISO como ISO/IEC 27001 em novembrode 2005.
Figura 1 - Evolução temporal da ISO/IEC 27001.
A ISO/IEC 27001 é uma norma internacional publicada pela International Organization for Standardization (ISO), sendo a norma mais importante da emergente família ISO 27001 para o sis- tema de gestão de segurança da informação (Calder & Watkins, 2012). A sua versão mais recente foi publicada em 2013. Esta norma permite a sua aplicação em qualquer tipo de organização, com ou sem fins lucrativos, privada ou pública, pequena ou grande. É uma norma standard de segurança de informação e não uma norma técnica, é uma ferramenta de avaliação metodológica, sendo a base para a gestão de segurança que todos os programas de informação deveriam usar. A ISO/IEC 27001 prevê uma metodologia para estabelecer, implementar, operar, monitorizar, analisar critica- mente, manter e melhorar um SGSI numa organização.
BS 7799-1
1995 1998
Versão atual NP ISO/IEC 27001
1999 2000 2002 2005 2013
BS 7799-2 ISO/IEC 27001 foi publicada
Revisão da BS 7799-1
1ª versão ISO/IEC 17799
Revisão da BS 7799-2
2.8 A ESTRUTURA GLOBAL DA NP ISO/IEC 27001:2013
A NP ISO/IEC 27001:2013 é a atual versão e tem uma estrutura de alto nível, de acordo com o Anexo SL das Diretivas ISO/IEC da International Organization for Standardization. Os títulos das seções da NP ISO/IEC 27001:2013 são os mesmos da nova NP EN ISO 9001:2015 e outras normas de gestão, permitindo uma integração mais fácil das várias normas. A NP ISO/IEC 27001:2013 é dividia em 10 seções e o Anexo A. Este Anexo A é essencial nesta norma, uma vez que é uma ferramenta obrigatória para gerir a segurança, correspondendo a uma lista de controlos de segurança a ser considerada e utilizada para conseguir a segurança da informação. São ao todo 114 controlos, divididos em 14 secções (A.5 a A. 18) e devem ser escolhidos com base na avaliação de riscos da empresa. Os controlos do Anexo A da NP ISO/IEC 27001 são detalhados na ISO/IEC 27002. Esta norma possui a mesma estrutura do Anexo A da NP ISO/IEC 27001 e é um guia de boas práticas, que descreve como os controlos podem ser implementados. A ISO/IEC 27002 é ape- nas utilizada para apoiar na definição e implementação de um SGSI.
A NP ISO/IEC 27001:2013 apresenta a estrutura representada pela Figura 2. As cláusulas representadas a azul escuro correspondem ao ciclo de melhoria contínua. As cláusulas assinaladas a verde correspondem aos requisitos gerais do SGSI. O Anexo A diz respeito aos objetivos de con- trolo e controlos de referência e estão representados com a área abrangente de cor azul clara
.
cláusula 4 - contexto da organização
Cláusula 5 - Liderança Cláusula 7 - Suporte
ANEXO A
Objetivos de Controlo & Controlos Figura 2 - Estrutura global da NP ISO/IEC 27001: 2013.
(adaptada de http://www.iso27001.pt/iso27001_3.html) Cláusula 6
Planeamento
Cláusula 8 Operação
Cláusula 9 Avaliação de desempenho Cláusula 10
Melhoria
2.9 PRINCIPAIS MUDANÇAS DA REVISÃO DE 2013 DA ISO/IEC 27001
Esta revisão da norma reduziu o número de controlos de 133 para 114, mas aumentou as suas secções de 11 para 14. Os novos controlos de segurança introduzidos por esta revisão foram os seguintes:
A.6.1.5 - Segurança da informação na gestão de projeto A.14.2.1 - Política de desenvolvimento seguro
A. 14.2.5 - Princípios de engenharia de sistemas seguros A. 14.2.6 - Ambiente de desenvolvimento seguro
A. 14.2.8 - Testes de segurança de sistemas
A. 16.1.4 - Avaliação e decisão sobre eventos de segurança da informação A. 17.2.1 - Disponibilidade dos recursos de processamento da informação
Esta revisão passou a prever os responsáveis pelo risco (cláusula 6.1.2) e as partes inte- ressadas (Cláusula 4.2). As ações preventivas deixaram de estar previstas. O controlo documental, ações corretivas e auditorias internas estão previstas nesta revisão da norma, mas a sua documen- tação não é obrigatória. Todas essas mudanças na revisão de 2013 não alteraram o seu padrão como um todo e a sua principal filosofia ainda é baseada na avaliação e tratamento do risco e as fases do ciclo Plan-Do-Check-Act permanecem (Kosutic, 2016).
2.10 A METODOLOGIA DE AVALIAÇÃO DE RISCOS DA NP ISO/IEC 27001:2013
Tal como se referiu, a informação transformou-se num dos ativos mais valiosos para as organizações. A sua indisponibilidade coloca em risco a execução de processos de negócios vitais para a empresa. Tudo se complica quando surgem vulnerabilidades associadas aos diversos ativos e ameaças capazes de explorar essas vulnerabilidades (Mayer & Fagundes, 2008). Tal como refere Yevseyeva, et al., (2015) o facto das empresas nos dias de hoje possibilitarem aos seus colabora- dores o uso dos seus dispositivos, ou uso de dispositivos da empresa em locais diferentes do local de trabalho, como em casa, nas instalações de clientes, aumenta os riscos de segurança.
Os riscos são tão generalizados e as fontes de risco são tão diversas que uma política an- tivírus ou outra solução sozinha não são suficientes nos dias de hoje para proteger a informação e garantir a confiança das stakeholders. Daí que, o mais rentável seria fazer um estudo completo do
risco para a organização e depois adotar uma abordagem global e sistemática para a segurança da informação de forma rentável que aborde aqueles riscos (Calder & Watkins, 2012).
Assim, as organizações são obrigadas a desenvolver recursos e processos eficientes para manter as informações seguras. A gestão de riscos da segurança da informação é considerada um recurso essencial para que as organizaçõespossam determinar as suas fontes de
risco/cenários de riscoe fazer o seu respetivo tratamento.
O risco é a probabilidade de ameaças explorarem vulnerabilidades, gerando perdas de confidencialidade, integridade e disponibilidade, causando possivelmenteconsequências finan- ceiras nos negócios (Mayer & Fagundes,2008), sendo muito importante o apoio da gestão de topo.Avaliação e tratamento de risco é o passo mais complexo no processo de
implementação da ISO/IEC 27001:2013(Kosutic,2016)poisestabelecem as bases para a segurança da informação na organização. Será esta fase tão importante? A resposta é positiva, uma vez que a filosofia principal desta normaé descobrir estimar incidentes podem ocorrer (ou seja, avaliar os riscos) e, em seguida, encontrar as formas mais adequadas para evitar a
ocorrência de tais incidentes (ou seja, tratar os riscos) (Calder & Watkins, 2012).O ponto central de uma boa gestão de riscos é a identificação e tratamento dos mesmos (Ferma, 2003, referido em Mayer & Fagundes, 2008).
O processo de gestão do risco da segurança da informação é parte integrante do sistema de gestão da organização e está integrado na cultura e práticas organizacionais, sendo sempre feito à sua medida. Uma plata forma de gestão de risco tem como objetivo ajudar as organizações a gerir os seus riscos de forma eficaz,através da aplicação do processo de gestão de riscos em diferentes níveis e em contextos específicos da organização. Esta plataforma deve assegurar que informações sobre os riscos deri- vados destes processos são devidamente comunicados e utilizados como base para a tomada de decisão a todos os níveis organizacionais (Seminário Anual 2013, itSMF, Portugal).
Na revisão de 2005 da ISO/IEC 27001, a metodologia para identificação dos riscos foi apresentada. Era necessário identificar: ativos, ameaças e vulnerabilidades. Nesta norma, o pro- cesso de levantamento dos riscos seguia as seguintes fases:
Identificar o valor dos ativos nas vertentes da confidencialidade, integridade e dis- ponibilidade da informação;
Identificar ameaças a que estão sujeitos os ativos e suas vulnerabilidades;
Estabelecer os níveis de probabilidade de ocorrência das ameaças,os níveis e tipos de impacto associados à ocorrência de um incidente resultante da concretização das ameaças identificadas;
Analisar e avaliar os riscos, tendo em conta os níveis de aceitabilidade estabelecidos.
A atual revisão de 2013 da ISO/IEC 27001, tal como a própria norma refere, encontra-se alinhada pelas diretrizes genéricas e princípios disponibilizadas pelaISO 31000:2013–Gestão do risco, Princípios e linhas de orientação (NP ISO/IEC 27001:2013, nota ao requisito 6.1.3 – Trata- mento do risco de segurança da informação).
Na figura 3 pode verificar-se a adequação dos conceitos e metodologia da avaliação do risco segundoa ISO 31000:2013, aos requisitos e referencial da ISO/IEC 27001:2013, bem como o seu alinhamento.
Fonte: NP ISO 31000:2013
Figura 3 - Alinhamento dos conceitos e metodologia da avaliação do risco da ISO 31000:2013 aos requisitos da ISO/IEC 27001:2013.
A ISO/IEC 27001:2013, não indica concretamente a metodologia a seguir na avaliação de riscos, o que significa que se podem identificar os riscos com base nos processos da organização, nos seus departamentos, usando apenas ameaças e não vulnerabilidades, ou qualquer outra meto- dologia que melhor se adeque e seja percetível para cada organização (Calder & Watkins, 2012). A ISO 31000:2013 é uma norma de princípios e linhas de orientação para a gestão do risco. Não é um referencial normativo para fins de certificação. Esta norma permite uma abordagem comum de apoio à implementação de normas relativas a riscos específicos ou que os considerem. Aplica-se a qualquer organização, sistema, processo, ou atividade, contemplando designadamente: estratégias, decisões, operações, projetos, produtos, serviços e ativos. Aplica-se a qualquer tipo/natureza de risco e respetivas consequências.
A estrutura de gestão de riscos da ISO 31000:2013 promove uma gestão eficaz dos riscos em diferentes contextos e níveis da organização com responsabilização dos envolvidos. Garante que a informação sobre o risco decorrente do processo de gestão do risco é corretamente reportada e serve de base à tomada de decisão.
Cláusula 5: Liderança
• Liderança, compro- misso gestão topo
• Política Segurança da Informação
• Responsabilidades/
Autoridade
Cláusula 4: Contexto da organização
• Compreender a organi- zação,
seu contexto e necessi- dades e expetativas das partes interessadas
• Definição do âmbito do SGSI.
Cláusula 9: Avaliação de desempenho
• Monitorização, medi- ção, análise e avaliação (Auditorias Internas / Re- visão pela Gestão) Cláusula 10: Melhoria
• NCs e ACs / Melhoria contínua
Cláusula 6: Planeamento
• Ações para abordar ris- cos e oportunidades para a segurança Informação – Estabelecer critérios do risco
– Apreciação do risco – Tratamento do risco / Controlos
• Estabelecer objetivos e planos de segurança da informação.
Cláusula 7: Suporte Recursos, competências, consciencialização, co- municação.
Informação documentada Cláusula 8: Operação
• Avaliação do risco para a segurança da informa- ção segundo critérios do risco
• Tratamento do risco / Plano de
tratamento do risco para a segurança da informa- ção
NP ISO/IEC 27001:2013 NP ISO 31000:2013 NP ISO/IEC 27001:2013
Mandato e comprometimento (4.2)
Melhoria contínua da es- trutura (4.6)
Implementação da gestão do risco (4.4)
Implementação da estrutura para gerir o risco (4.4.1)
Implementação do processo da gestão do risco (4.4.2)
Monitorização e revisão da estrutura (4.5) Conceção da estrutura para gerir o risco (4.3) Compreensão da organização e do seu contexto (4.3.1)
Estabelecimento da política da gestão do risco (4.3.2) Responsabilização (4.3.3)
Integração nos processos organizacionais (4.3.4) Recursos (4.3.5)
Estabelecimento de mecanismos de comunicação e de relato
internos (4.3.6)
Estabelecimento de mecanismos de comunicação e de relato
externos (4.3.7)
