Normas da segurança da informação

    O SGSI (Sistema de Segurança da Informação) é o sistema usado pela empresa pra gerenciar a segurança da informação, com base nas normas. Mesmo as organizações já sabendo se virar, se elas tiverem dúvida de como se protegerem, as normas podem ajudar com padrões já estabelecidos, é a família de normas ISO/IEC 27000.

    A ISO é uma organização internacional de padronização. Ela cria normas e trabalha com outras entidades que criam normas, como a IEC (International Electrotechnical Commission, usada pra fazer normas relacionadas a eletricidade e energia). Suas normas internacionais criam padrões pra diversas áreas, incluindo o Sistema de Segurança da Informação, o SGSI.

    A ISO criou a família ISO/IEC 27000, que são normas especificamente pra segurança da informação, e essas normas servem de base pra implementar um SGSI e são a porta de entrada pra entender o resto da família. Ela explica os conceitos e termos das outras.

    A ISO 27001 e a ISO 27002 são as normas mais importantes hoje em dia pra proteger informação. Cada país tem seu órgão responsável por criar suas versões das normas, no Brasil, quem faz isso é a ABNT, que faz as NBRs (normas brasileiras).

    Quando vem no Brasil, as normas ganham um ABNT NBR antes do nome normal, mas pode ser chamada tanto de NBR como de ISO, só o nome muda, o conteúdo delas é o mesmo.

ABNT NBR ISO/IEC 27001:2013 ou ISO 27001

    Essa norma foi feita pra ajudar empresas a criar e manter um SGSI. Os donos e líderes da empresa que decidem se vão usar o SGSI ou não.

    Antes de montar o SGSI, a empresa tem que ver:

• O que ela precisa
• O que ela quer alcançar
• Que tipo de proteção precisa
• Como seus processos funcionam
• Tamanho e formato da empresa

    Depois, numa empresa, o SGSI tem que fazer parte dos processos todos da empresa e ser embutido desde o início de tudo criado ou planejado.

    A ISO 27001 tem como palavra chave "DEVE" ela tem requisitos. E fala o que a empresa DEVE fazer.

    CORREÇÃO: Abaixo, diz que a versão mais atual da ISO 27001 é a de 2013, mas em 2022 saiu uma mais recente ainda. Então o curso está desatualizado, mesmo assim, eu anotei tudo como se fosse a de 2013 pois é o que o curso ensina.

    A versão mais atual dela é a ISO 27001:2013. A versão de 2013 segue o padrão Anexo L, que organiza a forma que todas as normas são escritas. Com o Anexo L, a ISO 27001 tem a mesma estrutura de todas as outras normas ISO. Com a mesma estrutura de capítulos, textos, termos e definições. A estrutura principal normal é fixa, não pode mudar tem normalmente 10 tópicos. Mas vários subtópicos, explicações e informações extras existem.

1. Tabela padrão ISO, 10 normas principais
2. Não tem que ter 10 normas, mas é o padrão
3. Dentro das cláusulas, pode ter subclausulas

Todas as cláusulas explicadas resumidamente

1. ESCOPO: Define o que a norma cobre e a quem ela se aplica
2. REFERÊNCIA NORMATIVA: Indica quais outras normas ou documentos são importantes pra entender a norma. Referências do texto
3. TERMOS E DEFINIÇÕES: Explica os termos chaves usados na norma
4. CONTEXTO DA ORGANIZAÇÃO: Entende a organização e o que pode influenciar no SGSI
5. LIDERANÇA: Fala do papel dos líderes no SGSI
6. PLANEJAMENTO: Diz como planejar ações pra lidar com riscos
7. SUPORTE: Trata dos recursos pra implementar e manter o SGSI
8. OPERAÇÃO: Foca na execução prática
9. AVALIAÇÃO DE DESEMPENHO: Monitora e mede a eficácia do SGSI e corrige quando necessário
10. MELHORIA: Define como a organização deve buscar melhorar sempre o SGS.

ISO/IEC 27002

    A ISO 27002 apresenta práticas pra serem usadas na gestão da segurança da informação. A palavra chave dela é "CONVÉM", pois ela recomenda coisas. Todos seus conselhos são importantes e devem ser considerados, mas não DEVEM ser usados, só devem ser usados os que aplicarem a empresa.

    CORREÇÃO: De novo, em 2022 saiu uma mais recente ainda. Mesmo assim, eu anotei tudo como se fosse a de 2013 pois é o que o curso ensina.

    A versão mais atual da norma é a ISO 27002:2013. Seu número de seções é 14 e ela recomenda 114 tipos de controles de segurança.

    Cada seção dela mostra um objetivo de controle (o que queremos alcançar) e mais controles ainda que ajudam a chegarmos no objetivo principal. Cada controle da norma tem uma estrutura padronizada, que segue essa ordem:

1. CONTROLE: Diz o que deve ser feito pra atingir o objetivo de controle. Controle é qualquer coisa que ajude a reduzir riscos.
2. DIRETRIZES PRA IMPLEMENTAÇÃO: Faz um passo a passo e orienta como aplicar o controle a empresa. São apenas sugestões, não funcionam pra TODAS as empresas, a empresa vai ter que adaptar.
3. INFORMAÇÕES ADICIONAIS: Informações e dados extras que podem ajudar, tipo leis e outras normas. Se não tem informações adicionais, essa parte não aparece no controle.

A parte prática da norma normalmente começa na seção 5. As seções 1 a 4 normalmente são explicações gerais e introduções.

Aplicações das normas ISO/IEC 27001 e ISO/IEC 27002

    Acho que nessa parte vamos aprender como essas normas funcionam na PRÁTICA. Com exemplos na vida real, interessante, vamos ver.

Benefícios das normas

• Vai identificar e eliminar fraquezas
• A gerência vai participar da segurança de informação, fazendo a empresa ter mais consciência do SGSI
• Vai conseguir medir o sucesso de segurança direito
• O SGSI protege a tríade CID
• Com o SGSI as pessoas envolvidas vão confiar mais na empresa, pois tudo está bem cuidado nela

Estudo de caso

    AT&T processa falsos clientes por roubo de dados. Hackers invadiram as redes AT&T e conseguiram adquirir dados. Vários itens da norma poderiam ter sido utilizados pra evitar esse caso.

Olha esse item primário.

9: Controle de acesso.

Esse item tem vários sub-items, um deles é o:

9.4: Controle de acesso ao sistema e a informação. Previne o acesso não autorizado as redes.

Só esse sub-item já dá mais dicas ainda, sub-sub-items. Se a dica maior é controlar o acesso, as sub-dicas dão mais informações ainda como:

9.4.1: Restrição de acesso à informação.

9.4.2: Procedimentos seguros de entrada no sistema (log-on).

9.4.3: Sistema de gerenciamento de senha.

9.4.4: Uso de programas utilitários privilegiados.

9.4.5: Controle de acesso ao código-fonte de programas.

E cada um desses items tem mais informação ainda neles. Tudo explicado direitinho. E só nessa simples matéria já tem muito conteúdo de ajuda.

Certificados e Conclusão

    Sobre certificados, são documentos que provam que a empresa tá em conformidade com as normas ISO. Um termo que você pode achar junto desse são "sites", sites são locais onde as empresas prestam serviços, unidades físicas tipo fábricas e escritórios.

    Se na China, tem 7.199 certificados emitidos e 7.6712 sites. Pois os certificados cobrem todos os sites, ás vezes, uma empresa pode ter um único certificado cobrindo vários sites.

    Não consegui fazer as atividades direito, já sei que vou me ferrar nos exercícios todos. Não me importo muito com essas normas, não quero ter que lembrar disso tudo. Nem sei se vou realmente precisar tanto delas. Eu me viro depois. Vou tirar nota ruim nos testes provavelmente, mas não me importo tanto, é muita coisa.

    Claro, eu compreendo que é importante não só estudar ESSAS normas técnicas, mas as outras de outras áreas também, é importante de se aprender. É importante estar seguro no mundo tecnológico, mas eu já sou seguro o suficiente, e EU NÃO VOU DECORAR ISSO TUDO PRA RESPONDER UM QUESTIONÁRIO E UM SIMULADO PORQUE SÓ ESSA PARTE JÁ TÁ ME ESTRESSANDO.

    Tô estudando programação e ADS, mas também não sou um robô. Se eu tirar nota boa, ótimo, se eu tirar notas ruins, que pena, eu sei que me esforcei, estou feliz com isso e tenho que me parabenizar mais pelos meus esforços.