Para aclararnos con los cambios que ha habido estos últimos meses con las normas ISO de seguridad informática, hago un resumen de los estándares que componen la norma ISO 27000. Existe una información más detallada en ISO27000.es.

• ISO 27000: Se encuentra en fase de desarrollo. Contendrá términos y definiciones que se emplean en toda la serie 27000. Esta norma será gratuita, a diferencia de las demás de la serie, que tendrán un coste.

• ISO 27001: Es la norma principal de requisitos del sistema de gestión de seguridad de la información. Es la norma con arreglo a la cual se certifican por auditores externos los SGSI de las organizaciones. En su Anexo A, enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO 27002, para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI; a pesar de no ser obligatoria la implementación de todos los controles enumerados en dicho anexo, la organización deberá argumentar sólidamente la no aplicabilidad de los controles no implementados.

• ISO 27002: Cambio de nomenclatura de ISO 17799:2005 realizada el 1 de Julio de 2007. Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios.

• ISO 27003: En fase de desarrollo; probable publicación a finales de 2008. Contendrá una guía de implementación de SGSI e información acerca del uso del modelo PDCA y de los requerimientos de sus diferentes fases.

• ISO 27004: En fase de desarrollo; probable publicación a lo largo de 2008. Especificará las métricas y las técnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles relacionados. Estas métricas se usan fundamentalmente para la medición de los componentes de la fase “Do” (Implementar y Utilizar) del ciclo PDCA.

• ISO 27005: En fase de desarrollo; probable publicación a finales de 2007 ó principios de 2008. Consistirá en una guía para la gestión del riesgo de la seguridad de la información y servirá, por tanto, de apoyo a la ISO 27001 y a la implantación de un SGSI.

• ISO 27006: Publicada en Febrero de 2007. Especifica los requisitos para la acreditación de entidades de auditoría y certificación de sistemas de gestión de seguridad de la información.

Saudações pessoal,

Damos início aqui a nossa última etapa da trilha em busca do SGSI e você deve ter percebido que o título intriga um pouco quando vemos o “… ou não”, não é mesmo? Pois é, vamos ver o que nos espera lá no final da trilha.

Antes de levantarmos acampamento, vamos apenas nos recordar, resumidamente, pelo que passamos na etapa anterior da nossa trilogia. Então, lembro que:

1. Pegamos uma área de negócio como exemplo para nosso escopo.
2. Definimos como ativo principal os processos de negócio daquela área.
3. Levantamos todos ou os principais processos da área.
4. Estipulamos um régua de pontuação da importância do processo baseada em valores financeiros. Nesse ponto há necessidade de grande participação dos gestores da área de negócio para definir o que separa um processo menos importante daquele mais importante.
5. Avaliamos os processos com base nessa régua e descobrimos os seus respectivos níveis de IMPACTO
6. Partimos em busca do nível de EXPOSIÇÃO desses processos, onde há uma forte participação do consultor de segurança em determinar se um controle de segurança está implementado ou não.
7. Paramos e montamos acampamento para digerir as experiências dessa trilha e tentar fazer previsões de como chegaríamos ao nível de EXPOSIÇÃO e consequentemente ao RISCO, que é a relação direta: IMPACTO x EXPOSIÇÃO.

Agora é hora de encarar o último trecho, como formatar um régua de avaliação para medir o nível de exposição de um processo de negócio? Há várias formas de se fazer isso, vamos aqui dar foco em um exemplo, o qual foi levemente falado na segunda etapa da trilogia e que agora vamos detalhar mais.

Os Controles da ISO 27001 são um bom começo para criação da régua, porém, podem ser complementados e até mesmo reduzidos. Humm, tá parecendo palestra sobre bolsa de valores heheh: “se cair 1% pode cair 5%, se subir 2%, pode chegar a 3%”. Calma !! Como já falei, vamos seguir em um exemplo concreto, utilize os controles da ISO e construa um questionário para ser respondido por você mesmo (consultor de segurança) após analisar os ativos de suporte daquela área.

Opa, algo novo: “ATIVO DE SUPORTE é o que faz, de fato, o ativo principal - processo de negócio - acontecer, ou seja, Hardware, Software, Rede, Recursos Humanos, Instalações Físicas e Estrutura Organizacional (maiores informações ISO 27005).

Você pode estar se perguntando: “será que terei que analisar cada processo de negócio?”. Normalmente não, pois, surge o que chamo de efeito cascata da análise. Perceba que normalmente um determinado setor de uma empresa conduz vários processos de negócio, ou seja, as pessoas, softwares, instalações etc analisadas são as mesmas, consequentemente, as melhorias no nível de exposição de cada processo de negócio tende a afetar o mesmo grupo de ativos de suporte. O resumo disso tudo é que, para uma primeira avaliação de SGSI, você poderá pegar apenas o processo de maior grau de IMPACTO e avaliá-lo sob o ponto de vista da EXPOSIÇÃO.

Por que????? Adoro perguntar o “porquê” das coisas e você? hehehe. Aí vai: O resultado final do trabalho não é mostrar problemas ao Gestor e sim mostrar o nível de risco existente e a proposta para se atingir um nível de risco adequado à importância daquele processo de negócio. A implementação dessas propostas de melhorias irão atingir não só o processo de negócio mais crítico daquela área, mas, todos os processos tratados por aquele grupo de ativos de suporte. Eis o efeito cascata.

Obs: Não devemos nos prender ao detalhe que falarei a seguir, mas, guarde isso como informação que poderá ser explorada mais na frente. Note que o nível de impacto (perda financeira) e valor do ativo tendem a ser iguais nesse contexto que adotamos, porém, há excessões quando um ativo (físico normalmente) pode não ser impactado 100% graças a ação de um controle. Exemplo, incêndio numa sala com 100 computadores, porém, 80 deles não sofreram danos graças a ativação do controle de incêndio e, dessa forma, o grupo de ativo Computadores não foi impactado 100% do seu valor.

Voltando ao nosso exemplo, chegamos ao momento de juntar todos os resultados num relatório gerencial. Não entrarei em muitos detalhes do que deve conter esse relatório, mas, tentarei mostrar exemplos das principais informações que devem estar nele.

• Descreva a área onde foi aplicada a avaliação, não esquecendo de identificar o responsável pela mesma.
• Descreva o Ativo Principal - processo de negócio mais relevante da área.
• Detalhe os Ativos de Suporte existentes no processo.

• Gere gráficos, tabelas etc para mostrar ao Gestor o Nível de Risco do seu processo conforme Impacto e Exposição obtidos nas avaliações. Veja um exemplo:

A imagem acima representa uma matriz 5×5 - Impacto x Exposição que consequentemene aponta o Nível de Risco do processo avaliado. Perceba que formamos 5 níveis de Risco contendo 5 componentes (ex. Risco Muito Alto possui os compontentes: 44, 45, 53, 54, 55), mas, essa distribuição é flexível e deve ser definida pela empresa. Detalhando um componente, por exemplo 45, obtemos a informação que o processo XYZ tem nível 4 de Impacto e 5 de Exposição, levando o processo para o patamar de Risco Muito Alto para a organização, que o deixa em primeiro nível de prioridade para implantação de melhorias nos controles de segurança.

• Podemos detalhar a informação em nível de Controles da ISO 27001 ou mesmo por Ativo de Suporte, exemplo:

Na figura acima, teríamos o seguinte detalhamento: dentro do processo XYZ, que tem Nível de Risco Muito Alto (45), a distribuição do nível de exposição por controle da ISO 27001 é: Gestão de Ativos = 5; Seg. Recursos Humanos = 5; Seg. Física e de Ambientes = 4; etc.

• Proponha um Plano de Ação para melhoria dos controles existentes no processo de negócio.

Terminamos por aqui a nossa última etapa da trilogia da família ISO 27000, espero que essas informações possam ajudar outros profissionais da área de segurança que estejam envolvidos nessa “luta” que é a implementação de um SGSI numa organização. Vimos pelo caminho percorrido que há vários detalhes a serem explorados, pois, faz parte do ciclo de vida do SGSI a própria melhoria do modelo que ficará mais maduro a medida que rodamos o ciclo PDCA. Para fecharmos, acredito que o “… ou não” do título já está respondido: Não Há Fim nessa trilha, pois, a linha final do processo de segurança e qualidade nas organizações é apenas o começo de um novo ciclo de trabalho.

Estenio Sobral, CISSP

Trilogia da Família ISO 27000: Fim da trilha … ou não! by Estenio Sobral is licensed under a Creative Commons Atribuição-Compartilhamento pela mesma Licença 2.5 Brasil License

Olá pessoal,

Continuando nossa trilogia …

Falando ainda um pouco da fase do Ódio pelo @$#$¨&*% SGSI (isso logo logo vai mudar para o Adorável SGSI, acredite!), algo que certamente alimenta essa fase da “raiva” é a falta de algo concreto para usar como trilho e isso você já deve ter percebido que não é objetivo das normas, ou seja, você tem trilhas e não trilhos, estando aí o principal desafio do profissional de segurança: “construir o trilho”, ou melhor, transformar a avaliação de segurança da informação em processo repetitível e abrangente de forma a fornecer aos gestores uma visão do nível de proteção dos seus ativos críticos, auxiliando-os na tomada de decisão sobre investimentos em segurança dentro da corporação.

Lembre-se: tenha sempre em mente que a linguagem dos gestores é feita de números, trabalhe com métricas !!

O início da transformação:

Confesso que a ISO 27005, agora já publicada oficialmente, foi onde obtive o primeiro “plim” de como começar a construir o “trilho”. Não sei se por ter sido a última a ser lida e com o acúmulo de informações das leituras prévias tudo se encaixou ou se realmente foi por conta da visão mais prática que ela traz, inclusive com muitos exemplos em seus anexos. Sem mais delongas, a partir daqui eu começo a falar de um exemplo de construção de um SGSI, apenas reforçando a informação de que não há trilho, há trilha para se contruir o trilho, devendo-se respeitar todas as variáveis existentes num ambiente corporativo. Lá vamos nós:

1 - Obtenha da organização os limites em que sua avaliação (escopo) será aplicada. Por exemplo, que área de negócio será avaliada?

2 - Levante o ativo principal (iso27005) da área avaliada. Digamos que pensando em processos de negócio, você teria o objetivo de catalogar todos os processos e realizar uma classificação sob o ponto de vista de perda financeira. E as perdas com problemas de imagem etc? Concordo, porém, guarde isso em seu “a fazer”. Comece com o que é tangível, depois parta para o intangível. Afinal de contas, temos que começar de algum ponto. Então, procure obter do processo de negócio informações sobre tempo de parada do processo no último ano ou período maior (calcule por exemplo: total de usuarios x valor da hora trabalho de cada um x total de horas paradas), multas decorrentes, média de vendas ou operações não realizadas etc. Em resumo, estabeleça uma régua de classificação dos processos de negócio baseada em valor de perda financeira. Uma vez feito isso, parabéns, você acaba de obter a classificação do IMPACTO daquele processo de negócio.

Obs: É importante lembrar que: se já existir qualquer forma de avaliação de impacto na empresa, por exemplo, um BIA (Business Impact Analysis) você deverá integrar à sua metodologia. Verifique apenas se foram consideradas as perdas sob o aspecto da confidencialidade, integridade e disponibilidade.

3 - O próximo passo é estabelecer a avaliação sob o ponto de vista da EXPOSIÇÃO, pois, o cálculo do RISCO é uma relação direta entre IMPACTO x EXPOSIÇÃO. Você encontrará muita literatura falando que a exposição é calculada a partir da relação entre vulnerabilidade x ameaça e não há nada incorreto sobre isso, porém, a parcela de subjetivismo existente para se estipular um nível de vulnerabilidade e de ameaça a um ativo é muito grande. Esse subjetivismo é uma grande barreira, principalmente, em organizações com baixo nível de cultura de segurança - o que em minha opinião é a realidade de 90% ou mais aqui no Brasil (não sei como está isso em outros países) - onde um gestor de processo crítico é capaz de responder a um questionário de risco buscando a meta de ter menos trabalho a fazer, menos controles a implementar etc. Então, qual seria uma boa estratégia ? Pode haver várias, eis aqui uma que costumo seguir: Impacto - o gestor é a pessoa mais capacitada quando se fala de valores financeiros envolvidos no processo. Apenas conduza/oriente-o dentro de uma régua de avaliação. Exposição - você, profissional da área de segurança, é o mais capacitado a avaliar controles de segurança que possuem relação inversa com a Exposição, ou seja, se você está começando do “zero” um trabalho de montar um SGSI, permita-se considerar para o processo de negócio avaliado, toda a lista de ameaças comuns (iso27005) como ponto de partida. Tendo isso como base, derivamos na visão de que, no mínimo, todos os controles de segurança da iso27001 deverão ser avaliados.

Percebeu que as “coisas” estão ficando mais claras? Bom, espero que sim !!! Agora é saber como avaliar os 133 controles da ISO e como arrumar todo o resultado obtido em forma de gráficos etc. Veremos isso no próximo post, onde, acreditem, o milagre da comunicação entre Técnicos e Gestores irá ocorrer !!!

Até lá …

Trilogia da Família ISO 27000: SGSI chegando … by Estenio Sobral is licensed under a Creative Commons Atribuição-Compartilhamento pela mesma Licença 2.5 Brasil License

Durante algunas semanas vengo implantando un plan de continuidad de negocio en una importante empresa. El proceso lo separé por fases de las cuales ya terminé la primera faltando dos fases por completar. Estas fases de ejecución se estructuran de la siguiente manera:

Fase 01:

1. Reunión con el Oficial de seguridad de información para discutir y definir el alcance del plan de continuidad de negocio.
2. Identificación de procesos core business y sus subprocesos que serán contenidos en el plan. Es importante que la empresa haya formalizado los procesos y procedimientos. Yo ahora me encuentro con que la empresa no tiene esto formalizado, hace las cosas que aprendió en el tiempo, corrigió los errores que se presentaron en el camino pero no tiene esto formalizado, grave error y alto riesgo.
3. Identificación de nivel de riesgo en activos de información del área donde se ejecuta el proceso.
4. Identificación del nivel de riesgo en el proceso y subproceso.
5. Análisis del personal en las áreas respectivas, aquí considero importante identificar si los empleados tienen claro sus roles y responsabilidades -formalización- conocen las sanciones por incumplimiento y además aunque pareciera algo sin importancia saber si conocen quién es jefe inmediato superior. En anteriores experiencias comprobé que el personal de las oficinas sucursales no tiene claro o supone quién es el jefe inmediato superior.
6. Análisis de impacto en el negocio. Aquí se obtiene los datos más importantes a considerar en el plan.

Fase 02:

1. Desarrollo de la estrategia en base a los resultados anteriormente obtenidos.
2. Desarrollar las actividades de respuesta ante emergencia.
3. Implantar: ejecutar las actividades, realizar simulaciones y comprobar como salen las cosas.

Fase 03:

1. Charlas de capacitación / entrenamiento al personal de las áreas donde se ejecuta el proceso para que sepan que se espera de ellos ante una crisis e informarles sobre como actuar, qué procesos se priorizan y cuál es el plan de ejecución.
2. Comunicación con externos: medios de comunicación, bomberos, centros de salud / emergencia.

El tema de recuperación ante desastre es otro tema que debe considerarse, aquí es importante identificar riesgo tecnológico, procesos TI, servicios críticos entre otros aspectos que permitan que ante una emergencia los servicios TI esenciales no dejen de operar o que se repongan en un tiempo aceptable para la empresa.

El trabajo es y será interesante, sobre todo en aquellos momentos en que la empresa no se pone de acuerdo en como ejecutar algunas actividades. Es un problema cuando existe informalidad y no se tiene definido cómo hacer las cosas y quién es responsable de qué, pero es parte del trabajo. Las cosas saldrán bién, así lo deseo.

Pessoal,

Quem já se meteu em projetos para estabelecer um SGSI (Sistema de Gestão da Segurança da Informação) deve ter vivido ou estar vivendo essa relação de amor e ódio. Ainda bem que o Ódio vem primeiro e depois transforma-se tudo em amor hehehe. Não quero de forma alguma ser polêmico nem tampouco ter voz de autoridade sobre o assunto, quero sim compartilhar alguma experiência que obtive nessa linha de trabalho em cima da família ISO 27000. Antes de mais nada, adianto que não vou entrar muito no mérito teórico e sim nos aspectos práticos de se trabalhar com esse assunto.

De onde se origina o Ódio:

Bem, esse sentimento ruim começar a brotar logo nos primeiros dias em que você começa a “googlear” sobre o assunto. Nossa !!! É tanta informação que você nem sabe por onde começar, após alguns minutos de digestão do conteúdo trazido pelo google, você percebe a necessidade de adquirir as normas e talvez realizar algum curso para organizar as idéias.

Dica: se você está percebendo um movimento dentro da empresa sobre esse assunto ou você mesmo pretende começá-lo, tente negociar logo curso, pois, depois que tudo começar, não haverá mais espaço para isso. Não se desespere, a realização de um curso serviria para organizar suas idéias, mas, não impedirá que você siga pela linha do auto-didatismo (bastante comum e até necessário para nossa área de trabalho :-O ). Pesquise - Leia - Pergunte - Pesquise - Leia - Pergunte - Pesquise - Leia - Pergunte.

Continuando a explicação de onde o ódio se origina … Agora você adquiriu as normas, ISO 27001, 27002, 27005 (draft) e agora? Qual serve para que? Rapidamente e sem nenhuma profundidade científica (apenas minha visão), 27001 - Guia de auditoria (SGSI contruído, auditor vai lá para certificar), 27002 - Detalhamento sobre controles (ao rodar o ciclo PDCA do SGSI você pode pontuar o nível de implementação do controle) opa, pontuar - medir - etc, palavras mágicas entendidas pelos gestores. Pratique isso !!! Por último, 27005 (draft) - Como construir o seu SGSI, exemplos etc.

Hummmm, uma luz no fim do túnel … vou correr para estudar só a 27005 … Não !!! Tem-se que estudar todas as 3 e ainda buscar apoio em outras para o maior detalhamento possível. De fato já há uma luz no fim do túnel e não é um trem … keep walking.

A essa altura já começamos a perceber que tudo vai girar em torno de algumas palavras mágicas: Ativo, Impacto, Ameaça. Porém, a impressão será de que essas #$%%#% palavras vão te levar a loucura, pois, vão encher mais ainda a sua cabeça de dúvidas. Que loucura, a sensação de que a luz do fim do túnel está se apagando é terrível. O que é um ativo? O escopo também é um ativo? Ativo tangível, intangível, principal e de suporte (what?), Impacto diminui com implementação de controles (a norma vai te falar que sim, mas, na minha visão há casos em que o impacto terá uma relação binária 0 ou 1) ? Como chegar em números para o impacto e a ameaça? Como fugir de tanto subjetivismo, há como diminuir? Probabilidade de algo sem histórico? hehehe Coisa de doido. É tão desafiador que me fez lembrar daqueles problemas de física que ninguém consegue responder e você tem uma linha de raciocínio que acredita ser possível chegar à solução. De repente você não consegue largar mais aquilo, você quer chegar ao final logo. Será que ódio já está se transformando? Ainda não !!! Haverá mais pedras pelo caminho. Adoro trilhas de aventura, sempre há belas recompensas no final - lindas paisagens, ar puro, belas cachoeiras etc.

No próximo capítulo da trilogia, começaremos a montar esse quebra-cabeça.

To be continued …

Trilogia da Família ISO 27000: Amor e Ódio by Estenio Sobral is licensed under a Creative Commons Atribuição-Compartilhamento pela mesma Licença 2.5 Brasil License.

I’ve recently had the chance to hear a talk by Ted Humphreys, who - as editor of BS 7799-1:1999 and ISO 17799:2000 - was one of the fathers of ISO 27001:2005 and ISO 27002:2005. He is also the founder and director of http://www.iso27001certificates.com, the international ISMS certificates register.

While the talk itself was not much news, at the end Humphreys spoke about updates to the standard. According to him, a review cycle is going to start this April for both ISO 27001:2005 and ISO 27002:2005 (you know, formerly ISO17799:2005). A revised standard can be expected for 2009.

In particular in 17799 they are looking to add new controls. Input is gathered from practically any national standardization body. So if you got ideas for new controls this is where to bring them. What in my opinion is a little bit of a pity is that they are currently not thinking of dropping any of the existing controls. Things like limitation of connection time just don’t work against modern threats any more, in my humble opinion.

The management system itself, ISO 27001, according to Humphreys is not going to be changed a lot. At the moment there are no plans for new requirements. They have had some input regarding ambiguous or unclear clauses. Interestingly, one thing they want to clarify is the requirement to measure the effectiveness of selected controls. I still did not get around writing the third part of my ISO 27001 - The Good and the Bad Series (see Part I and Part II), but the topic was going to be this exact clause of the standard. It’s great that they want to clarify it in the next revision.

So, to sum it up, while in ISO 27001:2009 there will be only minor adjustments, we can expect lots of new controls in ISO 27002:2009. I can’t wait for it!

Picture of Bragging Wall by Beth77