SlideShare uma empresa Scribd logo

DARYUS - ISO 27001:2013 – Quais os impactos e benefícios das atualizações da principal norma de Segurança da Informação?

Cláudio Dodt
Cláudio Dodt

COM A ATUALIZAÇÃO DA NORMA ISO 27001:2013, como essas mudanças podem beneficiar a Gestão de Riscos na sua empresa, além de discutir o que você precisa fazer para agregar esse valor ao negócio.

Apresentações e oratória
1 de 33
Baixar para ler offline
AGENDA A DARYUS O que é a CONSUMERIZAÇÃO de TI? O que muda para as organizações? Como fica a gestão de TIC? BYOD – Mitos e Fatos Conclusões Claudio Dodt, ISMAS, CISSP, CISA, ISO 27001 Lead Auditor Business Continuity & Security Senior Consultant claudio.dodt@daryus.com.br www.daryus.com.br claudiododt.com www.twitter.com/daryusbr www.twitter.com/cdodt www.facebook.com/claudiododtcom ISO 27001:2013 – Quais os impactos e benefícios das atualizações da principal norma de Segurança da Informação? Iluminando mentes, capacitando profissionais e protegendo negócios.
© Copyright 2013. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 LicençadeUso COPYRIGHT© DARYUS / CLÁUDIO DODT Você pode copiar, distribuir, criar obras derivadas e exibir as informações contidas neste documento com as seguintes restrições: Deve ser dado crédito ao autor original, e a DARYUS. Ambas as fontes devem ser citadas. $ Você NÃO pode utilizar as informações contidas neste documento para fins comerciais. Compartilhamento exclusivo pela mesma Licença. Se você alterar, transformar, ou criar outra obra com nas informações contidas neste documento, você somente poderá distribuir a obra resultante sob uma licença idêntica a esta.
© Copyright 2013. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539  A DARYUS  A norma ISO 27001  Atualização 2013 • Modificações e Melhorias • Período de Transição  Conclusões  Perguntas AGENDA
• Empresa 100% nacional localizada em São Paulo capital; • Representante educacional exclusiva do DRII – Disaster Recovery Institute International desde 2005; • Especializada e líder no Brasil em consultoria e soluções para Continuidade de Negócios e Recuperação de Desastres; • Somos a empresa mais completa em Gestão de Riscos, por oferecer educação e consultoria de forma especializada; • Idealizadora de dois eventos que tornaram-se referencia no mercado nacional GRC International e o GRM – Global Risk Meeting; • Prêmio SECMASTER 2006 pela ISSA International; • Reconhecida pela Infragard USA (California) em 2011. Quem somos:
Nossas unidades
• Continuidade de Negócios • Segurança da Informação • Gestão de Processos de Negócios • Governança, Risco e Conformidade Nossos serviços:
© Copyright 2013. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Nossos clientes:
© Copyright 2013. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Claudio Dodt Atua na área de tecnologia há mais de 10 anos exercendo atividades como técnico e analista de suporte, Analista de Segurança Sr., Security Officer e Supervisor de Infraestrutura e Segurança. Desenvolveu atividades em empresas brasileiras e multinacionais, tendo participado no Brasil e no exterior em projetos de segurança de diversos segmentos como Educacional, Financeiro, Saúde, Agroindústria, Indústria Alimentícia, Naval, Metal-Mecânica e Têxtil. Geek convicto, mergulhador autônomo e um grande amante da leitura e dos videogames. Especializações  ITIL® V2 Service Manager / ITIL® Expert;  Certified Information Systems Security Professional (CISSP®);  Certified Information Systems Auditor (CISA);  Certified in Risk and Information Systems Control (CRISC);  ISO 27001 Lead Auditor;  ISO/IEC 20000 Foundation;  Information Security Foundation (ISFS) based on ISO/IEC 27002;  Information Security Management Advanced based on ISO/IEC 27002;  CobiT Foundation;  EXIN Cloud Computing Foundation;  EXIN Certified Integrator Secure Cloud Services;  EXIN Accredited Trainer – (ITIL Foundation; ISO 20000 Foundation, ISFS, ISMAS, Cloud Foundation). Cláudio Dodt Business Continuity & Security Senior Consultant - Regional Manager WWW.CLAUDIODODT.COM https://www.facebook.com/claudiododtcom CLAUDIODODT.COM
© Copyright 2013. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Objetivo: Esta norma foi preparada para fornecer os requisitos para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gestão de Segurança da Informação. Objetivo: Prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI). 27001:2005  A 27000 é a principal família de normas de Segurança da Informação aceitas internacionalmente;  Aplicável a qualquer organização, independentemente de tamanho ou segmento;  Base para uma certificação, mas pode ser usada mesmo sem esse objetivo. A norma ISO 27001
© Copyright 2013. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Objetivo: Esta norma foi preparada para fornecer os requisitos para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gestão de Segurança da Informação. A norma ISO 27001  Atualizada em 25 de Setembro de 2013;  Update foi baseado na experiência de usuários que buscavam certificação;  Objetivo principal é simplificar a abordagem e proporcionar melhorias na gestão de riscos. 27001:2013
© Copyright 2013. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Annex SL: Alinhamento com outros Sistemas de Gestão Estrutura Subcláusulas Texto idêntico Definições Termos Compatibilidade Normas que adotam o Annex SL compartilham: Atualização 2013 – Modificações e Melhorias
© Copyright 2013. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Annex SL: Alinhamento com outros Sistemas de Gestão ISO 9001 ISO 22301 ISO 14001 ISO 20000 ISO 22000 ISO 27001 Atualização 2013 – Modificações e Melhorias
© Copyright 2013. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Estrutura da Norma ISO 27001:2005 ISO 27001:2013 4. Sistema de Gestão de Segurança da Informação 5. Responsabilidades da Direção 6. Auditorias internas do SGSI 7. Análise Crítica do SGSI pela direção 8. Melhoria do SGSI 4. Contexto da Organização 5. Liderança 6. Planejamento 7. Suporte 8. Operação 9. Avaliação de Performance 10. Melhoria Atualização 2013 – Modificações e Melhorias
© Copyright 2013. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 A C D P Estrutura da Norma Pontos Interessantes:  Ficou mais simples entender o ciclo PDCA da 27001;  Agora é essencial entender o contexto e as expectativas das partes interessadas.  A importância da participação da alta direção na liderança e comprometimento com todas as atividades relacionadas ao SGSI ficou ainda mais evidente; 4. Contexto da Organização 5. Liderança 6. Planejamento 7. Suporte 8. Operação 9. Avaliação de Performance 10. Melhoria ISO 27001:2013 Atualização 2013 – Modificações e Melhorias
© Copyright 2013. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 A C D P Estrutura da Norma Transição para 27001:2013  Listar todas as partes interessadas:  Identificar todos os Stakeholders  Se você já fazia isso no controle A.15.1.1, praticamente não existe mudança. 4. Contexto da Organização 5. Liderança 6. Planejamento 7. Suporte 8. Operação 9. Avaliação de Performance 10. Melhoria ISO 27001:2013 Atualização 2013 – Modificações e Melhorias
© Copyright 2013. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 A C D P Estrutura da Norma Transição para 27001:2013  Definir interfaces do escopo do SGSI:  Agora é necessário identificar todas as interfaces do SGSI com atividades feitas pela sua organização e diferenciar das atividades feitas por terceiros. 4. Contexto da Organização 5. Liderança 6. Planejamento 7. Suporte 8. Operação 9. Avaliação de Performance 10. Melhoria ISO 27001:2013 Atualização 2013 – Modificações e Melhorias
© Copyright 2013. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 A C D P Estrutura da Norma Transição para 27001:2013  Alinhar o SGSI x Estratégia Corporativa:  Na versão 2013 é necessário determinar se os objetivos de Segurança da Informação são compatíveis com a direção estratégica da organização. 4. Contexto da Organização 5. Liderança 6. Planejamento 7. Suporte 8. Operação 9. Avaliação de Performance 10. Melhoria ISO 27001:2013 Atualização 2013 – Modificações e Melhorias
© Copyright 2013. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 A C D P Estrutura da Norma Transição para 27001:2013  Mudanças na Política:  Não existe mais necessidade de uma “Política do SGSI”, a Política de Segurança é suficiente  Alguns requisitos mudaram, não é mais necessário incluir o alinhamento com a gestão de risco estratégica ou o critério de avaliação de risco 4. Contexto da Organização 5. Liderança 6. Planejamento 7. Suporte 8. Operação 9. Avaliação de Performance 10. Melhoria ISO 27001:2013 Atualização 2013 – Modificações e Melhorias
© Copyright 2013. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 A C D P Estrutura da Norma Transição para 27001:2013  Mudanças no processo de Avaliação de Riscos:  É necessário identificar o responsável para cada risco identificado  Não é mais necessário seguir uma metodologia baseada na identificação de ativos  ameaças  vulnerabilidades, você pode fazer de uma maneira mais simples!  Importante identificar processos terceirizados e como estes são controlados 4. Contexto da Organização 5. Liderança 6. Planejamento 7. Suporte 8. Operação 9. Avaliação de Performance 10. Melhoria ISO 27001:2013 Atualização 2013 – Modificações e Melhorias
© Copyright 2013. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 A C D P Estrutura da Norma Transição para 27001:2013  Declaração de aplicabilidade:  Agora é necessário identificar se os controles estão implementados ou não 4. Contexto da Organização 5. Liderança 6. Planejamento 7. Suporte 8. Operação 9. Avaliação de Performance 10. Melhoria ISO 27001:2013 Atualização 2013 – Modificações e Melhorias
© Copyright 2013. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 A C D P Estrutura da Norma Transição para 27001:2013  Tratamento de Riscos:  Agora é necessário obter a aprovação dos responsáveis pelo risco (risk owners) tanto para o RTP, quanto para o risco residual 4. Contexto da Organização 5. Liderança 6. Planejamento 7. Suporte 8. Operação 9. Avaliação de Performance 10. Melhoria ISO 27001:2013 Atualização 2013 – Modificações e Melhorias
© Copyright 2013. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 A C D P Estrutura da Norma Transição para 27001:2013  Planejamento da Comunicação:  A comunicação deve ser sistemática  Deve existir um processo que defina o que é comunicado, como, quando e para quem  O processo de comunicação deve incluir partes internas e externas 4. Contexto da Organização 5. Liderança 6. Planejamento 7. Suporte 8. Operação 9. Avaliação de Performance 10. Melhoria ISO 27001:2013 Atualização 2013 – Modificações e Melhorias
© Copyright 2013. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 A C D P Estrutura da Norma Transição para 27001:2013  Processos de gerenciamento:  Não existe mais necessidade de um procedimento de “ação preventiva”, pois este virou parte avaliação/gestão de riscos  Não existe mais necessidade de ter procedimentos documentados para Controle de Documentos, Auditoria Interna e Ação corretiva  Ainda assim os processos devem ser mantidos, mesmo que não documentados 4. Contexto da Organização 5. Liderança 6. Planejamento 7. Suporte 8. Operação 9. Avaliação de Performance 10. Melhoria ISO 27001:2013 Atualização 2013 – Modificações e Melhorias
© Copyright 2013. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 A C D P Estrutura da Norma Transição para 27001:2013  Novas políticas e procedimentos:  Se os controles a seguir se aplicam ao seu escopo, será necessário escrever novos documentos:  Secure system engineering principles (control A.14.2.5)  Supplier security policy (control A.15.1.1)  Incident management procedure (control A.16.1.5)  Business continuity procedures (control A.17.1.2) 4. Contexto da Organização 5. Liderança 6. Planejamento 7. Suporte 8. Operação 9. Avaliação de Performance 10. Melhoria ISO 27001:2013 Atualização 2013 – Modificações e Melhorias
© Copyright 2013. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 A C D P Estrutura da Norma Transição para 27001:2013  Medição e relatoria:  Requisitos bem mais exigentes:  Objetivos de segurança devem ser mensuráveis;  Atividades para tratar riscos devem ser avaliadas;  No planejamento de objetivos, deve ser considerado como o resultado será avaliado;  É necessário definir o que será monitorado e medido, quando isso vai ser feito, quem o fará e quem vai avaliar os resultados;  O responsável por reportar o desempenho do SGSI deve ser claramente identificado. 4. Contexto da Organização 5. Liderança 6. Planejamento 7. Suporte 8. Operação 9. Avaliação de Performance 10. Melhoria ISO 27001:2013 Atualização 2013 – Modificações e Melhorias
© Copyright 2013. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Anexo A – Novas seções 27001:2005 27001:2013 11 seções 14 seções Reorganização Consolidação Atualização Exclusões Simplificação Melhorias em geral Mais seções significa mais trabalho? 133 controles 114 controles Atualização 2013 – Modificações e Melhorias
© Copyright 2013. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Anexo A – Novas seções 5. Security Policies 6. Organization of information security 7. Human resource security 8. Asset management 9. Access control 10. Cryptography 11. Physical and environmental security 12. Operations security 13. Communications security 14. System acquisition, development and maintenance 15. Supplier relationships 16. Information security incident management 17. Information security aspects of business continuity 18. Compliance Atualização 2013 – Modificações e Melhorias
© Copyright 2013. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Anexo A – 24 Controles Excluídos • 12.2.3 Message integrity • 12.2.4 Output data validation • 11.5.5 Session time out • 11.5.6 Limitation of connection time • 11.6.2 Sensitive system isolation • 12.5.4 Information leakage • 14.1.2 Business continuity and risk assessment • 14.1.3 Developing and implementing business continuity plans • 14.1.4 Business continuity planning framework • 15.1.5 Prevention of misuse of information processing facilities • 15.3.2 Protection of information systems audit tools Atualização 2013 – Modificações e Melhorias
© Copyright 2013. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Anexo A – 7 Novos Controles • 14.2.1 Secure development policy – rules for development of software and information systems • 14.2.5 System development procedures – principles for system engineering • 14.2.6 Secure development environment – establishing and protecting development environment • 14.2.8 System security testing – tests of security functionality • 16.1.4 Assessment and decision of information security events – this is part of incident management • 17.2.1 Availability of information processing facilities – achieving redundancy  Atualização 2013 – Modificações e Melhorias
© Copyright 2013. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 27001:2013 Quando devo passar a usar a ISO 27001:2013? Período de Transição
© Copyright 2013. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 27001:2013 1 2 3 Setembro 2013 Setembro 2014 Setembro 2015 2 anos 1 ano 1 ano Período de Transição 1. 27001:2013 Já é possível obter a certificação ISO 27001:2013 desde Setembro, mas a norma ainda não foi publicada no Brasil. Isso deve acontecer ainda esse ano. 2. 27001:2005 É possível obter a certificação ISO 27001:2005 até 25 de Setembro de 2014 (um ano) 3. Migração Quem já possui a certificação na versão anterior, deve migrar para a 27001 até 25 de Setembro de 2015 (2 anos)
© Copyright 2013. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Facilidade de alinhamento com outros Sistemas de Gestão. Estrutura, seções e controles foram consolidados e estão mais efetivos. Mudanças refletem os paradigmas dos últimos 8 anos. Foco na Gestão de Riscos e participação da Alta Direção. Existe esforço na transição 27001:2005  27001:2013, porém é aceitável. Melhorias na 27001:2013 Prazos máximo para migração é de até 2 anos. Conclusões
© Copyright 2013. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 • As melhorias da 27001:2013 justificam sua adoção... ...o prazo de adoção é de até 2 anos. • Se você já está perto de certificar seu SGSI... ...mantenha a 27001:2005, mas pense no futuro. • Se você vai iniciar um projeto de certificação... ...Prepare seu SGSI com a 27001:2013 Conclusões

Recomendados

Gestão de Serviços de TI e Segurança da Informação: Usando as práticas da ISO...
Gestão de Serviços de TI e Segurança da Informação: Usando as práticas da ISO...Gestão de Serviços de TI e Segurança da Informação: Usando as práticas da ISO...
Gestão de Serviços de TI e Segurança da Informação: Usando as práticas da ISO...Cláudio Dodt
 
DARYUS - Pesquisa Nacional de Segurança da Informação 2014
DARYUS - Pesquisa Nacional de Segurança da Informação 2014DARYUS - Pesquisa Nacional de Segurança da Informação 2014
DARYUS - Pesquisa Nacional de Segurança da Informação 2014Cláudio Dodt
 
DARYUS Segurança da Informação: Perspectivas no Brasil para 2014 e além
DARYUS Segurança da Informação: Perspectivas no Brasil para 2014 e alémDARYUS Segurança da Informação: Perspectivas no Brasil para 2014 e além
DARYUS Segurança da Informação: Perspectivas no Brasil para 2014 e alémCláudio Dodt
 
DARYUS Inovação com Segurança da Informação: Desafios de uma gestão flexível ...
DARYUS Inovação com Segurança da Informação: Desafios de uma gestão flexível ...DARYUS Inovação com Segurança da Informação: Desafios de uma gestão flexível ...
DARYUS Inovação com Segurança da Informação: Desafios de uma gestão flexível ...Cláudio Dodt
 
GRM 2014 - Unbounded Security:Aonde foi parar meu perímetro corporativo e com...
GRM 2014 - Unbounded Security:Aonde foi parar meu perímetro corporativo e com...GRM 2014 - Unbounded Security:Aonde foi parar meu perímetro corporativo e com...
GRM 2014 - Unbounded Security:Aonde foi parar meu perímetro corporativo e com...Cláudio Dodt
 
DARYUS BYOD – Como lidar com riscos estratégicos de dispositivos pessoais
DARYUS BYOD – Como lidar com riscos estratégicos de dispositivos pessoaisDARYUS BYOD – Como lidar com riscos estratégicos de dispositivos pessoais
DARYUS BYOD – Como lidar com riscos estratégicos de dispositivos pessoaisCláudio Dodt
 
15 dicas essenciais para aprovação nos exames da ISACA - CISA, CISM, CRISC e ...
15 dicas essenciais para aprovação nos exames da ISACA - CISA, CISM, CRISC e ...15 dicas essenciais para aprovação nos exames da ISACA - CISA, CISM, CRISC e ...
15 dicas essenciais para aprovação nos exames da ISACA - CISA, CISM, CRISC e ...Cláudio Dodt
 
Conscientização na prática: Como tornar o fator humano um dos mais efetivos c...
Conscientização na prática: Como tornar o fator humano um dos mais efetivos c...Conscientização na prática: Como tornar o fator humano um dos mais efetivos c...
Conscientização na prática: Como tornar o fator humano um dos mais efetivos c...Cláudio Dodt
 

Recomendados

Gestão de Serviços de TI e Segurança da Informação: Usando as práticas da ISO...
Gestão de Serviços de TI e Segurança da Informação: Usando as práticas da ISO...Gestão de Serviços de TI e Segurança da Informação: Usando as práticas da ISO...
Gestão de Serviços de TI e Segurança da Informação: Usando as práticas da ISO...Cláudio Dodt
 
DARYUS - Pesquisa Nacional de Segurança da Informação 2014
DARYUS - Pesquisa Nacional de Segurança da Informação 2014DARYUS - Pesquisa Nacional de Segurança da Informação 2014
DARYUS - Pesquisa Nacional de Segurança da Informação 2014Cláudio Dodt
 
DARYUS Segurança da Informação: Perspectivas no Brasil para 2014 e além
DARYUS Segurança da Informação: Perspectivas no Brasil para 2014 e alémDARYUS Segurança da Informação: Perspectivas no Brasil para 2014 e além
DARYUS Segurança da Informação: Perspectivas no Brasil para 2014 e alémCláudio Dodt
 
DARYUS Inovação com Segurança da Informação: Desafios de uma gestão flexível ...
DARYUS Inovação com Segurança da Informação: Desafios de uma gestão flexível ...DARYUS Inovação com Segurança da Informação: Desafios de uma gestão flexível ...
DARYUS Inovação com Segurança da Informação: Desafios de uma gestão flexível ...Cláudio Dodt
 
GRM 2014 - Unbounded Security:Aonde foi parar meu perímetro corporativo e com...
GRM 2014 - Unbounded Security:Aonde foi parar meu perímetro corporativo e com...GRM 2014 - Unbounded Security:Aonde foi parar meu perímetro corporativo e com...
GRM 2014 - Unbounded Security:Aonde foi parar meu perímetro corporativo e com...Cláudio Dodt
 
DARYUS BYOD – Como lidar com riscos estratégicos de dispositivos pessoais
DARYUS BYOD – Como lidar com riscos estratégicos de dispositivos pessoaisDARYUS BYOD – Como lidar com riscos estratégicos de dispositivos pessoais
DARYUS BYOD – Como lidar com riscos estratégicos de dispositivos pessoaisCláudio Dodt
 
15 dicas essenciais para aprovação nos exames da ISACA - CISA, CISM, CRISC e ...
15 dicas essenciais para aprovação nos exames da ISACA - CISA, CISM, CRISC e ...15 dicas essenciais para aprovação nos exames da ISACA - CISA, CISM, CRISC e ...
15 dicas essenciais para aprovação nos exames da ISACA - CISA, CISM, CRISC e ...Cláudio Dodt
 
Conscientização na prática: Como tornar o fator humano um dos mais efetivos c...
Conscientização na prática: Como tornar o fator humano um dos mais efetivos c...Conscientização na prática: Como tornar o fator humano um dos mais efetivos c...
Conscientização na prática: Como tornar o fator humano um dos mais efetivos c...Cláudio Dodt
 
2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by HubspotMarius Sescu
 
Everything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTEverything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTExpeed Software
 
Product Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsProduct Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsPixeldarts
 
How Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthHow Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthThinkNow
 
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfAI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfmarketingartwork
 
Skeleton Culture Code
Skeleton Culture CodeSkeleton Culture Code
Skeleton Culture CodeSkeleton Technologies
 
PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024Neil Kimberley
 
Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)contently
 
How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024Albert Qian
 
Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsSocial Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsKurio // The Social Media Age(ncy)
 
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Search Engine Journal
 
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summarySpeakerHub
 
ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd Clark Boyd
 
Getting into the tech field. what next
Getting into the tech field. what next Getting into the tech field. what next
Getting into the tech field. what next Tessa Mero
 
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentGoogle's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentLily Ray
 
How to have difficult conversations
How to have difficult conversations How to have difficult conversations
How to have difficult conversations Rajiv Jayarajah, MAppComm, ACC
 
Introduction to Data Science
Introduction to Data ScienceIntroduction to Data Science
Introduction to Data ScienceChristy Abraham Joy
 
Time Management & Productivity - Best Practices
Time Management & Productivity - Best PracticesTime Management & Productivity - Best Practices
Time Management & Productivity - Best PracticesVit Horky
 
The six step guide to practical project management
The six step guide to practical project managementThe six step guide to practical project management
The six step guide to practical project managementMindGenius
 
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...RachelPearson36
 

Mais conteúdo relacionado

Destaque

2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by HubspotMarius Sescu
 
Everything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTEverything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTExpeed Software
 
Product Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsProduct Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsPixeldarts
 
How Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthHow Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthThinkNow
 
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfAI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfmarketingartwork
 
PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024Neil Kimberley
 
Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)contently
 
How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024Albert Qian
 
Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsSocial Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsKurio // The Social Media Age(ncy)
 
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Search Engine Journal
 
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summarySpeakerHub
 
ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd Clark Boyd
 
Getting into the tech field. what next
Getting into the tech field. what next Getting into the tech field. what next
Getting into the tech field. what next Tessa Mero
 
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentGoogle's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentLily Ray
 
Time Management & Productivity - Best Practices
Time Management & Productivity - Best PracticesTime Management & Productivity - Best Practices
Time Management & Productivity - Best PracticesVit Horky
 
The six step guide to practical project management
The six step guide to practical project managementThe six step guide to practical project management
The six step guide to practical project managementMindGenius
 
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...RachelPearson36
 

Destaque (20)

2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot
 
Everything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTEverything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPT
 
Product Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsProduct Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage Engineerings
 
How Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthHow Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental Health
 
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfAI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
 
Skeleton Culture Code
Skeleton Culture CodeSkeleton Culture Code
Skeleton Culture Code
 
PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024
 
Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)
 
How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024
 
Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsSocial Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie Insights
 
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024
 
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary
 
ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd
 
Getting into the tech field. what next
Getting into the tech field. what next Getting into the tech field. what next
Getting into the tech field. what next
 
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentGoogle's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search Intent
 
How to have difficult conversations
How to have difficult conversations How to have difficult conversations
How to have difficult conversations
 
Introduction to Data Science
Introduction to Data ScienceIntroduction to Data Science
Introduction to Data Science
 
Time Management & Productivity - Best Practices
Time Management & Productivity - Best PracticesTime Management & Productivity - Best Practices
Time Management & Productivity - Best Practices
 
The six step guide to practical project management
The six step guide to practical project managementThe six step guide to practical project management
The six step guide to practical project management
 
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
 

DARYUS - ISO 27001:2013 – Quais os impactos e benefícios das atualizações da principal norma de Segurança da Informação?

  • 1. AGENDA A DARYUS O que é a CONSUMERIZAÇÃO de TI? O que muda para as organizações? Como fica a gestão de TIC? BYOD – Mitos e Fatos Conclusões Claudio Dodt, ISMAS, CISSP, CISA, ISO 27001 Lead Auditor Business Continuity & Security Senior Consultant claudio.dodt@daryus.com.br www.daryus.com.br claudiododt.com www.twitter.com/daryusbr www.twitter.com/cdodt www.facebook.com/claudiododtcom ISO 27001:2013 – Quais os impactos e benefícios das atualizações da principal norma de Segurança da Informação? Iluminando mentes, capacitando profissionais e protegendo negócios.
  • 2. © Copyright 2013. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 LicençadeUso COPYRIGHT© DARYUS / CLÁUDIO DODT Você pode copiar, distribuir, criar obras derivadas e exibir as informações contidas neste documento com as seguintes restrições: Deve ser dado crédito ao autor original, e a DARYUS. Ambas as fontes devem ser citadas. $ Você NÃO pode utilizar as informações contidas neste documento para fins comerciais. Compartilhamento exclusivo pela mesma Licença. Se você alterar, transformar, ou criar outra obra com nas informações contidas neste documento, você somente poderá distribuir a obra resultante sob uma licença idêntica a esta.
  • 3. © Copyright 2013. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539  A DARYUS  A norma ISO 27001  Atualização 2013 • Modificações e Melhorias • Período de Transição  Conclusões  Perguntas AGENDA
  • 4. • Empresa 100% nacional localizada em São Paulo capital; • Representante educacional exclusiva do DRII – Disaster Recovery Institute International desde 2005; • Especializada e líder no Brasil em consultoria e soluções para Continuidade de Negócios e Recuperação de Desastres; • Somos a empresa mais completa em Gestão de Riscos, por oferecer educação e consultoria de forma especializada; • Idealizadora de dois eventos que tornaram-se referencia no mercado nacional GRC International e o GRM – Global Risk Meeting; • Prêmio SECMASTER 2006 pela ISSA International; • Reconhecida pela Infragard USA (California) em 2011. Quem somos:
  • 6. • Continuidade de Negócios • Segurança da Informação • Gestão de Processos de Negócios • Governança, Risco e Conformidade Nossos serviços:
  • 7. © Copyright 2013. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Nossos clientes:
  • 8. © Copyright 2013. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Claudio Dodt Atua na área de tecnologia há mais de 10 anos exercendo atividades como técnico e analista de suporte, Analista de Segurança Sr., Security Officer e Supervisor de Infraestrutura e Segurança. Desenvolveu atividades em empresas brasileiras e multinacionais, tendo participado no Brasil e no exterior em projetos de segurança de diversos segmentos como Educacional, Financeiro, Saúde, Agroindústria, Indústria Alimentícia, Naval, Metal-Mecânica e Têxtil. Geek convicto, mergulhador autônomo e um grande amante da leitura e dos videogames. Especializações  ITIL® V2 Service Manager / ITIL® Expert;  Certified Information Systems Security Professional (CISSP®);  Certified Information Systems Auditor (CISA);  Certified in Risk and Information Systems Control (CRISC);  ISO 27001 Lead Auditor;  ISO/IEC 20000 Foundation;  Information Security Foundation (ISFS) based on ISO/IEC 27002;  Information Security Management Advanced based on ISO/IEC 27002;  CobiT Foundation;  EXIN Cloud Computing Foundation;  EXIN Certified Integrator Secure Cloud Services;  EXIN Accredited Trainer – (ITIL Foundation; ISO 20000 Foundation, ISFS, ISMAS, Cloud Foundation). Cláudio Dodt Business Continuity & Security Senior Consultant - Regional Manager WWW.CLAUDIODODT.COM https://www.facebook.com/claudiododtcom CLAUDIODODT.COM
  • 9. © Copyright 2013. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Objetivo: Esta norma foi preparada para fornecer os requisitos para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gestão de Segurança da Informação. Objetivo: Prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI). 27001:2005  A 27000 é a principal família de normas de Segurança da Informação aceitas internacionalmente;  Aplicável a qualquer organização, independentemente de tamanho ou segmento;  Base para uma certificação, mas pode ser usada mesmo sem esse objetivo. A norma ISO 27001
  • 10. © Copyright 2013. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Objetivo: Esta norma foi preparada para fornecer os requisitos para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gestão de Segurança da Informação. A norma ISO 27001  Atualizada em 25 de Setembro de 2013;  Update foi baseado na experiência de usuários que buscavam certificação;  Objetivo principal é simplificar a abordagem e proporcionar melhorias na gestão de riscos. 27001:2013
  • 11. © Copyright 2013. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Annex SL: Alinhamento com outros Sistemas de Gestão Estrutura Subcláusulas Texto idêntico Definições Termos Compatibilidade Normas que adotam o Annex SL compartilham: Atualização 2013 – Modificações e Melhorias
  • 12. © Copyright 2013. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Annex SL: Alinhamento com outros Sistemas de Gestão ISO 9001 ISO 22301 ISO 14001 ISO 20000 ISO 22000 ISO 27001 Atualização 2013 – Modificações e Melhorias
  • 13. © Copyright 2013. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Estrutura da Norma ISO 27001:2005 ISO 27001:2013 4. Sistema de Gestão de Segurança da Informação 5. Responsabilidades da Direção 6. Auditorias internas do SGSI 7. Análise Crítica do SGSI pela direção 8. Melhoria do SGSI 4. Contexto da Organização 5. Liderança 6. Planejamento 7. Suporte 8. Operação 9. Avaliação de Performance 10. Melhoria Atualização 2013 – Modificações e Melhorias
  • 14. © Copyright 2013. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 A C D P Estrutura da Norma Pontos Interessantes:  Ficou mais simples entender o ciclo PDCA da 27001;  Agora é essencial entender o contexto e as expectativas das partes interessadas.  A importância da participação da alta direção na liderança e comprometimento com todas as atividades relacionadas ao SGSI ficou ainda mais evidente; 4. Contexto da Organização 5. Liderança 6. Planejamento 7. Suporte 8. Operação 9. Avaliação de Performance 10. Melhoria ISO 27001:2013 Atualização 2013 – Modificações e Melhorias
  • 15. © Copyright 2013. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 A C D P Estrutura da Norma Transição para 27001:2013  Listar todas as partes interessadas:  Identificar todos os Stakeholders  Se você já fazia isso no controle A.15.1.1, praticamente não existe mudança. 4. Contexto da Organização 5. Liderança 6. Planejamento 7. Suporte 8. Operação 9. Avaliação de Performance 10. Melhoria ISO 27001:2013 Atualização 2013 – Modificações e Melhorias
  • 16. © Copyright 2013. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 A C D P Estrutura da Norma Transição para 27001:2013  Definir interfaces do escopo do SGSI:  Agora é necessário identificar todas as interfaces do SGSI com atividades feitas pela sua organização e diferenciar das atividades feitas por terceiros. 4. Contexto da Organização 5. Liderança 6. Planejamento 7. Suporte 8. Operação 9. Avaliação de Performance 10. Melhoria ISO 27001:2013 Atualização 2013 – Modificações e Melhorias
  • 17. © Copyright 2013. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 A C D P Estrutura da Norma Transição para 27001:2013  Alinhar o SGSI x Estratégia Corporativa:  Na versão 2013 é necessário determinar se os objetivos de Segurança da Informação são compatíveis com a direção estratégica da organização. 4. Contexto da Organização 5. Liderança 6. Planejamento 7. Suporte 8. Operação 9. Avaliação de Performance 10. Melhoria ISO 27001:2013 Atualização 2013 – Modificações e Melhorias
  • 18. © Copyright 2013. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 A C D P Estrutura da Norma Transição para 27001:2013  Mudanças na Política:  Não existe mais necessidade de uma “Política do SGSI”, a Política de Segurança é suficiente  Alguns requisitos mudaram, não é mais necessário incluir o alinhamento com a gestão de risco estratégica ou o critério de avaliação de risco 4. Contexto da Organização 5. Liderança 6. Planejamento 7. Suporte 8. Operação 9. Avaliação de Performance 10. Melhoria ISO 27001:2013 Atualização 2013 – Modificações e Melhorias
  • 19. © Copyright 2013. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 A C D P Estrutura da Norma Transição para 27001:2013  Mudanças no processo de Avaliação de Riscos:  É necessário identificar o responsável para cada risco identificado  Não é mais necessário seguir uma metodologia baseada na identificação de ativos  ameaças  vulnerabilidades, você pode fazer de uma maneira mais simples!  Importante identificar processos terceirizados e como estes são controlados 4. Contexto da Organização 5. Liderança 6. Planejamento 7. Suporte 8. Operação 9. Avaliação de Performance 10. Melhoria ISO 27001:2013 Atualização 2013 – Modificações e Melhorias
  • 20. © Copyright 2013. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 A C D P Estrutura da Norma Transição para 27001:2013  Declaração de aplicabilidade:  Agora é necessário identificar se os controles estão implementados ou não 4. Contexto da Organização 5. Liderança 6. Planejamento 7. Suporte 8. Operação 9. Avaliação de Performance 10. Melhoria ISO 27001:2013 Atualização 2013 – Modificações e Melhorias
  • 21. © Copyright 2013. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 A C D P Estrutura da Norma Transição para 27001:2013  Tratamento de Riscos:  Agora é necessário obter a aprovação dos responsáveis pelo risco (risk owners) tanto para o RTP, quanto para o risco residual 4. Contexto da Organização 5. Liderança 6. Planejamento 7. Suporte 8. Operação 9. Avaliação de Performance 10. Melhoria ISO 27001:2013 Atualização 2013 – Modificações e Melhorias
  • 22. © Copyright 2013. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 A C D P Estrutura da Norma Transição para 27001:2013  Planejamento da Comunicação:  A comunicação deve ser sistemática  Deve existir um processo que defina o que é comunicado, como, quando e para quem  O processo de comunicação deve incluir partes internas e externas 4. Contexto da Organização 5. Liderança 6. Planejamento 7. Suporte 8. Operação 9. Avaliação de Performance 10. Melhoria ISO 27001:2013 Atualização 2013 – Modificações e Melhorias
  • 23. © Copyright 2013. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 A C D P Estrutura da Norma Transição para 27001:2013  Processos de gerenciamento:  Não existe mais necessidade de um procedimento de “ação preventiva”, pois este virou parte avaliação/gestão de riscos  Não existe mais necessidade de ter procedimentos documentados para Controle de Documentos, Auditoria Interna e Ação corretiva  Ainda assim os processos devem ser mantidos, mesmo que não documentados 4. Contexto da Organização 5. Liderança 6. Planejamento 7. Suporte 8. Operação 9. Avaliação de Performance 10. Melhoria ISO 27001:2013 Atualização 2013 – Modificações e Melhorias
  • 24. © Copyright 2013. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 A C D P Estrutura da Norma Transição para 27001:2013  Novas políticas e procedimentos:  Se os controles a seguir se aplicam ao seu escopo, será necessário escrever novos documentos:  Secure system engineering principles (control A.14.2.5)  Supplier security policy (control A.15.1.1)  Incident management procedure (control A.16.1.5)  Business continuity procedures (control A.17.1.2) 4. Contexto da Organização 5. Liderança 6. Planejamento 7. Suporte 8. Operação 9. Avaliação de Performance 10. Melhoria ISO 27001:2013 Atualização 2013 – Modificações e Melhorias
  • 25. © Copyright 2013. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 A C D P Estrutura da Norma Transição para 27001:2013  Medição e relatoria:  Requisitos bem mais exigentes:  Objetivos de segurança devem ser mensuráveis;  Atividades para tratar riscos devem ser avaliadas;  No planejamento de objetivos, deve ser considerado como o resultado será avaliado;  É necessário definir o que será monitorado e medido, quando isso vai ser feito, quem o fará e quem vai avaliar os resultados;  O responsável por reportar o desempenho do SGSI deve ser claramente identificado. 4. Contexto da Organização 5. Liderança 6. Planejamento 7. Suporte 8. Operação 9. Avaliação de Performance 10. Melhoria ISO 27001:2013 Atualização 2013 – Modificações e Melhorias
  • 26. © Copyright 2013. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Anexo A – Novas seções 27001:2005 27001:2013 11 seções 14 seções Reorganização Consolidação Atualização Exclusões Simplificação Melhorias em geral Mais seções significa mais trabalho? 133 controles 114 controles Atualização 2013 – Modificações e Melhorias
  • 27. © Copyright 2013. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Anexo A – Novas seções 5. Security Policies 6. Organization of information security 7. Human resource security 8. Asset management 9. Access control 10. Cryptography 11. Physical and environmental security 12. Operations security 13. Communications security 14. System acquisition, development and maintenance 15. Supplier relationships 16. Information security incident management 17. Information security aspects of business continuity 18. Compliance Atualização 2013 – Modificações e Melhorias
  • 28. © Copyright 2013. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Anexo A – 24 Controles Excluídos • 12.2.3 Message integrity • 12.2.4 Output data validation • 11.5.5 Session time out • 11.5.6 Limitation of connection time • 11.6.2 Sensitive system isolation • 12.5.4 Information leakage • 14.1.2 Business continuity and risk assessment • 14.1.3 Developing and implementing business continuity plans • 14.1.4 Business continuity planning framework • 15.1.5 Prevention of misuse of information processing facilities • 15.3.2 Protection of information systems audit tools Atualização 2013 – Modificações e Melhorias
  • 29. © Copyright 2013. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Anexo A – 7 Novos Controles • 14.2.1 Secure development policy – rules for development of software and information systems • 14.2.5 System development procedures – principles for system engineering • 14.2.6 Secure development environment – establishing and protecting development environment • 14.2.8 System security testing – tests of security functionality • 16.1.4 Assessment and decision of information security events – this is part of incident management • 17.2.1 Availability of information processing facilities – achieving redundancy  Atualização 2013 – Modificações e Melhorias
  • 30. © Copyright 2013. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 27001:2013 Quando devo passar a usar a ISO 27001:2013? Período de Transição
  • 31. © Copyright 2013. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 27001:2013 1 2 3 Setembro 2013 Setembro 2014 Setembro 2015 2 anos 1 ano 1 ano Período de Transição 1. 27001:2013 Já é possível obter a certificação ISO 27001:2013 desde Setembro, mas a norma ainda não foi publicada no Brasil. Isso deve acontecer ainda esse ano. 2. 27001:2005 É possível obter a certificação ISO 27001:2005 até 25 de Setembro de 2014 (um ano) 3. Migração Quem já possui a certificação na versão anterior, deve migrar para a 27001 até 25 de Setembro de 2015 (2 anos)
  • 32. © Copyright 2013. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Facilidade de alinhamento com outros Sistemas de Gestão. Estrutura, seções e controles foram consolidados e estão mais efetivos. Mudanças refletem os paradigmas dos últimos 8 anos. Foco na Gestão de Riscos e participação da Alta Direção. Existe esforço na transição 27001:2005  27001:2013, porém é aceitável. Melhorias na 27001:2013 Prazos máximo para migração é de até 2 anos. Conclusões
  • 33. © Copyright 2013. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 • As melhorias da 27001:2013 justificam sua adoção... ...o prazo de adoção é de até 2 anos. • Se você já está perto de certificar seu SGSI... ...mantenha a 27001:2005, mas pense no futuro. • Se você vai iniciar um projeto de certificação... ...Prepare seu SGSI com a 27001:2013 Conclusões