Normas ISO e Gerência de riscos

Normas ISO
1. ISO 27001
  1. Define os REQUISITOS de um Sistema de Gestão da Segurança da Informação – SGSI
  2. Busca ESTABELECER, IMPLEMENTAR, OPERAR, MONITORAR, REVISAR, MANTER e MELHORAR a Segurança da Informação através do SGSI
  3. Esta norma é a mais básica e serve como pilar para as demais, principalmente no aspecto de certificação empresarial em gestão de segurança da informação
  4. O SGSI deve estar inserido no contexto de um sistema global da organização, contemplando aspectos voltados para o risco de negócio
2. ISO 27002
  1. Apresenta um código de boas práticas com controles de Segurança da Informação
  2. Esses controles subsidiam a implantação de um Sistemas de Gestão da Segurança da Informação
3. ISO 27003
  1. Possui uma abordagem mais alto nível que define DIRETRIZES para a implementação de um SGSI
  2. A ISO 27001 trata apenas dos REQUISITOS
4. ISO 27004
  1. Definição de métricas para medição da gestão da segurança da informação
5. ISO 27005
  1. Aborda a gestão de riscos da segurança da informação
6. NBR 15999
  1. Trata da gestão de continuidade de negócios
  2. Busca garantir um maior grau de disponibilidade possível
    1. Frente a eventos diversos, entre eles os mais catastróficos, a organização não pode ter seu negócio prejudicado, gerando a continuidade necessária
7. NBR 22301
  1. Trata dos requisitos para criação de um sistema de gestão de continuidade de negócios
8. NBR 31000
  1. Trata da gestão de riscos em um caráter organizacional
Gerência de riscos
1. Conceitos importantes
  1. RISCO: probabilidade de uma fonte de ameaça explorar uma vulnerabilidade, resultando em um impacto para a organização
  2. AMEAÇA: Causa potencial de um incidente indesejado
  3. VULNERABILIDADE: Fragilidade de um ativo que pode ser explorarada por uma ou mais ameaças
  4. IMPACTO: Resultado gerado por uma ameaça ao explorar uma vulnerabilidade
  5. Incidente de segurança da informação é indicado por um simples ou por uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação
2. Formas básicas de reação aos riscos
  1. Acrônimo: MATE
  2. Mitigar
    1. Objetiva-se atuar em prol da minimização dos riscos
    2. Exemplo: pode-se restringir o acesso de determinados usuários a sites controlados
  3. Aceitar
    1. Para alguns erros, suas consequência são menos custosas do que a tentativa de evitá-los, mitigá-los ou transferi-los
    2. Desse modo, aceita-se o risco em caso de ocorrência
  4. Transferir
    1. Busca-se transferir o risco para uma terceira parte
    2. Nesse caso, a terceira parte assume a responsabilidade das ações frente ao risco, bem como custo e outros fatores
      1. Exemplo: Ao se contratar um seguro de carro, passe-se o risco de acidente e roubo para a seguradora
  5. Evitar
    1. Buscam-se ações com vistas a prevenir a ocorrência de determinado risco
    2. Exemplo: pode-se bloquear o acesso de determinado usuário à internet
      1. Isso poderia evitar que ele acesse serviços remotamente e vaze dados pela internet

Next up

Normas ISO e Gerência de riscos

Description

Resource summary

Similar

	Created by Michel Souza over 5 years ago