ISO: Que tal baixar mais de 600 normas graça? (e não é pirataria!)

Normas ISO legítimas e de graça me fazem MUITO feliz!

As normas ISO são, sem sombra de dúvida, uma das melhores fontes de conhecimento prático quando se quer adotar padrões testados e estabelecidos internacionalmente, aplicáveis a empresas de todos os portes e setores. Existem normas ISO focadas em várias áreas de conhecimento, incluindo qualidade, meio ambiente, tecnologia, segurança da informação, continuidade de negócios, governança corporativa, dentre outros muitos assuntos.

Algum tempo atrás, eu republiquei no Linkedin uma postagem feita originalmente aqui no blog, descrevendo como baixar uma cópia legítima da norma ISO 27000:2014 (já foi atualizada para versão 2016), que apresenta basicamente uma visão geral do que é um SGSI e outros conceitos relacionados a segurança da informação. No Brasil a norma continua sendo vendida, atualmente custando absurdos R$ 627,90!

A boa notícia é que essa não é a única norma que a ISO publica gratuitamente. Existe um site oficial onde você pode baixar 610 publicações! Claro, algumas são bem antigas, indo até 1988, e provavelmente estão desatualizadas, mas também existem normas novas folha, publicadas ainda em 2016 e falando de assuntos extremamente relevantes como TI, Segurança da Informação, Gestão de Serviços de TI e Computação na Nuvem, veja alguns exemplos:

  • ISO/IEC 2382:2015 Information technology — Vocabulary
  • ISO/IEC 2382-37:2017 (E) Information technology — Vocabulary — Part 37: Biometrics
  • ISO/IEC 17788:2014 Information technology — Cloud computing — Overview and vocabulary
  • ISO/IEC 17789:2014 Information technology — Cloud computing — Reference architecture
  • ISO/IEC 19395:2015 Information technology — Sustainability for and by information technology — Smart data centre resource monitoring and control
  • ISO/IEC 19678:2015 Information Technology — BIOS Protection Guidelines
  • ISO/IEC TR 20000-10:2015 Information technology — Service management — Part 10: Concepts and terminology
  • ISO/IEC TR 20000-11:2015 Information technology — Service management — Part 11: Guidance on the relationship between ISO/IEC 20000-1:2011 and service management frameworks: ITIL
  • ISO/IEC TR 20000-12:2016 Information technology — Service management — Part 12: Guidance on the relationship between ISO/IEC 20000-1:2011 and service management frameworks: CMMI-SVC
  • ISO/IEC 27036-1:2014 Information technology — Security techniques — Information securityfor supplier relationships — Part 1: Overview and concepts
  • ISO/IEC 27000:2016(E) Information technology — Security techniques — Information security management systems — Overview and vocabulary

A maioria das publicações está em inglês, com algumas versões em francês ou russo. A lista completa você pode acessar aqui: http://standards.iso.org/ittf/PubliclyAvailableStandards/index.html

Boa leitura!!

Download gratuito: Ferramenta do NIST de excelência em cibersegurança!

SABER É METADE DA BATALHA. Essa frase (que ouvi a primeira vez vendo G.I Joe / Comandos em ação!) pode até soar como o mais velho dos clichês, entretanto não deixa de ser uma recomendação bastante prudente, especialmente quando lidamos com disciplinas estratégicas como gestão de serviços de TI, governança, continuidade de negócios e cibersegurança.

gijoe

Em termos de publicações e boas práticas, as opções são bem diversificadas. O próprio Cobit 5 é bem abrangente e, quando falamos de Segurança da Informação o processo DSS05 Manage Security Services e suas práticas são uma ótima opção para medirmos a maturidade ou mesmo melhorarmos a gestão da segurança da informação como um todo.

cobit5dss05racichart
Cobit 5 – Enabling processes – DSS05 RACI Chart

Agora, se o seu foco é ter um bom entendimento de como anda a cibersegurança na sua organização, uma publicação razoavelmente recente do National Institute of Standards and Technology (NIST) vai chamar sua atenção!

O Baldrige Cybersecurity Excellence Builder é uma ferramenta gratuita para auto avaliação. Mesmo ainda estando em rascunho (a última versão publicada pelo NIST é de setembro de 2016) o conteúdo bastante maduro e efetivo.

A ideia básica é fornecer às organizações um meio prático para compreender melhor a efetividade dos esforços de gestão de riscos de cibersegurança, ajudando líderes das organizações a identificar oportunidades de melhoria com base nas suas necessidades e objetivos de cibersegurança, bem como em suas maiores necessidades, objetivos e resultados organizacionais.

Com a auto avaliação do Baldrige Cybersecurity Excellence Builder é possível:

  • Determinar atividades relacionadas à cibersegurança que são essenciais para a estratégia do negócio e prestação de serviços críticos;
  • Priorizar investimentos na gestão do risco de cibersegurança;
  • Determinar a melhor forma para garantir que colaboradores, clientes, fornecedores, e demais parceiros estejam conscientes de riscos e de segurança e cumpram seus papéis e responsabilidades na cibersegurança;
  • Avaliar a efetividade no uso de normas, diretrizes e boas práticas de cibersegurança;
  • Avaliar os resultados dos esforços de cibersegurança; e
  • Identificar prioridades de melhoria.

A abordagem é bastante pragmática e fácil de ser seguida, mas é importante lembrar que – como qualquer tipo de auto avaliação – os resultados devem ser avaliados criticamente por uma por alguém com razoável experiência no assunto, para evitar que ocorram falhas no entendimento.

nist01 nist02

Conforme mencionado, o Baldrige Cybersecurity Excellence Builder é uma ferramenta gratuita e pode ser obtida clicando AQUI.

Ponto importante: O guia está em consulta pública, comentários e sugestões podem ser enviados para BaldrigeCybersecurity@nist.gov

Bom proveito!

Fontes:

https://www.nist.gov/news-events/news/2016/09/nist-releases-baldrige-based-tool-cybersecurity-excellence

ISO 27001:2013 – O que muda com a atualização da maior norma de Segurança da Informação?

O ano de 2013 nos brindou com diversas noticias sobre ataques de hackers, vazamentos de informação, espionagem digital, invasão de privacidade (oi Obama!) e a consequência é que todos os holofotes estão mais que nunca apontados para o tema Segurança da Informação.

É nesse contexto que nos últimos dias chegou a nova revisão da ISO 27001. Padrão internacional que – junto das demais publicações da família 27000 – há mais de uma década tem sido uma das principais referências sobre Segurança da Informação para empresas e profissionais em todo o mundo.

Uma série de perguntas fica no ar: O que realmente muda? A norma está mais efetiva?

Claro, quem é responsável pela gestão de um SGSI está imaginando a quantidade de novos controles e documentos obrigatórios para obter ou manter a certificação da sua empresa.

Sem mais delongas, vamos as mudanças!

27001:2013: Que venham as mudanças!
27001:2013: Que venham as mudanças!

Maior alinhamento com outros sistemas de gestão

Uma das dificuldades de quem implementa mais de um sistema de gestão ISO (e.g. 27001 x 9001) é saber que apesar das normas possuirem requisitos em comum, existem várias diferenças no que tange a definições .

Uma das modificações da 27001:2013 é o alinhamento com as diretrizes do Annex SL (conhecido antigamente como ISO Guide 83), que padroniza definições e estruturas de diferentes padrões ISO. Com isso, a norma está completamente  alinhada com outros padrões ISO como ISO 9001, ISO 14000, ISO 20000, ISO 22000, ISO 22301.

Empresas que possuem mais de um sistema de gestão poderão centralizar e integrar os mesmo de uma forma efetiva, reduzindo a sobrecarga administrativa.

Período de Transição

A ISO 27001:2013 já está valida e publicada no exterior. No Brasil a expectativa é que a ABNT publique a versão em português ainda este ano. Mas o que acontece com quem ainda está usando a versão 2005?

Quando vou adotar a 27001:2013?
Quando vou adotar a 27001:2013?

Se sua empresa está próxima de obter ou já possui certificação 27001:2005 não entre em pânico! Ainda é possível obter ou renovar a certificação na versão antiga até Setembro de 2014.

O prazo limite para migrar para a versão de 2013 é de dois anos, apenas em Setembro de 2015.

Documentos obrigatórios

A lista de documentos obrigatórios não assusta, especialmente se você já está acostumado com os requisitos da versão anterior:

  • Documentos:
    • Scope of the ISMS (clause 4.3)
    • Information security policy and objectives (clauses 5.2 and 6.2)
    • Risk assessment and risk treatment methodology (clause 6.1.2)
    • Statement of Applicability (clause 6.1.3 d)
    • Risk treatment plan (clauses 6.1.3 e and 6.2)
    • Risk assessment report (clause 8.2)
    • Definition of security roles and responsibilities (clauses A.7.1.2 and A.13.2.4)
    • Inventory of assets (clause A.8.1.1)
    • Acceptable use of assets (clause A.8.1.3)
    • Access control policy (clause A.9.1.1)
    • Operating procedures for IT management (clause A.12.1.1)
    • Secure system engineering principles (clause A.14.2.5)
    • Supplier security policy (clause A.15.1.1)
    • Incident management procedure (clause A.16.1.5)
    • Business continuity procedures (clause A.17.1.2)
    • Statutory, regulatory, and contractual requirements (clause A.18.1.1)
  • Registros:
    • Records of training, skills, experience and qualifications (clause 7.2)
    • Monitoring and measurement results (clause 9.1)
    • Internal audit program (clause 9.2)
    • Results of internal audits (clause 9.2)
    • Results of the management review (clause 9.3)
    • Results of corrective actions (clause 10.1)
    • Logs of user activities, exceptions, and security events (clauses A.12.4.1 and A.12.4.3)

27001

Claro, se um documento referenciado acima faz parte do anexo A, este só obrigatório se existir um risco que exija sua implementação.  Mas falando no famoso Anexo A, vamos a ele!

Anexo A: Comparando as versões!

Ok, a norma está mais alinhada com outros sistemas de gestão e vou ter um bom tempo para me adaptar. Ótimo! Mas o que realmente muda?

Bem, o objetivo da atualização foi tornar a 27001 mais eficiente e aderente ao contexto atual da Segurança da Informação nas organizações. A norma mudou bastante, mas isso não significa um trabalho enorme.

Vamos a um resumo das principais mudanças dos Controles e Objetivos de Controles no Anexo A:

Seções: o número de seções aumentou. Enquanto em sua versão anterior a norma era dívida em 11 itens, a 27001:2013 possui 14! Essa mudança ajuda principalmente a organização do framework, que em sua versão anterior tinha controles inseridos em locais que simplesmente não faziam sentido. Esse problema foi resolvido!

Um exemplo é criptografia, que agora ganhou uma seção própria (10) e não faz mais parte do item Aquisição, Desenvolvimento e Manutenção de sistemas de informação, o que faz bastante sentido. Outro item que ganhou uma seção própria foi Relacionamento com Fornecedor (15).

Veja como ficou a nova estrutura:

  • 5 Security Policies
  • 6 Organization of information security
  • 7 Human resource security
  • 8 Asset management
  • 9 Access control
  • 10 Cryptography
  • 11 Physical and environmental security
  • 12 Operations security
  • 13 Communications security
  • 14 System acquisition, development and maintenance
  • 15 Supplier relationships
  • 16 Information security incident management
  • 17 Information security aspects of business continuity
  • 18 Compliance

domino

Número de Controles: Se você achava que uma atualização na norma aumentaria automaticamente o número de controles… bem, você estava errado! Claro, existem novos controles, mas vários controles considerados muito específicos ou desatualizados foram excluídos. Veja:

  • Novos controles:
    • 14.2.1 Secure development policy – rules for development of software and information systems
    • 14.2.5 System development procedures – principles for system engineering
    • 14.2.6 Secure development environment – establishing and protecting development environment
    • 14.2.8 System security testing – tests of security functionality
    • 16.1.4 Assessment and decision of information security events – this is part of incident management
    • 17.2.1 Availability of information processing facilities – achieving redundancy
  • Controles Excluídos:
    • 6.2.2 Addressing security when dealing with customers
    • 10.4.2 Controls against mobile code
    • 10.7.3 Information handling procedures
    • 10.7.4 Security of system documentation
    • 10.8.5 Business information systems
    • 10.9.3 Publicly available information
    • 11.4.2 User authentication for external connections
    • 11.4.3 Equipment identification in networks
    • 11.4.4 Remote diagnostic and configuration port protection
    • 11.4.6 Network connection control
    • 11.4.7 Network routing control
    • 12.2.1 Input data validation
    • 12.2.2 Control of internal processing
    • 12.2.3 Message integrity
    • 12.2.4 Output data validation
    • 11.5.5 Session time out
    • 11.5.6 Limitation of connection time
    • 11.6.2 Sensitive system isolation
    • 12.5.4 Information leakage
    • 14.1.2 Business continuity and risk assessment
    • 14.1.3 Developing and implementing business continuity plans
    • 14.1.4 Business continuity planning framework
    • 15.1.5 Prevention of misuse of information processing facilities
    • 15.3.2 Protection of information systems audit tools

Conclusões

Obviamente você deve estar se perguntando: Qual versão da norma devo usar? 2005 ou 2013?

Bem, a atualização da 27001 – que deve ser publicada em português pela ABNT ainda este ano – teve como principal objetivo algo que me atrai bastante: uma “gestão de riscos mais efetiva”, trazendo controles atualizados e organizados de forma mais intuitiva.

Além disso, a 27001:2013 é mais fácil de alinhar com outros sistemas de gestão, o que vai poupar bastante tempo em um novo projeto ou reduzir a carga administrativa em um ambiente existente.

Com todos esses benefícios é óbvio que a recomendação para novos projetos é partir já com a norma atualizada. Mas se você já possui um projeto em andamento, que deve ser concluído nos próximos seis a oito meses, eu recomendaria manter a versão 2005, mas seja rápido!

Profissional de Segurança da Informação feliz com a 27001:2013!
Profissional de Segurança da Informação feliz com a 27001:2013!

Fontes:

ISO/IEC 27001:2013

http://iso.org

http://www.british-assessment.co.uk/articles/isos-annex-sl-explained

http://blog.iso27001standard.com