Cism2013 PT

2013
CISM
Reviso
Manual
2013
Page 2
ii
CISM manual comentrio 2013
ISACA. Todos os direitos reservados.
ISBN 978-1-60420-317-2
CISM
Manual de Reviso 2013

Impresso nos Estados Unidos da Amrica
CRISC uma marca da ISACA marca / servio. A marca tem sido pedida ou
registadas em pases em todo o mundo.
ISACA
Com mais de 100 mil eleitores em 180 pases, a ISACA (www.isaca.org)

uma provedora lder global de conhecimento,
garantia e segurana certificaes, comunidade, defesa e educao em
sistemas de informao (SI), a empresa
risco e conformidade de governana e gesto de TI e ITrelacionados. Fundada em 1969, a organizao sem fins lucrativos,
independente
ISACA organiza conferncias internacionais, publica o ISACA
Journal, e desenvolve internacional auditorias e controle

normas, que ajudam a garantir a confiana dos seus constituintes, e valor de,
sistemas de informao. Tambm avana e atesta
Habilidades de TI e conhecimentos atravs do Auditor Certified Information
Systems mundialmente respeitada
(CISA
), Certificado
Gerenciador de Informaes de Segurana
(CISM
), Certificado em Governana de TI empresarial
(CGEIT
) E Certificado em Risco
e Sistemas de Informao de Controle
TM
(CRISC
TM
designaes).
ISACA atualiza continuamente e expande a orientao e produto prtico
famlia baseada no COBIT
quadro.
COBIT ajuda os profissionais de TI e os lderes empresariais a cumprir suas
governana de TI e gesto de responsabilidades,
particularmente nas reas de segurana, segurana, risco e controle, e entregar
valor ao negcio.
Renncia
A ISACA desenvolveu e criou CISM
Manual de 2013 Comente principalmente como um recurso educacional para

ajudar as pessoas
preparando-se para o exame de certificao CISM. Foi produzido de forma
independente a partir do exame CISM e CISM
Comit de Certificao, que no teve responsabilidade pelo seu
contedo. Cpias de exames passados no so liberados para o pblico
e no foram colocados disposio da ISACA para a preparao desta
publicao. ISACA no faz representaes ou garantias
tudo no que diz respeito a estas ou outras publicaes da ISACA garantindo
passagem do exame CISM dos candidatos.
Reserva de Direitos
2012 ISACA. Todos os direitos reservados. Nenhuma parte desta
publicao pode ser usado, copiado, reproduzido, modificado, distribudo,
exibido, armazenada num sistema de recuperao ou transmitida de qualquer
forma por qualquer meio (eletrnico, mecnico, fotocpia,
gravao ou outro), sem a autorizao prvia por escrito da ISACA.
ISACA
3701 Algonquin Road, suite 1010
Rolling Meadows, Illinois 60008 EUA
Telefone: +1.847.253.1545
Fax: +1.847.253.1443
Email: info@isaca.org
Web site: www.isaca.org
Participe no Knowledge Center ISACA: Centro de conhecimento
www.isaca.org /
Siga ISACA no Twitter: https://twitter.com/ISACANews
Junte-se ISACA no LinkedIn: ISACA (oficial), http://linkd.in/ISACAOfficial

Como ISACA no Facebook: www.facebook.com / ISACAHQ
Pgina 3

iii
CISM reviso manual 2013
ISACA tem o prazer de oferecer a 2013 (11
) Edio do CISM
Manual de reviso. O objetivo deste manual fornecer CISM

candidatos com informaes e referncias tcnicas atualizadas para ajudar na
preparao e estudo para o Certified Information
Exame Security Manager.
A prtica do trabalho CISM pode ser visto em www.isaca.org /
cismjobpractice e no Guia do Candidato para o CISM
Exame e
Certificao. O exame baseia-se nas declaraes de conhecimento na
prtica do trabalho, que envolveu milhares de CISMs e
outros profissionais da indstria em todo o mundo, que serviram como
membros do comit, participantes dos grupos focais, especialistas no assunto e
os respondentes.
O CISM
Manual de reviso atualizada anualmente para manter o ritmo com as

rpidas mudanas na gesto, design, superviso e avaliao
de segurana da informao. Tal como acontece com os manuais anteriores, a
edio de 2013 o resultado de contribuies de muitas autoridades
qualificados que
generosamente ofereceu seu tempo e conhecimento. Ns respeitamos e
apreciamos as suas contribuies e esperam que seus esforos fornecer
extenso valor educativo para manuais CISM leitores.
Seus comentrios e sugestes sobre este manual so bem-vindos. Depois de
fazer o exame, por favor, tome um momento para completar a
questionrio on-line (www.isaca.org / studyaidsevaluation). Suas observaes
sero inestimveis para a preparao da edio 2014
do CISM
Manual de reviso.
Os exemplos de perguntas contidas neste manual destinam-se a descrever o
tipo de perguntas tipicamente encontrada no exame CISM e
proporcionar maior clareza ao contedo apresentado neste manual. O exame

CISM um exame baseado na prtica. Simplesmente lendo a referncia
contedo deste manual no preparar adequadamente os candidatos para o
exame. Os exemplos de perguntas so includas apenas para orientao.
Resultados de pontuao no indicam o sucesso futuro exame individual.
Certificao resultou em um impacto positivo em muitas carreiras. CISM
projetado para fornecer a gerncia executiva com segurana
que aqueles que ganham a designao tem o conhecimento necessrio e
capacidade de fornecer eficaz de gesto de segurana da informao e
consultoria. Embora o foco central da certificao CISM o gerenciamento de
segurana da informao, todos os profissionais da rea de TI com
experincia em segurana, certamente, encontrar o valor na designao
CISM. ISACA deseja-lhe sucesso com o exame CISM.
Pgina 4
iv
Agradecimentos
A edio de 2013 do CISM
Manual de reviso o resultado dos esforos coletivos de muitos

voluntrios. De membros da ISACA
em toda a profisso de gerenciamento de segurana da informao mundial
participaram, oferecendo generosamente o seu talento e competncia. Este
equipe internacional exibiu um esprito e desprendimento que se tornou a
marca registrada de contribuintes para este manual. A sua participao
e discernimento so verdadeiramente apreciado.
Um agradecimento especial para W. Krag Brotby, CISM, um consultor de
segurana snior da Los Angeles captulo, EUA, que atuou como tcnico
lder do projeto, contedo e editor.
Todos os membros da ISACA que participaram da reviso do CISM
Manual de reviso merecem os nossos agradecimentos e gratido.

Peritos Avaliadores
Shawna Flanders, CISA, CISM, CRISC, ACS, CSSGB, SSBB, PSCU-FS,
EUA
Sandeep Godbole, CISA, CISM, CGEIT, CISSP, Syntel, ndia
Robert T. Hanson, CISA, CISM, CRISC, Australia
Foster J. Henderson, CISM, CRISC, CISSP, NSA-IEM, Citizant, EUA
Veryl Branco, CISA, CISM, CRISC, WS Badcock Corporation, EUA
Larry G. Wlosinski, CISA, CISM, CRISC, CAP, CDP, CISSP, ITIL, Booz
Allen Hamilton, EUA
ISACA comeou a planear a edio 2014 do CISM

Manual de reviso. Participao voluntrio impulsiona o sucesso do
manual. Se
voc est interessado em se tornar um membro do seleto grupo de
profissionais envolvidos neste projeto global, queremos ouvir de voc.
Envie um email para studymaterials@isaca.org.
Page 5

1
Sobre este manual
.............................................................................................................................
............................... 11
Overview ............................................................................................................
................................................................................. 11
Organizao
deste Manual .....................................................................................................
....................................................... 11
Formato de
Este Manual .......................................................................................................
............................................................... 11
Sobre o CISM Questes de Reviso, respostas e explicaes
manual ........................................ ............................................. 12
Captulo 1:
Governana de Segurana da Informao
....................................................................................................................... 13
Seo I: Panorama
.............................................................................................................................
.............................. 14
1.1 Introduction .................................................................................................
.............................................................................. 14
Definition.............................................................................................................
....................................................................... 14
Objetivos .............................................................................................................
...................................................................... 14
1.2 Tarefa e do
Conhecimento Statements ................................................................................
............................................................. 14
Tarefas ................................................................................................................
........................................................................... 14
Demonstraes
Conhecimento .....................................................................................................
.......................................................... 14
Relao de Tarefas ao
Conhecimento Statements....................................................................................
...................................... 15
Declarao de Conhecimento
Referncia Guide.................................................................................................
.................................... 16
Recursos adicionais sugeridos
para Study............................................................................................................
.......................... 26
1.3 Autoavaliao Questions ...........................................................................................
............................................................. 27
Perguntas .............................................................................................................
....................................................................... 27
Respostas a autoavaliao Questions.............................................................................................
.......................................... 28
Seo Dois: Contedo
.............................................................................................................................
................................. 29
1.4 Governana da Segurana da
Informao Overview .......................................................................................
................................... 29
1.4.1 Importncia da Segurana da
Informao Governance.......................................................................................
....................... 29
1.4.2 Resultados da Segurana da
......................... 30
1.5 Efetivo de Segurana da
Informao Governance ...................................................................................
........................................ 30
1.5.1 Metas e objetivos de
negcios ..............................................................................................................
........................... 31
1.5.2 mbito e Carta de Segurana da
............ 31
1.5.3 Atribuies e Responsabilidades das
Senior Management.............................................................................................
.............. 32
Conselhos de Administrao / Gesto
Senior ..................................................................................................................
.... 32
Executivo Management.......................................................................................
........................................................... 33
Comit
Gestor ..................................................................................................................
..................................... 33
CISO....................................................................................................................
........................................................... 33
1.5.4 Funes de Segurana da Informao e
Responsabilidades ...............................................................................................
............. 34
Obteno de Compromisso de Gesto
Senior ............................................................................................................... 3
5
Estabelecimento de notificao e comunicao Canais
............................................. .................................................. 35.
1.5.5 Governana, Gesto de
Riscos Compliance..............................................................................................
................ 35
1.5.6 Modelo de Negcios para Segurana da
Informao ..........................................................................................................
............... 37
Interligaes
Dinmicas ...........................................................................................................
.................................. 38
1.5.7 Processo de Garantia de IntegraoConvergncia ......................................................................................................
............ 39
Convergence........................................................................................................
........................................................... 39
1.6 Conceitos de Segurana da Informao
e Technologies ...................................................................................................
.............. 40
1.7 Governana e de
terceiros Relationships .....................................................................................
...................................... 40
1.8 Governana da Segurana da
Informao Metrics ..........................................................................................
................................... 40
1.8.1 Efetivo Mtricas de
Segurana ............................................................................................................
..................................... 41
1.8.2 Governana
Implementao Metrics........................................................................................
......................................... 42
1.8.3 Alinhamento
Estratgico Metrics..............................................................................................
................................................ 43
1.8.4 Gesto de
Riscos Metrics......................................................................................................
........................................... 43
1.8.5 Valor Metrics
Entrega ................................................................................................................
...................................... 43
1.8.6 Gesto de Recursos
Mtricas ..............................................................................................................
........................... 43
1.8.7
Desempenho Measurement..................................................................................
.............................................................. 44
1.8.8 Processo de Garantia de
Integrao (Convergence)....................................................................................
............................... 44
ta b le de Co nts nte
Pgina 6
2
ndice analtico
1.9 Estratgia de Segurana da
......................................... 44
1.9.1 uma viso alternativa
de Strategy...........................................................................................................
................................ 45
1.10 Desenvolver uma Segurana da
Informao Strategy .........................................................................................
............................... 46
1.10.1
comum Pitfalls.....................................................................................................
......................................................... 46
Informao Objectives .....................................................................................
......................................... 47
1.11.1 A
Meta ....................................................................................................................
...................................................... 47
1.11.2
Definindo Objectives...........................................................................................
.............................................................. 48
Negcio Linkages................................................................................................
.......................................................... 48
1.11.3 O
desejado State......................................................................................................
....................................................... 49
COBIT.................................................................................................................
........................................................... 49
Capability Maturity
Model ..................................................................................................................
.......................... 50
Equilibrado Scorecard..........................................................................................
.............................................................. 50
Arquitetnico Approaches...................................................................................
............................................................ 50
ISO / IEC 27001
e 27002.................................................................................................................
............................ 51
Outro Approaches................................................................................................
........................................................... 52
1.11.4
Risco Objectives..................................................................................................
.............................................................. 52
1.12 Determinar estado atual
de Security .........................................................................................................
......................... 53
1.12.1
atual Risk.............................................................................................................
........................................................ 53
Business Impact Analysis /
Avaliao ............................................................................................................
.............. 53
Informao Development .................................................................................
......................................... 53
1.13.1 Elementos de uma
Estratgia ............................................................................................................
........................................ 54
Estrada Map.........................................................................................................
.............................................................. 54
1.13.2 estratgia de recursos e Constraints
Overview.............................................................................................................
54
Resources.............................................................................................................
.......................................................... 54
Restries ............................................................................................................
......................................................... 54
1.14
Estratgia Resources .........................................................................................
........................................................................... 55
1.14.1 Polticas e
Normas ................................................................................................................
..................................... 55
Policies.................................................................................................................
.......................................................... 55
Standards..............................................................................................................
.......................................................... 55
Procedures............................................................................................................
.......................................................... 55
Orientaes .........................................................................................................
............................................................. 55
1.14.2 Enterprise Information
Segurana Architecture(s)....................................................................................
......................... 55
Arquitetura corporativa Alternative
Frameworks ........................................................................................................
.. 57
1.14.3
Controles .............................................................................................................
.............................................................. 57
TI Controls...........................................................................................................
.......................................................... 58
NonIT Controls...........................................................................................................
.................................................. 58
Countermeasures..................................................................................................
.......................................................... 58
Layered Defenses.................................................................................................
.......................................................... 58
1.14.4
Technologies .......................................................................................................
............................................................. 58
1.14.5 Personnel...................................................................................................
....................................................................... 58
1.14.6
Organizacional Structure.....................................................................................
............................................................. 59
Abordagens centralizados e descentralizados para Coordenador de Segurana

da Informao .......................................... ............ 59
1.14.7 Funes de funcionrios
e Responsibilities.................................................................................................
............................. 60
1.14.8 Skills.........................................................................................................
....................................................................... 60
1.14.9 Sensibilizao e
Educao .............................................................................................................
................................... 60
1.14.10 Audits......................................................................................................
....................................................................... 61
1.14.11 Cumprimento
Enforcement ........................................................................................................
...................................... 61
1.14.12 Avaliao da
Ameaa ...............................................................................................................
.......................................... 61
1.14.13
Vulnerabilidade Assessment................................................................................
............................................................... 61
1.14.14 Avaliao de Risco
e Management......................................................................................................
.......................... 62
1.14.15 Insurance.................................................................................................
....................................................................... 62
1.14.16 Avaliao de Impacto no
Negcio ...............................................................................................................
.......................... 62
1.14.17 Resource
Dependency Analysis..........................................................................................
........................................... 62
1.14.18
Outsourced Services............................................................................................
.......................................................... 62
1.14.19 Outros Suporte Organizacional e Provedores de Garantia
......................................... .................................................. 62 ....
Pgina 7

3
ndice analtico
1.15
Estratgia Constraints ......................................................................................
........................................................................... 63
1.15.1 requisitos legais e
regulamentares ....................................................................................................
........................... 63
Requisitos para contedo e Reteno de Registros de Negcios
.......................................... .......................................... 63
Edescoberta ...........................................................................................................
......................................................... 63
1.15.2
Fsica ...................................................................................................................
........................................................ 63
1.15.3
tica ....................................................................................................................
.......................................................... 63
1.15.4
Cultura ................................................................................................................
........................................................... 63
1.15.5 Estrutura
Organizacional ....................................................................................................
............................................. 64
1.15.6
Custos ..................................................................................................................
............................................................. 64
1.15.7
Pessoal ................................................................................................................
........................................................ 64
1.15.8
Recursos ..............................................................................................................
......................................................... 64
1.15.9 Capabilities...............................................................................................
....................................................................... 64
1.15.10
Tempo .................................................................................................................
............................................................ 64
1.15.11 Aceitao de Riscos e
Tolerncia ...........................................................................................................
......................... 64
1.16 Plano de Ao para
Implementar Strategy .......................................................................................
................................................... 64
1.16.1 Gap Analysis-Base para uma

Ao Plan.............................................................................................................
............ 64
1.16.2
Poltica Development...........................................................................................
.............................................................. 65
1.16.3
Normas Development..........................................................................................
......................................................... 65
1.16.4 Treinamento
e Awareness.........................................................................................................
.......................................... 66
1.16.5 Plano de Aco
Metrics ................................................................................................................
......................................... 66
Objetivochave Indicators...................................................................................................
.................................................... 66
Fatores Crticos de
Sucesso ................................................................................................................
................................. 66
Key
Performance Indicators........................................................................................
................................................... 66
Mtricas
Gerais Considerations..........................................................................................
........................................... 67
1.17 Implementando a segurana Governance
Example .............................................................................................................
........ 67
1.17.1 Poltica
Adicionais Samples..............................................................................................
................................................. 69
1.18 Plano de Ao
Intermedirio Goals ..........................................................................................
.................................................... 69
1.19 Programa de Segurana da
........................................ 70
1.20
Caso Study .........................................................................................................
........................................................................ 70
Captulo 2:
Informao de Gesto de Risco e Compliance
.................................................. ............................... 73
Seo I: Panorama
.............................................................................................................................
.............................. 74
2.1 Introduction .................................................................................................
.............................................................................. 74
Definition.............................................................................................................
....................................................................... 74
Objetivos .............................................................................................................
...................................................................... 74
2.2 Tarefa e do
............................................................. 74
Tarefas ................................................................................................................
........................................................................... 74
Demonstraes
Conhecimento .....................................................................................................
.......................................................... 74
Relao de Tarefas ao
...................................... 75
Referncia Guide.................................................................................................
.................................... 76
para Study............................................................................................................
.......................... 85
............................................................. 85
Perguntas .............................................................................................................
....................................................................... 85
.......................................... 86
Seo Dois: Contedo
.............................................................................................................................
................................. 89
2.4 Gesto de
Riscos Overview ................................................................................................
.................................................... 89
2.4.1 A Importncia da Gesto de
Risco ...................................................................................................................
............ 90
2.4.2 Resultados de
Risco Management..............................................................................................
........................................... 90
2.5 Gesto de
Riscos Strategy ..................................................................................................
.................................................... 90
2.5.1 Comunicao de Risco, a conscincia do risco
e Consulting..................................................................................................... 9
1
Page 8
4
ndice analtico
2.6 Risco eficaz Segurana da
Informao Management .................................................................................
............................... 91
2.6.1 O desenvolvimento de uma Gesto de
Riscos Program....................................................................................................
..................... 91
Estabelecer Contexto e
Objetivo ..............................................................................................................
....................... 91
Definir o escopo
e Charter...............................................................................................................
............................... 91
Identificao, classificao e
propriedade ..................................................................................................... 9
2
Determinar Objectives.........................................................................................
............................................................ 92
Determinar Methodologies..................................................................................
............................................................ 92
Programa de Desenvolvimento
Designar Team.....................................................................................................
.................... 92
2.6.2 Papis
............................................... 92
Chave Roles.........................................................................................................
.............................................................. 92
Gesto de Riscos 2.7 Segurana da

Informao Concepts ........................................................................................
....................... 93
2.7.1
Conceitos ............................................................................................................
................................................................ 93
2.7.2
Tecnologias .........................................................................................................
............................................................. 93
2.8 Implementao de
Risco Management ............................................................................................
............................................... 94
2.8.1 Gesto de
Riscos Process......................................................................................................
........................................... 94
2.8.2 Definio de um Gerenciamento de
Riscos Framework...............................................................................................
.......................... 94
2.8.3 Definindo o
externo Environment............................................................................................
....................................... 96
2.8.4 Definindo o
interno Environment............................................................................................
........................................ 96
2.8.5 Determinao do Contexto de Gerenciamento de
Riscos ..................................................................................................................
... 96
2.8.6 Anlise de
Gap ......................................................................................................................
............................................... 97
2.8.7 Outros Suporte
Organizacional ....................................................................................................
....................................... 97
2.9 Avaliao e Anlise de
Risco Methodologies .........................................................................................
............................... 97
2.10
Risco Assessment ...............................................................................................
......................................................................... 97
NIST Methodology..............................................................................................
................................ 98
2.10.2 agregado e
Cascading Risk....................................................................................................
.................................. 99
2.10.3 Outras abordagens de avaliao de

risco .....................................................................................................................
......... 100
Fator de Anlise das
Informaes Risk.................................................................................................
........................... 101
Anlise de Fatores de
Risco ...................................................................................................................
................................. 101
Avaliao probabilstica do
risco .....................................................................................................................
................ 101
2.10.4
Identificao Risk................................................................................................
..................................................... 102
2.10.5
Ameaas ..............................................................................................................
............................................................. 103
2.10.6 Vulnerabilities...........................................................................................
..................................................................... 103
2.10.7 Risk...........................................................................................................
..................................................................... 104
2.10.8 Anlise de
importantes Risk..................................................................................................
............................................ 105
Anlise
Qualitativa ...........................................................................................................
.......................................... 106
Anlise
semiquantitativa ..................................................................................................
......................................... 106
Exemplo de uma anlise semiquantitativa ..........................................................................................................
........... 107
Anlise
Quantitativa .........................................................................................................
.......................................... 107
Perda
anual Expectancy.................................................................................................
............................................. 108
Value
at Risk..................................................................................................................
.............................................. 108
2.10.9 Avaliao de
Risco ...................................................................................................................
...................................... 108
2.10.10 tratamento de
riscos Options......................................................................................................
......................................... 108
Termine
a Activity..............................................................................................................
.................................... 109
Transferir
o Risk...................................................................................................................
....................................... 109
Mitigar
o Risk...................................................................................................................
....................................... 109
Tolerar / aceite
a Risk...................................................................................................................
........................... 109
Aceitao de
Riscos Framework...............................................................................................
......................................... 109
2.10.11 Impact.....................................................................................................
..................................................................... 109
regulamentares ....................................................................................................
....................... 110
2.10.13
Residual Risk.......................................................................................................
........................................................ 110
2.10.14 Custos
e Benefits.............................................................................................................
.......................................... 110
2.10.15 Reavaliao Risco de eventos que afetam linhas de base de segurana
........................................ ................................................ 111
2.11 Informaes de
Recursos Valuation ...........................................................................................
................................................ 111
2.11.1 Informaes de Recursos Estratgias de
Avaliao ............................................................................................................
....... 112
2.11.2 Informaes de Recursos
Avaliao Methodologies....................................................................................
....................... 112
2.11.3 Informaes sobre

Recursos Classification........................................................................................
........................................... 113
Mtodos de determinao de Criticidade de Recursos eo impacto dos eventos
adversos ....................................... ................. 113
2.11.4 Avaliao de Impacto
e Analysis.............................................................................................................
...................... 115
Page 9

5
ndice analtico
2.12 Tempo de
recuperao Objectives ....................................................................................
................................................................... 117
2.12.1 RTO e sua Relao com Continuidade de Negcios Planejamento e
Planos de Contingncia objetivos e processos ............ 117
2.12.2 ponto de
recuperao Objectives........................................................................................
..................................................... 117
2.12.3 Servio Objetivos de
entrega .................................................................................................................
......................... 118
2.12.4 Fornecedores de Servios de
Terceiros .............................................................................................................
......................... 118
2.13 Integrao com Ciclo de
Vida Processes ...................................................................................................
................................ 119
2.13.1 Gesto de Risco de TI ....................................... Desenvolvimento do
Ciclo de Vida do Sistema .................................................. . 120
Princpios e Prticas de Gesto de Risco baseada no ciclo de vida 2.13.2
...................................... ............................................... 120
2.14 Controle de
Segurana Baselines ..........................................................................................
.......................................................... 120
2.15 Monitoramento de Risco
e Communication ..............................................................................................
.................................. 122
2.15.1 Monitoramento de
Risco ...................................................................................................................
......................................... 122
2.15.2 Alteraes Relatrios significativa no

risco .....................................................................................................................
... 123
2.16 Treinamento
e Awareness .......................................................................................................
................................................... 123
2.17 Documentation ..........................................................................................
............................................................................. 123
Captulo 3:
Desenvolvimento do Programa de Segurana da Informao e Gesto
.......................................... 125
Seo I: Panorama
.............................................................................................................................
............................ 126
3.1 Introduction .................................................................................................
............................................................................ 126
Definition.............................................................................................................
..................................................................... 126
Objetivos .............................................................................................................
.................................................................... 126
3.2 Tarefa e do
........................................................... 126
Tarefas ................................................................................................................
......................................................................... 126
Demonstraes
Conhecimento .....................................................................................................
........................................................ 126
Relao de Tarefas ao
.................................... 127
Referncia Guide.................................................................................................
.................................. 128
para Study............................................................................................................
........................ 138
........................................................... 138
Perguntas .............................................................................................................
..................................................................... 138
........................................ 140
Seo Dois: Contedo

.............................................................................................................................
............................... 141
Gesto 3.4 Programa de Segurana da
............... 141
Gesto de Segurana da
Informao Trends...............................................................................................
................... 141
Elementos Essenciais de um Programa de Segurana da Informao
........................................... ................................................. 141
3.4.1 Importncia do Programa de Segurana da
Informao ..........................................................................................................
. 142
3.4.2 Resultados do Programa de Segurana da
Informao Management.....................................................................................
......... 142
Alinhamento
Estratgico ..........................................................................................................
........................................... 143
Gesto de
Riscos ..................................................................................................................
...................................... 143
Valor Delivery.....................................................................................................
......................................................... 143
Recurso Management..........................................................................................
....................................................... 144
Processo de
garantia Integration..............................................................................................
....................................... 144
Medio de
Desempenho ........................................................................................................
.................................. 144
...................................... 144
3.5.1
.............................................................. 145
Informao Concepts ........................................................................................
..................................... 145
3.6.1
Conceitos ............................................................................................................
.............................................................. 145
3.6.2 Recursos
Tecnolgicos .......................................................................................................
.............................................. 146
3.7 mbito e Carta de Segurana da
Informao Program ........................................................................................
........... 146
3.8 A Gesto da Segurana da
Informao Framework ...................................................................................
........................ 148
3.8.1 COBIT
5 ..........................................................................................................................
................................................ 148
COBIT 5 for
Information Security ...........................................................................................
.................................... 149
3.8.2 ISO / IEC
27001 ..................................................................................................................
.............................................. 149
3.9 Informaes
Framework Components ..................................................................................
.................................... 150
3.9.1
Operacional Components.....................................................................................
............................................................ 150
3.9.2
Gesto Components.............................................................................................
.................................................. 150
3.9.3 Componentes
administrativos ....................................................................................................
........................................ 151
3.9.4 educativo e
informativo Components.....................................................................................
.............................. 151
Page 10
6
ndice analtico
3.10 A definio de um Programa Estrada Segurana da
Informao Map ...............................................................................................
....... 152
3.10.1 Elementos de uma

estrada Map..........................................................................................................
...................................... 152
3.10.2 O desenvolvimento de um Programa de Segurana da Informao
Roteiro ........................................ .................................................. 152 ...
3.10.3 Gap Analysis-Base para uma
Ao Plan.............................................................................................................
.......... 152
3.11 Infra-estrutura de Segurana da Informao
e Architecture ....................................................................................................
... 153
3.11.1 Enterprise Information Architecture
Segurana ............................................................................................................
... 153
3.11.2 Objetivos da Segurana da
Informao Architectures.....................................................................................
.................... 154
Fornecer um quadro e
Estrada Map.........................................................................................................
.............. 154
Simplicidade e clareza Atravs camadas e modularizao
........................................... ........................................ 155
Business Focus alm do domnio
tcnico ........................................................................................................... 15
5
Arquitetura e Controle
Objetivos .............................................................................................................
.............. 155
3.12
Arquitetura Implementation ...........................................................................
....................................................................... 155
Sabsa Quadro de Servio de
Segurana Management.......................................................................................
....... 156
3.13 Segurana Programa de Gesto e
Administrativa Activities .................................................................................
........... 156
Programa Administration.....................................................................................
.......................................................... 158
3.13.1 Pessoal, papis e responsabilidades, e
Habilidades .........................................................................................................
158
Roles....................................................................................................................
......................................................... 159
Skills....................................................................................................................
......................................................... 159
Cultura ................................................................................................................
......................................................... 159
3.13.2 Security Awareness, Formao
e Education..........................................................................................................
....... 159
3.13.3 Documentation..........................................................................................
..................................................................... 160
Manuteno de
Documentos ........................................................................................................
....................................... 161
3.13.4 Programa de Desenvolvimento e
Projeto Management............................................................................................
.............. 161
3.13.5
............................................................ 162
Gesto de
Riscos Responsibilities........................................................................................
...................................... 162
3.13.6 Caso de Desenvolvimento de
Negcios .............................................................................................................
............................ 162
Business
Case Evaluation...................................................................................................
......................................... 162
Objetivos de caso de
negcio ................................................................................................................
............................ 162
3.13.7
Programa Budgeting............................................................................................
............................................................ 163
Elementos de um Oramento-Programa de Segurana da Informao
........................................... .................................................. 163 ..
3.13.8 Regras Gerais de Uso / Poltica de Utilizao
Aceitvel .............................................................................................................
.. 163
Gesto 3.13.9 Informaes problema de
segurana Practices..............................................................................................
.... 163
3.13.10
Vendedor Management........................................................................................
............................................................ 164
3.13.11 Avaliao da Gesto de

Programas ...........................................................................................................
.................... 164
Programa Objectives............................................................................................
.......................................................... 164
Observncia Requirements..................................................................................
......................................................... 164
Programa Management........................................................................................
.......................................................... 164
Operaes de
......................................... 165
Tcnico de
........................................... 165
Recurso Levels.....................................................................................................
...................................................... 165
3.13.12 Plan-Do-CheckAct .......................................................................................................................
.............................. 166
regulamentares ....................................................................................................
....................... 166
3.13.14 Fsica e Meio
Ambiente Factors.................................................................................................
........................... 166
3.13.15
tica ....................................................................................................................
....................................................... 168
3.13.16 Cultura e
Regional Variances..............................................................................................
..................................... 168
3.13.17 Logistics..................................................................................................
..................................................................... 168
3.14 Servios de Segurana Programa Operacional
e Activities .........................................................................................................
168
3.14.1 Informaes de Segurana de
Ligao Responsibilities......................................................................................
........................ 168
Fsica /
Corporate Security...............................................................................................
.......................................... 168
TI Audit................................................................................................................
........................................................ 168
Tecnologia da
Informao Unit...................................................................................................
.................................... 168
Gestores de Unidade de
Negcios .............................................................................................................
................................. 169
Recursos
Humanos .............................................................................................................
........................................... 169
Legal Department................................................................................................
......................................................... 169
Employees............................................................................................................
........................................................ 169
Procurement.........................................................................................................
........................................................ 169
Observncia ........................................................................................................
.......................................................... 170
Privacy.................................................................................................................
......................................................... 170
Training................................................................................................................
........................................................ 170
Qualidade Assurance...........................................................................................
............................................................. 170
Pgina 11

7
ndice analtico
Insurance..............................................................................................................
........................................................ 170
Terceiros Management.........................................................................................
.................................................... 170
Project Management
Office ..................................................................................................................
...................... 170
3.14.2 Responsabilidades Crossorganizacionais ...................................................................................................
....................... 170
3.14.3
Incident Response................................................................................................
.......................................................... 172
3.14.4 Comentrios de segurana

e Audits................................................................................................................
......................... 172
Audits...................................................................................................................
........................................................ 172
Auditors...............................................................................................................
......................................................... 173
3.14.5 Gesto de Tecnologia de
Segurana ............................................................................................................
................ 174
Tecnologia
Competncias ......................................................................................................
..................................... 174
3.14.6
Devido Diligence.................................................................................................
............................................................... 174
Gesto e Controle do acesso aos recursos de informao
........................................... .......................................... 175
Fontes de relatrio
Vulnerabilidade ...................................................................................................
.............................. 175
Monitoramento 3.14.7 cumprimento e
execuo ..............................................................................................................
..... 175
Poltica Compliance.............................................................................................
.......................................................... 175
Conformidade com as
Normas ................................................................................................................
................................. 176
Resoluo de
Descumprimento Issues.......................................................................................
.................................... 176
Observncia Enforcement....................................................................................
......................................................... 176
e Impact................................................................................................................
..................... 176
Vulnerabilidade Assessment................................................................................
............................................................. 176
Avaliao da
Ameaa ...............................................................................................................
........................................ 176
De risco e avaliao de impacto nos
negcios ..............................................................................................................
......... 177
Avaliao Dependncia de
recursos ...............................................................................................................
.............. 177
3.14.9 Outsourcing e
Servios Providers...............................................................................................
................................. 177
Terceirizao de
Contratos .............................................................................................................
.................................... 178
Terceiros Access..................................................................................................
..................................................... 179
3.14.10 Cloud
Computing ..........................................................................................................
.............................................. 179
Advantages...........................................................................................................
........................................................ 180
Consideraes sobre
segurana ............................................................................................................
.................................. 180
3.14.11 Integrao com Processos de
TI .........................................................................................................................
............ 180
Integration............................................................................................................
........................................................ 180
Ciclo de vida do
sistema Processes.................................................................................................
...................................... 180
Gesto da
Mudana ..............................................................................................................
..................................... 180
Configurao Management..................................................................................
....................................................... 182
Gerenciamento de
Liberao ............................................................................................................
....................................... 182
3.15 Controles
e Countermeasures ...........................................................................................
................................................... 182
3.15.1
Controle Categories.............................................................................................
............................................................ 183
3.15.2 Control
Design Considerations.........................................................................................
............................................. 183
Controles como Estratgia de

Implementao Resources...................................................................................
...................... 184
3.15.3 Controle de
Fora ...................................................................................................................
......................................... 185
3.15.4
Controle Methods................................................................................................
............................................................ 185
3.15.5 Recomendaes de
Controle ..............................................................................................................
.............................. 185
3.15.6
Contramedidas ....................................................................................................
....................................................... 186
3.15.7 Controles Fsicas e
Ambientais ..........................................................................................................
................. 186
3.15.8 Tecnologia de Controle
Categorias ...........................................................................................................
.......................... 187
Control Technologies
Native ..................................................................................................................
..................... 187
Control Technologies
Suplementar ........................................................................................................
.................... 187
Apoio
Gesto Technologies............................................................................................
................................. 187
3.15.9 Componentes e Controle
Tcnico Architecture............................................................................................
.............. 187
Anlise dos
Controles .............................................................................................................
....................................... 187
3.15.10 Testes de Controle e
Modificao ........................................................................................................
....................... 188
3.15.11
Base Controls.......................................................................................................
.................................................. 188
3.16 Segurana Metrics Programa
e Monitoring ......................................................................................................
..................... 189
3.16.1
Metrics Development...........................................................................................
.......................................................... 190
Estratgico ..........................................................................................................
............................................................. 190
Management.........................................................................................................
........................................................ 190
Operational...........................................................................................................
........................................................ 190
3.16.2
Monitoramento Approaches................................................................................
................................................................. 191
Monitoramento das atividades de segurana em infra-estrutura e aplicaes de
negcios .......................................... .................... 191
Determinar o sucesso de Segurana da Informao Investimentos
............................................ ............................................ 192
Page 12
8
ndice analtico
3.16.3 Medio Informaes Desempenho de Gesto de Segurana
.......................................... .............................................. 192
3.16.4 Medio de Informao de Risco de Segurana
e Loss............................................................................................................ 192
3.16.5 Medio apoio aos objetivos
organizacionais ...................................................................................................
...... 193
3.16.6
Medio Compliance...........................................................................................
....................................................... 193
3.16.7 Medio
Operacional Productivity.....................................................................................
......................................... 193
3.16.8 Medio Segurana Costeffectiveness.........................................................................................................
................. 194
3.16.9 Medio
Organizacional Awareness...................................................................................
......................................... 194
3.16.10 Analisando a eficcia de Tcnico de Segurana Arquitetura
......................................... ............................................. 194
3.16.11 Eficcia do quadro e Gesto de Recursos de medio

........................................ ................................ 195
3.16.12 Medio
Operacional Performance.....................................................................................
...................................... 195
3.16.13 Monitoramento e
Comunicao ......................................................................................................
.......................... 195
3.17 Common Information Security
Program Challenges .........................................................................................
.................. 196
Gesto Support.....................................................................................................
.............................................. 198
Financiamento .....................................................................................................
................................................................... 197
Staffing.................................................................................................................
........................................................ 197
Captulo 4:
Gesto de Incidentes de Segurana da Informao
.................................................. ........................................ 199
Seo I: Panorama
.............................................................................................................................
............................ 200
4.1 Introduction .................................................................................................
............................................................................ 200
Definition.............................................................................................................
..................................................................... 200
Objetivos .............................................................................................................
.................................................................... 200
4.2 Tarefa e do
........................................................... 200
Tarefas ................................................................................................................
......................................................................... 200
Demonstraes
Conhecimento .....................................................................................................
........................................................ 200
Relao de Tarefas ao
.................................... 201
Referncia Guide.................................................................................................
.................................. 202

para Study............................................................................................................
........................ 208
........................................................... 208
Perguntas .............................................................................................................
..................................................................... 208
........................................ 209
Seo Dois: Contedo
.............................................................................................................................
............................... 211
4.4 Gerenciamento de
Incidentes Overview .........................................................................................
................................................... 211
4.5 Resposta a
Incidentes Procedures .......................................................................................
........................................................ 212
4.5.1 Importncia do
Incidente Management.........................................................................................
...................................... 212
4.5.2 Os resultados de
Incidentes Management.......................................................................................
.......................................... 212
4.5.3 Gerenciamento de
Incidentes ............................................................................................................
.......................................... 212
4.5.4
Conceitos ............................................................................................................
.............................................................. 212
4.5.5 Gerenciamento de
Incidentes Systems...............................................................................................
......................................... 213
Incidentes Organization ...................................................................................
.................................................. 213
4.6.1 Responsibilities...........................................................................................
..................................................................... 214
4.6.2 Gesto
Senior Commitment.............................................................................................
...................................... 214
Incidentes Resources .........................................................................................
................................................. 214
4.7.1 Polticas e
Normas ................................................................................................................
..................................... 214
4.7.2 Tecnologia de Resposta a
Incidentes Concepts.............................................................................................
............................ 214
4.7.3 Personnel.....................................................................................................
..................................................................... 215
Equipe de Resposta a
Incidentes Organization.......................................................................................
.................................. 215
4.7.4 Funes
.............................................. 216
4.7.5 Skills...........................................................................................................
..................................................................... 217
4.7.6 Conscientizao e
Educao .............................................................................................................
................................... 217
4.7.7 Audits..........................................................................................................
..................................................................... 217
4.7.8 fornecedores terceirizados de
segurana ............................................................................................................
............................ 218
Incidentes Objectives ........................................................................................
.................................................. 218
4.8.1
.............................................................. 218
4.8.2 O
desejado State......................................................................................................
....................................................... 218
4.8.3 Alinhamento
Estratgico ..........................................................................................................
............................................... 218
4.8.4
.............................................................. 218
Pgina 13

9
ndice analtico
4.8.5 Garantia de
Processo Integration.............................................................................................
............................................ 219
4.8.6 Valor de
entrega .................................................................................................................
................................................ 219
4.8.7
Recursos Management.........................................................................................
............................................................ 219
4.9 Gerenciamento de Incidentes e
Mtricas Indicators ...........................................................................................
.......................... 219
4.9.1
Desempenho Measurement..................................................................................
............................................................ 219
Gesto 4.10 Definindo
Incident Procedures ..........................................................................................
............................... 219
4.10.1 Plano de Pormenor de Ao para
Incidentes Management.......................................................................................
................. 219
4.11 Estado Atual de Resposta a
Incidentes Capability ........................................................................................
........................... 220
4.11.1 Histria
da Incidents..........................................................................................................
............................................. 221
4.11.2
Ameaas ..............................................................................................................
............................................................. 221
4.11.3 Vulnerabilities...........................................................................................
..................................................................... 221
4.12 Desenvolver uma resposta ao
incidente Plan ....................................................................................................
............................. 221
Elementos de uma resposta a
incidentes Plan.....................................................................................................
.................. 221
4.12.1 Gap Analysis-Bases para um Plano de Resposta a Incidentes
...................................... .................................................. ............ 222
4.12.2 Avaliao de Impacto no

Negcio ...............................................................................................................
.......................... 222
Benefcios da Realizao de um Impacto no
Negcio Analysis.................................................................................................
.. 223
4.12.3 Processo de escalonamento para uma eficaz Gesto de Incidentes
......................................... .................................................. ..... 223
4.12.4 Help Desk Processos para Identificao de Incidentes de Segurana
........................................ .................................................. ..... 224
4.12.5 Gerenciamento de Incidentes e
Resposta Teams...................................................................................................
............... 224
4.12.6 Organizadora, treinar e equipar a resposta do pessoal
....................................... .................................................. ...... 225
4.12.7 Processo de Notificao de
Incidentes ............................................................................................................
............................ 225
4.12.8 desafios no desenvolvimento de um Plano de Gerenciamento de
Incidentes ........................................ .................................................. 225 ...
4.13 Continuidade de Negcios e Recuperao de
Desastres Procedures ........................................................................................
............. 225
4.13.1 Planejamento recuperao e recuperao de processos de negcio
......................................... .................................................. ...... 226
4.13.2
Recuperao Operations......................................................................................
................................................................ 226
4.13.3 Estratgias de
recuperao .........................................................................................................
.............................................. 226
4.13.4 Ameaas
Endereamento ....................................................................................................
.................................................... 227
4.13.5 Sites
Recuperao ........................................................................................................
....................................................... 227
4.13.6 Base para a Recuperao do
Site Selections......................................................................................................
.......................... 228
4.13.7
Recproca Agreements.........................................................................................
......................................................... 228
4.13.8
Estratgia Implementation...................................................................................
............................................................. 229
4.13.9 Plano de
Recuperao Elements.........................................................................................
....................................................... 229
4.13.10 A integrao de objetivos de recuperao e anlise de impacto Com
Incident Response ...................................... ................... 229
Aceitao de Riscos e
Tolerncia ...........................................................................................................
........................ 229
Business Impact
Analysis ..............................................................................................................
.............................. 229
Objetivos de Tempo de
Recuperao ........................................................................................................
................................... 230
Ponto de
recuperao Objectives........................................................................................
................................................... 230
Prestao de
Servios Objectives..............................................................................................
........................................... 230
Mxima tolervel de
Interrupo ..........................................................................................................
.............................. 230
4.13.11 requisitos de
notificao ...........................................................................................................
............................... 230
4.13.12
Suprimentos ........................................................................................................
............................................................... 230
4.13.13
Comunicao Networks.......................................................................................
.................................................... 230
4.13.14 Os mtodos para fornecer a continuidade da
Rede Services............................................................................................. 231
4.13.15 alta
disponibilidade Considerations............................................................................
..................................................... 231
4.13.16 Insurance.................................................................................................
..................................................................... 232
4.13.17 Recuperao de
Atualizao Plans.................................................................................................
............................................ 232
4.14 Teste de Resposta a Incidentes e Continuidade de Negcios / planos

de recuperao de desastres ....................................... .......................... 232
4.14.1 peridica Teste da Resposta e
Recuperao Plans...............................................................................................
.... 233
4.14.2 Teste de Infra-estrutura e aplicaes crticas de negcios
........................................ ............................................... 233
Tipos de
4.14.3 Tests..........................................................................................................
....................................................... 233
4.14.4
Teste Results........................................................................................................
............................................................ 234
4.14.5 Recuperao de
Teste Metrics........................................................................................................
............................................ 234
4.15 Execuo de resposta e
recuperao Plans .............................................................................................
................................ 235
4.15.1 Execuo Garantir
como Required.....................................................................................................
............................... 235
4.16 Postincident Atividades
e Investigation ...................................................................................................
........................... 236
4.16.1 Causas Identificar e aes
corretivas .............................................................................................................
...... 236
4.16.2
Documentao Events..........................................................................................
............................................................ 236
4.16.3
Estabelecimento Procedures................................................................................
................................................................. 236
4.16.4 Requisitos
para Evidence.......................................................................................................
..................................... 236
4.16.5 Aspectos Jurdicos da
Forensic Evidence................................................................................................
.............................. 237
Pgina 14
10

ndice analtico
Informao geral
.............................................................................................................................
.......................... 239
Requisitos para
Certificao .........................................................................................................
....................................... 239
Descrio
da Exam...............................................................................................................
............................................ 239
As inscries para o
CISM Exam.........................................................................................................
..................................... 239
Administrao
do Exam...............................................................................................................
....................................... 239
Sentar-se por
o Exam.................................................................................................................
................................................. 239
Oramento Time..................................................................................................
....................................................................... 240
Regras
e Procedures.........................................................................................................
....................................................... 240
Classificando o exame CISM e receber os
resultados ............................................................................................................
......... 240
glossrio
.............................................................................................................................
........................................................ 241
Siglas
.............................................................................................................................
..................................................... 254
ndice
.............................................................................................................................
................................................................ 257
Prepare-se para o Exame 2013 CISM
.................................................................................................................... 260
Page 15

11
Viso global
O CISM
Manual de Reviso 2013 um guia de referncia projetado

para auxiliar os candidatos na preparao para o exame CISM.
O manual uma fonte de preparao para o exame, mas
no deve ser considerado como a nica fonte nem visto
como uma coleo completa de todas as informaes e
experincia que so obrigados a passar no exame. No existe um nico
publicao oferece essa cobertura e detalhe.
Como candidatos ler o manual e encontrar tpicos
que novo para eles ou aqueles em que eles se sentem os seus conhecimentos
e experincia so limitados, referncias adicionais devem ser
procurado. O exame ser composto de teste perguntas
conhecimento tcnico e prtico do candidato, ea capacidade de
aplicar o conhecimento (baseado na experincia) em determinadas situaes.
Organizao deste manual
O CISM
Manual de reviso de 2013 est dividido em quatro captulos

abrangendo os domnios do CISM testadas no exame das percentagens
listados abaixo:
Governana Domnio 1 Segurana da Informao
24 por cento
Domnio 2 Informao de Gesto e Risco
Observncia
33 por cento
Programa domnio 3 Segurana da Informao
Desenvolvimento e Gesto
25 por cento
Domnio 4 Information Security Incident
Gesto
18 por cento
Nota: Cada captulo define as tarefas que os candidatos so do CISM
Espera-se que sabe como fazer e inclui uma srie de conhecimentos
declaraes necessrias para executar essas tarefas. Estes constituem
as prticas atuais para o gerente de segurana da informao. A
prtica detalhada do trabalho CISM pode ser visto em www.isaca.org/
cismjobpractice e no Guia do Candidato para o CISM
Exame e Certificao. O exame baseado nestes tarefa e

declaraes de conhecimento.
O manual foi desenvolvido e organizado para auxiliar na
estudo dessas reas. Os candidatos ao exame devem avaliar sua
pontos fortes, com base no conhecimento e experincia, em cada um dos
nessas reas.
formato deste manual
Cada um dos quatro captulos do CISM
Manual de Reviso 2013 de

dividido em duas sees para o estudo focado.
Seo um de cada captulo inclui:
A definio do domnio
Objectivos para o domnio como uma rea de atuao
Uma lista das declaraes de tarefa e de conhecimento para o domnio
Um mapa da relao de cada tarefa para as declaraes de conhecimento
para o domnio
Um guia de referncia para as declaraes de conhecimento para o domnio,
incluindo os conceitos e explicaes relevantes
As referncias a contedo especfico na seo dois para cada
declarao de conhecimento
questes prticas e respostas da amostra com explicaes
recursos sugeridos para um estudo mais aprofundado do domnio
A segunda seo de cada captulo inclui:
Material de referncia e contedo que suporta o conhecimento
declaraes
As definies dos termos mais comumente encontrados no exame
Material includo pertinente para o CISM candidato do
conhecimento e / ou entendimento quando se preparava para o CISM
exame de certificao.
A estrutura do contedo inclui numerao para identificar
o captulo onde um tpico se encontra e rubricas do
nveis subseqentes de temas abordados no captulo (ou seja, 2.4.1
A Importncia da Gesto de Riscos, um subtpico de Risco
Viso geral do gerenciamento no captulo 2). Contedo relevante em um
subtpico est em negrito para uma ateno especfica.
Compreender o material textual um barmetro da
do candidato conhecimentos, pontos fortes e fracos, e um
indicao de reas em que o candidato precisa buscar referncia
fontes para alm deste manual. No entanto, o material escrito
no um substituto para a experincia. questes do exame real ser
testar a aplicao prtica do candidato deste conhecimento.
As questes prticas, no final de uma seo de cada captulo
auxiliar na compreenso de como uma questo CISM poderia ser apresentado
no exame CISM e no deve ser usada independentemente como um
fonte de conhecimento. Questes prticas no devem ser considerados
uma medida da capacidade do candidato para responder a perguntas
corretamente no exame para essa rea. As perguntas se destinam
familiarizar o candidato com pergunta estrutura, e podem ou
no pode ser semelhante a perguntas que aparecero na real
exame. O material de referncia inclui outras publicaes

que pode ser usada para adquirir mais e melhor compreender
informaes detalhadas sobre os temas abordados no manual.
Um glossrio est includo no final do manual e contm
termos que se aplicam ao material includo nos captulos. Tambm
esto includos os termos que se aplicam a reas afins no especificamente
discutidos. O glossrio uma extenso do texto no manual
e pode, portanto, ser outra indicao de reas em que a
candidato pode precisar de procurar referncias adicionais.
Apesar de todo esforo feito para resolver a maioria dos
informaes de que os candidatos so esperados para saber, nem todos
questes do exame so necessariamente contempladas no manual, e
os candidatos tero de contar com a experincia profissional para fornecer
a melhor resposta.
Ao longo do manual, "associao" se refere a ISACA, anteriormente
conhecida como Information Systems Audit Control Association e,
e "instituir" ou "ITGI
"Refere-se ao Instituto de Governana de TI
.
Alm disso, observe que o manual foi escrito usando o padro
Ingls Americano.
Ab esta Man ual
Page 16
12
Nota: O
CISM
Manual de reviso
um documento vivo. Como
avanos tecnolgicos e de gesto de segurana da informao
prticas de evoluir, o manual ser atualizado para refletir tal
mudanas. Outras actualizaes deste documento antes da data do
exame pode ser visto em
www.isaca.org / studyaidupdates
.
Sugestes para melhorar o manual reviso ou sugeridos
materiais de referncia devem ser submetidas on-line em
www.isaca.org / studyaidsevaluation.
Sobre as questes de reviso do CISM,
respostas e explicaes manual

Os candidatos tambm podem querer melhorar o seu estudo e preparao
para o exame usando o CISM
Questes de Reviso, Respostas

& Manual 2012 Explicaes, e os de 2012 e 2013 edies
do CISM
Questes de Reviso, Respostas e Explicaes

Suplemento Manual.
O CISM
Questes de Reviso, Respostas e Explicaes manual

2012 composto por 700 questes de estudo de mltipla escolha, respostas
e explicaes organizadas nos domnios do CISM atual
prtica de trabalho. As perguntas contidas neste manual apareceu no CISM
Questes de Reviso, Respostas e Explicaes manuais e 2011

na edio do CISM 2011
Questes de Reviso, Respostas e

Explicaes Suplemento Manual.
O
2012 e 2013 edies do Suplemento
so o
resultado da dedicao da ISACA cada ano para criar nova amostra
perguntas, respostas e explicaes para os candidatos a usar em
preparao para o exame CISM. A cada ano, a ISACA seleciona 100
novas questes de reviso, atravs de um processo rigoroso de reviso
semelhante ao
que realizou para a seleo de questes para o exame CISM
pela Comisso de Certificao CISM. No
2012 e 2013
edies do Suplemento
, As perguntas foram organizadas em
as propores do mais recente trabalho do CISM prtica.
Outro estudo ajuda que est disponvel o CISM
Prtica
V13 Pergunta Banco de Dados. A base de dados consiste no 900
perguntas, respostas e explicaes includas no CISM
Questes de Reviso, Respostas e Explicaes manuais e 2012

200 nas edies do Suplemento de 2012 e 2013. Com esta
produto, os candidatos do CISM pode rapidamente identificar seus pontos

fortes e
fraquezas, tomando exemplos de exames aleatrios de comprimento varivel
e quebrando os resultados para baixo por domnio. Exames de amostra
tambm
pode ser escolhido pelo domnio, permitindo para o estudo concentrou-se,
uma
domnio de cada vez, e outras caractersticas de triagem como a omisso
de questes respondidas corretamente anteriores esto disponveis.
Perguntas nestas publicaes so representativos dos tipos de
perguntas que podem aparecer no exame e incluem explicaes
das respostas corretas e incorretas. As perguntas so classificadas pela
Domnios CISM e como uma amostra de teste. Estas publicaes so ideais
para utilizao em conjunto com o
CISM
Manual de Reviso 2013

.
Estes manuais podem ser usados como fontes de estudo durante o estudo
processo ou como parte de uma reviso final para determinar onde os
candidatos
pode precisar de estudo adicional. Deve notar-se que estas questes
e respostas sugeridas so fornecidos como exemplos, no so
questes reais do exame e podem diferir em contedo
daqueles que realmente aparecer no exame.
Nota: Ao utilizar os materiais de reviso CISM para se preparar para
o exame, deve-se notar que eles cobrem um amplo espectro
das questes de gesto de segurana da informao. Novamente, os
candidatos
No se deve presumir que a leitura destes manuais e
respondendo a perguntas de reviso ir prepar-los totalmente para
o exame. Desde questes do exame real muitas vezes se relacionam
de experincias prticas, os candidatos devem consultar seus prprios
experincias e de outras fontes de referncia, e recorrer
experincias de colegas e outros que ganharam o
Designao CISM.
Page 17

13
Captulo 1:
Na forma em ti S ecuri ty
g ov erna nce
seo I: Panorama
1.1
Introduction .......................................................................................................
....................................................................... 14
Definition.............................................................................................................
.......................................................... 14
Objectives............................................................................................................
........................................................... 14
1.2
Tarefa e do
............................................................ 14
Tasks....................................................................................................................
........................................................... 14
............................................................... 14
Relao de tarefas para Demonstraes
Conhecimento .....................................................................................................
....... 15
Referncia Guide.................................................................................................
....................... 16
para Study............................................................................................................
............. 26
1.3
A autoavaliao Questions ...........................................................................................
............................................................ 27
Questions.............................................................................................................
........................................................... 27
............................. 28
seo dois: Contedo
1.4
Governana da Segurana da
.................................. 29
1.5
Segurana da Informao
eficaz Governance .............................................................................................
............................. 30
1.6
Conceitos de Segurana da Informao

e Technologies ...................................................................................................
............. 40
1.7 Governana e de
terceiros Relationships .....................................................................................
..................................... 40
1.8
Governana da Segurana da
Informao Metrics ..........................................................................................
.................................. 40
1.9
Estratgia de Segurana da
........................................ 44
1.10 Desenvolver uma Segurana da
Informao Strategy .........................................................................................
............................. 46
........................................ 47
1.12 Determinar estado atual
de Security .........................................................................................................
........................ 53
Informao Development .................................................................................
....................................... 53
1.14
Estratgia Resources .........................................................................................
.......................................................................... 55
1.15
Estratgia Constraints ......................................................................................
.......................................................................... 63
1.16 Plano de Ao para
Implementar Strategy .......................................................................................
................................................. 64
1.17 Implementando a segurana Governance
Example .............................................................................................................
....... 67
1.18 Plano de Ao Intermedirio
Goals ...................................................................................................................
.......................... 69
1.19 Programa de Segurana da Informao
Objectives ..........................................................................................................
.................. 70
1.20 Caso
Study ..................................................................................................................
.............................................................. 70
Page 18
Captulo 1-Governana de Segurana da Informao

Seo I: Panorama
14
Seo I: Panorama
1.1 Introduo
Este captulo analisa o corpo de conhecimento e tarefas associadas
necessrio desenvolver uma estrutura de governana da segurana da
informao
alinhados com os objetivos organizacionais.
definio
Na Orientao Governana da Segurana da Informao para placas
de Administrao e da Diretoria Executiva, 2
Edio , a TI
Governance Institute (ITGI) define governana como "o conjunto de
responsabilidades e prticas exercidas pelo conselho e executivo
gesto com o objetivo de fornecer orientao estratgica,
assegurar que os objetivos sejam atingidos, apurar que o risco
gerido adequadamente e verificar se da empresa
recursos so utilizados de forma responsvel. "
OBJETIVOS
O objectivo deste domnio garantir que a informao
gerente de segurana compreende as grandes exigncias para efetiva
governana da segurana da informao, os elementos e aes
necessrio para desenvolver uma estratgia de segurana da informao e um
plano de
ao para implement-lo.
Uma extenso da definio de governana incluir o
"Estrutura atravs da qual os objectivos da empresa so
definido, e os meios para alcanar esses objetivos e monitoramento
desempenho so fixados ", tal como descrito pela Organizao
para a Cooperao e Desenvolvimento Econmico (OCDE) em seu
1999 publicao "Princpios de Governana Corporativa".
Estrutura e meios incluir estratgia, polticas e sua
correspondentes normas, procedimentos e diretrizes, estratgicas
e planos operacionais; sensibilizao e formao, gesto de risco;
controles e as auditorias e outras atividades de garantia.
O CISM
Manual de Reviso 2013 escrito a partir de uma prtica

perspectiva de que a necessria para a implementao de medidas eficazes
governana com foco na funo CISM. Informaes
governana da segurana est comeando a chamar a ateno de
lderes organizacionais e o gerente de segurana da informao
cada vez mais necessria a desempenhar um papel fundamental em muitos
aspectos
de alcanar a boa governana da segurana da informao. Com esta
considerao, a governana da segurana da informao coberto
extensivamente neste captulo.
A governana no apresentada a partir de uma perspectiva puramente
terica,
mas sim a partir de um ponto de vista de implementao. Como resultado,
elementos de gesto ser includo na governana
seco quando serve para iluminar o entendimento de
requisitos de implementao. Gesto de segurana da informao
funes so abordados em detalhes no captulo 3, Segurana da Informao
Programa de Desenvolvimento e Gesto.
Este domnio representa 24 por cento do exame CISM
(cerca de 48 questes).
1,2 tarefa e conhecimento declaraes
Governana Domnio 1-Segurana da Informao
Estabelecer e manter uma governana da segurana da informao
estrutura e processos de apoio para garantir que o
estratgia de segurana da informao est alinhada com os objetivos
organizacionais
e os objetivos, riscos de informaes gerido de forma adequada e
recursos do programa so geridas de forma responsvel
Tarefas
H nove tarefas dentro deste domnio que um candidato CISM
deve saber como realizar:
T1.1 Estabelecer e manter uma estratgia de segurana da informao
em alinhamento com os objetivos organizacionais e objetivos para
orientar o estabelecimento e gerenciamento contnuo do
programa de segurana da informao.
T1.2 Estabelecer e manter uma governana da segurana da informao
framework para orientar as atividades que suportam a informao
estratgia de segurana.
T1.3 Integrar governana corporativa de segurana da informao em
governana para assegurar que os objetivos organizacionais e
objectivos so apoiados pela segurana da informao
programa.
T1.4 Estabelecer e manter as polticas de segurana da informao para
comunicar diretrizes de gesto e orientar o

desenvolvimento de normas, procedimentos e diretrizes.
T1.5 Desenvolver casos de negcios para apoiar investimentos em
segurana da informao.
T1.6 Identificar influncias internas e externas
organizao (por exemplo, tecnologia, negcios
meio ambiente, a tolerncia ao risco, localizao geogrfica, jurdica e
requisitos regulamentares) para garantir que esses fatores so
dirigida pela estratgia de segurana da informao.
T1.7 Obter o compromisso da alta administrao e apoio
de outras partes interessadas para maximizar a probabilidade de
sucesso da implementao da segurana da informao
estratgia.
T1.8 definir e comunicar os papis e responsabilidades
de segurana da informao em toda a organizao para
estabelecer responsabilidades e linhas de autoridade claras.
T1.9 Estabelecer, monitorar, avaliar e reportar mtricas (para
exemplo, os principais indicadores de metas [KGIs], chave de desempenho
indicadores [KPIs], indicadores-chave de risco [KRIs]) para fornecer
gesto, com informaes precisas sobre o
eficcia da estratgia de segurana da informao.
Demonstraes conhecimento
O candidato CISM deve ter uma boa compreenso de cada
das reas delimitadas pelas declaraes do conhecimento. Estes
declaraes so a base para o exame.
H 15 declaraes de conhecimento dentro da informao
domnio da governao de segurana:
KS1.1
O conhecimento de mtodos para desenvolver uma informao
estratgia de segurana
KS1.2
Conhecimento da relao entre informao
objetivos de segurana e de negcios, objetivos, funes e
prticas
Page 19

Seo I: Panorama
15
KS1.3
Conhecimento dos mtodos para implementar uma informao
estrutura de governana de segurana
KS1.4
O conhecimento dos conceitos fundamentais da governana
e como eles se relacionam com a segurana da informao
KS1.5
Conhecimento dos mtodos para integrar a segurana da informao
governana em governana corporativa
KS1.6
Conhecimento de normas internacionalmente reconhecidas,
frameworks e melhores prticas relacionadas informao
governana de segurana e estratgia de desenvolvimento
KS1.7
Conhecimento de mtodos para desenvolver a segurana da informao
polticas
KS1.8
Conhecimento de mtodos para desenvolver casos de negcios
KS1.9
Conhecimento de planejamento estratgico e oramentrio
mtodos de relatrios
KS1.10 conhecimento das influncias internas e externas para
da organizao (por exemplo, tecnologia, negcios
meio ambiente, a tolerncia ao risco, localizao geogrfica, legal
e requisitos regulamentares) e como elas impactam o
estratgia de segurana da informao
KS1.11 Conhecimento de mtodos para obter o compromisso de
alta administrao e apoio de outras partes interessadas
para a segurana da informao
Conhecimento KS1.12 de funes de gerenciamento de segurana da
informao
e responsabilidades
KS1.13 Conhecimento de estruturas e linhas de organizao
autoridade
KS1.14 Conhecimento dos mtodos para estabelecer novo, ou utilizar
canais existentes, elaborao de relatrios e de comunicao
em toda a organizao
KS1.15 Conhecimento dos mtodos para selecionar, implementar e
interpretar mtricas (por exemplo, os principais indicadores de metas
[KGIs], indicadores chave de desempenho [KPIs], o risco de chave
indicadores [KRIs])
relao de tarefa para declaraes conhecimento
As demonstraes de tarefas so o que o candidato CISM esperado
para saber como realizar. As demonstraes de conhecimento delinear
cada uma das reas em que o candidato deve ter um CISM
bom entendimento, a fim de executar as tarefas. A tarefa e
declaraes de conhecimento so mapeados em exposio 1.1 na medida em
que
possvel faz-lo. Note-se que embora haja muitas vezes se sobrepem,

cada declarao tarefa geralmente so mapeados para vrios conhecimentos
declaraes.
Anexo Demonstraes Conhecimento 1.1-Tarefa e Mapeamento
Declarao de Tarefa
Demonstraes Conhecimento
T1.1 Estabelecer e manter uma segurana da informao
estratgia em alinhamento com os objetivos organizacionais e
objetivos para orientar o estabelecimento e curso
gesto do programa de segurana da informao.
Conhecimento KS1.1 de mtodos para desenvolver uma estratgia de
segurana da informao
KS1.2 Conhecimento da relao entre segurana da informao e os objetivos
de negcio,
objetivos, funes e prticas
T1.2 Estabelecer e manter uma segurana da informao
estrutura de governana para orientar as atividades que
apoiar a estratgia de segurana da informao.
de negcio,
KS1.3 Conhecimento dos mtodos para implementar uma estrutura de
governana da segurana da informao
KS1.4 Conhecimento dos conceitos fundamentais de governana e como eles
se relacionam com
KS1.6 Conhecimento de normas internacionalmente reconhecidas,
frameworks e melhores prticas
relacionadas com a gesto de segurana da informao e desenvolvimento de
estratgia
T1.3 Integrar governana da segurana da informao em
governana corporativa para garantir que organizacional
metas e objetivos so suportados pelo
de negcio,
se relacionam com
KS1.5 Conhecimento dos mtodos para integrar a governana corporativa de
segurana da informao em
governo

estratgia
T1.4 Estabelecer e manter as polticas de segurana da informao
para comunicar diretrizes de gesto e
orientar o desenvolvimento de normas, procedimentos
e diretrizes.
de negcio,
KS1.7 Conhecimento dos mtodos para o desenvolvimento de polticas de
T1.5 Desenvolver casos de negcios para apoiar investimentos em
segurana da informao.
KS1.8 Conhecimento dos mtodos para o desenvolvimento de casos de
negcios
KS1.9 Conhecimento de mtodos de planejamento e relatrios oramentais
estratgicas
T1.6 Identificar influncias internas e externas
organizao (por exemplo, tecnologia, negcios
meio ambiente, a tolerncia ao risco, localizao geogrfica,
requisitos legais e regulamentares) para garantir que
esses fatores so abordados pela informao
estratgia
Conhecimento KS1.10 das influncias internas e externas organizao (por
exemplo,
tecnologia, ambiente de negcios, a tolerncia ao risco, localizao
geogrfica, jurdica e
requisitos regulamentares) e como elas impactam a estratgia de segurana da
informao
Page 20

Seo I: Panorama
16
Exhibit Demonstraes Conhecimento 1.1-Tarefa e Mapeamento (cont.)
Declarao de Tarefa
T1.7 Obter o compromisso da alta administrao e
apoio de outras partes interessadas para maximizar a

probabilidade de sucesso da implementao da
estratgia de segurana da informao.
KS1.11 Conhecimento de mtodos para obter o compromisso da alta
administrao e apoio
de outras partes interessadas para a segurana da informao
T1.8 Definir e comunicar os papis e
responsabilidades de segurana da informao em todo
a organizao para estabelecer responsabilidades claras
e as linhas de autoridade.
KS1.12 conhecimento de informaes papis e as responsabilidades de
gerenciamento de segurana
KS1.13 Conhecimento de estruturas e linhas de autoridade organizacional
T1.9 Estabelecer, monitorar, avaliar e reportar mtricas
(Por exemplo, os principais indicadores de metas, tecla [KGIs]
indicadores de desempenho [KPIs], indicadores-chave de risco
[KRIs]) Fornecer administrao precisa
informaes sobre a eficcia do
estratgia de segurana da informao.
KS1.14 Conhecimento dos mtodos para estabelecer novo, ou utilizar
existente, relatrios e
canais de comunicao em toda a organizao
KS1.15 Conhecimento dos mtodos para selecionar, implementar e interpretar
mtricas (por exemplo, chave
indicadores de meta [KGIs], indicadores chave de desempenho [KPIs],
indicadores-chave de risco [KRIs])
Guia de Referncia conhecimento declarao
A seo a seguir contm as instrues de conhecimento e os conceitos
subjacentes e relevncia para o conhecimento do
gerente de segurana da informao. As demonstraes de conhecimento so
o que o gerente de segurana da informao deve saber, a fim de realizar
as tarefas. A explicao resumo de cada declarao conhecimento fornecido,
seguido pelos conceitos bsicos que so a base para
o exame escrito. Cada conceito chave tem referncias a seo dois deste
captulo.
O corpo de conhecimento CISM foi dividida em quatro domnios, e cada um
dos quatro captulos cobre uma parte do material contido
nesses domnios. Este captulo analisa o corpo de conhecimento a partir da
perspectiva da estratgia e governana.
Page 21

Seo I: Panorama
17
Conhecimento KS1.1 de mtodos para desenvolver uma estratgia de
Explicao
Conceitos-chave
Referncia em 2013 Manual do CISM comentrio
Estratgia o plano de ao para atingir os objectivos definidos, que resultam
nos resultados desejados, utilizando os recursos disponveis no mbito do
actual
estratgia constraints.A para alcanar os resultados definidos para a
informao
programa de segurana necessrio para se desenvolver, uma segurana
eficaz maduro
estratgia programa.A ir gui-requisitos de governana, polticas e
desenvolvimento de padres. Ele tambm ir orientar o desenvolvimento do
controle
objetivos e as mtricas necessrias para uma gesto eficaz. Em ltima anlise,
a estratgia servir de base para um roteiro para a sua prpria implementao,
Para ser eficaz, a estratgia deve considerar uma variedade de fatores,
incluindo
os recursos disponveis, bem como as restries. Recursos incluem
pessoas, processos, tecnologias e arquiteturas. Restries que devem ser
consideradas incluem o tempo, custos, recursos, competncias, cultura
organizacional e
estrutura.
A justificativa para a estratgia
desenvolvimento
1.4
Governana da Segurana da Informao
Viso global
1.4.1 Importncia da Segurana da Informao
Governo
1.4.2 Resultados da Segurana da Informao
Governo
1.5
Segurana da Informao eficaz
Governo
1.5.1 Metas e objetivos de negcios
1.5.3 Atribuies e Responsabilidades das Senior
Gesto
1.11.2 Definir objectivos
Drivers para a estratgia deameaas, exposies, risco
e impactos

Governo
Responsabilidades
A base para a estratgia
-desenvolvimento
relao aos objetivos
1.13.1 Elementos de uma Estratgia
1.19
Programa de Segurana da Informao
Objetivos
As relaes entre
elementos estratgicos
1.14
Recursos Estratgia
1.14.19 Outros Suporte Organizacional e
Provedores de Garantia
1.15.11 Aceitao de Riscos e Tolerncia
Recursos de estratgia e
restries
1.15
Restries Estratgia
Como organizacional
objectivos definidos
requisitos para a segurana
estratgia
1.9
Estratgia de Segurana da Informao
Viso global
1.9.1 uma viso alternativa da Estratgia
1.10
Desenvolver uma Segurana da Informao
Estratgia
1.11
Objetivos
1.11.1 A Meta
1.13
Desenvolvimento
1.19
Objetivos
O desenvolvimento de uma estratgia
e segurana da informao
mapa das estradas
1.13
Desenvolvimento
1.14
Recursos Estratgia
1.14.19 Outros Suporte Organizacional e
Provedores de Garantia
1.15.11 Aceitao de Riscos e Tolerncia
Estratgia como uma base para
poltica ea relao com
objetivos de controle
1.17
Segurana Implementao
Governana-Exemplo
1.17.1 As amostras poltica adicional
1.19
Objetivos
Anexo 1.2 Relao de Governana
Componentes
Page 22

Seo I: Panorama
18
KS1.2 Conhecimento da relao entre segurana da informao e os
objetivos de negcio, objetivos,
funes e prticas
Explicao
Conceitos-chave
Em uma organizao corretamente governado, apoio as atividades de
as metas e os objetivos da organizao, identificando e gerenciando
corre o risco de relacionamento nveis.A aceitvel de segurana da informao
para
funes organizacionais devem ser entendidas para projetar e implementar
gerente de mitigao de riscos de segurana da informao solutions.The
apropriado
deve compreender a natureza eo propsito de uma organizao de vrios

funes, a fim de assegurar que a administrao adequada e eficaz
estruturas so decises developed.All em relao implementao de
o programa de segurana deve ser o resultado de organizao bem
fundamentada
decises. o papel do gerente de segurana da informao para identificar e
explicar aos interessados o risco para a informao da organizao, presente
alternativas para a mitigao, e depois implementar uma abordagem apoiada
por
a organizao. tambm importante para definir e transmitir as oportunidades
disponveis para a organizao, como resultado de uma boa segurana, tais
como a capacidade
para conduzir com segurana as operaes organizacionais e financeiros
online.
A relao de
governana para a empresa
governo
1.4
Viso global
1.5
Governo
Definindo a segurana
ligaes de estratgia para
funes organizacionais
1.4.2
Resultados de Segurana da Informao
Governo
Benefcios organizacionais
segurana eficaz
1.4.1
Importncia da Segurana da Informao
Governo
1.4.2
Governo
Mtodos para determinar
risco aceitvel
1.11.4 Objetivos de Risco
2.10
Avaliao de Risco
Determinando o
eficcia
governo
1.8
Mtrica
Abordagens para
risco o desenvolvimento
estratgias de mitigao
2.10
Avaliao de Risco
Como organizacional
objectivos definidos
requisitos para a segurana
estratgia
1.9
Viso global
1.9.1
Uma viso alternativa da Estratgia
1.10
Desenvolver uma Segurana da Informao
Estratgia
1.11
Objetivos
1.11.1 A Meta
1.13
Desenvolvimento
1.19
Objetivos
Como estratgia de segurana
refere-se ao controle
objetivos
1.11.3 O Estado Desejado
1.19
Objetivos
Como organizacional
objetivos se traduzem em
polticas de segurana
1.14
Recursos Estratgia
Page 23

Seo I: Panorama
19
KS1.3 Conhecimento dos mtodos para implementar uma estrutura de
governana da segurana da informao
Explicao
Conceitos-chave
Todas as organizaes operam sob ou um conjunto de objetivos declarados ou
implcitos,
objetivos e regras. essencial que o gestor de segurana da informao
estar familiarizado com estes e determinar a melhor abordagem para o
desenvolvimento de um
estratgia que, quando implementadas, ir atingir os objectivos que resultam
na
resultados desejados. Devidamente desenvolvidos, a estratgia fornece o mapa
de estrada
para a implementao do programa de segurana e estrutura de governana.
O valor, eficcia e sustentabilidade de um segurana da informao
programa so funes da forma como governado e sua contribuio para a
atingir falta goals.A organizacional de uma estrutura de governana eficaz
normalmente resulta na alocao de recursos ineficiente e um ttico, reativo
modo de operao que overprotects alguns ativos enquanto underprotecting
propsito outros.A de um programa de segurana da informao apoiar e
melhorar operations.This de uma organizao s pode ser realizado com uma
boa compreenso da organizao, sua cultura e operaes, e sua
metas e objetivos.
O objectivo da
governo
1.4
Viso global
Governo
O desenvolvimento de uma governana
estrutura
Governo
1.17 Segurana Implementao de GovernanaExemplo

Os critrios de eficcia
governo
Governo
1.5
Governo
A relao de
governana, estratgia e
controles
1.9
Viso global
Componentes
A relao de
governo
1.4
Viso global
O relacionamento
de governana para
objetivos organizacionais
1.4
Viso global
1.5.6 Modelo de Negcio para a Informao
Segurana
Como a governana
implementado
1.16 Plano de Ao para implementar a estratgia
1.17 Segurana Implementao de GovernanaExemplo
Page 24

Seo I: Panorama
20

se relacionam com a segurana da informao
Explicao
Conceitos-chave
Em uma organizao corretamente governado, apoio as atividades de
as metas e os objetivos da organizao, identificando e gerenciando
corre o risco de relacionamento nveis.A aceitvel de segurana da informao
para
funes organizacionais devem ser entendidas para projetar e implementar
gerente de mitigao de riscos de segurana da informao solutions.The
apropriado
deve compreender a natureza eo propsito de uma organizao de vrios
funes, a fim de assegurar que a administrao adequada e eficaz
estruturas so decises developed.All em relao implementao de
o programa de segurana deve ser o resultado de organizao bem
fundamentada
decises. o papel do gerente de segurana da informao para identificar e
explicar aos interessados o risco para a informao da organizao, presente
alternativas para a mitigao, e depois de implementar uma abordagem
apoiada por
a organizao. tambm importante para definir e transmitir as oportunidades
disponveis para a organizao, como resultado de uma boa segurana, tais
como a capacidade
para conduzir com segurana as operaes organizacionais e financeiros
online.
A relao de
governo
1.4
Viso global
1.5
Governo
Definindo a segurana
ligaes de estratgia para
funes organizacionais
Governo
Benefcios organizacionais
segurana eficaz
Governo
Governo
Mtodos para determinar
risco aceitvel
2.10 Avaliao de Riscos
Determinando o
eficcia
governo
1.8
Mtrica
Abordagens para
risco o desenvolvimento
estratgias de mitigao
2.10 Avaliao de Riscos
Como estratgia de segurana
refere-se ao controle
objetivos
Objetivos
A relao entre
segurana e informao
os objectivos da
organizao
1.4
Viso global
Governo
Governo
1.5
Governo
Gesto
Definindo os resultados de
segurana da informao que
suporte organizacional
objetivos
Governo
Responsabilidades
Relacionar informaes
programa de segurana
objetivos para
Objetivos
Pgina 25

Seo I: Panorama
21
KS1.5 Conhecimento dos mtodos para integrar a governana da segurana
da informao em governana corporativa
Explicao
Conceitos-chave
Governana da segurana da informao um subconjunto da governana
corporativa.
necessrio para o gerente de segurana da informao para garantir que as
informaes
governana de segurana consistente com a governana global da empresa.
Consistncia requer que os processos, mtodos, normas, prticas
e objectivos so, essencialmente, a mesma, se for caso disso. essencial
Entendemos que a segurana da informao no pode ser uma atividade
autnoma e
que deve reger-se pelas mesmas regras que o resto da organizao.
Se houver razes fundamentadas por que isso no prudente, ou existentes
estruturas de governana deve ser modificado ou variaes aceitveis deve ser
concebido e aprovado como requerido.
Avaliao da integrao
da segurana da informao
governana e
governana corporativa
1.4
Viso global
1.4.1
Governo
1.8.8 Processo de Garantia de Integrao
A possvel
conseqncias se
atividades de governana so
no integrados
1.4
Viso global
1.4.1
Governo
1.5
Governo
As atividades que o
gerente pode realizar
para melhorar a integrao
1.4.2
Governo
1.5.1
Metas e objetivos de negcios
frameworks e melhores prticas relacionadas informao
governana de segurana e estratgia de desenvolvimento
Explicao
Conceitos-chave
Existem vrios padres internacionais de segurana da informao
com que o gerente de segurana da informao deve ser familiar.These
padres fornecem um conjunto consistente, testada pelo tempo de boas
prticas que podem
ser muito til ao desenvolvimento ou a tentar melhorar uma informao
programa de segurana. Normas ISO, COBIT e PCI so geralmente os mais
globalmente aceite exame standards.The CISM no vai fazer perguntas sobre
qualquer
padres regionais ou sobre o contedo especfico de normas internacionais,
mas o gerente de segurana da informao deve estar familiarizada com a

padres e como eles podem ser aproveitados para apoiar o desenvolvimento
de estratgia
e governana do programa de segurana da informao.
A finalidade de um
padro
1.6
Conceitos de Segurana da Informao e
Technologies
1.14.1 Polticas e Normas
Quando e como
padres so utilizados
1.8.3
Alinhamento Estratgico Metrics
1.13.2 estratgia de recursos e
Restries-Overview
Atributos comuns de
normas internacionais
A relao de
governana para ISO
normas e COBIT
1.14.4 Technologies
1.17
Governana-Exemplo
Anexo 1.8 Prevalentes Normas e
Frameworks
A relao de
governo
1.4
Viso global
O relacionamento
de governana para
1.4
Viso global
1.5.6
Modelo de Negcio para a Informao

Segurana
Como a governana
implementado
1.16
Plano de Aco para implementar a estratgia
1.17
Governana-Exemplo
Page 26

Seo I: Panorama
22
KS1.7 Conhecimento dos mtodos para o desenvolvimento de polticas de
Explicao
Conceitos-chave
O desenvolvimento de uma estratgia de segurana da informao, que apoia
a
objetivos gerais da organizao, ir conduzir o desenvolvimento da segurana
policies.The polticas, por sua vez, reflete a inteno gesto, direo e
expectativas e conduzir o desenvolvimento de normas e outros controles que
em ltima anlise, apoiar os objetivos de negcios.
A base para a poltica
desenvolvimento
Responsabilidades
1.16.2 Poltica de Desenvolvimento
Anexo 1.12 ISO 27002:2005
Poltica e estratgia
1.17
Governana-Exemplo
1.17.1 As amostras poltica adicional
1.18
Objetivos Plano de Ao Intermedirio
Polticas e controle
desenvolvimento

1.12
Determinar estado atual de
Segurana
1.19
Objetivos
Anexo 1.8 Prevalentes Normas e
Frameworks
A relao de
polticas e arquitetura
1.11.3 abordagens de arquitetura
1.14.2 Enterprise Information Segurana
Arquitetura (s)
Anexo 1.14 Sabsa Arquitetura de segurana
Matriz
KS1.8 Conhecimento dos mtodos para o desenvolvimento de casos de
negcios
Explicao
Conceitos-chave
A racionalidade e justificao para o programa de segurana e de segurana
iniciativas devem descansar sobre um caso de negcio slido para otimizar a
rentabilidade,
relevncia organizacional e viability.To curso ser eficaz como
gerente de segurana da informao, essencial para compreender os mtodos
para
desenvolvimento de um caso de negcio eficaz para iniciativas de segurana a
fim de obter
o apoio gesto necessria para o sucesso.
A finalidade de um
caso de negcio
1.5.4
Obteno de Alta Administrao
Compromisso
1.8.5
Mtricas de Valor de Entrega
3.13.6 Caso de Desenvolvimento de Negcios
O que est includo (ou no)
em um caso de negcios
Os aspectos financeiros
um caso de negcios
Os aspectos de viabilidade de
um caso de negcios
1.17
Governana-Exemplo
1.4.2
Governo
Destinatrios caso de negcio
e apresentao
Pgina 27

Seo I: Panorama
23
KS1.9 Conhecimento de mtodos de planejamento e relatrios oramentais
estratgicas
Explicao
Conceitos-chave
importante para um gerente de segurana da informao para compreender e
ser capaz de participar das prticas financeiras organizacionais padro.
Cada vez mais, o desenvolvimento, gesto e execuo de governana requer
compreender a oramentos e relatrios prticas da organizao.
Dependendo da maturidade da organizao e do estado da segurana
governana, a anlise eo planejamento necessrio para preparar e apresentar
uma
oramento pode ser considervel.
Gesto geral
e administrao
conceitos
1.5.3
Papis e Responsabilidades dos Senior
Gesto
3.13
Gesto e Programa de Segurana

Atividades Administrativas
Oramento
1.15.6 Custos
1.15.10 Tempo
3.13.7 Oramento Programa
Relatrios financeiros
1.5.4
Compromisso
1.15.6 Custos
KS1.10 conhecimento das influncias internas e externas organizao (por
exemplo, tecnologia, negcios
meio ambiente, a tolerncia ao risco, a localizao geogrfica, as exigncias
legais e regulamentares) e como elas impactam o
estratgia de segurana da informao
Explicao
Conceitos-chave
Uma variedade de condies que afetam o modo como uma organizao que
respeita a questes de segurana
e reage a eles.O gerente de segurana da informao deve entender
o que esses motoristas so e como trat-los no programa de segurana.
Controladores internos ir incluir coisas como a tolerncia ao risco e
organizacional
objetivos. Motoristas externos podem incluir requisitos regulamentares e
legais,
tendncias atuais em ataques cibernticos e fatores como as condies
econmicas.
Compreender a resposta organizacional e reao a esses vrios
motoristas permite que o gerente de segurana da informao para atingir de
forma mais eficaz
atividades para as reas de maior preocupao e para enquadrar as iniciativas
de segurana em
formas mais relevantes para a organizao.
Ramo de negcio
diferenas entre os drivers
1.15.4 Cultura
3.13.1 Pessoal, papis e
Responsabilidades e Competncias
Motoristas regulatrios e
seus impactos
1.15.1 requisitos legais e regulamentares
Motoristas de risco e risco
tolerncia
1.5.5
Governana, Gesto de Riscos
Observncia
1.12.1 Risco Atual
Aspectos culturais da
reaes organizacionais
e respostas
1.10.1 Problemas comuns
1.14.5 Pessoal
1.14.6 Estrutura Organizacional
Page 28

Seo I: Panorama
24
KS1.11 Conhecimento de mtodos para obter o compromisso da alta
administrao e apoio de outros
as partes interessadas para a segurana da informao
Explicao
Conceitos-chave
Apoio gesto e compromisso essencial para uma segurana eficaz
compreenso program.An de abordagens, que o apoio uma
habilidade crtica para o gerente de segurana da informao. Gesto
Ganhando
apoio a um programa de segurana requer uma compreenso da gesto
preocupaes e foco, bem como a capacidade de apresentar um caso
convincente para
solues de baixo custo, em termos organizacionais, que minimizam
operacional
interrupes.
Avaliando snior
gesto
compromisso com a
1.5.4
Compromisso
Os efeitos da inadequada
apoio gesto
1.5.4
Compromisso
3.17
Segurana da Informao Comum
Desafios do Programa
Opes para a segurana
gerente na ausncia
da alta administrao
apoio
1.5.4
Compromisso
3.4
Viso geral do gerenciamento
Alcanar gesto
compromisso com a
1.5.4
Compromisso
1.8
Mtrica
1.8.1
Mtricas de segurana eficazes
1.8.2
Mtricas de implementao de governana
A base para garantir
apoio gesto de
um programa de segurana
1.5.4
Compromisso
KS1.12 conhecimento de informaes papis e as responsabilidades de
gerenciamento de segurana
Explicao
Conceitos-chave
Funes e responsabilidades dos gestores de segurana da informao pode
variar
significativamente entre as organizaes. Gestores de segurana da
informao pode
tem uma srie de ttulos, incluindo a oficial de segurana da informao

principal (CISO),
oficial de segurana da informao e Chief Risk Officer (CRO). O papel pode
ser
parte das funes do diretor de segurana (CSO) ou um adicional
responsabilidade do Chief Information Officer (CIO) ou o chefe de tecnologia
Officer (CTO). A funo de segurana da informao pode cair sob o chefe
diretor financeiro (CFO), o executivo-chefe (CEO), o chefe operacional
Officer (COO), o comit de auditoria do conselho de administrao ou sob
algum
responsabilidades departamento head.The operacionais normalmente ser
semelhante, mas
a escala, escopo e autoridade diferem drasticamente. importante para o
gerente de segurana da informao para entender como essas funes operam
em
vrias organizaes e como eles so afetados por diferentes organizacional
estruturas.
Variaes em papis
e responsabilidades dos
gesto
1.5.3
Papis e Responsabilidades dos Senior
Gesto
1.5.3
CISO
1.5.3
Comit Gestor
1.8.3 Alinhamento Estratgico Metrics
Anexo 1.3 Relao de Informaes
Resultados de Governana de Segurana para
Gesto Responsabilidades
O impacto de
estrutura organizacional
em segurana da informao
gesto
Restries-Overview
1.17
Governana-Exemplo
O impacto do outro
influncias sobre os papis
e responsabilidades dos
gesto
Restries-Overview
1.15.6 Custos
Pgina 29

Seo I: Panorama
25
KS1.13 Conhecimento de estruturas e linhas de autoridade organizacional
Explicao
Conceitos-chave
Existe segurana da informao em uma organizao para apoiar os seus
objectivos,
minimizar as interrupes das operaes e gerenciar riscos em uma relao
custo-benefcio
manner.To apoiar a organizao, essencial que a informao
gerente de segurana compreende a estrutura da organizao e como
responsabilidade e prestao de contas atribudo.
Estrutura organizacional
e governana
1.4
Viso global
1.5.2 mbito e Carta de Informao
Governana de Segurana
Componentes
Responsabilidades
1.5
Governo
Componentes

KS1.14 Conhecimento dos mtodos para estabelecer novo, ou utilizar os
canais existentes, elaborao de relatrios e de comunicao
em toda a organizao
Explicao
Conceitos-chave
A gesto eficaz de um programa de segurana eficaz requer informaes
flui para e a partir de todas as partes do organismo. Informaes sobre
eventos,
incidentes, ameaas e riscos de todas as partes da organizao, bem como
fontes externas, essencial para o gerenciamento de segurana. igualmente
essencial
que as informaes relevantes para manter a segurana comunicada a
gerncia e os funcionrios de toda a organizao, tanto a peridica e
base orientada a eventos.
Os tipos de informao que
deve ser comunicada
pelo informaes
gerente de segurana
1.5.4 Obteno de Alta Administrao
Compromisso
2.5.1 Comunicao de Risco, a conscincia do risco
e Consultoria
Monitoramento 2.15 Risco e Comunicao
Entendendo a quem
e quando vrios tipos
de informao deve
ser relatado pelo
gerente
Compromisso
A informao que deve ser
comunicada regularmente
pelo informaes
gerente de segurana
Compromisso
Monitoramento 2.15 Risco e Comunicao
Tipos de eventos que
deve ser comunicada

imediatamente pela
gerente
Compromisso
1.16.5 Plano de Aco Metrics
Informaes que um
gestor de segurana deve
receber, inclusive do
quem e quando
Compromisso
Anexo 1.6 Estratgia de Segurana da Informao
Participantes de Desenvolvimento
Como a comunicao
canais so desenvolvidos
Governo
Gesto
Compromisso
Integrando outro
processos de garantia
com a segurana da informao
(Convergncia)
Usando de mtricas para mostrar
tendncias e problemas
reas nas informaes
1.8
Mtrica
1.8.1 Efetivo Mtricas de Segurana
1.8.2 Mtricas de implementao de governana
Pgina 30

Seo I: Panorama
26
KS1.15 Conhecimento dos mtodos para selecionar, implementar e

interpretar mtricas (por exemplo, os principais indicadores de metas [KGIs]
principais indicadores de desempenho [KPIs], indicadores-chave de risco
[KRIs])
Explicao
Conceitos-chave
"Mtricas" um termo usado para as medies com base em um ou mais
referncias e envolve pelo menos dois pontos-a medio eo
referncia. Segurana, no seu sentido mais bsico, a proteo contra ou
ausncia de perigo. Literalmente, mtricas de segurana deve nos dizer sobre
o estado
ou grau de segurana em relao a um ponto de referncia. Segurana
Contempornea
mtricas freqentemente deixam de faz-lo ao nvel operacional e no geral
gesto de uma program.While segurana da informao normalmente h
inmeras mtricas tcnicas disponveis, estes so de pouco valor a partir de
uma
de gesto ou de governana standpoint.Technical mtricas estratgicas dizer
nada sobre o alinhamento estratgico com os objetivos organizacionais ou
como bem
risco est a ser gerido, pois eles fornecem algumas medidas de conformidade
com a poltica
ou se os objectivos para nveis aceitveis de impacto potencial esto sendo
chegou, e eles no fornecem nenhuma informao sobre se a informao
programa de segurana est indo na direo certa e alcanar o desejado
resultados. importante entender que o propsito fundamental
de mtricas, medidas e monitoramento de apoio deciso. Para mtricas
para
ser til, a informao que fornecem devem ser relevantes para os papis e
responsabilidades do destinatrio para que decises informadas podem ser
feitas. Para
fins de mtricas e monitoramento de governana, KGIs, KPIs e Kris so
normalmente o mais til para fins estratgicos e de gesto.
Estratgico e
mtricas de gesto
1.8
Mtrica
KGIs
1.8.3 Alinhamento Estratgico Metrics
1.8.4 Mtricas de Gesto de Riscos
1.8.5 Valor Metrics Entrega
1.8.6 Gesto de Recursos Mtricas

1.8.7 Medio de Desempenho
(Convergncia)
3.16 Segurana Metrics Programa e
Monitorao
KPIs
KRIs
Monitorao
recursos sugeridos para um estudo mais aprofundado
Allen, Julia H.; " Governar para Enterprise Security ", Carnegie
Mellon University, EUA, 2005, ww.sei.cmu.edu/reports/05tn023.pdf
Allen, Julia H.; Jody Westby R.; Governar para Enterprise Security
(GES) Guia de Implementao , Carnegie Mellon University, EUA,
De 2007, www.sei.cmu.edu/reports/07tn020.pdf
Brotby, W. Krag e TI Governance Institute; Informao
Governana de Segurana: Orientao para Conselhos de Administrao e
Diretoria Executiva, 2
Edio , ISACA, EUA, 2006

Brotby, W. Krag e TI Governance Institute; Informao
Governana de Segurana: Orientao para a Segurana da Informao
Gerentes , ISACA, EUA, 2008
Rodada de Negcios ", Information Security Adenda ao
Princpios de Governana Corporativa ", Abril de 2003,
www.businessroundtable.org
Frum de Segurana da Informao, The 2011 Standard de Boas Prticas
de Segurana da Informao, Reino Unido, 2011,
www.isfsecuritystandard.com/SoGP07/index.htm
International Organization for Standardization (ISO), Cdigo de
Prtica de Gesto de Segurana da Informao, ISO / IEC 17799,
Sua, 2005
ISACA, o modelo comercial para Segurana da Informao , EUA, 2010
ISACA, COBIT 4.1, EUA, 2007, www.isaca.org / COBIT
ISACA, COBIT 5, EUA, 2012, www.isaca.org / COBIT
ISACA, Desbloqueio Valor: Um Sumrio Executivo sobre a Critical
Papel da Governana de TI , EUA, 2008
Kiely, Laree; Terry Benzel; S ystemic de Gesto de Segurana ,
Libertas Press, EUA, 2006, www.classic.marshall.usc.edu/
assets/004/5347.pdf
McKinsey and Institutional Investors Inc., "McKinsey / KIOD
Pesquisa sobre Governana Corporativa ", Janeiro de 2003
Instituto Nacional de Padres e Tecnologia (NIST),

Controles de segurana recomendadas para o Federal Information
Systems, NIST 800-53, EUA, 2009, www.csrc.nist.gov/
publications/nistpubs/800-53-Rev3/sp800-53-rev3-final_updatederrata_05-01-2010.pdf
Organizao para a Cooperao Econmica e Desenvolvimento
(OCDE), Diretrizes para a Segurana de Sistemas de Informao e
Redes: para uma Cultura de Segurana , Frana, 2002,
www.oecd.org/dataoecd/16/22/15582260.pdf
Sherwood, John; Andrew Clark, David Lynas; Empresa
Arquitetura de segurana: um negcio abordagem orientada , CMP
Books, EUA, 2005, www.sabsa.org
Tarantino, Anthony; Guia do Gerente de Compliance:
Sarbanes-Oxley, COSO, ERM, COBIT, IFRS, Basilia II,
Da OMB A-123, ASX 10, Princpios da OCDE, Turnbull Orientao,
Melhores prticas e estudos de caso , John Wiley & Sons Inc.,
EUA, 2006
O Grupo Revoluo, Seventh Annual Global Information
Pesquisa de Segurana , EUA, 2009
Nota: Publicaes em negrito so estocados na ISACA Bookstore.
Pgina 31

Seo I: Panorama
27
1.3 Perguntas de auto-avaliao
Perguntas
Questes do exame CISM so desenvolvidos com a inteno de medir
e teste de conhecimento prtico em segurana da informao
gesto. Todas as questes so de mltipla escolha e que se destinam
para uma melhor resposta. Cada pergunta CISM tem uma haste (pergunta)
e quatro opes (opes de resposta). O candidato solicitado a escolher
a resposta correta ou a melhor das opes. A haste pode ser em
a forma de uma pergunta ou uma declarao incompleta. Em alguns casos,
um cenrio ou uma descrio do problema pode tambm ser includo. Estes
perguntas normalmente incluir uma descrio de uma situao e exigem
o candidato a responder a duas ou mais questes com base na
informaes fornecidas. Muitas vezes uma pergunta exame CISM
vai exigir que o candidato a escolher o mais provvel ou melhor resposta.
Em todos os casos, o candidato obrigado a ler a pergunta
cuidado, eliminar respostas incorretas conhecidos e, em seguida, fazer a
melhor escolha possvel. Sabendo o formato em que as perguntas so
perguntou, e como estudar para adquirir conhecimento do que vai ser testado,
ir percorrer um longo caminho para respond-las corretamente.
1-1 Uma estratgia de segurana importante para uma organizao
PRINCIPALMENTE porque fornece:
A. uma base para determinar a melhor segurana lgica
arquitetura para a organizao.
B. inteno gesto e orientao para as atividades de segurana.
C. fornece aos usurios orientaes sobre como operar com segurana em
as tarefas dirias.
D. ajuda auditores de TI garantir a conformidade.
1-2 O MAIS importante razo para se certificar que no bom
comunicao sobre a segurana em todo o
organizao :
A. para tornar a segurana mais palatvel para os trabalhadores resistentes.
B. porque as pessoas so o maior risco de segurana.
C. informar as unidades de negcios sobre a estratgia de segurana.
D. em conformidade com regulamentos que exigem todos os funcionrios so
informado sobre a segurana.
1-3 O ambiente regulatrio para a maioria das organizaes
exige uma srie de atividades relacionadas segurana. MAIS
importante que o gerente de segurana da informao:
A. confiar em conselho corporativo para aconselhar que os regulamentos
so os mais relevantes.
B. ficar atualizado com todos os regulamentos e pedido relevantes
interpretao jurdica.
C. envolver todos os departamentos afetados e tratar os regulamentos
como apenas mais um risco.
D. ignorar muitos dos regulamentos que no tm dentes.
1-4 O MAIS considerao importante no desenvolvimento de segurana
polticas que:
A. eles so baseados em um perfil de ameaa.
B. eles esto completos e nenhum detalhe deixado de fora.
C. gesto assina neles.
D. todos os empregados ler e entend-los.
1-5 O PRIMRIA objetivo de segurana na criao de bom
procedimentos :
A. para se certificar que funciona como pretendido.
B. que eles so inequvocas e cumprir as normas.
C. que ser escrito em linguagem simples e amplamente
distribudo.
D. que a conformidade pode ser monitorizada.
1-6 A atribuio de funes e responsabilidades sero MAIS
eficaz se:
A. existe apoio da alta administrao.
B. as atribuies sejam compatveis com proficincias.
C. papis so mapeados para as competncias exigidas.

D. responsabilidades so realizadas numa base voluntria.
1-7 Os PRIMRIA organizaes de benefcios derivam eficaz
governana da segurana da informao a seguinte:
A. garantir a conformidade regulamentar adequado.
B. garantir nveis aceitveis de perturbao.
C. priorizar a alocao de recursos de reparao.
D. maximizar o retorno sobre os investimentos em segurana.
1-8 Da perspectiva de um gerente de segurana da informao, a
MAIORIA fatores importantes sobre a reteno de dados so:
A. negcios e os requisitos regulamentares.
Integridade B. documento e destruio.
C. disponibilidade de mdia e armazenamento.
D. confidencialidade de dados e criptografia.
1-9 papel que est na melhor posio para rever e confirmar
a adequao de uma lista de acesso do usurio?
Proprietrio A. Dados
Gerente de segurana B. Informaes
Administrador C. Domnio
Gerente D. Negcios
1-10 Na implementao de governana de segurana da informao, a
gerente de segurana da informao PRINCIPALMENTE
responsvel por:
A. desenvolver a estratgia de segurana.
B. rever a estratgia de segurana.
C. comunicar a estratgia de segurana.
D. aprovar a estratgia de segurana.
Pgina 32

Seo I: Panorama
28
Respostas a perguntas de auto-avaliao
1-1 B
A estratgia de segurana ir definir inteno gesto
e orientao para um programa de segurana. Deve tambm ser
uma declarao de como a segurana se alinha com e suportes
objetivos de negcio, e fornece a base para o bom
governana de segurana.
1-2 B
Comunicaes so importantes para garantir a continuidade
o conhecimento das polticas e procedimentos de segurana.
As comunicaes so uma importante ferramenta de monitoramento

para o gerente de segurana a ter em conta o potencial
problemas de segurana. Falhas de segurana so, na maioria
de casos, diretamente atribuveis falta de conscincia
ou falha de funcionrios para acompanhar os procedimentos.
1-3 C
Embora possa ser til para ficar a par de toda a corrente
e regulamentos emergentes, pode se tornar um fulltempo de trabalho, por si s. Departamentos como humano
recursos, finanas e jurdica so mais frequentemente sujeitos
a nova regulamentao e deve, portanto, estar envolvido
para determinar a melhor forma de atender a existente e
requisitos emergentes e, normalmente, seria mais
cientes desses regulamentos. Tratar regulamentos
outro risco coloca na perspectiva correta e
os mecanismos para lidar com eles j deveriam
existir. O fato de que existem tantos regulamentos
torna improvvel que todos eles podem ser especificamente
abordadas de forma eficiente. Muitos no possumos
consequncias significativas e, de fato, pode ser
dirigida pelo cumprimento de outros regulamentos. O
mais relevante resposta s exigncias regulatrias
para determinar o impacto potencial para a organizao apenas
como deve ser feito com qualquer outro risco.
1-4 A
A base para as polticas de segurana relevantes devem ser baseadas
sobre ameaas viveis para a organizao, priorizados pelo
seu potencial impacto sobre o negcio. A mais estrita
polticas se aplicam s reas de maior risco. Este
garante que a proporcionalidade mantida e grande
esforo no gasta em ameaas improvveis ou ameaas
com impactos triviais.
1-5 B
Todas as respostas so obviamente importantes, mas
o primeiro critrio deve ser o de assegurar que no existe
ambiguidade nos procedimentos e que, a partir de uma segurana
perspectiva, encontram-se as normas aplicveis e,
portanto, em conformidade com a poltica. Embora seja importante
para se certificar de que os procedimentos funcionar como o esperado, o
fato de que eles no o fazem no pode ser uma questo de segurana.
1-6 B
O nvel de eficcia dos funcionrios ser
ser determinado por seu conhecimento existente e
capacidades, em outras palavras, os seus proeficincias.
Apoio gesto snior sempre importante, mas
no essencial para a eficcia das atividades dos funcionrios.

Mapeando funes para as tarefas que so necessrias podem ser
til, mas no garantia de que as pessoas podem realizar
as tarefas necessrias.
1-7 B
O resultado final dos esforos de segurana garantir
empresa pode continuar com um nvel aceitvel de
perturbao que no se atente indevidamente restringir receita
produtoras de actividades. As outras opes so teis, mas
resultados subordinados tambm.
1-8 A
Integridade, disponibilidade e confidencialidade so fundamentais
fatores de segurana da informao, no entanto, de negcios
e os requisitos regulamentares so os fatores determinantes
para reteno de dados.
1-9 A
O proprietrio responsvel por dados peridica
reconfirmao das listas de acesso para sistemas que ele / ela
possui. O gerente de segurana da informao responsvel
da coordenao da lista de acesso do usurio comentrios, mas
no tem qualquer responsabilidade sobre acesso a dados. O
administrador de domnio pode tecnicamente fornecer o
acesso, mas ele / ela no aprov-lo. D escolha
incorreto, pois o gerente de negcios pode no ser
o proprietrio dos dados.
1-10 A
O gerente de segurana da informao responsvel
para o desenvolvimento de uma estratgia de segurana baseada em negcios
objetivos com a ajuda de donos de processo de negcio.
Rever a estratgia de segurana da responsabilidade
de um comit de direco. A segurana da informao
gerente no necessariamente responsvel por
comunicar ou aprovar a estratgia de segurana.
Pgina 33

Seo Dois: Contedo
29
Seo Dois: Contedo
1.4 Segurana da Informao Governana
Viso global
A informao pode ser definido como "dados dotados de significado
e propsito. "Ela desempenha um papel fundamental em todos os aspectos de

nossas vidas.
Informao tornou-se um componente indispensvel
realizao de negcios para praticamente todas as organizaes. Numa cultura
nmero de empresas, a informao o negcio.
Aproximadamente 80 por cento das infra-estruturas crticas nacionais
do mundo desenvolvido so controlados pelo setor privado. Acoplado
muitas vezes com burocracias ineficientes, incontveis conflitantes
jurisdies e instituies envelhecimento incapaz de adaptar-se a lidar com
florescente crime informao global, uma preponderncia da tarefa
de proteger os recursos de informao crticos para a sobrevivncia est
caindo
inequivocamente sobre os ombros das empresas.
Para realizar a tarefa de proteo adequada para obter informaes
recursos, a questo deve ser levantada para uma atividade em nvel de placa,
como so
outras funes crticas de governana. A complexidade, a relevncia
e criticidade de segurana da informao e seu mandato de governao
que seja dirigida e apoiada ao mais alto organizacional
nveis. Em ltima anlise, a alta administrao eo conselho de administrao
so responsveis pela governana da segurana da informao e deve
providenciar a necessria liderana, estruturas organizacionais e
processos para assegurar que a governana da segurana da informao uma
parte integrante e de gesto transparente da empresa.
Cada vez mais, aqueles que compreendem o alcance ea profundidade do risco
informao assumir a posio de que, como um recurso crtico,
informaes devem ser tratadas com o mesmo cuidado, cautela e
prudncia que qualquer outro ativo essencial para a sobrevivncia do
organizao e, talvez a sociedade, iria receber.
Muitas vezes, o foco da proteo tem sido sobre os sistemas de TI que
processar e armazenar a grande maioria da informao em vez
sobre a prpria informao. Mas esta abordagem muito estreita para
realizar o nvel de integrao, garantia de processo e, em geral
segurana necessrio. A segurana da informao tem o maior
ver que o contedo, a informao eo conhecimento baseado em
isso, devem ser adequadamente protegidos, independentemente de como ele
tratado,
processado, transportado ou armazenado.
A gerncia executiva est cada vez mais confrontadas com a necessidade
para se manter competitivo na economia global e atender a promessa
de cada vez maiores ganhos com a implantao de mais informaes
recursos. Mas mesmo como organizaes colher esses ganhos, a
aumento da dependncia de informaes e os sistemas que
apoi-lo, e fazer avanar o risco de uma srie de ameaas, esto forando
gesto a tomar decises difceis sobre como efetivamente
abordar a segurana da informao. Alm disso, dezenas de novas e

leis e regulamentos existentes so cada vez mais exigentes
conformidade e nveis mais elevados de prestao de contas.
governo
Da segurana perspectiva, a informao de uma organizao
governana cada vez mais crtica, como a dependncia de
informao cresce.
Informao, definido como "dados dotados de significado e
propsito ", a substncia do conhecimento. O conhecimento , por sua vez,
capturado, transportado e armazenado como informao organizada.
Mais de uma dcada atrs, Peter Drucker observou que,
"O conhecimento est rapidamente se tornando o nico fator de produtividade,
deixando de lado tanto o capital eo trabalho ".
Para a maioria das organizaes, informaes e do conhecimento
sobre ele, um dos seus ativos mais importantes, sem os quais
realizao de negcios no seria possvel. Os sistemas e
processos que lidam com esta informao se tornou generalizada
todo empresas e organizaes governamentais globalmente.
Esta dependncia das organizaes em suas informaes e
os sistemas que lidar com isso, juntamente com os riscos, benefcios e
oportunidades que esses recursos presentes, fizeram informao
governana da segurana uma faceta crtica da governao global. Em
Alm de abordar os requisitos legais e regulamentares, em vigor
governana da segurana da informao simplesmente um bom
negcio. Prudente
gesto tem vindo a entender que ele fornece uma srie de
benefcios significativos, incluindo:
Dirigindo-se ao aumento do potencial de responsabilidade civil ou legal
inuring para a organizao e gerncia snior, como resultado
de inexatido de informaes ou a falta de diligncia na sua
proteo ou a conformidade regulatria inadequada
Fornecer garantia de conformidade com a poltica
Aumentar a previsibilidade e reduzir a incerteza dos negcios
operaes, reduzindo o risco de definvel e nveis aceitveis
Fornecer a estrutura e quadro para otimizar alocaes
recursos de segurana de limitados
Fornecer um nvel de garantia de que as decises importantes no so
com base em informaes erradas
Fornecer uma base firme para o risco eficiente e eficaz
gesto, melhoria de processos, resposta e incidente rpida
gesto de continuidade
Proporcionar uma maior confiana nas interaes com negociao
parceiros
Melhorar a confiana no relacionamento com os clientes
Proteger a reputao da organizao

Ativao de novas e melhores maneiras de processar transaes eletrnicas
Proporcionar a responsabilidade pela salvaguarda de informaes durante
atividades empresariais crticos, tais como fuses e aquisies,
recuperao de processos de negcios, e resposta regulatria
A gesto eficaz dos recursos de segurana da informao
Finalmente, porque novas tecnologias da informao fornece a
potencial para a melhora drasticamente o desempenho dos negcios,
segurana da informao eficaz pode adicionar um valor significativo para o
organizao, reduzindo perdas de eventos relacionados segurana
e prestao de garantias de que os incidentes de segurana e violaes so
no catastrfico. Alm disso, as evidncias sugerem que a melhoria
percepo no mercado de que resultou no aumento do valor de aes.
Page 34

Seo Dois: Contedo
30
1.4.2 resultados das informaes de segurana
governo
Governana da segurana da informao inclui os elementos necessrios
para fornecer garantia da alta administrao que sua direo e
inteno se refletem na postura de segurana da organizao
atravs da utilizao de uma abordagem estruturada para a implementao de
uma segurana
programa. Uma vez que esses elementos esto no lugar, a alta administrao
pode ter certeza que a segurana da informao adequada e eficaz
vai proteger os ativos de informao vitais da organizao.
O objetivo da segurana da informao desenvolver, implementar
e gerir um programa de segurana que atinge as seguintes seis
resultados bsicos de governana de segurana eficaz :
1. Alinhamento estratgico - Alinhando segurana da informao com
estratgia de negcios para apoiar os objetivos organizacionais, tais como:
Os requisitos de segurana impulsionada por exigncias empresariais que
so cuidadosamente desenvolvido para fornecer orientaes sobre o que deve
ser
feito e uma medida de quando tiver sido alcanado
As solues de segurana apto para processos empresariais que levem em
conta a cultura, o estilo de governana, tecnologia e estrutura
da organizao
O investimento em segurana da informao que est alinhado com o
estratgia empresarial e bem definida ameaa, vulnerabilidade e
perfil de risco
2. Gesto de riscos - A execuo de medidas adequadas para
mitigar riscos e reduzir os impactos potenciais sobre a informao
recursos para um nvel aceitvel, tais como:
A compreenso coletiva da ameaa da organizao,
vulnerabilidade e perfil de risco
Entendimento da exposio ao risco e as consequncias potenciais de
compromisso
conscincia das prioridades de gesto de risco com base em potencial
conseqncias
Mitigao de risco suficiente para alcanar conseqncias aceitveis
de risco residual
aceitao de risco / deferncia com base em um entendimento do
conseqncias potenciais de risco residual
3. entrega de valor - Otimizando investimentos em segurana em apoio
dos objetivos do negcio, tais como:
Um conjunto padro de prticas de segurana, ou seja, a segurana da linha
de base
requisitos seguintes prticas adequadas e suficientes
proporcional ao risco e potencial de impacto
Um esforo devidamente priorizadas e distribuda para reas com
maior impacto e benefcio do negcio
solues institucionalizadas e baseadas em padres comoditizados
Solues completas, abrangendo organizao e processo, bem
como a tecnologia baseada na compreenso da extremidade de ponta-anegcio da organizao
Uma cultura de melhoria contnua com base no entendimento
que a segurana um processo, no um evento
. 4 Gesto de recursos - Usando segurana da informao
conhecimento e infra-estrutura eficiente e eficaz para:
Certifique-se de que o conhecimento capturado e disponvel
processos e prticas de segurana de documentos
Desenvolver arquitetura (s) de segurana para definir e utilizar
recursos de infra-estrutura de forma eficiente
5. medio do desempenho - Acompanhamento e relatrios sobre
processos de segurana da informao para garantir que os objetivos so
conseguida, incluindo:
A definio, conjunto de mtricas acordados e significativa que
esto devidamente alinhados com os objetivos estratgicos e fornece
as informaes necessrias para decises eficazes no estratgico,
gesto e os nveis operacionais
Processo de medio que ajuda a identificar falhas e
fornece feedback sobre os progressos realizados resolver problemas
Verificao independente fornecida por avaliaes externas
e auditorias
6. Integrao - A integrao de todos os fatores relevantes para a garantia de

garantir que os processos de operar da forma pretendida de ponta a ponta:
Determine todas as funes de garantia organizacionais.
Desenvolver relaes formais com outras funes de garantia.
Coordenar todas as funes de garantia de segurana mais completa.
Certifique-se de que os papis e responsabilidades entre a garantia
funes se sobrepem.
Empregar uma abordagem de sistemas para planejamento de segurana da
informao,
implantao e gerenciamento.
1,5 eficaz de informaes de segurana
governo
Governana da segurana da informao da responsabilidade do conselho de
administrao
de administrao e gesto executiva. Deve ser um integrante
e parte de gesto transparente da empresa, e complemento
ou abranger a estrutura de governana de TI. Enquanto executivo
gesto tem a responsabilidade de analisar e responder a
estas questes, os conselhos de administrao cada vez mais ser esperado
para fazer a segurana da informao uma parte intrnseca da governana,
integrado com os processos que tm em lugar de governar outro
recursos organizacionais crticos.
De acordo com os desenvolvedores do modelo de negcio para
Segurana da Informao (BMIS) (ver seco 1.5.6) , "No mais
suficiente para se comunicar com o mundo de interessados por isso que [os
organizao] existem e que constitui o sucesso, devemos tambm
comunicar como vamos proteger a nossa existncia. "
Isto sugere que uma estratgia organizacional clara para a preservao
igualmente importante, e deve acompanhar, uma estratgia
para o progresso.
Julia Allen da Carnegie Mellon University (CMU) aponta que:
Governar para os meios de segurana da empresa
vendo a segurana adequada como um noexigncia negocivel de estar no negcio.
Se-incluindo a gesto de uma organizao
conselhos de administrao, executivos e todos
gestores de no estabelecer e reforar o
necessidade de negcios para segurana corporativa eficaz,
estado desejado da organizao de vontade segurana
no ser articulado, alcanar, ou sustentada. para
alcanar uma capacidade sustentvel, organizaes
deve fazer a segurana da empresa a responsabilidade
de lderes a nvel da governao, no de outro
papis organizacionais que no tm a autoridade,
prestao de contas e recursos para agir e fazer cumprir
cumprimento.
Pgina 35

Seo Dois: Contedo
31
Alm da proteo dos ativos de informao, informao eficaz
governana de segurana necessria para abordar legal e regulamentar
requisitos e est se tornando obrigatrio no exerccio do devido cuidado.
A partir de qualquer ponto de vista, deve ser considerado simplesmente um
bom negcio.
Governana corporativa o conjunto de responsabilidades e prticas
exercido pelo conselho e diretoria executiva com o objetivo
de fornecer orientao estratgica, assegurando que os objetivos so
alcanado, determinar que o risco gerenciado de forma adequada e
verificao de que os recursos da empresa so utilizados de forma
responsvel.
A direo estratgica do negcio ser definido pelo negcio
metas e objetivos. A segurana da informao deve apoiar os negcios
atividades para ser de valor para a organizao.
Governana da segurana da informao um subconjunto do corporativo
governana, que fornece orientao estratgica para as atividades de
segurana
e assegura que sejam alcanados os objetivos. Ele garante que
risco a segurana da informao seja adequadamente gerido e empresa
recursos de informao so utilizados de forma responsvel.
Para alcanar efetiva governana de segurana da informao,
gesto deve estabelecer e manter um quadro de
orientar o desenvolvimento e gesto de um abrangente
programa de segurana da informao que suporta os objetivos de negcios.
O quadro de governao geralmente consistem em:
1. A estratgia de segurana abrangente intrinsecamente ligada
objetivos de negcios
2. Que regem as polticas de segurana que tratam cada aspecto da estratgia,
controles e regulao
3. Um conjunto completo de padres para cada poltica para garantir que
procedimentos e diretrizes cumprir com a poltica
4. Uma estrutura organizacional de segurana vazio eficaz de conflitos
de interesse com suficiente autoridade e recursos adequados
5. Mtricas institucionalizadas e processos de monitoramento para garantir
conformidade, fornecer feedback sobre a eficcia e fornecer o
base para as decises de gesto adequadas

Este quadro, por sua vez, fornece a base para o desenvolvimento
de um programa de segurana da informao de custo-benefcio que suporta
objetivos de negcio da organizao. Implementao e gesto de
um programa de segurana coberto no captulo 3, Segurana da Informao
Programa de Desenvolvimento e Gesto. O objectivo da
o programa um conjunto de atividades que proporcionam a garantia de que
ativos de informao dado um nvel de proteco proporcional
com o seu valor ou com o risco seu compromisso representa para a
organizao. As relaes entre a governana corporativa,
gesto de riscos, segurana de TI, segurana da informao, controles
arquitetura e os outros componentes de uma estrutura de governana
esto representados na exposio de 1,2 . Embora a ligao entre TI e
segurana da informao pode ocorrer em vrios nveis mais altos, a estratgia
o ponto onde a segurana da informao deve integr-lo, a fim
para atingir os seus objectivos.
1.5.2 mbito e Carta de informao
segurana Governao
Informaes de segurana lida com todos os aspectos de informao,
seja falada, escrita, impressa, eletrnica ou relegada a qualquer
outro meio, independentemente de saber se est sendo criado, visto,
transportados, armazenados ou destrudos. Esta contrastado com TI
segurana, que est preocupado com a segurana da informao dentro
os limites do domnio da tecnologia, geralmente em um de priso
Anexo 1.2-Relao de Componentes de Governana
Segurana Fsica
Polticas
Normas
Procedimentos
Objetivos de Controle
Arquitetura lgica
Operacional
Arquitetura
Controles
Informaes
Segurana
Segurana
Arquitetura
Contextual
Arquitetura
Conceptual
Arquitetura
Outcomes
Requisitos
Governo
Objetivos
Estratgia
Normas
Procedimentos
Polticas
TI
Outcomes
Requisitos
Governo
Objetivos
Estratgia
IT Security Standards
Procedimentos
Polticas de Segurana de TI
Enterprise Governance
Gesto de Riscos
Pgina 36

Seo Dois: Contedo
32
capacidade. Normalmente, a informao confidencial divulgado num elevador
conversao ou enviados via correio postal estaria fora do escopo
de segurana de TI. Do ponto de vista da segurana da informao, no
entanto,
a natureza e tipo de compromisso no importante, o facto
segurana foi violada o que importante.
No contexto da governana da segurana da informao, importante
que o escopo e as responsabilidades de segurana da informao so
claramente estabelecido na estratgia de segurana da informao.
A Governana Corporativa Grupo de Trabalho da Segurana Nacional
Parceria, uma fora-tarefa de lderes empresariais e governamentais, tem
identificou um conjunto de princpios para ajudar a implementao do guia
governana eficaz da segurana da informao:
CEOs devem realizar uma avaliao anual de segurana da informao,
analisar os resultados com o pessoal e informar sobre o desempenho do
conselho de administrao.
As organizaes devem realizar avaliaes de risco peridicas de
ativos de informao, como parte de um programa de gesto de riscos.
As organizaes devem implementar polticas e procedimentos baseados
em avaliaes de risco para proteger os ativos de informao.
As organizaes devem estabelecer uma estrutura de gesto de segurana
atribuir explcita indivduo papis, responsabilidades, autoridade

e prestao de contas.
As organizaes devem desenvolver planos e iniciar aes para
fornecer segurana da informao adequada para redes, instalaes,
sistemas e informaes.
As organizaes devem tratar a segurana da informao como parte
integrante
parte do ciclo de vida do sistema.
As organizaes devem fornecer a conscincia da segurana da informao,
treinamento e educao para o pessoal.
As organizaes devem realizar testes peridicos e avaliao de
a eficcia das polticas de segurana da informao
e procedimentos.
As organizaes devem criar e executar um plano de remediao
ao para corrigir eventuais deficincias de segurana da informao.
As organizaes devem desenvolver e implementar incidente
procedimentos de resposta.
As organizaes devem estabelecer planos, procedimentos e testes para
proporcionar a continuidade das operaes.
As organizaes devem usar a segurana de boas prticas de orientao,
tais como ISO / IEC 27002, para medir a segurana da informao
desempenho.
1.5.3 Funes e responsabilidades de altos
AdministRao
Conselhos de Administrao / Gesto Senior
Governana da segurana da informao requer direo estratgica
e impulso. Ela exige compromisso, recursos e atribuio
responsabilidade pela gesto de segurana da informao, bem como
um meio para a placa para determinar que a sua inteno foi cumprida.
Governana eficaz da segurana da informao pode ser realizado
apenas pelo envolvimento da alta administrao na aprovao de polticas e
monitoramento e mtricas juntamente com comunicao adequada e
anlise de tendncias.
Os membros do conselho precisam estar cientes da organizao do
ativos de informao e sua criticidade para negcios em andamento
operaes. O conselho deve ser periodicamente fornecido com o
resultados de alto nvel das avaliaes de riscos abrangentes e negcios
anlise de impacto (BIA). Um resultado dessas atividades deve incluir
membros do conselho de validao / ratificao dos principais ativos que eles
querem
protegidos e que os nveis de proteo e as prioridades so apropriadas
a um padro de diligncia.
O tom no topo deve ser propcio para a segurana eficaz
governana. No razovel esperar que o pessoal de nvel mais baixo
a cumprir as medidas de segurana se eles no so exercidos por snior
gesto. A gerncia executiva de endosso intrnseco

requisitos de segurana fornece a base para assegurar que a segurana
expectativas so atendidas em todos os nveis da empresa. As penalidades
para
descumprimento deve ser definida, comunicada e executada
da placa de nvel baixo.
Alm desses requisitos, o conselho tem a obrigao permanente
para fornecer um nvel de superviso das actividades de informao
segurana. Dada a responsabilidade legal e tica de diretores
de exercer o devido cuidado na proteo chave da organizao
ativos, o que incluiria a sua confidenciais e outro crtico
informao, um nvel constante de envolvimento e superviso de
necessria a segurana da informao.
Mais especificamente, h uma srie de razes pelas quais
tornando-se essencial para os diretores a ser envolvido, e fornecer
superviso, atividades de segurana da informao. Uma preocupao comum
para os conselhos de administrao de responsabilidade civil. A maioria das
organizaes, para proteger
se de aes judiciais de acionistas, fornecer seguro especfico
para criar um nvel de proteco para o conselho no exerccio de sua
responsabilidades de governana. No entanto, um requisito tpico para
o seguro para dar cobertura requer administrao para o exerccio
um esforo de boa f no exerccio devido cuidado no exerccio das
suas funes. Negligenciar a abordar o risco de segurana da informao pode
ser considerada uma falha de exercer o devido cuidado e pode anular a
proteo oferecida pelo seguro.
Alm disso, existem regulamentos, como os EUA Sarbanes-Oxley
Lei que exigem que todas as empresas listadas em um estoque EUA
troca manter um comit de auditoria com um nvel necessrio de
experincia e competncia comprovada. Este comit muitas vezes
composta por membros do conselho de administrao da empresa. Um
de as principais responsabilidades do comit o monitoramento contnuo
de controles internos da organizao que afetam diretamente a
fiabilidade das demonstraes financeiras. A maioria dos controles financeiros
so, em
verdade, tcnica, bem como de procedimentos, com a parte tcnica
geralmente sob o escopo do gerente de segurana. Portanto,
importante que o gestor de segurana manter um canal aberto de
comunicao com esse comit.
Finalmente, os investidores institucionais e outros tm vindo a compreender
que as perspectivas de longo prazo para uma organizao so fortemente
impactado pelo estado geral de governana. Um nmero de
organizaes rating corporativo agora fornecer um rating de governana
ou mtrica com base num nmero de factores. A falha em fornecer uma
nvel adequado de governao e de apoio s actividades que protegem
os principais ativos da organizao susceptvel de ser refletido na

essas pontuaes. O peso e relevncia das pontuaes ser
impulsionado pelos impactos e conseqncias sofridas pelas organizaes
que sofrem a perda de informao crtica e sensvel significativo.
A linha inferior que um conselho de administrao que no fornece uma
Pgina 37

Seo Dois: Contedo
33
nvel de direo, superviso e os requisitos para a adequada
mtricas estar sujeito a um grau crescente de responsabilidade e
interveno regulamentar.
Gesto Executiva
A implementao de governana de segurana eficaz e definir o
objetivos estratgicos de segurana de uma organizao pode ser um
complexo,
tarefa rdua. Tal como acontece com qualquer outra iniciativa importante, ele
deve ter
liderana e apoio contnuo de gesto executiva para
suceder. Negligncia benigna, a indiferena ou hostilidade no
susceptvel de conduzir a resultados satisfatrios.
Alm disso, muitas vezes confrontados com presses de desempenho
enquanto a segurana tem que lidar com riscos e questes regulatrias. Estes
imperativos muitas vezes cair em extremos opostos do espectro. O
resultado pode ser a tenso entre a TI e segurana, e importante
que a administrao promove a cooperao, arbitra diferenas de
perspectiva e claro sobre as prioridades para que um equilbrio adequado
entre o desempenho, custo e de segurana pode ser mantida.
Desenvolvendo uma estratgia eficaz de segurana da informao requer
integrao e cooperao dos proprietrios de processos de negcios.
Um resultado positivo o alinhamento da segurana da informao
atividades de apoio aos objetivos de negcios. A extenso em
qual atingida determina a rentabilidade do
programa de segurana da informao para atingir o objetivo desejado
de fornecer um nvel previsvel, definido de garantia para o negcio
processos e um nvel aceitvel de impacto a partir de eventos adversos.
Equipa de gesto executiva de uma organizao responsvel
para garantir que os necessrios funes organizacionais, recursos e
infraestrutura de suporte esto disponveis e devidamente utilizados para
cumprir as directivas relacionadas com a segurana de informaes do
conselho,
conformidade regulamentar e outras demandas.

Geralmente, a gerncia executiva olha para a informao
gerente de segurana para definir o programa de segurana da informao
e sua posterior gesto. Muitas vezes, a segurana da informao
gerente tambm esperado para fornecer educao e orientao para
a equipa de gesto executiva. Ao contrrio de estar a deciso
maker, o papel do gerente de segurana da informao nesta situao
muitas vezes constrangidos a apresentao de opes e decises chave
informaes de suporte, ou seja, um conselheiro.
Envolvimento executivo visvel fundamental para o sucesso de um
programa de segurana da informao, bem como para a eficcia da sua
gerenciamento contnuo. Como conseqncia, a segurana da informao
gerente deve se esforar para educar a gerncia executiva
equipe sobre essa necessidade. Mais importante, a segurana da informao
gestor deve coordenar seu envolvimento em especfico
atividades, tais como informaes trimestrais comentrios de risco, novas
sistemas de informao go / no-go reunies, etc importante que
o gerente de segurana da informao para usar o executives'time
boa vantagem. O gerente de segurana da informao deve garantir que
o executivo tem um papel especfico, ser fornecido com especfico
informaes, e tem decises especficas a fazer quando envolvidos em
atividades de gesto de segurana da informao.
A gerncia executiva define o tom para a segurana da informao
gesto dentro da organizao. O nvel de visvel
envolvimento ea incluso de informaes de gesto de risco em
atividades de negcios e decises indicar aos outros gerentes
o nvel de importncia de que eles tambm esto a ser aplicadas a risco
gesto para as atividades dentro de suas organizaes. Muitas vezes, estes
indicadores no-oficial tem o maior impacto sobre a organizao do
adoo de gesto de segurana da informao como um plenamente
reconhecido
funo de negcios. Esta a noo de que os auditores se referem como "tom
no
the top "e se reflete na cultura da organizao.
Comit Gestor
At certo ponto, de segurana afeta todos os aspectos de uma
organizao. Para
ser eficaz, deve ser difundida por toda a empresa. Para
garantir que todas as partes interessadas afetadas por consideraes de
segurana
esto envolvidos, muitas organizaes usam um comit de direco
composto por representantes de alto nvel dos grupos afetados. Este
facilita a obteno de um consenso sobre as prioridades e as
compensaes. Tambm
serve como um canal de comunicao eficaz e proporciona um
base contnua para assegurar o alinhamento do programa de segurana

com os objetivos de negcios. Ele tambm pode ser um instrumento para
alcanar
modificao do comportamento em direo a uma cultura mais propcio para
boa segurana.
Temas comuns, agendas e decises para a direo de segurana
comit incluem:
estratgia de segurana e os esforos de integrao, especialmente os
esforos para
integrar a segurana com as atividades da unidade de negcios
Aces especficas e progresso em relao ao suporte da unidade de
negcios de
funes do programa de segurana da informao, e vice-versa
risco emergente, as prticas de segurana da unidade de negcios e
questes de conformidade
O gerente de segurana da informao deve se certificar de que os papis,
responsabilidades, o alcance e as atividades de segurana da informao
comit de direo esto claramente definidos. Isto deve incluir a clara
objetivos e temas para evitar baixa produtividade ou o frum
tornar-se desviado de assuntos estranhos.
importante que os materiais sejam distribudos, avaliaes encorajados
e discusses de solues realizada antes da comisso de pleno
reunies para que a reunio pode ser focado em resolver
problemas e tomando decises. O uso de subcomisses e /
ou atribuies de aco individuais so apropriadas para este tipo de
estratgia de gesto.
CISO
Todas as organizaes tm um oficial de segurana da informao principal
(CISO), se algum tem esse ttulo ou no. Pode ser o CIO,
diretor de segurana (CSO), diretor financeiro (CFO) ou,
em alguns casos, o executivo-chefe (CEO). O alcance ea
amplitude de segurana da informao hoje tal que a autoridade
necessria ea responsabilidade assumida inevitavelmente acabar com
um oficial de nvel C ou gerente executivo. A responsabilidade legal vai,
por padro, estender-se a estrutura de comando e, finalmente,
residir com a alta administrao eo conselho de administrao.
No reconhecer isso e implementar a governana apropriada
estruturas pode resultar em alta administrao desconhecer
essa responsabilidade ea responsabilidade atendente. tambm geralmente
resulta em uma falta de alinhamento eficaz das actividades de segurana com
objetivos organizacionais.
Pgina 38
Seo Dois: Contedo

34
A posio CISO vem ganhando popularidade ao longo dos ltimos
dcada medida que mais e mais organizaes designar um CISO ou CSO
papel. Esta tendncia foi claramente refletido no do Grupo Revoluo
Stimo Relatrio anual global de Segurana da Informao em que
eles observaram que "... mais as empresas esto contratando OSC ou chefe
agentes de segurana da informao (CISOs). Oitenta e cinco por cento dos
entrevistados disseram que suas empresas tm agora um executivo de
segurana,
acima de 56 por cento no ano passado e 43 por cento em 2006. Pouco menos
um tero do relatrio CISOs para CIOs, 35 por cento, para os CEOs e
28 por cento para os conselhos de administrao ". (Usado com permisso,
pelo
Grupo Revolution)
Cada vez mais, uma gesto prudente elevar a posio do
o oficial de segurana da informao para uma posio de nvel C ou
executivo
como as organizaes comeam a entender a sua dependncia de
informao e as crescentes ameaas a ela. Assegurar a posio
existe, juntamente com a responsabilidade, autoridade e necessrio
recursos, demonstra gesto e conselho de administrao
conscincia e empenho na solidez da segurana da informao
governana.
As responsabilidades e autoridade de segurana da informao
gerentes variar drasticamente entre as organizaes, embora
eles esto em ascenso no mundo. Isto pode ser atribudo ao
crescente conscincia da importncia desta funo impulsionado por
falhas cada vez mais espetaculares de segurana eo crescimento
perdas que resultam. Estas responsabilidades actualmente variam entre
o CISO ou vice-presidente de relatrios de segurana para o CEO
para os administradores de sistemas que tm a responsabilidade a tempo
parcial para
gerenciamento de segurana que poderiam informar o gerente de TI ou CIO.
1.5.4 Funes de Informaes de Segurana e
responsabilidades
Desde segurana da informao abrange todas as divises e departamentos
em uma empresa, em certa medida, a implementao de uma segurana eficaz
governana e definio dos objectivos estratgicos de segurana de um
organizao geralmente uma tarefa complexa. Ela exige liderana
e suporte contnuo da gerncia snior para ter sucesso.
Sem o apoio da alta administrao e uma informao eficaz
estrutura de governana da segurana, integrado com a empresa global
governana e objectivos definidos, difcil para o

informao gerente de segurana de saber o que os objetivos de orientar o
programa para, para determinar os processos de governana timas ou
desenvolver mtricas de programas significativos.
Uma vez que um gerente de segurana da informao desenvolveu a
segurana
estratgia com a entrada de unidades de negcios-chave, a aprovao do
estratgia pela alta administrao necessria. Uma vez que este
tipicamente
um assunto complicado, o gerente de segurana da informao pode
preciso primeiro educar os gerentes seniores sobre os aspectos de alto nvel do
segurana da informao e apresentar a estratgia global para reviso. A
apresentao alta administrao que descreve os vrios aspectos
da estratgia de segurana em geral ter lugar para apoiar e
explicar a documentao que o gerente de segurana da informao
submetido. Infelizmente, em muitas organizaes, o valor verdadeiro
de segurana de sistemas de informao no se torna aparente at
eles falham.
Em algumas organizaes, pode haver um nvel inadequado
de compromisso de gesto e segurana da informao
gerentes pode ser restringida em sua eficcia. Sob estas
circunstncias, pode ser til fazer um esforo para educar
gerncia snior nas reas de conformidade regulamentar e
dependncia da organizao em seus ativos de informaes. Pode tambm
ser til ao risco de documento e os impactos potenciais enfrentados pela
organizao, certificando-se que a gerncia snior informado de
os resultados e os considera aceitveis.
A gerncia snior estar em uma posio melhor para apoiar a segurana
iniciativas se forem educados sobre como os sistemas crticos de TI devem
a continuidade da operao da empresa, bem como outros aspectos
de segurana da informao. Alm disso, h muitas vezes significativa
confuso sobre a regulamentao aplicvel organizao. Ele
ser til para fornecer uma viso geral dos regulamentos pertinentes,
requisitos de conformidade e as possveis sanes se o
organizao est fora de conformidade.
Alm disso, a gesto eficaz da segurana da informao tambm
requer integrao e cooperao da organizao e
gesto de unidade de negcio.
Um nvel adequado de apoio segurana da informao snior
gesto evidente por:
aprovao e apoio a estratgias de segurana formais Limpar
e polticas
Monitoramento e medio de desempenho organizacional em
implementao de polticas de segurana
Apoiar a sensibilizao e formao para todos os agentes de segurana
em toda a organizao
Recursos adequados e autoridade suficiente para implementar e
manter as atividades de segurana
Tratar a segurana da informao como uma questo de negcios crticos e
a criao de um ambiente de segurana positivo
Demonstrar a terceiros que a organizao lida com
segurana da informao de uma forma profissional
Fornecimento de superviso e controle de alto nvel
Periodicamente rever a eficcia da segurana da informao
Dar o exemplo aderindo a segurana da organizao
polticas e prticas
Em muitos casos, apoio gesto de informaes insuficientes
segurana no um problema de apatia, mas a falta de entendimento.
A segurana da informao raramente uma parte da administrao geral
especializao ou educao. Como tal, gerentes, executivos no podem
apreciar plenamente o que se espera deles, a estrutura de um
programa de gesto de segurana da informao, ou como tal
programa deve ser integrado e operado. Muitas vezes, produtivo
para coordenar oficinas para ajudar os gerentes de alto nvel em ganhar
uma compreenso mais clara dessas questes, e estabelecer expectativas
do necessrio apoio e recursos.
Em outros casos, o apoio aos programas de segurana da informao pode
ser limitado por razes financeiras ou outras. As informaes
gestor de segurana deve reconhecer essas limitaes, priorizando
e maximizar os efeitos dos recursos disponveis para alm
trabalhar com a administrao para desenvolver recursos adicionais.
Pgina 39

Seo Dois: Contedo
35
Obteno de Compromisso de Gesto Senior
A apresentao formal a tcnica mais utilizada
o gerente de segurana da informao pode usar para proteger snior
compromisso de gesto e suporte de segurana da informao
polticas de gesto, normas e estratgia.
A apresentao formal para a gerncia snior usado como um meio
para educar e comunicar os principais aspectos da segurana global
programa. Aceitao facilitada pela segurana da informao
gerente aplicando aspectos comuns de casos de negcios em toda a
o processo de aceitao (ver seco 3.13.6 Business Case
Desenvolvimento). Estas podem incluir:
Alinhar os objetivos de segurana com os objetivos de negcios, permitindo

que
gerncia snior para compreender e aplicar as polticas de segurana
e procedimentos
Identificar potenciais consequncias de no conseguirem alcanar um certo
objectivos relacionados com a segurana e conformidade regulatria
Identificar itens do oramento para que a alta administrao pode
quantificar os custos do programa de segurana
Utilizando comumente aceita o risco do projeto / benefcio ou financeira
modelos, como o custo total de propriedade (TCO) e retorno sobre o
investimento (ROI), para quantificar os benefcios e os custos da
Definir as medidas de controlo e auditoria, que ser
includo no programa de segurana
Tambm deve-se notar que, enquanto a alta administrao pode
apoiar o programa de segurana, tambm imperativo que todos os
os funcionrios a compreender e respeitar os parmetros de segurana
definidas e postas em prtica. Sem a aceitao dos funcionrios, que
pouco provvel que o programa de segurana vai ser bem sucedido e
ele no vai atingir seus objetivos. muito importante para o snior
de gesto a ser visto praticando governana de segurana. Para
exemplo, se um sistema de controlo de acesso fsico implementado no
organizao; alta administrao deve respeitar o mesmo
regras de acesso e restries quando aplicada.
Estabelecimento de notificao e comunicao Canais
Depois de obter o comprometimento da alta administrao, uma
canal de informao e comunicao adequada deve ser estabelecida
em toda a organizao para garantir a eficcia e
eficincia de todo o sistema de governana da segurana da informao.
Relatrios formais peridica ao conselho de administrao / executivo
gesto importante para tornar a gesto snior ciente de
o estado da governao da segurana da informao. Um bem organizado
apresentao face-a-face alta administrao pode ser realizada
periodicamente e incluem proprietrios de processos de negcios como
usurios-chave
do sistema. A apresentao deve ser bem mapeado com
apresentaes anteriores utilizados para a obteno programa de apoio e
segurana
compromisso e pode conter:
Situao da implantao do sistema baseado na
estratgia aprovada
comparao resultado geral BIA (antes e aps a implementao)
Estatsticas de ameaas detectadas e prevenidas, como meio de
demonstrar o valor
Identificar os links mais fracos de segurana na organizao e
potenciais consequncias de compromisso

anlise de dados de medio de desempenho suportado com
relatrios de avaliao externa independente de auditoria, se disponveis
Abordar o alinhamento contnuo para os objetivos de negcios crticos,
processos de operao, ou ambientes corporativos
Exigir a aprovao de planos de renovao, bem como relacionados
rubricas oramentais
Alm de apresentaes formais, comunicao rotina
canais tambm so cruciais para o sucesso da informao
programa de segurana. Existem quatro grupos que necessitam de diferentes
comunicao a considerar: listados abaixo seguido de sugestes
das aes do gestor de segurana da informao deve comprometer-se a
ser eficazes
Alta Administrao
- Reunies de estratgia de negcios Participar para se tornar mais conscientes
e
compreender as estratgias de negcios atualizados e objetivos
- peridicas one-to-one reunies realizadas com a gerncia snior para
compreender os objetivos do negcio a partir de sua perspectiva
Donos de Processo de Negcios
- Junte-se reunies de avaliao de operao para realizar os desafios e
requisitos das operaes dirias e suas dependncias
- Iniciar mensais one-to-one reunies realizadas com diferentes
proprietrios de processos para ganhar o apoio contnuo no
implementao de governana de segurana da informao e
abordar questes relacionadas com a segurana individual atuais
Outros itens de gerenciamento
- gerentes de linha, supervisores e chefes de departamento acusados
com vrios segurana e gesto relacionadas com os riscos
funes, incluindo a garantia de exigncia de segurana adequada
sensibilizao para o cumprimento de polticas, deve ser informado do seu
responsabilidades.
Funcionrios
- programas de formao e educao oportunas
- Centralizado programa on-board de treinamento para novas contrataes
- Material de educao organizacional sobre as estratgias atualizados
e polticas
- Pessoal instrudo a acessar a intranet ou baseadas em e-mail
notificaes para lembretes peridicos ou ad hoc adaptaes
- Suporte a gerncia snior e proprietrios de processos de negcios por
atribuio de um coordenador de governana da segurana da informao
dentro de cada unidade funcional para obter feedback preciso de
prticas cotidianas em tempo hbil
A relao entre os resultados de segurana eficaz
governana e gesto responsabilidades mostrado na
exibem 1.3 . Estes no so feitos para ser abrangente, mas apenas

indicam alguns nveis de gesto e as tarefas principais para
quais so responsveis.
1.5.5 Governana, Gesto de Risco e
Observncia
Governana, gesto de risco e compliance (GRC) um exemplo
do crescente reconhecimento da necessidade de convergncia, ou
integrao de processos de garantia, como discutido na seo 1.8.8.
GRC um termo que reflete uma abordagem que as organizaes podem
adotar, a fim de integrar essas trs reas. Muitas vezes indicado como um
atividade de negcios nico, GRC inclui mltiplas sobreposies e
atividades relacionadas dentro de uma organizao, o que pode
incluir auditoria interna, programas de conformidade, como a
EUA Sarbanes-Oxley Act, a gesto de risco empresarial (ERM),
risco operacional, gerenciamento de incidentes e outros.
Pgina 40

Seo Dois: Contedo
36
Governana , como discutido anteriormente, de responsabilidade
da gesto executiva snior e se concentra em criar a
mecanismos de uma organizao utiliza para garantir que o pessoal siga
processos e polticas estabelecidas.
A gesto de riscos o processo pelo qual uma organizao
gerencia o risco a nveis aceitveis dentro de tolerncias aceitveis,
identifica riscos potenciais e seus impactos associados, e prioriza
sua mitigao com base nos objetivos de negcio da organizao ..
A gesto de risco desenvolve e implanta controles internos para
gerenciar e mitigar os riscos em toda a organizao.
Compliance o processo que registra e monitora as polticas,
procedimentos e controles necessrios para garantir que as polticas e
normas sejam devidamente respeitados.
importante reconhecer que a integrao eficaz de GRC
processos exige que o governo est no lugar antes de risco pode ser
geridos de forma eficaz e cumprimento forado.
De acordo com Michael Rasmussen, analista do setor GRC,
o desafio na definio de GRC que, individualmente, cada termo
tem "muitos significados diferentes dentro das organizaes. Tem
governana corporativa, governana de TI, risco financeiro, estratgico
risco, risco operacional, risco de TI, compliance corporativa,
Sarbanes-Oxley (SOX), emprego / trabalho
cumprimento, cumprimento privacidade, etc "

Desenvolvimento de GRC foi inicialmente uma resposta para os EUA
Lei Sarbanes-Oxley, mas tem evoludo como uma abordagem para o
Enterprise
Gesto de Riscos.
Anexo 1.3-Relao dos Resultados de Governana de Segurana da
Informao para Gesto Responsabilidades
Gesto
Nvel
Estratgico
Alinhamento
Gesto de Riscos
Valor Entrega
Atuao
Medio
Recurso
Gesto
Processo
Garantia
Conselho de Administrao
Exigir
demonstrvel
alinhamento.
Estabelecer risco
tolerncia.
Supervisionar a poltica
de risco.
Certifique-se de regulamentar
cumprimento.
Exigir relatrios
de atividade de segurana
custos.
Exigir relatrios
de segurana
eficcia.
Supervisionar a poltica
do conhecimento
e gesto
recurso a utilizao.
Supervisionar uma poltica de
processo de garantia
integrao.
Executivo
gesto
Processos Instituto
para integrar a segurana

com o negcio
objetivos.
Certifique-se de que os papis
e
responsabilidades
incluem risco
gesto em
todas as actividades.
Monitor de
reguladora
cumprimento.
Exigir negcio
estudos de caso de
iniciativas de segurana.
Exigir monitoramento
e mtricas para
atividades de segurana.
Certifique-se de processos
para o conhecimento
capturar e
mtricas de eficincia.
Fornecer superviso
de toda a segurana
funes e planos
para a integrao.
Comit de pilotagem Reviso e auxiliar
estratgia de segurana
e integrao
esforos.
Certifique-se de que
negcio
proprietrios apoio
integrao.
Identificar emergente
risco, promover
unidade de negcios
prticas de segurana
e identificar
questes de conformidade.
Rever e aconselhar
sobre a adequao dos
iniciativas de segurana
para servir de negcios
funes.
Rever e aconselhar
se a segurana
iniciativas atender
objetivos de negcios.
Processos de reviso
para o conhecimento
capturar e
disseminao.
Identificar crtico
processos de negcios
e garantia
prestadores de servios.
garantia direto
esforos de integrao.
CISO / informao
segurana
gesto
Desenvolver o
estratgia de segurana,
supervisionar a
e iniciativas e
a ligao com negcios
proprietrios de processos para
alinhamento contnuo.
Certifique-se de que o risco
e negcios
impacto
avaliaes so
realizada.
Desenvolver risco
mitigao
estratgias.
Aplicar poltica
e regulamentar
cumprimento.
Monitore a utilizao
ea eficcia dos
recursos de segurana.
Desenvolver e
implemento
e monitorizao
mtricas se aproxima,
e direta e
monitorar a segurana
actividades.
Desenvolver mtodos
para o conhecimento
capturar e
disseminao e
desenvolver mtricas para
eficcia e
eficincia.
Articular com
outra garantia
prestadores de servios.
Certifique-se de que as lacunas
e sobreposies so
identificado e
abordadas.
Executivos de auditoria
Avaliar e
informar sobre grau de
alinhamento.
Avaliar e
informar sobre
riscos corporativos
gesto
prticas e
resultados.
Avaliar em relatrio
na eficincia.
Avaliar e reportar
na eficincia
ou recurso
gesto.
Avaliar e
eficincia relatrio
ou recurso
gesto.
Avaliar e reportar
eficcia
processos de garantia
realizada por
diferentes reas
gesto.
Fonte: ISACA, Governana de Segurana da Informao: Guia de
Informao Gerentes de Segurana , direitos 2008.All reservados. Usado com
permisso.
Pgina 41

Seo Dois: Contedo
37
Enquanto um programa GRC pode ser utilizado em qualquer rea de um
organismo,
ele geralmente focada em reas financeira, e legais. Financeiro
GRC usado para garantir o funcionamento adequado dos processos
financeiros e
conformidade com os requisitos regulamentares. De um modo semelhante, TI
GRC visa assegurar o funcionamento ea adequada poltica de conformidade
de TI
processos. GRC Legal podem se concentrar em conformidade regulatria
geral.
H algum desacordo sobre a forma como estes aspectos de GRC so
definido, mas o Gartner afirmou que o mercado amplo GRC
inclui as seguintes reas:
Finanas e auditoria GRC
gesto de GRC TI
gerenciamento de riscos corporativos
Gartner divide ainda mais o mercado de gesto de TI GRC no
seguinte principais recursos (embora a lista a seguir relaciona-se
IT GRC, uma lista semelhante de recursos seria adequado para a outra
reas de GRC):
Controles e biblioteca poltica
Poltica de distribuio e resposta
controles de TI de auto-avaliao (CSA) e medio
repositrio de ativos de TI
Controle automatizado computador geral (GCC) coleo
Gesto e Remediao de exceo
Relatrios
Avanada de TI de avaliao de risco e conformidade dashboards
1.5.6 modelo de negcio para informaes de segurana
O Modelo de Negcios para Segurana da Informao (BMIS) originou
no Instituto de Proteo de Informaes infra-estruturas crticas
na Marshall School of Business da University of Southern
Califrnia, nos EUA. ISACA empreendeu o desenvolvimento
do Modelo de Gesto Sistmica de Segurana. O BMIS
tem uma abordagem orientada para o negcio de gesto de informaes
segurana, com base nos conceitos fundamentais desenvolvidos pela
Instituto. O modelo utiliza o pensamento sistmico para esclarecer complexo
relaes dentro da empresa e, portanto, a forma mais eficaz
gerenciar a segurana. Os elementos e interconexes dinmicas

que forma a base do modelo de estabelecer os limites de
um programa de segurana da informao e modelo de como o programa
funes e reage s mudanas internas e externas. O BMIS
fornece o contexto para quadros como o COBIT.
A essncia da teoria de sistemas que um sistema precisa ser visto
forma holstica, e no apenas como uma soma de suas partes, de modo preciso
entendido. Uma abordagem global examina o sistema como um
unidade funcional completa. Outro princpio da teoria de sistemas que
uma parte do sistema permite a compreenso de outras partes do
sistema. "Pensamento sistmico" um termo amplamente reconhecido que se
refere
ao exame de como os sistemas interagem, como sistemas complexos
funcionam e por que "o todo mais que a soma de suas partes."
A teoria dos sistemas descrito com mais preciso como um complexo
rede de eventos, relaes, reaes, conseqncias,
tecnologias, processos e pessoas que interagem em muitas vezes invisvel
e formas inesperadas. Estudar os comportamentos e resultados de
as interaes podem ajudar o gerente a compreender melhor
o sistema organizacional ea forma como ele funciona. Enquanto
gesto de qualquer disciplina dentro da empresa pode ser
reforada por abord-lo a partir de uma perspectiva de pensamento sistmico,
sua implementao certamente vai ajudar com o gerenciamento de risco.
O sucesso que a abordagem de sistemas tem alcanado em outro
campos um bom pressgio para os benefcios que ela pode trazer para a
segurana. A freqncia
falhas dramticas das empresas para abordar adequadamente as questes de
segurana
nos ltimos anos devem-se, de forma significativa, a sua incapacidade
para definir a segurana e apresent-lo de uma forma que seja compreensvel
e relevantes para todas as partes interessadas. Utilizando uma abordagem de
sistemas para
gesto de segurana da informao vai ajudar a segurana da informao
gestores abordar ambientes complexos e dinmicos, e vontade
gerar um efeito benfico sobre a colaborao dentro da empresa,
adaptao mudana operacional, a navegao de incerteza estratgica
e tolerncia do impacto de fatores externos. O modelo
representado na exposio 1.4 .
Tal como ilustrado na exposio de 1,4 , o modelo melhor visualizado como
uma
tridimensional, a estrutura flexvel, em forma de pirmide composta de
quatro elementos ligados entre si por seis interligaes dinmicas.
Todos os aspectos do modelo de interagir umas com as outras. Se qualquer um
parte do modelo alterado, no abordados ou geridos
de forma inadequada, o equilbrio do modelo potencialmente em risco.
As interconexes dinmicas atuar como tenses, exercendo uma presso / pull

fora em reao s mudanas na empresa, permitindo que o modelo
para se adaptar, conforme necessrio.
Exhibit Modelo 1.4-Business de Segurana da Informao
Os quatro elementos do modelo so:
1. Projeto Organizao e Estratgia -Uma organizao um
rede de pessoas, bens e processos que interagem uns com os
outro em papis definidos e trabalhando em direo a um objetivo comum.
Estratgia de uma empresa especifica seus objetivos de negcio e os
objectivos a atingir, bem como os valores e as misses a
ser perseguido. a frmula da empresa para o sucesso e conjuntos
seu sentido bsico. A estratgia deve adaptar-se a externo e
factores internos. Os recursos so o principal material para a concepo
a estratgia e pode ser de diferentes tipos (pessoas, equipamentos
know-how).
ORGANIZAO
Projeto / Estratgia
PESSOAS
TECNOLOGIA
PROCESSO
E
M
E
R
G
E
N
C
E
Fatores Humanos
C
U
L
T
U
R
E
GOVERNADORES
A
R
C
H
Eu
T
E
C
T
U
R
E
E
N
A
B
L
IN
G
&
S
U
P
P
O
R
T
Pgina 42

Seo Dois: Contedo
38
Projeto define como a organizao implementa sua estratgia.
Processos, cultura e arquitetura so importantes na determinao
o design.
2. Pessoas -Os recursos humanos e as questes de segurana que
cerc-los. Ela define quem implementa (atravs do desenho)
cada parte da estratgia. Ele representa um coletivo humano e
deve levar em conta os valores, comportamentos e tendncias.
Internamente, fundamental para o gerente de segurana da informao
para trabalhar com os recursos humanos e departamentos jurdicos de
abordar questes tais como:
estratgias de recrutamento (de acesso, verificao de antecedentes,
entrevistas, papis e responsabilidades)
As questes do emprego (localizao de escritrio, acesso a ferramentas e
dados, treinamento e conscientizao, o movimento dentro da empresa)
Resciso (razes para sair, calendrio de sada, os papis e
responsabilidades, acesso a sistemas, acesso a outros funcionrios)
Externamente, clientes, fornecedores, meios de comunicao, as partes

interessadas e
outros podem ter uma forte influncia sobre a empresa e precisa
para ser considerado dentro da postura de segurana.
3. Processo -Inclui mecanismos formais e informais (grande
e pequeno, simples e complexo) para fazer as coisas e
fornece uma ligao vital para todas as interligaes dinmicas.
Processos identificar, mensurar, gerenciar e controlar o risco,
disponibilidade, integridade e confidencialidade, e eles tambm garantir
prestao de contas. Eles derivam da estratgia e implementao da
parte operacional do elemento organizao.
Para ser vantajoso para a empresa, os processos devem:
Conhea os requisitos de negcios e alinhar com a poltica
Considere surgimento e ser adaptvel a mudanas de requisitos
Seja bem documentados e comunicados a adequada
recursos humanos
ser revistas periodicamente, uma vez que eles esto no lugar, para garantir
eficincia e eficcia
4. Tecnologia -Composto por todas as ferramentas, aplicaes
e infra-estrutura que tornam os processos mais eficientes. Como
evoluindo elemento que experimenta mudanas freqentes, tem a sua
risco dinmica prpria. Dada a dependncia da empresa tpica em
tecnologia, a tecnologia constitui uma parte essencial da empresa de
infra-estrutura e um componente crtico no cumprimento de sua
misso.
Tecnologia muitas vezes visto pela equipe de gesto da empresa
como uma forma de resolver as ameaas segurana e risco. Enquanto
tcnico
controles so teis para mitigar alguns tipos de risco, tecnologia
no deve ser visto como uma soluo de segurana da informao.
A tecnologia est muito impactado pelos usurios e por organizacional
cultura. Algumas pessoas ainda desconfiam da tecnologia, alguns
no aprenderam a us-lo, e outros acham que diminui-los.
Independentemente do motivo, os gestores de segurana da informao
deve estar ciente de que muitas pessoas vo tentar contornar tcnico
controlos.
Interligaes Dinmicas
As interconexes dinmicas ligar os elementos e
exercer uma fora multidirecional que empurra e puxa, como as coisas
alterar. As aes e comportamentos que ocorrem na dinmica
interconexes pode forar o modelo de equilbrio ou traz-lo
de volta ao equilbrio. Os seis interligaes dinmicas so:
1. Governana de direo da empresa e exigente estratgico
liderana. Que regem os limites conjuntos dentro do qual uma empresa
funciona e implementado no mbito dos processos para monitorar
desempenho, descrever as atividades e alcanar a conformidade enquanto

tambm proporcionar capacidade de adaptao a condies emergentes.
Administrao incorpora assegurar que os objetivos so determinados
e definidas, determinar que o risco gerenciado de forma adequada,
e verificando que os recursos da empresa so utilizados
de forma responsvel.
2. Cultura -Um padro de comportamentos, crenas, suposies,
atitudes e maneiras de fazer as coisas. emergente e aprendido,
e cria uma sensao de conforto.
Cultura evolui como um tipo de histria compartilhada como um grupo
passa por um conjunto de experincias comuns. Aqueles semelhante
experincias causar determinadas respostas, que se tornam um conjunto
do esperado e comportamentos compartilhados. Estes comportamentos
tornam-se
regras no escritas, que se tornam normas que so compartilhados por
todas as pessoas que tm essa histria comum. importante
compreender a cultura da empresa porque profundamente
influencia o que a informao considerada, como interpretado
eo que ser feito com ele.
Cultura pode existir em vrios nveis, como nacional (legislao /
regulamentao, polticas e tradicionais), organizacionais (polticas,
estilo hierrquico e expectativas) e social (famlia,
etiqueta). Ele criado a partir de fatores externos e internos,
e influenciado por e influencia padres organizacionais.
3. Habilitao e Apoio a interligao dinmica que
conecta o elemento de tecnologia para o elemento de processo. Um
maneira de ajudar a garantir que as pessoas cumpram com segurana tcnica
medidas, polticas e procedimentos para tornar os processos utilizvel
e fcil. A transparncia pode ajudar a gerar aceitao para
controles de segurana por usurios garantindo que a segurana no vai inibir
sua capacidade de trabalhar de forma eficaz.
Muitas das aes que afetam tanto a tecnologia e os processos
ocorrer na capacitao e apoiar a interligao dinmica.
As polticas, normas e orientaes devem ser projetados para suportar
as necessidades do negcio, reduzindo ou eliminando conflitos
de interesse, mantendo-se flexvel para suportar a mudana negcio
objetivos, e sendo aceitvel e fcil para as pessoas para seguir.
4. Emergence -conota tona, desenvolvimento, crescimento e
evoluo, e refere-se a padres que surgem na vida do
empresa que parece ter nenhuma causa bvia e cuja
resultados parecem impossveis de prever e controlar. O
interconexo dinmica emergncia (entre as pessoas e
processos) um lugar para apresentar possveis solues, tais como
loops de feedback; alinhamento com a melhoria de processos e
considerao de questes emergentes no ciclo de vida do projeto do sistema,
controle de mudanas e gerenciamento de risco.

5. Fatores Humanos -Representa a interao e abertura
entre tecnologia e pessoas e, como tal, crtico para um
programa de segurana da informao. Se as pessoas no entendem
como usar a tecnologia, no abraar a tecnologia ou ser
no seguir as polticas pertinentes, srios problemas de segurana pode
evoluir. Ameaas internas, como o vazamento de dados, roubo de dados e
Pgina 43

Seo Dois: Contedo
39
uso indevido de dados pode ocorrer dentro desta interligao dinmica.
Fatores humanos podem surgir por causa do nvel de experincia, cultural
experincias e perspectivas de geraes diferentes. Porque
fatores humanos so componentes crticos na manuteno do equilbrio
dentro do modelo, importante treinar todos da empresa de
recursos humanos em matria de competncias pertinentes.
6. Architecture -A encapsulamento abrangente e formal da
as pessoas, processos, polticas e tecnologias que compem um
prticas de segurana da empresa. A informao de negcio robusto
arquitetura essencial para a compreenso da necessidade de segurana
e projetar a arquitetura de segurana.
no interior da interligao dinmica arquitectura que o
empresa pode garantir a defesa em profundidade. O projeto descreve
como os controles de segurana esto posicionados e como eles se relacionam
com
a arquitetura de TI em geral. Uma arquitetura de segurana da empresa
facilita recursos de segurana em todas as linhas de negcios em um
consistente e de forma eficaz em termos de custos e permite que as empresas
ser pr-ativo com suas decises de investimento de segurana.
1.5.7 garantia de processo de integraoConvergncia
A tendncia a segurana segmento em separado, mas relacionado
funes criou a necessidade de integrar a variedade de garantia
processos encontrados em uma organizao tpica. Essas atividades so
muitas vezes fragmentado e segmentado em silos com relato diferente
estruturas. Eles tendem a usar uma terminologia diferente e, geralmente,
refletem diferentes entendimentos de seus processos e resultados
com, s vezes, pouco em comum. Estes silos de garantia pode incluir
gesto de risco, gesto da mudana, interna e externa
auditoria, escritrios de privacidade, escritrios de seguro, recursos humanos

(RH),
legal e outros. Avaliar os processos de negcio do incio ao
terminar (junto com seus controles), independentemente do que especial
processo de garantia est envolvido, pode atenuar a tendncia de
falhas de segurana que existe entre as vrias funes de garantia.
GRC, discutido anteriormente na seo 1.5.5, um recente esforo para
problemas de integrao endereo entre as principais funes do
governana, gesto de risco e conformidade.
O BMIS coberto na seo 1.5.6 um esforo atual pela ISACA
desenvolver uma abordagem totalmente integrada para a segurana da
informao
usando uma abordagem de sistemas.
Convergncia
Durante vrias dcadas, ficou claro que a diviso arbitrria de
actividades relacionadas com a segurana em segurana fsica, segurana de
TI, risco
gesto, a privacidade, compliance, segurana da informao e outros
disciplinas no foi propcio para alcanar os melhores resultados.
As conseqncias cada vez mais terrveis de segurana nonintegrated
esforos tem causado esta separao para, cada vez mais, ser reconsiderada
por profissionais e de gesto. cada vez mais comum
ver CISOs elevados para as OSCs ou as funes combinadas para
integrar melhor os principais elementos de segurana. Segurana fsica para
muitas organizaes tornou-se rotineiro e mais facilmente
integrados em segurana da informao do que o contrrio.
A formao da Aliana para o Risco Enterprise Security
Management (AESRM) pela ASIS International, ISACA e do
Information Systems Security Association (ISSA) uma indicao
da tendncia nessa direo.
Porque no possvel entregar eficazmente a informao
segurana, sem um nmero de consideraes fsicas, o
evoluo natural. razovel esperar que a integrao dos
muitas atividades de segurana giram em torno da segurana da informao
na prxima dcada. Como resultado, a integrao de segurana fsica
e outras funes de garantia ser, cada vez mais, ser relevantes para
gesto a considerar.
Um trecho da Segurana Convergncia: Corporate atual
Prticas e Tendncias futuras , encomendado pelo AESRM,
fornece uma viso significativa para a convergncia, ou garantia
integrao, a questo. O estudo envolveu US base global
empresas com faturamento de EUA $ 1 bilho a mais do que
EUA $ 100 bilhes.
os resultados das pesquisas e entrevistas apontam para
vrios drivers internos e externos, ou "imperativos",
que esto forando a convergncia a surgir:

A rpida expanso do ecossistema empresarial
Valor migrao do fsico ao baseada em informaes
e os ativos intangveis
Novas tecnologias de proteo indefinio funcional
limites
Nova cumprimento e regimes regulatrios
presso contnua para reduzir custos
esses imperativos esto alterando fundamentalmente a segurana
paisagem, forando uma mudana no papel de segurana
praticantes de jogar em toda a cadeia de valor do negcio.
Por exemplo, como as discusses formais de risco se tornam mais
integrado, cross-funcional e penetrante, a expectativa
que os profissionais de segurana fsica e da informao
gerar solues conjuntas em vez de pontos de vista independentes
aumenta drasticamente. o estudo identificou uma mudana de
o estado atual, em que os profissionais de segurana foco
em sua funo, para um novo estado, em que as atividades so
integrado para melhorar o valor do negcio.
este novo "negcio da segurana" exige segurana
profissionais para reexaminar as alavancas operacionais-chave
eles tm disponveis para eles. Embora estes operacional
alavancas (por exemplo, papis e responsabilidades, gesto de riscos,
liderana) no so novos, a oportunidade de us-los em
formas inovadoras podem provar isso. Por exemplo, as pesquisas
e entrevistas apresentadas provas claras de que, como lderes
no negcio, os profissionais de segurana precisam mover
de um modelo de "comando e controle" as pessoas a um
capacitar e habilitar modelo, e desenvolver
uma viso em toda a empresa de risco ao invs de um
viso baseada em ativos
Em outras palavras, esta uma forma mais holstica e abrangente
abordagem que vai alm ativos e considera tais fatores
como cultura, estrutura organizacional e processos, tais como o
abordagem de sistemas discutido na seo 1.5.6, Modelo de Negcio
de Segurana da Informao. A anlise dos resultados da pesquisa
mostra claramente a convergncia como uma tendncia de negcios com uma
grande quantidade
de momentum. Realizar a convergncia no apenas sobre
integrao organizacional, mas sim, trata-se de integrar a
disciplinas de segurana com a misso da empresa para entregar
Pgina 44
Seo Dois: Contedo

40
valor para o acionista por meio de operaes consistentes, previsveis e
otimizar a alocao de recursos de segurana.
medida que novas tecnologias surgem e as ameaas se tornam cada vez
complexo e imprevisvel, os altos executivos de segurana reconhecer
a necessidade de fundir as funes de segurana em todo o inteiro
empresa. Um incidente recente no Sumitomo Mitsui Bank, em
Londres, Inglaterra, em que hackers tentaram roubar 220
milhes do banco, sublinha este princpio. Mesmo que o
banco teve forte de tecnologia da informao (TI) medidas de segurana
no lugar, um lapso de segurana fsica ocorreu. Adversrios posando
como zeladores instalados dispositivos em teclados de computador que
permitiram
los para obter informaes de login valioso. Esta situao
destaques e refora a necessidade de reunir-na verdade,
convergem-todos os componentes de segurana de uma organizao por meio
de
uma abordagem integrada e deliberada. Para ser eficaz, esta
abordagem convergente deve chegar atravs de pessoas, processos e
tecnologia, e permitir que as empresas para prevenir, detectar, responder a
e se recuperar de qualquer tipo de incidente de segurana.
Para alm dos custos que as empresas enfrentam para lidar com o
efeitos imediatos de um incidente, incidentes de segurana podem causar
mais caro, danos de longo prazo tais como danos reputao e
marca. Para alm do impacto de capitalizao de mercado, se o problema
ameaa o bem pblico, os reguladores podem intervir, decretando
requisitos mais rigorosos para governar prticas de negcios futuros.
1.6 Conceitos Segurana da Informao
e tecnologias
H uma srie de conceitos bsicos, termos e tecnologias
que o gerente de segurana da informao esperado completamente
entender para implementar a governana de segurana eficaz, desenvolver
uma estratgia de segurana e realizar as outras tarefas necessrias. Enquanto
conhecimento detalhado das tecnologias de segurana subjacentes no
requerido em termos de funes de gesto, necessrio
compreender os usos, benefcios e limitaes dessas tecnologias.
Os conceitos principais, termos e tecnologias que devem estar familiarizados
para todos os candidatos CISM incluem, mas no esto limitados a, aqueles
contida no glossrio no final deste manual.
Os recursos utilizados para desenvolver uma estratgia de segurana eficaz
ir incluir muitas das tecnologias identificadas, processos e
conceitos. Um bom entendimento de ambos essencial para o

desenvolvimento
uma estratgia de segurana que ir apoiar os objectivos globais
a organizao e alcanar os resultados desejados. Adicional
discusso destes temas encontrado no captulo 3.
1.7 Governana e de terceiros
Relacionamentos
Um aspecto importante da governana da segurana da informao o
regras e processos empregados ao lidar com terceiros
relaes. Estas podem incluir:
Os prestadores de servios
operaes terceirizadas
Os parceiros comerciais
organizaes incorporadas ou adquiridas
A capacidade de gerir eficazmente a segurana nessas relaes
muitas vezes um verdadeiro desafio para a segurana da informao
gerente. Isto particularmente verdade no caso de organismos
sendo mesclados. Esses desafios podem incluir diferenas culturais
que pode resultar em abordagens de segurana e de comportamento que so
no aceitvel para a organizao do gestor de segurana. L
Pode haver incompatibilidade de tecnologia entre as organizaes,
diferenas de processo que no se integram bem ou nveis inadequados
de segurana da linha de base. Outras reas de preocupao pode envolver
incidente
capacidade de resposta, continuidade de negcios e recuperao de desastres.
Para garantir que a organizao est devidamente protegido, o
gerente de segurana da informao deve avaliar os impactos de qualquer um
dos
as razoavelmente possveis falhas de terceiros de segurana que
podem se envolver com a organizao. importante
ter uma compreenso e um plano para gerenciar qualquer potencial
falhas suficiente para que os potenciais impactos esto dentro de um
intervalo aceitvel para a gesto.
As responsabilidades do gestor de segurana da informao para o endereo
os impactos de risco e possveis potenciais de relacionamentos com terceiros
deve ser claro e documentado. Tambm deve haver polticas
e normas, bem como processos que estabeleam o envolvimento
da segurana da informao, antes da criao de qualquer terceiro
relacionamento, de modo que o risco pode ser determinado gesto e pode
decidir se eles so aceitveis ou devem ser mitigados. Finalmente,
deve haver um modelo de engate entre o formalizada
organizao da segurana da informao e os grupos que estabelecem e
gerenciar relacionamentos com terceiros para a organizao.
1.8 Segurana da Informao Governana
Mtrica
"Mtricas" um termo utilizado para denotar as medies com base no

uma ou mais referncias e envolve pelo menos dois pontos-os
medio e o de referncia. Segurana, em sua forma mais bsica
significado, a proteco de, ou ausncia de perigo. Literalmente,
mtricas de segurana deve nos dizer sobre o estado ou grau de segurana
em relao a um ponto de referncia. Mtricas de segurana contemporneos,
por
Em geral, no conseguem faz-lo. Pode ser til para esclarecer a distino
entre a gesto da infra-estrutura de segurana de TI tcnico no
nvel operacional e gesto global de uma informao
programa de segurana. Mtricas tcnicas so, obviamente, teis para o
gesto operacional puramente ttica do tcnico de segurana
sistemas, ou seja, os sistemas de deteco de intruso (IDSs), servidores
proxy,
firewalls, etc Eles podem indicar que a infra-estrutura operado
de uma forma slida e que vulnerabilidades tcnicas so identificadas
e tratadas. No entanto, estas medidas so de pouco valor a partir de um
gesto estratgica ou ponto de vista de governana. Mtricas tcnicas
no dizem nada sobre o alinhamento estratgico com objetivos
organizacionais
ou quo bem o risco est a ser gerido, pois eles fornecem algumas medidas de
conformidade com a poltica ou se os objectivos para nveis aceitveis de
impacto potencial esto sendo alcanados, e, eles no fornecem informaes
se o programa de segurana da informao est indo na direita
direo e alcanar os resultados desejados.
Pgina 45

Seo Dois: Contedo
41
Do ponto de vista de gesto, embora tenha havido
melhorias nos indicadores tcnicos, eles so incapazes de
fornecendo respostas a perguntas tais como:
Como seguro a organizao?
Quanto a segurana o suficiente?
Como podemos saber quando atingimos um nvel adequado
de segurana?
Quais so as solues de segurana mais rentveis?
Como podemos determinar o grau de risco?
Como posso arriscar ser previsto?
o programa de segurana est a atingir os seus objetivos?
Que impacto a falta de segurana a ter na produtividade?
Qual o impacto que uma falha de segurana catastrfica tem?

Qual ser o impacto de solues de segurana tm sobre a produtividade?
Tenta fornecer respostas significativas a estas perguntas podem
em ltima anlise, ser abordadas somente atravs do desenvolvimento de
relevantes medidas de
mtricas que abordam especificamente as necessidades da gesto
de tomar decises apropriadas sobre a segurana da organizao.
Auditorias completa e avaliaes abrangentes de risco so tipicamente o
apenas as atividades que as organizaes se comprometem fornecer essa
amplitude
de perspectiva. Embora importante e necessria de uma segurana
ponto de vista de gesto, estes fornecem apenas histria ou uma
instantneo, e no o que est idealmente necessrias para orientar a segurana
do dia-a-dia
gesto e fornecer as informaes necessrias para fazer prudente
decises.
1.8.1 Mtricas de segurana eficaz
Em geral, difcil ou impossvel de gerenciar toda a atividade
que no pode ser medida. O objetivo fundamental de mtricas,
medidas e monitoramento de apoio deciso. Para mtricas ser
til, a informao que fornecem devem ser relevantes para os papis
e responsabilidades do destinatrio para que decises informadas podem
ser feito. Tudo o que resulta em uma mudana pode ser medido. O
chave para mtricas eficazes utilizar um conjunto de critrios para
determinar
que so as mtricas mais adequadas. Os critrios devem ser:
Significativa -A mtrica deve ser entendida pelos destinatrios.
precisa -A razovel grau de preciso essencial.
Custo-benefcio -As medies no pode ser muito caro para
adquirir ou manter.
Repetitivo -A medida deve ser capaz de ser adquirido de forma fivel
ao longo do tempo.
Predictive -As medies devem ser indicativos de resultados.
acionvel -Deve ficar claro para o destinatrio que ao deve
ser feita.
Genuine -Deve ficar claro o que est realmente a ser medido, por exemplo,
as medies que no so aleatrios ou sujeitos a manipulao.
Mtricas de segurana padro ir incluir coisas como o tempo de inatividade
devido a vrus ou cavalos de Tria, nmero de penetraes de sistemas,
impactos e perdas, os tempos de recuperao, nmero de vulnerabilidades
descoberto com varreduras de rede e percentual de servidores remendados.
Embora estas medidas podem ser indicativos de aspectos da segurana,
nenhum
fornece qualquer informao real sobre como assegurar a organizao
e provavelmente no vai satisfazer os critrios acima mencionados.
O risco operacional e sua contraparte, a segurana no facilmente medido

em qualquer sentido absoluto, mas sim, probabilidades, atributos, efeitos e
conseqncias so, normalmente, o medidor. Vrias abordagens que pode
ser til incluir o valor em risco (VAR), retorno sobre o investimento em
segurana
(ROSI), ea expectativa de perda anual (ALE). VAR usado para calcular
perda mxima provvel em um determinado perodo (dia, semana, ano)
com um nvel de confiana de 95% ou tipicamente 99%. ROSI usado para
calcular o retorno sobre o investimento com base na reduo das perdas
resultante de um controle de segurana. ALE fornece a probabilidade
anualizada
perda com base na provvel freqncia e magnitude de segurana
compromisso. Estes nmeros frequentemente especulativas pode ento ser
usada como um
base para a alocao ou justificar recursos para atividades de segurana.
Algumas organizaes tentar determinar o mximo
impactos de eventos adversos potenciais como uma medida de segurana.
Medir a segurana, conseqncias e impactos semelhante ao
medir a altura de uma rvore de quo alto um barulho que faz quando
ela cai. Em outras palavras, os acontecimentos adversos teria de ocorrer a
determinar se a segurana est funcionando. Uma ausncia de eventos
adversos
no fornece nenhuma informao sobre o estado da segurana. Isso pode
significar que
defesas trabalharam, para que ningum atacado ou que uma vulnerabilidade
foi
no descoberto. Ataques Claro, simulados com penetrao
teste pode fornecer uma medida da eficcia das defesas
contra os ataques especficos realizados. No entanto, a menos
uma percentagem estatisticamente relevante de todos os ataques possveis so
tentada, sem previso pode ser feita sobre o estado da segurana
e capacidade da organizao para resistir ao ataque.
Pode ser que tudo o que se pode afirmar com certeza sobre a segurana
o seguinte:
1. Algumas organizaes so atacadas com mais freqncia e / ou sofrer
perdas maiores do que os outros
2. H uma forte correlao entre o bom gerenciamento de segurana
e prticas e relativamente menos incidentes e perdas
Uma boa gesto ea boa governao so inextricavelmente
ligados. Medindo eficaz governana da segurana da informao
e gesto com preciso pode ser mais difcil do que
medio de segurana. Mtricas, na maioria dos aspectos, basear-se
atributos, custos e resultados subsequentes do programa de segurana.
Anexo 1.5 apresenta componentes de um segurana da informao
programa de governao e demonstra que o curso real da
governana ea capacidade de medir e reportar o desempenho,

necessria.
Anexo 1.5-Componentes de Mtricas de Segurana
Fonte: Publicao do NIST 800-55 fornece uma abordagem de mtricas de
segurana.
A noo sensata sugere que um programa de segurana bem governado
Pode ser caracterizada por uma que eficiente, eficaz e
consistentemente atende s expectativas e alcana objetivos definidos.
Pgina 46

Seo Dois: Contedo
42
Esta , no entanto, de pouca ajuda para a maioria dos organismos, uma vez
que
claro quais so as expectativas e objectivos de segurana se encontram em
nenhuma
sentido especfico.
Esforos comerciais para medir a boa governana das organizaes
como Institutional Shareholder Services (ISS) e Governana
Metrics International (GMI) no levantou-se bem ao escrutnio
de acordo com um relatrio recente de Yale intitulado Boa Governao ea
Mitos enganosas de maus Metrics (Sonnenfeld, Jeffrey; Associado
Dean para Programas Executivos na Universidade de Yale, Academy of
Management
Executivo de 2004, vol. 18, n. 1). O relatrio detalha estudos que mostram
que muitos, mas no todos, aparentemente, noes de governana de som so
no suportado pelo fato. O inverso tambm verdadeiro, no entanto, muitos
noes de governana so, de fato, apoiado pelo fato.
Porque a governana, em geral, e da governana da segurana, em
particular, difcil de medir por um conjunto de mtricas objetivas,
existe uma tendncia para utilizar a mtrica que esto disponveis,
independentemente
de demonstrar a relevncia. Um exemplo tpico aparente na maior
organizaes o uso de varreduras de vulnerabilidades como uma indicao
de segurana em geral. Indiscutivelmente, se fosse possvel eliminar todos
ou a maioria das vulnerabilidades (que no possvel), mais risco pode
ser evitada. A falcia a suposio de que algo pode
ser determinado sobre o risco, ameaa ou impacto, medindo apenas
vulnerabilidades tcnicas.
Embora no exista uma escala objetiva universal para a segurana ou a
segurana
governana, para as organizaes que tomaram as medidas necessrias

desenvolver objectivos claros para a segurana da informao, a partir de
mtricas podem ser projetados para orientar o desenvolvimento de programas
e
gesto. Essencialmente, as mtricas podem ser reduzidos a qualquer medida
dos resultados do programa de segurana da informao progredindo
em direo aos objetivos definidos. Tambm deve ser entendido que
diferentes mtricas so obrigados a fornecer informaes ao
nveis estratgico, ttico e operacional. Mtricas estratgicas
ser orientada para resultados e objectivos para o de alto nvel
Em
Boa Governao e os mitos enganosos da m
Metrics, o autor afirma que
:
a fundao do forte de nvel superior
apoio gesto fundamental, no s para o
sucesso do programa de segurana, mas tambm para o
implementao de um programa de mtricas de segurana.
este apoio estabelece um foco na segurana
dentro dos mais altos nveis da organizao.
Sem uma base slida (isto , pr-ativa
apoio dessas pessoas em posies que controlam
Ele recursos), a eficcia da segurana
programa de mtricas podem falhar quando pressionado por
poltica e limitaes de oramento.
o segundo componente de uma segurana eficaz
programa de mtricas polticas de segurana prticos
e procedimentos apoiados pela autoridade
necessrio para garantir a conformidade. Prtico
polticas e procedimentos de segurana so definidas como
aqueles que so atingveis e fornecer significativa
segurana atravs de controles adequados. Mtrica
para cumprimento no so facilmente obtidos se houver
h procedimentos em vigor.
o terceiro componente o desenvolvimento e
estabelecimento de indicadores de desempenho quantificveis
que so projetados para capturar e fornecer
dados operacionais significativas. para fornecer
dados significativos, mtricas de segurana quantificveis
devem basear-se no desempenho de segurana de TI
metas e objetivos, e ser facilmente obtidos
e vivel para medir. devem tambm ser
repetvel, proporcionar um desempenho relevante
tendncias ao longo do tempo, e ser til para o rastreamento
desempenho e direcionando recursos.

Finalmente, o programa de mtricas de segurana em si
deve enfatizar a anlise peridica consistente
dos dados de mtrica. os resultados desta anlise
so usados para aplicar as lies aprendidas, melhorar
a eficcia dos controles de segurana existentes,
e planejar controles futuras satisfazerem nova segurana
requisitos que eles ocorrem. Dados precisos
coleta deve ser uma prioridade com as partes interessadas
e usurios, se os dados coletados devem ser
significativo para a gesto e melhoria
do programa global de segurana.
o sucesso de um programa de segurana da informao
implementao deve ser julgado pelo grau
em que os resultados significativos so produzidos.
Uma anlise abrangente de mtricas de segurana
programa deve apresentar uma justificao substantiva
para decises que afetam diretamente a segurana
postura de uma organizao. essas decises
incluir oramento e pedidos de pessoal e
alocao dos recursos disponveis. A segurana
programa de mtricas deve fornecer um preciso
base para a preparao de segurana exigido
relatrios relacionados ao desempenho.
1.8.2 Mtricas de governana implementao
A implementao de uma estratgia e governana da segurana da informao
quadro pode exigir um esforo significativo. importante que
alguma forma de mtricas de estar no local durante a implementao de um
programa de governana. Desempenho do programa global de segurana
vai ser muito longe, a jusante para fornecer informaes atualizadas sobre
implementao e uma outra abordagem deve ser usado. Objetivo-chave
indicadores (KGIs) e indicadores-chave de desempenho (KPIs) pode ser
til para fornecer informaes sobre a realizao do processo
ou metas de servio, e pode determinar se organizacional
marcos e objetivos esto sendo alcanados. Porque implementao
de vrios aspectos de governana normalmente envolvem projetos
ou iniciativas, medio de projeto padro abordagens podem
servir exigncias mtricas, por exemplo, alcanar metas especficas ou
objetivos, oramento e tempo de linha de conformidade.
Pgina 47

Seo Dois: Contedo
43
1.8.3 Mtricas de alinhamento estratgico
O alinhamento estratgico de segurana da informao em apoio
objetivos organizacionais uma meta altamente desejvel, muitas vezes difcil
a atingir. Deve ficar claro que a relao custo-eficcia de
o programa de segurana est inevitavelmente relacionada ao modo como ele
suporta
os objetivos da organizao e que custo. Sem
objetivos organizacionais como um ponto de referncia, qualquer outra
medida,
incluindo as chamadas boas prticas, pode ser um exagero, inadequada ou
extravio. A partir de uma perspectiva de negcios, adequado e suficiente
prticas proporcionais s exigncias tendem a ser mais
rentvel do que as melhores prticas. Tambm provvel que sejam
recebido por melhor gesto custo-consciente.
O melhor indicador geral de que as atividades de segurana esto em
alinhamento
com os objetivos de negcios (ou organizacionais) o desenvolvimento
de uma estratgia de segurana que define os objetivos de segurana nos
negcios
termos e assegura que os objetivos esto diretamente articulada a partir de
planejamento implementao de polticas, normas, procedimentos,
processos e tecnologia. A prova de fogo a ordem inversa
avaliao de um controlo especfico de ser capaz de ser rastreado para uma
requisito de negcio especfico. Qualquer controle que no pode ser rastreado
diretamente de volta a um requisito de negcio especfico suspeito e
devem ser analisados para a relevncia e possvel eliminao.
Indicadores de alinhamento podem incluir:
A medida em que o programa de segurana permite que comprovadamente
atividades especficas de negcios
As actividades das empresas que no tenham sido realizadas ou atrasados
por causa da capacidade insuficiente para gerir o risco
Uma organizao de segurana, que sensvel ao negcio definido
requisitos com base em pesquisas empresrio
objetivos organizacionais e de segurana definidos e
claramente entendido por todos os envolvidos na segurana e afins
atividades de garantia medidos por testes de conscincia
A percentagem das actividades do programa de segurana mapeadas
aos objetivos organizacionais e validado pelo executivo
gesto
Um comit gestor de segurana composto por executivos-chave com
uma carta para assegurar o alinhamento contnuo das actividades de segurana
e
estratgia de negcios
1.8.4 Mtricas de Gesto de Risco

A gesto de riscos o objetivo final de todas as informaes
atividades de segurana e, de fato, todos os esforos de garantia
organizacionais.
Embora a eficcia da gesto de risco no est sujeita a direta
medio, h indicadores que se correlacionam com uma bem-sucedida
abordagem. Um programa de gesto de riscos bem sucedida pode ser
definido como aquele que de forma eficiente, eficaz e coerente atende
expectativas e alcana objetivos definidos.
Mais uma vez, a exigncia de que as expectativas e objetivos
de gesto de riscos ser definido, caso contrrio, no h nenhuma base para
determinar se o programa est tendo sucesso e / ou na posio
na direo certa, e se a alocao de recursos so
apropriado.
Indicadores de gesto adequada dos riscos podem incluir:
Um apetite de risco da organizao definido, ou uma tolerncia ao risco em
termos relevantes para a organizao
Uma estratgia de segurana global e um programa para alcanar
nveis aceitveis de risco
os objetivos definidos para mitigao de risco significativo identificado
Processos de gesto ou reduo dos impactos adversos
processos de gesto de riscos sistemticos e contnuos
Tendncias de avaliao peridica dos riscos que indique o progresso em
direo
metas definidas
Tendncias em impactos
A continuidade / plano de recuperao de desastres negcio testado
A integralidade da avaliao de ativos e atribuio
de propriedade
Estudos de Impacto de Negcios (AIE) de todos os crticos ou
sistemas sensveis
O objetivo fundamental da segurana da informao reduzir os impactos
adversos
sobre a organizao a um nvel aceitvel. Portanto, uma tecla
mtrica os impactos adversos de incidentes de segurana da informao
experimentado pela organizao. Um programa de segurana eficaz
ir mostrar uma tendncia na reduo do impacto. As medidas quantitativas
pode
incluir a anlise de tendncias de impactos ao longo do tempo.
1.8.5 Mtricas de entrega valor
Entrega de valor ocorre quando os investimentos em segurana so otimizados
em
apoio aos objetivos organizacionais. Entrega de valor uma funo
de alinhamento estratgico da estratgia de segurana e objetivos de negcios;
em outras palavras, quando um caso de negcios pode ser feito de forma

convincente
por todas as atividades de segurana. Nveis de investimento ideais ocorrem
quando
objetivos estratgicos para a segurana sejam alcanados e um risco aceitvel
postura atingido com o menor custo possvel.
Principais indicadores (KPIs) KGIs e podem incluir:
As actividades de segurana que so projetados para atingir estratgico
especfico
objetivos
O custo da segurana de ser proporcional ao valor dos ativos
recursos de segurana que so alocados pelo grau de risco avaliado
e impacto potencial
custos de proteo que so agregados em funo das receitas ou
avaliao de ativos
Controles que so bem desenhados com base em controle definido
objetivos e so totalmente utilizados
Um nmero adequado e apropriado de controles para alcanar
nveis de risco e de impacto aceitveis
eficcia de controle que determinado por testes peridicos
As polticas em curso que exigem todos os controles para ser periodicamente
reavaliado para o custo, conformidade e eficcia
A utilizao de controles, controles que raramente so utilizados no so
susceptvel de ser rentvel
O nmero de controles para alcanar risco e impacto aceitvel
os nveis; menos controles efetivos podem vir a ser mais custo
eficaz do que um maior nmero de controlos menos eficazes
A eficcia dos controles, conforme determinado pelo teste; marginal
controlos no so susceptveis de ser de custo eficaz
1.8.6 Mtricas de Gesto de Recursos
Gesto de recursos de segurana da informao o termo usado para
descrever os processos de planejar, alocar e controlar a informao
recursos de segurana, incluindo pessoas, processos e tecnologias,
para melhorar a eficincia ea eficcia dos negcios
solues.
Pgina 48

Seo Dois: Contedo
44
Tal como acontece com outros bens e recursos organizacionais, eles devem
ser
gerida de forma adequada. O conhecimento deve ser capturado, divulgada

e disponvel quando necessrio. Fornecendo solues mltiplas para
o mesmo problema, obviamente, ineficiente e indica um
falta de gesto de recursos. Controles e processos devem
ser padronizados, quando possvel, para reduzir administrativa e
custos de treinamento. Problemas e solues devem ser bem documentados,
referenciada e disponvel.
Indicadores de gesto de recursos eficaz podem incluir:
redescoberta problema infreqente
captura de conhecimento eficaz e disseminao
A medida em que os processos relacionados segurana so padronizados
papis e responsabilidades de informao claramente definidas
funes de segurana
funes de segurana da informao incorporada em cada
plano de projeto
O percentual de ativos de informao e ameaas relacionadas
tratadas de forma adequada as atividades de segurana
A localizao organizacional adequada, nvel de autoridade e
nmero de pessoal para a funo de segurana da informao
1.8.7 Medio de Desempenho
Medio, monitoramento e elaborao de relatrios sobre a segurana da
informao
processos necessrio para garantir que os objetivos organizacionais so
conseguida. Mtodos para monitorar eventos relacionados segurana em
todo o
organizao deve ser desenvolvido, e crtica para a concepo mtricas
que fornecem uma indicao do desempenho da segurana
mquinas e, a partir de uma perspectiva de gesto, informao
necessrias para tomar decises para orientar as atividades da segurana
organizao.
Os indicadores de medio de desempenho eficaz pode incluir:
O tempo que leva para detectar e relatar incidentes relacionados segurana
O nmero ea frequncia de, posteriormente, descobriu
incidentes no reportados
Anlise comparativa das organizaes comparveis a condenao
eficcia
A capacidade de determinar a eficcia / eficincia dos controles
indicaes claras de que os objetivos de segurana esto sendo atendidas
A ausncia de eventos de segurana inesperados
Conhecimento de ameaas iminentes
meio eficaz de determinar as vulnerabilidades organizacionais
Os mtodos de rastreamento evoluindo risco
Consistncia de prticas de reviso de registro
Resultados do planejamento de continuidade de negcios (BCP) /
recuperao de desastres
testes (DR)
1.8.8 garantia de processo de integrao
(Convergncia)
As organizaes devem considerar uma abordagem informao
governana de segurana que inclui um esforo para integrar a garantia
funes. Isso servir para aumentar a eficcia e segurana
eficincia, reduzindo esforos duplicados e lacunas na proteo.
Ele vai ajudar a garantir que os processos de operar da forma pretendida de
ponta a
acabar, minimizando o risco oculto. KGIs podem incluir:
No h lacunas de informao de proteo de ativos
A eliminao de sobreposies de segurana desnecessrios
A integrao das atividades de garantia
papis e responsabilidades bem definidas
prestadores de Garantia de compreender a relao com outros
funes de garantia
Todas as funes de garantia sejam identificados e considerados na
a estratgia
No que diz respeito gesto do risco inerente a uma empresa,
Booz Allen Hamilton (em sua publicao intitulada Convergncia de
Organizaes de segurana da empresa ) sugere que:
No passado, a gesto do risco inerente
um negcio uma funo incorporada no
papis individuais do "C Suite." tradicional
abordagem foi a de tratar os riscos individuais separadamente
e atribuir a responsabilidade a um indivduo ou
pequena equipe. Gerenciando um tipo singular de risco
tornou-se um trabalho distinto, e desempenho que
trabalho bem significava focar exclusivamente em que
uma rea particular. o problema com esta
abordagem confinamos que ele no s ignora
a interdependncia dos muitos riscos de negcios, mas
tambm suboptimizes o financiamento de risco total para
uma empresa.
quebrando chamins e abordar o
suboptimizing de investimentos requer uma nova forma
de pensar sobre o problema.
Esta nova forma de pensar demonstrado pelo BMIS discutido na seo
1.5.5 rene os vrios elementos e as partes interessadas no
problema comeou a trabalhar em estreita colaborao. Um dos principais
objetivos deste
atividade entender como as organizaes podem reunir
diversos elementos e lev-los a orientar em um objetivo comum.
Estratgia de Segurana 1.9 Informaes
Viso global
H um certo nmero de definies de estratgia. Embora todos eles

geralmente apontam na mesma direo, eles variam muito em seu escopo,
nfase e detalhe. No Conceito de Estratgia Corporativa,
2
Edio , Kenneth Andrews descreve a estratgia corporativa,

que igualmente aplicvel para o desenvolvimento e finalidade de
estratgia de segurana da informao:
A estratgia empresarial o padro de decises
em uma empresa que determina e revela o seu
objetivos, propsitos ou metas, produz a
principais polticas e planos para alcanar aqueles
metas e define a faixa dos negcios
empresa perseguir, o tipo de economia
e organizao humana que ou pretende
ser, e da natureza do econmico e nocontribuio econmica que pretenda introduzir
seus acionistas, empregados, clientes e
comunidades.
Pgina 49

Seo Dois: Contedo
45
Adicionando segurana nos locais apropriados para o exposto
declarao fornece uma boa definio de trabalho de
Anexo 1.6 mostra os participantes envolvidos no desenvolvimento de um
estratgia de segurana e seus relacionamentos e alinha-los com
objetivos de negcios. A seta marcada "Estratgia Empresarial"
fornece um roteiro para atingir os "objetivos de negcios." Em
Alm disso, ele deve fornecer uma das entradas principais em "Risco
"Planos e" Gesto Estratgia de Segurana da Informao. "Este
fluxo serve para promover o alinhamento da segurana da informao com
objetivos de negcio. O saldo de insumos vem determinando
o desejado estado de segurana em comparao com o existente, ou corrente,
Estado. Os processos de negcios tambm deve ser considerada, bem como
chave
risco organizacional, incluindo os requisitos regulamentares ea
anlise de impacto associado para determinar os nveis de proteo e
prioridades.
O objetivo da estratgia de segurana o estado desejado definido
por atributos comerciais e de segurana. A estratgia fornece a base

para um plano de ao composto de um ou mais programas de segurana
que, como implementado, atingir os objectivos de segurana. O
plano (s) ao deve ser formulado com base nos recursos disponveis
e restries, incluindo a considerao de legal relevante e
requisitos regulamentares.
Os planos estratgicos e de ao deve conter provises para
monitoramento, bem como mtricas definidas para determinar o nvel
de sucesso. Isto fornece um feedback para o CISO e direo
comit para permitir a correo midcourse e garantir que
iniciativas de segurana esto no caminho certo para atingir os objectivos
definidos.
1.9.1 uma viso alternativa de estratgia
Um relatrio da McKinsey coloca a cautela que muitas vezes o
"Abordagem estratgia envolve a suposio equivocada de que um
caminho previsvel para o futuro pode ser pavimentada a partir da experincia
de
o passado. "Ele chega a sugerir que os resultados estratgicos, no pode ser
predeterminado dado atual ambiente de negcios turbulento.
Como resultado, a McKinsey prope a definir a estratgia como "um coerente
e evoluindo portflio de iniciativas para impulsionar o valor do acionista
e desempenho a longo prazo. Esta mudana de pensamento requer
gesto para desenvolver um "voc o que voc do'perspective como
oposio a "voc o que voc diz." Em outras palavras, as empresas so
definida pelas iniciativas que priorizam e dirigir, no apenas por
Misso e Viso. "
O relatrio continua a dizer que "a estratgia abordado desta forma
, por sua prpria natureza, mais adaptvel e menos dependente
'grandes apostas. "Um portflio cuidadosamente gerida de iniciativas
equilibrado
em todas as actividades de adaptao das empresas do ncleo para atender
futuro
desafios, que moldam o portflio de uma forma contnua para responder
a uma mudana de ambiente, e construir a prxima gerao de
empresas. Com a criao de um portflio de iniciativas em torno de um
unificador
tema, reforada por marcas, proposio de valor para os clientes, e
habilidades operacionais slidos, uma empresa pode definir com sucesso o
estgio
para gerar valor para o acionista. "
Qualquer que seja a definio ou abordagem adequada para um determinado
organizao, as etapas de implementao permanecem essencialmente as
mesma. O modelo McKinsey "adaptvel" podem ser mais apropriadas
a organizaes que experimentam uma grande mudana. O mais
modelo tradicional pode conseguir o mesmo atravs do aumento da

adaptabilidade
monitoramento de KPIs e estratgia de reviso suposies mais
com freqncia.
Os critrios, sem dvida, mais importantes para os bons resultados de
uma estratgia de sucesso forte alta administrao em curso
liderana e compromisso para conseguir uma informao eficaz
governana de segurana.
Anexo 1.6-Os participantes Information Security Development Strategy
permisso.
Alta Administrao
Estratgia de Negcios
Gesto de Risco / Estratgia de Segurana da Informao
Plano de Ao de Segurana
Polticas, normas
Entradas de estratgia:
estado atual
e desejado
estado de segurana
Negcios
processos e
requisitos
Risco
avaliao
impacto Negcios
anlise
Regulamentar
requisitos
Comisso de Coordenao e
Gesto Executiva
CISO / Comit de Direo
Plano de Aco
Entradas
Disponvel
Recursos
e
Restries
Segurana
Atributos
Segurana
Programas
Negcio
Objetivos
Implemento
Objetivos de segurana
Monitorar / Metrics
Relatrios
Anlise de Tendncias
Pgina 50

Seo Dois: Contedo
46
Outra perspectiva sobre a estratgia fornecido a partir de uma arquitetura
ponto de vista por Sherwood Negcios Aplicada Arquitetura de segurana
(Sabsa), como mostra a exposio 1.7 .
1.10 Desenvolver uma informao
Estratgia de Segurana
O processo de desenvolvimento de uma segurana da informao eficaz
estratgia exige um conhecimento aprofundado e considerao de uma
nmero de elementos como mostrado em exposies 1,7 e 1,8 . Alm disso,
tambm importante para o gerente de segurana da informao a ser
ciente das falhas comuns de planos estratgicos, de modo a evitar
as armadilhas e alcanar os resultados desejados.
1.10.1 armadilhas comuns
Seria um eufemismo dizer histria est repleta de
exemplos de estratgias ruins. surpreendente que, depois de quase quatro
dcadas de desenvolvimento da teoria da estratgia empresarial, insuficincia
de
estratgia continua inabalvel.
Enquanto alguns planos estratgicos pode falhar por razes bvias, como
ganncia, falta de planejamento, execuo defeituosa, eventos imprevistos e
m conduta corporativa, outras causas de falhas de estratgia no so
bem entendido. Estas falhas tm causas explicadas por
economia comportamental, um ramo da psicologia que estuda, entre
outras coisas, os processos de tomada de deciso e de partida
escolha racional. As experincias e os estudos mostraram uma variedade de
causas subjacentes tomada de deciso errada. Estar ciente de
eles podem permitir a compensao para reduzir os efeitos adversos. Alguns
as principais razes incluem:
Excesso de confiana -A pesquisa mostra uma tendncia das pessoas
ter confiana excessiva na capacidade de fazer precisas
estimativas. A maioria das pessoas so relutantes para estimar ampla gama de
possveis resultados e preferem estar precisamente errado, ao invs de
vagamente certo. A maioria tambm tendem a ser excessivamente confiante

de sua prpria
habilidades. Para que as estratgias organizacionais com base em avaliaes
de
principais recursos, isso pode ser algo particularmente problemtico.
Otimismo -As pessoas tendem a ser otimista em suas previses. A
combinao de excesso de confiana e optimismo pode ter um
impacto desastroso sobre as estratgias com base em estimativas do que pode
acontecer. Tipicamente, estas estimativas sero precisas irrealisticamente
e excessivamente otimista.
Ancorando -A pesquisa mostra que uma vez que um nmero foi
apresentado a algum, uma estimativa posterior do mesmo um totalmente
assunto no relacionado envolvendo nmeros "ancorar" no
primeiro nmero. Embora potencialmente teis para fins de marketing,
ancoragem pode ter consequncias graves no desenvolvimento
estratgias quando os resultados futuros esto ancoradas em passado
experincias.
O status quo bias -A maioria das pessoas mostram uma forte tendncia
para ficar com abordagens familiares e conhecidos, mesmo quando
eles so comprovadamente inadequadas ou ineficazes. Pesquisa
tambm indica que a preocupao com a perda geralmente mais forte do que
entusiasmo sobre a possibilidade de ganho. O "efeito dotao" um
vis semelhante, onde as pessoas preferem manter o que possui ou sabe,
e simplesmente possuir algo o torna mais valioso para o
proprietrio.
contabilidade Mental -Este definido como "a inclinao para
categorizar e tratar o dinheiro de forma diferente dependendo de onde
ele vem, onde mantido, e como ele gasto. "Mental
contabilidade comum at mesmo nas salas de aulas conservador,
e de outra maneira racional, as corporaes. Alguns exemplos desta
incluem:
- Ser menos preocupados com as despesas contra uma reestruturao
cobrar do que aqueles contra a declarao de lucros e perdas
- A imposio de limites de preos em um core business ao gastar livremente
em uma start-up
- Criao de novas categorias de despesas, como "receita
investimento "ou" investimento estratgico "
Anexo 1.7-Sabsa Arquitetura Security 2005
Fonte: Sherwood, J.; A. Clark, D. Lynas; Arquitetura Corporativa de
Segurana: uma abordagem orientada a negcios , CMP Books,
2005, www.sabsa.org
Camada Contextual
Camada conceitual
Segurana
Estratgia
Processos crticos de negcio e modelos

O QU?
Negcio
Drivers
POR QU?
Crtico
Sucesso
Fatores
QUANDO?
Tempo
COMO?
Funo
QUEM?
Pessoas
ONDE?
Localizao
Ativos
Atributos
Perfil
Controle
Objetivos
Tempo
Modelo
Confiana
Modelo
Domnio
Modelo
Riscos
Criticidade
Dependncia Responsabilidade
Logstica
Pgina 51

Seo Dois: Contedo
47
O pastoreio instinto -It uma caracterstica fundamental do ser humano
para
conformar e buscar a validao dos outros. Isto pode ser observado pelos
o "Modismo" na segurana (assim como todos os outros aspectos do ser
humano
atividade), por exemplo, de repente todo mundo estar envolvido em ID
gesto ou de deteco de intruso. s vezes explicado como "um

idia cujo tempo chegou ", ele descrito com mais preciso como
o instinto de pastoreio atrs de lderes do pensamento. As implicaes para a
desenvolvimento da estratgia deve ser clara. amplamente demonstrado
pelos
a declarao: "para gerentes seniores, a nica coisa pior do que
cometendo um grande erro estratgico ser a nica pessoa no
indstria para torn-lo ".
Falso consenso -H uma tendncia bem documentado para
pessoas a superestimar a medida em que outros compartilham seus pontos de
vista,
crenas e experincias. Ao desenvolver estratgias, falsa
consenso pode levar a ignorar ou minimizar as ameaas importantes
ou deficincias nos planos e para persistir com condenados
estratgias.
Um nmero das causas mais comuns, tambm tm sido
descoberto pela pesquisa, como o estudo da CF Camerer e G.
Loewenstein, incluindo:
Confirmao de vis opinies e fatos-Buscando o apoio
suas prprias crenas
Seletiva de recall somente fatos e experincias-Lembrando que
reforar suposies atuais
Inclinado assimilao fatos aceitar somente que suportam uma
posio ou perspectiva atual do indivduo
avaliao deturpada -Fcil aceitao de evidncias de que suportes
suas prprias hipteses, enquanto evidncias contraditrias desafiado
e, quase invariavelmente, rejeitada. Os crticos so muitas vezes acusados de
motivos hostis ou a sua competncia impugnada.
Groupthink -presso para acordo em culturas em equipe
Houve inmeros estudos sobre o tema das partidas de
escolha racional durante as ltimas dcadas que podem ser dignos
de estudar para reduzir o risco de tomada de deciso com defeito.
Estratgia de Segurana 1,11 informaes
OBJETIVOS
Os objectivos do desenvolvimento de uma estratgia de segurana da
informao
deve ser definido e mtricas desenvolvido para determinar se aqueles
objetivos esto sendo alcanados. Tipicamente, os resultados de seis definidos
de governao da segurana fornecer orientao de alto nvel. Como
foi referido anteriormente, a seis so:
Alinhamento estratgico
A gesto eficaz de riscos
entrega de valor
Gesto de recursos
A medio do desempenho
integrao garantia de Processo

A estratgia ter de considerar o que cada uma das reas selecionadas
vai significar para a organizao, como eles podem ser alcanados, e
o que ir constituir sucesso.
1.11.1 O objetivo
A primeira, e muitas vezes surpreendentemente difcil, questo que deve ser
respondidas por uma organizao que busca desenvolver uma informao
estratgia de segurana -o que o objetivo?
Enquanto isso parece uma questo trivial, a maioria das organizaes no
conseguem
definir os objectivos de segurana da informao com qualquer
especificidade.
Isso pode ser porque parece bvio que o objetivo da informao
segurana proteger os ativos de informao da organizao.
No entanto, essa resposta pressupe o conhecimento de duas coisas. Um, que
ativos de informao so conhecidos com algum grau de preciso, o que
para a maioria das organizaes no o caso. A outra a existncia de um
assumiu a compreenso do que significa "para proteger." Todos
compreende a noo de um modo geral. consideravelmente mais difcil
afirmar que os ativos precisam quanto proteo contra o que.
Em parte, isso ocorre porque as organizaes normalmente tm pouco
conhecimento do que informao existe dentro da empresa.
Geralmente no h processo para purgar intil, desatualizada ou
informaes potencialmente perigoso, de dados ou, para essa matria,
aplicaes no utilizadas. extremamente raro encontrar um abrangente
catlogo ou ndice de informao / processos para definir o que
importante, o que no importante ou quem o dono. Como resultado,
tudo normalmente fica guardado sob o pressuposto de que o armazenamento
mais barato do que a classificao de dados, atribuio de propriedade ea
identificao dos usurios. Para grandes organizaes, isso pode chegar a
terabytes de dados inteis e literalmente milhares de ultrapassada e
aplicaes no utilizadas acumulada ao longo de dcadas.
Esta situao faz com que seja difcil de conceber uma proteo de dados
racional
planejar, uma vez que no faz muito sentido gastar recursos que protegem
dados inteis ou perigosos e informaes ou aplicaes no utilizadas.
Dados perigosas, neste contexto referem-se a informaes que possam
ser utilizado em detrimento da organizao, tais como danos
provas obtidas em processos judiciais, e que poderia ter sido destruda
sujeito a uma poltica de reteno legal e apropriada.
Supondo que a informao atual relevante localizado e identificado,
em seguida, ele deve ser catalogado ou classificados pela criticidade e
sensibilidade.
Uma grande quantidade de dados de uma organizao tpica e informaes
no so nem crtica nem sensvel, e um desperdcio gastar
recursos substanciais para proteg-los. Para muitas organizaes,

isso pode ser uma tarefa significativa e eles esto relutantes em
alocar os recursos necessrios. No entanto, este um passo crucial
no desenvolvimento de uma estratgia prtica e til a segurana da
informao
e um programa de segurana de baixo custo.
Assim como os valores so atribudos aos recursos fsicos de uma
organizao,
informaes devem ser atribudos valores de priorizar oramentoconstrangido esforos de proteo e determinar nveis exigidos de
proteo. Avaliao da informao , na maioria dos casos, de difcil
fazer com preciso. Para algumas informaes, que podem ser o custo
de criar ou substitu-lo. Em outros casos, a informao na forma
de conhecimentos ou segredos comerciais difcil ou impossvel para
substituir
e pode, literalmente, ser impagvel. , obviamente, prudente prever
excelente proteo para informaes de valor inestimvel.
Uma abordagem comumente utilizada a criao de alguns nveis irregulares
de exemplo de valor para, de zero a cinco com zero de estar de
nenhum valor e cinco sendo crtico. A informao de valor zero,
Pgina 52

Seo Dois: Contedo
48
incluindo aplicaes, seria atribudo onde nenhum proprietrio pode ser
determinado e sem uso tem sido evidenciado por um perodo de tempo.
Informaes de valor zero pode ento ser conservados durante um
determinado
perodo, os anncios enviados para os empresrios e, caso no existam
objees, destrudo. Informao considerada uma de cinco (crtico) ento
torna-se a prioridade para os esforos de proteo.
Outra abordagem que pode ser til, e substancialmente mais fcil
executar uma avaliao da dependncia de negcios usado como uma
indicao
de valor. Este processo comea com a definio de processos de negcios
crticos
e, em seguida, determina quais informaes so usadas e criado. Este
proporciona uma medida do nvel de criticalidade de informaes
recursos que podem ser utilizadas como um guia para os esforos de
proteco.
Independentemente dos mtodos utilizados, o nvel de sensibilidade tambm

deve
ser definidos ao mesmo tempo para determinar um nvel de classificao
necessrio para controlar o acesso ea divulgao limite. Tipicamente, a
maioria
organizaes vo usar trs ou quatro classificaes de sensibilidade tal
como confidenciais, uso e pblico interno.
Para a maioria das organizaes, a classificao de ativos representa uma
assustadora
tarefa, mas que deve ser realizada para a informao existente
se a governao de segurana seja eficaz e relevante. Esta tarefa
cresce exponencialmente mais oneroso ao longo do tempo, a no ser
abordado.
Ao mesmo tempo, polticas, normas e processos devem ser
desenvolvido para o mandato de classificao avanar e evitar
o problema se agrave.
Em resumo, no ser possvel desenvolver uma boa relao custo-eficcia
estratgia de segurana que est alinhado com os requisitos de negcio
antes:
Determinar os objetivos de segurana da informao
Localizao e identificao de ativos e recursos de informao
Avaliao de ativos e recursos de informao
Classificando os ativos de informao quanto criticidade e sensibilidade
Se uma estratgia de segurana da informao a base para um plano de ao
para alcanar os objetivos de segurana, ser necessrio definir os
objetivos. Definir objectivos a longo prazo em termos de um "desejado
estado "de segurana necessrio que um nmero de razes. Sem
uma viso bem articulada dos resultados desejados para a segurana
programa, no ser possvel desenvolver uma estratgia significativa.
evidente que, se no se sabe para onde se vai, um
no consigo encontrar uma maneira de chegar l e no sei quando ele / ela tem
chegou.
Sem uma estratgia, no possvel desenvolver um plano significativo
da ao e da organizao vai continuar a implementar ad hoc
solues pontuais tticos sem nada para oferecer integrao total.
Os sistemas no integrados resultantes sero cada vez mais difcil
para gerenciar e tornar-se cada vez mais caro e difcil ou
impossvel assegurar.
Infelizmente, muitas organizaes no alocar adequada
recursos para lidar com essas questes, at que um grande incidente ocorre.
A experincia tem demonstrado que estes incidentes acabam muito mais
caro do que enfrent-los teria sido.
Muitos objetivos so expressos em termos de mitigao ou gesto
risco. Objectivos da estratgia de segurana da informao tambm deve ser
expressos em termos de objetivos especficos diretamente destinadas a apoiar

atividades empresariais. Alguns mitigao de riscos, tais como vrus e outros
proteo contra malware, deve aplicar-se a organizao em geral.
Essa proteo em geral, no considerado um negcio especfico
Enabler, mas sim, ele suporta a sade geral da organizao
reduzindo os impactos adversos que impedem todas as atividades da
organizao.
Uma reviso de planos de negcios estratgicos da organizao provvel
para descobrir oportunidades para as atividades de segurana da informao
que
pode ser diretamente apoia ou habilitao, uma avenida particular de
negcio. Por exemplo, a implementao de uma PKI pode ativar
transaes de alto valor entre os parceiros comerciais de confiana ou
clientes. Implantando VPNs pode fornecer a fora de vendas com
garantir a conectividade remota, permitindo um melhor desempenho. Em
outras palavras, a segurana da informao pode permitir atividades
comerciais
que de outra forma seria muito arriscado empreender ou, como
freqentemente
acontece, so realizadas com a esperana de que nada d errado.
Conforme
o estado global da Segurana da Informao
por
PricewaterhouseCoopers:
Desenvolver e manter um segurana da informao
estratgia essencial para o sucesso do seu programa.
essa estratgia serve como roteiro para o estabelecimento de
seu programa e adapt-lo para os desafios futuros.
seguindo uma metodologia consistente para o desenvolvimento de
sua estratgia, voc mais provvel para atingir alta
resultados de qualidade durante o processo e concluir a
projeto em tempo hbil.
Perfil ascendente da segurana mais animador quando
voc cross-referncia os nmeros de governana com
eficcia. aquelas empresas em que a funo
reside perto do topo tm uma muito melhor postura de segurana
do que o entrevistado mdio. A segurana mais estratgico
para aquelas empresas que tm elevado o papel. Para
exemplo, apenas 37 por cento dos entrevistados disseram que tm
uma estratgia de segurana global. Em empresas com as OSC,
esse nmero salta para 62 por cento. Do mesmo modo, 80 por cento
das empresas com as OSC tambm empregou um CISO ou
equivalente, em comparao com cerca de 20 por cento do total.
As empresas com uma funo de segurana executivo tambm
informou que seus gastos e polticas so mais
alinhada com o negcio e que uma percentagem mais elevada

de seus empregados em conformidade com a informao interna
polticas de segurana. As empresas com um chefe de segurana tambm
polticas de segurana da informao medido e revisto
mais do que aqueles sem um executivo de segurana, e eles
eram muito mais propensos a priorizar os ativos de informao por
nvel de risco.
Vnculos de negcios
Outros vnculos de negcios pode comear a partir da perspectiva do
objetivos especficos de uma determinada linha de negcios. Uma reviso
e anlise de todos os elementos de uma linha de produtos em particular pode
ilustram esta abordagem.
Pgina 53

Seo Dois: Contedo
49
Considere uma organizao que fabrica cereais matinais.
As matrias-primas entram na planta em regime just-in-time via
vago. Os gros so despejados em funis que alimentam os vrios
mquinas de processamento. Os cereais acabados so embalados e
mudou-se para um armazm em um processo contnuo, em questo de horas.
Este processo relativamente simples se baseia em numerosos
os fluxos de informao sujeita a uma falha de disponibilidade,
confidencialidade ou integridade. Qualquer avaria ou significativa
interrupo na cadeia de abastecimento de lado, por exemplo, pedidos,
acompanhamento ou
pagamentos susceptvel de causar uma interrupo na fabricao.
Praticamente todas as atividades na planta esto ligados ao processamento de
dados
e os fluxos de informao. A segurana da informao, para ser eficaz, deve
compreender e levar em considerao toda a informao
fluxos que so crticos para garantir operaes contnuas.
Obviamente, qualquer coisa que possa afetar a integridade ou disponibilidade
a informao necessria neste contnuo e interdependente
processo ser um problema. A ligao para a empresa, neste
caso, a possibilidade de um programa de segurana eficaz para prevenir
interrupes para os sistemas essenciais para a produo de informao.
A anlise do exemplo anterior pode olhar para as dezenas
de peas discretas das informaes tratadas e processadas neste
operao de fabricao. Investigao sobre a histria da
processo pode revelar falhas do passado que so informativas de deficincias
no sistema. A maioria das falhas do sistema so devido a erro humano, e

A anlise pode mostrar que possvel reduzir os erros por qualquer
controles adicionais ou melhor, ou processos automatizados mais confivel.
Erros mais comuns incluem erros de entrada que pode ser melhorado por
verificao de intervalo ou de outros processos tcnicos. Alteraes
processuais
ou um processo de validao de entrada pode ser necessria.
O desenvolvimento e anlise de vnculos de negcios pode descobrir
questes de segurana da informao a nvel operacional que pode
visivelmente
melhorar a percepo do valor da segurana da informao
tornando os processos de negcio mais robusto.
Melhoria da articulao de negcios pode ser um dos resultados benficos
de um grupo de orientao de segurana da informao, se os gerentes de
operaes
esto includos. As ligaes tambm podem ser estabelecidos por regulares
reunies com empresrios para discusso sobre a segurana de
questes relacionadas. Isto tambm pode proporcionar uma oportunidade para
educar
proprietrios de processos de negcios sobre os benefcios potenciais que
podem segurana
fornecer para o seu funcionamento.
1.11.3 o estado desejado
O termo "estado desejado" utilizado para designar um instantneo completo
de todas as condies relevantes em um determinado ponto no futuro. Para
completar o quadro, ele deve incluir as pessoas, processos e
tecnologias.
A definio de um "estado de segurana" em termos puramente quantitativos
no
possvel. Consequentemente, um "estado de segurana desejado" deve, em
certa
medida, ser definida qualitativamente em termos de atributos, caractersticas,
e resultados. De acordo com o COBIT, que pode incluir de alto nvel
objetivos, tais como: "Proteger os interesses daqueles contando com
informao e os processos, sistemas e comunicaes que
manusear, armazenar e distribuir a informao, a partir de dano resultante do
falhas de disponibilidade, confidencialidade e integridade. "Esta declarao,
embora talvez til em afirmar a inteno eo alcance, fornece pouca
clareza na definio de processos ou objetivos.
Elementos qualitativos, como os resultados desejados deve ser
definido o mais precisamente possvel para fornecer orientao para a
estratgia
desenvolvimento. Por exemplo, se a conformidade regulamentar especfico
um resultado desejado, um nmero significativo de processo tcnico e
requisitos tornam-se aparentes.
Se as caractersticas incluem um cumprimento nonthreatening

abordagem de execuo de acordo com a cultura da organizao,
desenvolvimento da estratgia ter limites para os tipos de aplicao
mtodos a serem considerados.
Um nmero de abordagens teis esto disponveis para fornecer um
quadro para alcanar um "estado desejado" bem definido para
segurana. Estes, e talvez outros, devem ser avaliados para
determinar que fornece a melhor forma, ajuste e funo para
a organizao. Pode ser til para combinar vrios diferente
padres e estruturas para fornecer uma viso multidimensional
para o estado desejado. Ver exposio 1.8 .
Vrias das abordagens mais aceites so descritos na
sees seguintes.
Anexo 1.8 Prevalentes Padres e Frameworks
COBIT
COBIT foca relacionados a TI
processos de governana de TI,
perspectivas de gesto e controlo. COBIT uma TI
estrutura de governana e conjunto de ferramentas de apoio que permite
gestores para preencher a lacuna entre as necessidades de controle,
questes tcnicas e riscos de negcios. COBIT permite poltica clara
desenvolvimento e boas prticas para controle de TI em toda a
organizaes. Do ponto de vista do CISM, controlar os objetivos e
procedimentos deve ser ampliado para alm das actividades de TI para incluir
qualquer atividade que possa afetar a segurana da informao. COBIT deve
ser considerado um poderoso framework, bem desenvolvido que pode
proporcionar benefcios significativos para tratar da segurana da informao
objetivos.
Controles
Mais especfico
Mais Geral
COBIT, ITIL / ISO 20000, CMM, Outros
COSO, OCEG, Outros
ISO 17799/27001, NIST 800-53, Outros
Objetivos de Controle
Governance Framework
Regulamentos
SOX, HIPAA, GLBA, FISMA, Outros
Pgina 54

Seo Dois: Contedo
50

"Controles" so definidos como
"as polticas, procedimentos, prticas
e estruturas organizacionais projetados para fornecer razovel
garantia de que os objetivos de negcio sero alcanados e que
eventos indesejados ser impedida ou detectados e corrigidos. "
"objetivos de controle" so definidos como "uma declarao do desejado
resultado ou objetivo a ser alcanado atravs da implementao de controle
processos em um processo em particular. "
COBIT define governana corporativa como "um conjunto de
responsabilidades
e as prticas exercidas pela diretoria e gerncia executiva com
o objetivo de fornecer orientao estratgica, assegurando que os objetivos
so alcanados, determinar que o risco gerenciado de forma adequada e
verificao de que os recursos da empresa so utilizados de forma responsvel
".
O framework COBIT define 34 processos de gesto e
controlar a informao ea tecnologia que a suporta. O
processos so divididos em quatro domnios:
Planejar e Organizar -Este domnio cobre estratgia e ttica,
e diz respeito identificao da forma como a TI pode contribuir melhor
para a consecuo dos objetivos de negcios. Alm disso,
a realizao da viso estratgica precisa ser planejada,
comunicadas e gerenciadas por diferentes perspectivas. Finalmente, um
organizao adequada, bem como a infra-estrutura tecnolgica devem
ser postas em prtica.
Adquirir e Implementar -Para realizar a estratgia de TI,
As solues precisam ser identificadas, desenvolvidas ou adquiridas, bem
como implementado e integrado no processo de negcio. Em
Adicionalmente, mudanas em e manuteno de sistemas existentes
esto cobertas por este domnio para se certificar de que o ciclo de vida
continuou por estes sistemas.
Entregar e Apoio -Este domnio est preocupado com a
efetiva entrega dos servios necessrios, que variam do tradicional
operaes sobre os aspectos de segurana e de continuidade ao
treinamento. Para
prestar servios, os processos de apoio necessrios devem ser configurados.
Este domnio inclui o processamento real de dados por aplicao
sistemas, muitas vezes classificado sob controles de aplicativos.
Monitorar e Avaliar -Todos os processos de TI precisam ser regularmente
avaliada ao longo do tempo por sua qualidade e conformidade com controle
de
requisitos. Assim, neste domnio aborda a gesto de
monitoramento e avaliao de desempenho de TI e aumento
controle, garantindo a conformidade regulatria e fornecer TI
superviso de governana.
Anexo 1.9 tem uma apresentao grfica dos controles e segurana
componentes de governana.
Capability Maturity Model
O estado desejado de segurana tambm pode ser definida como a obteno
um nvel especfico no Capability Maturity Model (CMM) como
mostrados na exposio 1,10 . constituda de classificao de cada zona
definida de
segurana em uma escala de 0 a 5, com base na maturidade de processos.
Os nveis de maturidade so descritos como:
0: Inexistente-No reconhecimento pela organizao da necessidade de
segurana
1:
Ad hoc
Risco considerada em um
ad hoc
base no-formais
processos
2: compreenso Repetitivo mas intuitivo-emergentes do risco e
necessidade de segurana
3: A poltica de gesto de risco definidos processo de Companywide /
sensibilizao para a segurana
4: norma de avaliao mensurvel de risco gerenciado e
procedimentos, funes e responsabilidades atribudas, polticas e
normas em vigor
5: processos otimizados-organizationwide implementadas,
monitorados e gerenciados
Balanced Scorecard
De acordo com o Instituto Scorecard Equilibrado:
O Balanced Scorecard um sistema de gesto
(No s um sistema de medio) que permite
organizaes para esclarecer sua viso e estratgia,
e traduzi-los em ao. Ele fornece um feedback
em torno de ambos os processos internos do negcio
e resultados externos, a fim de continuamente
melhorar o desempenho estratgico e resultados. Quando
totalmente implantado, o transforms balanced scorecard
planejamento estratgico de um exerccio acadmico em
o centro nervoso de uma empresa.
O balanced scorecard, como mostra a exposio 1.11 , usa quatro
perspectivas, desenvolve mtricas, coleta dados e analisa os dados
relativamente a cada uma das perspectivas:
Aprendizagem e crescimento
processos de negcios
Cliente
Financeiro
Abordagens de arquitetura
Enterprise Information Security Architecture (EISA) um subconjunto
de arquitetura corporativa. Uma estrutura de arquitetura pode
ser descrito como uma estrutura fundamental, ou conjunto de estruturas,
o qual pode ser utilizado para o desenvolvimento de uma ampla gama de
diferentes
arquitecturas, incluindo processos de negcios arquiteturapor vezes referido como a arquitectura contextual assim como
o mais tradicional conceitual, lgica, fsica, funcional e
arquiteturas operacionais.
H uma srie de metodologias que se desenvolveram, incluindo
modelos de processos, estruturas e ad hoc abordagens favorecidas pela
algumas consultorias. Esta evoluo ocorreu como se tornou evidente
que uma perspectiva arquitetnica limitado a TI era inadequada
para tratar de design e desenvolvimento de negcios de segurana
requisitos. Uma srie de abordagens de arquitetura fornecem agora
ligaes e desenho do lado do negcio de proteo de informaes.
Abordagens arquitetnicas que so inclusive de processos de negcios
que pode ser apropriado para definir o "estado desejado" de segurana
incluem (mas no esto necessariamente limitados a) os modelos de
enquadramento
tais como: The Open Group Architecture Framework (TOGAF), o
Zachman Enterprise Architecture Framework e Extended
Enterprise Architecture Framework (EA2F). Estes modelos podem
servem para definir a maior parte ou todo o "estado desejado" de segurana,
desde que sejam devidamente utilizados para refletir e implementar o
estratgia de segurana organizacional. Veja a seo 1.14.2.
Pgina 55

Seo Dois: Contedo
51
A arquitetura deve descrever um mtodo para projetar um alvo
ou estado desejado da empresa em termos de um conjunto de prdio
blocos, e para mostrar como os blocos de construo se encaixam. O
arquitectura alvo referido como a arquitectura de referncia e
serve para definir os objetivos de longo prazo para tcnicos, sistemas e
desenho de processos.
ISO / IEC 27001 e 27002
Para garantir que todos os elementos relevantes de segurana so abordados
em um
estratgia de segurana organizacional, as 11 reas da ISO / IEC 27002,

anteriormente conhecido como ISO 17799, pode oferecer uma estrutura til
para avaliar abrangncia. De maneira semelhante, as polticas e
normas devem ser criadas que podem acompanhar diretamente a cada
elemento
do padro. ISO / IEC 27001 o padro, enquanto 27002 o
cdigo de prticas necessrias para cumprir a norma.
Os 11 principais ttulos da ISO / IEC 27002 so:
A poltica de segurana
Organizando a segurana da informao
Gesto de activos
segurana de recursos humanos
Segurana fsica e ambiental
Comunicao e gesto de operaes
O controle de acesso
desenvolvimento de aquisio e manuteno da segurana da informao
gesto de incidentes de segurana da informao
gesto de continuidade de negcios
Compliance
Anexo 1.9-COBIT
permisso.
Planejar e Organizar
TI Controles Gerais
responsabilidade
Responsabilidade do negcio
Responsabilidade do negcio
Automated
Servios
Adquirir
e
Implemento
Entregar
e
Apoio
Monitorar e Avaliar
Controles de Aplicao
Funcional
Requisitos
Controle
Requisitos
Negcio
Controles
Negcio
Controles
Anexo 1.10-Capability Maturity Model
permisso.
Objetivos
Medidas
T
ETAS
Iniciativas
Objetivos
Medidas
T
ETAS
Iniciativas
Objetivos
Medidas
T
ETAS
Iniciativas
Objetivos
Medidas
T
ETAS
Iniciativas
Cliente
Financeiro
Viso
e
Estratgia
Aprendizagem e
Crescimento
Negcios Interna
Processos
"Para alcanar o nosso
viso, como
deveramos
parecem nossa
clientes? "
"Para ter sucesso
financeiramente, como
deveramos
parecem nossa
acionistas? "
"Para satisfazer nossos
acionistas
e os clientes,
que negcio
processos devem
ns excel? "
"Para alcanar o nosso
viso, como ser
sustentamos nossa
capacidade de
e mudar
melhorar? "
Anexo Scorecard 1,11 Balanceada
Fonte: Reproduzido com permisso do Balanced Scorecard Institute e
Pavel Arveson.
Pgina 56

Seo Dois: Contedo
52
Cada um dos 11 principais divises dividido em 133 distinta
controles que devem ser adequadamente tratadas de forma abrangente
estratgia de segurana e arquitetura. Nem todas as sees da norma
ser relevante para uma empresa particular, e do mosto padro
ser adaptado conforme a necessidade. Veja exibem 1,12 .
Outras Abordagens
Existem outras abordagens e os mtodos que podem ser teis, tais como
outras normas ISO sobre qualidade (ISO 9001:2000), o Six Sigma
abordagem de qualidade e de gesto de negcios, publicaes
de NIST e ISF, e os EUA Federal de Segurana da Informao
Lei de Gesto (FISMA). Algumas delas se concentrar mais em
processos de gesto e de gesto da qualidade do que no estratgico
objetivos de segurana. No entanto, o argumento pode ser feito que,
se o objetivo de uma estratgia de segurana foi implementar totalmente
componentes relevantes da ISO / IEC 27001 e 27002, a maioria ou todos
requisitos de segurana so susceptveis de ser cumpridos. Isso provavelmente
seria
uma abordagem desnecessariamente caros, e os padres sugerem que
eles devem ser cuidadosamente adaptadas s necessidades especficas de
a organizao adotando. Outras metodologias, sem dvida,
surjam no futuro que pode provar ser mais eficaz
do que os mencionados. Os descritos no so destinadas a ser
exaustiva, apenas algumas das abordagens mais aceitas
para chegar a objetivos de segurana da informao bem definidos.

Pode ser til utilizar uma combinao de mtodos para descrever
o "estado desejado" para ajudar na comunicao com os outros e
como uma forma de confrontar os objetivos para se certificar de todas as
informaes relevantes
elementos so considerados. Por exemplo, uma combinao de COBIT
objetivos de controle, CMM, balanced scorecard e um adequado
modelo arquitetnico faria uma combinao poderosa. Embora
Pode parecer um exagero, cada abordagem apresenta um ponto de vista
diferente
que, em combinao, provvel que a certeza de que no significativa
aspecto negligenciado. Como pouco provvel que uma segurana eficaz
programa vai desenvolver a partir de uma estratgia defeituoso, este pode ser
um
abordagem prudente.
1.11.4 objetivos de risco
Um contributo importante para a definio do estado desejado ser o
A abordagem da organizao ao risco e seu apetite de risco, ou seja, o que
Administrao considera aceitvel de risco. Esta uma outra crtica
passo desde risco aceitvel definido recai no controle
objetivos ou outras medidas de mitigao de riscos empregadas. Controle
objetivos so fundamentais para determinar o tipo, natureza e
extenso dos controles e contramedidas a organizao emprega
para gerir o risco. Anexo 1.13 apresenta a relao entre
risco, medidas de controle e os custos dos controlos.
Exposio 1.13-otimizando custos de Risco
Sem uma determinao razoavelmente clara do risco aceitvel,
difcil determinar se a segurana da informao est cumprindo sua
objetivos e se o nvel adequado de recursos tem sido
implantado.
Deve ser lembrado que o risco um tema complexo e muitas vezes
difcil determinar com preciso.
Gesto do risco operacional sempre um trade-off, se h uma
risco associado com a tomada de um determinado curso de ao, h
tambm o risco de no faz-lo. Alm disso, interage de risco individuais
de formas complexas, e mitigar um risco quase certo
aumenta, pelo menos, um outro risco em resposta.
Anexo 1.12-ISO 27002:2005
Poltica de Segurana
Organizao da Segurana da Informao
Informaes Asset Management
Gesto de Incidentes de Segurana da Informao
Gesto de Continuidade de Negcios
Humano
Recurso
Segurana
Fsica e
Ambiental
Segurana
Comunicaes
e Operaes
Gesto
Informaes
Sistemas
Aquisio,
Desenvolvimento e
Manuteno
Controle de Acesso
Observncia
Custo
Nvel de controle
Optimal
Custo da
perdas
Custo da
controles
Total de riscocustos relacionados
Pgina 57

Seo Dois: Contedo
53
Risco sempre tem um custo, seja controlada ou no. Custo de risco podem
ser expressa como expectativa de perda anual (ALE), ou seja, a quantidade
de vezes possveis perdas a probabilidade de ocorrncia mostrando a
nvel timo de controle. O diagrama ilustra o equilbrio de
o custo dos controlos em relao ao custo das perdas, mostrando a tima
nvel de controle.
A aceitabilidade de algum risco pode ser quantificado usando o
abordagem de continuidade de negcios de desenvolvimento de objetivos de
tempo de recuperao
(RTO). Usando uma abordagem de resumo para determinar RTOs pode
fornecer informaes adequadas para o desenvolvimento da estratgia. Este
pode ser um
determinao informal pelos proprietrios de processos de negcios da
quantidade
do tempo os sistemas crticos pode ser inoperante, sem negcio srio

conseqncias. Este, por sua vez, fornece a base para aproximar
custos de alcanar a recuperao. Se isso considerado muito alto, iterao
do processo ir chegar a um tempo de recuperao aceitvel numa
custo aceitvel. Este pode ser considerado o risco aceitvel.
Desenvolver os objectivos da estratgia de direito geralmente precisa ser um
abordagem iterativa com base na anlise de custos para conseguir o
estado desejado e alcanar nveis aceitveis de risco. provvel que
reduzir o nvel de risco aceitvel ser mais caro. No entanto,
a abordagem para alcanar o desejado estado vai ter um efeito significativo
tendo em custos tambm.
Por exemplo, alguns riscos podem existir por causa de certas prticas que
no so necessrias ou teis para a organizao, ou so prejudiciais
ao seu funcionamento. Isto pode incluir prticas que podem ser
considerada discriminatria ou contrria lei, e apresentam o risco de
uma ao judicial. Tais prticas, quando examinadas, pode ter resultado de
atitudes antiquadas ou abordagens que podem ser alterados de forma eficiente
a um custo baixo, o que resulta na eliminao ou reduo do risco. Em
outras palavras, a abordagem para tratar ou tratar de risco especfico
tem um impacto significativo nos custos.
O gerente de segurana da informao deve entender que tcnico
controles (por exemplo, firewalls, sistemas de deteco de intruso [IDS], etc)
so meramente uma dimenso para ser considerado. Fsica, processo
e controles processuais pode ser mais eficaz e menos onerosa.
Na maioria das organizaes, o risco de processo representa o maior perigo e
controles tcnicos no so susceptveis de compensar adequadamente para
pobres
gesto ou processos defeituosos.
Uma vez que os objectivos tenham sido torrada definido, haver um nmero
de maneiras de criar solues que iro variar significativamente em custos
e complexidade. Qualquer que seja o processo utilizado, o objectivo
definir, em termos concretos, significativos, o estado geral desejado de
segurana em algum momento futuro.
1.12 determinar o estado atual de
segurana
A avaliao do estado atual da segurana da informao deve tambm
ser determinados utilizando as mesmas metodologias ou combinao
de metodologias utilizadas para determinar os objetivos estratgicos,
ou o estado desejado. Em outras palavras, independentemente da combinao
de
metodologias, tais como COBIT, CMM ou o balanced scorecard,
usado para definir o estado desejado, tambm pode ser utilizada para
determinar
o estado atual. Isso proporciona uma comparao mas com mas
entre os dois, fornecendo a base para uma anlise de lacunas que vai
delinear o que necessrio para atingir os objectivos.

Utilizando estas mesmas metodologias proporciona periodicamente as
mtricas
sobre os progressos no sentido de cumprir os objectivos, bem como a
segurana
linha de base.
1.12.1 risco atual
O actual estado de risco tambm devem ser avaliados atravs de um
avaliao global de riscos. Assim como os objetivos de risco deve ser
determinada como uma parte de um estado desejado, assim deve o estado
actual
do risco de ser determinados para fornecer a base para uma anlise de lacunas
de
o risco existe e em que medida de risco deve ser tratada pela
estratgia. Uma avaliao de risco completa inclui ameaa e vulnerabilidade
anlise, que individualmente ir fornecer informaes teis
na construo de uma estratgia bem. Desde risco pode ser abordada em
maneiras diferentes, como alterar o comportamento de risco, desenvolvendo
contramedidas para ameaas, reduzindo vulnerabilidades ou em
desenvolvimento
controles, estas informaes serviro de base para a determinao
a estratgia mais custo-efetiva para lidar com o risco e desenvolver
oramentos de remediao. Avaliaes peridicas adicionais serviro
para fornecer as medidas necessrias para determinar o progresso.
Business Impact Analysis / Avaliao
A avaliao do estado atual tambm deve incluir uma completa BIA
sistemas e processos para ajudar a completar a corrente de crticas
imagem do Estado. Uma vez que o objetivo ltimo de segurana fornecer
garantia de processo de negcio e minimizar os impactos da adverso
eventos, uma anlise de impacto fornece algumas informaes
necessrio para desenvolver uma estratgia eficaz. A diferena entre
nveis aceitveis de impacto e nvel atual de impactos potenciais
devem ser abordadas pela estratgia.
Estratgia de Segurana 1,13 informaes
desenvolvimento
Com a informao desenvolvido na seo anterior, a
estratgia de segurana significativa pode ser desenvolvida, uma estratgia
para
passar do estado atual para o estado desejado. Saber onde
um e para onde se vai fornece o ponto de partida essencial
para o desenvolvimento de estratgia, que prev o enquadramento para a
criao de um
mapa rodovirio. O roteiro essencialmente os passos que devem ser tomados
para implementar a estratgia.
Uma srie de objectivos de segurana da informao, juntamente com

disponvel
os processos, mtodos, ferramentas e tcnicas de cria os meios para
construir uma estratgia de segurana. Uma boa estratgia de segurana deve
tratar e mitigar o risco, respeitando o legal,
requisitos contratuais e legais do negcio, bem como
fornecer apoio demonstrvel para os objetivos de negcios da
organizao e maximizar valor para os stakeholders. A segurana
estratgia tambm deve abordar a forma como a organizao ir incorporar
boas prticas de segurana em todos os processos de negcios e da rea do
negcio.
Muitas vezes, os responsveis pela elaborao de uma estratgia de segurana
pensar em
termos de controles como os meios para implementar segurana. Controles,
embora importantes, no so o nico elemento disponvel para o
Pgina 58

Seo Dois: Contedo
54
estrategista. Em alguns casos, por exemplo, um processo de reengenharia
pode reduzir ou eliminar o risco de, sem a necessidade de controlos. Ou,
impactos potenciais podem ser atenuados por modificaes arquitetnicas
em vez de controlos. Tambm deve ser considerado que, de alguma
casos, a mitigao de risco pode reduzir as oportunidades de negcios para o
ponto de ser contraproducente.
Em ltima anlise, o objetivo da segurana a garantia de processos de
negcios,
independentemente do negcio. Enquanto o negcio de um governo
agncia pode no resultar diretamente nos lucros, ele ainda est no negcio
da prestao de servios de baixo custo para seu eleitorado e deve
ainda proteger os ativos para o qual ele tem cuidado de custdia. Seja qual for
o
negcio, seu objetivo operacional maximizar o sucesso de
processos de negcio e minimizar os impedimentos para esses processos.
1.13.1 Elementos de uma estratgia
O que deveria ir para uma estratgia de segurana? O ponto de partida e
o destino tiver sido definido. A prxima considerao must
ser o que so os recursos disponveis e quais restries devem ser
considerados no desenvolvimento do roteiro. Os recursos so
os mecanismos que sero utilizados para alcanar vrias partes do
estratgia vinculado s restries.
Mapa das estradas

O mapa tpico estrada para alcanar um estado desejado seguro definido
inclui as pessoas, processos, tecnologias e outros recursos.
Ele serve para mapear as rotas e os passos que devem ser tomadas para
"Navegar" para os objectivos da estratgia.
A interao e relacionamento entre os vrios elementos de um
estratgia so susceptveis de ser complexo. Como conseqncia, prudente
considerar os estdios iniciais de desenvolvimento de uma arquitectura de
segurana
, tais como os discutidos na seco 1.14.2. Arquitecturas pode fornecer
uma abordagem estruturada para a definio de drivers de negcio, recursos
relacionamentos e fluxos de processo. Uma arquitetura tambm pode ajudar a
garantir
que os elementos contextuais e conceituais como drivers de negcio e
conseqncias so considerados na fase de desenvolvimento da estratgia.
Atingir o estado desejado geralmente uma meta de longo prazo, que consiste
de uma srie de projetos e iniciativas. Como a maioria dos grandes,
complexos
projetos, necessrio dividi-la em uma srie de curtaprojetos de longo prazo que podem ser realizadas em um tempo razovel
perodo, dadas as limitaes de recursos e oramento inevitvel
ciclos. Todo o roteiro pode, e deve, ser traado enquanto
a compreenso de que no existe um estado constante de informaes
segurana, e alguns objectivos ter de ser modificado ao longo do tempo.
Alguns objetivos, tais como a obteno de um nvel de maturidade em
particular,
reengenharia de processos de alto risco, ou para conseguir o controlo
especfico
objetivos no podem exigir modificaes.
Projetos de curto prazo em linha com os objetivos de longo alcance pode
servem para fornecer postos de controle e oportunidades para midcourse
correes. Eles tambm podem fornecer mtricas para validar o global
estratgia.
Por exemplo, um objectivo a longo prazo definido na estratgia pode ser
classificao de dados de acordo com a sensibilidade e criticidade. Porque
da magnitude do esforo necessrio em uma grande organizao,
provvel que exigem um certo nmero de anos para realizar. A estratgia
pode incluir o pedido para determinar que 25 por cento vontade
ser orientada para a concluso de cada ano fiscal, utilizando uma variedade de
abordagens tticas. Um segundo componente da estratgia pode ser
para criar polticas e normas que impedem as prticas que deram
subir para o problema, para comear, por isso no piorar enquanto o
processo de remediao est em andamento. Um exemplo de uma ao de
curto prazo
planejar para alcanar este objetivo detalhado abaixo na seo 1.19.
Desenvolvimento de uma estratgia para alcanar os objetivos de longo prazo

e
o mapa do caminho para chegar l, juntamente com mais curto prazo
intermedirio
objetivos, servir de base para a poltica e os padres de som
desenvolvimento em apoio ao esforo.
1.13.2 Recursos de estratgia e restries de
Viso global
As subsees seguintes descrevem os recursos tpicos para
implementao de uma estratgia de segurana da informao e alguns dos
limitaes que devem ser considerados.
Recursos
Os recursos disponveis para a organizao precisa ser enumeradas
e considerados no desenvolvimento de uma estratgia de segurana. Para a
medida
possvel, a estratgia deve utilizar os recursos existentes para maximizar
utilizao de meios e capacidades existentes.
Estes recursos podem ser considerados os mecanismos, processos e
sistemas que esto disponveis, em alguma combinao ptima, para atingir o
estado desejado de segurana ao longo do tempo. Eles normalmente incluem:
Polticas
Padres
Procedimentos
Orientaes
Arquitetura (s)
Controles fsico, tcnico, processual
Contramedidas
defesas em camadas
Tecnologias
segurana pessoal
Estrutura organizacional
Funes e responsabilidades
Habilidades
Formao
Conscientizao e educao
Auditorias
aplicao Compliance
Avaliao da ameaa
Anlise de Vulnerabilidade
Avaliao de risco
avaliao do impacto nas empresas
anlise de dependncia de recursos
prestadores de servios de terceiros
Outros provedores de suporte e garantia de organizao
Instalaes
Segurana ambiental
Restries
Existem tambm uma srie de limitaes que devem ser considerados
no desenvolvimento de uma estratgia de segurana e plano de ao
subseqente.
Restries tipicamente incluem:
Legal Estatuto Social e os requisitos regulamentares
Fsica -capacidade, espao, as restries ambientais
Pgina 59

Seo Dois: Contedo
55
tica -Apropriada, razovel e habitual
Cultura -Tanto dentro como fora da organizao
Custos , dinheiro-Time
Pessoal -A resistncia mudana, o ressentimento contra a nova
restries
Estrutura Organizacional : Como as decises so tomadas e por
quem, proteo do relvado
Recursos -capital, tecnologia, pessoas
Capacidades de -Conhecimento, formao, habilidades, conhecimentos
Tempo -Janela de oportunidade, o cumprimento mandato
Risco de tolerncia de Ameaas, vulnerabilidades, impactos
Algumas das restries, como a tica ea cultura, pode ter sido
tratados no desenvolvimento do estado desejado. Outros, sem dvida,
surgem como conseqncia do desenvolvimento do roteiro e plano de ao.
1.14 Recursos de estratgia
H tipicamente inmeros recursos disponveis para desenvolver
uma estratgia de segurana da informao, mas elas variam de acordo com o
organizao. O gerente de segurana da informao deve determinar
que recursos esto disponveis e estar ciente de que pode haver cultural,
razes financeiras ou outras que certas opes pode ser excludo tal
como a gesto relutncia em alterar ou modificar polticas. Esta seco
aborda alguns dos conceitos mais essenciais de segurana da informao
e constitui o conhecimento essencial para o candidato CISM.
1.14.1 polticas e normas
Existe um amplo leque de interpretao de polticas, normas,
procedimentos e diretrizes. As definies utilizadas neste documento
esto de acordo com os principais organismos de normalizao e deve ser
adotada para evitar mal-entendidos. Polticas e padres
so consideradas ferramentas de governana e gesto, respectivamente,
e procedimentos e diretrizes do alcance das operaes. Para

clareza, os quatro so definidos nas seguintes subseces.
Polticas
Polticas so as declaraes de alto nvel de inteno de gesto,
expectativas e direo. Polticas em uma organizao madura, pode
na maioria das vezes, permanecem relativamente estticos.
Um exemplo de uma declarao poltica sobre o controle de acesso pode
ser: os recursos de informao devem ser controlados de uma maneira que
efetivamente impede o acesso no autorizado.
Polticas pode ser considerada a "constituio" de segurana
governana e deve ser claramente alinhado com a segurana estratgica
objetivos da organizao.
Normas
Normas neste contexto so as mtricas, limites permitidos ou
O processo utilizado para determinar se os processos, procedimentos ou
sistemas de atender s exigncias polticas.
Um padro para senhas usadas para controle de acesso podem ser:
Senhas para domnios de mdia e baixa de segurana devem ser
composto por nada menos que oito caracteres consistindo de uma mistura
de letras maisculas e minsculas, e pelo menos um nmero e um
sinal de pontuao.
O padro para o controle de acesso para funcionrios nas instalaes
podem incluir requisitos de composio de senha, mnima e
durao de senha mxima, a frequncia de alteraes de senha,
e regras para reutilizao. Geralmente, um padro deve fornecer suficiente
parmetros ou limites que um procedimento ou prtica pode ser
inequivocamente determinado para atender os requisitos da relevncia
poltica. Normas devem ser cuidadosamente concebidos para lhe fornecer
apenas necessrio
limites para garantir a segurana, maximizando as opes processuais.
Normas devem mudar como os requisitos e tecnologias mudana.
Vrias normas geralmente existem para cada poltica, dependendo
o domnio de segurana. Por exemplo, o padro da palavra-passe faria
ser mais restritiva ao acessar domnios de alta segurana.
Procedimentos
Procedimentos so de responsabilidade das operaes, incluindo a segurana
operaes, mas esto includos aqui para maior clareza. Procedimentos devem
ser inequvoca e incluem todas as etapas necessrias para realizar
tarefas especficas. Eles devem definir os resultados esperados, displays e
exigido condies precedentes execuo. Procedimentos devem tambm
conter os passos necessrios quando se verifiquem resultados imprevistos.
Os procedimentos devem ser clara e inequvoca, e os termos devem estar
exata. Por exemplo, as palavras "deve", "ir" e "deve" ser
usados para qualquer tarefa que obrigatria. A palavra "deve" deve ser
usada para significar uma ao preferencial que no obrigatria. Os termos
"Pode" ou "pode" s deve ser usado para denotar um puramente discricionria

ao. Tarefas discricionrias deve aparecer apenas em procedimentos,
quando necessrio, uma vez que a mensagem de diluir o procedimento.
Procedimentos de senhas que incluem os passos detalhados
necessrio para a criao de contas de senha, e para alterar ou
a redefinio de senhas.
Orientaes
Orientaes para a execuo de procedimentos tambm so de
responsabilidade
de operaes. As orientaes devem conter informaes que
ser til na execuo dos procedimentos. Isto pode incluir
dependncias, sugestes e exemplos, narrativa que esclaream a
procedimentos, informaes de base que podem ser teis, ferramentas
que pode ser usado, etc orientaes pode ser til em muitas outras
circunstncias bem, mas so aqui consideradas no mbito da
governana da segurana da informao.
1.14.2 empresa de informaes de segurana
Arquitetura (s)
Embora ainda no a norma, uma arquitetura de segurana da informao pode
ser uma ferramenta poderosa integrar como um elemento de estratgia. L
uma falta geral de compreenso do que constitui uma segurana
Arquitectura e como ela pode ser importante no desenvolvimento e
implementao de uma estratgia de segurana.
A seguinte analogia do Grupo META em seu 2002
relatrio intitulado
Plano para uma arquitetura de segurana Diretrizes
Pgina 60

Seo Dois: Contedo
56
e relacionamentos
fornece uma explicao til de segurana
arquitetura na seguinte analogia:
Em muitos aspectos, a segurana da informao
arquitectura semelhante arquitectura
associada a edifcios. Ele comea como um conceito,
um conjunto de objetivos de projeto que devem ser cumpridos (por exemplo,
a funo que ir servir; se ser um
hospital, uma escola, etc.) Em seguida, ele avana para
um modelo, uma aproximao grosseira da viso
forjada a partir de matrias-primas (leia-se servios).
isto seguido pela preparao das detalhada

plantas, ou ferramentas que sero utilizadas para transformar
a viso / modelo em um real e acabado
produto. Finalmente, h o edifcio em si, a
realizao, ou de sada, das etapas anteriores.
Dada a crescente dimenso do pessoal de segurana na maioria
organizaes, o risco ciberntico cresce e perdas, juntamente com
crescentes presses regulatrias e de segurana cada vez mais problemtico
administrao, surpreendente que a arquitetura de segurana em geral
teve pouco impacto sobre os esforos de segurana da empresa. Isto pode ser
em grande parte ao fato de que poucas organizaes tm o que pode
ser chamado de uma arquitetura de segurana ou, para essa matria, mesmo a
segurana
estratgia sobre a qual basear-lo.
No mesmo relatrio, o Grupo META advertiu:
De fato, sem um [arquitetura de segurana],
evidncias sugerem que as empresas ser o padro
a uma abordagem casual, reativa, ttica para
a construo de um ambiente seguro, lamentavelmente
desperdiando recursos e introduzir mais
vulnerabilidades medida que avanam para corrigir outros.
O fracasso das organizaes a abraar a noo de segurana
arquitetura parece ter vrias causas identificveis. Uma
que esses projectos so caros e demorados, e existe
pouco ou nenhum entendimento ou apreciao no mximo organizacional
nveis para a necessidade ou os benefcios potenciais.
Tambm pode ser que no haja uma abundncia de segurana competente
arquitetos que tm suficientemente ampla e profunda experincia de
abordar a ampla gama de questes necessrias para garantir uma razovel
grau de sucesso. O efeito dessa falta de "arquitetura" sobre
tempo tem sido a de ter funcionalmente menos integrao de segurana e
aumento da vulnerabilidade em toda a empresa, ao mesmo tempo que
tcnico de segurana tem visto uma melhora significativa. Esta falta de
integrao contribui para a crescente dificuldade em gerir
esforos de segurana da empresa de forma eficaz. Arquitetura de segurana
cobertos mais extensivamente no captulo 3.
Uma srie de estruturas e processos arquitetnicos atualmente
existem e algumas das mais prevalentes so referenciados abaixo.
Arquitetura de segurana da informao tambm coberto de forma mais
ampla
no captulo 3.
Algumas dessas abordagens so semelhantes e tm evoludo de
o desenvolvimento de arquitetura empresarial. Por exemplo, a
Zachman abordagem do quadro de desenvolvimento de um quem, o qu,
porqu,
onde, quando e como matriz compartilhada por Sabsa e EA2F. Ver

exibem 1,14 .
Os objectivos das vrias abordagens so essencialmente os
mesma. O quadro detalha a organizao, papis, entidades e
relaes que existem ou deveriam existir para executar um conjunto de
negcios
processos. O quadro deve fornecer uma taxonomia rigoroso
que identifica claramente o que processa um negcio executa e
informaes detalhadas sobre como esses processos so executados
e protegido. O produto final um conjunto de artefatos que descrevem,
em diferentes graus de detalhes, exatamente o que e como um negcio
opera e que so necessrios controlos de segurana.
A escolha de abordagens pode ser limitada por um j existente
padro organizacional, mas se no existir, a escolha deve
ser feita com base na forma, ajuste e funo. Em outras palavras, um
determinado
Anexo 1.14-Sabsa Segurana Arquitetura Matrix
Fonte: 1995 a 2008, os direitos de Negcios Aplicada Sherwood Segurana
Architecture.All reservados. Usado com permisso. www.sabsa.org
Ativos
(O que)
Contextual
Conceptual
Lgico
Fsico
Componente
Operacional
Motivao
(Por)
Processo
(Como)
Pessoas
(Quem)
Localizao
(Onde)
Tempo
(Quando)
O
Negcio
Negcio
Atributos
Perfil
Negcio
Informaes
Modelo
Dados Corporativos
Modelo
Garantia de
Operacional
Continuidade
Dados detalhados
Estruturas
Negcio
Risco
Modelo
Negcio
Processo
Modelo
Negcio
Organizao
e relacionamentos
Controle
Objetivos
Segurana
Polticas
Regras de Segurana,
Prticas e
Procedimentos
Operacional
Risco
Gesto
Segurana
Normas
Estratgias de segurana
e Arquitetnico
Camadas
Segurana
Servios
Segurana
Mecanismos
Servio de Segurana
Gesto
e Suporte
Segurana
Produtos
e Ferramentas
Entidade de Segurana
Modelo e
Confiana-Quadro
Entidade esquema
e Privilege
Perfis
Usurios,
Aplicaes e
Interface do Usurio
Aplicao e
Gerenciamento de usurios
e Suporte
Identidades,
Funes, Aes
e ACLs
Negcio
Geografia
Segurana
Domnio
Modelo
Domnio de Segurana
Definies e
Associaes
Plataforma
e Rede
Infra-estrutura
Segurana de
Sites, Redes
e Plataformas
Processos,
Ns, Endereos
e Protocolos
Negcio
Tempo
Dependncias
Relacionados Segurana
Vidas e
Prazos
Segurana
Processamento
Ciclo
Controle
Estrutura
Execuo
Segurana
Operaes
Horrio
Segurana Etapa
Cronometragem
e Sequenciamento
Pgina 61

Seo Dois: Contedo
57
abordagem pode ser mais consistente com organizacional existente
prticas ou pode ser mais adequado para uma determinada situao. O
vrias abordagens tambm pode implicar consideravelmente maiores esforos
e recursos. Alguns so mais orientados para ou limitado a tcnico
arquiteturas e no vai ser bem adequado para fins de governana.
Enquanto uma arquitetura de segurana especfica pode ser de considervel
benefcio, essencial que ele seja guiado por e totalmente integrado com,
a arquitetura corporativa global, se houver. O desenvolvimento de
arquitetura corporativa atual, como TOGAF ( expor 1,15 ) vai
tratar da segurana como um componente essencial da concepo global
e, na maioria dos casos, ser a abordagem preferida para garantir eficaz
integrao.
Arquitetura corporativa Alternative Frameworks
Alm dessas abordagens mencionadas, um nmero de outros
abordagens para a arquitetura de segurana incluem o seguinte (o
escolha de uma abordagem de arquitetura deve ser baseada em fatores
como forma, ajuste, funo e talvez mandatado, abordagens em
certas organizaes):
Quadro Integrado Arquitetura da Capgemini
Reino Unido Ministrio da Defesa (MOD) Architecture Framework
(MODAF)
Quadro NIH Enterprise Architecture
Arquitetura Aberta de Segurana
Service-Oriented Modeling Framework (SOMF)
O Open Group Architecture Framework (TOGAF)
GATA francs Dlgation Gnrale pour l'Armamento Atelier
de Gestion de l'Architecture des Systmes d'information et de
comunicao
Estados Unidos Departamento de Defesa estrutura arquitetnica
(DoDAF)
Interoperabilidade de entrega (de servios pblicos europeus
pblico) Administraes, empresas e cidados (IDABC)
Estados Unidos Escritrio de Administrao e Oramento Federal
Enterprise Architecture (FEA)
Model-Driven Architecture (MDA) do Object Management
Grupo
OBASHI negcios e TI metodologia e estrutura

(OBASHI)
quadro Sabsa abrangente para Enterprise Security
Arquitetura e Servio de Gesto
estrutura Zachman de IBM (quadro da dcada de 1980)
SAP Enterprise Architecture Framework, uma extenso do
TOGAF, para melhor apoiar os programas de off-the-shelf comerciais
e Arquitetura Orientada a Servios
Mtodo para um Ambiente de Conhecimento Integrado (MIKE2.0),
que inclui um quadro de arquitetura corporativa chamada
Arquitetura Estratgica para a Federated Empresa (SAFE)
Anexo 1.15 retrata o processo de arquitetura TOGAF e sua
relao s operaes de negcios.
1.14.3 controles
Os controles so os principais componentes a considerar quando
desenvolvimento de uma estratgia de segurana da informao. Os controles
podem ser
fsica, tcnica ou processual. A escolha dos controles devem
basear-se em uma srie de consideraes, incluindo garantindo a sua
eficcia, que eles no so indevidamente caro ou restritiva
atividades empresariais, e que a forma ideal de controle ser.
Ampla discusso dos controles, o seu uso, implementao e
a execuo encontrado no captulo 2, seo 2.11.
Anexo 1.15-TOGAF Enterprise Architecture Framework
Fonte: ISACA, CoBIT Mapeamento: Mapeamento do TOGAF 8.1 Com
CoBIT
4.0 , EUA, 2007

Necessidades da forma negcio
aspectos no-arquitetnicas de operao do negcio
Informa o tamanho, estrutura e
cultura da capacidade
O mtodo proporciona novo
solues de negcios
As mudanas operacionais atualizar o
Empresa Continuumand
Repositrio
Aprendendo com a operao do negcio cria
nova necessidade de negcio
Define metas, KPIs, planos e
oramentos para as funes de arquitetura
Capacidade de negcios impulsiona o
necessidade de Arquitetura Capability
Maturidade
A capacidade de Arquitetura
opera um mtodo
Funcionamento eficaz do
Garante Capacidade Arquitetura
realizao da Viso do Negcio
Necessidade de negcio que contribui para o
mtodo, a identificao de problemas
para ser endereado
O mtodo refina
compreenso da necessidade de negcio
O mtodo produz contedo para ser
armazenado no repositrio, classificado
de acordo com a Enterprise Continuum
A Enterprise Continuum e
Repositrio informar o negcio
do estado atual
TOGAF Capability-Quadro
TOGAF continuum corporativo e Ferramentas
Capacidade de Arquitetura
Quadro
(Parte VII)
Arquitetura
Mtodo de Desenvolvimento
(Parte III)
Arquitetura
Contedo
Quadro
(Parte IV)
Diretrizes e ADM
Tcnicas (Parte III)
Empresa Continuum
e Ferramentas
(Parte V)
TOGAF Referncia
Modelos (parte VI)
Negcio
Viso e
Drivers
Negcio
Capacidades
TOGAF ADM e
Content-Quadro
Pgina 62
Seo Dois: Contedo

58
Controles de TI
COBIT concentra-se em controles de TI, que constituem a maioria
de controles necessrios em muitas organizaes. Indiscutivelmente, COBIT
uma das abordagens mais desenvolvidos e abrangentes
para determinar os objetivos de controle de TI e posterior
implementao e gesto.
COBIT define os objetivos de controle como "uma declarao do desejado
resultado ou objetivo a ser alcanado atravs da implementao de controle
procedimentos em uma atividade particular de TI. "
Controles no-TI
O gerente de segurana da informao deve estar ciente de que as informaes
controles de segurana devem ser desenvolvidos para no-IT-relacionado
processos de informao tambm. Isso ir incluir marcao segura,
requisitos de manuseio e armazenamento de informaes fsicas. Ele
deve incluir consideraes para o manuseamento e preveno sociais
engenharia. Controles ambientais tambm devem ser levados em
conta de modo a que os sistemas de outra forma segura no esto sujeitos a
simplesmente
ser roubado como ocorreu em alguns casos bem divulgados.
Contramedidas
Contramedidas so as medidas de proteco que reduzem a
nvel de vulnerabilidade a ameaas. Contramedidas pode ser simplesmente
considerado controles direcionados.
Contramedidas para ameaas deve ser considerada a partir de uma estratgica
perspectiva. Eles podem ser passiva ou activa, mas, em muitos casos,
podem ser mais eficazes e menos restritivo do que os controles gerais.
A contramedida pode consistir em fazer o mais sensvel
informaes acessveis apenas a partir de uma sub-rede separada, e no
externamente
disponvel, ou pode consistir em alterar a uma inerentemente mais
sistema operacional seguro ou prevenir sistemas inseguros de
conectar-se rede.
Defesas em camadas
Camadas defesas, ou de defesa em profundidade, um importante e
conceito eficaz na elaborao de um segurana da informao eficaz
estratgia ou arquitetura. As camadas devem ser concebidos de modo que a
causa de falha de uma camada no tambm causar insuficincia do
prxima camada.
O nmero de camadas necessrias sero uma funo de sensibilidade activo
e criticalidade, bem como a fiabilidade das defesas ea
grau de exposio. Dependncia excessiva de um nico controle provvel
para criar uma falsa sensao de confiana. Por exemplo, uma empresa
que depende unicamente de uma firewall ainda pode ser sujeita a numerosas
metodologias de ataque. Uma outra defesa pode ser a criao
atravs da educao e conscientizao de uma "firewall humana", o que
pode constituir uma camada crtica de defesa. Segmentar a rede
pode constituir uma outra camada defensiva.
1.14.4 tecnologias
As ltimas dcadas tm visto o desenvolvimento de numerosas
tecnologias de segurana para lidar com as crescentes ameaas
recursos de informao. A tecnologia um dos pilares da
uma estratgia de segurana eficaz. O gerente de segurana da informao
deve estar familiarizado com a forma como estas tecnologias podem servir
como controles
para alcanar o estado de segurana desejado. Tecnologia, no entanto,
no pode compensar gesto, cultural ou operacional
deficincias, eo gerente de segurana da informao advertido
para no colocar confiana excessiva sobre esses
mecanismos. Como exposio
1.16 demonstra, para alcanar defesas eficazes contra a segurana
incidentes, uma combinao de polticas, normas e procedimentos
deve vir junto com a tecnologia.
H um nmero de mecanismos de segurana com tecnologias
que pode desempenhar um papel crtico no sucesso de uma organizao de
estratgia de segurana. Estas tecnologias so discutidos em mais detalhe
no captulo 3 e no glossrio. Dado o contnuo e rpido
desenvolvimento da tecnologia nesta rea, a informao prudente
gerente de segurana ir utilizar os recursos disponveis para se manter no
atual
os ltimos desenvolvimentos.
1.14.5 pessoal
Segurana pessoal uma rea importante da segurana da informao
gerente deve considerar como um meio de preveno de garantir um
organizao. Uma vez que os compromissos mais caros e prejudiciais
so geralmente o resultado de atividades privilegiadas, intencional
ou acidental, a primeira linha de defesa tentar assegurar a
confiabilidade e integridade do pessoal de novos e existentes.
Antecedentes limitados podem fornecer indicadores de negativo
caractersticas, mas a extenso dessas verificaes pode ser restringida
por privacidade e outras leis, particularmente em pases da Unio Europeia.
Alm disso, a extenso ea natureza de investigaes de fundo
deve ser relevante e proporcional sensibilidade e
criticidade das exigncias do cargo ocupado. Uma extensa
investigao de uma recepcionista fundo pode ser considerado um
intruso injustificada de privacidade, por exemplo. Regulamentos de
privacidade
da respectiva jurisdio deve ser considerada, uma vez que variam

muito em diferentes pases. No entanto, h que ter
ser dada aos controles destinados a prevenir o emprego de
pessoal susceptveis de prejudicar a organizao e prestao de curso
inteligncia indicativos dos pases emergentes ou potenciais problemas com
pessoal existente.
Mtodos de incidentes de rastreamento de furto e roubo deve ser
desenvolvidos, e esses eventos devem ser investigados e monitorados
quando vivel. A aparncia do que pode ser considerado menor
eventos podem ser indcios de uma situao mais grave. Pode tambm
ser um indicador de pessoal que possam estar envolvidos em atividades ilegais
ou
atividades imprprias.
Se a poltica da organizao que o e-mail no privada e pode
ser inspecionados pela empresa, e os funcionrios foram devidamente
cientes desta poltica, pode ser adequado considerar
monitoramento de e-mail do pessoal que foram identificados como
problemas potenciais. Protees legais variam sobre este tipo de
monitoramento e da responsabilidade do agente de segurana para
entender os requisitos legais da jurisdio envolvidos.
Ele tambm pode ser prudente para desenvolver uma investigao e fundo
verificao de polticas e normas. Estes devem ser revistos pelo
departamentos jurdicos e de recursos humanos da organizao. Essas
polticas devem
tambm ser examinados pela direco de coerncia com a
cultura da organizao e abordagem de governana.
Pgina 63

Seo Dois: Contedo
59
Reportagem estruturas para os gestores de segurana da informao variar
amplamente. No 2011 o estado global da Segurana da Informao pesquisa
realizada pela Revista CSO e PricewaterhouseCoopers
(Www.pwc.com/ca/en/technology-consulting/security/securitysurvey.jhtml ), o percentual de CISOs reportando ao CIO tem
diminuiu de 38% em 2007 para 23% em 2010. Durante a mesma
perodo, o percentual reportando-se diretamente ao conselho de administrao
aumentou de 21% para 32%. e 36% agora reportar ao CEO.
Enquanto reportando ao CIO tem sido muitas vezes funcionalmente adequada,
que cada vez mais visto como abaixo do ideal e deve
ser examinado pela alta administrao como parte da governana

responsabilidades. Existem vrias razes pelas quais este o caso.
Uma delas que os requisitos cada vez mais largas de informaes
segurana transcendem a competncia do CIO tpico. Outra razo
o conflito de interesses inerente. A segurana da informao, devido
esforos para garantir a segurana, muitas vezes percebida como uma
restrio
Operaes de TI. CIOs e seus departamentos de TI so geralmente sob
presso para aumentar o desempenho e reduzir os custos. A segurana
muitas vezes
vtima de tais presses. Finalmente, deve ser considerado que
de segurana da informao para ser eficaz, deve ser mais alinhado
com o negcio do que com a tecnologia.
Abordagens centralizados e descentralizados para
Coordenao de Segurana da Informao
Composio cultural de uma organizao um determinante forte
para saber se a organizao de segurana mais eficaz usando
uma abordagem centralizada ou descentralizada. Enquanto muitos benefcios
pode ser alcanada atravs da centralizao e padronizao
de segurana, muitas vezes, a estrutura de uma organizao torna este um
abordagem ineficaz.
As empresas multinacionais que escolhem uma abordagem centralizada
necessidade
considerar cuidadosamente diferentes exigncias legais locais em cada
pas onde eles tm uma presena. Por exemplo, alguns pases
no pode permitir que os dados de negcio para ser armazenado ou
processado fora
de suas fronteiras nacionais, alguns governos podem cobrar impostos
como uma reteno na fonte para o software ou hardware usado pelo
entidades sujeitas sua jurisdio, independentemente de onde o software
ou hardware est localizado fisicamente.
Um exemplo de uma abordagem distribuda uma organizao que tem
crescido por meio de aquisies e opera mais como independente
entidades e no como uma nica empresa. Nesta situao,
no incomum para a existir grupos de tecnologia da informao em separado
juntamente com o software e hardware diferente. Neste exemplo,
no seria incomum para diferentes organizaes de segurana para
existir com abordagens distintas, polticas e procedimentos. Nestes
situaes, ainda pode haver benefcios para a criao de um nico conjunto de
polticas de segurana global em toda a empresa e, em seguida, lidar com
locais
diferenas atravs de normas e procedimentos locais.
Um processo de segurana descentralizada tem vantagens em que a segurana
administradores so normalmente mais perto dos usurios e entender
questes locais melhor. Muitas vezes, eles podem responder mais rapidamente
s
pedidos de alterao de direitos de acesso ou incidentes de segurana.
No entanto, tambm h desvantagens. Por exemplo, a qualidade
do servio pode variar conforme o local, com base no nvel de formao
o pessoal local possui e do grau em que eles podem ser
oneradas com outras obrigaes no relacionados.
Anexo 1.16-Defesa em Profundidade por Funo
Defesas contra
Polticas comprometimento do sistema, normas, procedimentos,
Tecnologia
Preveno
Autenticao
Autorizao
Criptografia
Firewalls
Rotulagem de dados / manuseio / reteno
Gesto
Segurana fsica
Preveno de intruso
A verificao de vrus
Segurana pessoal
Sensibilizao e formao
Conteno
Autorizao
A privacidade dos dados
Domnios Firewalls / segurana
Segmentao da rede
Segurana fsica
Deteco / notificao
Monitorao
Medies / mtricas
Auditoria / logging
Honeypots
Deteco de intruso
A deteco de vrus
Reao
Resposta a incidentes
Mudana de poltica / procedimento
Mecanismos de segurana adicionais
Novos melhores controles /
Coleta de provas /
acompanhamento de eventos
Auditoria / logging
Gesto / monitoramento
O no-repdio
Forensics
Recuperao / restaurao
Backups / restaurao
Failover / locais remotos
Planejamento de recuperao de continuidade de negcios / desastre
Fonte: Krag Brotby
Pgina 64

Seo Dois: Contedo
60
Pode haver diferentes abordagens e tcnicas utilizadas para
segurana dependendo de um sistema centralizado ou descentralizado
abordagem tomada, mas as responsabilidades e objetivos gerais
segurana no vai mudar. Eles ainda devem:
Estar alinhado com os objetivos do negcio
ser patrocinado e aprovado pela alta administrao
J o monitoramento no local
Tenha relatrios e gesto de crises no lugar
Ter procedimentos de continuidade da organizao
gesto de risco tem no lugar
Tenha conscincia de segurana apropriada e programas de treinamento
1.14.7 papis e responsabilidades dos empregados
Com as muitas tarefas trabalhadores de hoje devem completar,
importante que a estratgia inclui um mecanismo que define
todas as funes de segurana e responsabilidades, e incorpora-los
em descries de trabalho do empregado. Em ltima anlise, se os
funcionrios so
compensados com base na sua adeso a conhecer o seu trabalho
responsabilidades, h uma melhor chance de alcanar a segurana
objetivos de governana. Desempenho no trabalho anual de um empregado
e os objetivos podem incluir medidas relacionadas segurana.
O gerente de segurana da informao deve trabalhar com o pessoal
diretor para definir papis e responsabilidades de segurana. A relacionado
competncias necessrias para cada cargo tambm deve ser
definidos e documentados.
1.14.8 habilidades
As habilidades necessrias para implementar uma estratgia de segurana so
uma
considerao importante. Escolhendo uma estratgia que utiliza as habilidades
j disponvel provvel que seja uma opo mais eficaz em termos de custos,
mas
s vezes, as habilidades podem precisar ser desenvolvidos ou as atividades
necessrias
terceirizado. Um inventrio de competncias importante para determinar a
recursos disponveis no desenvolvimento de uma estratgia de
segurana. Proficincia
testes podem ser teis para determinar se as habilidades necessrias so
disponvel ou pode ser obtido por meio de treinamento.
1.14.9 conscientizao e educao
Formao, educao e conscientizao so vitais na estratgia global
desde que a segurana muitas vezes mais fraco ao nvel do utilizador final.
aqui,
tambm, que se deve considerar a necessidade para o desenvolvimento
de mtodos e processos que permitem que as polticas, normas
e procedimentos que devem ser seguidos com mais facilidade, implementados
e
monitorizados. Um programa de conscientizao de segurana recorrentes
destinado a final
usurios refora a importncia da segurana da informao e agora
exigido por lei, em algumas jurisdies, para uma srie de setores.
Na maioria dos organismos, as evidncias indicam que a maioria dos
pessoal no esto cientes de polticas e normas de segurana, mesmo
onde eles no existem. Programas de sensibilizao e de formao pode
fornecer
para o reconhecimento generalizado de que a segurana importante
para a organizao. Como a segurana depende muito de indivduo
conformidade, importante que uma conscincia de segurana robusta
programa estar no lugar e um elemento que deve ser considerado em
desenvolvimento da estratgia.
Os estudos indicaram que a melhoria da segurana e da conscincia
treinamento tem, em muitos casos, resultou no melhor custo-benefcio
melhoria na segurana geral. Um estudo realizado por Phillip
Fascas, trabalhando como consultor para a Litton Industries
Militar dos EUA na Europa, demonstrou o valor da segurana
conscincia, como mostra a exposio 1,17 .
De acordo com o estudo realizado por Sparks:
baseada na experincia direta com o Exrcito dos EUA
Computer Emergency Response Team Regional
(RCERt) na Europa 1994-2002, os seres humanos foram
o elo mais fraco na cadeia de segurana. Segurana
tecnologia foi adquirido e implementado, mas
prova indicaram que o risco de informaes
continuou sendo um problema humano. Reduo do risco
foi alcanada somente aps o RCERt iniciou um
conscientizao e treinamento que cobria tudo

90.000 usurios e os de 2000, o pessoal da equipe.
Anexo 1.17 retrata a relao entre risco e
o programa de sensibilizao. Como sensibilizao e formao de
pessoal ocorreu, o risco foi reduzido como funcionrios foram ensinados
o valor dos ativos, o risco, e tomou as medidas apropriadas.
Pessoal tornou-se consciente, ento treinados em questes de segurana e
procedimentos, o que permitiu a RCERT para diminuir a reao
momento em que as vulnerabilidades ocorreu nas organizaes.
O custo do programa de aumentou at que o programa foi
estabilizado, e, em seguida, descartado, como mostrado.
Ampliar e aprofundar as competncias adequadas de segurana
pessoal atravs da formao pode fazer muito para melhorar um
eficcia global de segurana da organizao. O desafio
determinar quais as habilidades "apropriados" so e como eles precisam
ser melhorado para proteger eficazmente a organizao contra a
aparentemente interminvel srie de riscos segurana.
Anexo 1.17-Impacto do Treinamento de Conscientizao sobre o Risco
0
20
40
60
80
100
Nada
Conscincia
Treinamento
Conhecimento
Sustentar
Risco
Custo
O tempo de reaco
Pgina 65

Seo Dois: Contedo
61
Encontrar funcionrios com a combinao necessria de
habilidades de segurana para ser eficaz em constante mudana de hoje,
diverso
ambientes e clima regulatrio complexo pode ser difcil
e caro. Uma maneira algumas organizaes tentam assegurar
que todas as habilidades necessrias esto disponveis contratar pessoas

superqualificados.
A preocupao com esta abordagem que esses indivduos so caros
para adquirir e manter e, deixando de ser desafiado, so muitas vezes
insatisfeito com a posio. Isto pode conduzir a uma excessiva empregado
volume de negcios, atitudes improdutivas ou desempenho abaixo do padro.
A formao dos funcionrios novos ou existentes de segurana para equiplos com
as habilidades necessrias para atender de segurana especfica existentes e
emergentes
requisitos podem ser mais rentvel. Este um argumento forte
para um programa contnuo de treinamento direcionado para as necessidades
do
organizao e, ao mesmo tempo, proporcionar um caminho para a carreira
funcionrios com base na melhoria contnua.
Para treinar para ser uma opo eficaz, no entanto, deve ser
direcionados a sistemas especficos, processos e polticas e ao
forma nica e especfica da organizao de fazer negcios, como
bem como o seu contexto de segurana nico. Qualquer coisa menos
provvel que
inadequada, e nada mais desperdia recursos. Corretamente
executada, esta abordagem pode perfeitamente integrar existente
programas e iniciativas, fortalecer as reas de deficincia, e alinhar
segurana os processos com os processos de negcios.
1.14.10 auditorias
Auditorias-interna e externa-se um dos principais
processos utilizados para determinar as deficincias de segurana da
informao
a partir de um ponto de vista de controlo e conformidade.
As auditorias internas na maioria das organizaes de maior porte so
realizadas por um
departamento de auditoria interna, geralmente relatrios, quer um risco chefe
Officer (CRO) ou a um comit de auditoria do conselho de administrao.
Na maioria dos casos, uma subunidade da auditoria interna ou um
independente de TI
grupo de auditoria incidir sobre os recursos de tecnologia da informao.
Em organizaes menores, auditorias interna de TI ou comentrios podem
ser realizada pelo gerente de segurana da informao ou pode ser
delegada a um agente de segurana da informao. Tipicamente, o foco est
em conformidade com a poltica de pessoas, processos e tecnologia.
As auditorias externas so mais frequentemente realizado pelo financiamento
departamento e muitas vezes no encontrar o caminho para a informao
segurana. Uma vez que estas auditorias podem fornecer ferramentas de
monitoramento de poderosos
para o gerente de segurana da informao, importante para garantir que
o departamento de segurana tem acesso a essas informaes. Tal como

acontece com
outros departamentos, importante para a segurana da informao
gerente para desenvolver uma boa relao de trabalho com o financiamento
departamento de modo a facilitar o fluxo de informao que
essencial para o gerenciamento de segurana eficaz.
Como superviso regulatria tem aumentado, muitas organizaes esto
obrigado a apresentar vrios auditoria e outros relatrios com regulamentao
agncias. Muitos desses relatrios tm a segurana da informao
implicaes que podem fornecer inteligncia e monitoramento til
informaes para o gerente de segurana da informao. Por exemplo,
ao abrigo das disposies de cumprimento de os EUA Sarbanes-Oxley Act, o
controles financeiros das empresas pblicas so obrigadas a ser testado
anualmente no prazo de 90 dias de relatrios de Valores Mobilirios dos
Estados Unidos e
Exchange Commission (SEC). importante que os resultados das
tais testes esto disponveis para o gerente de segurana da informao e
deve ser exigido como parte de consideraes de estratgia.
1.14.11 conformidade aplicao
Violaes de segurana so uma preocupao permanente para a segurana da
informao
gerentes, e importante que os procedimentos para o seu tratamento so
desenvolvido. fundamental que haja senior management buy-in e
apoio para estes procedimentos, especialmente na rea de execuo.
Gerentes de segurana muitas vezes achamos que o maior cumprimento
surgem problemas com a gerncia. Se houver uma falta de compromisso
e conformidade em fileiras de gesto, pode ser difcil, se no
impossvel, de fazer cumprir toda a organizao.
A abordagem mais eficaz para o cumprimento de uma organizao
onde transparncia e confiana so valorizados e promovidos por
gesto provvel que seja um sistema de auto-relato e
cumprimento voluntrio com base no entendimento de que a segurana
claramente do interesse de todos. Esta abordagem geralmente tambm
exige que estes processos ser cuidadosamente pensado, claramente
comunicada e cooperativamente implementado. Determinar como
para alcanar este objetivo um elemento de estratgia.
1.14.12 Avaliao da Ameaa
Enquanto avaliao da ameaa realizada como parte do risco global
avaliao, um elemento importante para a considerao estratgica
por si s. Uma razo que as opes de tratamento de riscos deve considerar
a abordagem mais custo-efetiva para lidar com qualquer risco particular.
Por exemplo, medidas de mitigao pode abordar ameaa diretamente, eles
pode reduzir ou eliminar as vulnerabilidades, ou podem tratar e
compensar os impactos. A escolha mais rentvel facilitada
analisando separadamente ameaa e vulnerabilidade, bem como o impacto.
Outra razo para o desenvolvimento de um perfil de ameaa de que a

estratgia
deve considerar as ameaas viveis, independentemente de uma corrente
vulnerabilidade conhecida de existir. Esta uma abordagem pr-ativa e
leva em conta que todas as vulnerabilidades no podem ser conhecidos e
novos
aquelas so introduzidos de forma contnua, que pode resultar no risco.
Alm disso, o desenvolvimento de polticas deve mapear a um perfil de
ameaa.
Isto porque, em sentido lato, ameaas so relativamente constante
(por exemplo, incndio, inundao, terremoto, malware, roubo, fraude,
ataques,
erros), enquanto que as vulnerabilidades mudam com freqncia, como
resultado de
mudanas nos negcios, processos, tecnologia e pessoal.
1.14.13 Avaliao de Vulnerabilidade
Na maioria das organizaes, as avaliaes de vulnerabilidade tcnicos
usando varreduras automatizadas so comuns, mas por si s so de
valor limitado para o desenvolvimento de estratgia de
segurana. Compreensivo
avaliaes de vulnerabilidade so importantes e devem incluir
vulnerabilidades em processos, tecnologias e instalaes. Processos
e as instalaes so frequentemente os componentes mais vulnerveis;
no entanto, devido maior dificuldade na realizao de avaliaes
sobre eles, eles tambm so os menos frequentemente feito. O processo de
desenvolvimento de uma estratgia ir oferecer oportunidades para abordar
muitos dos
essas vulnerabilidades em uma abordagem prudente e proativa. Mesmo que
no
existem ameaas conhecidas ou aparentes para os pontos fracos descobertos
durante
Estas avaliaes, oportunidades econmicas para enfrentar sistmica
fraquezas durante o desenvolvimento estratgia deve ser considerada.
Pgina 66

Seo Dois: Contedo
62
1.14.14 avaliao de riscos e gesto
Embora ambas as avaliaes de ameaas e vulnerabilidade pode ser til em
direito prprio, ao considerar os elementos da estratgia de segurana,
avaliar o risco global para a organizao tambm necessria. Enquanto
ameaas e vulnerabilidades que representam nenhum risco para a organizao

pode
no ser imediatamente significativo, o cenrio de risco em constante mudana
faz com que seja provvel que isso no vai continuar a ser o caso. Em
qualquer caso,
na medida em que o desenvolvimento de estratgia pode enfrentar ameaas e
vulnerabilidades, deve faz-lo por uma questo de boa prtica.
Formalmente avaliar risco realizado pela primeira determinao da
ameaas viveis para os recursos de informao que uma organizao
enfrenta.
Isto inclui ameaas fsicas e ambientais (por exemplo, inundao,
incndio, terremoto, pandemia), bem como as ameaas de tecnologia (por
exemplo,
software malicioso, falha do sistema, ataques internos e externos).
A prxima considerao a probabilidade de que essas ameaas iro
materializar, bem como a sua provvel magnitude. Por exemplo,
ela pode ser muito provvel que, em algumas reas de um sismo vontade
ocorrer, mas pode ser que, em mdia, no vai ser grave
o suficiente para causar danos. Neste caso, o mais importante infrequente
terremotos que, historicamente, tm causado danos deve ser
considerado. Algumas ameaas podem ser extremo, mas muito raro para
justificar
considerao (por exemplo, uma greve cometa) e pode ser ignorado.
Tanto a freqncia de ocorrncia, bem como provvel magnitude lata
ser indicado pela medida em que essas ameaas se materializaram no
passado e pelas experincias de organizaes pares. A considerao
da frequncia importante, mesmo que a amplitude moderado. Enquanto
um nico evento pode constituir um risco aceitvel, se um freqente
ocorrncia, o risco de agregao pode no ser aceitvel. Por exemplo,
uma organizao pode aceitar uma perda EUA $ 10,000 uma vez por ano, mas
que
nvel de perda por dia pode no ser aceitvel.
O prximo passo determinar a extenso da organizao
fraquezas e exposio a estas ameaas. A combinao de
a frequncia ea magnitude ea extenso da organizao do
vulnerabilidade ir determinar o nvel relativo de risco. Usando
esta informao para calcular a perda anual provvel resultando
freqncia expectativa (ALE)-considerando, magnitude e
de gerenciamento de exposio est em uma posio para decidir sobre a
aceitabilidade.
1.14.15 de seguros
Recursos da Estratgia de incluir a opo de abordar algum risco
com seguro. Geralmente, os tipos de risco adequados para segurar
so raros, eventos de alto impacto, como inundaes, furaces ou fogo,
processos peculato, ou responsabilidade. Os tipos mais comuns de
seguro que podem ser considerados incluem o primeiro partido, terceiro

e obrigaes de fidelidade. Seguro de primeira parte abrange a organizao
em
caso de dano da maioria das fontes e pode incluir negcios
interrupo, perda direta e de recuperao de custos. Seguro de terceiros
lida com a responsabilidade potencial a terceiros, e geralmente inclui
defesa contra aes judiciais e cobre danos at predeterminado
limites. Seguros Fidelity ou ligao envolve a proteo contra
roubo de funcionrio ou agente ou peculato.
1.14.16 Business Impact Assessment
Impacto nos negcios o "bottom line" de risco. Risco de que no pode
resultado em um impacto significativo no importante. Impacto nos
negcios
avaliaes (bias) so um componente importante do desenvolvimento
uma estratgia que aborda possveis impactos adversos para a
organizao. A BIA tambm deve ser considerado como um requisito
para determinar a criticidade e sensibilidade de sistemas e
informaes. Como tal, ele ir fornecer a base para o desenvolvimento de um
abordagem para a classificao da informao e abordando negcio
requisitos de continuidade.
Anlise de dependncia de recursos 1.14.17
Anlise de dependncia do negcio foi discutido anteriormente e
semelhante anlise de dependncia de recursos, mas menos granular e
inclui os elementos que devem ser consideradas em um negcio
plano de continuidade (BCP), incluindo coisas como grampos, papel
clips, etc dependncia de recursos semelhante recuperao de desastres
planejamento (DRP) e considera os sistemas, hardware e
software necessrio para executar funes especficas da organizao.
Dependncia de recursos pode fornecer uma outra perspectiva sobre a
criticidade dos recursos de informao. Ela pode, em certa medida, ser
usado ao invs de uma anlise de impacto para garantir que a estratgia
considera recursos crticos para as operaes comerciais. A anlise
baseia-se na determinao dos recursos (tais como sistemas de software,
conectividade, etc) e dependncias (como os processos de entrada
e repositrios de dados) exigido por operaes crticas para a
organizao.
1.14.18 servios terceirizados
A terceirizao cada vez mais comum, tanto em terra como no mar,
como as empresas se concentrar nas competncias essenciais e maneiras de
cortar custos.
Do ponto de vista da segurana da informao, estes acordos podem
apresentar um conjunto de risco que pode ser difcil de quantificar e,
potencialmente
difcil de mitigar. Normalmente, ambos os recursos e competncias da
funes terceirizadas so perdidos para a organizao, que se vai
apresentar um conjunto de riscos. Provedores podem operar em diferentes

padres
e pode ser difcil de controlar. A estratgia de segurana deve considerar
servios de segurana terceirizados cuidadosamente para garantir que eles ou
so
no um nico ponto crtico de falha ou que existe um backup vivel
planejar, em caso de falha de operadora.
Muito risco representado pela terceirizao tambm pode materializar-se
como o resultado
de fuses e aquisies. Tipicamente, as diferenas significativas nas
cultura, sistemas, tecnologia e operaes entre as partes
apresentar uma srie de desafios de segurana que devem ser identificados e
abordadas. Muitas vezes, nessas situaes, a segurana uma reflexo tardia e
o gerente de segurana deve se esforar para ganhar uma presena nessas
atividades
e avaliar o risco para a considerao de gesto.
1.14.19 Outro apoio organizacional e
prestadores de garantia
Ao desenvolver uma estratgia de segurana, geralmente h uma
nmero de prestadores de servios e suporte de garantia dentro de um
organizao que deve ser considerado uma parte da informao
recursos de segurana. Estes podem incluir uma variedade de departamentos
como legal, compliance, auditoria, compras, seguros,
recuperao de desastres, segurana fsica, treinamento, escritrio de projetos,
e
recursos humanos. Outros departamentos ou grupos tais como a mudana
gesto ou garantia de qualidade tambm tm elementos de segurana
como parte do seu funcionamento.
Pgina 67

Seo Dois: Contedo
63
Normalmente, estas funes de seguros no esto bem integrados, se em
tudo. Consideraes estratgicas devem incluir abordagens para garantir
que essas funes operam de forma transparente para evitar lacunas que
podem
levar a comprometer a segurana.
1.15 Restries de estratgia
Vrias restries devem ser considerados no desenvolvimento de um
estratgia de segurana. Eles vo definir os limites para as opes
disponvel para o gerente de segurana da informao e deve ser
bem definido e compreendido antes de iniciar a estratgia

desenvolvimento.
H uma srie de questes legais e regulatrias que afetam
segurana da informao que deve ser considerado no desenvolvimento de um
estratgia. A segurana da informao est inevitavelmente entrelaado com
questes de privacidade, propriedade intelectual e contratual, civil
e direito penal. Qualquer esforo para projetar e implementar uma eficaz
estratgia de segurana da informao deve ser construda sobre uma slida
compreenso
dos requisitos legais pertinentes e restries. Diferentes regies
em uma organizao global pode ser regido pelo conflito de legislao.
Um exemplo disso na rea de legislao de privacidade, onde
diferentes culturas coloque uma importncia diferente em privacidade.
Em alguns pases, as verificaes completas do fundo pode ser
realizada em novos funcionrios, mas so ilegais sob as leis em outro
pases. Para lidar com essas situaes, a organizao global pode
precisa estabelecer diferentes estratgias de segurana para cada regio
diviso, ou pode basear a poltica sobre as exigncias mais restritivas
a fim de ser consistente em toda a empresa.
H tambm uma srie de questes legais e regulamentares associados
com negcios de Internet, transmisses globais e transfronteirias
fluxos de dados (por exemplo, de privacidade, as leis fiscais e tarifas,
importao / exportao de dados
restries, restries criptografia, garantias, patentes,
direitos autorais, segredos comerciais, de segurana nacional), estes variam de
acordo
sobre a localizao da organizao, e resultam em restries e
limites sobre as estratgias de segurana. A investigao sobre essas reas
devem ser
realizado em conjunto com os departamentos legais e regulamentares como
bem como todas as reas de negcio que podem ser afetados.
A estratgia tambm deve levar em considerao que o pessoal
segurana objecto de regulamentao em muitas jurisdies.
Requisitos para contedo e reteno de
Registros de negcios
H dois aspectos principais de uma estratgia de segurana da informao
deve
levar em considerao em relao ao contedo e reteno de
registros de negcios e conformidade:
Os requisitos de negcio para os registros de negcios
Os requisitos legais e regulamentares para registros
Requisitos de negcios poder ultrapassar o legal e regulamentar
requisitos impostos por rgos legislativos aplicveis devido
natureza do negcio da organizao. Algumas organizaes tm
necessidades de negcios que necessitam de acesso aos dados que so 10 a 20

anos
idade ou mais. Isso pode incluir registros de clientes, registros de pacientes,
informaes de engenharia e muitos outros. Como uma regra, a reteno
estratgia e poltica subseqente deve, no mnimo, conhecer o legal
requisitos da jurisdio e da indstria aplicvel.
Dependendo da localizao da organizao e da indstria,
rgos reguladores tm requisitos que uma organizao deve
cumprir, inclusive legal, mdico e fiscal.
Regulamentaes como Sarbanes-Oxley impuseram vrios
requisitos de reteno obrigatrios para vrios tipos e categorias
de informao, independentemente do meio de armazenamento. A estratgia
exigir que o gerente de segurana da informao ficar atualizado com estes
exigncias e garantir a conformidade. Outra exigncia legal que
deve ser considerado as exigncias de qualquer preservao legal
ordem, o que exigiria uma organizao ou indivduo para manter
dados especficos quando necessrio pela aplicao da lei ou outras
autoridades.
Tambm geralmente o caso em que a informao tem de ser arquivados
indexados suficiente para ser localizado e recuperado.
E-descoberta
Cada vez mais, as aes civis e criminais dependem de provas obtidas
de e-mails e outras comunicaes eletrnicas em resposta a uma
pedido de produo ou intimao. Se a informao foi arquivada
sem serem classificadas e catalogadas, recuperando o necessrio
o material pode ser uma tarefa rdua e caro, como j ocorreu
em uma srie de casos de alta visibilidade. O aumento da prevalncia de
este tipo de descoberta tambm contribui para a necessidade de cuidado
considerao de uma poltica de reteno que limita o comprimento de tempo
que certos tipos de informao, tais como e-mail so retidos
dentro dos limites de requisitos legais.
1.15.2 fsica
H uma variedade de factores fsicos e ambientais que
pode influenciar ou constranger uma estratgia de segurana da informao.
As mais bvias incluem questes como capacidade, espao,
riscos ambientais e disponibilidade de infra-estrutura.
Outros constrangimentos que, na ocasio, foram ignorados incluem
um centro de dados que uma grande operao petrolfera colocado em um
poro conhecido inundar periodicamente. A estratgia de segurana
deve ter certeza de que as disposies so feitas para a considerao
de riscos ambientais e de infra-estruturas adequadas.
A estratgia deve incluir a exigncia de considerao para
segurana pessoal e de recursos.
1.15.3 tica
A percepo de comportamento tico por parte dos clientes de uma

organizao
e ao pblico em geral pode ter um grande impacto sobre a organizao
e afetar o seu valor. Estas percepes so muitas vezes influenciados por
localizao e da cultura, e uma estratgia eficaz ir incluir tica
consideraes nas reas de suas operaes.
1.15.4 Cultura
Cultura interna da organizao deve ser levado em conta
no desenvolvimento de uma estratgia de segurana. A cultura em que o
organizao opera tambm deve ser considerada. Uma estratgia que
em desacordo com as normas culturais podem encontrar resistncia, e isso
pode tornar difcil a implementao bem sucedida.
Pgina 68

Seo Dois: Contedo
64
Estrutura organizacional ter um impacto significativo na forma como
uma estratgia de governana podem ser concebidas e implementadas. Muitas
vezes,
diversas funes de garantia de existir em "silos" que tm diferentes
relatando estruturas e autoridade. A cooperao entre estas
funes importante e normalmente requer a gerncia snior
buy-in e envolvimento.
1.15.6 CUSTOS
O desenvolvimento ea implementao de uma estratgia consome
recursos, incluindo tempo e dinheiro. Obviamente, a estratgia precisa
a considerar a maneira mais econmica que possa ser implementado.
Organizaes muitas vezes justificar os gastos com base no valor de um
projeto.
Com projetos de segurana, no entanto, a preveno de riscos especficos ou
conformidade com os regulamentos so geralmente os principais
impulsionadores.
Geralmente, a partir de uma perspectiva de negcios, um custo-benefcio ou
outro
anlise financeira a abordagem mais aceita para justificar
despesas e devem ser considerados no desenvolvimento de uma estratgia.
A abordagem tradicional, mas especulativa a de considerar o valor de
evitando o risco especfico, estimando as perdas potenciais decorrentes
por um evento especfico e multiplicao pela probabilidade de ele
ocorrendo em um determinado ano. Isso resulta em um ALE. Assim, o custo

de
os controlos necessrios para evitar um evento como esse pode ser comparado
para o ALE determinar o ROI.
Muitos profissionais acreditam que o ROI no uma boa abordagem
para justificar programas de segurana. Este considerado especialmente
verdadeiro para programas implementados para fins de regulamentar
cumprimento. Por exemplo, no Sarbanes-Oxley, o reforo da
penalidades que consistem em longas sentenas em prises federais para
executivos seniores so prescritos para algumas violaes. O ROI em
programas de preveno de tais sanes podem ser difceis de quantificar.
Recentemente, os avanos no acesso single sign-on e usurio
tecnologias e procedimentos de aprovisionamento resultaram em
economia de tempo e de custos sobre a administrao tradicional manual de
tcnicas, que podem fornecer uma base razovel para ROI
clculos. H uma srie de exemplos que comparam o
custos de processos tradicionais contra os processos mais recentes, e
estes podem ser utilizados no desenvolvimento de um processo comercial.
1.15.7 pessoal
A estratgia de segurana deve-se considerar que a resistncia pode ser
encontradas durante a implementao. A resistncia significativa
alteraes, bem como possvel ressentimento contra as novas restries
possivelmente vistos como fazer as tarefas mais difceis ou tempo
consumir, deve-se esperar.
1.15.8 Recursos
Uma estratgia eficaz deve-se considerar os oramentos disponveis, o total
custo de propriedade (TCO) de tecnologias novas ou adicionais e
os requisitos de mo de obra de concepo, implementao, operao,
manuteno e eventual desmantelamento. Tipicamente, o
TCO deve ser desenvolvido para o ciclo de vida das tecnologias,
processos e pessoal.
1.15.9 Recursos
Os recursos disponveis para implementar uma estratgia deve incluir
as capacidades conhecidas da organizao, incluindo a percia
e habilidades. Uma estratgia que se baseia nas capacidades demonstradas
mais probabilidade de xito do que aquele que no o faz.
1.15.10 teMpo
O tempo um dos principais entraves no desenvolvimento e implementao
de um
estratgia. Pode haver prazos de cumprimento que devem ser cumpridos,
ou apoiar para certas operaes estratgicas, como a fuso, deve
ser acomodados. Pode haver janelas de oportunidade para
atividades empresariais especficas que obriguem certos prazos para
aplicao de determinadas estratgias.
1.15.11 risco aceitao e tolerncia
O nvel de risco aceitvel ea tolerncia ao risco do

organizao desempenhar um papel importante no desenvolvimento de uma
informao
estratgia de segurana. Embora difcil de medir, h uma variedade
de mtodos para se chegar a aproximaes teis. Um mtodo consiste em
desenvolver objetivos de tempo de recuperao (RTOs) para sistemas
crticos. O
curto os momentos a fixar pelos gestores competentes, maior a
custo e menor tolerncia ao risco. RTO deve basear-se numa
impacto nos negcios ou anlise de dependncia para determinar permitido
paradas para vrios recursos. Geralmente, o ponto timo
atingido, quando o custo da reduo de RTO igual ao valor de
derivada do funcionamento dos recursos.
1.16 plano de ao para implementar a estratgia
A implementao de uma estratgia de informao, normalmente requerem
um
ou mais projetos ou iniciativas. Uma anlise das lacunas entre
o estado atual eo estado desejado para cada mtrica definida
identifica os requisitos e prioridades necessrias para uma total
plano ou mapa do caminho para alcanar os objectivos e fechar as lacunas.
1.16.1 lacuna anlise-base para um plano de aco
Uma anlise da abertura necessria para vrios componentes da estratgia
discutido anteriormente, tais como nveis de maturidade, cada controle
objetivo, e cada risco e impacto objetiva. A anlise
ir identificar os passos necessrios para passar do estado atual
para o estado desejado para atingir os objectivos definidos. Este
exerccio pode precisar ser repetida anualmente, ou mais freqentemente,
para proporcionar desempenho e metas mtricas e informaes sobre
possveis correes midcourse necessrio em resposta s mudanas
ambientes ou outros factores. Uma abordagem tpica para anlise de lacunas
trabalhar para trs a partir do terminal para o estado atual
e determinar as etapas intermedirias precisa para realizar o
objetivos.
CMM ou outros mtodos podem ser usados para avaliar a diferena entre
o estado atual eo desejado. Algumas reas tpicas que deveriam ser
avaliada e / ou assegurada incluem:
Uma estratgia de segurana com aceitao e gerncia snior
apoio
Uma estratgia de segurana intrinsecamente ligados aos objetivos de
negcios
As polticas de segurana que so completos e consistentes com a estratgia
Pgina 69
Seo Dois: Contedo

65
normas completas para todos relevantes, consistentemente mantido
polticas
procedimentos completos e precisos para todas as operaes importantes
Limpar atribuio de funes e responsabilidades
Uma estrutura organizacional adequada para garantir a autoridade
gesto de segurana da informao, sem conflitos inerentes
interesse
Ativos de informao que foram identificadas e classificadas como de
criticidade e sensibilidade
controles eficazes que foram concebidos, implementados e
mantida
mtricas de segurana eficazes e monitoramento de processos, no lugar
processos de conformidade e aplicao efectiva
Testado e incidentes e de emergncia resposta funcional
capacidades
continuidade / plano de recuperao de desastres negcio Testado
aprovaes de segurana adequadas em processos de gesto de mudana
Risco de que est devidamente identificados, avaliados, comunicados
e gerida
sensibilizao para a segurana adequada e treinamento de todos os usurios
O desenvolvimento ea execuo de atividades que podem positivamente
orientao da cultura e do comportamento do pessoal de segurana influncia
As questes regulatrias e legais so compreendidas e tratadas
questes de segurana Endereamento com prestadores de servios de
terceiros
A resoluo atempada dos problemas de no conformidade e outras
variaes
1.16.2 A poltica de desenvolvimento
Um dos aspectos mais importantes do plano de aco para executar
a estratgia criar ou modificar, se necessrio, as polticas e
padres. As polticas so a constituio de governana, as normas
so a lei. As polticas devem captar a inteno, as expectativas e
direo de gesto. Como estratgia evolui, vital que
polticas de apoio so desenvolvidos para articular a estratgia. Para
exemplo, se o objetivo tornar-se a norma ISO / IEC 27001 compatvel
durante um perodo de trs anos, ento a estratgia deve-se considerar que
elementos so abordados em primeiro lugar, que os recursos so alocados,
como o
elementos do padro pode ser conseguida e assim por diante. O
roteiro deve mostrar os passos ea seqncia, dependncias
e marcos. O plano de aco essencialmente um plano de projeto para
implementar a estratgia de seguir o roteiro.

Se o objetivo a norma ISO / IEC 27001 conformidade, cada um dos
11 domnios relevantes e importantes subsees devem ser objecto
de uma poltica. Na prtica, isto pode ser conseguido de forma eficaz com
polticas especficas cerca de duas dezenas de mesmo grandes
instituies. Cada
das polticas provvel que tenha uma srie de normas de apoio
normalmente dividido por domnios de segurana. Em outras palavras, um
conjunto de
padres para um domnio de alta segurana sero mais rigorosos do que
os padres para um domnio de baixa segurana. Outras normas podem
precisam ser desenvolvidos para diferentes unidades de negcios, de acordo
com
suas atividades e os requisitos regulamentares.
A estratgia concludo fornece a base para a criao ou
modificao das polticas existentes. As polticas devem ser diretamente
rastreveis a elementos de estratgia. Se eles no estiverem, seja a estratgia
incompleta ou a poltica est incorreto. Deve ser evidente que
uma poltica que contradiz a estratgia contraproducente. O
estratgia a declarao de intenes, expectativas e direo de
gesto. As polticas devem, por sua vez, ser coerente e
apoiar a inteno eo sentido da estratgia.
A maioria das organizaes hoje tm alguma segurana da informao
polticas. Normalmente, eles tm evoludo ao longo do tempo, geralmente so
criado em resposta a um problema ou regulamentaes de segurana, e so
muitas vezes inconsistente e por vezes contraditrias. Estas polticas
geralmente no tm relao com uma estratgia de segurana (se houver)
e s uma relao de coincidncia de atividades empresariais.
As polticas so um dos elementos principais de governana. Eles
deve ser devidamente criados, aceito e validado pelo conselho e
gesto executiva, e amplamente comunicada ao longo
a organizao. Pode haver ocasies em que subpolicies
deve ser criado para resolver situaes nicas separar do
maior parte da organizao. Um exemplo quando uma parte separada
da organizao est realizando militar altamente confidencial
trabalho. Polticas que refletem os requisitos de segurana especficos para
trabalho militar classificadas podem existir como um conjunto separado.
H vrios atributos de boas polticas que devem ser
considerados:
As polticas de segurana deve ser uma articulao de uma bem definida
estratgia de segurana da informao e captura a inteno, expectativas
e direo da administrao.
Cada poltica deve indicar apenas um mandato de segurana em geral.
As polticas devem ser claros e de fcil compreenso por todos
partes afetadas.
As polticas devem raramente ser mais do que algumas frases.

No raramente deve ser um motivo para ter mais do que dois
dzia de polticas.
A maioria das organizaes criaram polticas de segurana antes de
o desenvolvimento de uma estratgia de segurana. De fato, a maioria das
organizaes ainda
no ter desenvolvido uma estratgia de segurana. Em muitos casos, a poltica
desenvolvimento no seguiu a abordagem acima definidas e
tem sido
ad hoc
numa variedade de formatos. Muitas vezes, essas polticas
foram escritos para incluir normas e procedimentos no longa,
documentos detalhados compilados em grandes volumes empoeirados,
relegados para
sala de estoque.
Em muitos casos, no entanto, especialmente em pequenas organizaes,
prticas eficazes foram desenvolvidos que no pode ser refletido
nas polticas escritas. As prticas existentes que abordam de forma adequada
requisitos de segurana pode utilmente servir de base para
desenvolvimento de polticas e normas. Esta abordagem minimiza
interrupes de organizao, comunicao de novas polticas e
resistncia s restries novas ou desconhecidas.
1.16.3 padres de desenvolvimento
As normas so ferramentas poderosas de gerenciamento de segurana. Eles
estabeleceram o
limites admissveis para os procedimentos e prticas de tecnologia
e sistemas, e para as pessoas e eventos. Devidamente implementado,
eles so a lei para a constituio da poltica. Eles fornecem o
vara de medio para o cumprimento da poltica e uma base slida para
auditorias. Eles governam a criao de procedimentos e diretrizes.
Padres so a ferramenta predominante da implementao eficaz
governana de segurana e devem ser de propriedade da informao
gerente de segurana. Eles devem ser cuidadosamente concebidos para lhe
fornecer apenas
limites necessrios e significativos sem desnecessariamente
restringindo opes processuais. Padres servem para interpretar
polticas e importante que eles refletem a inteno da poltica.
Pgina 70

Seo Dois: Contedo
66
Normas deve ser inequvoca, consistente e precisa quanto

alcance e audincia. Normas devem existir para a criao
de normas e polticas em matria de formato, contedo e
aprovaes necessrias.
Os padres devem ser divulgados s que se regem por eles como
bem como aqueles impactada. Processos de reviso e modificao deve
ser desenvolvido bem.
Processos de exceo deve ser desenvolvido para os padres no so
facilmente
atingvel por razes tecnolgicas ou outras. Um processo para a
implementao de controles de compensao deve ser desenvolvido para
out-of-conformidade situaes.
1.16.4 treinamento e conscientizao
Um plano de ao eficaz para implementar uma estratgia de segurana deve
considerar um programa contnuo de conscientizao e treinamento em
segurana.
Na maioria dos organismos, as evidncias indicam que a maioria dos
pessoal no esto cientes de polticas e normas de segurana, mesmo
onde eles no existem. Para garantir a conscincia de novo ou modificado
polticas, todos os funcionrios afetados devem ser treinados adequadamente
para que eles vejam a conexo entre as polticas e
normas e suas tarefas dirias. Esta informao deve ser adaptada
para grupos individuais para garantir que ele relevante e deve ser
apresentado em termos que so claras e compreendidas pelo destina
audincia. Por exemplo, apresentando novos padres de endurecimento
servidores no provvel que seja significativo para o departamento de
expedio.
Alm de fornecer informaes para aqueles afetados por
mudanas, importante assegurar que o pessoal envolvido nos vrios
aspectos da implementao da estratgia tambm so adequadamente
treinado. Isto inclui a compreenso dos objectivos da estratgia
(KGIs), os processos que sero utilizados e as mtricas de desempenho
para as diversas actividades (KPIs).
Consulte o captulo 3, seo 3.13.2, a conscincia de segurana para o
adicional
discusso sobre a formao e sensibilizao.
Mtricas plano 1.16.5 ao
O plano de ao para implementar a estratgia exigir mtodos
para monitorar e medir o progresso, e para a realizao de
marcos. Como acontece com qualquer plano de projeto, o progresso e os
custos devem ser
monitorado em uma base contnua para determinar a conformidade com
o plano e para permitir correes midcourse em tempo hbil.
No provvel que seja uma variedade de curto prazo metas-requerendo cada
recursos ea um plano de ao para a realizao.
Existem um nmero de abordagens que podem ser usadas para curso

monitoramento e medio do progresso. Um ou mais dos
os mtodos utilizados para determinar o estado actual pode ser usada de uma
forma regular
base para determinar e traar como o progresso do estado atual tem
alterados. Por exemplo, um balanced scorecard pode ser usado
de forma eficaz, por si s, como um meio de progresso em curso de
rastreamento.
Outra abordagem utilizada consiste em utilizar o CMM
definir tanto o estado atual e os objetivos. Um simples
abordagem, facilmente implementados e utilizados extensivamente por
COBIT,
CMM fornece uma base para a realizao de anlise de lacunas em curso para
determinar o progresso para atingir os objetivos.
Alm disso, no entanto, cada plano de ao vai beneficiar de
o desenvolvimento de um conjunto adequado de indicadores chave de
desempenho
(KPIs), definindo Fatores Crticos de Sucesso (FCS) ea definio
acordados indicadores-chave de meta (KGIs). Por exemplo, o plano de
ao para alcanar a conformidade regulamentar para Sarbanes-Oxley pode
exigem, entre outras coisas:
Uma anlise detalhada por pessoal legais competentes para determinar
requisitos regulamentares para as unidades de negcios afetados
Conhecimento do estado atual do cumprimento
Definio do necessrio grau de cumprimento
Possvel monitoramento e mtricas podem incluir o seguinte
KGIs, QCA e KPIs.
Indicadores objetivo-chave
Definir objectivos claros e chegar a um consenso sobre as metas
so essenciais para o desenvolvimento de mtricas significativas. Para este
particular
plano, os principais objetivos podem incluir:
Atingir Sarbanes-Oxley controla mandatos de conformidade testes
Completar a validao da conformidade testes controles independentes
e atestado
Preparao da declarao exigida de eficcia de controle
Sarbanes-Oxley exige que, para as organizaes de capital aberto
em os EUA, todos os controles financeiros devem ser testados para a eficcia
no prazo de 90 dias a contar da notificao. Os resultados do teste devem ser
assinado pelo CEO e CFO, e dever ser confirmada pelo
auditores da organizao. Os resultados devem ser includos em
documentos pblicos da organizao para a Securities and Exchange
Comisso (EUA SEC).
Fatores Crticos de Sucesso
Para alcanar a conformidade Sarbanes-Oxley, alguns passos devem
ser realizado para cumprir com xito os objetivos necessrios,

incluindo:
Identificao, categorizao e definio de controles
A definio de testes apropriados para determinar a eficcia
Cometer recursos para realizar exames requeridos
Grandes organizaes tm centenas (ou mais) de controles que
tm sido desenvolvidos ao longo de um perodo de tempo. Em muitos casos,
esses controles so
ad hoc
e que no tenham sido objecto de formais
processos. Ser necessrio identificar os processos de controle,
procedimentos, estruturas e tecnologias, de modo que um teste apropriado
regime pode ser desenvolvido. Determinar os recursos necessrios
e procedimentos de teste ser fundamental para a realizao do
testes necessrios.
Indicadores Chave de Desempenho
Indicadores dos fatores-chave ou crticos de desempenho necessrias para
alcanar os objetivos podem incluir:
planos de teste de eficcia de controle
O progresso nos controles teste de eficcia
Os resultados de eficcia de controle de testes
Para a gesto para acompanhar o progresso no esforo de teste, apropriado
planos de teste deve ser desenvolvido, de acordo com as metas definidas
e que engloba os fatores crticos de sucesso. Devido limitada
tempo (90 dias) disponvel para realizar os testes necessrios, a gesto
ter relatrios sobre o progresso e os resultados dos testes.
Pgina 71

Seo Dois: Contedo
67
Mtricas Gerais Consideraes
Consideraes sobre as mtricas de segurana da informao incluem a
garantia
que o que est a ser medido , de facto, relevante. Porque
segurana difcil de medir em qualquer sentido objetivo, relativamente
mtricas sem sentido so muitas vezes utilizados simplesmente porque eles
so
prontamente disponveis. Mtricas de servir apenas um nico propsito
fornecer a
informaes necessrias para a tomada de decises. Portanto, fundamental
para entender o que decises devem ser tomadas, que os torna
e, em seguida, encontrar formas de fornecer essa informao de forma precisa

e tempo hbil. Diferentes mtricas so mais ou menos teis para
diferentes partes da organizao, e deve ser determinada em
colaborao com proprietrios e gesto de processos de negcios.
Mtricas geralmente caem em uma das trs categorias estratgico, ttico e operacional. A alta administrao
normalmente no est interessado em mtricas tcnicas detalhadas, como a
nmero de ataques de vrus frustrado ou senha resets, mas sim em
informaes de natureza estratgica. Enquanto mtricas tcnicas podem ser
de importncia para o gerente de segurana de TI, a gerncia snior
geralmente quer um resumo das informaes importantes a partir de uma
gesto perspectiva de informaes que normalmente exclui
dados tcnicos detalhados. Isto pode incluir:
Progresso acordo com o plano e oramento
Mudanas significativas no risco e os possveis impactos para os negcios
objetivos
Resultados dos testes de recuperao de desastres
Os resultados das auditorias
status de conformidade regulamentar
O gerente de segurana da informao pode querer mais detalhada
informaes tticas, incluindo coisas como:
mtricas de conformidade Poltica
processo significativo, sistema ou outras alteraes que podem afetar a
perfil de risco
status de gerenciamento de patch
As excees e variaes na poltica ou normas
Em organizaes que tm um gerente de segurana de TI, provvel
que a maioria dos dados de segurana tcnicas disponveis podem ser
teis. Este
podem incluir:
resultados da verificao de Vulnerabilidade
conformidade com os padres de configurao do servidor
resultados da monitorizao IDS
anlise de log Firewall
Informaes teis mtricas de gerenciamento de segurana so muitas vezes
difcil projetar e implementar. Normalmente, o foco est em
Vulnerabilidades de TI obtidos por meio de varreduras automatizadas sem
saber se existe uma ameaa ou se existe um potencial
impacto. A partir de uma gesto de segurana da informao e estratgico
perspectiva, esta informao de pouco valor.
Isso muitas vezes resulta na coleta de grandes quantidades de dados para
tentar
para garantir que nada de significativo esquecido. O resultado pode
ser que o grande volume de dados torna difcil ver o "big
imagem ", e devem ser feitos esforos para desenvolver processos para
destilar
dados tcnicos em informaes necessrias para gerenciar de forma eficaz.
Melhoramentos no controlo global pode ser conseguido por cuidadosa
anlise de mtricas disponveis para determinar a sua relevncia. Para
exemplo, pode ser interessante saber quantos pacotes foram
caram os firewalls, mas isso lana pouca luz sobre o risco para o
organizao ou possveis impactos. Pode ser a informao
Departamento de TI acha til, mas no tem nenhum valor informao
gerenciamento de segurana. Por outro lado, conhecendo a quantidade de
tempo que leva para recuperar servios crticos aps um incidente grave
susceptvel de ser extremamente til para todas as partes.
Atividades Mtricas de projeto e monitoramento deve levar em
considerao:
O que importante para gerenciar as operaes de segurana da informao
requisitos de gerenciamento de segurana de TI
As necessidades dos proprietrios de processos de negcios
O que a alta administrao quer saber
As comunicaes com cada um dos crculos eleitorais pode ser til
na determinao dos tipos de relatrios de segurana que iria encontrar
til. Processos de comunicao pode, ento, ser concebido que fornecem
cada grupo com as informaes de segurana que necessitam para fazer
informadas decises relacionadas segurana.
1.17 Implementando a segurana
governana exemplo
A seo a seguir demonstra uma abordagem para
implementao de governana de segurana utilizando o CMM para definir
objectivos (KGIs), para determinar uma estratgia, e como uma mtrica para
progresso. Atingir CMM nvel 4 uma tpica (embora difcil)
meta organizacional e pode ser expresso como um estado desejado.
A lista a seguir, com base no COBIT, no pode delinear tudo
atributos e caractersticas do estado desejado de informao
segurana e elementos adicionais podem precisar de ser adicionado. No
entanto,
eles no fornecem os fundamentos necessrios e pode fornecer uma adequada
descrio do estado de segurana desejado para a maioria das organizaes,
como se segue:
A avaliao do risco um procedimento e excees norma
seguindo o procedimento seria notado pelo gerenciamento de TI.
provvel que a gesto de riscos de TI uma gesto que se define
funcionar com responsabilidade nvel superior. A gerncia snior
e gesto de TI determinaram os nveis de risco de que o
organizao vai tolerar e ter medidas-padro para
risco / retorno rcios.
Responsabilidades de segurana da informao so claramente atribudas,
gerida e aplicada. Risco de segurana da informao e impacto

A anlise realizada de forma consistente. As polticas de segurana e
prticas so completados com as linhas de base de segurana especficas.
Briefings de conscientizao de segurana tornaram-se obrigatrios. Usurio
identificao, autenticao e autorizao so padronizados.
Certificao de segurana do pessoal estabelecida. Testes de intruso
um processo padro e formalizado levando a melhorias.
A anlise de custo-benefcio, apoiando a implementao da segurana
medidas, cada vez mais utilizado. A segurana da informao
processos so coordenados com a segurana global organizao
funo. Relatrios de segurana da informao est ligada ao negcio
objetivos.
Responsabilidades e padres de servio contnuo so
aplicadas. Prticas de redundncia do sistema, incluindo o uso de alta
componentes de disponibilidade, so constantemente utilizados.
Pgina 72

Seo Dois: Contedo
68
Quebrando os elementos individuais do CMM 4 gera o
seguinte lista:
1. A avaliao do risco um procedimento padro, e
excees a seguir o procedimento seria notado por
gerenciamento de segurana.
2. Gesto de riscos de segurana da informao uma definida
funo de gesto com responsabilidade de nvel snior.
3. Senior gesto gesto e segurana da informao
determinaram os nveis de risco que a organizao
tolerar e ter medidas-padro para os rcios de risco / retorno.
4. Responsabilidades em matria de segurana da informao so claramente
atribudas,
gerida e aplicada.
5. Anlise de riscos de segurana da informao e impacto consistentemente
realizada.
6. Polticas e prticas de segurana so completadas com especfico
linhas de base de segurana.
7. Briefings de conscientizao de segurana so obrigatrios.
8. Identificao do usurio, autenticao e autorizao so
padronizados.
9. A certificao do pessoal de segurana estabelecido.
10. Testes de intruso um processo padro de liderana e formalizado
para melhorias.
11. Custo-benefcio, apoio implementao de
medidas de segurana, so cada vez mais utilizados.
12. Processos de segurana da informao so coordenados com a
funo geral de segurana organizao.
13. Relatrios de segurana da informao est ligada ao negcio
objetivos.
14. Responsabilidades e padres de servio contnuo so
aplicadas.
15. Prticas de redundncia do sistema, incluindo o uso de alta
componentes de disponibilidade, so constantemente utilizados.
Dependendo da estrutura da organizao, cada significativa
rea ou processo da organizao precisa ser avaliada
separadamente. Por exemplo, contabilidade, recursos humanos, operaes, TI,
negcios
unidades ou controladas precisa ser avaliado para determinar se
o estado actual satisfaz os requisitos do 15 (ou mais)
elementos enumerados anteriormente.
Na maioria dos organismos, os resultados tpicos para cada um dos 15
definida
caractersticas variam em todos os nveis de maturidade de 1 a 4.
As polticas precisam ser revistos para determinar se eles abordam
cada um dos elementos. Na medida em que isso no acontecer, o seguinte
seo fornece sugestes para polticas que abordam cada um dos
requisitos de CMM 4.
Um dos objectivos que deve ser declarado : "para alcanar consistente
nveis de maturidade em domnios especficos de segurana "estar atento
da noo de que "a segurana apenas to bom quanto o elo mais fraco."
Por exemplo, o nvel de todos os processos crticos maturidade deve ser
o mesmo.
A seleo de um determinado departamento, unidade de negcios ou rea do
organizao, o nvel da primeira declarao na maturidade
4 CMM pode ser considerada.
A primeira afirmao :
"A avaliao de risco um padro
procedimento e excees a seguir o procedimento seria
ser notado por gesto de segurana ".
Se a organizao no a este nvel de maturidade, ento o
abordagem para alcanar este elemento deve ser considerado. Vrios
requisitos esto implcitos nesta declarao. Uma delas que o risco
avaliaes so procedimentos padro, formais realizadas como resultado
de mudanas em sistemas, processos, ameaas ou vulnerabilidades e sobre
uma base regular. Tambm est implcito que essas avaliaes so baseadas
sobre boas prticas e so realizadas em processos inteiros, se
fsico ou eletrnico.
Alm disso, a declarao implica que no eficaz

monitoramento no local para garantir que as avaliaes so realizadas
conforme exigido pela poltica.
Primeiro, deve haver uma poltica que estabelece a exigncia. Se um
existe que afirma que, em seguida, a exigncia dirigida. Caso contrrio,
um pode precisar de ser criada ou uma poltica existente modificado.
Uma poltica adequada para atender a esse requisito poderia afirmar:
Riscos de segurana da informao deve ser avaliada em
uma base regular ou como alteraes nas condies
mandado utilizando procedimentos padronizados e
deve incluir todas as tecnologias e relevantes
processos. Segurana corporativa devem ser informados
antes do incio de tais avaliaes, e
os resultados dessas avaliaes devem ser fornecidos
para a segurana corporativa aps a concluso.
Esta poltica deve abordar a exigncia CMM 4 para um padro
procedimento e um processo de gesto de segurana para manter informado.
Um conjunto de normas posteriores podem precisar ser criada para definir
os limites permissveis e requisitos de avaliao de risco para
vrios domnios operacionais. Um exemplo de um padro :
Domnios de alta segurana que incluem businesssistemas crticos e / ou confidencial ou protegida
informaes devem ser avaliados para o risco por ano, ou
mais frequentemente, se houver:
- alteraes significativas em ameaas ou potenciais impactos
- Alteraes no hardware ou software
- Mudanas nos negcios ou objetivos
Essas avaliaes sero de responsabilidade do sistema ou dados
proprietrio, e deve ser fornecida para a segurana corporativa para a reviso
em
tempo hbil. Quando possvel, as avaliaes devem ser realizadas
antes de implementar mudanas e desde a corporativa
segurana para aprovao de coerncia com a poltica aplicvel.
A segunda declarao na CMM 4 :
"Risco de segurana da informao
gesto uma funo de gesto definido com snior
nvel de responsabilidade. "
Para alcanar este requisito, uma mudana organizacional pode
ser necessrios. Muitas vezes, a segurana da informao relegado para
baixo
gerentes de nvel, o que no cumprir o objectivo. Com base em
Pgina 73
Seo Dois: Contedo

69
o modelo COBIT CMM eo companheiro documento intitulado
"Governar para Enterprise Security", um caso de negcio forte pode ser
feito para implementar essa mudana estrutural.
O terceiro critrio CMM afirma: "
A gerncia snior e
gesto de segurana da informao determinaram os nveis
de risco que a organizao vai tolerar e ter padro
medidas para a relao risco / retorno ".
Uma poltica para enfrentar esses critrios podem afirmar que
risco must
ser gerenciados para nveis que impedem interrupes graves para
crtico operaes comerciais e os impactos de controle para os nveis
definido como aceitvel.
Normas relacionadas definiria limites da interrupo grave e
especificar como os nveis aceitveis de impacto seria determinada.
Normas tambm poder estabelecer outras definies, tais como declaraes
critrios (que tem a autoridade para declarar um incidente ou desastre
que exige respostas adequadas) e critrios de gravidade (a
processo para determinar e definir a gravidade do caso e
escalada e requisitos de notificao).
1.17.1 amostras poltica adicional
Amostras de polticas que podem ser criados para lidar com alguns dos
outros CMM 4 declaraes podem incluir:
Limpar atribuio de papis e responsabilidades de Roles e
responsabilidades de xyz Corporao ser inequivocamente
definida e todas as funes de segurana necessrias formalmente designado
para
assegurar a responsabilizao. Ser assegurado um desempenho aceitvel
pelo monitoramento e mtricas adequadas.
Ativos de informao que foram identificadas e classificadas por
criticidade e ativos de informao de sensibilidade Tudo deve ter um
proprietrio e identificou ser catalogado, o valor determinado, e
classificada como a criticidade e sensibilidade ao longo do seu ciclo de vida.
controles eficazes que foram concebidos, implementados e
manteve-Riscos e impactos potenciais devem ser gerenciados
utilizando controles e contramedidas adequadas para alcanar
nveis aceitveis a custos aceitveis.
processos de monitoramento eficazes no lugar-All risco importante
atividades de gesto, garantia da qualidade e de segurana deve ter
processos para proporcionar a monitorizao contnua necessria para garantir
que os objetivos de controle sejam alcanados.
cumprimento efectivo ea aplicao de processos-Monitoring

e mtricas devem ser implementados, gerenciados e mantidos para
fornecer garantia em curso que todas as polticas de segurana so aplicadas
e objetivos de controle sejam atendidas.
capacidades testadas, funcionais, de incidentes e de emergncia de resposta
Capacidades de resposta a incidentes suficientes para garantir que os impactos
no afectam significativamente a capacidade da organizao para continuar
operaes devem ser implementadas e geridas.
recuperao de continuidade de negcio testado / desastre planos de
negcios
planos de continuidade e recuperao de desastres devem ser desenvolvidos,
mantida e testada de uma maneira que assegura a capacidade de o
organizao para continuar as operaes em todas as condies.
A maioria das organizaes no atingiram uma maturidade CMM 4
consistente
nvel de toda a empresa. Este nvel , no entanto, geralmente suficiente
para atender s necessidades da maioria das organizaes de segurana.
tambm um
padro difcil de alcanar e pode levar vrios anos para
realizar, mas pode servir como o objectivo do estado desejado ou
modelo de referncia.
Deve notar-se que as polticas de amostra que precede pode ou pode
no ser apropriado para uma determinada organizao, mas so fornecidos
como amostras em termos de simples, clara definio de construo por
diante,
em um alto nvel, com a inteno de gerenciamento e direo.
Como j foi dito anteriormente, as polticas completas so necessrias
para a efetiva governana de segurana da informao. Construo Civil,
como
fornecida nas amostras, tem, na prtica, provou ser um prefervel
na medida em que se aproxima a realizao management buy-in e geral
consenso. Deve ser lembrado que a construo poltica deve
ser consistente com, e refletir, a estratgia de segurana da informao
eo estado de segurana desejado. As polticas tambm devem ser
revistos e aprovados por escrito pela administrao.
Os padres que acompanham so exemplos tpicos, mas deve
ser adaptados para as necessidades de cada organizao, e so
geralmente no concludo. Normalmente, so necessrios vrios padres
para cada poltica em cada domnio de segurana.
Normas de construo deve ser feita com prudncia. Corretamente
construdos, eles fornecem as linhas de base de segurana consistentes e uma
poderosa ferramenta para a implementao de governana de segurana da
informao.
Os projectos de normas deve ser revisto pelo departamento de auditoria e
por unidades organizacionais afetadas. As auditorias so um dos principais
aplicao de polticas e mecanismos de conformidade. Dos Auditores

entrada em normas pode ser til no desenvolvimento completo e
normas eficazes, e tambm pode ajud-los na realizao de seu
funo. A colaborao com proprietrios de processos afetados provvel que
conseguir uma melhor cooperao com a implementao de mudanas
propostas
e ajudar a garantir que as normas no interferir desnecessariamente
com o desempenho de suas funes. Embora possa implicar
considervel de dar e receber para alcanar um consenso sobre apropriado
normas, o resultado final um maior alinhamento com os negcios
atividades e melhores resultados em termos de garantir o cumprimento.
A implementao eficaz de governana de segurana da informao para
a maioria das organizaes requer uma grande iniciativa, dada a freqncia
fragmentada natureza, ttico dos esforos de segurana tpicas. Exige
apoio empenhado da alta administrao e recursos adequados.
Ela exige a elevao do gerenciamento de segurana para cargos de
autoridade equivalente s suas responsabilidades. Esta tem sido a tendncia
nos ltimos anos, as organizaes crescem totalmente dependente da sua
ativos e recursos de informao, e as ameaas e interrupes
continuar a crescer e tornar-se mais caro.
Plano 1,18 Aco metas intermedirias
Para a maioria das organizaes, uma variedade de metas especficas de curto
prazo que
alinhar com a estratgia global de segurana da informao pode facilmente
ser
definida uma vez que a estratgia global foi concluda. Com base em
a determinao BIA de recursos crticos para o negcio eo estado
de segurana, tal como determinado pela anlise anterior CMM lacuna,
priorizao de atividades corretivas deve ser simples.
Pgina 74

Seo Dois: Contedo
70
Se os objectivos da estratgia de segurana esto a atingir CMM 4
conformidade ou certificao, em seguida, um exemplo de uma ao de curto
prazo
(Ou ttico) plano pode-se afirmar:
Durante os prximos 12 meses:
Cada unidade de negcios deve identificar aplicaes atuais em uso
Vinte e cinco por cento de todas as informaes armazenadas devem ser
revistos
para determinar a propriedade,

Cada unidade de negcios vai completar um BIA para obter informaes
recursos para identificar os recursos crticos
As unidades de negcios deve alcanar a conformidade regulamentar
Todos os papis e responsabilidades de segurana devem ser definidos
Um processo ser desenvolvido para garantir ligaes de processos de
negcios
A avaliao global do risco deve ser realizada para cada
unidade de negcios
Todos os usurios devem ser informados sobre uma poltica de uso aceitvel
Todas as polticas devem ser revistos sempre que necessrio para
coerncia com os objectivos estratgicos de segurana
Padres deve existir para todas as polticas
Objetivos e metas de curto prazo so necessrios como parte da ao
planos, no entanto, a longo prazo o estado desejado deve ser claramente
definido para maximizar as sinergias potenciais e garantir que a curto ou
planos de ao intermediria prazo so em ltima anlise, alinhado com o fim
objetivos. Por exemplo, uma soluo tctica que precisa de ser substitudo
porque no vai integrar o plano geral susceptvel de ser
mais caro do que aquele que ir integrar.
importante que o plano de estratgia e de longo alcance para servir
integrar atividades tticas de curto prazo. Isto contraria a tendncia
implementar solues pontuais, que so tpicas do combate a incndios,
modo de crise da operao em que muitos departamentos de segurana
encontrar-se. Como muitos gerentes de segurana descobriram,
inmeras solues no integradas, implementadas em resposta a uma
srie de crises durante um perodo de anos, tornar-se cada vez mais caro
e difcil de gerir.
1.19 Segurana da Informao programa
OBJETIVOS
Implementar a estratgia com um plano de ao ir resultar em um
programa de segurana da informao. O programa , essencialmente, o
plano de projeto para implementar e estabelecer o gerenciamento contnuo de
alguma parte ou partes da estratgia.
O objetivo do programa de segurana da informao proteger
os interesses daqueles contando com as informaes e os processos,
sistemas e comunicaes que manusear, armazenar e entregar o
informaes de danos, resultantes de falhas de disponibilidade,
confidencialidade e integridade.
Embora as definies emergentes esto adicionando conceitos como
utilidade da informao e posse (este ltimo para lidar com
roubo, engano e fraude), a economia em rede, certamente,
acrescentou a necessidade de confiana e responsabilidade na eletrnica
transaes.
Para a maioria das organizaes, o objectivo de segurana cumprida quando:

A informao est disponvel e utilizvel quando necessrio, eo
sistemas que fornecem ele pode resistir adequadamente
ataques (disponibilidade)
A informao observada por ou divulgadas somente para aqueles que tm
o direito de saber (confidencialidade)
A informao protegida contra modificaes no autorizadas
(Integridade)
As transaes de negcio, bem como a troca de informaes entre
localizaes empresariais ou com parceiros, pode ser confivel (autenticidade
e no-repdio)
A prioridade relativa ea importncia da disponibilidade,
confidencialidade, integridade, autenticidade e no-repdio variar
de acordo com os dados do sistema de informao ea
contexto de negcios em que eles so usados. Por exemplo, a integridade
especialmente importante em relao gesto da informao devido
ao impacto que a informao tem no crtico estratgia relacionada
decises. Sigilo pode ser a mais importante com base no
exigncias regulatrias ou legais em matria de pessoal, financeira ou
informaes mdicas ou para proteger os segredos comerciais.
importante compreender que estes conceitos se aplicam igualmente a
sistemas eletrnicos, bem como sistemas fsicos. Confidencialidade,
por exemplo, muito mais em risco de engenharia social ou
"Dumpster diving", pois a partir de um ataque externo sucesso.
Alm disso, a integridade da informao pode ser comprometida a
menos to facilmente a partir de entradas fsicas forjadas para o sistema a
partir de
compromisso eletrnico.
Tambm deve-se considerar que muitas perdas significativas ocorrem a partir
de
de dentro, bem como de ataques externos. O resultado que os controlos
usado para detectar anomalias e garantir a integridade dos sistemas deve ser
igualmente preocupados com os ataques no tcnicos por insiders.
Estudo 1,20 Caixa
O seguinte estudo de caso serve para demonstrar graficamente o
requisito para a governana de segurana discutidos neste captulo. O
caso ilustra como os desastres so normalmente causados por uma seqncia
de falhas e um estudo de uma organizao disfuncional
estrutura e cultura. A falta de aprender com esta situao (e
vrias outras incidncias significativas) e levar o corretivo
aes recomendadas pela equipe de postmortem externo experiente
sem dvida, contribuiu para o desaparecimento final desta financeiro
organizao de mais de 45 mil empregados durante o econmico
crise de 2008-2009.
Em uma grande instituio financeira dos EUA, o pessoal de baixo nvel
monitorar o centro de operaes de rede (NOC) notado

atividade de rede incomum em um domingo noite, quando o banco
foi fechada. Confusa e sem saber o que estavam vendo, e
sem instrues em contrrio, eles decidiram assistir ao
evento ao invs de arriscar perturbar a gesto em um fim de semana. No
critrios de gravidade, requisitos de notificao ou processos de
escalonamento
foram desenvolvidos pela organizao. Pela manh cedo
Segunda-feira, o trfego continuou a aumentar na instalao principal e
ento, de repente comeou a crescer dramaticamente no local espelho,
Pgina 75

Seo Dois: Contedo
71
centenas de quilmetros de distncia. Apesar de ter sido avisada do risco
por um consultor de segurana, o gerente de TI (quando questionado por
o autor deste estudo de caso), afirmou com um grau de orgulho que
a rede totalmente plana tinha sido projetado para alto desempenho
e ele estava confiante de que sua equipe experiente poderia lidar com qualquer
eventualidade adversa.
Por 07:00 na segunda-feira, o pessoal do NOC eram suficientemente
em causa a notificar os gerentes de TI de que havia um problema e
que os monitores mostraram a rede estava ficando saturada.
Uma hora mais tarde, quando a equipe de resposta a incidentes computador
externo
(CIRT) chegou, a rede foi totalmente inoperante e da equipe
determinou que a rede tinha de facto sido comprometida pela
o worm Slammer. O gerente da equipe CIRT informado de TI
gerente que Slammer era residente na memria e que reiniciando
toda a instalao da rede e espelho iria resolver o problema. O
gerente afirmou que no tinha autoridade para encerrar
o sistema e que exigiria a CIO para emitir a essa instruo.
O CIO no pde ser localizado e corrente de telefone de emergncia
e nmeros de pager s foram mantidos em uma nova paginao de emergncia
sistema que exigia acesso rede. Quando perguntado sobre a
plano de recuperao de desastres (DRP) eo que ele tinha a dizer sobre
critrios de declarao, trs planos diferentes foram produzidos que teve
foram elaboradas por equipes em diferentes partes da organizao,
sem o conhecimento de cada outro. Nenhum continha critrios de declarao
ou
funes especificadas, responsabilidades ou autoridade. A resoluo final
em ltima anlise, exigiu o CEO, que estava viajando no exterior e

tambm no esto imediatamente disponveis para finalmente emitir
instrues
na manh seguinte (tera-feira) para encerrar o nonfunctioning
rede. Mais de trinta mil pessoas no puderam realizar o seu
trabalhar ea instituio estava inoperante por um dia inteiro e uma
metade. Os custos diretos finais foram estimados pelo ps-morte
equipe a ultrapassar 50 milhes dlares. A autpsia foi
dificultada pela obstruo e falta de cooperao da maioria
funcionrios, com medo de ser encontrado em falta no orientada a culpa
cultura organizacional.
O autor deste caso gerenciou a equipe de ps-morte que encontrou
literalmente centenas de processos deficientes, uma cultura disfuncional
e um conjunto de mtricas inteis para alm de uma falta fatalmente
defeituosa
governana do adequado. Para aqueles monitoramento das NOC, mtricas
indicado um problema, mas eles no eram suficientemente significativas
aos funcionrios para eles para tomar qualquer deciso em atividade, muito
menos os corretos. Ou as melhores mtricas ou maior proficincia
do pessoal poderia ter resolvido o problema rapidamente no
etapas iniciais do incidente antes de se tornar um problema. Melhor
governo teria investido autoridade adequada na rede
gerente para tomar a ao apropriada. Melhor governana faria
tm insistido que tanto os patches de vulnerabilidades emitiu um total de dois
meses anteriores foram aplicadas ou controlos adequados foram
compensatrios
aplicado para tratar uma ameaa bem conhecida. Mesmo marginalmente
gesto de riscos eficaz teria insistido que uma rede plana
sem segmentao era inaceitvel e que DRP / BCP foi
uma actividade integrada e testada.
As concluses que podem ser alcanadas que so relevantes para as mtricas
e governana so de que os dados no so informaes e que
informao incompreensvel apenas dados e intil. Este
caso tambm ilustra que no importa quo boa as mtricas e
monitoramento que fornecer apoio deciso, eles so inteis para
algum no poderes para tomar decises.
Como consequncia, para desenvolver mtricas teis, deve ser claro que
decises devem ser tomadas por quem e quais informaes so necessrias
para torn-los. evidente a partir desta anlise que a gesto
mtricas normalmente requerem uma variedade de informaes de
fontes diferentes que, em seguida, devem ser sintetizados para fornecer
informaes significativas necessrias para tomar decises sobre o que
so necessrias aes.
Este caso demonstrativo da necessidade de que as organizaes
desenvolver e implementar tanto a governana da segurana da informao e
a consequente necessidade de desenvolver mtricas teis.

Pgina 76

Seo Dois: Contedo
72
Pgina intencionalmente deixada em branco
Pgina 77

73
seo I: Panorama
2.1
Introduction .......................................................................................................
....................................................................... 74
Definition.............................................................................................................
.......................................................... 74
Objectives............................................................................................................
........................................................... 74
2.2
Tarefa e do Conhecimento
Statements ..........................................................................................................
.................................. 74
Tasks....................................................................................................................
........................................................... 74
............................................................... 74
Relao de tarefas para Demonstraes Conhecimento
............................................................................................................ 75
Declarao de Conhecimento Referncia
Guide....................................................................................................................
.... 76
Recursos adicionais sugeridos para
Study....................................................................................................................
..... 85
2.3
Auto-Avaliao
Questions ............................................................................................................
.......................................... 85
Questions.............................................................................................................
........................................................... 85
Respostas a auto-avaliao
Questions.............................................................................................................
............. 86
seo dois: Contedo
2.4
Gesto de
Riscos Overview ................................................................................................
................................................... 89
2,5
Gesto de
Riscos Strategy ..................................................................................................
................................................... 90
2.6
Efetivo de Risco de Segurana da Informao
Management ......................................................................................................
......... 91
2,7
Gesto de Riscos de Segurana da Informao
Concepts .............................................................................................................
. 93
2.8
Risco Implementao
Management ......................................................................................................
.................................... 94
2,9
Avaliao de Risco e Anlise
Methodologies ....................................................................................................
................... 97
2.10 Risco
Assessment .........................................................................................................
.............................................................. 97
2.11 Informaes de Recursos
Valuation ............................................................................................................
............................... 111
2.12 Tempo de recuperao
Objectives ..........................................................................................................
........................................... 117
2.13 Integrao com Ciclo de Vida
Processes ............................................................................................................
..................... 119
2.14 Controle de Segurana
Baselines .............................................................................................................
....................................... 120
2.15 Monitoramento de Risco e

Communication .................................................................................................
............................... 122
2.16 Treinamento e
Awareness ..........................................................................................................
.............................................. 123
2.17 Documentation ..........................................................................................
............................................................................. 123
Captulo 2:
Em forma ti em R k
Ma na geme nt e C iance ompl
Pgina 78
Captulo 2-Informao de Gesto de Riscos e Compliance

Seo I: Panorama
74
Seo I: Panorama
2.1 Introduo
Este captulo analisa a base de conhecimento que a informao
gestor de segurana deve compreender, a fim de aplicar adequadamente
princpios e prticas de gesto de risco para uma organizao de
definio
Gesto de riscos da informao a aplicao sistemtica de
polticas de gesto, procedimentos e prticas para as tarefas
de identificao, anlise, avaliao, elaborao de relatrios, tratamento e
monitoramento de riscos da informao relacionada.
OBJETIVOS
gerente de segurana compreende a importncia da gesto de riscos
como uma ferramenta para atender s necessidades de negcios e
desenvolvimento de uma segurana
programa de gesto para apoiar essas necessidades. Enquanto a informao
governana de segurana define as relaes entre os objetivos de negcio e
objetivos e do programa de segurana da informao, a informao
gesto de riscos de segurana define o grau de proteo que
prudente com base em requisitos de negcios, objetivos e prioridades.
O objetivo do gerenciamento de risco identificar, analisar,
quantificar, relatrio e gesto relacionados com a segurana de informaes
risco de atingir os objetivos de negcio atravs de uma srie de tarefas
utilizando o conhecimento do gerente de segurana da informao da chave
tcnicas de gesto de risco. Desde segurana da informao
um componente de gerenciamento de risco corporativo, as tcnicas,

mtodos e mtricas utilizadas para definir o risco de segurana da informao
pode
precisa ser visto dentro do contexto maior de risco organizacional.
Como indicado no captulo 1, a gesto de riscos de segurana da informao
tambm precisa incorporar recursos humanos, operacionais, fsico,
risco geopoltico e ambiental.
2.2 tarefa e conhecimento declaraes
Domnio 2-Informao de Gesto de Riscos e Compliance
Gerenciar riscos da informao a um nvel aceitvel para atender a
requisitos de negcios e de conformidade da organizao
Tarefas
H nove tarefas dentro deste domnio que um candidato CISM
deve saber como realizar:
T2.1
Estabelecer e manter um processo de informaes de ativos
classificao para garantir que as medidas tomadas para proteger
ativos so proporcionais ao seu valor comercial.
T2.2
Identificar legal, regulamentar, organizacional e outros
requisitos aplicveis para gerir o risco de
descumprimento a nveis aceitveis.
T2.3
Certifique-se de que as avaliaes de risco, avaliaes de vulnerabilidade
e anlises de ameaas so realizadas periodicamente e
consistentemente para identificar o risco para a organizao do
informaes.
T2.4
Determine as opes de tratamento de risco adequadas para gerir
risco a nveis aceitveis.
T2.5
Avaliar os controles de segurana da informao para determinar
se elas so apropriadas e efetivamente reduzir os riscos
a um nvel aceitvel.
T2.6
Identificar a diferena entre os nveis de risco atuais e desejados
para gerir o risco a um nvel aceitvel.
T2.7
Integrar a gesto de riscos da informao no negcio e
Processos de TI (por exemplo, o desenvolvimento, aquisio,
gerenciamento de projetos, fuses e aquisies) para
promover um risco informaes consistentes e abrangentes
processo de gesto de toda a organizao.
T2.8
Monitorar o risco existente para assegurar que as mudanas so
identificados e geridos de forma adequada.
T2.9
Relatrio de descumprimento e outras mudanas na informao
corre o risco de gesto adequada para ajudar no risco
processo de tomada de decises de gesto.
das reas delimitadas pelas declaraes do conhecimento. Estes
H 19 declaraes de conhecimento dentro do risco da informao
gesto e domnio de cumprimento:
KS2.1 Conhecimento dos mtodos para estabelecer um ativo de informao
modelo de classificao de acordo com os objetivos de negcios
KS2.2 Conhecimento dos mtodos utilizados para atribuir as
responsabilidades
para e de propriedade dos ativos de informao e risco
KS2.3 Conhecimento dos mtodos para avaliar o impacto de efeitos adversos
eventos sobre o negcio
KS2.4 conhecimento de informaes de ativos metodologias de avaliao
KS2.5 Conhecimento de legal, regulamentar, organizacional e outros
requisitos relacionados segurana da informao
KS2.6 Conhecimento de fontes confiveis, confiveis e oportunas de
informaes sobre segurana da informao emergente
ameaas e vulnerabilidades
KS2.7 Conhecimento de eventos que podem exigir reavaliaes de risco
e alteraes a elementos do programa de segurana da informao
KS2.8 conhecimento das ameaas, vulnerabilidades e de informao
exposies e sua natureza evolutiva
Conhecimento KS2.9 de metodologias de avaliao de risco e anlise
KS2.10 Conhecimento dos mtodos utilizados para priorizar riscos
Conhecimento KS2.11 dos requisitos de informao de risco (por exemplo,
freqncia, audincia, componentes)
KS2.12 Conhecimento dos mtodos usados para monitorar risco
Conhecimento KS2.13 de estratgias e mtodos de tratamento de risco para
aplic-los
KS2.14 Conhecimento de modelagem de linha de base e seu controle
relao s avaliaes com base no risco
KS2.15 Conhecimento de controles de segurana da informao e
contramedidas e os mtodos para analisar a sua
eficcia e eficincia
KS2.16 Conhecimento de tcnicas de anlise de gap em relao com
Conhecimento KS2.17 de tcnicas para a integrao de risco
gesto em negcios e processos de TI

KS2.18 Conhecimento dos processos de relatrios de conformidade e
requisitos
Conhecimento KS2.19 de anlise custo / benefcio para avaliar o risco
opes teraputicas
Pgina 79

Seo I: Panorama
75
relao de tarefa para declaraes conhecimento
cada uma das reas em que o candidato CISM deve ter um bom
compreenso, a fim de executar as tarefas. A tarefa e conhecimento
declaraes so mapeados em exposio 2,1 , na medida em que possvel
fazer
assim. Note-se que, embora haja muitas vezes se sobrepem, cada instruo
tarefa ser
geralmente so mapeadas para vrias declaraes de conhecimento.
Declarao de Tarefa
T2.1 Estabelecer e manter um processo para obter informaes
classificao de ativos para garantir que as medidas tomadas
para proteger os ativos so proporcionais aos seus negcios
valor.
KS2.1 Conhecimento dos mtodos para estabelecer um modelo de
classificao de ativos de informao
consistente com os objetivos de negcios
responsabilidades e posse de
ativos de informao e risco
KS2.3 Conhecimento dos mtodos para avaliar o impacto de eventos adversos
sobre o negcio
T2.2 Identificar legal, regulamentar, organizacional e outros
requisitos aplicveis para gerir o risco de
descumprimento a nveis aceitveis.
KS2.5 conhecimento dos requisitos legais, regulamentares, organizacionais e
outros relacionados com a
KS2.14 Conhecimento de modelagem de base de controle e sua relao com a

base de risco
avaliaes
T2.3 Certifique-se que as avaliaes de risco, vulnerabilidade
avaliaes e anlises de ameaas so realizadas
periodicamente e de forma consistente para identificar o risco para o
informaes da organizao.
Conhecimento KS2.6 de fontes confiveis, confiveis e oportunas de
informaes sobre
ameaas de segurana da informao e as vulnerabilidades emergentes
KS2.7 Conhecimento de eventos que podem exigir reavaliao de risco e
alteraes
elementos do programa de segurana da informao
KS2.8 conhecimento das ameaas de informao, vulnerabilidades e
exposies e sua evoluo
natureza
KS2.11 Conhecimento dos requisitos de informao de risco (por exemplo,
frequncia, audincia,
componentes)
base de risco
avaliaes
T2.4 determinar as opes de tratamento de risco adequadas para
gerenciar os riscos a nveis aceitveis.
Conhecimento KS2.13 de estratgias e mtodos para aplic-los de tratamento
de risco
Conhecimento KS2.19 de anlise custo / benefcio para avaliar as opes de
tratamento de riscos
T2.5 Avaliar os controles de segurana da informao para determinar
se elas so apropriadas e eficaz
mitigar o risco a um nvel aceitvel.
base de risco
avaliaes
Conhecimento KS2.15 de controles de segurana da informao e
contramedidas e os mtodos
analisar a sua eficcia e eficincia
T2.6 Identificar a diferena entre o risco atual eo desejado
nveis para gerir o risco a um nvel aceitvel.
KS2.16 Conhecimento das tcnicas de anlise de lacunas como relacionados
T2.7 Integrar a gesto de riscos da informao em

negcios e processos de TI (por exemplo,
desenvolvimento, aquisio, gerenciamento de projetos,
fuses e aquisies) para promover uma consistente
e abrangente de gerenciamento de risco da informao
processo em toda a organizao.
Conhecimento KS2.15 de controles de segurana da informao e
contramedidas e os mtodos
analisar a sua eficcia e eficincia
Conhecimento KS2.17 de tcnicas para a integrao da gesto de risco em
negcios e TI
processos
Risco T2.8 monitor existente para assegurar que as mudanas so
identificados e geridos de forma adequada.
Relatrio T2.9 descumprimento e outras mudanas na
risco da informao para a gesto apropriada para
auxiliar na tomada de decises de gesto de riscos
processo.
frequncia, audincia,
componentes)
Conhecimento KS2.18 de processos e requisitos de relatrios de conformidade
Pgina 80

Seo I: Panorama
76
captulo.
perspectiva de gerenciamento de risco.
KS2.1 Conhecimento dos mtodos para estabelecer um modelo de

classificao de ativos de informao consistente com
objetivos de negcios
Explicao
Conceitos-chave
Um esquema de classificao foi desenvolvido para definir os vrios graus de
sensibilidade e / ou criticidade da informao que est sob os cuidados,
controle ou
custdia de uma organizao. Ele serve para priorizar os esforos de proteo
e
proporciona uma base para o nvel de proteco atribudo a uma informao
ativos. Ele fornece uma base para estabelecer uma proporcionalidade entre o
nvel de
controle eo valor patrimonial A fim de evitar o custo de superproteger ou o
risco de underprotecting ativos de informao.
Um esquema de classificao tambm facilita a continuidade dos negcios e
eficaz
planejamento de recuperao de desastre, identificando os mais crticos e
sensveis
ativos de informao.
Sem critrios apropriados e um processo consistente para mapear a
sensibilidade e
criticidade de recursos de informao, no ser possvel desenvolver uma boa
relao custoprograma de gesto de risco eficaz.
Normalmente, as organizaes vo usar trs ou quatro nveis de classificao,
tais
como, a classificao interna, confidencial e talvez secret.The pblico
esquema deve fornecer orientaes sobre a forma como esses nveis devem
ser determinados
pelos proprietrios do recurso, bem como detalhar o nvel de proteo que
cada
classificao requer.
Criticidade refere-se importncia dos ativos e processos de informao para
atividades organizacionais. Sensibilidade est relacionada com o potencial de
danos
divulgao no intencional de informaes particulares ou confidenciais, tais
como o comrcio
segredos ou dados pessoais protegidos. Criticidade muitas vezes pode ser
determinada em um
base razoavelmente quantitativa uma vez que os prejuzos financeiros sofridos
como resultado
da falha de uma funo de negcio especfica pode ser
determinada. Sensibilidade
geralmente s pode ser avaliada por meio de medidas qualitativas.

O objectivo da
informaes de ativos
classificao
2.6.1
Identificao, classificao
e Propriedade
2.11.3 Classificao de Informao de Ativos
A exigncia de
classificao de ativos no
gerenciamento de riscos
2.14
As linhas de base de controle de segurana
Determinao da base de
classificaes
Os benefcios de
informaes de ativos
classificao
A relao de
classificao para os negcios
planejamento de continuidade (BCP)
e recuperao de desastres
(DR)
A ligao entre
classificao, incidente
nveis de gravidade e
critrios de declarao
O relacionamento
de classificao para
guardies, controles
monitoramento, conformidade,
risco e impacto
O objectivo da
a determinao da sensibilidade
e criticidade
2.4
Viso geral de Gesto de Risco
2.10.11 Impacto
2.14

Os mtodos para a determinao
sensibilidade e criticidade
2.10.11 Impacto
Abordagens para
determinao do potencial
impacto
2.4
2.4.1
A Importncia da Gesto de Risco
2.4.2
Resultados de Gesto de Risco
2.10.8 Anlise de risco relevante
2.10.11 Impacto
As relaes
entre risco, impacto,
sensibilidade e criticidade
2.10.11 Impacto
Pgina 81

Seo I: Panorama
77
responsabilidades e propriedade de ativos de informao e risco
Explicao
Conceitos-chave
Prestao de contas para assegurar a conformidade com as polticas e normas
requer
que um proprietrio definido identificado para todas as informaes de
propriedade assets.The
esquema consiste nas polticas (e padres), estrutura e prticas que
definir proprietrios, seus papis e suas responsabilidades. Ele tambm deve
detalhar o
requisitos para a custdia e usurios de informao.
Garantir que todos os sistemas tenham identificado proprietrios tambm
facilita a
cesso de risco risk.As freqentemente ligada a um ou mais sistemas,

sistema de
proprietrios so muitas vezes os indivduos mais adequados para o prprio
risco. Risco
propriedade importante para garantir que no h prestao de contas para ver
que
o risco mitigado ou no tratados como exigido pelo risco organizacional
orientaes de gesto.
A razo e propsito
de polticas de propriedade
e estrutura
1.11.1 A Meta
2.6.1
O desenvolvimento de uma Gesto de Riscos
Programa
2.6.2
Papis e Responsabilidades
3.9.1
Componentes operacionais
A responsabilidade pela
garantindo que adequada
controles esto no lugar
2.6.1
Programa
2.6.2
Elementos de uma
esquema propriedade
1.11.1 A Meta
2.6.1
Programa
2.6.2
3.14.5 Gesto de Tecnologia de Segurana
3.14.9 Outsourcing e Fornecedores de Servios
1.8.4
Mtricas de Gesto de Riscos
KS2.3 Conhecimento dos mtodos para avaliar o impacto de eventos adversos
sobre o negcio
Explicao
Conceitos-chave
Avaliao de impacto Negcios (BIA) e anlise o processo primrio para
determinar o impacto da perda de uma funo organizacional. Avaliando

o impacto envolve uma srie de consideraes, incluindo o efeito sobre a
outra
operaes que dependem da funo que tem failed.The escalada da perda
ao longo do tempo, tambm deve ser considerado, ou seja, a perda pode ser
no linear como funo
de tempo, mas pode crescer exponencialmente.
A possvel natureza cclica da perda outro aspecto a avaliar, pois isso pode
afetar a prioridade das aces correctivas e exemplo restoration.An deste
a urgncia de recuperar funes financeiras no final do quarto
com base em requisitos de relatrios regulamentares.
Embora os impactos sero geralmente avaliada em termos financeiros, alguns
aspectos
tais como o impacto de danos reputao ou sanes regulamentares no
podem
ser quantificada de forma precisa em termos estritamente
monetrios. Gerenciando potencial
impactos a um nvel aceitvel em ltima anlise o objetivo de gesto do
risco.
Conhecimento de criticidade e sensibilidade tambm necessria para
determinar incidente
nveis de gravidade, bem como os requisitos de gerenciamento de incidentes e
resposta.
Impacto nos negcios
e avaliao
avaliao
2.4
2.10.11 Impacto
Aspectos financeiros
impactos
2.10.11 Impacto
Impactos no financeiros
2.10.11 Impacto
Explicao
Conceitos-chave
O processo de avaliao utilizada para determinar o valor real ou parente
dos objectivos de gesto de informao assets.The de entrega de valor e
gesto de recursos so difceis de alcanar sem antes avaliar o valor
dos vrios ativos de informao que devem ser protected.The diretor da
proporcionalidade, o que determina um custo razovel de proteger os bens em
relao ao seu valor, no possvel sem a implementao de uma valorizao
valor relativo process.The de um ativo de informao geralmente est

relacionado a sua
criticidade ou sensibilidade, mas pode no estar relacionado com o seu custo
real. Barato
equipamento pode processar informaes de misso crtica e, portanto, tm
uma
alta criticidade e requerem um alto nvel de garantia de operao contnua.
Sistemas de alto custo pode ser usado para processar a informao no crtica,
mas
exigem um alto nvel de proteo para o prprio equipamento contra danos ou
theft.All trs parmetros (custo, criticidade e sensibilidade) deve ser
conhecido em
a fim de definir e priorizar riscos e os mtodos adequados para mitigar o risco.
O objetivo e
benefcios de informaes
avaliao de ativos
2.11
Avaliao Information Resource
2.11.2 Informaes de Recursos Avaliao
Metodologias
A relao de
valorizao e impacto
avaliao
2.11
Estratgias
A base para a realizao
informaes de ativos
avaliao
2.11
Estratgias
Metodologias
Avaliao Patrimonial
metodologias
2.10
Avaliao de Risco
Metodologias
Pgina 82

Seo I: Panorama
78
KS2.5 conhecimento dos requisitos legais, regulamentares, organizacionais e
outros, relacionados segurana da informao
Explicao
Conceitos-chave
Os requisitos legais e regulamentares devem ser considerados em termos de
risco
e impact.This necessrio, a fim de determinar o nvel apropriado de
conformidade e prioridade. Por exemplo, uma grande organizao
multinacional
susceptvel de ser sujeita a Indstria de Cartes de Pagamento (PCI) Data
Security Standards
(DSS) requisitos, bem como os regulamentos da Sarbanes-Oxley, se suas
aes so
negociadas em bolsa de valores dos EUA. Ele tambm pode precisar de ser
compatvel com a
EUA Health Insurance Portability e Accountability Act (HIPAA) e da UE
Directiva Privacidade. Alm disso, pode existir um nmero de outros
regulamentos
outras jurisdies que devem ser considerados.
Estes regulamentos devem ser avaliados em funo do risco que representam
para
a organizao na medida em que o nvel de execuo e a posio relativa
da organizao em relao aos seus pares; reguladores tendem a concentrar-se
aplicao no organizations.The menos complacente e mais visvel
potencial impacto sobre a organizao, tanto financeira e de reputao
impactos devem ser avaliados como avaliaes well.These fornecer a base
para a gerncia snior para determinar a natureza ea extenso do cumprimento
atividades apropriadas para a organizao.
O gerente de segurana da informao deve estar ciente de que a
administrao pode
decidiu que o risco de sanes menos onerosa do que alcanar a
conformidade; que
cumprimento no binria ea deciso pode ser para iniciar essas atividades
em uma base muito limitada, ou que a execuo to limitada ou inexistente
que
cumprimento no se justifica.
Legal e regulamentar
consideraes em risco
estratgia de gesto
2,5
Estratgia de Gesto de Riscos
Cumprimento Operacional
risco
2.10.7 Risco
consideraes para ativos
classificao
KS2.6 Conhecimento de fontes confiveis, confiveis e oportunas de
informaes sobre a segurana da informao emergente
ameaas e vulnerabilidades
Explicao
Conceitos-chave
Muitas fontes de informao sobre potenciais ameaas e vulnerabilidades
esto disponveis para os recursos manager.These de segurana da informao
devem ser monitorizados regularmente para fornecer avisos oportunos de
novo
vulnerabilidades em sistemas e software e novos surtos de malware
, bem como outras actividades criminosas, tais como phishing e
pharming. Alguns
dessas organizaes incluem CERT e Australian Computer Emergency
Response Team (AusCERT), Rede Storm Center, do SANS, Computerworld,
TechRepublic e outros, incluindo fornecedores de segurana e software e
fabricantes de hardware.
Relatrios de risco externo
fontes
2.8.7
Outros Suporte Organizacional
Pgina 83

Seo I: Panorama
79
KS2.7 Conhecimento de eventos que podem exigir reavaliao de risco e
mudanas para o programa de segurana da informao
elementos
Explicao
Conceitos-chave
Muitas circunstncias pode criar a necessidade de reavaliar o risco, como
novo
ameaas ou vulnerabilidades recm-descobertas, mudanas em arquiteturas ou
requisitos de negcio, novas exigncias legais ou regulamentares, ou de
segurana
incidentes provam que as avaliaes de risco, antes eram imprecisos.
Linhas de base de segurana estabelecidos pelas normas apropriadas so a
segurana mnima
requisitos para os diferentes domnios de confiana em todo o
enterprise.These
as linhas de base pode ter de mudar para uma variedade de razes, tais como
os impactos
de incidentes crescente inaceitavelmente elevado ou o cenrio de ameaas
mudar
e posando risco novo ou superior. Elas tambm podem ter de mudar como
resultado de novas vulnerabilidades introduzidas nos sistemas por causa de
mudanas
para a organizao, tais como fuses ou aquisies. As alteraes podem
tambm
ser exigida como resultado de novas exigncias contratuais ou regulamentares
exigindo melhores nveis de segurana, como o que ocorreu com a
imposio da Indstria de Cartes de Pagamento (PCI) standards.These e
outros
acontecimentos que mudam a equao ameaa, a vulnerabilidade, a exposio
ou o impacto ser
requerer a reavaliao do risco para determinar o tratamento adequado e
requisitos de mitigao.
Fins de criao
linhas de base de segurana
2.10.15 Reavaliao Risco de Eventos
Afetando linhas de base de segurana
2.14
3.15.11 Controles de linha de base
Mtodos de determinao
Avaliar a adequao de
2.10.15 Reavaliao Risco de Eventos
Afetando linhas de base de segurana
2.14

KS2.8 conhecimento das ameaas de informao, vulnerabilidades e
exposies e sua natureza evolutiva
Explicao
Conceitos-chave
essencial para o gerente de segurana da informao para compreender a
componentes de risco e as diferenas entre as ameaas, vulnerabilidades e
exposures.Threats so geralmente definidas como qualquer processo, entidade
ou evento que
pode causar harm.Vulnerabilities so qualquer ponto fraco que possa ser
explorado
por uma ameaa. Exposio refere-se ao grau em que um organismo pode
ser afetado por um risco. crtico que os processos de som so desenvolvidos
para
determinar ameaas viveis que a organizao enfrenta em tempo hbil e
tanto as vulnerabilidades lgicos e fsicos que podem ser exploradas por
essas ameaas.
A natureza eo tipo de
ameaas s informaes
2.8.1
Processo de Gesto de Riscos
2.8.3
Definindo o Ambiente Externo
2.10.5 Ameaas
Interna e externa
ameaas
2.8.3
Definindo o Ambiente Externo
2.8.4
Definindo o ambiente interno
Avaliao de ameaas e
risco
2,9
Metodologias
2.10
Avaliao de Risco
Vulnerabilidades
2.10.6 Vulnerabilidades
Os componentes de risco
avaliao e risco
anlise
2.10.7 Risco

Pgina 84

Seo I: Panorama
80
Explicao
Conceitos-chave
A avaliao de risco e anlise um requisito fundamental sobre a qual
todas as atividades de gesto de risco so based.Assessing e anlise de risco
para
ativos de informao uma atividade central do gerente de segurana da
informao;
gesto de riscos o principal motor para todas as atividades de segurana da
informao.
Embora existam muitas abordagens para avaliar e quantificar o risco, todos
so
com base no entendimento de que tanto uma ameaa como uma
vulnerabilidade correspondente
deve existir para que haja um risk.When potencial ameaa capaz de explorar
uma vulnerabilidade, um risco exists.While h qualitativa, semi-quantitativa e
abordagens quantitativas para avaliar o risco, todas as avaliaes de risco so
semelhantes,
e at certo ponto, tanto subjetiva e speculative.When risco anlise, este
incerteza tem de ser tido em conta na equao em relao a ambos freqncia
ea magnitude da possvel ocorrncia. Apresentao de risco muitas vezes
mais
eficaz se desde que, em termos de impacto potencial mximo e provvel
impact.The gerente de segurana da informao tambm tem que considerar a
agregao
de risco, o que pode resultar num certo risco aceitvel a ser explorada no
mesmo
tempo, resultando em bloco em uma impact.Another potencialmente
inaceitvel
considerao cascata de risco, o qual baseado no sistema e processo
interdependncias que podem causar uma explorao para resultar em um
efeito domin
de falhar sistemas e processos.
A finalidade de risco
avaliao e anlise
2.4
2.6.2
Abordagens para avaliar
e anlise de risco
2.8.1
2.8.2
A definio de uma Gesto de Riscos
Quadro
2,9
Metodologias
2.10
Avaliao de Risco
2.10.1 NIST Risk Assessment Methodology
2.10.2 agregado e Cascading Risco
2.10.3 Outras abordagens de avaliao de risco
Os componentes de risco
avaliao
2.8.2
A definio de uma Gesto de Riscos
Quadro
2.10.2 agregado e Cascading Risco
Qualitativa e
avaliaes quantitativas
e anlise
Explicao
Conceitos-chave
Possvel risco virtualmente unlimited.As consequncia, essencial para o
informao gerente de segurana para desenvolver processos para classificar e
priorizar riscos
com base em vrios factors.These incluir
proximidade e natureza da ameaa
medida em que existe a vulnerabilidade
exposio da organizao ao risco
vias de explorao potencial
impacto potencial, se a ameaa se materializa
Frequncia de uma vulnerabilidade pode ser explorada
grau de risco agregado
potencial de risco em cascata
A escolha de abordagens para a definio de prioridades deve basear-se em

fontes,
extenso e confiabilidade dos information.All possveis ameaas nunca pode
ser conhecido
com toda a certeza, enquanto o grau de vulnerabilidade pode ser verificado
com
possivelmente maior confiabilidade.
Impacto da perda de certas funes organizacionais geralmente pode ser
determinada com alguma preciso. Consequentemente, importante utilizar
o melhor mix de informaes juntamente com a disponibilidade de custobenefcio
opes de correo para priorizar riscos.
Priorizando base
em freqncia e
magnitude
2.4
A avaliao baseada em
impacto potencial
2.10.11 Impactos
2.10.14 Custos e Benefcios
Determinar a probabilidade
Priorizando por
custo-efetividade da
opes teraputicas
2.10.10 Risco Opes de Tratamento
Pgina 85

Seo I: Panorama
81
freqncia, audincia, componentes)
Explicao
Conceitos-chave
importante que o gerente de segurana da informao para garantir que haja
um processo estabelecido e padro para informar o estado de informaes
risco e da sua gesto, tanto a basis.There regular e orientada a eventos
um nmero de fatores que vo determinar o que relatado, a quem
relatado e quando factores reported.These ir basear-se na
tipo de organizao, sua cultura, risco aceitvel e tolerncia ao risco, o

ambiente regulatrio e legal, ea gravidade, probabilidade e potencial
consequncias de risk.The vrios aspectos e critrios de notificao de risco
deve ser definida e aprovada pelo management.The processo de relatrios e
estrutura deve incluir os relatrios que so fornecidos para vrias partes do
organizao, numa base regular, e do tipo e natureza da alterao do risco
que devem ser comunicadas. Relatrios regulares podem servir tanto para
comunicar risco
estado e tambm como um lembrete das responsabilidades coletivas para a
gesto do risco
em toda a organizao.
A exigncia de
elaborao regular de relatrios de risco
2.5.1
Comunicao de Risco, Risco
Conscientizao e Consultoria
2.15
Monitoramento de Risco e Comunicao
2.15.2 relatar mudanas significativas na
Risco
Os tipos de eventos que
deve ser relatado ou
escalado
2.15
Risco
Reportagem contedo para
vrios organizacional
nveis e destinatrios
2.15
Risco
Indicadores-chave de risco (KRI)
e monitoramento
2.15
Risco
Explicao
Conceitos-chave
Desde uma alterao de qualquer ameaa, vulnerabilidade ou exposio vai

mudar de risco,
monitorizao ou da medio de qualquer um ou uma combinao pode servir
como um risco
indicator.The conceito de indicadores-chave de risco (KRI) que certas
mudanas
internamente ou externamente deve ser monitorizada com base na sua
capacidade para fornecer
um aviso prvio de alteraes na risk.An exemplo poderia ser um aumento
sbito da
solicitaes de mudana de emergncia ou um aumento significativo no
volume de negcios empregado
em um determinado departamento. Qualquer evento pode sinalizar uma
situao de mudana que
deve ser investigado pelo gerente de segurana da informao para determinar
a
provocar e as implicaes para o risco.
Acompanhamento eficaz dos processos de segurana e mtricas relacionadas
fornece a
informaes essenciais necessrias para a gesto bem sucedida de uma
informao
programa de segurana. Pessoas, processos e tecnologias devem todos ser
monitorados
de uma forma consistente com o seu grau de sensibilidade e criticidade. Chave
controles requerem monitoramento contnuo para garantir que eles esto
funcionando
adequadamente. Os mtodos de monitorizao variam consideravelmente e
pode variar de CCTV
monitores para sistemas baseados em host de deteco de intruso (HIDS) e
rede
sistemas de deteco de intruso (NIDS) para a deteco de tentativas de
intruso. Muitos
abordagens de monitoramento pode acarretar uma sobrecarga significativa de
ambos os recursos de TI
e mo de obra endereo perspectives.To esta preocupao, mtodos
automatizados, tais
como Segurana da Informao e Gesto de Eventos (SIEM) ferramentas
podem reduzir
monitorizao sobrecarga. Atividades de monitoramento importantes tambm
pode incluir
risco geopoltico e rotatividade de pessoal, sendo que ambos podem sinalizar
o aumento
nveis de risco. Priorizao das atividades de monitoramento deve ser baseado
em grau de
risco avaliado e nvel de impacto potencial.
A avaliao de riscos e
postura de segurana
2.8.1
2,9
Metodologias
2.10
Avaliao de Risco
2.15.1 Monitoramento de Risco
Determinar risco atual
postura
2.6.1
Programa
2.6.2
Risco
Qual deve ser
monitorado
2.15.1 Monitoramento de Risco
3.16.2 Abordagens Monitoramento
Monitoramento de controles-chave
3.16
Segurana Mtricas do Programa e
Monitorao
Fsica e tcnico
monitorao
3.16
Monitorao
Pgina 86

Seo I: Panorama
82
Conhecimento KS2.13 de estratgias e mtodos para aplic-los de tratamento
de risco
Explicao
Conceitos-chave

A seleo de uma estratgia de tratamento de risco deve ser baseada em uma
variedade
de factors.These incluem a amplitude ea frequncia do potencial
manifestao do risco e do potencial impact.The impacto potencial
uma funo da criticidade ou sensibilidade de opes de tratamento
resource.The
Incluir aceitar o risco; mitigar o risco; transferir o risco, ou
cessar a atividade que cria o risco.
Mitigao, ou reduzir, o risco baseada em trs principais consideraes:
a disponibilidade de recursos necessrios, restries, como reguladora
requisitos, tempo e recursos financeiros, e uma avaliao da
relao custo-eficcia da abordagem em considerao. importante
para o gerente de segurana para garantir que a estratgia maximiza
selecionado
recursos utilizao enquanto ainda alcanar a desejada reduo de risco. Risco
mitigao geralmente incorre em custos em design, implementao e
manuteno.
Em alguns casos, certas actividades, como reengenharia de processos pode
servir para
reduzir o risco associado com certas actividades e, em ltima instncia resultar
em custos
poupana tambm. No entanto, com qualquer atividade, existem despesas que
devem
ser considerados, incluindo coisas como treinamento especial relacionadas
nova
controle, bem como os eventuais custos associados reduo da
produtividade.
Desenvolver e implementar uma estratgia de gesto de risco, necessrio
compreender a postura de segurana atual da organizao, bem como a
"Estado desejado" ou objetivos do Estado programa.A desejado tipicamente
definida em termos de normas de boas prticas, como a ISO / IEC 27002.
Anlise Gap entre o estado atual eo estado desejado vai mostrar
o que deve ser feito, a fim de mover-se em direo aos objetivos. Alguns
aspectos do estado desejado pode ser quantificado, mas uma abordagem
qualitativa para
definir tanto os estados atuais e futuros sero necessrios como well.This pode
ser feito usando ferramentas como o modelo de maturidade de capacidade
(CMM).
H tambm muitas organizaes que usam um balanced scorecard (BSC)
abordagem, que combina ambas as abordagens quantitativas e qualitativas.
As opes de tratamento
Mitigao de riscos
Mitigao de impacto
2.10.11 Impacto
Contramedidas Threat 2.10.5 Ameaas
Vulnerabilidade
gesto
KS2.14 Conhecimento de modelagem de base de controle e sua relao com
avaliaes baseadas no risco
Explicao
Conceitos-chave
Linhas de base de controle definir o mnimo de segurana para sistemas,
processos e
pessoas. As linhas de base deve ser baseada em classificaes de segurana
com maior ou
linhas de base mais seguras definidas para os recursos de maior criticidade ou
sensibilidade
porque eles representam o risco de maior impacto negativo sobre a
organizao.
Questes de gesto de risco
relacionada com os ciclos de vida
2.13
Integrao com os processos do ciclo de vida
2.13.1 Gesto de Risco para o Sistema de TI
Ciclo de Vida de Desenvolvimento
Gesto de Risco baseada no ciclo 2.13.2 Vida
Princpios e Prticas
2.14
Ciclos de vida Informaes
A gesto da mudana
e os ciclos de vida
2.13
Princpios e Prticas
Pgina 87

Seo I: Panorama
83
KS2.15 Conhecimento de controles de segurana da informao e
contramedidas e os mtodos para analisar a sua
eficcia e eficincia
Explicao
Conceitos-chave
Os controlos so de qualquer processo de regulao, o dispositivo ou
tecnologia. Os controles so o
processo primrio pelo qual risco mitigado. essencial que as informaes
gerente de segurana tem uma compreenso completa do projeto de controle,
testes
e implementao. Desde controles, no importa quo bem concebido, tendem
a
degradar ao longo do tempo, tambm essencial que o gestor de segurana da
informao
entende como para monitorar e medir a sua eficcia e eficincia
em uma base contnua.
Controles de segurana da informao, tanto tcnicos e processuais deve ser
avaliados periodicamente para determinar se eles ainda efetivamente atender a
objetivos de controle originais. Uma vez que normal para a eficcia do
controle de
degradar ao longo do tempo, importante para reavaliar los
periodically.Another
considerao que os controles freqentemente evoluem ao longo do tempo,
em resposta a
eventos particulares que podem no ser relevantes ou relacionados com
controle de corrente
objetivos. Controles que no so mais necessrios ou ineficazes deve ser
removido ou modificado para melhorar a eficincia. Avaliar a eficcia de
controle
deve incluir a considerao dos impactos adversos sobre a usabilidade e
outros
fatores humanos. Controles que so desnecessariamente complexo ou difcil,
muitas vezes, ser
contornado, afetando seriamente a sua eficcia.
Em muitas organizaes, os controles so desenvolvidas durante longos
perodos de
tempo, muitas vezes em uma resposta reativa a um evento ou incidente

relacionado segurana.
A justificativa para esses controles geralmente no documentado e os
controles
simplesmente tornar-se uma prtica aceita, se a necessidade de que eles ainda
existe ou outros controles redundantes foram implemented.An em curso
requisito para a efetiva gesto de segurana da informao garantir que
todos os controles-se tcnico, fsico ou processual-so documentados,
se encontram definidos os objetivos de controle, e so periodicamente testados
tanto para o custo
e para a eficcia. Mtodos utilizados para testar os controles devem ser
objetivos,
consistente e rentvel.
Projeto Controles
Consideraes
2.4
3.15.2 Projeto de Controle Consideraes
Testar e avaliar
controles
3.15.3 Controle de Fora
Camadas controles
Determinar controle
fora
3.15.3 Controle de Fora
KS2.16 Conhecimento das tcnicas de anlise de lacunas como relacionados
Explicao
Conceitos-chave
Anlise Gap no contexto de gesto de risco geralmente envolve a anlise
da diferena entre os controles existentes e objetivos de controle ou a distncia
entre o programa de gesto de risco existente eo programa desejado.
Os objectivos das actividades de gesto de risco deveria ter sido determinada
no decorrer do desenvolvimento de uma estratgia de segurana da
informao, como discutido
no captulo 1.These objetivos podem ser expressos em termos de capacidades
e
eficcia na obteno de nveis aceitveis de risco aceitvel dentro
tolerncias, a custos aceitveis
Desenvolver e implementar uma estratgia de gesto de risco, necessrio
compreender a postura de segurana atual da organizao, bem como a
"Estado desejado" ou objetivos do Estado programa.A desejado tipicamente

definida em termos de normas de boas prticas, como a ISO / IEC 27002.
Anlise Gap entre o estado atual eo estado desejado vai mostrar
o que deve ser feito, a fim de mover-se em direo aos objetivos. Alguns
aspectos do estado desejado pode ser quantificado, mas uma abordagem
qualitativa para
definir tanto os estados atuais e futuros sero necessrios como well.This pode
ser feito usando ferramentas como o modelo de maturidade de capacidade
(CMM).
H tambm muitas organizaes que usam um balanced scorecard (BSC)
abordagem, que combina ambas as abordagens quantitativas e qualitativas.
Controles e controle
objetivos
2.8.6
Gap Analysis
3.15
Controles e Contramedidas
Avaliando a lacuna
entre a corrente e
estado desejado
2.8.6
Gap Analysis
A avaliao de riscos e
postura de segurana
2.8.1
2,9
Metodologias
2.10
Avaliao de Risco
Determinar risco atual
postura
2.6.1
Programa
2.6.2
Risco
Pgina 88
Seo I: Panorama
84
KS2.17 Conhecimento de tcnicas para integrar a gesto de riscos em
negcios e processos de TI
Explicao
Conceitos-chave
A gesto de riscos um requisito fundamental em todos os negcios e TI
processos. Risco muda significativamente durante o ciclo de vida dos recursos
e
como processos de negcios e procedimentos de mudana. Por exemplo, o
risco associado
com a viabilidade e as fases de concepo de um projeto muito diferente do
risco que ocorre durante as fases de implementao e implantao. Alguns
dos processos primrios para expor e gerenciar riscos incluem a mudana e
gerenciamento de liberao, garantia de qualidade (QA) e testes de aceitao
do usurio
(UAT). O gerente de segurana da informao deve garantir que tais
processos
existem para que o risco identificado e gerenciado durante o ciclo de vida de
vrios
estgios de tecnologias, ativos fsicos e processos.
Alm disso, necessrio assegurar que os processos, procedimentos e
prticas em toda a organizao so avaliados para o risco. Com base nesta
avaliao, o gerente de segurana da informao tem uma base para
determinar
o meio adequado para gerenciar o risco atravs da implementao de vrios
Opes para o tratamento de risco.
2.13
Princpios e Prticas
Princpios e Prticas
A gesto da mudana
e os ciclos de vida
2.13

Princpios e Prticas
Conhecimento KS2.18 de processos e requisitos de relatrios de
conformidade
Explicao
Conceitos-chave
A necessidade de cumprimento dos requisitos legais e regulamentares
tornando-se cada vez mais comum para muitos organizations.While a
extenso da
conformidade e os processos e os recursos alocados so decises que
devem ser feitas pela alta administrao, tipicamente uma parte da
informao
responsabilidades do gestor de segurana para executar os elementos que
envolvem a
vrios aspectos da segurana da informao. Relatrios sobre a realizao dos
marcos de conformidade normalmente ser necessrio e deve ser estabelecido
em consulta com a gerncia snior.
2.13
Princpios e Prticas
A gesto da mudana
e os ciclos de vida
2.13
Princpios e Prticas
Conhecimento KS2.19 de anlise custo / benefcio para avaliar as opes de
tratamento de riscos
Explicao
Conceitos-chave
A escolha da melhor abordagem para o tratamento de risco deve, em ltima

anlise se basear
no custo de beneficiar anlise.O abordagem especfica que mais provvel de
ser
eficaz aquele que normalmente usado nos benefcios organization.The so
normalmente a realizao de um objetivo de controle definido, resultando em
um nvel de
risco aceitvel para a organizao.
Os custos podem ser analisados utilizando uma variedade de diferentes
abordagens financeiros.
Estes podem incluir as abordagens mais comuns, tais como:
Valor em Risco (VaR)
Retorno sobre o investimento (ROI)
Retorno sobre o investimento em segurana (ROSI)
Valor presente lquido (VPL)
Taxa interna de retorno (TIR)
Claro que, o custo no deve exceder o benefit.There so muitas
situaes em que a reduo pode no ser uma opo com base no custo de
o potencial impacto pesado contra o custo de mitigao ou os custos
de transferncia da risk.Analysis pode tambm mostrar que os benefcios no
so
suficiente para justificar o risco associado com a atividade.
Anlise custo-benefcio ajuda a fornecer uma viso impacto monetrio do
risco e
ajuda a determinar o custo de proteger o que importante. No entanto,
anlise custo-benefcio tambm sobre fazer escolhas inteligentes com base
no potencial
custos de mitigao de risco contra as perdas potenciais (exposio ao
risco). Ambos
conceitos amarrar diretamente para boas prticas de governana.
A gesto de riscos
benefcios pesavam contra
custo
3.15
Fatores de custo nos controles
Estratgias
Anlise custo-benefcio
abordagens
2.10.11 Impacto
2.14
Pgina 89

Seo I: Panorama
85
Padro australiano, AS / NZS ISO 31000:2009, Risco
Gesto-Princpios e Diretrizes de 2009,
www.riskmanagement.com.au
Brotby, W. Krag; Mtricas de Gesto de Segurana da Informao:
Um guia definitivo para monitoramento de segurana eficaz e
Medio , Auerbach Publications, EUA, 2009
International Organization for Standardization (ISO),
ISO 31000:2009, Gesto de Riscos-Princpios e Diretrizes
(Ex-AS / NZS 4360) , 2009, www.iso.org
ISACA; Implementar e melhorar continuamente TI
Governana , EUA, 2010
Jaquith, Andr; Mtricas de Segurana: Substituio de medo,
Incerteza e Dvida , Addison Wesley, EUA, 2007
Killmeyer, Jan; Arquitetura de Segurana da Informao: uma abordagem
integrada
Abordagem de Segurana da organizao, 2
Edio , Auerbach
Publicaes, EUA, 2006
Instituto Nacional de Padres e Tecnologia (NIST), Risco
Guia de Gerenciamento para Sistemas de Informao Tecnologia,
SP 80030, EUA, 2002, www.csrc.nist.gov/publications/
nistpubs/800-30/sp800-30.pdf
Peltier, Thomas R.; Anlise de Riscos de Segurana da Informao,
3
rd
Edio , Auerbach Publications, EUA, 2010
Van Grembergen, Wim; Steven De Haes, a governana de TI
Prticas de domnio e Competncias: Medio e
Demonstrando o valor da TI , IT Governance Institute, EUA,
2005, www.isaca.org/Knowledge-Center/Research/Documents/
MeasurandDemoValueofIT.pdf
2.3 Questes de auto-avaliao
Perguntas
Questes do exame CISM so desenvolvidos com a inteno de medir
e teste de conhecimento prtico em segurana da informao
gesto. Todas as questes so de mltipla escolha e que se destinam
para uma melhor resposta. Cada pergunta CISM tem uma haste (pergunta)
e quatro opes (opes de resposta). O candidato convidado a
escolher a resposta correta ou a melhor das opes. A haste
pode estar na forma de uma pergunta ou declarao incompleta. Em
alguns casos, um cenrio ou um problema de inscrio tambm pode
ser includos. Estas perguntas normalmente incluem uma descrio
de uma situao e exigir que o candidato a responder a duas ou mais
perguntas com base nas informaes fornecidas. Muitas vezes um CISM
questo da prova vai exigir que o candidato a escolher o
mais provvel ou melhor resposta.
cuidado, eliminar respostas incorretas conhecidos e, em seguida, fazer a
melhor escolha possvel. Sabendo o formato em que as perguntas so
perguntou, e como estudar para adquirir conhecimento do que vai ser testado,
ir percorrer um longo caminho para respond-las corretamente.
2-1 O objectivo geral da gesto de risco :
A. eliminar todas as vulnerabilidades, se possvel.
B. determinar a melhor maneira de transferir o risco.
C gerir o risco a um nvel aceitvel.
D. implementar contramedidas eficazes.
2-2 A afirmao "risco = vulnerabilidade valor X ameaa X"
indica que:
A. risco pode ser quantificado usando a expectativa de perda anual
(ALE).
B. risco pode ser quantificado, desde magnitude e
frequncia so computadas.
C. o nvel de risco maior quando mais ameaas atender mais
vulnerabilidades.
D. sem saber o valor, o risco no pode ser calculado.
2-3 Para enfrentar mudanas no risco, uma gesto eficaz dos riscos
programa deve:
A. assegurar que os processos de monitoramento contnuo esto em
lugar.
B. estabelecer linhas de base de segurana apropriados para todas as
informaes
recursos.
C. implementar um processo de classificao de dados completo.
Polticas de segurana D. mudana em tempo hbil para o endereo
mudando risco.

Pgina 90

Seo I: Panorama
86
2-4 Classificao da informao importante para gerir adequadamente
risco PRINCIPALMENTE porque:
A. assegura a responsabilidade para os recursos de informao como
exigido por papis e responsabilidades.
B. uma exigncia legal sob vrios regulamentos.
C. no h outra maneira de cumprir os requisitos para
disponibilidade, integridade e capacidade de auditoria.
D. utilizado para identificar a sensibilidade e criticalidade
informaes para a organizao.
2-5 vulnerabilidades descobertas durante uma avaliao deve ser:
A. tratada como um risco, mesmo que no haja nenhuma ameaa.
B. priorizados para remediao exclusivamente com base no impacto.
C. uma base para a anlise da eficcia dos controlos.
D. avaliadas por ameaa, o impacto eo custo de mitigao.
2-6 acordos de indenizao pode ser usado para:
A. garantir um nvel acordado de servio.
B. reduzir os impactos sobre os recursos crticos.
C. transferir a responsabilidade a terceiros.
D. fornecer uma medida preventiva eficaz para ameaas.
2-7 risco residual pode ser determinada por:
A. determinar vulnerabilidades restantes aps
contramedidas esto no lugar.
B. uma anlise de ameaas.
C. uma avaliao de risco.
D. transferncia de todos os riscos.
2-8 proprietrios de dados so PRINCIPALMENTE responsvel pela
criao de risco
estratgias de mitigao para enfrentar qual das seguintes reas?
Segurana A. Plataforma
Mudanas B. Titularidade
Deteco de intruso C.
Controles D. antivrus
2-9 A anlise de risco deve:
A. limitar o alcance de um valor de referncia de empresas similares.
B. assumir um grau de proteco idntico para todos os ativos.
C. abordar o tamanho ea probabilidade de perda potencial.
D. dar mais peso probabilidade versus o tamanho da perda.

2-10 Qual dos seguintes o PRIMEIRO passo na escolha do
controles apropriados a serem implementadas em um novo negcio
aplicao?
Anlise de impacto A. Negcios (BIA)
B. A anlise de custo-benefcio
C. Retorno sobre o investimento (ROI) de anlise
A avaliao de risco D.
2-1 C gerenciamento de riscos o processo de reduo de riscos para
um nvel aceitvel. No possvel eliminar todos
vulnerabilidades e transferncia de riscos e contramedidas
so apenas alguns dos mtodos disponveis para risco de endereo.
2-2 C valores quantitativos de vulnerabilidade e ameaa pode
tipicamente nunca ser conhecido com preciso e, como um
Consequentemente, a nica indicao de que pode ser feito :
quando mais valor est sujeito a maior reunio ameaas
mais vulnerabilidades, haver uma maior probabilidade
de um evento adverso, isto , maior risco. A declarao faz
no consideram a expectativa de perda anual e aproximar
risco no pode ser estimado uma vez que a probabilidade computado.
Mesmo sabendo valor no permitiria que o risco de ser
calculado com preciso.
2-3 A mudana de risco como ameaas, vulnerabilidades ou potencial
impactos das mudanas ao longo do tempo. A gesto de riscos
programa deve dispor de processos para monitorar os
mudanas e modificar contramedidas, como apropriado, para
manter nveis aceitveis de risco residual.
2-4 D Classificao da informao um passo essencial para
determinar como informaes confidenciais e crticas
o negcio. A classificao ento utilizado para
determinar quais informaes devem ser protegidas e como
bem durante a criao, manipulao, marcao, transporte,
armazenamento e destruio. Proteo poderia incluir forte
criptografia, controle de acesso robusto, e controles em
marcao, distribuio e reteno.
2-5 D Vulnerabilidades descobertas devem ser avaliados e
priorizados com base na existncia de uma ameaa credvel,
o impacto se a vulnerabilidade explorada eo custo
de mitigao. Se h uma ameaa potencial, mas pouca ou nenhuma
impacto se a vulnerabilidade for explorada, h pouco risco
e no pode ser rentvel para o enfrentar.
2-6 B acordos de indenizao servir para reduzir os impactos financeiros
Mediante a indemnizao eventos adversos no
mbito do acordo. Acordos de indenizao so
no usado para definir os nveis de servio, que so fornecidos

por acordos de nvel de servio. A responsabilidade legal
no podem ser transferidos por acordos de indenizao ou
qualquer outro instrumento. Acordos de indenizao no so
uma contramedida para ameaas, mas pode ser considerado um
controle compensatrio.
Pgina 91

Seo I: Panorama
87
2-7 C Independentemente se o risco residual ou no,
determinado por uma avaliao de risco. Determinar
vulnerabilidades restantes aps contramedidas esto em
lugar no diz nada sobre as ameaas, pois o risco no puder
ser determinada. O risco no pode ser determinada pela ameaa
anlise sozinho. Transferir todo o risco no relevante para
determinao do risco residual.
2-8 B proprietrios de dados esto preocupados com e responsvel pelo
quem tem acesso aos seus recursos e, portanto, precisa
preocupar-se com a estratgia de como mitigar
risco de utilizao de recursos de dados. Segurana Platform, intruso
controles de deteco e antivrus so tipicamente de segurana de TI
preocupaes.
2-9 C uma anlise de risco trata do tamanho potencial e
probabilidade de perda. A anlise de risco normalmente no
considerar o valor de referncia de empresas similares
como o fornecimento de informaes relevantes que no sejam para
fins de comparao. Assumindo igual grau de
proteo s seria racional no evento raro que
todos os ativos so semelhantes em sensibilidade e criticidade. Desde
determina a probabilidade (em termos anualizados), o
tamanho da perda, os dois elementos devem ser considerados na
clculo.
2-10 D necessrio, primeiro, considerar o risco e determinar
se aceitvel para a organizao. Risco
avaliao pode identificar ameaas e vulnerabilidades e
calcular o risco. Os controlos so avaliadas comparando
o custo do controlo em relao ao potencial impacto se
o risco foram exploradas. Se o risco for considerado
inaceitvel, uma anlise de impacto nos negcios (BIA) pode ser
utilizado para determinar o nvel de atenuao necessrias.
Em seguida, uma anlise de custo-benefcio pode ser usado para determinar

se o custo de mitigao era apropriado, considerando o
impacto potencial. Retorno sobre o investimento anlise (ROI)
incide sobre o valor de negcio do controle.
Pgina 92

Seo I: Panorama
88
Pgina intencionalmente deixada em branco
Pgina 93

Seo Dois: Contedo
89
Seo Dois: Contedo
2.4 Gesto de Risco Overview
A gesto de riscos , em termos gerais, um processo que visa
alcanar um equilbrio ideal entre percebendo oportunidades
para ganhos e minimizar as vulnerabilidades e perda. Este normalmente
realizado, garantindo que o impacto das ameaas exploram
vulnerabilidades est dentro dos limites aceitveis, a um custo aceitvel.
Em termos prticos de negcios, gesto de risco significa que o risco
gerida de modo que ele no impactou significativamente o processo de
negcio
de forma adversa, e que um nvel de segurana aceitvel
e previsibilidade para os resultados desejados de qualquer importante
atividade organizacional esto previstas. O risco inerente a todos
atividades, h um risco em fazer algo e um risco em no
faz-lo. Mas para a maioria das organizaes, a relevncia ea criticidade
de informao hoje d origem necessidade de uma forma eficaz
gerenci-lo para garantir a preservao da organizao.
A base para a gesto eficaz dos riscos um abrangente
avaliao de risco. No possvel conceber um risco relevante
programa de gesto se no houver uma compreenso da natureza
e grau de risco para os recursos de informao e do potencial
impacto sobre as atividades da organizao. Em algumas organizaes, o
programa de gesto de segurana da informao est integrada em um
estrutura de gerenciamento de risco existente. Em outros, o risco gerenciado
num certo nmero de diferentes departamentos e unidades funcionais,
necessitando de esforos para garantir a continuidade e integrao de risco

actividades de gesto.
A gesto de risco eo desenvolvimento de impacto nos negcios
avaliaes e anlises so pr-requisitos fundamentais para a
o desenvolvimento de uma estratgia de segurana significativa. As
organizaes que
desenvolver um programa de governana da segurana da informao to
detalhada
no captulo 1 vontade, por necessidade, incluem a gesto de risco como um
parte integrante do seu programa global. No entanto, a gesto de riscos
uma necessidade que deve ser abordada, independentemente do estado de
governana. Em um nvel alto, gesto de risco realizada
equilibrando a exposio ao risco contra os custos de mitigao e
implementao de controles e medidas defensivas apropriadas.
Controles so concebidos como parte da gesto de riscos da informao
quadro. A estrutura de gerenciamento de risco da informao feita
de polticas, procedimentos, prticas e estruturas organizacionais
e , na sua essncia, uma arquitectura. Este quadro projetado para
fornecer segurana razovel de que sejam alcanados os objetivos de negcios
e que os eventos indesejados so evitados ou detectados e tratados.
O quadro deve abordar as pessoas, processos e tecnologia e
engloba o fsico, tcnico, contratual e processual
aspectos da organizao. Ele deve levar em considerao o
, componentes estratgicos tticos, administrativas e operacionais da
a organizao a ser eficaz.
Contramedidas incluem qualquer processo que serve para reduzir
ameaas ou vulnerabilidades especficas e pode ser considerado um alvo
controle. Medidas preventivas podem variar de modificar arquitectura
ou reengenharia de processos, reduzindo ou eliminando inerente
vulnerabilidades tcnicas, para a criao de um programa de sensibilizao
para
todos os funcionrios para atingir a engenharia social e promover cedo
reconhecimento e notificao de incidentes de segurana.
Como as decises de gesto de risco normalmente tm maior financeira
implicaes, e pode exigir mudanas em todo o inteiro
organizao, imperativo que a gesto executiva
apoio ao processo e entende perfeitamente e concorda com
os resultados do programa.
A gesto de riscos pode significar coisas diferentes para pessoas diferentes
na organizao. Por exemplo, um gerente de negcios pode
assumir ameaas ocorrem raramente e no est convencido do retorno sobre o
investimento (ROI) para as medidas de segurana. A viso de um auditor pode
ser
que a gesto de risco, a preveno de perdas, ao passo que um
gerente de seguros poderia defini-lo como financiamento de risco de baixo

custo.
O gerente de segurana da informao tambm deve compreender que
gesto de riscos deve funcionar em mltiplos nveis, incluindo o
estratgico, gesto e os nveis operacionais. A significncia
de experincia em negcios e tomada de deciso de negcios, em qualquer
processo de avaliao de risco deve ser reconhecida como importante
obteno de resultados realistas e bem sucedidos do processo. O
verossimilhana e relevncia de uma ameaa especfica ou risco ir
normalmente
ser uma questo de bom senso e experincia ser benfica em
chegar a resultados realistas.
A avaliao de risco pode ser quantitativa ou qualitativa, ou, como
usualmente o caso, uma combinao de ambos, ou semi-quantitativa.
Se a avaliao quantitativa ou qualitativa baseada em
uma variedade de factores, incluindo os tipos de risco e impacto e
se eles podem ser prontamente reduzida a um nmero significativo.
A principal diferena na abordagem se o risco determinado pela
mtodos computacionais, como a expectativa de perda anual (ALE)
ou valor em risco (VAR) para tentar chegar a valores especficos ou
se julgamento e experincia usada para colocar em risco alguns
, como baixo, mdio ou alto. Deve ser entendido que
todas as avaliaes de risco ser, em grande medida, ser qualitativa,
depender de estimativas subjetivas, relevncia e resultados.
Quantitativo -Uma das vantagens de uma avaliao quantitativa do risco
A anlise que pode proporcionar uma medida aproximada da
magnitude do impacto, geralmente em termos financeiros. Esta medida, em
por sua vez, pode ser usado na anlise de custo-benefcio do recomendado
controlos. Embora uma abordagem computacional pode ser utilizado para se
chegar
em vrios aspectos de risco, a abordagem , contudo, qualitativa
e subjetivos, at certo ponto. Os valores utilizados esto tambm sujeitos a
especulao e resultados considerveis devem proporcionar margens de
largura
de erro. Deve ser entendido que alguns dos riscos e impactos, tais como
risco de reputao ou o impacto das sanes regulamentares ou legais (tais
como acusao de negligncia criminosa), no pode ser quantificado.
Qualitativa -A avaliao de risco qualitativa pode ser mais fcil
executar e pode permitir a priorizao de risco, bem como ser til
na identificao de reas de vulnerabilidades que exigem imediata
ateno. A abordagem envolve a classificao de risco relativo de uma base
refletindo de baixo risco e alto risco. Esta abordagem de avaliao utiliza
diferentes cenrios de risco e classifica a gravidade das ameaas
ea criticidade e sensibilidade dos ativos. Baseia-se
julgamento, intuio e experincia, em vez de nmeros e
valores financeiros.
Pgina 94

Seo Dois: Contedo
90
Semiquantitativa -A avaliao de risco tpico, muitas vezes, usar um
combinao de ambos os mtodos quantitativos e qualitativos. Isto
tornando-se um popular abordagem de primeira etapa de avaliao de risco,
devido
a velocidade e baixa complexidade do processo e uma amostra desta
e vrias outras abordagens fornecido na seo 2.10.
Qualquer que seja a abordagem ou combinao de abordagens usado,
estimativas devem permitir a gama de probabilidade de erro no processo
si. Em outras palavras, uma vez que a avaliao de riscos baseia-se em
previses
de eventos futuros e sua frequncia e magnitude, prudente
considerar a gama de resultados provveis para assegurar que o
pior cenrio no vai resultar em um resultado catastrfico.
Com esta ressalva, os resultados mais provveis deve ser o primrio
considerao, de modo a evitar uma reaco exagerada a altamente
improvvel
eventos. Por exemplo, quando se considera de risco ambiental, sendo
atingido por um cometa, enquanto possvel altamente improvvel e
improvvel que ela ir merecer quaisquer esforos significativos de mitigao
de
menos para uma instalao terrestre. Alm disso, seria difcil
mitigar o risco e por isso geralmente apenas aceito.
Pode ser til considerar que o sucesso de qualquer risco
processo de gesto , at certo ponto dependente da
viabilidade do processo em si. Um dos factores importantes o
custo e complexidade da execuo do processo. Tal como acontece com
outros
aspectos da segurana, importante encontrar o melhor custo-benefcio
equilibrar entre preciso, complexidade e custo.
Dependendo do tipo de organizao e maturidade no que diz respeito
gesto de riscos, um processo de gesto de risco simples pode ter um
maior chance de sucesso, em seguida, um problema complexo. Um processo
simples tem
a vantagem de demonstrar os benefcios a um custo mais baixo.
2.4.1 A importncia da Gesto de Risco
A gesto do risco para os recursos de informao um direito fundamental
funo de segurana da informao. Ele fornece a base racional e

justificativa para virtualmente todas as atividades de segurana da informao.
A segurana da informao como uma disciplina existe para gerenciar o risco
para
confidencialidade, integridade e disponibilidade da informao. Eficaz
gesto de riscos um dos principais objetivos do governo
como discutido no captulo 1, seo 1.4.2, bem como a chave para
gerenciamento de requisitos regulamentares. A segurana da informao
fornece
um nvel de garantia para as atividades de negcios, gerenciamento de risco
para
nveis aceitveis e adequadas para a misso da empresa
ou organizao. Sem determinao e, posteriormente, analisar
o espectro de risco para uma dada actividade, no possvel
para determinar o custo potencial ou impacto de um evento em particular e,
conseqentemente, como determinar as medidas de mitigao apropriadas.
A eficcia da gesto de risco vai depender do grau
de que uma parte da cultura de uma organizao e torna-se
responsabilidade de todos.
A concepo e implementao do processo de gesto de riscos
na organizao ser influenciada por:
a cultura da organizao;
misso e objetivos da organizao;
a estrutura organizacional
seus produtos e servios;
seus processos de gesto e operao;
prticas organizacionais especficos;
as condies fsicas, ambientais e regulatrias.
2.4.2 resultados de Gesto de Risco
A gesto eficaz de riscos serve para reduzir a incidncia
impactos adversos significativos sobre a de uma organizao, seja por
enfrentar as ameaas, mitigar a exposio e / ou pela reduo
vulnerabilidade ou de impacto. Na medida em que isso feito, o risco
gesto proporciona um nvel de previsibilidade que suporta o
a capacidade da organizao para operar de forma eficaz e rentvel.
Como foi dito no captulo 1, um dos resultados da boa governao
a gesto de riscos eficaz, ou seja, a execuo de medidas adequadas
para mitigar o risco e reduzir os impactos potenciais sobre a informao
recursos para um nvel aceitvel e proporcionando um:
Compreenso da organizao ameaa, vulnerabilidade e
perfil de risco
Entendimento da exposio ao risco e as consequncias potenciais de
compromisso
conscincia das prioridades de gesto de risco com base em potencial
conseqncias
estratgia de mitigao de risco organizacional suficiente para alcanar

conseqncias aceitveis de risco residual
aceitao Organizacional / deferncia com base no entendimento
das conseqncias potenciais de risco residual
evidncias mensurveis de que os recursos de gerenciamento de risco so
utilizados em
forma adequada e rentvel.
Estratgia de gesto de risco 2,5
Uma estratgia de gesto de risco, para ser eficaz, deve ser um sistema
integrado
processos de negcios com objetivos definidos, que incorpora todas
dos processos de gesto de risco da organizao, atividades,
metodologias e polticas. Os jogos de estratgia de gesto de risco
os parmetros e traa o rumo para o risco da organizao
programa de gesto. Deve ser coerente e integrada
na estratgia global de governana da segurana. As informaes
estratgia de segurana, por sua vez deve ser baseada na organizao do
objetivos gerais e estratgia de negcios (amplamente discutido em
captulo 1).
Estratgias de gesto de risco so determinados por uma srie de
fatores internos e externos. Fatores internos incluiro
maturidade organizacional, histria, cultura, estrutura e risco
tolerncia. Vrios fatores externos, como o sector da indstria e legal
e requisitos regulamentares ter coletivamente uma significativa
efeito sobre o desenvolvimento de uma estratgia eficaz tambm.
A estratgia de gesto de risco deve incluir a determinao do ideal
aproximar para alinhar processos, tecnologia e comportamento. Deve-se levar
em conta todos os riscos credvel e toda a gama de opes para a sua
gesto adequada.
Pgina 95

Seo Dois: Contedo
91
2.5.1 Risco de comunicao, sensibilizao para os riscos
E CONSULTORIA
Para o gerenciamento do risco de se tornar parte da cultura da organizao,
ser necessrio para se comunicar e criar a conscincia da
questes em toda a organizao em cada etapa da gesto de riscos
processo.
A comunicao deve envolver todas as partes interessadas com os esforos
focada em consulta e desenvolvimento de um comum
compreenso dos objetivos e requisitos do programa.

Isto ir permitir que as variaes nas necessidades e percepes ser
identificadas e tratadas de forma mais eficaz.
2.6 eficaz de informaes de segurana de risco
AdministRao
Atividades de gerenciamento de riscos de segurana da informao eficaz
deve ser
apoiada em uma base contnua por todos os membros da organizao.
Apoio do Executivo ou C-suite d credibilidade e impulso ao risco
esforos de gesto. Mesmo o melhor concebido e implementado
controles no iro funcionar como pretendido se as operaes forem
realizadas
por pessoal descuidados, indiferentes ou no treinados. Um organizacional
cultura, que inclui prticas de segurana da informao de som acopladas
com o comprometimento da alta administrao para a gesto eficaz dos riscos
necessrio para atingir os objectivos do programa.
Alm disso, o pessoal deve compreender as suas responsabilidades e ser
treinados em procedimentos de controlo aplicveis. Compliance informao
controles de segurana devem ser testadas e aplicadas em um contnuo
base. O gerente de segurana da informao deve tambm considerar
desenvolvimento de abordagens para atingir um nvel de integrao com o
tipicamente numerosas atividades de outras partes do gerenciamento de risco
organizao. Estes podem incluir legais, instalaes, segurana fsica,
RH, auditoria, e privacidade e atividades de conformidade.
2.6.1 Desenvolver um Programa de Gesto de Riscos
Os passos iniciais para o desenvolvimento de um programa de gerenciamento
de riscos ser
incluem o estabelecimento de:
Contexto e objetivo do programa
mbito e fretamento
identificao, classificao e posse
Objetivos
A metodologia a ser utilizada
A equipe de implementao
Estabelecer Contexto e Objetivo
Todas as organizaes enfrentam uma srie de riscos em uma base contnua e
deve lidar com ele formal ou em um ad hoc base. Gerenciando
o risco para a segurana da informao , em maior ou menor extenso
geralmente a responsabilidade do gerente de segurana da informao. A
exigncia principal determinar o propsito da organizao
para a criao de um programa de gesto de riscos de segurana da
informao,
determinar os resultados desejados e definir objetivos. Poderia
ser um esforo limitado para reduzir os impactos de ataques baseados na
Internet
e os acidentes ou para garantir o cumprimento legal ou regulamentar

requisitos. Se a gesto de risco formal no est estabelecida,
o programa pode ser muito mais ampla e abranger todos os aspectos da
atividade organizacional com responsabilidades distribudas entre
vrios departamentos. Se a organizao tem um ou mais existente
funo (s) de gesto de risco, necessrio determinar como
funes de gerenciamento de risco da informao ser integrado com
essas outras funes e responsabilidades divididas.
Definindo o contexto de gerenciamento de riscos envolve principalmente
definio
a organizao, processo, projeto ou atividade, escopo e
estabelecer metas e objetivos. Uma discusso de contexto pode ser
encontradas na seo 2.8.5.
Como discutido no captulo 1, para estabelecer um programa eficaz,
um elemento essencial ser determinar a organizao do
tolerncia ao risco ou apetite, ou seja, o que considerado por
gesto a ser um nvel aceitvel de risco. Cada organizao
tem uma tolerncia ao risco diferente para a quantidade eo tipo de risco que
considera aceitvel e este susceptvel de variar por departamento
ou unidade organizacional. Isto , inevitavelmente, um negcio
deciso com base em uma srie de critrios, incluindo a misso e
cultura, em vez de medidas quantitativas especficas. Tipicamente,
gesto executiva, com o conselho de administrao, define a
tom para o programa de gesto de riscos. Esse "tom no topo"
um componente importante da responsabilidade da administrao para
governana corporativa. Como em todos os outros aspectos da segurana, um
topabordagem para baixo ser substancialmente mais eficaz do que um fundo de
up abordagem, onde os gerentes de nvel mais baixo tentar influenciar o
organizao. Os funcionrios geralmente olham para a gerncia snior para
determinar quais questes merecem a maior prioridade.
Definir o escopo e Carta
Uma vez que todos os departamentos e unidades operacionais na organizao
ter algum nvel de responsabilidade pela gesto dos riscos,
importante definir claramente o mbito de responsabilidade e
autoridade que cai especificamente para a segurana da informao
gerente e outras partes interessadas. Isso ajuda a evitar lacunas na
processo, melhora a coerncia global dos esforos de gesto de risco
e reduz a duplicao desnecessria de esforos.
Note-se que uma vez que praticamente toda a segurana de informaes
atividades so, de alguma forma relacionado com a gesto do risco, este
exerccio
deve mapear de perto para as responsabilidades do trabalho do gerente de
segurana.
Independentemente do mbito de responsabilidade da segurana da

informao
gerente, o escopo total para a gesto de risco precisa ser definido
e os objectivos globais determinado.
Enquanto muitas partes da organizao ser responsvel por
alguns aspectos da gesto de riscos, as principais reas de informao
segurana tipicamente interface com a segurana fsica, operacional
risco, ou de TI e gesto de negcios. A interface com estes
reas podem, s vezes, ser contencioso devido falta de objetivos comuns
e mal mbito das responsabilidades definidas. Um exemplo de um
rea que precisa ser definido determinar quem o responsvel
para garantir que as informaes confidenciais no sejam deixados em
estaes de impresso,
resultando em divulgao no intencional ou documentos confidenciais
no sendo picado antes de ser descartado (para evitar lixo
mergulho). Enquanto este exemplo pode parecer trivial, importante
do ponto de vista da segurana da informao. Alm disso, em
qualquer organizao, existem inmeros pontos de interseco
segurana da informao, segurana de TI, instalaes e segurana fsica
como
assim como outros fornecedores de garantia e importante que as zonas
da respectiva autoridade e responsabilidade esto claramente definidos.
Pgina 96

Seo Dois: Contedo
92
Identificao, classificao e propriedade
Para adequadamente escopo e priorizar a gesto de riscos
esforos, necessrio garantir que uma completa e precisa
existe registro de informaes de ativos. Como parte da identificao
processo, imperativo que todos os casos de ativos de informao
ser localizado.
Alm disso, os ativos de informao precisam ser classificados em termos
de sensibilidade e criticidade para a organizao. (Veja 2.11.3,
Classificao de Ativos de Informao.)
Tambm essencial para garantir que todos os ativos de informao tm um
proprietrio identificado com responsabilidades especficas para o
gerenciamento de risco
para todos os ativos. Isso ajudar a promover a responsabilidade pelo
cumprimento
com conformidade com as polticas e os requisitos de gesto de risco
toda a organizao. Polticas que exigem a posse de bens

devem estar no lugar, bem como os processos estabelecidos para atribuir
propriedade como ativos so adquiridos, transferidos ou criados.
Determinar os Objetivos
Objetivos e prioridades para o risco de informaes claras
programa de gesto so essenciais. Enquanto os objetivos finais,
ou estado desejado, pode ser a atenuao todo o risco de nveis aceitveis,
mesmo que isso fosse possvel, as limitaes de recursos far com que
improvvel. Como resultado, ser necessrio definir prioridades para o
programa e priorizar riscos em conformidade. Em outras palavras, alguns
tipos de risco no pode ser tratada e deve ser aceita, alguns
pode esperar, e alguns devem ser tratadas imediatamente. Claro,
antes de risco podem ser priorizados, a sua probabilidade e impacto deve
ser determinado por meio de anlise de risco. As prioridades podem, ento,
ser fixado,
comeando com os tipos de risco que esto determinados a ter um alto
probabilidade, bem como um elevado impacto e trabalhando para baixo a
partir da.
Determine Metodologias
Existem muitas abordagens para apreciao, anlise e mitigao
risco. As sees a seguir ir discutir alguns dos mais
abordagens comuns para essas atividades. Em muitas organizaes,
abordagens padro j esto em vigor e deve ser usado se
eles so adequados para o efeito. Se estas prticas no tenham sido
inadequada, o gerente de segurana da informao estabelecidas ou so
deve avaliar as opes disponveis e procurar implementar os
que so os melhores para a organizao.
Designar Programa Equipe de Desenvolvimento
Uma vez que o escopo da gesto de riscos de segurana da informao
atividades definido e os objetivos so esclarecidas, o prximo passo
designar uma pessoa ou equipe responsvel pelo desenvolvimento
e implementao da gesto de riscos de segurana da informao
programa. Enquanto a equipe o principal responsvel para o risco
plano de manejo, um programa bem sucedido requer a integrao
da gesto de riscos em todos os nveis da organizao. Operaes
funcionrios e membros do conselho (atravs de um descuido ou de direo
comisso) dever facilitar o comit de gesto de risco em:
identificao de riscos, determinar os nveis de risco aceitveis,
desenvolvendo
perda de controle e estratgias de interveno adequadas, e determinar
onde a autoridade ea responsabilidade para vrios aspectos de risco
gesto residir. De importncia primordial a necessidade
para o programa de gesto de risco de ser devidamente alinhada com a
estratgia e direo do negcio. Por esta razo, fundamental que
participao incluir representantes de todas as unidades de negcios.
2.6.2 Funes e responsabilidades

Gesto de riscos de segurana da informao uma parte integrante da
governana de segurana e que da responsabilidade do conselho de
administrao
de administrao ou o equivalente para garantir que esses esforos so
eficaz. Relatrios peridicos sobre os esforos e eficcia de
atividades de gerenciamento de risco deve ser obrigado a fornecer o
feedback necessrio para garantir que a inteno gesto, direo e
expectativas so realizados.
A gerncia executiva dever assegurar a disponibilidade de adequado
recursos e apoio para atividades de gerenciamento de risco e devem
receber relatrios de status em uma base peridica e orientada a eventos.
Comunicao orientada a eventos exigir envolvimento gesto
para determinar a natureza e gravidade que desencadeia um relatrio.
A administrao tambm deve ser envolvido e assinar aceitvel
nveis de risco, bem como os objectivos de gesto de risco. A direo
comit composto por grandes atores, como definido no
captulo 1, deve definir as prioridades de gesto de risco e definir risco
objectivos de gesto em termos de apoio a estratgia de negcios.
O comit tambm deve ser cobrado com os nveis de desenvolvimento da
mitigao de risco aceitvel para vrios processos de negcio a ser
apresentadas alta administrao para um acordo. A definio dos nveis
risco de aceitvel e obter o apoio da alta administrao um
condio essencial para a gesto eficaz dos riscos.
O gerente de segurana da informao responsvel pelo desenvolvimento,
colaborao e gesto do risco de segurana da informao
programa de gesto para cumprir os objectivos definidos. O
gerente de segurana da informao tambm devem assumir a
responsabilidade de
manter ligaes com outras equipes de gesto de riscos e
atividades de garantia da organizao para promover a integrao
de atividades e fornecer um nvel eficaz e coordenada de
garantia de processo de negcio.
Principais Funes
A gesto de risco uma responsabilidade de gesto. Os EUA
Instituto Nacional de Cincia e Tecnologia (NIST) Publicao
800-30 descreve os papis-chave do pessoal que ter que
apoiar e participar do processo de gesto de riscos. Enquanto
as especificidades de diferentes organizaes e diferentes pases
pode variar, essa viso de alto nvel geralmente so mapeados para a maioria
organizaes. Deve notar-se que, em muitos organismos
(Tais como instituies financeiras), o gerente de segurana da informao
agora ser o oficial de segurana da informao principal (CISO) com
status de nvel executivo, reportando-se diretamente para a gerncia snior.
Conselhos de Administrao e Diretoria- snior
gesto, sob o padro de diligncia e final

responsabilidade para o cumprimento da misso, deve garantir que
os recursos necessrios sejam efetivamente aplicadas para desenvolver o
capacidades necessrias para cumprir a misso. Eles tambm devem
avaliar e incorporar os resultados da atividade de avaliao de risco
no processo de tomada de deciso. Uma gesto eficaz dos riscos
programa que avalia e mitiga TI relacionados com risco de misso
requer o apoio e envolvimento da alta administrao.
Chief Information Officer- As informaes chefe
Officer (CIO) responsvel pelo planejamento de TI, oramento e
desempenho, incluindo os seus componentes de segurana da informao.
As decises tomadas nestas reas deve ser baseada em uma eficaz
programa de gesto de riscos.
Pgina 97

Seo Dois: Contedo
93
Security Information Manager- A segurana da informao
gerentes so responsveis pela sua organizations'security
programas, geralmente incluindo a gesto de riscos da informao.
Portanto, eles desempenham um papel de liderana na introduo de um caso,
metodologia estruturada para ajudar a identificar, avaliar e minimizar
corre o risco de os sistemas de TI que suportam os seus
organizations'missions.
Gestores de segurana da informao tambm atuam como principais
consultores em
apoio da alta administrao para assegurar que esta actividade tem
colocar em uma base contnua.
Sistema de Informao e proprietrios- O sistema e
proprietrios de informao so responsveis por garantir que adequada
controles esto no local para atender a integridade, confidencialidade e
disponibilidade dos sistemas de TI e os dados que possuem. Tipicamente, o
sistema de informao e os proprietrios so responsveis por alteraes a
seus sistemas de TI. Assim, eles geralmente tm que aprovar e assinar
sobre alteraes em seus sistemas de TI (por exemplo, melhoria do sistema e
grandes mudanas para o software e hardware). O sistema e
proprietrios de informao deve, portanto, compreender o seu papel na
processo de gesto de risco e totalmente apoiar este processo.
Negcios e Gerentes Funcionais- Os gestores
responsvel pelas operaes de negcios e aquisio de TI
processo deve ter um papel activo na gesto de risco
processo. Esses gerentes so os indivduos com autoridade

e responsabilidade para tomar as decises de trade-off essencial
para o cumprimento da misso. O seu envolvimento no risco
processo de gesto possibilita a obteno de uma segurana adequada
para os sistemas de TI, que, se for gerida de forma adequada, proporcionar
a eficcia da misso com um gasto mnimo de recursos.
IT Security Practitioners- profissionais de segurana de TI (por exemplo,
rede, sistema, aplicao e administradores de banco de dados;
especialistas em informtica; analistas de segurana; consultores de
segurana) so
responsvel pela correcta aplicao dos requisitos de segurana
em seus sistemas de TI. Como as mudanas ocorrem no sistema de TI
existente
ambiente (por exemplo, a expanso em conectividade de rede, as mudanas
infra-estrutura existente e polticas organizacionais,
introduo de novas tecnologias), profissionais da segurana de TI
deve apoiar ou usar o processo de gesto de risco para identificar e
avaliar novo risco potencial e implementar novos controles de segurana
conforme necessrio para proteger seus sistemas de TI.
Formadores de conscientizao de segurana (Segurana / Matria
Profissionais) - O pessoal da organizao so os usurios
dos sistemas de TI. O uso dos sistemas de TI e dados de acordo
de polticas, diretrizes de uma organizao e regras de comportamento
fundamental para mitigar o risco e proteger a organizao de
Recursos de TI. Para minimizar os riscos para os sistemas de TI, essencial
Esse sistema de aplicao e usurios ser fornecido com segurana
treinamento de conscientizao. Portanto, os formadores de segurana de TI
ou
profissionais matria de segurana / sujeitos devem entender o risco
processo de gesto, para que possam desenvolver apropriado
materiais de treinamento e avaliao de risco incorporar em treinamento
programas para educar os usurios finais.
2.7 Segurana da Informao risco
Conceitos de gesto
Gesto de risco global na maioria das grandes organizaes fornecido
por um ou mais departamentos separados. O conhecimento do assunto
a matria , no entanto, necessrio para ser eficaz e, como conseqncia,
a gesto do risco de segurana da informao geralmente cai no
gerente de segurana da informao. Para ser eficaz, as informaes
gerente de segurana requer um amplo entendimento de um nmero
de conceitos fundamentais para a segurana e gesto de riscos.
Isto inclui tcnico, estratgico, ttico, administrativa e
elementos operacionais. Alguns dos principais conceitos so discutidos em
a seco seguinte.
2.7.1 Conceitos
H uma srie de conceitos-chave que um gerente de segurana

deve estar familiarizado com que so necessrios para entender este captulo
e seu uso no contexto de gesto de riscos. Mais informao
gerentes de segurana vai estar familiarizado com estes conceitos, mas ele vai
ser til para rever as definies no glossrio para garantir uma clara
entendimento das definies necessrios para obter os melhores resultados na
exame de certificao. Estes conceitos so:
Ameaas
Vulnerabilidades
Exposies
Risco
Impactos
Controles
Contramedidas
valorizao de recursos
classificao de ativos Informaes
Criticidade
Sensibilidade
Objetivos de Tempo de Recuperao (RTOs)
Objetivos de ponto de recuperao (RPOs)
Objetivos Prestao de Servios (SDOs)
Janela Interrupo Aceitvel (AIW)
Redundncia
Outras funes de gesto de riscos relacionados segurana da informao
que deve ser entendido pode incluir:
acordos de nvel de servio (SLAs)
Sistema de robustez e resistncia
recuperao de continuidade de negcios / desastre
reengenharia de processos de negcios
prazos de gesto de projetos e complexidade
arquiteturas empresariais e de segurana
TI e governana da segurana da informao
Sistemas de gesto de ciclo de vida
Polticas, normas e procedimentos
2.7.2 Tecnologias
H tambm uma variedade de tecnologias de segurana da informao e
conceitos tcnicos que so importantes para a segurana da informao
gestor ter uma compreenso conceitual completa de como eles
dizem respeito gesto de riscos. Algumas delas incluem:
Aplicao das medidas de segurana
Medidas de segurana fsica
controles ambientais
controles de acesso lgico
controles de acesso de rede
Os roteadores, firewalls e outros componentes de rede (pontes,
gateways)
Deteco de intruso / preveno
Segurana sem fio
Plataforma de segurana
Pgina 98

Seo Dois: Contedo
94
Criptografia e infra-estrutura de chave pblica (PKI)
Antivrus / malwares
Spyware / adware
dispositivos Antispam
Telecomunicaes e voz sobre IP (VoIP)
Alm disso, enquanto o pessoal e as instalaes de segurana no pode ser
parte
de um programa de gesto de risco, estas so reas de risco que precisam
a ser considerado como parte da gesto de riscos. As informaes
gestor de segurana deve estar ciente e fator de questes de pessoal
e de pessoal controles de segurana, bem como do meio ambiente e
controles de instalaes, como parte da avaliao de risco e gesto
actividades.
2.8 Implementao de Gesto de Risco
Como parte do planejamento de um programa de gerenciamento de risco, a
informao
gestor de segurana deve identificar todos os outros riscos organizacionais
actividades de gesto e procurar integrar estas funes ou
alavancar as atividades dentro do contexto da segurana da informao
programa. As organizaes maiores costumam ter uma gesto de risco
funo que lida com atividades tipicamente relacionadas fsica
risco. No caso das instituies financeiras, existe tambm normalmente uma
departamento de lidar com o risco de crdito. Outros departamentos ou
funes, tais
como recursos humanos e oficiais de privacidade, e as funes de compliance
tais como auditoria geralmente esto envolvidos na gesto de risco dentro do
organizao. Para ser eficaz, fundamental que os mecanismos de ser
colocado em
para garantir uma boa comunicao com outro de gesto de risco
e as funes de garantia. Isto para assegurar que outro modo eficaz
gesto de riscos de segurana da informao no ignorado ou subvertido
pela falta de processos eficazes em outros domnios. Tambm previne
duplicao de esforos e minimiza falhas nas funes de garantia que
pode afetar negativamente as atividades de proteo da informao, bem

como outros
reas de risco operacional e de negcios.
2.8.1 Risco de gerenciamento de processos
A gesto de riscos o processo, diferente da avaliao de risco,
de ponderar alternativas polticas, em consulta com as partes interessadas
partes, avaliao de riscos, considerando e outros fatores e
seleo de preveno e controle opes apropriadas que tm
custos aceitveis.
A gesto de riscos geralmente consiste dos seguintes processos:
Estabelecer escopo e os limites
Avaliao de risco
tratamento de Risco
A aceitao do risco residual
comunicao e monitoramento de risco
Estes processos so definidos como se segue:
Estabelecer escopo e os limites- Processo para a
estabelecimento de parmetros globais para o desempenho de risco
gesto dentro de uma organizao. Tanto interna e externa
factores devem ser tidos em conta.
avaliao de risco Um processo metdico que consiste em trs
etapas: identificao de riscos, anlise de risco e avaliao de risco.
Risco tratamento processo de seleo de estratgias para lidar com
identificou riscos, de acordo com business'risk apetite. Tratamento de Risco
estratgias so: evitar, por cessao de atividades de risco, mitigao,
atravs do desenvolvimento e implementao de controles, transferindo o
risco para um
terceiros, o que pode estar dentro ou fora da organizao, e
risco de aceitar. Risco geralmente ser aceito se no houver uma boa relao
customaneira eficaz para mitig-la, se h pouca exposio ou potencial
impacto, ou se ele simplesmente no possvel abord-la de forma eficaz.
A aceitao do risco residual- aceitao de risco pode ser definida
como a deciso e aprovao pela administrao para aceitar a
conclui-se o risco restante aps o processo de tratamento.
A comunicao de risco e monitoramento em um processo de
intercmbio e compartilhamento de informaes relacionadas ao risco, bem
como
analisar a eficcia de toda a gesto de riscos
processo. Comunicao de risco normalmente realizada entre
decisores e outras partes interessadas dentro e fora da
organizao. Atravs da comunicao e monitoramento
certeza de que o escopo, limites, riscos e medidas avaliadas
planos de permanecer relevante e atualizado.
O processo de gesto de risco mostrada na exposio 2.2
Desenvolvendo, um risco analtica e sistemtica contnua

processo de gesto, como mostrado na exposio 2.3 fundamental para
qualquer
programa de segurana bem sucedida e deve ser implementado como um
formais
processo. Determinar o nvel correto ou adequado de segurana
dependente do potencial risco de que uma organizao enfrenta, o
impacto potencial e capacidade da organizao para aceitar ou no
mitigar o risco. O risco pode ser exclusivo para cada organizao.
O gerente de segurana da informao deve configurar uma regular,
processo formal em que as avaliaes de risco so realizadas no
nveis de organizao, sistemas e aplicaes. A garantia de que
existem medidas (mtricas) no local para avaliar o risco e
a eficcia das medidas de segurana parte da informao
responsabilidade permanente do gerente de segurana. As informaes
gerente de segurana tambm deve investigar e recomendar ao ativo
MANUAL contnua e tcnicas automatizadas para monitorar
de risco da organizao. Este processo de avaliao de riscos importante
uma vez que necessrio concentrar as atividades de segurana da
organizao
sobre questes que tm o maior impacto e significado.
Generalizao atravs da aplicao de fatores de risco em todos os setores
ou regies devem ser evitados. Alm disso, a eficcia
de um programa de segurana da informao frequentemente desafiado por
organizacional, tecnolgico e empresarial / mudana operacional.
A gesto de riscos deve ser um processo contnuo e dinmico de
garantir que a mudana de ameaas e vulnerabilidades so abordados de uma
tempo hbil.
Alm disso, os processos devem ser desenvolvidos para monitorar o status de
controles de segurana e contramedidas para determinar seu curso
eficcia. Controles normalmente degradar ao longo do tempo e esto sujeitas a
fracasso, exigindo monitorizao do controlo contnuo e testes peridicos.
2.8.2 Definio de um quadro de Gesto de Risco
Para desenvolver uma gesto de risco sistemtico de uma organizao
programa, um modelo de referncia deve ser usado e adaptado para
as circunstncias da organizao. O modelo de referncia
ir refletir o "estado desejado" discutido no captulo 1, ou seja,
um instantneo de um estado futuro que atenda toda a gesto de risco
objetivos. Vrios excelentes publicao / padres esto disponveis
Pgina 99

Seo Dois: Contedo
95
para fornecer orientaes sobre a tecnologia da informao e segurana risco
abordagens de gesto. Os exemplos incluem:
COBIT 5
Gesto ISO 31000:2009-Diretrizes de risco sobre os princpios
e implementao da gesto de riscos
Guia de Gesto de Risco do NIST de Tecnologia da Informao
Systems, Publicao Especial 800-30
AS / NZS 4360:2004 Gesto de Risco Padro, agora
substituda pela ISO 31000:2009
HB 436:2004 Diretrizes de Gerenciamento de Riscos companheiro para
AS / NZS 4360:2004
Risco ISO / IEC 27005:2008 Norma de Segurana da Informao
Gesto
As normas referenciadas acima tm gerenciamento de risco semelhante
requisitos, tais como:
Poltica -A necessidade de gerenciamento snior de uma organizao /
liderana executiva para definir e documentar a sua poltica de risco
gesto, incluindo objectivos e seu compromisso
para, de gesto de risco. A poltica deve ser relevante para o
contexto estratgico, metas da organizao, objetivos e da natureza
de seus negcios. A administrao deve assegurar que essa poltica
compreendida e que as normas so desenvolvidas, implementadas e
mantida em todos os nveis da organizao.
Planejamento e mobilizao de recursos , responsabilidade, autoridade e
inter-relaes do pessoal que executa e verifica o trabalho
Anexo 2.2-Risco Process Management
2008 Tecnologias da Informao Segura. Todos os direitos
reservados. Usado com permisso.
Anexo Passos 2,3 contnuo de Gerenciamento de Riscos
Estabelecer escopo e os limites
Identificao
Anlise
Avaliao
Evitar
Reduzir
Transferncia
Reter
Aceitar Risco Residual
Comunicao de Risco e Monitoramento
Avaliao de Risco
Tratamento de Riscos
Identificar e Avaliar
Risco
Monitoramento proativo
Desenvolver Risco
Plano de Gesto
Implementar Risco
Plano de Gesto
Apetite ao Risco
Identificar a causa raiz de Risco
Reviso regular necessrio:
mudanas de risco ao longo do tempo
Contramedidas pode no ser
seguido / apropriado
Contramedidas pode ter
abriu novo risco
Controle de Qualidade
Pgina 100

Seo Dois: Contedo
96
afetando a gesto de riscos devem ser definidas e documentadas. O
organizao deve identificar as necessidades de recursos e facilitar
a implementao de programas de gesto de risco, por meio da
cesso de pessoal qualificado para a gesto contnua de trabalho
atividades e as actividades de verificao para reviso interna.
Implementao do programa -A organizao deve definir
os passos necessrios para implementar uma gesto de riscos eficaz
sistema.
reviso de Gesto gesto do Executivo deve garantir
reviso peridica do sistema de gesto de risco, a fim de
garantir a sua estabilidade e eficcia contnua em satisfazer
requisitos do programa. Os registros de tais comentrios devem ser
mantida.
A gesto de riscos processo de gesto de risco pode ser aplicada
em ambos os nveis estratgicos e tticos da organizaoprodutos / servios, negcios / processos de TI, projetos, decises,
aplicaes e plataformas. A organizao deve priorizar
tratamento do risco individual de acordo com a organizao do
objetivos de negcios, tolerncia ao risco e quadro regulamentar
para a indstria dado.
documentao de gerenciamento de risco -Para cada etapa do
processo, registos adequados devem ser mantidos que so suficientes para
satisfazer uma auditoria independente.
Ao estabelecer o enquadramento para a gesto de risco, a

parmetros bsicos dentro dos quais riscos devem ser gerenciados so
definidos.
Consequentemente, a margem para o resto da gesto de riscos
processo tambm definida. Ele inclui a definio dos pressupostos bsicos
para o ambiente externo e interno da organizao, ea
objetivos gerais do processo e as atividades de gerenciamento de riscos.
Embora a definio do escopo e estrutura so fundamentais
para o estabelecimento de gerenciamento de riscos, eles so independentes
a partir da estrutura particular do processo de gesto, mtodos
e ferramentas a serem utilizadas para a implementao.
A fim de definir um quadro eficiente, importante:
Compreender o plano de fundo da organizao e seu risco (por exemplo,
seus principais processos, ativos valiosos, reas competitivas, etc);
Avaliar as atividades de gerenciamento de riscos existentes
Desenvolver uma estrutura e um processo para o desenvolvimento de risco
iniciativas e controles de gerenciamento
Esta abordagem til para:
Esclarecer e obter entendimento comum do
objetivos organizacionais;
Identificar o ambiente em que estes objectivos esto definidos;
Especificar o mbito e os objectivos de gesto de risco principal,
restries aplicveis ou condies especficas e os resultados
requerido;
Desenvolver um conjunto de critrios que o risco ser
medido;
Definio de um conjunto de elementos-chave para a estruturao do risco
processo de identificao e avaliao.
O programa de gesto de riscos deve ser integrado com o
sistema global de gesto da organizao e, sempre que
possvel, deve adaptar-se vrios elementos, tais como polticas,
processos organizacionais, prestao de contas, recursos e
mtodos, s suas necessidades especficas de comunicao.
Muitas prticas e processos de gesto organizations'existing
incluir elementos de gesto de riscos e muitas organizaes
j adotaram um processo de gesto de risco formal para
determinados tipos de risco ou circunstncias. Estes devem ser
criticamente revistos e avaliados para determinar se eles se encontram
objetivos e requisitos atuais.
2.8.3 definir o ambiente externo
Definindo o ambiente externo inclui a especificao do
ambiente em que a organizao opera. O externo
ambiente inclui tipicamente:
O mercado local, a empresa eo competitivo, financeira e
ambiente poltico;
A lei e ambiente regulatrio;

condies sociais e culturais;
As partes interessadas externas.
Tambm importante que tanto as percepes e valores da
vrias partes interessadas e todas as ameaas geradas externamente e / ou
oportunidades so devidamente avaliados e levados em considerao.
2.8.4 definir o ambiente interno
As principais reas que devem ser avaliados, a fim de fornecer um
viso abrangente do ambiente interno da organizao
incluem:
drivers de negcio-chave (por exemplo, indicadores de mercado,
competitivo
avanos, atratividade do produto, etc);
Os pontos fortes da organizao, fraquezas, oportunidades e
ameaas;
partes interessadas internas;
Estrutura organizacional e cultura;
Ativos em termos de recursos (isto , pessoas, sistemas, processos,
de capital, etc);
Metas e objetivos e as estratgias j existentes para
alcan-los.
2.8.5 determinando o contexto de Gesto de Risco
Em termos de negcios, o processo de gerenciamento de risco deve fornecer
um
equilbrio entre custos e benefcios. O contexto o escopo
atividades de gerenciamento de riscos e do ambiente em que o risco
gesto opera, incluindo a estrutura organizacional e
cultura.
Determinar o contexto de gerenciamento de riscos envolve a definio da:
alcance da organizao e os processos ou atividades para
ser avaliadas;
durao;
escopo completo das atividades de gesto de riscos;
papis e responsabilidades das vrias partes da organizao
participar do processo de gesto de riscos.
Os critrios pelos quais os riscos sero avaliados tem que ser decidido
e acordado. Decidir se o tratamento do risco necessria
geralmente baseado no operacional, tcnico, financeiro, regulatrio,
critrios legais, sociais ou ambientais ou combinaes deles.
Os critrios devem ser de acordo com o escopo e qualitativa
anlise de polticas e procedimentos internos da organizao, e
deve apoiar suas metas e objetivos.
Pgina 101

Seo Dois: Contedo
97
Critrios importantes a serem considerados so:
impacto dos tipos de consequncias que sero considerados;
probabilidade
as regras que iro determinar se o nvel de risco tal que
outras atividades de tratamento so necessrios.
Estes critrios podem precisar alterar durante as fases posteriores do risco
processo de gesto, como resultado da alterao das circunstncias ou como
um
conseqncia da avaliao do risco e processo de avaliao em si.
2.8.6 anlise de lacunas
Anlise Gap no contexto da gesto de risco refere-se geralmente
para determinar a diferena entre os controles e objetivos de controle.
Objectivos de controlo deveria ter sido desenvolvido como uma consequncia
de desenvolvimento de governana da segurana da informao e estratgia
como
discutido no captulo 1.
No entanto, os objetivos de controle podem mudar como parte do risco
atividades de gerenciamento de riscos, como os objetivos de negcios, ou
regulamentos mudam, o que poderia criar uma lacuna entre o existente
controle e seus objectivos revistos. Periodicamente, analisando a diferena
entre os controles e seus objetivos deve ser uma prtica padro.
Isto normalmente realizado como uma parte do processo de controlos
testes de eficcia. Na medida em que a eficcia dos controlos
cai fora da tolerncia de riscos, os controlos podem precisar de ser
modificados,
redesenhado, ou complementadas com atividades de controle adicionais. Para
mais informaes sobre a relao entre os controles e controle
objetivos, ver captulo 3 seo 3.15.
2.8.7 Outros apoio organizacional
A indstria de segurana da informao fornece muitos assinatura
servios que um gerente de segurana da informao pode integrar em
um programa de segurana da informao. Esses servios ajudam a
alavancagem
conhecimentos dos prestadores de servios externos, sem atualmente atribuir
-lhes a responsabilidade pela execuo de qualquer parte do programa de
segurana.
H:
Boas prticas de organizaes -Organizaes como a ISACA,
SANS, ISC2 podem ser fontes valiosas de dados de comparao com
que para avaliar um programa de segurana da informao.
mesas redondas de redes de segurana -Estas organizaes

tentar reunir os profissionais de segurana da informao de
indstrias semelhantes e organizar debates sobre temas de
interesse comum. Alguns so patrocinados por tecnologia de segurana
fornecedores para que haja nenhuma taxa, mas em vez disso pode haver
presso
para comprar o produto ou servio do fornecedor. Uma informao
gerente de segurana pode considerar restringir atendimento a
fruns patrocinados pelo fornecedor, se j cliente da
patrocinando fornecedor. Outros so baseados em taxa de adeso.
organizaes de formao de Segurana -Estas instituies fornecem
aulas sobre temas tcnicos em segurana da informao, tais como
anlise de vulnerabilidade e uma plataforma de configurao de segurana
estratgias.
Vulnerabilidade alertando servios -Estes servios permitem que
gestores de segurana da informao para manter uma lista de tecnologia
que est em uso na sua organizao e receber notcias no que diz respeito
de vulnerabilidades encontradas em qualquer tecnologia na lista.
O campo de informao alteraes de segurana como a tecnologia
avanos, ea ameaa paisagem muda como evolui cibercrime
e novas leis e regulamentos so promulgadas. As informaes
gestor de segurana deve ter uma interao frequente com fontes
de novas informaes sobre os produtos, servios de segurana, ameaas,
vulnerabilidades, regulamentos, leis e tcnicas de gesto.
2.9 avaliao de risco e anlise
Metodologias
No h uma abordagem certo ou errado para a seleo de um
metodologia para a realizao de uma avaliao de risco. No entanto, o
resultados devem atender s metas e objetivos da organizao em
identificao da classificao de risco relativa de ativos crticos para o
negcio.
A avaliao de riscos o processo de analisar o cenrio de ameaas
e as vulnerabilidades dos ativos de informao da organizao
para determinar se a organizao tem exposio eo risco
de compromisso. Juntamente com qualquer BIA ou informaes de ativos
classificao para determinar criticalidade, a anlise resultante usado
como base para a identificao de controlos adequados e eficazes em termos
de custos ou
contramedidas para mitigar o risco identificado.
A anlise de risco o processo de combinar a vulnerabilidade
informaes recolhidas durante a avaliao ea ameaa
informaes obtidas de outras fontes para determinar o risco de
comprometer tanto em termos de freqncia e magnitude potencial.
A anlise pode incluir clculos estatsticos, como VAR, ALE
ou retorno sobre o investimento em segurana (ROSI), a fim de obter maior
viso sobre a distribuio do risco, ou seja, o risco mximo e provvel

risco e / ou impacto.
Ver exposio 2.4 para identificar as relaes entre a anlise de risco,
avaliao de risco e gesto de risco.
2.10 Avaliao de Risco
No framework COBIT para avaliao de risco, ilustrado na
Anexo 2.5 , o primeiro passo na realizao da avaliao
determinar avaliao de ativos. Esta abordagem baseia-se na noo
que, se o valor for baixa, o risco de que pode no ser significativa e
so garantidos sem controles ou contramedidas. Assumindo uma
ativos de valor significativo, o prximo elemento a ser considerado
determinar o que as vulnerabilidades de perda ou dano existe.
Se existem vulnerabilidades, uma avaliao das ameaas viveis deve
ser realizada. Se o ativo tem valor, bem como as vulnerabilidades
susceptveis a ameaas viveis, ento existe o risco. Para esclarecer,
bvio que as vulnerabilidades para as quais no existem ameaas no
representam
risco. Outra maneira de olhar para ele que, quanto maior o valor, eo
maior for o nmero e grau de vulnerabilidades acoplado com um
maior nmero de ameaas viveis, maior o risco de perda.
Existem inmeros modelos de gesto de risco e avaliao
abordagens disponveis para o gerente de segurana da informao. O
abordagem escolhida ser determinada pela melhor forma, ajuste e
funo. Algumas delas incluem: COBIT, OCTAVE, NIST 800-30,
AS / NZS 4360-2004, ISO / IEC 31000 e ITIL e CRAMM.
H outras abordagens, bem como a anlise de factor
risco da informao (FAIR), anlise de fator de risco, o valor em risco (VAR),
etc, que pode ser mais adequado, dependendo da organizao e
os requisitos especficos.
Pgina 102

Seo Dois: Contedo
98
Qualquer que seja a abordagem usada para avaliar, avaliar e risco
classificao, o
prximo passo na gesto de riscos o processo de tratamento de risco (como
o risco avaliado tratado da organizao), discutido em
seo 2.10.10. O fluxo lgico do processo de tratamento do risco
AS / NZS Padro 4360 (agora substitudo pelo ISO / IEC 31000)
mostrados na exposio 2.6 .
Nota: os gestores de segurana da informao deve ter amplo
conhecimento da existncia de vrios mtodos para determinar

o mtodo mais adequado ou a combinao de mtodos para a sua
organizao. Abordagens especficas no vai ser testado no CISM
exame.
A abordagem de avaliao de risco desenvolvida pelo NIST demonstrado
na seco que se segue como um exemplo de um bem desenvolvido,
metodologia abrangente. Embora basicamente orientado para TI,
pode ser ampliado em escopo para incluir outros tipos de risco da informao.
2.10.1 nist risco Metodologia de Avaliao
A metodologia de avaliao de risco abrange nove
etapas principais:
caracterizao Passo 1-System (ou domnio geral)
Passo 2 Identificao de Ameaas
Passo 3-identificao Vulnerabilidade
Passo anlise 4-Control
Passo determinao 5 Probabilidade
Passo 6-anlise de impacto
Passo 7 determinao de risco
Passo recomendaes 8-Control
Passo 9 documentao de resultados
Passos 2, 3, 4, e 6, podem ser conduzidas em paralelo aps o Passo 1 tem
sido completada.
Anexo 2.7 apresenta estes passos e as entradas e sadas de
cada passo.
Ativos
Identificao
e Avaliao
Ameaa
Avaliao
Contramedidas
Vulnerabilidade
Avaliao
Risco
Avaliao
Ao
Plano
Controle
Avaliao
Residual
Risco
Anexo 2.5-Risk Analysis Framework
Fonte: ISACA, TI Guia de Implementao de Governana, 2
Ferramentas de Edio-Suplementar e Materiais , CD-ROM, EUA, 2007
Anexo 2.4-Relao entre Anlise de Risco, Avaliao de Riscos e Gesto

de Riscos
Anlise de Risco
Avaliao de Risco
Gesto de Riscos
A anlise de risco a identificao e estimativa
de risco.
A avaliao de risco definida como o processo de
identificar e priorizar riscos para a empresa. Ele
refere-se, principalmente, "fase de avaliao de risco"
dentro do maior ciclo de gesto de riscos.
Formas de anlise de risco parte do risco
avaliao de qual a avaliao do risco.
A gesto de riscos o esforo global para gerenciar
risco a um nvel aceitvel em toda a empresa. Ele
composto por quatro fases principais: Avaliando
risco, realizao de apoio deciso, implementando
controles e eficcia do programa de medio.
Guia ISO / IEC 73:2002 define o gerenciamento de risco
como: "atividades coordenadas para dirigir e controlar
uma organizao no que diz respeito ao risco. "
A gesto de riscos definida na AS / NZS
4360:1999 como "a cultura, processos e
estruturas que so direcionados para o eficaz
gesto de oportunidades potenciais e
efeitos adversos "e" a aplicao sistemtica
de polticas de gesto, procedimentos e
prticas para as tarefas de estabelecer o contexto,
identificao, anlise, avaliao, tratamento,
monitoramento e comunicao de risco ".
Nota: A gesto de riscos inclui tipicamente risco
avaliao, tratamento de riscos, aceitao de riscos e
comunicao do risco.
Perguntas tpicas de anlise de risco (para
entender a causa raiz do problema):
O que causou o problema?
O que isso afeta?
Quanto custa o problema?
Quem responsvel por corrigi-lo?
O que vai resolver o problema?
o "fix" vale a pena o investimento?
As questes subjacentes os de ineficaz
processos de negcios, pobre de negcios
administrao ou empregado insuficiente
capacidade?
Perguntas tpicas de avaliao de riscos:

Qual o problema?
Qual a importncia?
O que acontece se ignorar o problema?
Pgina 103

Seo Dois: Contedo
99
2.10.2 agregado e Cascading risco
Outro elemento que deve ser considerado o risco agregado.
Isso pode existir onde uma ameaa em particular afeta um grande nmero de
vulnerabilidades menores que, em conjunto, podem ter um significativo
impacto. Outra possibilidade que um grande nmero de ameaas pode
afetar simultaneamente uma srie de vulnerabilidades menores, resultando
em um grande risco agregado. Nesta situao, possvel para o risco
que individualmente aceitvel ter um impacto catastrfico
coletivamente.
Cascading risco tambm pode se manifestar impactos inaceitveis, como
resultado
de uma falha que leva a uma reao em cadeia de fracassos. Um exemplo
isso ocorreu na costa leste dos Estados Unidos, quando um
falha em um pequeno utilitrio de energia no Centro-Oeste causou uma
cascata
de falhas em toda a rede de energia eltrica, em ltima anlise, que abrange
mais
do trimestre nordeste dos Estados Unidos. Da mesma forma, para o
medida em que partes de TI da empresa e outras operaes
dependncias tm intimamente acoplados, a segurana da informao
gerente deve considerar como qualquer falha ou combinaes especial
de falhas afetar os sistemas dependentes.
Identificar
tratamento
opes
Avaliar
tratamento
opes
Preparar
tratamento
opes
Implemento
tratamento
planos
Parte retidos
Parte transferido
Sim
Sim
Desenvolver planos de mitigao / tratamento
Selecione estratgia de mitigao / tratamento
Recomendar mitigao estratgias / opes
Considere os custos e benefcios de viabilidade
No
Aceitvel
arriscar?
Aceitvel
arriscar?
Reduzir
probabilidade
Risco de avaliao e classificao
Transferncia
em parte full /
Aceitar
Reduzir
conseqncias
Evitar
Reduzir
probabilidade
Transferncia
em parte full /
Reduzir
conseqncias
Evitar
Acompanhar e analisar
Comunique-se e Consult
Reter
Anexo 2.6-O processo de tratamento de riscos
Adaptado do padro australiano, AS / NZS: 4360:1999, Gesto de
Riscos, www.riskmanagement.com / au
Pgina 104

Seo Dois: Contedo
100
2.10.3 Outras abordagens de avaliao de riscos
A evoluo ao longo das ltimas dcadas resultaram em notvel

melhorias em alguns sectores a definir os limites da provvel
risco. No entanto, alguns destes abordar diretamente a segurana da
informao
risco de forma eficaz. Alguns desses desenvolvimentos esto comeando a ver
adoo na rea de segurana da informao e provvel que o
utilizao de tcnicas e mtodos mais sofisticados ocorrer
os prximos anos. Alguns destes mtodos so descritos no
seco seguinte.
Entrada
Atividades de avaliao de riscos
Sada
Passo 1.
Caracterizao do Sistema
Passo 2.
Threat Identification
Passo 3.
Identificao de Vulnerabilidade
Passo 4.
Anlise de Controle
Passo 5.
Probabilidade Determinao
Passo 6. Anlise de Impacto
Passo 7.
Determinao de Risco
Passo 8.
Recomendaes de Controle
Passo 9.
Documentao Resultados
anlise do impacto da misso
avaliao de criticidade de ativos
criticidade de dados
sensibilidade de Dados
Perda de Integridade
Perda de Disponibilidade
Perda de Confidencialidade
Probabilidade de ameaa
explorao
Magnitude do impacto
Adequao do planejado ou
controles atuais
motivao Threat-source
capacidade de Ameaas
Natureza da vulnerabilidade
controles atuais
Relatrios de risco antes

avaliaes
Quaisquer comentrios de auditoria
Os requisitos de segurana
resultados dos testes de segurana
controles atuais
controles planejados
Histria do ataque do sistema
Os dados de inteligncia
agncias, NIPC, OIG,
FedCIRC, meios de comunicao
Hardware
Software
Interfaces de sistema
Dados e informaes
Pessoas
Sistema de misso
Sistema de fronteira
As funes do sistema
Sistema e dados
criticidade
Sistema e dados
Sensibilidade
Declarao Threat
Lista de potencial
vulnerabilidades
Lista de corrente e
controles planejados
Avaliao de Impacto
Risco e
risco associado
nveis
Recomendados
controles
A avaliao de risco
relatrio
Classificao Probabilidade
Exposio Metodologia de Avaliao de Risco de 2,7 NIST
Pgina 105

Seo Dois: Contedo
101

Contato
Perda Evento
Freqncia
Ameaa Evento
Freqncia
Vulnerabilidade
Ao
Controle
Fora
Risco
Ameaa
Capacidade
Perda de Ativos
Fatores
Perda primria
Fatores
Perda Threat
Fatores
Secundrio
Fatores de perda
Organizacional
Fatores de perda
Perda Provvel
Magnitude
Perda externo
Fatores
Anexo 2.8-Factor Anlise das Informaes de Risco (FAIR)
Desenvolvido por Jack Jones, Risk Management LLC introspeco de 2006
Fator de Anlise das Informaes de Risco
Uma abordagem promissora para o risco de decomposio e compreenso
seus componentes fator de Anlise das Informaes de Risco (FAIR).
A abordagem oferece uma fundamentado, o processo de anlise
detalhada. Ver
exibem 2,8 . Um papel branco est disponvel para a compreenso e
implementao deste processo (www.riskmanagementinsight.com/
media / docs / FAIR_introduction.pdf) .
FAIR oferece uma estrutura fundamentada e lgica para responder
o seguinte:
A taxonomia dos fatores que compem o risco da informao. Este
taxonomia fornece uma compreenso fundamental da informao
risco, sem o qual no se poderia razoavelmente fazer o resto. Tambm
fornece um conjunto de definies padro para as nossas condies.
Um mtodo para medir os fatores que impulsionam informaes
risco, incluindo a frequncia de eventos de ameaa, vulnerabilidade e perda.
Um motor computacional que deriva risco matematicamente

simulando as relaes entre os factores medidos.
Um modelo de simulao que permite aplicar a taxonomia,
mtodo de medio e motor computacional para construir e
analisar cenrios de risco de praticamente qualquer tamanho ou complexidade.
H quatro componentes primrios de taxonomia de risco para
que se quer identificar o agente ameaa caractersticas-os
caractersticas que afetam:
A freqncia com que agentes de ameaa entrar em contacto com
uma organizao ou ativos
A probabilidade de que agentes de ameaa vai agir contra uma organizao
ou ativos
A probabilidade de aes agente de ameaa de ser bem-sucedido em
superar os controles de proteo
A provvel natureza (tipo e gravidade) de impacto para o ativo
Anlise de Fatores de Risco
Outras abordagens para se decompor e analisar o risco de incluir
trabalho que est sendo realizado em Los Alamos National
Laboratory. ( Risco
Anlise-A Fator nova ferramenta de gesto qualitativa de riscos ,
EUA, 2000). Ver exposio 2.9.
Avaliao probabilstica do risco
Avaliao probabilstica do risco (PRA) uma sistemtica e
metodologia abrangente para avaliar o risco associado a um
complexo entidade tecnolgica de engenharia (como avies ou
usinas de energia nuclear), que amplamente utilizada inclusive por os EUA
Comisso Reguladora Nuclear.
Risco de um PRA definido como um resultado prejudicial vivel de um
atividade ou ao.
Em um PRA, o risco caracterizada por duas quantidades:
1. A magnitude (gravidade) da possvel adverso
conseqncia (s)
2. A probabilidade (probabilidade) de ocorrncia de cada conseqncia
As consequncias so expressos em termos numricos (por exemplo, o
nmero de
pessoas potencialmente ferido ou morto) e suas probabilidades de ocorrncia
so expressos como probabilidades ou frequncias (ou seja, o nmero de
ocorrncias ou a probabilidade de ocorrncia por unidade de tempo). O
risco total a soma dos produtos das consequncias multiplicado
pelas suas probabilidades. O espectro de risco em todas as classes de
eventos tambm motivo de preocupao e risco geralmente controlada no
licenciamento
processos de que seria motivo de preocupao se rara, mas conseqncia de
alta
eventos foram encontrados para dominar o risco global.
PRA geralmente responde a trs perguntas bsicas:

1. O que pode dar errado com a entidade tecnolgica estudada, ou
o que so os iniciadores ou eventos que iniciam (partida indesejvel
eventos) que conduzem a consequncias adversas (s)?
2. O que e como grave so os potenciais malefcios ou os efeitos adversos
conseqncias para o qual a entidade tecnolgica pode, eventualmente,
ser submetido, como resultado da ocorrncia do iniciador?
3. Qual a probabilidade de ocorrncia destes efeitos indesejveis,
ou quais so as suas probabilidades ou freqncias? Dois comum
mtodos de responder a essas perguntas so a anlise de rvore de eventos
e anlise da rvore de falhas.
Alm dos mtodos acima, os estudos de PRA requerem especial
mas as ferramentas de anlise, muitas vezes muito importantes, tais como
confiabilidade humana
anlise (HRA) e anlise de causa comum de falhas (CCF).
HRA lida com mtodos de modelagem erro humano enquanto CCF
aborda mtodos para avaliar o efeito do intersistema e
dependncias intrasystem que tendem a causar simultnea
falhas e, portanto, aumentos significativos no risco global.
Pgina 106

Seo Dois: Contedo
102
PRA estudos tm sido realizados com sucesso para o complexo
sistemas tecnolgicos em todas as fases do ciclo de vida, desde a concepo
definio e pr-projeto at a remoo segura de operao.
Por exemplo, a Comisso Reguladora Nuclear necessrio
que cada usina de energia nuclear nos Estados Unidos realizar uma
exame planta individual para identificar e quantificar planta
vulnerabilidades a falhas de hardware e erros humanos em design
e operao. Embora nenhum mtodo foi especificada para a realizao de
tal avaliao, as exigncias do NRC para a anlise poderia
ser atendidas apenas pela aplicao de mtodos PRA.
2.10.4 identificao do risco
Mtodos tcnicos, incluindo o uso de software, pode ser usado em
identificao e rastreamento de risco, bem como para a prestao de
informao
ferramentas para registrar a anlise de risco. Como em qualquer processo, a
melhor
ferramenta a ser usada a que mais adequado para atender s necessidades
exclusivas
da organizao. Ao aplicar a anlise de risco e identificao

mtodos, o gerente de segurana da informao deve definir
necessidades de recursos e estabelecer um oramento eo calendrio de
essas tarefas importantes. Oramento e planejamento do projeto so cobertos
no captulo 3, Desenvolvimento de Programa de Segurana da Informao.
Um dos passos iniciais de planejamento de um programa de gesto de risco
gerar uma lista abrangente de fontes de ameaas,
vulnerabilidades e riscos, e eventos que possam ter um impacto
sobre a capacidade da organizao para atingir os seus objectivos como
identificados na definio do escopo e da estrutura. Estes
eventos podem impedir, degradar, atrasar ou melhorar a consecuo
desses objectivos. Em geral, o risco pode ser ligada ou
caracterizado por:
Sua origem -por exemplo, agentes de ameaa, como funcionrios hostis,
funcionrios no devidamente treinados, os concorrentes, os governos, etc
Uma determinada atividade, evento ou incidente (ou seja, ameaa) -por
exemplo,
divulgao no autorizada de dados confidenciais, concorrente
implantao de uma nova poltica de marketing, dados nova ou revista
normas de proteo, uma falha de energia extensa
suas conseqncias, resultados ou impacto , por exemplo, a
indisponibilidade do servio,
perda ou aumento de participao de mercado / lucro, aumento da regulao,
aumentar ou diminuir em competitividade, multas, etc
A razo especfica para a sua ocorrncia erro de projeto-por exemplo, o
sistema,
interveno humana, ou a falha de predio para predizer concorrente
atividade
Restries de financiamento
Incerteza Priorizao
Potencial subfinanciamento
Sensibilidade Escalation
Incerteza taxa Trabalho
Equipamentos e materiais $ incerteza
Estimativa integralidade
Retrabalho potencial
Mtodos de anlise de maturidade
Necessidades de infra-estrutura
Incerteza Produtividade
Disponibilidade de rea / instalao
Disponibilidade de pessoal
Disponibilidade de equipamentos / materiais
Condio ambiental adversa
Maturidade da tecnologia
Severidade aprovao Licenciamento
Projeto disponibilidade de dados

Oramento
Risco
Tcnico
Risco
Custo
Risco
Horrio
Risco
Tecnologia
Maturidade
Produtividade
Incerteza
Equipamentos /
Custo de materiais
Incerteza
Instalaes e equipamentos
envolvem apenas comprovada
tecnologia ou novo
A tecnologia para uma
atividade no-crtica.
A taxa prevista de
progresso necessrio para alcanar
concluso como o planejado
conservador e bem
dentro de benchmarks
observada para semelhante
tarefas.
Equipamentos / materiais
os custos so bem estabelecida
e regulamentado pelo
contratos ou competitivo
foras de mercado.
requerem a adaptao do
nova tecnologia de
outras aplicaes
construo crtica ou
funes operacionais para
este projeto.
A taxa prevista de
agressivo, mas ainda dentro
benchmarks observados para
tarefas semelhantes.
os custos so bem estabelecida
mas deve ser regulada por
foras competitivas do mercado.
exigem o desenvolvimento de
fpr nova tecnologia
construo crtica ou
funes operacionais para
este projeto.
A taxa prevista de
extremamente agressivo ou
nenhuma experincia de referncia
est disponvel para julgar a
razoabilidade da
taxa de progresso planejado.
os custos no so bem
estabelecidos e no
sujeito a competitiva
foras de mercado.
No / Baixo (0/1)
Mdio (2)
Alta (3)
Categoria de risco
Anexo 2.9-Anlise de Risco Fator
Page 107

Seo Dois: Contedo
103
mecanismos de proteo e controles (em conjunto com o seu
possvel falta de eficcia) , por exemplo, controle de acesso e
sistemas de deteco, polticas, treinamento de segurana, pesquisa de
mercado
e vigilncia de mercado
Hora e local de ocorrncia , por exemplo, uma inundao no computador
sala durante condies ambientais extremas
Informaes de alta qualidade e conhecimento profundo do
organizao e seus ambientes internos e externos so muito

importante na identificao de risco. As informaes histricas sobre o
ou organizaes similares tambm pode ser muito til uma vez que o
informao pode levar a previses razoveis sobre atual e
evoluindo questes que ainda no foram enfrentados pela organizao.
Identificar o que pode acontecer raramente suficiente. O facto
existem muitas maneiras um evento pode ocorrer torna importante
estudar todas as causas e os cenrios possveis e significativos. Mtodos
e ferramentas utilizadas para identificar os riscos e sua ocorrncia incluem
checklists, julgamentos baseados na experincia e registros, fluxo
grficos, brainstorming, anlise de sistemas, anlise de cenrios e
tcnicas de engenharia de sistemas.
Na seleco de uma metodologia de identificao de riscos, o seguinte
devem ser consideradas tcnicas:
debate baseado em equipe, onde oficinas pode provar
eficaz na construo de compromisso e fazendo uso de diferentes
experincias;
tcnicas estruturadas, como a criao de grficos de fluxo, o projeto do
sistema
estudos de reviso, anlise de sistemas, perigo e operabilidade, e
modelagem operacional;
"what-if" e anlise de cenrio para menos claramente definido
situaes, tais como a identificao de riscos estratgicos e
processa com uma estrutura mais geral.
2.10.5 ameaas
Ameaas a recursos de informao e da probabilidade de sua
ocorrncia deve ser avaliado. Neste contexto, as ameaas so quaisquer
circunstncias ou eventos com potencial para causar danos a um
recurso de informao atravs da explorao de vulnerabilidades no sistema.
Ameaas so geralmente classificados como:
Natural -inundao, incndio, ciclones, chuva / granizo, pragas e
terremotos
no intencional -fogo, gua, danos edifcio / colapso, perda de
servios de utilidade pblica e falha de equipamento
Intencional fsicas -Bombas, fogo, gua e roubo
Intencional no fsico -fraude, espionagem, hacking, identidade
roubo, o cdigo malicioso, a engenharia social, ataques de phishing e
ataques de negao de servio2.10.6 vulnerabilidades
O termo "vulnerabilidade" muitas vezes usado como se fosse um binrio
condio. Something " vulnervel" ou "no vulnervel."
Mais precisamente, os ativos so vulnerveis a vrios graus, ou seja,
uma condio de controlo em particular pode representar um elevado grau de
vulnerabilidade, enquanto a outra condio de controle representa um menor
grau de vulnerabilidade. Esta distino se torna crtico na
processo de priorizao de esforos de gesto de riscos, ao determinar

o nvel de risco dentro de um cenrio e tambm ao explicar
concluses e recomendaes para a gesto.
Estimar o grau de vulnerabilidade pode ser realizado atravs
diversas formas de teste (quando o tempo permitir e quando as apostas
so altos) ou por meio de estimativas especialista no assunto. Tal como
acontece com outros
valorizaes, as estimativas podem ser quantitativos ou qualitativos. Tal como
acontece com qualquer
medida quantitativa ou estimativa, importante comunicar
a natureza imprecisa do valor para que o gerenciamento no enganar.
Abordagens eficazes para reflectir a incerteza em valores incluem
usando intervalos ou distribuies para indicar os dois mximos improvveis
e os valores que so mais provveis.
Determinar a relevncia final de um controle fraco tambm
requer uma compreenso dos outros controles em jogo que
pode mitigar a exposio global. Seria inexato e um
desservio para retratar um controle como um grave problema quando, na
verdade,
o estado de controle agregado relativamente robusto.
Uma vez que normal em uma organizao para encontrar um nmero de
controles em
vrias partes de um processo tpico incluindo lgico, fsico e
processual-, importante compreender a totalidade do processo de
de ponta a ponta. Enquanto camadas de controles uma abordagem prudente,
uma
nmero excessivo de controles que abordam o mesmo risco so um
desperdcio.
tambm importante para garantir que os vrios controlos no esto sujeitos
ao mesmo risco, que derrota o propsito de mergulh-los. Para
avaliaes de risco para ser eficaz e precisa, necessrio
assegurar que eles so conduzidos a partir do incio dos processos
at o fim. Isto ir facilitar a compreenso se a montante
controles minimizar ou eliminar alguns riscos que podem impedir a
necessidade de controles posteriores. Ele tambm ir ajudar a determinar se
existe
redundncia de controle desnecessrio ou duplicao.
Muitas deficincias do sistema de TI so identificados usando automatizado
equipamentos de varredura. Vulnerabilidades de processo e de desempenho
so
mais difcil de determinar e podem exigir uma anlise cuidadosa para
descobrir. A avaliao deve considerar processo, processual e
vulnerabilidades fsicas, alm de deficincias de tecnologia.
Considere a organizao que no tem uma informao oficial
treinamento de segurana e programa de sensibilizao. A vulnerabilidade
neste caso seria decorrente de uma falta de conscientizao do usurio de

polticas de segurana, normas e diretrizes. Vulnerabilidades podem
tambm resultam de uma falta de processos para controle de configurao e
certificao e acreditao de sistemas.
As auditorias so geralmente til na identificao de vulnerabilidades. Alguns
exemplos de vulnerabilidades so:
software defeituoso
equipamento configurado incorretamente
imposio de conformidade inadequada
projeto de rede Pobre
processos no controlados ou com defeito
O manejo inadequado
pessoal insuficiente
Falta de conhecimento para apoiar os usurios ou executar o processo
A falta de funcionalidade de segurana
Falta de manuteno adequada
M escolha de senhas
tecnologia no testada
Transmisso de comunicao desprotegidos
Falta de redundncia
comunicaes m gesto
Pgina 108

Seo Dois: Contedo
104
2.10.7 risco
O gerente de segurana da informao deve entender o negcio
perfil de risco da organizao. No modelo fornece uma completa
imagem, mas logicamente categorizar as reas de risco de uma organizao
(Como ilustrado na exposio 2.10 ) facilita focando chave
estratgias de gesto de risco e decises. Ele tambm permite que o
organizao desenvolver e implementar estratgias de tratamento de riscos
que so relevantes para o negcio e rentvel.
Risco uma parte inerente do negcio e, uma vez que impraticvel e
caro para eliminar todos os riscos, cada organizao tem um nvel de risco que
vai aceitar. Para determinar o nvel de risco aceitvel aceitvel,
o gestor de risco deve determinar um ponto timo onde o custo
de perdas cruza com os custos associados a atenuante ou
caso contrrio, o tratamento do risco.
Categorias Exposio de Risco Operacional 2.10 (cont.)
rea de Risco Operacional
Descrio
Informaes ou Mapeamento de TI
Instalaes e ambiente operacional de risco
Perda ou dano de capacidades operacionais
causada por problemas com instalaes, equipamentos,
servios ou equipamentos
Gesto de continuidade de negcios para instalaes de TI
Sade e segurana risco
As ameaas sade e segurana dos funcionrios, pessoal
clientes e membros do pblico
Confidencialidade dos endereos residenciais, turismo
horrios, etc
Riscos de segurana da informao
A divulgao no autorizada ou modificao
informaes, perda de disponibilidade de informao, ou
uso inadequado de informaes
Todos os aspectos da informao e segurana de TI
Risco estruturas de controle
Design ou desempenho do existente inadequada
infra-estrutura de gerenciamento de risco
Anlise de processos de negcios para identificar crtico
fluxos de informao e pontos de controle
Legal e regulamentar do risco de compliance
O no cumprimento com as leis dos pases
em que as operaes comerciais so efectuadas;
no cumprimento de qualquer regulamentao, elaborao de relatrios
e normas de tributao; inobservncia
contratos; ou o fracasso de contratos para proteger
interesses comerciais
A conformidade com a legislao de proteco de dados,
regulamentos de controle de criptografia, etc; preciso,
pontualidade e qualidade das informaes reportadas
para os reguladores, e gerenciamento de contedo de todos
informaes enviadas para outras partes
Risco de governana corporativa
A falha de administrao para cumprir seu pessoal
obrigaes estatutrias em gerenciamento e controle
a empresa
Formulao de polticas de segurana da informao, o desempenho
medio e elaborao de relatrios
Risco de reputao
Os efeitos negativos da opinio pblica, o cliente
opinio e reputao no mercado, e os danos
causados marca pela incapacidade de gerir pblico
relaes
Controlar a divulgao de informaes confidenciais

informao; apresentar uma imagem pblica de um bemempresa conseguiu
Risco estratgico
O no cumprimento das metas estratgicas de longo prazo
do negcio, incluindo a dependncia de qualquer
resultados estimados ou previstos que podem estar em
o controlo de terceiros
Gerenciamento da qualidade e granularidade de
informaes sobre quais negcios estratgicos
decises so baseadas (por exemplo, fuses, aquisies,
alienaes)
Processamento e risco comportamental
Problemas com o servio ou entrega do produto
causada por falha dos controles internos, informaes
sistemas, a integridade dos empregados, erros e
erros, ou atravs de pontos fracos no funcionamento
procedimentos
Todos os aspectos de segurana dos sistemas de informao e
o comportamento relacionado com a segurana dos empregados em
exerccio das suas funes
Risco Tecnologia
Falha em planejar, gerenciar e monitorar o
desempenho dos projetos relacionados tecnologia,
produtos, servios, processos, pessoal e entrega
canais
A falha de informao e comunicao
sistemas de tecnologia ea necessidade de negcio
gesto de continuidade
Projeto de gesto de risco
Falha em planejar e gerir os recursos
necessrio para alcanar os objetivos do projeto tticas,
levando a derrapagens oramentais, derrapagens de tempo ou
ambos, ou levando a incapacidade de concluir o projeto;
a falha tcnica de um projeto ou o fracasso
para gerenciar os aspectos de integrao com existente
partes do negcio eo impacto que
mudanas podem ter sobre as operaes de negcios
Gesto de todos os relacionados com a segurana de informaes
projetos
Pgina 109

Seo Dois: Contedo

105
Para a maioria das organizaes a incapacidade de avaliar adequadamente,
analisar
e gerenciar os resultados de risco nos esforos de gesto de risco no sendo
atribuda correctamente e dirigido para a maior fonte de perdas. Uma
estudo aprofundado por PGP-Vontu de 31 organizaes comprometidas
determinada a origem das perdas mostradas na exposio 2,11 . justo
quer dizer que, para a maioria das organizaes, o gerenciamento de risco
primrio
esforos so normalmente direcionado para o controle no autorizado ao
sistema
acesso de que, em mdia, representado apenas 7% de perdas neste
estudar enquanto a maioria das perdas de outras causas identificadas
geralmente recebido relativamente pouca ateno.
2.10.8 anlise do risco relevante
A anlise de risco a fase onde o nvel do risco e sua natureza
so avaliados e compreendidos. Esta informao a primeira entrada para
os tomadores de deciso sobre se o risco precisa ser tratada, bem como a
mais adequada e metodologia de tratamento do risco de baixo custo.
A anlise de risco envolve:
anlise aprofundada das fontes de risco (ameaas e
vulnerabilidades);
suas conseqncias positivas e negativas;
a probabilidade de que essas consequncias podem ocorrer e os factores
que os afetam;
avaliao de quaisquer controles ou processos j existentes que tendem a
minimizar os riscos negativos ou aumentar risco positivo (esses controles
pode derivar de um conjunto mais amplo de normas, controles ou bom
prticas selecionadas de acordo com a uma declarao de aplicabilidade e
tambm pode vir de atividades de tratamento de riscos anteriores).
O grau de risco pode ser estimada de vrias maneiras, incluindo
usando a anlise estatstica e clculos combinando impacto
e probabilidade. Todas as frmulas e mtodos para combin-los
deve ser consistente com os critrios definidos no estabelecimento de
o contexto de gesto de risco. Isto porque um evento pode ter
vrias conseqncias e afetar diferentes objetivos e, portanto,
consequncias e probabilidade precisam ser combinados para calcular
o nvel de risco. Se no confivel ou estatisticamente confiveis e relevantes
dados passados esto disponveis (por exemplo, um banco de dados mantido
por incidente),
outras estimativas podem ser feitas, desde que eles so apropriadamente
comunicado e aprovado pelos tomadores de deciso.
As informaes utilizadas para estimar o impacto e probabilidade

normalmente
vem:
experincia ou dados e registros (por exemplo, relatrios de incidentes)
passado;
prticas de confiana, normas e diretrizes internacionais;
pesquisa de mercado e anlise;
Categorias Exposio de Risco Operacional 2.10 (cont.)
rea de Risco Operacional
Descrio
Informaes ou Mapeamento de TI
Criminal e ilcito risco atos
Perda ou dano causado por fraude, roubo, intencional
negligncia, negligncia grave, vandalismo, sabotagem,
extorso, etc
Prestao de servios e mecanismos de segurana
para prevenir todos os tipos de crimes cibernticos
Risco Recursos humanos
A falta de recrutar, desenvolver ou manter funcionrios
com as habilidades e os conhecimentos adequados ou
gerenciar relaes com os empregados
Necessidade de polticas que protegem os funcionrios de
assdio sexual, abuso racial, etc, por meio de
sistemas de e-mail corporativo, etc
Risco Fornecedor
A falta de avaliar adequadamente as capacidades de
fornecedores que levam a falhas no fornecimento
processo ou de entrega inferior do fornecido
bens e servios; incapacidade de compreender e
gerir as questes da cadeia de suprimentos
Entrega de servios terceirizados de TI ou outro
atividades de processamento de informao de negcios
Risco de informaes gerenciais
Inadequada, incorreta, incompleta ou prematura
fornecimento de informaes para apoiar o
processo de tomada de deciso de gesto
Gerenciando a exatido, integridade, moeda,
pontualidade e qualidade de informaes utilizadas para
apoio deciso de gerenciamento
Risco de tica
Os danos causados por prticas comerciais antiticas,
incluindo as dos parceiros comerciais associados.
As questes incluem a discriminao racial e religiosa,
explorao do trabalho infantil, poluio,
questes ambientais, o comportamento para desfavorecidos
grupos, etc
Coleta de tica, armazenamento e uso de informaes;
gesto de contedos de informao na web
locais, intranets, e em e-mails e corporativo
sistemas de mensagens instantneas
Risco geopoltico
Perda ou danos em alguns pases, causadas por
instabilidade poltica, m qualidade da infra-estrutura
nas regies em desenvolvimento, ou as diferenas culturais e
mal-entendidos
Gerenciando todos os aspectos da segurana da informao
e segurana dos sistemas de TI dos em regies onde a
empresa tem operaes de negcios, mas onde
h risco geopoltico especial
Risco Cultural
Incapacidade de lidar com as questes culturais que afetam
funcionrios, clientes ou outras partes interessadas.
Estes incluem lngua, a religio, a moral, vestido
cdigos e outros costumes e da comunidade
prticas.
Gesto de contedos de informao na web
locais, intranets, e em e-mails e corporativo
sistemas de mensagens instantneas
Clima e tempo de risco
Perda ou danos causados pelo clima incomum
condies, incluindo a seca, o calor, inundaes, frio,
tempestade, ventos, etc
Gesto de continuidade de negcios para instalaes de TI
Fonte: Sherwood, J.; A. Clark, D. Lynas; Arquitetura Corporativa de
Segurana: uma abordagem orientada a negcios , CMP Books,
2005, www.sabsa.org
Pgina 110

Seo Dois: Contedo
106
experimentos e prottipos;
economia, engenharia ou outros modelos;
aconselhamento especializado e especialista.
Tcnicas de anlise de risco incluem:
entrevistas com especialistas na rea de interesse e questionrios,
uso de modelos e simulaes existentes.
A anlise de risco pode variar em detalhes de acordo com o risco, o propsito

da anlise, eo nvel de proteo exigido do relevante
informaes, dados e recursos. A anlise pode ser qualitativa,
semiquantitativo ou quantitativo, ou uma combinao destes. Em todo
caso o tipo de anlise a efectuar deve, como dito acima, no se
consistente com os critrios desenvolvidos como parte da definio de
o contexto de gesto de risco.
Uma descrio dos trs tipos de anlise inclui:
Anlise Qualitativa
Na anlise qualitativa, a magnitude ea probabilidade de potencial
consequncias so apresentados e descritos em pormenor. As escalas
utilizado pode ser formado ou ajustados de acordo com as circunstncias, e
descries diferentes podem ser usados para o risco diferente. Qualitativo
A anlise pode ser utilizado:
como uma avaliao inicial para identificar o risco que ir ser objecto
de mais, uma anlise detalhada;
onde os aspectos no-tangveis de risco devem ser considerados (por
exemplo,
reputao, cultura, imagem, etc)
onde h uma falta de informao adequada e dados numricos
ou recursos necessrios para um quantitativo estatisticamente aceitvel
abordagem.
Uma anlise qualitativa pode ser realizada utilizando uma matriz de 5 2 5
como mostrado na exposio 2,12 na matriz impacto semi-quantitativo.
Anlise semiquantitativa
Na anlise semi-quantitativa, o objetivo atribuir valores a
as escalas utilizadas na avaliao qualitativa. Estes valores so
geralmente indicativo e no real, que o pr-requisito do
abordagem quantitativa. Assim, como o valor atribudo a cada
escala no uma representao exata da magnitude real da
impacto ou a probabilidade, os nmeros usados s devem ser combinados
usando uma frmula que reconhece as limitaes ou suposies
feito na descrio das tabelas utilizadas. Deve tambm ser
mencionado que o uso de anlise semi-quantitativa pode levar a
vrias incoerncias devido ao facto de os nmeros escolhidos
podem no refletir adequadamente analogias entre os riscos, particularmente
quando tanto conseqncias ou probabilidade so extremas.
Os valores seleccionados devem ser geralmente indicativo e suficiente
para a priorizao de um risco acima de outro risco. Para quaisquer
processo para operar com xito deve haver um comum
entendimento destes valores e das condies empregues. O
definies apresentadas abaixo podem ser substitudos com os j em
utilizar dentro da organizao e, pode ser possvel utilizar um subconjunto
do gerenciamento de risco empresarial (ERM) quadro onde
houver.
Os valores tpicos para impacto so:

insignificante (valor = 1) = Sem impacto significativo, ou de limitao
conseqncia
Menor (valor = 2) = Impacto na pequena parte do negcio apenas, ou
menos de EUA $ 1 milho impacto
Maior (valor = 3) = Impacto na marca da organizao, ou mais
impacto de EUA $ 1 milho
Material (valor = 4) = Impacto mais de EUA $ 200 milhes e
exigindo relatrios externos
catastrfica (valor = 5) = falha ou reduo significativa de
a organizao
Os valores tpicos para probabilidade so:
Raros (valor = 1)
No (valor = 2) = No visto dentro ltimos 5 anos
Moderada (valor = 3) = atividade dentro ltimos 5 anos, mas no dentro de
ano passado
Provvel (valor = 4) = atividade dentro do ano passado
Freqente (valor = 5) = acontece em uma base regular
Anexo 2.11-Fonte de Perdas
Fonte: 2006 Estudo Anual: Custo de violao de dados, o PGP / Vontu
Acesso no autorizado ao sistema
7%
Insider malicioso ou
cdigo malicioso
9%
Papel
registros
9%
Eletrnico
backup
19%
Terceiro ou
contratante
21%
Perdeu laptop ou
outro dispositivo
35%
Pgina 111

Seo Dois: Contedo
107
Anexo 2.12-Semiquantitativa Matrix Impact

5
Catastrfico
4
Material
Raro
1
LO
W
MDIO
ALTA
Probabilidade
Impacto
Improvvel
2
Moderado
3
Provvel
4
Freqente
5
3
Maior
2
Menor
1
Insignificante
GRAVE
Estes valores devem ser suficientes para permitir a priorizao de risco
de acordo com uma abordagem semi-quantitativa.
Normalmente, voc deve calcular o risco como:
Risco = impacto x probabilidade
Risco = 4 (material) x 3 (moderado) = 12
Exemplo de uma anlise semi-quantitativa
O valor da abordagem mostrada aqui derivado da diversidade
dos participantes (embora apropriado para a tarefa em mos), a qualidade
da discusso facilitada ea deciso chegou consenso
no dentro de uma oficina facilitada. Se esta anlise tentada
isolamento, provvel que o resultado ser falho e incompleto:
Passo 1 -Quais so os ativos da empresa? Estabelecer um registro de ativos
que identifica e valoriza esses ativos. Identificar os ativos crticos em
o registo. Isso deve ser realizado em parceria com a
donos de empresas e outras partes interessadas.
Passo 2 -Quais as possveis ameaas colocar os ativos da organizao em
arriscar? Identificar as possveis ameaas.
Passo 3 -Para cada ameaa, qual seria o impacto no negcio seria se

a ameaa se concretizou? Identificar e quantificar estes impactos por
relativo de volta para o registro de ativos. Para cada ativo, identificar a
impacto nos negcios, se o ativo j no estavam disponveis, ea
probabilidade de esse impacto. Isto deve tipicamente ser conduzidas em
um workshop facilitado com a presena do proprietrios do negcio, sistema
proprietrios, especialistas no assunto de infra-estrutura (por exemplo, os
arquitetos) e
especialistas no assunto de segurana.
Neste modelo, o impacto descrito como o custo para a empresa (por
exemplo,
downtime = perda de receita) se um activo no est disponvel para um
perodo
de tempo.
Para auxiliar os participantes da oficina de visualizar o risco
ao ativo, um impresso (por vezes, desenhada mo) grade grande pode ser
utilizado. O ativo escrito em uma nota e colocado em risco
matriz ou grade. O facilitador pode, ento, incentivar o workshop
participantes para decidir sobre o impacto e probabilidade para o ativo. A
partir de
experincia, importante para desafiar fortemente a colocao de
o ativo no grfico. Uma grade de exemplo mostrado na exposio 2,12 .
Neste ponto no processo, um modelo pode ser usado para capturar
o risco de que foi colocada nas regies de alta e de graves
a matriz. O modelo usado para gravar os resultados do
os seguintes passos:
Passo 1 -Se o impacto significativo o suficiente para ser motivo de
preocupao,
o que vulnerabilidades ou fraquezas pode haver para permitir que este
ameaa de explorar os ativos da organizao, causando um impacto? O
vulnerabilidade ou fraqueza combinada com uma ameaa conhecida alterar
a probabilidade de ocorrncia do evento. Identificar e quantificar
essas vulnerabilidades ou fraquezas.
Passo 2 -Can essas vulnerabilidades ou fraquezas ser mitigados
atravs da introduo de controles adicionais? Identificar o possvel controle
estratgias e quantificar custos (custo total de propriedade) para estes
controlos.
Passo 3 -O que a anlise de custo-benefcio derivado do nvel
de reduo do impacto potencial de negcios (benefcio), pesado
contra o custo do controlo adicional? Quantificar os benefcios
e custos.
Anlise Quantitativa
Na anlise quantitativa valores numricos so atribudos tanto
impacto e probabilidade. Estes valores so derivados de uma variedade de
fontes. A qualidade de toda a anlise depende da preciso
dos valores atribudos e a validade dos modelos estatsticos

Pgina 112

Seo Dois: Contedo
108
utilizado. O impacto pode ser determinada por meio da avaliao e
processando a
vrios resultados de um evento ou por extrapolao a partir experimental
estudos ou dados passados. As consequncias podem ser expressos em
diversos
termos de:
Monetrio
Tcnico
Operacional
critrios de impacto humano
Como fica claro a partir da anlise acima, a especificao
do nvel de risco no nica. Impacto e probabilidade pode ser
expressa ou combinados de forma diferente, de acordo com o tipo de risco
eo escopo e objetivo do processo de gerenciamento de riscos.
Expectativa de perda anual
Avaliaes de risco quantitativas tentar chegar a um numrica
valor, normalmente expressa em termos financeiros. O mais comum
formulrio ser ou expectativa de perda nica (SLE) ou perda anual
expectativa (ALE). LES o produto do valor patrimonial (AV)
multiplicado pelo factor de exposio (EF): LES = AV 2 EF.
EF a probabilidade de que um evento ir ocorrer e sua provvel
magnitude, e igual percentagem de perda de activo causada pela
ameaa identificada. O resultado que quanto maior for o valor, acoplado
com uma maior probabilidade de uma magnitude maior e, quanto maior for o
risco potencial de perda.
ALE acrescenta a taxa anualizada de ocorrncia (ARO) para o
equao com o resultado de que vrios acontecimentos resultar
maiores perdas potenciais. ALE geralmente expressa como:
ALE = SLE 2 ARO.
ALE a perda financeira anual esperada para um ativo, resultando
de uma ameaa especfica.
ARO o nmero de vezes que uma ameaa em um nico ativo estimado
de ocorrer. Quanto maior o risco associado com a ameaa, maior
o ARO. Por exemplo, se os dados seguros sugerem que um srio
fogo provvel que ocorra uma vez em 25 anos, ento a taxa anualizada de
ocorrncia de 1/25 = 0,04.
EF representa a porcentagem de perda que uma ameaa percebeu poderia

ter em um ativo especfico quando a ameaa especfica combina com
uma vulnerabilidade especfica. Dito de outra maneira, a EF a proporo de
o valor de um ativo que susceptvel de ser destruda por um risco particular,
expresso como uma percentagem.
Value at Risk
Outra abordagem exigido em certos setores financeiros o valor
em risco (VAR), que tambm pode ter uma gesto geral de risco
utilidade e benefcio. Esta abordagem tem sido estudado por vrias
investigadores, sugerindo a aptido da abordagem de
gesto de segurana da informao.
VAR um clculo com base em dados histricos da probabilidade
distribuio de perda para um determinado perodo de tempo com um factor
de segurana
tipicamente de 95% ou 99%. A distribuio de probabilidade obtida
usando Monte Carlo simulaes normalmente executado atravs de milhares
de
iteraes com variveis aleatrias com base em informao histrica.
VAR pode ser usado com sucesso em risco a segurana da informao
gesto:
Value at Risk (VaR) resume a pior perda devido
de uma violao de segurana ao longo de um perodo de tempo especfico,
com um determinado nvel de confiana. Mais formalmente,
VAR descreve o quartil do projetado
distribuio das perdas ao longo de um determinado perodo de tempo. A
maioria
das ferramentas que so usadas para segurana da informao
avaliao de riscos so de natureza qualitativa e so
no fundamentada na teoria.
VAR uma ferramenta til nas mos de um especialista, pois
fornece uma medida quantitativa baseada teoricamente
de risco de segurana da informao. Usando esta medida de
risco, o melhor equilbrio possvel entre o risco ea
custo do fornecimento de segurana pode ser obtida. A maioria
organizaes, especialmente aquelas investido fortemente em
ebusiness, j determinou o aceitvel
nvel de risco. o valor em dlares de este risco , em seguida,
calculado. Quando o VAR total de uma organizao
exceder esse valor, a organizao alertado para o
fato de que um aumento do investimento em segurana necessria.
(Value at Risk: uma metodologia para a Informao
Avaliao de Risco de Segurana, Jeevan Jaisingh e Jackie
Rees , Proceedings da conferncia informa sobre
Sistemas de Informao e Tecnologia 2001, novembro
2001, Miami, FL, EUA)
2.10.9 avaliao do risco

Durante a fase de avaliao de riscos, as decises tm de ser feitas
a respeito da qual o risco precisa de tratamento e as prioridades de tratamento
com base na anlise anterior. Analistas precisa comparar o
nvel de risco determinado durante o processo de anlise de risco com
critrios estabelecidos no contexto de gesto de risco (ou seja, no risco
critrios fase de identificao).
importante notar que, em alguns casos, a avaliao de risco pode
levar a uma deciso de empreender uma anlise mais aprofundada.
Os critrios utilizados pela equipe de gerenciamento de risco tambm deve
levar em
conta os objectivos da organizao, os pontos de vista das partes interessadas
e, de
Naturalmente, o escopo eo objetivo do processo de gerenciamento de riscos
em si, bem como as suas margens de erro provveis. As decises tomadas
geralmente baseiam-se no nvel de risco, mas pode tambm estar relacionada
com
limites especificados em termos de:
conseqncias (por exemplo, impactos),
a probabilidade de eventos,
o impacto (agregada) cumulativo de uma srie de eventos que
poderia ocorrer simultaneamente.
2.10.10 opes risco tratamento
Diante do risco, as organizaes tm quatro opes estratgicas:
Terminar a atividade dando origem ao risco.
risco de transferncia para outro partido.
Reduzir o risco com medidas de controlo adequadas ou mecanismos.
Aceitar o risco.
Pgina 113

Seo Dois: Contedo
109
Outra alternativa que uma organizao pode optar por aceitar
arriscaria por ignor-lo, o que pode ser perigoso. Ignorando um risco mais
tempo pode conduzir a uma subestimativa grave da magnitude
o risco. Consequentemente, este geralmente um curso de desaconselhvel
ao. A nica vez que pode ser prudente ignorar o risco quando
a probabilidade, a exposio ou o impacto to pequeno que o risco no
material considerado para a organizao ou o impacto to grande
e raro que no existe a possibilidade de tratar o problema, por exemplo, um
cometa
greve ou guerra nuclear.

As medidas (ou seja, medidas de segurana) podem ser selecionados de
conjuntos de medidas de segurana que so usados dentro do informaes
sistema de gerenciamento de segurana (SGSI) da organizao como
definido pela ISO / IEC 27001. A este nvel, as medidas de segurana
so descries verbais de vrias funes de segurana que so
implementado tecnicamente (por exemplo, software ou componentes de
hardware)
ou organizacional (por exemplo, os procedimentos estabelecidos).
Terminar a atividade
No so muitas vezes actividades maneiras pode ser modificado ou processos
reengenharia que pode servir para mitigar ou controlar o risco de
nveis aceitveis. Anlise da actividade tambm pode levar
concluso de que no vale a pena o risco.
Transfira o Risco
Um exemplo de transferncia de risco a deciso de
organizao a adquirir um seguro para tratar de reas de risco.
Quando uma organizao compra o seguro, o risco transferido para
a companhia de seguros em troca de pagamentos de prmios que
refletem a avaliao da companhia de seguros do grau de risco
que est assumindo. Deve reconhecer-se que o risco realmente
no transferido, ao invs, o impacto para a organizao reduzida
na medida em que seguro cobre os custos associados com um
compromisso.
Risco tambm pode ser transferido por funcionalidade terceirizao de TI a
um
terceiro, no entanto, na transferncia de risco operacional, de terceiros
acordos e contratos devem abordar especificamente a responsabilidade
e as responsabilidades de ambas as partes em indenizao especfica
clusulas.
Acordos de indenizao que pode ser parte de um servio terceirizado
acordo de proporcionar um nvel de proteo contra incidentes prejudiciais.
Enquanto os possveis impactos financeiros associados ao
risco pode ser transferido, a responsabilidade legal pela
consequncias de compromisso no pode ser transferido.
Risco normalmente transferida para as companhias de seguros quando
a probabilidade de um incidente baixo, mas o impacto alto.
Um exemplo seria o terremoto ou seguro de inundao. Pela
gerente de segurana da informao, isso significa que um bem gerida
programa de risco deve interagir com outros garantia organizacional
provedores, como o departamento de seguros.
Mitigar o risco
O risco pode ser atenuado em uma variedade de formas. O risco pode ser
mitigado
atravs da implementao ou melhoria dos controlos de segurana ou

instituindo
contramedidas. Esses controles podem abordar directamente o risco
ou podem ser compensando controles que mitigam os efeitos
de uma ocorrncia. O impacto potencial pode ser reduzida atravs de
processos processuais ou tcnicos. Ameaas e vulnerabilidades podem
ser abordadas diretamente, reduzindo a probabilidade de explorao.
Tolerar / aceitar o risco
H uma variedade de circunstncias em que o risco pode ser definida
aceita. Uma condio que o custo de atenuao muito alta em
proporo do valor do ativo. Em outros casos, ele pode simplesmente
no ser vivel para mitigar efetivamente um risco ou o impacto potencial
pode ser baixa. Geralmente, h um ponto ideal onde o custo de
mitigar o risco igual ao impacto financeiro do acordo.
Deve-se considerar que nem todos os impactos podem ser facilmente reduzido
ao estritamente termos financeiros e, em muitos casos, no ser o nico
considerao.
Elementos como a confiana do cliente e confiana, responsabilidade legal,
ou violao de requisitos regulamentares podem precisar de ser considerado
bem. Em qualquer caso, o procedimento de gesto de riscos de informaes
deve permitir uma documentao precisa e adequada do
risco para que o gerente de negcios para tomar a deciso de
aceitar o risco com base em conhecimento e compreenso suficiente.
A aceitao do risco deve ser revisto regularmente para garantir que o
justificativa para a aceitao inicial ainda vlida dentro do atual
contexto de negcios.
Aceitao de Riscos Quadro
O quadro de aceitao de riscos uma importante ferramenta de com este
no lugar, a organizao pode garantir que a aceitao do risco
executado no gerenciamento de nvel de direito.
Um quadro tpico de aceitao de risco mostrada abaixo na
exibem 2,13 .
Anexo 2.13-Risk Acceptance Quadro
Risco
Nvel
Nvel Necessrio para Aceitao
Baixo
Aceitao possvel pela gesto local de riscos
Mdio
Aceitao possvel pelos CIO (CIO) Risco
Alto
Aceitao possvel pela CIO, diretor ou chefe de informaes de risco
agente de segurana (CISO), dependendo do impacto potencial
Grave
Risco aceitao s a nvel da administrao, dependendo do potencial
impacto. A reduo do risco obrigatria atravs de rigoroso

controles ou monitoramento. Processo de notificao de Gesto
necessrio.
2.10.11 impacto
Impacto a linha de fundo para a gesto de riscos. Em ltima anlise, todos
atividades de gerenciamento de risco so projetados para reduzir os impactos
ao
nveis aceitveis. O resultado de qualquer vulnerabilidade explorada por um
ameaa que causa uma perda um impacto. Ameaas e vulnerabilidades
que no causam um impacto geralmente so irrelevantes.
Nas organizaes comerciais, o impacto geralmente quantificada
como uma perda financeira direta no curto prazo ou um final (indireta)
perda financeira no longo prazo. Exemplos de tais perdas podem incluir:
perda direta de dinheiro (dinheiro ou crdito)
responsabilidade penal ou civil
Pgina 114

Seo Dois: Contedo
110
Perda de reputao / goodwill / imagem
Reduo do valor da ao
Conflito de interesses de funcionrios ou clientes ou acionistas
Quebra de confiana / privacy
Perda de oportunidade de negcio / competio
A perda de quota de mercado
Reduo da eficincia / desempenho operacional
A interrupo da atividade empresarial
O no cumprimento de leis e regulamentos, resultando em multas
Tal como acontece com os clculos de risco, os clculos de impacto pode ser
feito tanto
qualitativamente ou quantitativamente. Alguns impactos se prestam a
representao quantitativa, tais como a gama de possveis financeira
impacto. Outros, como a perda de reputao ou participao de mercado, pode
ser mais difcil, e pode ser adequadamente apresentadas por qualitativa
declaraes. Impactos so determinados atravs da realizao de um negcio
avaliao de impacto e posterior anlise. Esta anlise
determinar a criticidade e sensibilidade dos ativos de informao. Ele
servir de base para a criao de autorizaes de controle de acesso
e para o planejamento de continuidade de negcios (BCP), e incluir
objetivos de tempo de recuperao (RTOs), objetivos de ponto de recuperao
(RPOs), quedas de mximos tolerveis (OMP) e prestao de servios
objetivos (SDOs). A BIA serve para priorizar a gesto de riscos

e, juntamente com avaliaes de ativos, fornece a base para o
nveis e tipos de proteco necessrios, bem como uma base para o
desenvolvimento de um plano de negcios para os controles.
Os requisitos legais e regulamentares deve ser considerada em termos
de risco e impacto. Isto necessrio, a fim de determinar o
nvel adequado de conformidade e prioridade. Os regulamentos devem
ser avaliada em primeiro lugar, para determinar se a organizao j est
compliant. Se se verificar que a organizao no compatvel,
em seguida, os regulamentos devem ser avaliadas para determinar o nvel de
risco que representam para a organizao. A organizao deve levar em
considerao o nvel de execuo e sua posio relativa
em relao aos seus pares. O impacto potencial da plena conformidade,
adeso parcial e descumprimento, tanto financeiro direto
e impactos de reputao, deve ser avaliada tambm. Estes
avaliaes fornecem a base para a gerncia snior para determinar
a natureza ea extenso das atividades de compliance apropriada para o
organizao. O gerente de segurana da informao deve estar ciente
que a alta administrao pode decidir que o risco de sanes menos
caro do que alcanar a conformidade, ou que, por aplicao
limitada, ou mesmo inexistente, que o cumprimento no se justifica.
Esta uma deciso de gesto que deve ser baseada no risco.
2.10.13 risco residual
O risco de que ainda permanece aps a contramedidas e controles tm
foi implementado chamado de risco residual. Utilizando o exemplo de
exigindo controle duplo para acessar informaes confidenciais, um residual
risco de que dois indivduos conspirar para fornecer acesso no autorizado.
O risco residual informou atravs de uma avaliao de risco subseqente pode
ser utilizado pela administrao para identificar as reas em que mais
controle necessrio para reduzir ainda mais o risco. Nveis aceitveis de
risco so estabelecidos como parte do desenvolvimento de uma segurana da
informao
estratgia, conforme descrito no captulo 1. Se uma estratgia no
desenvolvido,
gesto deve determinar os nveis de risco aceitveis, geralmente em
termos de impactos potenciais permitidas. O risco residual em excesso de
este nvel deve ser ainda tratados com a opo de adicional
mitigao atravs da implementao de controles mais rigorosos. Risco
abaixo deste nvel deve ser avaliado para determinar se um excessivo
nvel de contramedidas ou controle est sendo aplicado e se o custo
poupanas podem ser feitas atravs da remoo ou modificao. Final
aceitao do risco residual leva em conta:
Conformidade com as regulamentaes
A poltica organizacional
Sensibilidade e criticidade dos ativos relevantes

Os nveis aceitveis de impactos potenciais
A incerteza inerente abordagem de avaliao de risco
Custo e eficcia da execuo
Ao julgar a adequao de controles ou contramedidas,
o custo de implementao e operao de medidas especficas ou
mecanismos deve ser equilibrado com o risco a ser abordado.
2.10.14 custos e benefcios
Quando os controles ou contramedidas so planejadas, uma organizao
deve considerar os custos e benefcios. Se os custos de especfico
controles ou contramedidas (controle areo) excedem os benefcios
de mitigar um determinado risco, a organizao pode optar por aceitar o
risco, em vez de arcar com os custos de mitigao. Isto segue a geral
princpio de que o custo de um controlo nunca deve exceder a esperada
beneficiados. Este o princpio da proporcionalidade descrita em geral
princpios de sistemas de segurana aceites (GASSP) ou seu sucessor,
princpios de segurana da informao geralmente aceitos (GAISP).
Nota: GAISP o projeto sucessor GASSP. Originalmente
realizado pela Fundao Internacional de Segurana da Informao
(IISF), GASSP foi adotada pelo Conselho de Segurana de Sistemas de
Informao
Association (ISSA) e renomeado, substituindo a palavra
"Informao" para a palavra "sistema" para refletir o fato de que o
objectivo assegurar de informao de disponibilidade, confidencialidade
e integridade.
Anlise custo-benefcio ajuda a fornecer uma viso do impacto monetrio
risco e ajuda a determinar o custo de proteger o que importante.
Entretanto, a anlise de custo-benefcio tambm sobre fazer escolhas
inteligentes
com base nos custos potenciais de mitigao de risco contra eventuais perdas
(Exposio ao risco). Ambos os conceitos amarrar diretamente de volta boa
prticas de governana.
Crime segurana Infelizmente, a maioria das informaes e perda de mtricas
no so to estabelecido como estatsticas roubo e furto tradicionais.
O relatrio anual CSI (Computer Security Institute) Crime Computer
Pesquisa de Segurana e tem sido uma medida envolvendo perdas
no campo da segurana da informao, mas alguns profissionais sugerem
que suas figuras de perda so subestimados, enquanto outros acreditam que
eles so
exagerada.
Ao invs de debater a validade destas medidas, pode ser
mais til olhar para algumas mtricas que a maioria das organizaes podem
quantificar com alguma preciso. Trs medies comuns
perdas potenciais so impactos produtividade dos funcionrios, as perdas de
receitas
e eventos diretos perda custo. Incidentes de vrus e worms so os

mais citados quando se discute impacto na produtividade.
Outro o resultado de informaes de identificao pessoal (PII)
perdas como resultado de um incidente relacionado com a segurana, como
mostrado na
exposio 2.14 , que detalha as conseqncias de perdas em 31
organizaes analisadas pelo PGP-Vontu.
Pgina 115

Seo Dois: Contedo
111
Um exemplo da abordagem sugerida pode ser o resultado de
um aplicativo de malware que infecta 10.000 funcionrios em uma
Organizao de 40.000 pessoas. Cada custo do sistema infectado cada
impactados empregado de uma hora de produtividade. Se cada empregado
tem um salrio por hora totalmente sobrecarregados de US $ 30, ento este
um 300.000 dlares
impacto. Agora que uma figura perda potencial tem sido estabelecido,
mais fcil tomar decises de remediao de risco.
As perdas de receitas pode tambm ser determinada de modo semelhante. Se
um
empresa tem um site de e-commerce que est produzindo
EUA $ 1 milho de receita a cada dia, em seguida, uma negao de servio
(DoS) ataque que dura meio dia cria uma perda EUA US $ 500.000.
discutvel se a este tipo de ataque seria apenas for
clientes a atrasar suas compras ou se eles iriam
simplesmente ir para um concorrente. No entanto, qualquer percepo pblica
da
uma organizao de ser vtima de um ataque de hackers, se
informaes confidenciais foi comprometida ou no, muitas vezes, resultar em
a perda da confiana do cliente.
Enquanto produtividade e receita perdas so consideradas direto
perdas, perdas indiretas podem incluir o nmero de horas adicionais
funcionrios tm que trabalhar para responder e se recuperar de um incidente.
Outro custo direto pode ser os esforos de proteo adicionais resultantes
a partir de um compromisso.
Ao considerar os custos, o custo total de propriedade (TCO)
deve ser considerado para o ciclo de vida completo do controle ou
contramedida. Isto pode incluir elementos como:
Os custos de aquisio
os custos de implantao e implementao
recorrentes custos de manuteno

custos de testes e avaliao
O controlo do cumprimento e execuo
inconveniente para os usurios
Reduo da taxa de transferncia de processos controlados
Formao em novos procedimentos ou tecnologias como aplicvel
Fim de desmantelamento vida
2.10.15 risco reavaliao dos eventos que afetam
Gestores de segurana da informao precisa monitorar e avaliar
eventos que afetam as linhas de base de segurana e, portanto, pode afetar a
programa de segurana da organizao. Com base nesta avaliao, a
gerente de segurana da informao deve determinar se a organizao
planos de segurana e planos de teste requer modificao.
Linhas de base de segurana pode ser modificada por vrias razes, pois
exemplo, um fornecedor identifica que um parmetro no seu software ou
hardware deve ser alterado para alcanar a proteo desejada.
Outra razo pode ser um evento externo que requer aumento
linhas de base. Por exemplo, se h um protesto ou outra agitao civil perto
instalaes da organizao, a linha de base para a segurana fsica pode
precisa de ser aumentada para um perodo de tempo at que ameaa passa.
2.11 Informaes sobre o recurso de valorizao
O processo de avaliao, que consiste em relacionar todos os valores numa
forma financeira comum, pode ser simples para alguns ativos.
Hardware pode ser facilmente avaliada com base em custos de substituio. O
valor de informaes, em alguns casos, o custo de recriar ou
restaur-lo. Em outros casos, o valor est relacionado com a consequente
custos e possveis sanes regulamentares decorrentes da
exposio de informaes confidenciais ou comerciais segredos.
O impacto ou as conseqncias de uma violao de identificao pessoal
a informao pode ser sanes reguladoras e tambm podem incluir
os indivduos que sofrem processos perdas de roubo de identidade para
arquivamento
danos, bem como possveis aes judiciais coletivas em nome dos
milhares de vtimas. Outra conseqncia a reputao
danos, muitas vezes resultando em perda de valor das aes. Claramente,
neste
caso, a avaliao no pode ser baseado no valor intrnseco do
informao, que pode ser baixo ou zero. Em vez disso, a avaliao deve ser
com base no intervalo total de perdas e impactos potenciais.
Os materiais de marketing so outro tipo de informao sem
valor intrnseco, mas que podem, no entanto, criar no intencional
passivo e, por conseguinte, o risco de que deve ser considerado. Inexato
representaes de produtos ou servios, ou de informaes que conduzem
Custo Total por incidente
4,8 milhes dlares

$ 182/record
Os custos indiretos de produtividade
0,8 milhes dlares
$ 30/record
Custos diretos Incremenal
1.400 mil dlares
$ 54/record
Cliente
Custos de Oportunidade
2,6 milho dlares
$ 98/record
Custo de Recuperao Exhibit 2.14-PGP/Vontu Breach 2006
Pgina 116

Seo Dois: Contedo
112
de errado na deciso dos investidores pode resultar em perdas significativas
como
conseqncia de vrios processos judiciais. Portanto, um prudente
organizao deve considerar assegurar a reviso sistemtica e
controle da informao para gerenciar o risco de eventual responsabilidade
criado por informaes divulgadas publicamente.
As categorias de ativos de informao tpicos incluem:
As informaes proprietrias
Os segredos comerciais
Informao de Patentes
Informaes de identificao pessoal (PII)
Informaes sobre direitos autorais
2.11.1 Informaes sobre o recurso de valorizao
estratgias
As empresas costumam encontrar valorizao de recursos problemtico e
muitas vezes no comprometem o esforo. Muitas vezes as empresas no tm
um
lista precisa de seus ativos de informao, eo esforo para inventrio
e categorizar esses ativos pode aparecer uma tarefa intransponvel.
Outra razo que, mesmo quando os bens so conhecidos, frequentemente
difcil colocar um valor exato sobre os ativos, como PII ou comrcio
segredos, embora, como veremos, isso no totalmente necessrio.
Na maioria dos casos, a avaliao de recursos eficaz mais baseado em perda
cenrios. Informaes podem ser classificados e colocados em uma matriz

com
cada cenrio de perda para tornar um problema complexo mais gerencivel
e compreensvel. Veja exibem 2.15 .
A preciso da avaliao no to crtico como tendo
uma abordagem para priorizar esforos. Os valores dentro do mesmo
ordem de grandeza que a perda real (que deveria ocorrer)
so suficientes para fins de planejamento. Existem muitos
cenrios de perda de bem documentados e os montantes das perdas com
para fundamentar uma avaliao nos relatrios de mdia. Uma boa fonte
de informao est
www.attrition.org,
que mantm uma base de dados
de violaes de dados e perdas para um nmero de anos.
2.11.2 Informaes sobre o recurso de valorizao
Metodologias
Avaliao patrimonial ou recurso pode ser complexo e demorado, mas
uma empresa essencial necessrio para uma informao eficaz
programa de gesto de riscos. Os vrios recursos de informao
metodologias de avaliao utilizam muitas variveis diferentes. Estes
variveis pode incluir o nvel de complexidade tcnica e o nvel
de potencial perda financeira direta e consequente. Quantitativo
metodologias de avaliao geralmente ser o mais preciso, mas pode
ser bastante complexo, uma vez impactos reais e jusante foram
analisados. Outra metodologia de avaliao que por vezes utilizado
, onde uma deciso independente de julgamento ou de natureza qualitativa
feita com base no conhecimento, gesto executiva de negcios
directivas, perspectivas histricas, objetivos de negcio e do meio ambiente
fatores. H situaes em que os dados quantitativos no so
disponvel e esse mtodo alternativo a nica opo. Muitos
gestores de sistemas de informao usam uma combinao de tcnicas. Em
Nalguns casos, simplesmente atribuir o valor com base em uma escala
subjectiva de
baixa, mdia e alta pode ser satisfatrio.
A abordagem mais simples o valor monetrio que
representa o valor do preo de compra, o custo de reposio ou o livro se
que representativo da importncia para a organizao. Se
se no, outras abordagens tm de ser considerados. Se ele um ativo que
direta ou indiretamente, gera receita, um valor calculado como
valor presente lquido (VPL) pode ser uma abordagem razovel.
Outra abordagem a de considerar o valor agregado ou outro mais
valores intangveis, mas sem dvida mais importantes. Por exemplo, uma
aplicao e servidor de e-commerce pode ter apenas hardware e
custos de EUA $ 50.000, mas de software so um componente essencial
na gerao de milhes de dlares em receita todos os meses. Nesta situao,
valor pode ser calculado em termos de gerao de receita ou a

impacto financeiro para qualquer tempo de inatividade imprevisto.
Os ativos intangveis que podem revelar-se difcil de quantificar so os
A reputao da organizao e confiana do consumidor. Embora a pirataria
incidente em si no pode criar quaisquer perdas diretas, os clientes podem
sair devido a falta de confiana na organizao, especialmente se
existem concorrentes fortes.
O estudo PGP-Vontu mencionado anteriormente, de 31 comprometido
organizaes descobriram que 19% dos clientes deixou de fazer negcios
com essas organizaes e outros 40% estavam considerando fazer
assim. Essa desero dramtica susceptvel de ter graves econmica
impacto em qualquer organizao.
Documento 2.15-Matriz de cenrios de perda
Cenrio
Tipo de
Dados
Tamanho de
Perda
Reputao
Perda
Ao judicial
Perda
Multas /
Reg
Perda
Mercado
Perda
Esperado
Perda
por ano
Notas
Hacker rouba dados; publicamente
chantagens empresa
Cliente
dados
1K registros
10K registros
EUA US $ 1 milho
EUA US $ 20 milhes
EUA US $ 1 milho
EUA US $ 10 milhes
EUA $ 1
EUA US $ 35 milhes
EUA US $ 1 milho
EUA US $ 5 milhes
EUA US $ 10 milhes
Perda Reguladora de
capacidade de fazer
aquisies por 1 ano
Funcionrio rouba dados; vende
dados para concorrentes
Estratgico
plano
Plano de 3 anos
Mnimo
Mnimo
Mnimo
EUA US $ 20 milhes EUA US $ 2 milhes
Duplicatas Concorrente
novos produtos; traz
no mercado mais rapidamente
Contratado rouba dados; vende
dados para hackers
Empregado
dados
10K registros EUA US $ 5 milhes
EUA US $ 10 milhes
Mnimo
Mnimo
EUA $ 200,000
As fitas de backup e dados
encontrado no lixo; faz
notcia de primeira pgina
Cliente
dados
Registros 10M EUA US $ 20 milhes
EUA US $ 20 milhes
EUA US $ 10 milhes EUA US $ 5 milhes
EUA $ 200,000
Pgina 117

Seo Dois: Contedo
113
Outro exemplo poderia ser resultado de algum roubar clientes '
dados de crdito pessoal. Isso poderia fazer com que a organizao de incorrer
os custos de notificao de um grande nmero de pessoas sobre o incidente
(Sob as leis como o Estado da Califrnia Senado Bill EUA [SB]

1386). Alm disso, este tipo de incidente poderia resultar em potencial
custos relacionados defesa legal; por exemplo, se um processo arquivado
por
aqueles afetados.
Em uma empresa de capital aberto, os ativos intangveis representam o
diferena entre os ativos tangveis como registrados nas finanas
e valor de capitalizao de mercado da empresa. Por exemplo,
uma empresa com uma capitalizao EUA US $ 5 bilhes no mercado tem
EUA $ 1 bilho em ativos tangveis e EUA US $ 4 bilhes em intangvel
ativos. Portanto, 80% do valor da empresa (EUA US $ 4 bilhes)
composta por ativos intangveis. Os ativos intangveis so geralmente
composta
de propriedade intelectual, tais como segredos comerciais, patentes e direitos
autorais,
gesto do conhecimento, a reputao da marca, a cultura corporativa,
a fidelidade do cliente e confiana e inovao. bvio que a maior parte
esses ativos intangveis cair sob a alada da segurana da informao
para fins de proteg-los e preservar seu valor.
Alm disso, o gerente de segurana da informao precisa estar atento
de mudanas em curso na organizao e deve alterar o uso de
metodologias de avaliao para melhor atender s necessidades, como
resultado destes
mudanas. Se os dados quantitativos esto desatualizados e no pode ser
atualizado
em um prazo razovel, pode ser desejvel usar qualitativa
dados ou em lugar de ou para aumentar os dados quantitativos.
Embora uma discusso detalhada sobre os mtodos para o estabelecimento de
intangvel
os valores dos ativos est alm do escopo deste manual, importante
para o gerente de segurana da informao para compreender a avaliao
abordagens ea necessidade para essa atividade.
2.11.3 informaes de ativos classificao
Classificao de ativos da informao necessria para determinar a
sensibilidade relativa e criticidade dos ativos de informao, que
fornecem a base para os esforos de proteo, a continuidade dos negcios
planejamento e controle de acesso. Para as organizaes de maior dimenso,
isso pode ser
uma tarefa difcil, uma vez que no so susceptveis de ser terabytes de
eletrnica
de dados, depsitos de documentos, e milhares de pessoas
e dispositivos. No entanto, sem determinar o valor, a sensibilidade ea
criticalidade (e cada vez mais, os requisitos legais e regulamentares)
dos meios de informao, no possvel desenvolver uma forma eficaz
programa de gesto de riscos, que proporciona a proteo adequada
proporcional sensibilidade, valor ou criticidade.

Nos casos em que a classificao no possvel devido a recurso
restries ou outros motivos, uma opo menos eficaz um negcio
avaliao de dependncia que podem ser utilizados para proporcionar uma
base para
alocao de atividades de proteo. Esta abordagem baseia-se na
recursos de informao que funes crticas de negcios utilizam.
O primeiro passo no processo de classificao a localizao e
identificao de recursos de informao. Em muitas organizaes,
isso pode ser difcil j que muitas vezes no h abrangente
inventrio dos bens vinculados informao. Isto pode ser especialmente
verdadeiro em organizaes maiores, com vrios negcios independente
unidades que faltam uma forte funo de segurana centralizada. O
processo de identificao inclui a determinao da localizao de
os dados, e os proprietrios de dados, usurios e custodiantes. A segurana
gerente deve tambm considerar os dados alojados por servio externo
prestadores de servios. Esses prestadores de servios podem incluir abbada
mdia
e as empresas de arquivo, os processadores de listas de discusso, empresas
que processam
mail contendo informaes da empresa, as empresas que atuam como
mensageiros
ou transportadores de informao, e prestadores de servios de terceiros.
Os prestadores de servios tambm podem incluir centros de dados
fornecendo hospedagem
funes, servios de folha de pagamento ou de administrao de seguro de
sade.
O gerente de segurana da informao trabalhando com as unidades de
negcio
deve determinar a classificao ou nveis de informao adequada
de sensibilidade e criticidade aos recursos de informao, e assegurar
que todos os interessados de negcios e de TI tm a oportunidade de rever
e aprovar as diretrizes estabelecidas para os nveis de controles de acesso.
O nmero de nveis devem ser mantidos a um mnimo. Classificaes
deve ser simples, tais como denominaes por diferentes graus de
sensibilidade e criticidade. Gerentes de usurio final, em coordenao com
o administrador de segurana pode ento usar essas classificaes em sua
processo de avaliao de risco e para auxiliar na determinao dos nveis de
acesso.
Um dos grandes benefcios da classificao de ativos de informao o
reduzido
risco de underprotection eo custo de superproteo de informaes
recursos por amarrar segurana aos objetivos do negcio. Embora seja um
tarefa complicada de implementar a classificao de dados, a longo
benefcios a longo prazo para a organizao so substanciais.
H uma srie de perguntas que devem ser feitas em qualquer

modelo de classificao de ativos de informao, incluindo, mas no
limitada a:
Quantos nveis de classificao so adequados para a organizao?
Como as informaes sero localizados?
O processo usado para determinar a classificao?
Como que as informaes classificadas ser identificados?
Como que vai ser marcado?
Como que vai ser tratado?
Como que vai ser transportado?
Como que as informaes confidenciais sejam armazenados e arquivados?
Qual o ciclo de vida das informaes (criar, atualizar, recuperar,
arquivo, descarte)?
Quais so os processos associados s vrias fases do
informaes sobre o ciclo de vida do ativo?
Como que vai ser mantido de acordo com a poltica ou lei?
Como vai ser destrudo com segurana na extremidade do elemento de
reteno
perodo?
Quem tem a propriedade de informao?
Quem tem direitos de acesso?
Quem tem autoridade para determinar o acesso aos dados?
O que as aprovaes so necessrias para o acesso?
Uma parte importante da classificao da informao no est apenas
aplicando
um rtulo de classificao para cada pea de informao, mas a identificao
medidas de segurana que podem ser consistentemente aplicados a cada nvel.
Como o nvel de sensibilidade ou criticidade aumenta, as medidas de
segurana
deve aumentar em rigor, de modo que, ao mais alto nvel, de segurana
mecanismos so as mais restritivas ou fornecer o maior nvel de
proteo para garantir a disponibilidade. Tambm deve ser lembrado que
sensibilidade e criticalidade requerem diferentes mecanismos de segurana e
processos. Para qualquer informao, um proprietrio pode ter que fazer
tanto uma sensibilidade e uma deciso criticidade.
Pgina 118

Seo Dois: Contedo
114
Mtodos de determinao de Criticidade de Recursos e
Impacto de Eventos Adversos
Existe uma srie de mtodos para determinar a sensibilidade e

criticidade dos recursos de informao, bem como o impacto adverso de
eventos. A BIA frequentemente realizada para identificar o impacto de
efeitos adversos
eventos. Mtodos descritos no COBIT, NIST eo Software
Octave quadro do Instituto de Engenharia so representativos da
recursos o gerente de segurana da informao podem utilizar neste esforo.
uma prtica geralmente aceite de se concentrar sobre o impacto que a perda
de recursos de informao tem sobre a organizao, em vez de um
evento adverso especfico. Desde h numerosos eventos adversos
poderia ocorrer, uma tarefa difcil para listar completamente todos eles. Tal
um esforo, obviamente, no prtico ou de baixo custo.
O primeiro passo para determinar a importncia de fonte de informao a
quebrar a estrutura corporativa ou organizacional em unidades de negcios
ou departamentos. Veja exibem 2,16 . Sob o alto nvel corporativo ou
estrutura organizacional, cada uma das unidades de negcios deve ser
avaliado
pela sua importncia ou valor para o negcio.
Em exposio 2.16 , Unidade de Negcios B dado um nmero um
classificao
uma vez que o mais importante. A importncia geralmente equivale
a receita, mas o valor pode equivaler a funes crticas sendo
realizada. No pode haver tantas unidades ou departamentos como existem,
mas pode ser mais controlvel para ficar em um nvel mais elevado.
A classificao deve ser feita pela equipe de gerncia snior, com base
em sua compreenso da organizao. Este o fundamento
para estabelecer a estrutura de gesto de risco. O parente
valor de importncia das unidades de negcios ou departamentos vai
descem para funes crticas, ativos e recursos.
O prximo passo identificar as funes organizacionais crticos.
O foco para cada unidade de negcios ou departamento definir o que
tarefas so importantes para a unidade na realizao dos seus objetivos. Pode
haver
uma estrutura de dois nveis dentro da camada de funo crtica para
representar
operaes complexas. As funes crticas de negcios so tambm
numericamente avaliado uns contra os outros para ajudar com a priorizao de
esforos de remediao de riscos subsequentes.
Uma vez que as funes crticas foram identificadas, como mostrado
na exposio
2.17 , a estrutura bsica da organizao foi mapeado. Ele
importante reconhecer que a estrutura tem sido focada apenas
em elementos operacionais, e no as tecnologias, aplicaes ou dados.
Esta estrutura progressiva drill-down semelhante a um BIA que
realizada quando a realizao de planejamento de continuidade de

negcios. O
estrutura ir proporcionar uma viso de nvel de gesto de risco e onde
ela reside na organizao.
Na estrutura mostrada na exposio 2,18 , ativos e recursos so a
recipientes de risco. Porque existem vulnerabilidades identificadas com
os ativos que podem ser exploradas por ameaas, no h risco. Ativos, como
unidades de negcio e funes crticas, so numericamente avaliado tambm.
Anexo 2.16-Top Camada de Negcios Estrutura de Risco
Cortesia de Kenneth D. Biery de 2008
Corporativo
Unidade de Negcios
A
(2)
Unidade de Negcios
B
(1)
Unidade de Negcios
C
(3)
Anexo 2.17 Crtica Camada Funo de Negcios Estrutura de Risco
Unidade de Negcios
A
(2)
Unidade de Negcios
B
(1)
Unidade de Negcios
C
(3)
Crtico
Funo
A
(2)
Crtico
Funo
B
(1)
Crtico
Funo
A
(1)
Crtico
Funo
B
(2)
Crtico
Funo
A
(2)
Crtico
Funo
B
(1)
Pgina 119

Seo Dois: Contedo
115
Porque os activos esto associados com a funo de negcios crticos
eles suportam, eles vo ser classificado uns contra os outros a partir da
maioria
importante para o menos importante em seu grupo.
O risco representado na exposio 2,19 o composto de
vulnerabilidades que uma ameaa pode explorar para causar um impacto
negativo
de um ativo. Com a abordagem representada na precedente
diagramas, uma organizao pode ver onde se origina de risco e como
ele pode potencialmente afetar as operaes de negcios. O roll-up e
drill-down natureza desta abordagem til para a gesto de
toda a organizao. Por exemplo, os empresrios podem
quero ver em que nvel de risco as suas funes crticas esto em ordem
para ser capaz de definir uma agenda de prioridades para corrigir
vulnerabilidades
ou priorizar os esforos de proteo.
A capacidade de determinar o risco identificado como pode impactar negcios
operaes demonstrado na exposio 2,20 , que o conjunto
elementos discutidos acima. Ele mostra como a exposio ao risco pode
potencialmente impactar alguns dos ativos mais valiosos da empresa.
A estrutura mostrada na figura ajuda a gesto e
a equipe de segurana alinhar e priorizar seus esforos nesse sentido.
2.11.4 Avaliao de Impacto e anlise
Uma abordagem comum para a realizao de avaliaes de impacto
identificar a proposta de valor de um ativo para a organizao em termos de:
O custo de substituio
O impacto associado com a perda da integridade
O impacto associado com a perda de disponibilidade

O impacto associado perda de confidencialidade
comum que essas avaliaes para determinar apenas um pior caso
resultado, o que mostra a experincia ocorre em uma minoria de eventos.
Como resultado dessa "inflao impacto", gesto, muitas vezes desconta
essas avaliaes como irrealista.
Uma abordagem mais eficaz envolve a execuo de um razoavelmente
pequeno
conjunto de anlises de cenrios com as partes interessadas da organizaochave, onde um
gama de resultados possveis determinado. Esta gama de resultados
em seguida, utilizada para definir uma distribuio quantitativa de magnitudes
de impacto,
incluindo mnimo, mximo, e, provavelmente, incluindo valores como
bem como um nvel de confiana. Estes valores podem ento ser usadas como
entradas
aos mtodos de anlise quantitativa (por exemplo, simulaes de Monte Carlo
para
determinar distribuio de probabilidade) que descrevem com mais preciso
para
gesto do potencial impacto real.
A outra vantagem dessa abordagem que ela fornece mais de perto
assemelha-se ao tipo de dados de impacto que a administrao recebe do
outros domnios de risco empresarial (por exemplo, investimento, marketing,
crdito,
etc). Este alinhamento melhora a capacidade da administrao para fazer uma
mas com mas comparao e decises de risco bem informadas.
O prximo grande passo no nvel de risco de medio determinar
o impacto negativo resultante de uma ameaa de sucesso da explorao de
uma
vulnerabilidade. Antes de iniciar a anlise do impacto de um conjunto
especfico
Documento 2.18-alinhamento Ativos Critical Camada Funo
Crtico
Funo
A
(2)
Crtico
Funo
B
(1)
Crtico
Funo
A
(1)
Crtico
Funo
B
(2)
Crtico
Funo
A
(2)
Crtico
Funo
B
(1)
1
2
2
1
1
2
Anexo 2.19 Ativos Vulnerabilidades
1
2
2
1
1
2
Risco
Risco
Risco
Risco
Risco
Risco
Risco
Risco
Pgina 120

Seo Dois: Contedo
116
de recursos, necessrio obter as seguintes informaes:
misso do sistema (por exemplo, os processos realizados pelo sistema de TI
ou pessoal)
Sistema (manual ou tcnico) e criticidade dos dados (por exemplo, o
valor do sistema ou importncia para uma organizao)
Sistema, pessoal e criticidade de dados (os impactos associados
com a divulgao no intencional)
Esta informao pode ser obtida a partir de realizao de um ou de BIA
documentao organizacional existente, como um impacto misso
relatrio de anlise ou ativo relatrio de avaliao de criticidade, se existirem.
A avaliao do impacto da misso e anlise ou BIA prioriza a
nveis de impacto associados com o compromisso de uma organizao de
ativos de informao com base em uma pesquisa qualitativa ou quantitativa
avaliao da criticidade desses activos. Um criticidade de ativos
avaliao identifica e prioriza a organizao crtica
ativos de informao (por exemplo, hardware, software, sistemas, servios,
e ativos de tecnologia relacionados) que suportam a organizao do
misses crticas.
Se esta documentao no existe ou tais avaliaes para a
ativos de informao da organizao no foram realizados, o
sistema e dados de sensibilidade pode ser determinado com base no nvel
de proteco exigido para manter a disponibilidade, integridade e
confidencialidade do sistema e dos dados.
O impacto negativo de um evento de segurana pode ser descrita em termos
de perda ou degradao ou qualquer combinao de integridade,
disponibilidade
e confidencialidade.
perda de integridade integridade do sistema e de dados refere-se
exigncia de que a informao seja protegido contra imprpria
modificao. Integridade perdido se no autorizado ou errnea
alteraes so feitas ao sistema de dados ou de TI, ou intencional
ou atos acidentais. Se a perda de integridade de dados do sistema ou
no corrigido, o uso continuado do sistema contaminados ou
dados corrompidos pode resultar em corrupo mais amplo, fraude ou
decises mal informado. Alm disso, a violao da integridade pode ser o
primeiro passo de um ataque bem-sucedido contra a disponibilidade do
sistema ou
confidencialidade.
Perda de Disponibilidade -Se um sistema de TI de misso crtica ou
processo
no estar disponvel para seus usurios finais, a misso da organizao pode
ser afetado. A perda da funcionalidade do sistema operacional e
eficcia, por exemplo, pode resultar em perda de tempo produtivo,
impedindo a users'performance final das suas funes
apoiar a misso da organizao.
Perda de Confidencialidade -Neste contexto, refere-se a confidencialidade
para a proteo de informaes contra a divulgao no autorizada.
O impacto da divulgao no autorizada de informaes confidenciais

informaes podem variar desde o comprometimento da segurana nacional
para a divulgao de dados dos consumidores privados. No autorizada,
divulgao inesperada, ou no intencional de consumidores privados ou
outros dados regulamentados pode resultar em perda de confiana pblica,
perda
da base de clientes, e uma ao legal contra a organizao.
Alguns impactos tangveis pode ser medido quantitativamente em Lost
receita, o custo de reparao do sistema ou do nvel de esforo
necessria para corrigir problemas causados por um compromisso. Outro
impactos (por exemplo, perda de confiana pblica, perda de credibilidade,
dano ao interesse de uma organizao) no pode ser medido em
unidades especficas, mas pode ser qualificado ou descrita em termos de alta,
mdio e baixo impacto.
Anexo Estrutura 2.20-Combined Impacto do risco
Crtico
Funo
A
(2)
Crtico
Funo
B
(1)
Crtico
Funo
A
(1)
Crtico
Funo
B
(2)
Crtico
Funo
A
(2)
Crtico
Funo
B
(1)
Corporativo
Unidade de Negcios
A
(2)
Unidade de Negcios
B
(1)
Unidade de Negcios
C
(3)
1
2
2
1
1
2
Risco
Risco
Risco
Risco
Risco
Risco
Risco
Risco
Pgina 121

Seo Dois: Contedo
117
Na realizao de uma anlise de impacto, deve-se considerar
as vantagens e desvantagens de quantitativa contra
avaliaes qualitativas. A principal vantagem do qualitativa
anlise de impacto que ele prioriza o risco e identifica reas
para melhoria imediata na resoluo das vulnerabilidades.
A desvantagem da anlise qualitativa que ela no faz
fornecer medies quantificveis especficos da magnitude
dos impactos, portanto, fazer uma anlise de custo-benefcio de qualquer
Recomenda controlos difceis.
A principal vantagem de uma anlise quantitativa do impacto que ele
fornece uma medida da impacts'magnitude, que pode ser
utilizados na anlise de custo-benefcio dos controlos recomendados.
A desvantagem que, dependendo dos intervalos numricos
utilizado para expressar a medio, o significado do quantitativo
anlise de impacto pode no ser claro, exigindo que o resultado seja
interpretada de forma qualitativa. Outros fatores tambm devem
ser considerados para determinar a magnitude do impacto, tal como o
gama de possveis erros na estimativa ou clculos.
Objetivos 2.12 tempo de recuperao

O gerente de segurana da informao deve compreender recuperao
objetivos de tempo (RTO) e como eles se aplicam organizao do
recursos de informao como parte da avaliao geral de risco.
Necessidades de negcio da organizao vai ditar o RTO, que
geralmente definida como a quantidade de tempo para se recuperar uma
aceitveis
nvel de operaes normais. O recurso de informao funcional
criticidade, as prioridades de recuperao e de compensao pelas
interdependncias
os custos so variveis que determinaro o RTO.
Determinar RTO pode depender de uma srie de fatores, incluindo
a necessidade cclica (hora do dia, semana, ms ou ano) da
informao e organizao, as interdependncias entre o
informaes e requisitos da organizao, bem como a
custo de opes disponveis. Requisitos da organizao pode
ser baseada nas necessidades dos clientes, obrigaes contratuais ou SLAs,
e, possivelmente, os requisitos regulamentares. A segurana da informao
gestor deve considerar que a RTO pode variar com o tempo
do ms ou do ano. As informaes financeiras pode no ser to crtico
no incio do ms, quando o novo ms fiscal est sendo
aberto. Esta mesma informao provvel que seja muito crtica no
final do ms, quando os relatrios financeiros mensais esto sendo
elaboradas e do perodo contbil est sendo fechado. O momento da
ciclos de negcios e sua dependncia de informaes precisa ser
considerados como parte da classificao da informao.
RTO so determinados atravs da realizao de uma BIA de coordenao
com o desenvolvimento de um plano de continuidade de negcios (BCP). A
BIA
geralmente realizada atravs de entrevistas com proprietrios de informao
para
obter a sua perspectiva sobre o custo associado com uma prolongada
interrupo no servio de um sistema de negcio ou processo. Freqentemente
h duas perspectivas para RTO. Um deles a perspectiva de
as pessoas cujo trabalho utilizar a informao ea
outra a viso da alta administrao, que deve considerar os custos
e pode precisar de arbitrar entre as unidades de negcios que competem para
recursos. Uma informao de recursos que um supervisor divisional
pode acreditar que fundamental no pode ser crtico aos olhos do
vice-presidente de operaes, que capaz de incluir o total
risco organizacional na avaliao da RTO.
O gerente de segurana da informao deve entender que
ambas as perspectivas so importantes e trabalhar em direo a uma RTO que
considera-los. O resultado tambm vai contribuir para o BCP, o escopo
dos servios a serem restaurados e ordem de prioridade para a recuperao
de sistemas. No final, a deciso final a de snior

gesto. A alta gerncia est na melhor posio para
arbitrar as necessidades e exigncias dos diferentes componentes
do negcio, tais como os requisitos regulamentares a que o
organizao est sujeita, e determinar quais processos so os
mais crtico para a sobrevivncia contnua do negcio, bem como
determinar os custos aceitveis.
2.12.1 RTO e sua relao com o negcio
Planejamento de continuidade e contingncia
objetivos de planejamento e processos
O conhecimento da RTO para sistemas de informao e sua
dados associados necessrio para uma organizao desenvolver e
implementar um programa eficaz BCP. Uma vez que os RTO so conhecidos,
a organizao pode identificar e desenvolver estratgias de contingncia
que vo ao encontro das RTOs dos recursos de informao. O RTO
ir conduzir a ordem de prioridade para a restaurao dos servios e, em
certos casos, a seleo de tecnologias de recuperao especficas em
situaes em que o RTO curto.
Um fator crtico no desenvolvimento de processos de contingncia o custo.
Proprietrios do sistema, invariavelmente preferem RTOs mais curtas, mas as
compensaes
em custo no pode ser garantida. Perto instantnea recuperao pode
ser alcanado, quando necessrio, utilizando tecnologias como espelhamento
dos meios de informao, de modo que, em caso de uma interrupo, o
recursos de informao esto sempre disponveis rapidamente. Em geral, o
custo de recuperao menor se a RTO para um determinado recurso mais
longo.
H um ponto de equilbrio do perodo de tempo para determinar o
RTO, em que o impacto da interrupo comea a ser maior
que o custo de recuperao. A durao deste perodo de tempo depende
sobre a natureza da perturbao de negcios e os recursos
envolvido. Qualitativa, bem como devem ser tomadas as questes
quantitativas
em considerao, pois a perda de confiana dos clientes, mesmo que isso
no pode ser estimado, pode ter um impacto negativo de longo prazo sobre o
organizao. A maioria das organizaes podem reduzir os seus RTOs, mas
h
um custo associado.
2.12.2 objetivos de ponto de recuperao
O objetivo de ponto de recuperao (RPO) determinado com base no
perda de dados aceitvel em caso de interrupo das operaes. Indica
o mais recente ponto de tempo para o qual aceitvel para recuperar
os dados. RPO efetivamente quantifica a quantidade admissvel de
perda de dados em caso de interrupo. Enquanto este tipicamente o alcance
da
continuidade de negcios e planejamento de recuperao de desastre, uma

importante
considerao ao desenvolver uma estratgia de gesto de risco.
Em particular, o RPO ir ter um efeito sobre a viabilidade dos
RTOs curtas, que devem ser considerados a partir de uma gesto de riscos
perspectiva. Se a RPO muito distante e a restaurao de dados
demorado, no pode ser possvel conseguir um curto
tempo de recuperao.
Pgina 122

Seo Dois: Contedo
118
Objetivos entrega 2.12.3 servio
Objetivos a prestao de servios (SDOs) so definidos como o mnimo
nvel de servio que deve ser restaurado depois de um evento para atender
requisitos de negcios at as operaes normais podem ser retomadas.
SDOs sero afetados por ambas as RTOs e os centros de investigao e
tambm deve ser
considerado em qualquer estratgia e implementao de gesto de risco.
Nveis mais elevados de servio em geral, exigem maiores recursos como
bem como os centros de investigao mais atuais.
2.12.4 Os prestadores de servios de terceiros
Uma organizao tpica usa muitos recursos de informao de apoio
de seus processos de negcio. Estes recursos podem se originar dentro do
organizao ou ser fornecido por entidades externas organizao.
A maioria das organizaes vai usar uma combinao dos dois. O
gerente de segurana da informao precisa estar ciente da localizao
e permisses de acesso para todos os recursos de informao, uma vez que
todos eles
requerem proteo, independentemente de quem est processando eles.
Para o gerente de segurana da informao, h uma srie de
consideraes para abordar quando a terceirizao, que incluem:
Assegurar que a organizao possui controles adequados e
processos para facilitar a terceirizao
Assegurar que no h risco de informao adequada
clusulas de gesto do contrato de outsourcing
Assegurar que a avaliao de risco realizada para que o processo
ser terceirizada
Assegurar que um nvel adequado de due diligence realizada
antes da assinatura do contrato
A gesto do risco de informaes para servios terceirizados no dia-
a-dia
Assegurar que as alteraes materiais para o relacionamento so sinalizadas
e novas avaliaes de risco so realizadas conforme exigido
Garantir que os processos apropriados sejam seguidos quando as relaes
so terminou
Consideraes ao terceirizao de servios:
Terceirizao ou planejando terceirizar funes crticas de negcio
geralmente aumenta o risco de informaes.
A complexidade do gerenciamento de risco da informao maior em
terceirizao de arranjos pela separao de responsabilidade para
especificao de controle e implementao de controle.
A separao de responsabilidades para a especificao de controle e
implementao de controle superada pelo contrato de terceirizao.
Isto sublinha a importncia do contrato como o principal mtodo
atravs do qual a organizao pode gerenciar seu risco de informaes.
Quando a funo de negcios terceirizados opera dentro de um
indstria regulamentada, o contrato de terceirizao precisa explicitamente
atender s exigncias regulamentares.
A complexidade da avaliao de risco de informao aumentada
em acordos de subcontratao, desde h trs tipos
de risco de informaes para avaliar: a funo de negcios, o
terceirizao provedor e terceirizao em si.
O estilo do contrato global eo valor da inovao
contribudo pelo provedor tem um grande impacto sobre a forma como
que os requisitos de gerenciamento de riscos da informao so especificados.
A relao entre a organizao ea terceirizao
provedor, muitas vezes contribui mais para risco de informao eficaz
gesto em um arranjo de terceirizao do que o contrato.
Porque algumas empresas permanecem, risco informaes estticas
gesto dentro do acordo de terceirizao deve evoluir de modo
que continua a ser relevante para as necessidades da organizao.
A estratgia de sada para o arranjo de terceirizao pelo menos
to importante como a transio inicial. Deve ser desenvolvido em
a fase de planejamento e incluiu no contrato a fim de facilitar o
disponibilidade contnua da funo de negcios terceirizados. O
estratgia de sada demasiado importante para deixar at que a terceirizao
arranjo vem da sua celebrao.
Os requisitos de gesto de risco de informao para terceirizados
funes de negcio so diferentes daquelas para as funes em casa
e, em muitos casos, so maiores. Depois que o risco da informao
foi analisado e os controlos tenham sido identificados, estes
controles devem ser definidas dentro do contrato para o provedor
para implementar. Terceirizao de resultados em uma desconexo entre
definir os controles e sua implementao. Anexo 2.21
fornece uma viso simplista dessa separao das responsabilidades
da organizao versus aqueles do fornecedor.

O gerente de segurana da informao deve estar ciente de que, apesar de
a organizao pode terceirizar gesto de riscos da informao para um
terceiro, que, geralmente, no pode terceirizar a responsabilidade.
Risco
Avaliao
Controle
Definio
Responsabilidades da Organizao
Desconexo
Responsabilidades do Provedor
A desconexo entre a definio e controle de controle
implementao de um acordo de terceirizao
Controle
Implementao
Controle
Monitorao
Anexo 2.21 Desconexo de Responsabilidades com provedores
terceirizados
Pgina 123

Seo Dois: Contedo
119
A desconexo entre a definio e controle de controle
implementao torna o gerenciamento do risco associado
terceirizao de funes de negcio complexo e torna a
terceirizao contrato essencial na gesto de riscos da informao. O
desafio para o gerente de segurana da informao est em como definir
e implementar controles de informao de gesto de risco em diferentes
terceirizado funes de negcios em toda a organizao.
O problema do negcio a necessidade de definir e implementar
medidas de gesto de riscos da informao para proteger as informaes
dentro de funes de negcio que foram entregues a terceiros para
operar em uma base dia-a-dia.
Recomendaes de risco Informaes para iniciativas de terceirizao:
envolvimento atempada de informao de gesto de risco
profissionais para garantir a avaliao dos riscos e controles
definio
Certifique-se de que as principais informaes controles de gerenciamento
de risco so
negociado no contrato
Certifique-se de mecanismos para negociar pequenas alteraes nas

informaes
gesto de risco controla uma vez que podem ser caro
Certifique-se que muda para controles de gerenciamento de risco da
informao
no so difceis e complicadas
Certifique-se de mecanismos para obter informaes sobre se a informao
risco esto a ser geridos de forma eficaz
Certifique-se de mecanismos para compensar a falta de confiana no
pessoal do provedor
Recursos de informao terceirizados pode apresentar uma informao
gerente de segurana com outros desafios, incluindo externo
organizaes que podem estar relutantes em compartilhar detalhes tcnicos
sobre o
natureza e extenso dos seus mecanismos de proteo de informaes. Este
faz com que seja fundamental para garantir que os nveis adequados de
proteco especificados
esto includos no SLAs e outros contratos de terceirizao. Um comum
abordagem especificar requisitos para auditorias especficas, tais como
SAS 70 nvel 2 (Declarao sobre Normas de Auditoria n 70., Servio de
Organizao, desenvolvido pela AICPA) ou certificao ISO 27001.
tambm importante para analisar SAS 70 ou outros relatrios de auditoria
sobre
recibo de comentrios auditor de terceiros e, se presentes, comentrios
sobre a eficcia de controle do cliente e conformidade com a poltica. Nota
que SAS 70 relatrios muitas vezes no so suficientes por si ss, uma vez
os critrios foram definidos pela organizao em questo.
Para relacionamentos de alto risco, geralmente prefervel basear-se
avaliaes de conformidade peridicas conduzidas diretamente pelo
abastecimento
organizao ou um terceiro contratado.
De uma perspectiva de gerenciamento de riscos, tambm importante que
gerenciamento de incidentes e resposta, BCP / DRP e testes incluem
todos os servios de terceiros importantes e funes. Isto inclui
implementao de uma deteco de incidente bem definido e testado,
escalada e plano de resposta em conjunto com as entidades de terceirizao.
Para as organizaes regulamentadas, como as instituies financeiras no
muitas vezes um requisito de tempo para a notificao das agncias
reguladoras
sobre eventos suspeitas envolvendo informaes regulamentares.
Os contratos com terceiros devem garantir que os processos so
criado para apoiar tais notificaes.
Outra rea muitas vezes negligenciada diz respeito fornecedor de terceiros
viabilidade financeira. Como os contratos de terceirizao so muitas vezes
premiado
aos licitantes de baixo custo, o risco de a organizao de terceirizao

para continuar a operar de acordo com o contrato e para honrar
quaisquer acordos de indenizao pode ser em funo de sua financeira
capacidades. A informao financeira pode ser obtido a partir de uma
variedade
de fontes, incluindo relatrios de crdito, US Securities and Exchange
Arquivamentos da Comisso de empresas de capital aberto, relatrios anuais,
etc Se tais certificaes no esto disponveis, a informao deve ser
obtida a partir de provedores de informaes suficientes para determinar
como as entidades externas esto garantindo os ativos de informao.
Alguma parcela de risco associado com informaes terceirizada
servios podem ser transferidos atravs da incorporao de clusulas de
indenizao em
SLAs. Clusulas-chave que devem fazer parte de um SLA deve incluir,
mas no esto limitados a:
Direito de auditoria fornecedores livros de contas e instalaes
direito de rever os seus processos
Insistncia em procedimentos operacionais padro (POPs)
Direito de avaliar as habilidades dos recursos do vendedor
Informao prvia, se os recursos utilizados devem ser alterados
2.13 Integrao com o ciclo de vida
Processos
A garantia de que a identificao de riscos, anlise e atividades de mitigao
so integrados em processos de ciclo de vida uma tarefa importante de
gesto de segurana da informao. A maioria das organizaes tm
alterar os procedimentos de gesto que podem fornecer as informaes
gerente de segurana com uma abordagem para a implementao de risco
gesto de processos em uma base contnua. Desde alteraes em qualquer
fonte de informao so susceptveis de introduzir novas vulnerabilidades
e mudar a equao geral de risco, importante que o
gerente de segurana da informao est ciente das modificaes propostas.
A gesto da mudana um princpio de organizaes bem geridas.
Mas, como a computao distribuda se tornou a norma e as mudanas
Foram feitas mais facilmente num ambiente dispersa por pessoas
com conhecimento limitado, as organizaes muitas vezes experimentado a
falta
de padronizao em seus ambientes de hardware e software.
Percebendo isso, a administrao na maioria das organizaes tm
instituiu procedimentos de gerenciamento de mudanas mais robustas e, como
conseqncia, comearam a alcanar um melhor controle sobre o
recursos de informao da empresa. Isto , evidentemente, um movimento
alvo, e organizaes com operaes remotas so, em alguns
casos, ainda encontrando gesto de mudana eficaz uma meta distante.
As organizaes tambm tm tipicamente instituiu gesto da mudana para
outras reas da empresa e para uma variedade de atividades comerciais
bem como os fatores ambientais e instalaes. O benefcio destas

atividades que muitas organizaes tm agora de gerenciamento de
mudanas
procedimentos que abrangem toda a organizao. As informaes
gestor de segurana deve estar ciente destas gesto da mudana
atividades e garantir que a segurana bem entrincheirados para que as
alteraes so
no feito sem considerar as implicaes para a segurana global
de recursos de informao da organizao. Um mtodo de ajudar
de garantir isso para a gesto de segurana da informao para participar
como um membro do comit de gesto da mudana e garantir que
todas as mudanas significativas esto sujeitas reviso e aprovao por
segurana
e conhea a poltica e as exigncias de normas.
Pgina 124

Seo Dois: Contedo
120
Embora o foco normal em endereos de gerenciamento de mudanas
de hardware e software mudanas (teste, sign-offs, etc) e
possivelmente impacto de segurana, o processo de gesto da mudana deve
estender bem alm dos proprietrios do sistema e da populao de TI. O
processo de gesto da mudana deve incluir instalaes de gesto
no que diz respeito infra-estrutura do centro de dados e qualquer outra rea
que
pode afetar a segurana global da informao (por exemplo, acesso fsico
controle de reas sensveis ou crticos).
O impacto da gesto da mudana deve abordar sistema e
janelas instalaes de manuteno com instalaes de pessoal (muitas vezes
terceirizado) e gesto de continuidade de negcios. Muitas vezes
alteraes no so documentados em tempo hbil dentro dessas reas.
Instalaes podem no ter desenhos de linha nica atuais e azul
impresses. Do mesmo modo, infra-estrutura informtica / configurao
gesto no pode ter as mudanas corretamente documentados
ou atualizado em tempo hbil. A continuidade dos negcios tambm pode cair
atrs em atualizaes relevantes quando essas atualizaes ocorrem em ciclos.
Resposta de emergncia e continuidade de negcios tambm podem sofrer
lapsos de comunicao quando os processos atuais e as mudanas so
no revisado dentro das reas de infra-estrutura instalaes.
Instalaes de pessoal, muitas vezes tm acesso ao monitoramento ambiental
e sistemas de controle do sistema (gesto do edifcio [BMS] /
controle de superviso e aquisio de dados [] sistemas SCADA)

para o aquecimento, ventilao e ar condicionado (HVAC), gua e
sistemas de energia eltrica, ou de controle de acesso fsico mesmo. Estes so
frequentemente
programado para acesso remoto a computadores, uma rea que muitas vezes
escapa
superviso de segurana da informao. Sistemas de segurana fsica e
controle
foram desenhados dentro do contexto da sua ser implantado dentro
um ambiente fechado / controlada.
Sistemas de cmeras de circuito fechado, uma vez configurado para transmitir
dados atravs da rede de backbone so frequentemente integrados com a TI
infra-estrutura, o que representa o risco de comprometimento a esses sistemas
a partir de instalaes de TI e rede.
Sistemas de TI tambm pode ser comprometida devido a vulnerabilidades na
sistema de segurana fsica. Sistemas de segurana fsica e controle,
devido sua importncia na proteo de instalaes e
pessoas, pode ser parte da infra-estrutura crtica da organizao.
A proteo desses sistemas, o seu cdigo do sistema e dados
pode precisar de ser integrado em planos de classificao de segurana.
Contratos de servios de Instalaes de apoio a fsica e controle
sistemas, muitas vezes tm clusulas de resposta a emergncias. No entanto,
aqueles
contratos devem ser revistos, porque eles podem no ter adequado
SLAs ou deixar de fornecer detalhes e responsabilidade suficientes para um
resposta de emergncia adequado. A aplicao de alta disponibilidade pode
sofrer impactos nos negcios imprevistos como resultado de instalaes
fracassos.
Partes internas ou externas gerenciando as instalaes so, por vezes,
negligenciado de uma perspectiva de gerenciamento de risco. Estes so
tambm
as reas vulnerveis, porque os seres humanos representam o maior
ameaa segurana da informao. Os seres humanos esto sujeitos a
negligncia no cumprimento de processos estabelecidos, a ignorncia
ameaas de conhecidos, conluio ou comportamento emocional. importante
para incluir este fator na avaliao do risco para a informao crtica
recursos. Exemplos de partes internas so os operadores que
so concedidos, por papis de trabalho, o acesso fsico direto aos sistemas
e instalaes. Partes externas que possam representar um risco incluem a
agentes de manuteno, por exemplo, a limpeza ou a equipe de manuteno,
etc Possvel
controles so seleo do fundo, termos de emprego, anual
assinatura de adeso ao cdigo de conduta, ou termos contratuais
no caso de entidades externas.
Ao integrar a identificao de riscos, anlise e mitigao
atividades em gesto da mudana (processos de ciclo de vida), o

gerente de segurana da informao pode garantir que as informaes crticas
recursos sejam devidamente protegidos. Esta uma abordagem pr-ativa,
permitindo que o gerente de segurana da informao para melhor planejar e
implementar polticas e procedimentos de segurana em alinhamento com a
metas e objetivos de negcios da organizao. Tambm permite
segurana da informao controla a ser interveio em uma atividade que
detm o maior potencial para degradar os controles existentes.
2.13.1 Gesto de Risco para ele sisteMa
Desenvolvimento do Ciclo de Vida
De acordo com a publicao NIST 800-30, minimizando negativo
impacto sobre uma organizao e necessidade de uma base slida na deciso
fabricao so as organizaes razes fundamentais implementar
um processo de gesto de risco para os seus sistemas de TI. Eficaz
gesto de riscos deve ser totalmente integrado ao sistema
ciclo de vida de desenvolvimento (SDLC). SDLC de um sistema de TI tem
cinco
fases: iniciao, desenvolvimento ou aquisio, implementao,
operao ou manuteno, e eliminao. Em alguns casos, um IT
sistema pode ocupar vrias dessas fases ao mesmo tempo.
No entanto, a metodologia de gerenciamento de risco o mesmo,
independentemente da fase SDLC para que a avaliao est sendo
realizada. A gesto de riscos um processo iterativo que pode ser
realizada durante cada grande fase do SDLC. Anexo 2.22
descreve as caractersticas de cada fase SDLC e indica
como a gesto de riscos pode ser realizada em apoio de cada fase.
2.13.2 vida baseada CiClo Gesto de Risco
Princpios e Prticas
Desde a gesto de riscos um processo contnuo, a informao
gestor de segurana deve ver-se a gesto de riscos como tendo um
ciclo de vida. Este ciclo de vida pode compreender a avaliao, tratamento e
fases de monitorao. Empregando uma gesto de risco baseada no ciclo de
vida
aproximao e integrao com o gerenciamento de mudanas melhora
custos em que uma avaliao completa dos riscos no devem ser realizados
periodicamente. Em vez disso, as atualizaes podem ser feitas para a
avaliao do risco
e os processos de gesto de risco numa base incremental.
Linhas de base 2.14 Controle de Segurana
Implementao de linhas de base para os processos de segurana define o
mnimo
requisitos de segurana em toda a organizao para que eles sejam
consistente com os nveis de risco aceitveis. Diferentes linhas de base devem
ser ajustado para diferentes classificaes de segurana, com mais rigorosas
controlos de segurana necessrios para os recursos mais crticos ou sensveis.
Se a organizao no tem implementado um esquema de classificao,

ser difcil para o gestor de segurana da informao para
desenvolver uma base racional para definir linhas de base sem o risco
de superproteger alguns recursos ou underprotecting outros.
Nveis de risco aceitveis para cada classificao de segurana must
tambm ser determinada e padres desenvolvidos ou modificados para definir
Pgina 125

Seo Dois: Contedo
121
os limites inferiores de proteo para cada domnio de segurana.
Padres fornecem a base para medio e teste
abordagens para avaliar se as linhas de base de segurana esto sendo
atendidas por controles existentes.
A avaliao regular das linhas de base necessria devido dinmica
natureza de hardware e software, bem como fatores externos
como a alterao do risco geopoltico, emergindo regulamentar
requisitos ou volatilidade nos mercados financeiros. Estas se combinam para
criar constantemente mudando vulnerabilidades e vetores de ataque.
Uma linha de base definida como "uma linha que serve de base", "uma linha
medida ou a posio usada para calcular ou localizar de conhecido
alguma coisa ", ou" um conjunto inicial de observaes crticas ou dados
usados
para comparao ou controle. "Para formular uma base de
controles de segurana, alguns medio da eficcia e
eficcia dos controlos necessrio. A linha de base geralmente no baseado
num nico teste de controlo, mas com base na capacidade global de
controles para mitigar coletivamente risco a nveis aceitveis.
Para estabelecer linhas de base de controle, os gerentes de segurana pode se
referir a
muitas das normas publicadas que podem ser implementadas no prazo de
a organizao. Com base nessas normas, a um teste de controle
realizado vrias vezes para estabelecer uma avaliao da
eficcia e eficincia do controle exigido pela norma.
Por exemplo, COBIT referencia DS5Certifique-Security Systems
e requer uma poltica antivrus e implementao do processo.
De modo a estabelecer uma linha de base para processar o antivrus
gerente de segurana da informao exigir peridica (semanal,
) relatrios mensais de sistemas infectados, alertas de vrus, vrus
incidentes reportados ao help desk, atualizaes de arquivo de definio e

outras informaes pertinentes. Com base nesta informao,
possvel avaliar a eficcia do controle, e com base em
obter informaes adicionais, tais como horas-homem necessrio, software
custos e latente risco para avaliar a eficincia do antivrus
processo como um controle de TI.
O exemplo de processo antivrus apresentado acima um exemplo de um
mtrica de segurana na medida em que uma medida a partir de um ponto de
referncia.
Com base na avaliao regular de mtricas, os gerentes de segurana podem
desenvolver linhas de base de controlo eficazes. Boas mtricas para
informaes
gerenciamento de segurana, incluindo a avaliao de controles, tem o
as seguintes caractersticas:
Gerencivel
Significativa
acionvel
inequvoca
Confivel / consistente
Preciso
Timely
Predictive
O ideal que as mtricas devem ser medidas quantificveis baseados
sobre nmeros ordinais ou percentagens de um determinado requisito.
Idealmente, deve ser barato para reunir o necessrio
informao para realizar as medies
Como o custo para recolher medidas aumenta e a capacidade de
quantificar os resultados diminui, o valor organizacional da mtrica
diminui. Se a medio no quantificvel, de tal maneira
que os resultados so suportveis, em seguida, os utilizadores de dados tende a
Anexo 2.22-Caractersticas das fases SDLC
Fase SDLC
Caractersticas Fase
Suporte de Gerenciamento de Riscos
Fase 1-Iniciao
A necessidade de um sistema de TI expressa e
o objectivo eo mbito do sistema de TI
documentada.
Risco identificado usado para apoiar o desenvolvimento
dos requisitos do sistema, incluindo a segurana
requisitos e um conceito de segurana
operaes (estratgia).
Fase 2-desenvolvimento ou aquisio
O sistema foi concebido, comprado,
programado, desenvolvido ou de outro modo
construdos.
Risco identificado durante esta fase pode ser usado para
apoiar as anlises do sistema de segurana de TI
que pode levar a arquitetura e design tradeoffs durante o desenvolvimento do sistema.
Fase 3-Implementao
Os recursos de segurana do sistema deve ser
configurado, ativado, testados e verificados.
O processo de gesto de risco compatvel
implementao contra as suas exigncias e
dentro do seu ambiente operacional modelado.
As decises sobre risco identificado deve ser feita
antes da operao do sistema.
Fase 4-operao ou manuteno
O sistema realiza a sua functions.Typically
o sistema ir sofrer actualizaes peridicas ou
alteraes em hardware e software, o sistema
tambm pode ser alterada de forma menos evidente devido
mudanas nos processos organizacionais, polticas e
procedimentos.
Atividades de gerenciamento de risco so realizadas
para re-autorizao sistema peridico (ou
recredenciamento ou sempre que mudanas importantes
so feitas para um sistema de TI em seu funcionamento,
ambiente de produo (por exemplo, novos sistemas
Interfaces).
Fase 5-Disposio
Esta fase pode envolver a alienao de
informao, hardware e software.Activities
pode incluir movimento, arquivamento, descartando
ou destruir informaes e higienizao do
hardware e software.
Atividades de gerenciamento de risco so realizadas
para os componentes do sistema que sero eliminados
do ou substitudo para assegurar que o hardware
e software esto devidamente eliminados, que
dados residuais so adequadamente tratadas e que
migrao do sistema realizado em um ambiente seguro e
forma sistemtica.
Pgina 126

Seo Dois: Contedo
122

desconto do valor dos dados. Se o custo para reunir dados aumenta
demais, os gerentes de segurana devem olhar para outra medida
mtodos tais como anlise indirecta ou a extrapolao com base em
outras medidas relacionadas obtidos.
Definir as linhas de base de segurana para uma organizao do operacional
empresa tem uma srie de benefcios. Ele padroniza o mnimo
quantidade de medidas de segurana que devem ser empregues ao longo da
organizao, o que resulta em benefcios positivos para a gesto de riscos.
Em segundo lugar, fornece um ponto conveniente de referncia para medir
alteraes na segurana e identificar os efeitos correspondentes no risco.
Trabalhando em conjunto com a iniciativa da organizao
grupo de arquitetura, uma linha de base de tecnologia de segurana da
informao de
controles podem ser desenvolvidos, que apropriado para a organizao do
ambiente operacional.
H uma riqueza de informaes disponveis a partir de NIST, COBIT,
ISO / IEC 27001 e fornecedores de segurana em relao a padres de
controles de segurana da informao. No entanto, a segurana da informao
gerente tem que ter em mente que cada organizao tem a sua prpria
necessidades e as suas prprias prioridades. Enquanto NIST, ISO, COBIT e
fornecedor
recursos de informao podem fornecer pontos de partida de suporte para
desenvolvimento de controles, anlise especfica deve ser sempre realizada.
Controles adequados para a organizao deve ser desenvolvida com base em
um
srie de fatores, como a cultura, a estrutura, a tolerncia ao risco, etc
Tambm importante ter em mente que, alm de tecnologia no
definio de um programa de anlise de risco, as pessoas e os processos
devem ser
considerada. O gerente de segurana da informao tambm vai precisar
desenvolver linhas de base de segurana processuais e fsicos. Isso, muitas
vezes,
apresentar mais um desafio uma vez que estas so reas tipicamente fora
as reas de controle de departamento de segurana. Padres apropriados
descrito no captulo 1, com a aprovao do comit de direco, pode
ser a abordagem mais eficaz para resolver este problema. A auditoria interna
e revises de segurana regulares podem fornecer uma garantia de
cumprimento.
H um consenso geral entre os muitos fornecedores, a segurana
organizaes, profissionais e sistemas de segurana da informao
auditores sobre as especificaes de configurao de segurana que
representam
um nvel prudente de diligncia. Estes esforos cooperativos continuam a
definir, configuraes de segurana de boas prticas baseadas em consenso

para
vrios sistemas e plataformas. O gerente de segurana da informao
deve examinar essas especificaes e, quando apropriado, eles
devem ser adaptados e incorporados segurana organizacional
linhas de base.
Enquanto as linhas de base padro da indstria so importantes para a
informao
gerente de segurana a ter em conta, o gerente de segurana da informao
deve avaliar o nvel de segurana que devem ser empregues na
organizao em vrios domnios de segurana. A mescla de
diferentes tecnologias muitas vezes pode introduzir novos riscos e mudar a
sistema ou plataforma segura em um que tem vulnerabilidades. A costurado
avaliao de risco, que reconhece essas interaes e dependncias
permitir que o gerente de segurana da informao para determinar se
processos e procedimentos acima das linhas de base aceites segurana
so necessrios para fornecer a segurana adequada compatvel com a
organizaes definidos nveis de risco aceitveis. Algumas organizaes
e indstrias pode exigir de patamares. Requisito regulamentar
para certas indstrias e regies podem definir um padro mais elevado. Outro
problema pode ser que algumas das informaes da organizao classificada
como altamente crtico ou sensvel, e deve ter mecanismos de controle
que fornecem um nvel mais alto de segurana com comensurvel
sua classificao.
2.15 risco monitoramento e
Comunicao
A implementao de um programa eficaz de gesto de risco requer
monitoramento e comunicao. Acompanhamento da eficcia
de controles ser necessrio um esforo contnuo para gerir o risco.
Devem ser estabelecidos canais de comunicao, tanto para a comunicao
e divulgao de informaes relevantes para a gesto do risco, bem como
fornecendo o gerente de segurana da informao, com informaes sobre
actividades relacionadas com o risco em toda a empresa, que inclui
relatando mudanas significativas no risco e formao e sensibilizao.
2.15.1 risco de monitoramento
Um componente importante do ciclo de vida de gerenciamento de riscos
monitorando continuamente, avaliar e avaliar o risco. O
resultados e do estatuto do presente anlise em curso precisa ser documentado
e relatou para a gerncia snior em uma base regular. Para
facilitar essa comunicao, recursos visuais, como grficos ou tabelas e
smulas resumidas podem ser teis.
A gerncia snior normalmente tm pouco interesse em tcnico
detalhes e provvel que deseja uma viso geral da situao atual e
indicadores de qualquer ameaa imediata ou iminente que requer
ateno.
mbar-verde-vermelho relatrios, muitas vezes referida como painis de

segurana,
grficos de calor, ou grficos de luz vermelha so muitas vezes utilizados para
mostrar uma total
avaliao da postura de segurana. Dependendo dos destinatrios,
outras formas de representar o status de segurana, tais como grficos de
barras
ou grficos de aranha so muitas vezes mais eficaz na transmisso de
tendncias.
Seja qual for a forma de relatrios, o gerente de segurana da informao
responsvel pela gesto deste processo de comunicao para garantir
que tem lugar que os resultados so analisados de forma adequada e agiu
em adequadamente em tempo hbil. Esta responsabilidade inclui
identificar os tipos de eventos que desencadeiam a comunicao exigida
pelas agncias reguladoras e / ou a aplicao da lei e aconselhando
gesto deste requisito.
Uma abordagem de ver aumentar o uso relatar e monitorar
risco atravs da utilizao de indicadores-chave de risco (KRI). KRI pode ser
definido como medidas que, de alguma forma, indicar quando uma
empresa est sujeita ao risco que ultrapassa um nvel de risco definido.
Normalmente, esses indicadores so tendncias em fatores conhecidos por
aumentar
risco e so geralmente desenvolvido com base na experincia. Eles podem
ser to diversas como aumentar o absentismo ou aumentado o volume de
negcios
funcionrios-chave para o aumento dos nveis de eventos de segurana ou
incidentes.
KRIs pode fornecer alertas antecipados sobre possveis problemas ou reas
que
representar um risco particular.
Uma variedade de indicadores de risco pode ser desenvolvida para as vrias
peas
de uma organizao como um meio de monitoramento contnuo. A KRI
diferenciado por ser altamente relevante e que possui um elevado
Pgina 127

Seo Dois: Contedo
123
probabilidade de predizer ou indicando maior risco. Seleo de
KRI, em adio experincia, pode ser baseada em fontes tais como
padres da indstria, servios de informao ameaa externa, ou qualquer
outro factor que pode ser monitorizada o que indica mudanas em risco
para a organizao.
Kris so especficos de cada empresa, e sua seleo
depende de um nmero de parmetros no interior e
ambiente externo, tais como a dimenso e complexidade da
organizao, seja ela opera em um mercado altamente regulamentado, e
sua estratgia de negcios. Identificar indicadores de risco teis inclui o
seguintes consideraes:
Incluindo as diferentes partes interessadas na empresa. Risco
indicadores no deve se concentrar apenas no operacional ou o
lado estratgico de risco. Pelo contrrio, devem ser identificados para todos
partes interessadas. Envolver as partes interessadas certas na seleo de
indicadores de risco tambm ir garantir maior buy-in e de propriedade.
Equilibrar a seleo de indicadores de risco abrangendo o desempenho
indicadores que indicam risco aps um evento ocorreu, chumbo
indicadores que indicam quais recursos esto no local para evitar
eventos ocorra, e as tendncias com base em anlise de indicadores
ao longo do tempo ou correlacionando indicadores para obter uma viso
Assegurar que os indicadores selecionados detalhar a causa raiz
de eventos, em vez de apenas se concentrar nos sintomas
Alm disso, importante para determinar quais so susceptveis medidas
para servir KRIs eficazes. Estes diferenciam-se por serem altamente
relevante e possuindo uma alta probabilidade de previso ou indicando
risco importante. Os critrios de seleco KRIs eficazes incluem:
Impacto -Indicadores de risco com elevado impacto potencial so mais
susceptvel de ser KRIs.
Esforo de implementar, medir e reportar -For diferente
indicadores de sensibilidade equivalente ao risco de mutao, os
que so mais fceis de medir so os preferidos.
Confiabilidade -O indicador deve possuir uma alta correlao com
o risco e ser um bom preditor ou desfecho.
Sensibilidade -O indicador deve ser representativa do risco
e capaz de indicar com preciso as variaes no nvel de risco.
Desde ambientes internos e externos da empresa so
em constante mudana, o ambiente de risco tambm altamente dinmico
eo conjunto de Kris mais do que provvel mudana ao longo do tempo.
Cada KRI est relacionada com o apetite de risco e de tolerncia, de modo que
nveis de gatilho pode ser definido que permitir partes interessadas a
tomarem
medidas adequadas em tempo hbil.
2.15.2 Alteraes Reporting significativa no risco
Como as mudanas ocorrem em uma organizao, a avaliao de risco deve
ser
atualizado para garantir sua preciso continuou. Reportagem estas mudanas
para os nveis adequados de gesto no momento adequado um
principal responsabilidade do gerente de segurana da informao. O

gerente de segurana da informao deve ter reunies peridicas com
administrao superior apresentar um status em geral da organizao
perfil de risco, incluindo alteraes no nvel de risco, bem como o estado de
qualquer risco aberta (sem tratamento).
Alm disso, o programa de segurana dever incluir um processo em
que uma falha de segurana significativa ou eventos de segurana ir
desencadear
um relatrio para a alta gerncia. O gerente de segurana da informao
deveria ter processos pelos quais os eventos de segurana so definidas
avaliado com base no impacto para a organizao. Essa avaliao
podem justificar um relatrio especial para a alta gerncia para informar
los do evento, o impacto e as medidas tomadas para mitigar
o risco. Consulte o captulo 4, Segurana da Informao e de Incidentes
Gesto, para obter informaes mais detalhadas sobre a criao e
gesto de um programa de resposta a incidentes.
2.16 treinamento e conscientizao
As pessoas constituem tipicamente o maior risco para qualquer organizao
acidente geralmente atravs de, erro, falta de conhecimento /
informaes e, por vezes, atravs de ms intenes.
Campanhas de formao e sensibilizao adequadas podem ter
contribuio positiva significativa sobre a gesto do risco. Muitos controles
so processuais e exigem algum conhecimento operacional e
cumprimento. Controles tcnicos deve ser configurado e operado
corretamente para fornecer o nvel esperado de garantia. Garantir
usurios so educados em procedimentos e entender de gesto de risco
processos de responsabilidade do segurana da informao
gerente, e apropriadas actividades de formao e sensibilizao deveria
ser includa em qualquer programa de gerenciamento de riscos.
O programa de treinamento e conscientizao devem ser direcionados para
diferentes nveis de pessoal e de segurana (por exemplo, quadros superiores,
equipe de gesto do meio / TI e usurios finais).
Treinamento de segurana da informao do usurio final deve incluir, entre
outras coisas, sesses sobre:
A importncia da adeso s polticas de segurana e
procedimentos da empresa
Em resposta a situaes de emergncia
Importncia do acesso lgico em um ambiente de TI
requisitos de privacidade e confidencialidade
Reconhecer e notificao de incidentes de segurana
Reconhecer e lidar com a engenharia social
2.17 Documentao
Documentao apropriada que est prontamente disponvel em relao ao
risco
polticas de gesto e normas, bem como outros relevantes de risco-
assuntos relacionados, necessrio para gerenciar riscos de forma

eficaz. Decises
sobre a natureza e extenso da documentao envolvem custos
e benefcios relacionados. A estratgia de gesto de risco, a poltica e
programa de definir a documentao necessria. Especificamente, em cada
etapa do processo de gesto de riscos, a documentao deve
incluem:
Objetivos
Audincia
Os recursos de informao
Hipteses
Decises
Um documento de poltica de gesto de risco podem incluir informaes
tais como:
Objetivos da poltica e as razes para o gerenciamento de risco
mbito e afretamento de gesto de riscos de segurana da informao
As ligaes entre a poltica de gesto de riscos ea
planos de negcios estratgicos e corporativos da organizao
Pgina 128

Seo Dois: Contedo
124
Extenso e gama de questes a que a poltica se aplica
Orientao sobre o que considerado nveis aceitveis de risco
responsabilidades de gesto de risco
Suporte percia disponveis para ajudar os responsveis pela
gerenciamento de riscos
Nvel de documentao necessria para vrios de gesto de riscoatividades relacionadas, por exemplo, gesto da mudana
Um plano para revisar o cumprimento da gesto de riscos
poltica
Incidentes e nveis de gravidade de eventos
procedimentos de comunicao de risco e de escalao, o formato ea
frequncia
Em algumas circunstncias, uma declarao de conformidade e due diligence
pode ser necessria para garantir que os gestores reconhecem formalmente
sua responsabilidade de cumprir com as polticas de gesto de risco
e procedimentos.
Documentao tpica de gesto de risco deve incluir:
Um risco registar-Para cada risco identificado, registre a:
- Fonte de risco
- Natureza de risco
- Opo de tratamento Selecionado
- Os controles existentes
- controles recomendados no implementadas e as razes pelas quais
eles devem ser implementados
Consequncias e probabilidade de compromisso, incluindo:
- Perda de Renda
- Despesa inesperada
- O risco legal (compliance e contratual)
- processos interdependentes
- Perda de reputao pblica ou a confiana pblica
classificao de risco inicial
Vulnerabilidade a fatores internos / externos
Um inventrio dos ativos de informao, incluindo TI e
ativos de telecomunicaes, que lista:
- Descrio do ativo
- Especificaes Tcnicas
- Nmero / quantidade
- Localizao
- Requisitos de licenciamento especiais, se houver
A mitigao de riscos e plano de ao, fornecendo:
- Quem tem a responsabilidade pela implementao do plano
- Recursos a serem utilizados
- Dotao oramental
- Calendrio de aplicao
- Detalhes das medidas de mecanismo de controle /
- requisitos de conformidade da Poltica
Monitoramento e auditoria de documentos, que incluem:
- Resultados das auditorias / revises e outros procedimentos de
monitoramento
- Acompanhamento da reviso recomendaes e implementao
estado
Finalmente, essencial que toda a documentao de ser sujeito a uma
processo de controle de verso eficaz, bem como uma abordagem padro para
marcao e manuseio. A documentao deve ser visivelmente
rotulado com o nvel de classificao, data de reviso e nmero,
datas de vigncia, e proprietrio do documento.
Pgina 129

125
seo I: Panorama
3.1
Introduction .......................................................................................................
..................................................................... 126
Definition.............................................................................................................
........................................................ 126
Objectives............................................................................................................
......................................................... 126
3.2
Tarefa e do Conhecimento
Statements ..........................................................................................................
................................ 126
Tasks....................................................................................................................
......................................................... 126
............................................................. 126
Relao de tarefas para Demonstraes Conhecimento
.......................................................................................................... 127
Declarao de Conhecimento Referncia
Guide....................................................................................................................
.. 128
Recursos adicionais sugeridos para
Study....................................................................................................................
... 138
3.3
A auto-avaliao
Questions ............................................................................................................
......................................... 138
Questions.............................................................................................................
......................................................... 138
Respostas a auto-avaliao
Questions.............................................................................................................
........... 140
seo dois: Contedo
3.4
Programa de Gesto de Segurana da Informao
Overview .................................................................................................... 141
3,5
Objectives ..........................................................................................................
................ 144
3.6
Concepts .............................................................................................................
............... 145
3.7
mbito e Carta de um Segurana da Informao

Program .................................................................................................. 146
3.8
A Gesto da Segurana da Informao
Framework ........................................................................................................
. 148
3.9 Informaes Framework
Components .......................................................................................................
........... 150
3.10 A definio de um Programa Estrada Segurana da Informao
Map ..................................................................................................... 152
3.11 Infra-estrutura de Segurana da Informao e
Architecture ......................................................................................................
153
3.12 Arquitetura
Implementation .................................................................................................
.............................................. 155
3.13 Segurana Gesto de Programas e Atividades
Administrativas ........................................... .............................................. 156
3.14 Servios de Segurana Programa Operacional e
Activities ...................................................................................................... 16
8
3.15 Controles e
Countermeasures ..............................................................................................
.............................................. 182
Monitoring .........................................................................................................
................ 189
3.17 Common Information Security Program
Challenges .........................................................................................................
196
Captulo 3:
Programa maes de Segurana Infor
Pgina 130
Programa de Segurana Captulo 3-Informao

Seo I: Panorama
126
Seo I: Panorama
3.1 Introduo
Este captulo analisa as diversas reas do conhecimento necessrios para

desenvolver e gerenciar um programa de segurana da informao.
definio
Um programa de segurana da informao inclui a coordenada
conjunto de atividades, projetos e / ou iniciativas para implementar a
estratgia de segurana da informao e gesto do programa. O
estratgia, como discutido no captulo 1, o plano para alcanar o
objetivos de segurana da informao que suportam os objetivos do
a organizao. Gesto do programa de segurana da informao
inclui dirigir, supervisionar e monitorar as atividades relacionadas
segurana da informao em apoio aos objetivos organizacionais.
Gesto o processo de alcanar os objectivos da
organizao empresarial, reunindo humanos, fsicos e
recursos financeiros em uma combinao tima com processo e
tecnologia, e tomar a melhor deciso para a organizao
, tendo em considerao o seu ambiente operacional.
OBJETIVOS
gerente de segurana compreende os requisitos gerais e
atividades necessrias para criar, gerir e manter um programa de
implementar uma estratgia de segurana da informao. As informaes
programa de segurana pode consistir em uma srie de projetos e iniciativas
para atingir os objectivos da estratgia projetado para lidar como
bem como a gesto em curso e administrao. A estratgia
pode ser usado para traar um roteiro abrangente para conseguir uma
"Estado desejado", como discutido no captulo 1. Em alguns casos, no
entanto,
os objectivos podem ser mais simplesmente definido como um grau de
maturidade
no Capability Maturity Model (CMM) escala, abordando o
mais srio risco determinado por uma avaliao de risco, ou alcanar
conformidade com um determinado conjunto de regras ou normas.
Independentemente disso, os objetivos do programa devem ser claramente
definidos e
um plano e metodologia concebida para atingir esses objetivos.
O gerente de segurana da informao deve saber como definir e
utilizar os recursos necessrios para atingir os objetivos, de acordo com
objetivos organizacionais, por meio de uma srie de tarefas utilizando o
conhecimento do gerente de segurana de pessoas, processos e tecnologia.
Os captulos 1 e 2 neste governana capa do manual de informaes
segurana e gesto de riscos. Os conceitos e informaes
a partir destes captulos aplicado no desenvolvimento e
gesto de um programa de segurana da informao.
3.2 tarefa e conhecimento declaraes

Desenvolvimento Domnio Programa de Segurana 3-Informaes
e Gesto
Estabelecer e gerenciar o programa de segurana da informao em
alinhamento com a estratgia de segurana da informao
Tarefas
H nove tarefas dentro deste domnio que a CISM deve saber
como realizar:
T3.1
Estabelecer e manter o programa de segurana da informao
em alinhamento com a estratgia de segurana da informao.
T3.2
Garantir o alinhamento entre a segurana da informao
funes do programa e outros negcios (por exemplo,
recursos humanos [HR], contabilidade, compras e TI)
para apoiar a integrao com os processos de negcios.
T3.3
Identificar, adquirir, gerenciar e definir os requisitos para
recursos internos e externos para executar as informaes
programa de segurana.
T3.4
Estabelecer e manter arquiteturas de segurana da informao
(Pessoas, processos, tecnologia) para executar as informaes
T3.5
Estabelecer, comunicar e manter organizacional
padres de segurana da informao, procedimentos, diretrizes
e outra documentao para apoiar e orientar
conformidade com as polticas de segurana da informao.
T3.6
Estabelecer e manter um programa de informao
sensibilizao e formao para promover um seguro de segurana
meio ambiente e uma cultura de segurana eficaz.
T3.7
Integrar os requisitos de segurana da informao em
processos organizacionais (por exemplo, a mudana
controle, fuses e aquisies, desenvolvimento,
continuidade de negcios, recuperao de desastres) para manter a
base de segurana da organizao.
T3.8
Integrar os requisitos de segurana da informao em contratos
e atividades de terceiros (por exemplo, joint ventures,
provedores terceirizados, parceiros de negcios, clientes) para
manter base de segurana da organizao.
T3.9
Estabelecer, monitorar e reportar periodicamente programa

gesto e mtricas operacionais para avaliar a
eficcia e eficincia da informao
dos domnios delineados pelas declaraes do conhecimento. Estes
H 12 declaraes de conhecimento dentro da informao
domnio de desenvolvimento de programas de segurana:
KS3.1 Conhecimento dos mtodos para alinhar a segurana da informao
requisitos do programa com os de outras empresas
funes
KS3.2 Conhecimento de mtodos para identificar, adquirir, gerir e
definir os requisitos para recursos internos e externos
KS3.3 Conhecimento de tecnologias de segurana da informao,
tendncias emergentes (por exemplo, a computao em nuvem, mvel
computao) e os conceitos subjacentes
KS3.4 Conhecimento dos mtodos para projetar informaes
controles de segurana
Pgina 131

Seo I: Panorama
127
KS3.5 Conhecimento de arquiteturas de segurana da informao (para
exemplo, pessoas, processos, tecnologia) e mtodos para
aplic-los
KS3.6 Conhecimento dos mtodos para o desenvolvimento de segurana da
informao
normas, procedimentos e diretrizes
KS3.7 Conhecimento dos mtodos para implementar e comunicar
polticas de segurana da informao, normas, procedimentos
e diretrizes
KS3.8 Conhecimento dos mtodos para estabelecer e manter
conscientizao e segurana da informao eficaz
programas de treinamento
KS3.9 Conhecimento dos mtodos para integrar a segurana da informao
requisitos em processos organizacionais
KS3.10 Conhecimento dos mtodos para incorporar informaes
requisitos de segurana em contratos e de terceiros
processos de gesto
KS3.11 Conhecimento dos mtodos para projetar, implementar e relatrio
mtricas de segurana de informao operacional
KS3.12 Conhecimento de mtodos para testar a eficcia e
aplicabilidade dos controlos de segurana da informao
relao de tarefa para o conhecimento
Demonstraes
cada uma das reas em que o candidato deve ter um CISM
bom entendimento, a fim de executar as tarefas. A tarefa e
declaraes de conhecimento so mapeados em exposio 3.1 , na medida em
que
possvel faz-lo. Note-se que embora haja muitas vezes se sobrepem,
cada declarao tarefa geralmente so mapeados para vrios conhecimentos
declaraes.
Declarao de Tarefa
T3.1 Estabelecer e manter a segurana da informao
programa de alinhamento com a segurana da informao
estratgia.
KS 3.1 Conhecimento dos mtodos para alinhar os requisitos do programa de
segurana da informao com
os de outras funes de negcios
KS3.2 Conhecimento de mtodos para identificar, adquirir, gerenciar e definir
os requisitos para
recursos internos e externos
KS3.3 Conhecimento de tecnologias de segurana da informao e os
conceitos subjacentes
KS3.4 Conhecimento dos mtodos para projetar os controles de segurana da
informao
KS3.5 Conhecimento de arquiteturas de segurana da informao (por
exemplo, pessoas, processos,
tecnologia) e mtodos para aplic-los
T3.2 Garantir o alinhamento entre a segurana da informao
funes do programa e outros negcios (por exemplo,
recursos humanos [HR], contabilidade, compras
e TI) para apoiar a integrao com o negcio
processos.
KS3.1 Conhecimento dos mtodos para alinhar os requisitos do programa de
segurana da informao com
os de outras funes de negcios
T3.3 identificar, adquirir, gerenciar e definir os requisitos
para recursos internos e externos para executar o

KS3.2 Conhecimento de mtodos para identificar, adquirir, gerenciar e definir
os requisitos para
recursos internos e externos
Conhecimento KS3.3 de tecnologias de segurana da informao, as
tendncias emergentes, (por exemplo,
cloud computing, computao mvel) e os conceitos subjacentes
T3.4 Estabelecer e manter a segurana da informao
arquiteturas (pessoas, processos, tecnologia) a
executar o programa de segurana da informao.
informao
KS3.5 Conhecimento de arquiteturas de segurana da informao (por
exemplo, pessoas, processos,
tecnologia) e mtodos para aplic-los
KS3.12 Conhecimento de mtodos para testar a eficcia e aplicabilidade da
informao
T3.5 Estabelecer, comunicar-se e manter
normas de segurana da informao da organizao,
procedimentos, diretrizes e outros documentos
para apoiar e orientar o cumprimento informaes
polticas de segurana.
informao
KS3.6 Conhecimento dos mtodos para o desenvolvimento de padres de
segurana da informao, procedimentos
e diretrizes
KS3.7 Conhecimento dos mtodos para implementar e divulgar polticas de
segurana da informao,
T3.6 Estabelecer e manter um programa de informao
conscientizao de segurana e treinamento para promover um
ambiente seguro e uma segurana eficaz
cultura.
KS3.7 Conhecimento dos mtodos para implementar e divulgar polticas de
segurana da informao,
KS3.8 Conhecimento dos mtodos para estabelecer e manter a segurana da
informao eficaz
programas de sensibilizao e formao
T3.7 Integrar os requisitos de segurana da informao em
processos organizacionais (por exemplo, a mudana

controle, fuses e aquisies, desenvolvimento,
continuidade de negcios, recuperao de desastres) para manter
linha de base de segurana da organizao.
informao
KS3.9 Conhecimento dos mtodos para integrar os requisitos de segurana da
informao em
processos organizacionais
Pgina 132

Seo I: Panorama
128
Exhibit Demonstraes Conhecimento 3.1-Tarefa e Mapeamento (cont.)
Declarao de Tarefa
T3.8 Integrar os requisitos de segurana da informao
contratos e atividades de terceiros (por
exemplo, joint ventures, fornecedores terceirizados,
parceiros de negcios, clientes) para manter a
base de segurana da organizao.
informao
KS3.10 Conhecimento dos mtodos para incorporar os requisitos de segurana
da informao em
contratos e processos de gesto de terceiros
T3.9 Estabelecer, monitorar e reportar periodicamente programa
gesto e mtricas operacionais para avaliar
a eficcia e eficincia da informao
KS3.11 Conhecimento dos mtodos para projetar, implementar e comunicar
informaes operacionais
mtricas de segurana
KS3.12 Conhecimento de mtodos para testar a eficcia e aplicabilidade da
informao

captulo.
perspectiva de gesto do programa de segurana.
KS3.1 Conhecimento dos mtodos para alinhar os requisitos do programa de
segurana da informao com os de outras empresas
funes
Explicao
Conceitos-chave
A exigncia de alinhamento estratgico discutido no captulo 1 must
ser operacionalizado pelo gerente de segurana da informao como parte de
development.This programa requer uma compreenso dos diversos
funes empresariais dos organization.These, por sua vez ir conduzir muitos
dos
os requisitos de segurana da informao. Para atender a esses requisitos sero
maximizar a eficcia e os benefcios fornecidos pela segurana da informao
atividades para a organizao.
As funes de outros
unidades organizacionais
relacionados com a informao
segurana
3.4.2
Gesto do Programa
3.14.1 Informaes de Segurana de Ligao
Responsabilidades
3.14.2 Responsabilidades Cross-organizacionais
Fatores que afetam
interdepartamental
colaborao
Responsabilidades
Poltica, gesto e
processo de garantia
integrao
3.6
Conceitos
3.7
mbito e Carta de Informao
Programa de Segurana
Responsabilidades
Estrutural e cultural
consideraes para
alinhamento
3.7
mbito e Carta de uma informao
3.10.1 Elementos de um Roteiro
Responsabilidades
Pgina 133

Seo I: Panorama
129
KS3.2 Conhecimento de mtodos para identificar, adquirir, gerenciar e
definir os requisitos para interno e externo
recursos
Explicao
Conceitos-chave
O gestor de segurana deve ter conhecimento de implementao e
gesto de processos de segurana da informao e tecnologias. Dependendo
no mbito de um esforo de desenvolvimento de programa de segurana, que
pode ser uma das principais
compromisso que exige a gesto de um conjunto de actividades em diversas
reas.
Isso geralmente incluem gesto de pessoas, processos e tecnologia.Os
pessoal envolvido pode incluir gerenciamento, relatrios diretos, consultores,
empreiteiros e prestadores de servios, bem como indivduos em outra
departamentos e unidades organizacionais. Implementao do programa de

Segurana
ir inevitavelmente afetar os processos de negcios, e ir incluir muitos
aspectos da
tecnologia da informao da informao como well.An gestor de segurana
deve
tem ampla exposio e ser competente em todas essas reas, a fim de
gerir eficazmente a implementao global do programa de segurana.
Desenvolver um programa de qualquer tamanho significativo segurana da
informao requer
um nmero de diferentes recursos, incluindo pessoas, finanas, processos
e tecnologias. Organizaes estabeleceram processos, polticas
e prticas que devem ser seguidas para a aquisio destes resources.The
gerente de segurana da informao deve estar familiarizado com estas
prticas ser
eficaz e minimizar os potenciais obstacles.This normalmente inclui o
conhecimento
de reas como finanas, compras (incluindo procedimentos de contratao e
polticas), e de RH. A maioria das organizaes tm departamentos que so
responsveis
para essas atividades eo gerente de segurana da informao deve entender
como eles funcionam e, em seguida, desenvolver relaes de trabalho com os
principais contatos
dentro de cada grupo.
O gerente de segurana da informao deve ser capaz de identificar as
competncias requeridas
para cada funo relacionada segurana da informao e para incentivar os
funcionrios
para adquirir as habilidades necessrias para desempenhar com competncia o
seu atribudo
funes. Antes do treinamento, habilidade e proficincia real deve ser medido
contra os nveis exigidos atravs de testes e observation.This fornecero
uma compreenso do dfice de competncias eo que necessrio para
preencher a lacuna,
e vai ajudar a definir o nvel ea profundidade da formao required.The
habilidades necessrias podem ser desenvolvidas atravs de qualquer nmero
de mtodos, incluindo
atividade de auto-estudo, treinamento on-the-job e training.This
acompanhadas por um instrutor pode
tambm determinar os nveis de proficincia alm do que necessrio, em
particular, do trabalho
funes, proporcionando uma oportunidade de atribuir maiores
responsabilidades e
progresso na carreira para os indivduos.
Planejamento de projetos eficaz
e gesto
3.4.2
Gesto do Programa
3.9.3
Componentes administrativos
3.10.2 Desenvolver uma Segurana da Informao
Programa Roteiro
3.11.2 Objetivos da Segurana da Informao
Arquiteturas
3.14.11 Integrao com Processos de TI
Recursos necessrios para
implementao do programa
3.4.2
Gesto do Programa
3.6.2
Recursos Tecnolgicos
3.9.3
Componentes administrativos
Roteiro Programa
Arquiteturas
Pessoal necessrio para
implementao do programa
3.13.10 Vendor Management
Os requisitos de segurana
para as funes terceirizadas
e servios
3.14.10 Cloud Computing

SLAs e servio
contratos
Endereamento e risco
passivos colocados pelo terceiro
partidos
3.13.2 Security Awareness, Formao e
Educao
3.15
3.15.10 Testes de Controle e Modificao
Pgina 134

Seo I: Panorama
130
KS3.3 Conhecimento de tecnologias de segurana da informao, as
tendncias emergentes, (por exemplo, a computao em nuvem, mveis
computao) e os conceitos subjacentes
Explicao
Conceitos-chave
Desenvolver um programa de segurana da informao requer uma slida
compreenso
tecnologias disponveis, de suas capacidades e sua maioria de use.A
controles de segurana da informao ser tcnica, e necessrio
Compreender os recursos, os custos e benefcios das tecnologias especficas
como
bem como os seus limitations.As um exemplo, o gerente de segurana da
informao
no precisa saber como configurar um firewall ou endurecer um servidor, mas
deve saber o que essas tecnologias so, como essas atividades so realizadas
e como eles afetam a implementao e gesto da informao
segurana.
Os tipos de segurana
tecnologias
3.14.5 Gesto de Tecnologia de Segurana
3.15
O uso e finalidade de
tecnologias de segurana
3.6
Conceitos
3.15
3.17
Tecnologias de controle
3.6.2
3.15
3.15.2 Controles como Estratgia de Implementao
Recursos
3.15.7 Controles Fsicas e Ambientais
3.15.8 Tecnologia de Controle Categorias
Segurana da informao
tecnologia
3.11
Infra-estrutura de Segurana da Informao
e Arquitetura
Pgina 135

Seo I: Panorama
131
informao
Explicao
Conceitos-chave
Qualquer poltica, prtica, procedimento, processo ou tecnologia que serve
para regular
atividades um controle. O desenvolvimento eficaz de controles exige um
controlo
poltica e arquitetura que atendam coletivamente os objetivos de controle

definidos
no strategy.The controla a poltica ir incluir consideraes como
se os controles falharem aberta ou fechada ou se as atividades so negados, a
menos
explicitamente permitido ou autorizado a menos que negado.
Controles projeto deve considerar a fora de controle, confiabilidade,
eficincia,
ea produtividade do usurio impacto, custo, e como utilizar camadas
apropriado
atingir nveis de risco aceitveis.
Em grande medida, a funo de ncleo do programa de segurana da
informao
desenvolvimento o processo contnuo de concepo, desenvolvimento,
implementao,
testar e modificar controles-se tcnico, fsico ou processual.
Traduzindo uma estratgia de segurana da informao em uma arquitetura de
controle uma
competncia essencial para o gerente de segurana da informao.
Controles neste contexto so muitas vezes consideradas como principalmente
tecnologia
implementaes, mas para a segurana da informao, fsica e processual
consideraes so igualmente importantes. Servidores que esto bem
protegidos
a partir de um ponto de vista tcnico, est em risco se eles esto sujeitos a
fraca
instalaes de segurana, como controles de acesso pobres para o
pessoal. Inadequado
ou incompatvel com o cumprimento de procedimentos crticos muitas vezes
a causa
de falhas do sistema e devem ser consideradas, bem como em um controlos
abordagem de implementao.
Os tipos de controlos e
sua utilizao
3.6
Conceitos
3.6.2
3.15
Controla os critrios de projeto
3.14.7 Monitoramento e Compliance
Aplicao

3.16
Monitorao
Controles poltica de design
3.8
A Segurana da Informao
Management Framework
Anexo 3.4 Sistema de Gesto de Segurana
Controles de Processos
Testes de controles e
manuteno
3.13.3 Documentao
3.14.4 Comentrios de Segurana e Auditorias
3.16.13 Monitoramento e Comunicao
Base e exigncia
para os objectivos de controlo
3.4
3.4.2
Resultados da Informao
3.15
3.16.10 Analisando a eficcia da tcnica
Arquitetura de segurana
3.16.12 Medio de Desempenho Operacional
Tipos e usos de
controles
3.8
3.11
e Arquitetura
3.14.8 Avaliao de Riscos e Impacto
3.15
Desenvolvimento de controle,
desempenho e
critrios de implantao
3,9
Framework de Segurana da Informao
Componentes
Educao
3.13.3 Documentao
3.13.8 Regras Gerais de Uso / Aceitvel
Use Policy
Aplicao
3.14.8 Avaliao de Riscos e Impacto
3.15
3.16.8 Medio Segurana
Custo-efetividade
3.16.10 Analisando a eficcia da tcnica
Arquitetura de segurana
Testando controles para
eficcia
Pgina 136

Seo I: Panorama
132
Conhecimento KS3.5 de arquiteturas de segurana da informao (por
exemplo, pessoas, processos, tecnologia) e mtodos para
aplic-los
Explicao
Conceitos-chave
Dependendo escopo, desenvolvimento e implementao, uma informao
programa de segurana pode consistir em uma variedade de projetos e
envolvem um grande
nmero de elementos. Alm disso, estas actividades podem estender-se por
vrias
anos e, invariavelmente, se beneficiar da implementao de vrios nveis
architecture.This de segurana podem incluir contextual e conceitual
arquiteturas baseadas nos requisitos de negcio que definem o

relao entre funes organizacionais e, a um nvel elevado, como
processos e tecnologia vai apoi-los. geralmente incluir lgica e
arquitecturas fsicas bem e pode incluir componentes, funcional e
arquiteturas operacionais.
Uma das principais funes da arquitetura fornecer um quadro no
que a complexidade pode ser gerenciado successfully.As o tamanho ea
complexidade
de um projeto cresce, muitos designers e influncias de design deve trabalhar
como
uma equipe para criar algo que tem a aparncia de ser criado por
um nico projeto authority.As a complexidade do ambiente de negcios
cresce, muitos processos de negcios e funes de apoio devem integrar
perfeitamente a prestao de servios e gesto eficazes para o negcio,
seus clientes e sua partners.Architecture fornece um meio para gerenciar
complexity.Architecture que tambm atua como um roteiro para uma coleo
de
projetos e servios menores, que devem ser integrados em um nico programa
ou iniciativa. Ele fornece uma estrutura dentro da qual muitos membros de
equipes de projeto grande, entrega e suporte podem trabalhar em conjunto e
serve para
integrar elementos de segurana tticos.
Os efeitos de segurana
arquitetura
Arquitetura (s)
3.11
e Arquitetura
Arquitetura
Arquiteturas
Anexo 1.15 TOGAF Enterprise Architecture
Quadro
Os elementos de um
arquitetura
Anexo 3.8 The Matrix Sabsa para a Segurana
Desenvolvimento Arquitetura
Os tipos de segurana
arquiteturas
Arquitetura (s)
Anexo 1.15 TOGAF Enterprise Architecture
Quadro
Anexo 3.6 A Sabsa Modelo de Segurana

Anexo 3.7 A Sabsa Modelo de Segurana
Arquitetura Desenvolvimento Do
Arquitetura de Segurana Operacional
Perspectiva
KS3.6 Conhecimento dos mtodos para o desenvolvimento de padres de
segurana da informao, procedimentos e diretrizes
Explicao
Conceitos-chave
Muitas organizaes criaram documentos de governana durante um perodo
de
tempo e com diferentes autores e approaches.The resultado geralmente um
coleo imensa de mandatos obscuras, confusas e muitas vezes contraditrias
que raramente so lidos e quase impossvel de seguir. essencial, como um
parte do desenvolvimento de um programa de segurana da informao, para
criar ou modificar
polticas a serem bem organizados e consistentes declaraes claras e de alto
nvel de
inteno gesto, expectativas e direction.This deve ser seguido por
assegurar o desenvolvimento de normas claras, concisas e minimamente
restritivos
bem como um requisito para rever e modificar os procedimentos conforme
necessrio.
Uma abordagem detalhada fornecida no captulo 1, seo 1.13.1.
Embora existam muitas abordagens para o desenvolvimento de governana de
segurana
documentao, a fim de apoiar os objetivos da organizao, o
abordagens devem todos comeam com a compreenso da estrutura, cultura,
prticas e objetivos das polticas de segurana business.The deve definir
uma estratgia que suporta esses objectivos. Mtricas para avaliar o progresso
Deve tambm ser developed.The estratgia deve incluir os processos para
desenvolvimento, implementao, comunicao e manuteno da governana
documentao, tais como as polticas, normas e procedimentos. Captulo 1,
seo 18, contm um exemplo de uma abordagem para o desenvolvimento de
segurana
governana documentation.The vrios documentos de governana (polticas,
normas, procedimentos) podem ser criados ou modificados durante o
desenvolvimento
de uma estratgia ou durante development.This programa tambm a fase em
que
implementao de polticas e padres novos ou modificados provvel de
ocorrer,
bem como os processos necessrios para a sua reviso peridica, a

modificao
e comunicao.
Polticas de apoio para
o desenvolvimento do programa
Programa Roteiro
3.13.3 Documentao
Requisitos das normas
e conformidade para
Programa Roteiro
3.13.3 Documentao
Desenvolvimento Procedimento
durante o programa
desenvolvimento e
implementao
3.8
3.13.3 Documentao
3.15.4 Mtodos de Controle
3.15.8 Tecnologia de Controle Categorias
3.16.6 avaliao do cumprimento
3.16.13 Monitoramento e Comunicao
Polticas de apoio para
Programa Roteiro
3.13.3 Documentao
Pgina 137
Seo I: Panorama
133
KS3.7 Conhecimento dos mtodos para implementar e comunicar as polticas
de segurana da informao, normas, procedimentos
e diretrizes
Explicao
Conceitos-chave
Polticas de segurana, normas, procedimentos e diretrizes so as principais
ferramentas
para orientar a implementao e gesto de um segurana da informao
programa.
As polticas so declaraes de alto nvel de inteno de gesto, direo e
expectations.The tpico coberto extensivamente no captulo 1, sees 1.14.1
e 1.16.2. Do ponto de vista da gesto de uma segurana da informao
programa, j ter sido desenvolvido polticas, embora possam
requerem adies, reviso ou modification.Typically, a tarefa de gerenciar
o programa de segurana vai se preocupar com a interpretao dessas polticas
por
desenvolvimento ou modificao de uma coleo de especfico standards.The
apropriado
natureza e contedo das normas regido pelas exigncias
de gerenciamento de riscos. As polticas so implementadas por projetar,
desenvolver
ou modificao e implantao de controles de acordo com esses padres.
A conformidade com as normas em uma base contnua consistente tambm
ser um
foco importante para o gerente de segurana da informao.
essencial desenvolver polticas que garantam que o desenvolvimento do
programa
est alinhada com e apoia os objectivos organizacionais. Polticas podem
existem, ou tm sido desenvolvidos, como parte da estratgia, mas podem
requerer
modificao durante o desenvolvimento do programa de segurana como
condies ou
constrangimentos mudar. Pode ser determinado que as polticas no
adequadamente
face a circunstncias imprevistas, que o legal ou regulamentar
requisitos mudaram ou diferentes objetivos de negcios tm
emerged.The gerente de segurana da informao devem assegurar que os
processos
para a reviso da poltica de segurana, a modificao, a aprovao da

gerncia e
disseminao para todas as polticas stakeholders.When so modificados ou
criados,
padres tambm devem ser revistos para garantir que eles continuem a refletir
a
inteno das partes policy.All sujeitos s polticas devem estar cientes de
as mudanas na poltica e padres, e eles devem ser instrudos a rever
seus procedimentos para garantir que eles fazer as modificaes necessrias
devido
s mudanas nos padres.
O desenvolvimento de polticas ou modificao deve ser ligada organizao
do
equilbrio adequado objectives.An global deve ser atingido de apoio
atividades empresariais, proporcionando proteo contra riscos inaceitveis
em
uma ligao cost.The aceitvel para os objetivos de negcios o resultado de
forma clara
definir os objectivos do programa de segurana, o que constitui aceitvel
risco, e os tipos de controles que so minimamente perturbador ao conseguir
o grau necessrio de mitigao.
Requisito para
controle (governana)
documentao
1.4
Viso global
1.4.1
Governo
3.13.3 Documentao
Implementao de
polticas e normas
3.10
Definindo uma Segurana da Informao
Programa Roteiro
3.17
Anexo 3.14 Segurana comentrio Alternativas
Circunstncias que requerem
documentao de controle
mudanas
3.13.3 Documentao
Aplicao
Requisitos para
avaliao do controle
documentao
Aplicao
Anexo 3.14 Segurana comentrio Alternativas
Pgina 138

Seo I: Panorama
134
KS3.8 Conhecimento dos mtodos para estabelecer e manter a
conscientizao de segurana da informao eficaz e treinamento
programas
Explicao
Conceitos-chave
Formao e sensibilizao pode servir para atenuar alguns dos maiores
risco organizacional e alcanar a melhoria melhor custo-benefcio em
security.This geralmente pode ser alcanado atravs da educao de uma
organizao de
pessoal em procedimentos exigidos e cumprimento de polticas, bem como
assegurar
que a equipe possa identificar e compreender o risco da informao que
ameaa
a organizao. fundamental que a formao se comunicar de forma eficaz o
risco e seu impacto potencial para que os funcionrios a compreender a
justificao
para o que muitos vem como medidas adicionais inconvenientes que os
controles de segurana muitas vezes
necessita.
O gerente de segurana da informao deve tambm entender da organizao
estrutura e da cultura, bem como os tipos de comunicao que so mais
eficaz, a fim de desenvolver programas de conscientizao e treinamento que
ir
ser eficazes no ambiente. Periodicamente mudana de conscientizao de

segurana
mensagens e os meios de distribuio iro ajudar a manter a um nvel mais
elevado de
conscientizao de segurana. Controles processuais pode ser complexo e
essencial
para fornecer treinamento, conforme necessrio para garantir que o pessoal
entender os procedimentos
e pode executar corretamente os passos.
Sensibilizao para as polticas de segurana da informao, normas e
procedimentos de
todo o pessoal essencial para assegurar uma gesto eficaz dos riscos. No
entanto,
funcionrios no pode ser esperado para cumprir com as polticas ou normas
que
eles no esto cientes de, ou siga os procedimentos que no fazem
understand.The
gerente de segurana da informao deve elaborar uma abordagem
padronizada, como
curto-computador ou quizzes baseados em papel para medir nveis de
conscincia. Peridico
uso de uma abordagem de teste padronizado fornece mtricas para a
conscientizao
tendncias e necessidades de treinamento effectiveness.Training pode ser
determinada por um
avaliao de competncias ou empregando uma abordagem de
teste. Indicadores de adicional
requisitos de formao pode vir de vrias fontes, tais como rastreamento de
ajuda
atividade secretria, erros operacionais, eventos de segurana e auditorias.
A determinao adequada
nveis de segurana
conscincia
Educao
Pgina 139

Seo I: Panorama
135
KS3.9 Conhecimento dos mtodos para integrar os requisitos de segurana

da informao em processos organizacionais
Explicao
Conceitos-chave
Desenvolvimento de um programa de segurana deve levar em considerao o
estrutura organizacional existente, cultura e prticas. Implementao de
os componentes do programa de segurana ser mais eficiente realizado
integrando o programa nos processos organizacionais existentes e
assim, minimizar as interrupes e resistncia organizacional mudana. Se
existem normas existentes para as prticas de gesto de risco, como a
mudana
administrao, o teste de aceitao do usurio ou de gerenciamento de
liberao, que deveriam
ser utilizada na medida do possvel. Numerosas outras funes importantes
segurana da informao existem na maioria organizations.Among o mais
importante
so de auditoria, compras, recursos humanos, contratao, aquisio,
legal, eo escritrio de projetos (PMO). Na medida do possvel,
o programa de segurana deve ser integrado com estas funes durante
informaes de segurana desenvolvimento do programa.
Existem muitas abordagens especficas para as metodologias de ciclo de vida,
incluindo
o ciclo de vida de desenvolvimento do sistema comum (SDLC) verso
normalmente usado
em informaes systems.The abordagens so semelhantes, mas diferem um
pouco
nos termos usados eo nmero de etapas nas etapas tpicas model.The
ir incluir alguma variao de: viabilidade, projeto, desenvolvimento,
implantao,
manuteno e relevncia decommissioning.The fim-de-vida para o
desenvolvimento de um programa de segurana da informao
principalmente esse risco
alteraes com o estgio do ciclo de vida e deve ser tratada appropriately.The
risco na fase de concepo de um controle tcnico, como um firewall, que o
design insuficiente ou defeituoso, enquanto na fase de manuteno, o risco
de ser
gerenciado que as atividades de manuteno so insuficientes para garantir
um aspecto
de segurana, como a disponibilidade.
Uma das causas mais comuns de falhas de segurana da informao
avaliao inadequada e gesto do risco como resultado do sistema ou
mudanas no processo. Gerir um programa de segurana da informao de
forma eficaz
exige que o gestor de segurana assegurar que as polticas de gesto da

mudana
e processos existem e so documentados, que so seguidas e que
segurana considerada parte integrante das process.This geralmente exige
a participao direta e contnua do gestor de segurana da informao no
mudar processo de gesto.
Aplicao de
normas de segurana em
processos organizacionais
3.4.2
Gesto do Programa
Pgina 140

Seo I: Panorama
136
KS3.10 Conhecimento dos mtodos para incorporar os requisitos de
segurana da informao em contratos e de terceiros
processos de gesto
Explicao
Conceitos-chave
Contratos que tm implicaes para a segurana da informao geralmente
ser
revisto pelo departamento jurdico. No entanto, eles tambm devem ser
revistos
pelo gerente de segurana da informao para garantir que o risco avaliado e
gesto ou preparados para aceitar o risco ou fazer apropriado
mudanas.
Relacionada a terceiros risco muitas vezes o mais difcil de gerir a
nveis aceitveis, e essencial que o gestor de segurana entender
os processos e as opes disponveis para abordar estas questes. Cada
relacionamento com uma terceira pessoa deve passar por uma avaliao de
risco, e
medidas de mitigao apropriadas devem ser acordados e orado antes
execuo do contrato
Um programa de segurana da informao deve levar em considerao todos
os terceiros
relacionamentos, incluindo parceiros comerciais, funes terceirizadas e

servio
prestadores de servios. As vulnerabilidades de segurana so muitas vezes
introduzidas por essas relaes,
e essencial que o programa de segurana da informao considerar estes
vulnerabilidades, como parte do perfil de risco global da
organizao. Contratual
relaes devem ser regidas por contrato linguagem apropriada e
acordos de nvel de servio (SLAs) deve incluir disposies adequadas em
matria de
segurana.
essencial que as disposies de segurana adequadas so uma parte de
qualquer servio
contract.The gerente de segurana da informao deve avaliar o risco de
terceirizao de qualquer atividade ou servio e garantir que as disposies
adequadas
existem nas disposies contract.These deve ser introduzida to cedo quanto
possvel no processo de negociao do contrato. As provises podem incluir
direito
auditar, requisitos de segurana especficos, SLAs de segurana ou outros
relatrios
e requisitos, e clusulas de indenizao em caso de monitoramento
falhas de segurana causadas pelo prestador de servio.
Efetivamente acompanhamento do risco criado por provedores de terceiros
pode apresentar
um grande desafio que deve ser abordada pelo segurana da informao
gerente. Requisitos de monitoramento e mtricas para servios terceirizados
deve
ser cuidadosamente concebido e definido no SLA, baseado na organizao do
objetivos de controle e da natureza risk.The avaliado do risco apresentado
por terceiros depender de um nmero de factores, mas principalmente na
servios que so prestados eo impacto das interrupes a esses servios.
Cada requisito na SLA deve ser apoiada por um controle especfico e
processo de monitoramento.
Os tipos e graus
da segurana da informao
risco representado por contratual
relaes
Contrato e relacionamento
monitorizao e mtricas
Passivo colocados pelo terceiro
partidos

Pgina 141

Seo I: Panorama
137
KS3.11 Conhecimento dos mtodos para projetar, implementar e reportar
mtricas de segurana de informaes operacionais
Explicao
Conceitos-chave
Mtricas servem para fornecer as informaes necessrias para tomar
decises.
Mtricas de gesto de segurana da informao deve ser cuidadosamente
planejado para
fornecer informaes que seja significativo para o destinatrio, preciso,
confivel
e timely.As conseqncia, as mtricas devem ser desenvolvidos com base em
compreender as responsabilidades dos vrios gestores que so a
destinatrios da informao. Por exemplo, o diretor financeiro (CFO)
improvvel que se preocupam com o nmero de pacotes descartados por um
firewall enquanto
que pode ser uma informao til para a tendncia officer.The de segurana
de TI para
fornecer dados simplesmente porque esto disponveis deve ser evitado e o
foco mudou para fornecer as informaes necessrias como base para a
prudente
decises.
Tipos de estratgica,
e gesto
mtricas operacionais
1.8
Mtrica
3.4
3.4.2
Gesto do Programa
3.16

Monitorao
A finalidade eo uso de
mtricas e monitoramento
3.4
3.5.1
Definio de objectivos
Arquiteturas
3.13.3 Documentao
3.13.12 Plan-Do-Check-Act
Aplicao
3.16
Monitorao
3.16.3 Medio de Segurana da Informao
Gesto de Desempenho
3.16.12 Medio de Desempenho Operacional
3.17
Critrios essenciais para
mtricas relevantes
3.16
Monitorao
Qual deve ser
monitorado?
3.4.2
Gesto do Programa
3.16
Monitorao
Tipos de mtricas:
estratgico, gesto,
operacional
1.8
Mtrica
3.16
Monitorao
KS3.12 Conhecimento de mtodos para testar a eficcia e aplicabilidade dos
controles de segurana da informao
Explicao
Conceitos-chave
Controles geralmente evoluem ao longo do tempo, em resposta a um
determinado evento ou
circunstncia, geralmente sem o benefcio de uma estratgia global controles
e architecture.An aspecto importante do programa de segurana da informao
desenvolvimento estabelecer um processo para analisar e avaliar
periodicamente
controles para assegurar que continuam a ser relevantes e effective.Assessing
eficcia e aplicabilidade deve incluir uma anlise custo-benefcio
englobando inconveniente para os usurios e os impactos sobre a
produtividade, bem
como o custo total de propriedade (TCO) do controle, incluindo a aquisio,
implantao, treinamento, testes, manuteno e eventual desmantelamento.
Em muitas organizaes, os controles so desenvolvidas durante longos
perodos de
tempo, muitas vezes em uma resposta reativa a um evento ou incidente
relacionado segurana.
A justificativa para esses controles geralmente no documentado e os
controles
simplesmente tornar-se uma prtica aceita, se a necessidade de que eles ainda
existe ou outros controles redundantes foram implemented.An em curso
requisito para a efetiva gesto de segurana da informao garantir que
todos os controles-se tcnico, fsico ou processual-so documentados,
se encontram definidos os objetivos de controle, e so periodicamente testados
tanto para o custo
e para a eficcia. Mtodos utilizados para testar os controles devem ser
objetivos,
coerente e eficaz em termos de custos.
Finalidade do teste
controles
3.15
Mtodos de testes
controles
Critrios de teste de controle
testes de controle
requisitos
Pgina 142

Seo I: Panorama
138
Bonham, Stephen S.; IT Project Portfolio Management ,
Artech House Inc., EUA, 2005
Brancik, Kenneth C.; Insider Computer Fraud: um profundo
Quadro de Deteco e Defesa Contra Insider Ele
Ataques , Auerbach Publications, EUA, 2007
Brotby, W. Krag; Mtricas de Gesto de Segurana da Informao:
Um guia definitivo para monitoramento de segurana eficaz e
Medio , Auerbach Publications, EUA, 2009
Cendrowski, Harry, James P. Martin, Louis W. Petro;
O Manual de Fraude Dissuaso , John Wiley & Sons
Inc., EUA, 2006
Senft, Sandra; Frederick Gallegos; Aleksandra Davis;
Controle de Tecnologia da Informao e Auditoria, 4
Edio ,
Auerbach Publications, EUA, 2012
International Federation of Accountants (IFAC) ", Managing
Segurana de Diretrizes informao ", 2006, www.ifac.org
International Organization for Standardization (ISO),
"Diretrizes para a Gesto da Segurana de TI,
ISO / IEC 13335, "2006 www.iso.org
ISACA, Computao em nuvem: benefcios para o negcio com a segurana,
Governana e garantia de perspectivas , 2009,
www.isaca.org/Knowledge-Center/Research/Documents/
Cloud-Computing-28oct09-Research.pdf
ISACA, COBIT 4.1, EUA, 2007, www.isaca.org / COBIT
ISACA, COBIT 5, EUA, 2012, www.isaca.org / COBIT
ISACA, COBIT 5 para Segurana da Informao , EUA, 2012
Krause Nozaki, Micki, Harold F. Tipon; Handbook of
Gesto de Segurana da Informao, 6
Edio , Volume 6,
CRC Press, EUA, 2012

Longstaff, Dr. Thomas, David S. Brown; Eugene Schultz;
Respondendo a incidentes de segurana informtica: Diretrizes para
Tratamento de incidentes , UCRL-ID-104689, EUA, 23 de julho de 1990
Marcella Jr., Albert J.; Doug Menendez; cibernticos Forensics:
Um Manual de campo para coleta, exame e Preservar
Evidncia de Crime Informtico, 2
Edio , Auerbach
Publicaes, EUA, 2008
Natan, Ron Ben; Implementao de Banco de Dados de Segurana e
Auditoria , Elsevier Digital Press, EUA, 2005
Selo, marca, Segurana da Informao: Princpios e Prticas,
2
Edio , John Wiley & Sons Inc., EUA, 2011

Vacca, John; Tecnologias biomtricas e Verificao
Sistemas , Elsevier Inc., EUA, 2007
Van Grembergen, Wim; Steven De Haes, a governana de TI
Prticas de domnio e Competncias: Medio e
Demonstrando o valor da TI , IT Governance Institute,
EUA, 2005, www.isaca.org/Knowledge-Center/Research/
Documentos / MeasurandDemoValueofIT.pdf
Wells, Joseph T.; Fraude Casebook, Lies do mau
Side de negcios , John Wiley & Sons Inc., EUA, 2007
Wulgaert, Tim e ISACA; Security Awareness: Melhor
Prticas para proteger a sua empresa , a ISACA, EUA, 2005
Wysocki, Robert K.; Gerenciamento de Projetos eficaz:
Tradicional, Agile, Extreme, 6
Edio , Wiley Publishing

Inc., EUA, 2011
3.3 Questes de auto-avaliao
Perguntas
Questes do exame CISM so desenvolvidos com a inteno de
medio e testes de conhecimentos prticos em informaes
gerenciamento de segurana. Todas as questes so de mltipla escolha e
so projetados para uma melhor resposta. Cada pergunta tem CISM
uma haste (pergunta) e quatro opes (opes de resposta). O
candidato solicitado a escolher a correta ou a melhor resposta de
as opes. A haste pode estar na forma de uma pergunta ou
declarao incompleta. Em alguns casos, um ou um cenrio
Descrio problema pode tambm ser includo. Estas perguntas
normalmente incluir uma descrio de uma situao e exigem
o candidato a responder a duas ou mais questes com base na
informaes fornecidas. Muitas vezes um exame CISM

questo vai exigir que o candidato a escolher o mais provvel
ou melhor resposta.
cuidado, eliminar respostas incorretas conhecidos e, em seguida, fazer
a melhor escolha possvel. Sabendo o formato no qual
perguntas so feitas e como estudar para adquirir conhecimento
do que vai ser testado, ir percorrer um longo caminho para responder
los corretamente.
3-1 Ao projetar um sistema de deteco de intruso, a
gerente de segurana da informao deve recomendar que
ser colocadas:
A. fora do firewall.
B. no servidor de firewall.
C. em uma sub-rede filtrada.
D. no roteador externo.
Pgina 143

Seo I: Panorama
139
3-2 Qual das seguintes a melhor mtrica para
avaliar a eficcia da preveno da segurana
treinamento? O nmero de:
Redefinies de senha A..
B. incidentes relatados.
C. incidentes resolvido.
D. violaes de regras de acesso.
3-3 mecanismos de monitoramento de segurana
deve PRINCIPALMENTE :
A. foco em informaes crticas de negcios.
B. ajudar os proprietrios para gerenciar os riscos de controle.
C. focar na deteco de intruses de rede.
D. registro de todas as violaes de segurana.
3-4 Quando a contratao de um contratante para fornecer
administrao de segurana, o MAIS importante
elemento contratual o:
A. Clusula de direita para a terminar.
B. limitaes de responsabilidade.
C. acordo de nvel de servio (SLA).
D. sanes financeiras clusula.

3-5 Qual das seguintes MAIS eficaz em
evitando falhas de segurana nos sistemas operacionais?
Gesto A. patch
B. Gesto da mudana
Linhas de base de segurana C.
Gerenciamento de configurao D.
3-6 Qual das seguintes a MAIS soluo eficaz
para a preveno de usurios internos de modificar sensvel
e informaes classificadas?
Padres de segurana da linha de base A.
B. Sistema de violao de acesso registros
Controles de acesso baseado em funo C.
D. rotinas de sada
3-7 Qual dos seguintes o MAIS importante
considerao na implementao de uma intruso
sistema de deteco (IDS)?
A. Sintonia
B. Patching
C. Encryption
D. filtragem de pacotes
3-8 Qual das seguintes prticas melhor usado
para remover o acesso ao sistema para os empreiteiros e outros
usurios temporrios, quando no mais necessrio?
A. Log Conta uso e envi-lo para seu gerente.
B. Estabelea datas de expirao automticas pr-determinados.
C. Exigir aos gestores de segurana de e-mail quando o usurio
sai.
D. Certifique-se de que cada indivduo assinou um segurana
reconhecimento.
3-9 Qual das seguintes MAIS importante para um
bem sucedido programa de segurana da informao?
A. A formao adequada em matria de segurana emergente
tecnologias
B. comunicao aberta com os proprietrios-chave de processo
C. as polticas adequadas, normas e procedimentos
Compromisso da gesto de D. Executivo
3-10 Uma empresa est a implementar uma segurana da informao
programa. Durante a fase de implementao
Devem ser estabelecidos indicadores para avaliar a eficcia
do programa ao longo do tempo?
A. Teste
B. Iniciao
C. Projeto
D. Desenvolvimento
Pgina 144

Seo I: Panorama
140
3-1 C
Um sistema de deteco de intruso (IDS) deve
ser colocado numa sub-rastreados, o que um
zona desmilitarizada (DMZ). Coloc-lo no
Lado da Internet do firewall no aconselhvel porque
o sistema ir gerar alertas em todos os mal-intencionados
trfego, apesar de 99 por cento ser interrompido
pelo firewall e nunca chegar ao interno
rede. O mesmo seria vlido para coloc-lo em
o roteador externo, se tal coisa fosse possvel.
Desde firewalls deve ser instalado em endurecido
servidores com servios mnimos habilitado, seria
ser inadequado instalar os IDS no mesmo
dispositivo fsico.
3-2 B
Incidentes relatados fornecer um indicador
do nvel de conscincia do pessoal. Um aumento
incidentes relatados poderia indicar que o pessoal
prestando mais ateno segurana. Redefinies de senha
e violaes de regras de acesso pode ou no ter
nada a ver com os nveis de conscientizao. O nmero
de incidentes resolvidos no pode correlacionar ao pessoal
conscincia.
3-3 A
Monitoramento de segurana deve se concentrar em
informaes crticas de negcios a permanecer de forma eficaz
utilizvel por e credvel para os usurios de negcios. Controle
risco a possibilidade de que no iria controla
detectar uma condio de incidente ou erro e, portanto,
no uma resposta correta porque o monitoramento seria
no ajudar diretamente na gesto deste risco. Rede
intruses no so o nico foco de monitoramento
mecanismos, embora eles devem registar todos
violaes de segurana, este no o primrio
objetiva.
3-4 C
Acordos de nvel de servio (SLAs) fornecer
mtricas para que as empresas de terceirizao podem ser
responsabilizados. Esta mais importante do que
uma limitao de responsabilidade da empresa de terceirizao,
uma clusula de direita para a terminar ou um assalto inofensivo
acordo que envolve responsabilidades a terceiros
partes.
3-5 A
Corrige gerenciamento de patches descoberto
fraquezas, aplicando uma correo
(Patch) para o cdigo de programa original. Mudana
gesto controla o processo de introduo de
mudanas nos sistemas. Linhas de base de segurana fornecem
configuraes mnimas recomendadas. Configurao
gesto controla as atualizaes para o
ambiente de produo.
3-6 C
Controles de acesso baseados em funo ajudar a garantir que os usurios
s tm acesso a arquivos e sistemas adequados
por seu papel trabalho. Registros de violao so detetive e
no impedem o acesso no autorizado. Linha de Base
normas de segurana no impedem no autorizado
acesso. Rotinas de sada so dependentes
acesso baseado em funo apropriada.
3-7 A
Se um sistema de deteco de intruso (IDS) no
ajustado adequadamente ele ir gerar uma inaceitvel
nmero de falsos positivos e / ou deixar de soar um
alarme quando um ataque real est em andamento. Corrigindo
est mais relacionado com o endurecimento do sistema operacional,
enquanto a filtragem de pacotes de criptografia e no seria
como relevante.
3-8 B
Datas de vencimento pr-determinados so os mais
meio eficaz de remover o acesso de sistemas
para usurios temporrios. A dependncia de gestores para
prontamente enviar avisos de resciso no pode
sempre ser contado, mas exige cada
indivduo a assinar um reconhecimento de segurana
teria pouco efeito neste caso.
3-9 D
Apoio suficiente gerncia executiva
o fator mais importante para o sucesso
de um programa de segurana da informao. Aberto
comunicao, formao adequada, e bom

polticas e procedimentos, embora importantes, no so
to importante quanto o apoio da alta administrao;
eles no vo garantir o sucesso, se a alta administrao
apoio no est presente.
3-10 C
Na fase de projeto, pontos de verificao de segurana so
definidos e um plano de teste desenvolvido. O teste
fase muito tarde uma vez que o sistema j possui
sido desenvolvido e est em testes de produo. Em
a fase de iniciao, o objetivo de segurana bsica
o projeto reconhecido. Desenvolvimento o
codificao de fase e tarde demais para considerar planos de teste.
Pgina 145

Seo Dois: Contedo
141
Seo Dois: Contedo
3.4 Segurana da Informao programa
Um programa de segurana da informao abrange todas as atividades
e recursos que fornecem coletivamente segurana da informao
servios a uma organizao. Principais atividades do programa
implicar design, desenvolvimento e integrao de toda a empresa
controles relacionados segurana da informao, bem como o contnuo
administrao e gesto desses controles. Os controlos
pode variar de polticas e processos simples de alta complexidade
solues de tecnologia. Dependendo do tamanho e natureza de
a organizao, essas atividades podem ser executadas por um chefe
agente de segurana da informao (CISO) gerir uma grande equipe
com diversas habilidades, ou, no outro extremo do espectro, um nico
indivduo que carrega todas as responsabilidades pela informao
Em alguns casos, o gestor de segurana da informao pode ser
necessrio para iniciar um programa de segurana da informao a partir da
sua
criao. Mais frequentemente, o trabalho da segurana da informao
gerente envolver gesto, modificando e melhorando
um programa existente. Em qualquer caso, importante para o
informao gerente de segurana de ter uma slida compreenso do
os vrios aspectos e requisitos de projeto eficaz do programa,

implementao e gesto.
Bem sucedida gesto do programa de segurana no significativamente
diferente de gesto de qualquer outra atividade organizacional. O
principal diferena que, apesar de grandes avanos ganhou ao longo da
ltima
dcada, a segurana da informao continua a ser um pouco mal definido e
disciplina freqentemente incompreendido.
Muitas pessoas que trabalham na qualidade de segurana da informao
gerente de vir de uma formao tcnica. A maioria no embarcar
em uma carreira de gesto, mas sim, eles eram tecnlogos que
encontraram-se cada vez mais confrontados com funes de gesto
e responsabilidades. Alm disso, este se mover em direo a uma mais ampla
papel de gesto tem sido impulsionado pelo aumento do desejo do
negcio para entender por que os controles de segurana especficos so
necessrios
e como as vantagens comerciais especificamente a partir deles. Em suma,
alta administrao quer entender o risco especfico que o
programa de segurana da informao est se dirigindo, e por que os controles
ele mandatos so um bom investimento e realmente beneficiar o
negcio. Esta tendncia tem obrigado os profissionais de segurana para a
etapa
fora de sua zona de conforto no campo da tecnologia e desenvolver um
maior compreenso e apreo pelas atividades comerciais
eles esto buscando proteger.
Estas tendncias de crescimento das organizaes de segurana e aumento da
presso do negcio para garantir que o programa de segurana
alinhada com e apoia os objetivos de negcios ampliaram
o corpo de gerentes de segurana de conhecimento deve dominar. Uma ampla
conjunto de conhecimento do negcio e compreenso deve ser agora
adicionados base de conhecimento de segurana todas as informaes de
segurana
os profissionais devem possuir. No entanto, at a ltima dcada,
gesto de segurana da informao no era um campo reconhecido de
estudo. O resultado foi que, ao contrrio de praticamente todos os outros
organizacional
funes, no houve um grande conjunto de informaes bem temperado
gerentes de segurana com dcadas de experincia. Houve tambm
no um corpo padro bem-codificado de conhecimentos apoiados por anos
de prtica e fundamentos educacionais. Esta situao era
a base para o desenvolvimento do programa em ISACA CISM
2003 e continua at hoje a dirigir os esforos da ISACA, ISO, e
organizaes similares que buscam ajudar as empresas em torno de
o mundo para desenvolver programas efetivos de segurana da informao.
Informaes Tendncias de Gesto de Segurana
Num nmero crescente de organizaes de mdias e grandes, o

gerente de segurana da informao est no nvel executivo, designado
como vice-presidente de segurana, CISO, ou agente de segurana
simplesmente chefe
(CSO). Neste ltimo caso, um nmero de funes de segurana pode
reportar a uma organizao independente de segurana de nvel corporativo.
Estas funes podem incluir, mas no esto limitados a, fsico e
segurana da informao, alguns ou todos de segurana de TI, compliance,
privacidade,
planejamento de continuidade de negcios / recuperao de desastres (BCP /
DR) e
arquitetura de segurana. Em algumas grandes organizaes multinacionais,
muitas ou todas estas funes esto includas em um snior
gerente de risco corporativo, ou Chief Risk Officer (CRO).
Os benefcios dessa tendncia so aparentes. Todas estas funes
servir a necessidade fundamental de garantir a segurana e preservao
da organizao e so, em grande medida, interdependentes.
Agregando essas atividades de garantia sob uma nica corporativa
funo provvel que ganhar o favor, torna-se cada vez mais evidente
que, uma abordagem chamin desintegrada a segurana ineficiente,
caro e, muitas vezes, ineficaz.
Embora a tendncia ser para uma maior integrao e
a crescente elevao da segurana da informao, para muitos
organizaes no provvel de ocorrer no curto prazo, e
gesto de segurana da informao continuar a ser um
fragmentado, o esforo de TI de baixo nvel. Em muitos sectores continuar
para ser visto principalmente como uma atividade tcnica tratando em grande
parte com
questes de conformidade, em oposio a uma actividade estratgica vital.
Independentemente das tendncias e consideraes ideais para a segurana, a
realidade na maioria das organizaes algo menos do que
ideal, mas a segurana ainda deve ser gerido de forma contnua,
base contnua.
Alm de compreender os conceitos e tecnologias de segurana,
gestores de segurana da informao ser cada vez mais precisa para ganhar
experincia em uma srie de funes de gesto, tais como o oramento,
planejamento, desenvolvimento de casos de negcios, recrutamento e outros
pessoal funes relacionadas.
Elementos Essenciais de um Programa de Segurana da Informao
H trs elementos essenciais para garantir a segurana de sucesso
concepo, implementao e gesto em curso:
1. O programa deve ser a execuo de um bem desenvolvido
estratgia de segurana da informao alinhado com e
apoiar os objectivos organizacionais.
2. O programa deve ser bem projetado com a cooperao e
apoio de gesto e as partes interessadas.

3. Mtricas eficazes devem ser desenvolvidos para a concepo do programa e
fases de implementao, bem como a subseqente em curso
Pgina 146

Seo Dois: Contedo
142
fases de gesto de programa de segurana para fornecer o feedback
necessrias para orientar a execuo do programa para alcanar o definido
resultados.
A maioria dos quadros padro de segurana da informao mostram a
desenvolvimento de um programa de segurana da informao como a
comear
avaliao de risco e conduzindo definio de uma estratgia para
gerir o risco. Embora, em alguns casos, pode ser suficiente, no
susceptvel de ser ideal e no aborda o equilbrio da importante
os resultados para a segurana da informao, incluindo o alinhamento
estratgico,
gesto de recursos, entrega de valor, processo de garantia
integrao e medio de desempenho.
A abordagem global para o desenvolvimento de estratgia de segurana
apresentado no captulo 1 vai alm de apenas abordar risco
tambm definir objectivos gerais de segurana da informao. Estes
objetivos, por sua vez deve ser explicitamente ligada organizao
objetivos. A abordagem descrita tambm descreve metodologias
para a definio do estado desejado de segurana e fornece a base
para o desenvolvimento de uma estratgia abrangente e eficaz para atingir
esses objectivos. Alm de apenas focando o gerenciamento de risco, este
abordagem preferida considera como a segurana da informao deve
ser ligada e apoiar activamente a organizao da estratgica
objetivos, garantir a sua preservao, e otimizar a segurana
recursos e atividades.
A realidade que muitas organizaes ainda no esto prontos para
comprometem os custos e os esforos para implementar a segurana da
informao
governana. Nestes casos, o gerente de segurana da informao
pode precisar de "atalho" desenvolvimento objetivos. Isto pode ser
conseguido pela utilizao de uma estrutura padro, tais como COBIT
ou ISO / IEC 27001 em conjunto com uma maturidade da capacidade
modelo (CMM) escala ou o mais recente processo ISO / IEC 15504
modelo de referncia de avaliao utilizado em COBIT 5. Esta abordagem

ser
permitir que o gerente de segurana da informao para determinar a corrente
estado do programa de segurana da informao, definir metas especficas e
determinar uma estratgia para alcan-los.
Em qualquer caso, essencial para o gerente de segurana da informao para
desenvolver objectivos definidos para o programa de segurana da informao
e para ganhar gesto e consenso das partes interessadas. Sem
objetivos de segurana da informao definida, ser impossvel
para elaborar informao eficazes mtricas de gerenciamento de segurana
porque no haver ponto de referncia para mostrar o progresso e
desenvolvimento tende a ser ad hoc e casual.
Independentemente da forma como os objectivos de segurana da informao
so
concebido e uma estratgia para alcan-los desenvolvido, o objetivo do
um programa de segurana da informao implementar a estratgia e
alcanar os objectivos definidos. Uma vez desenvolvidas, as informaes
programa de segurana deve representar claramente os elementos de
estratgia.
Desenvolvimento de programas de segurana da informao susceptvel de
implicar uma
variedade de atividades, projetos e iniciativas que envolvem pessoas,
processos e tecnologia ao longo de um perodo prolongado de tempo. O
gerente de segurana da informao deve ter em mente que a
objetivos e benefcios esperados da segurana da informao
programa ser o mais til se definido em termos de negcios
para ajudar os interessados no tcnicos entender e apoiar o
metas do programa. Esta tambm mais propensos a promover feedback e
participao de empresrios, que, por sua vez, ir torn-lo
mais provvel que o programa de segurana vai ser alinhada com global
objetivos organizacionais. O gerente de segurana da informao
tambm deve considerar que os programas e iniciativas que no tm
benefcios comerciais ou organizacionais especficos identificveis deve ser
cuidadosamente examinados para determinar se eles so justificados ou
recursos pode produzir maiores benefcios em outro lugar.
3.4.1 importncia da informao
Alcanar nveis adequados de segurana da informao em um razovel
custo requer um bom planejamento, uma estratgia eficaz e capaz
gesto. Gesto do programa de segurana da informao uma
exigncia permanente que serve para proteger os ativos de informao,
satisfazer obrigaes regulamentares, e minimizar o potencial legal e
exposies passivas. Devidamente projetada, implementada e gerenciada,
ele fornece suporte crtico para muitas funes de negcios que
simplesmente no seria vivel sem ele.
Para ser de alguma utilidade, uma estratgia, como discutido no captulo 1

deve ser
implementado e operacionalizado. Um ou mais processos
devem ser concebidos para atingir os objectivos da estratgia. O
programa de segurana o processo pelo qual a organizao
sistemas de segurana so concebidos, projetados, construdos, implantado,
modificado, gesto e manuteno, bem como removido
servio. Este aspecto crtico da segurana da informao gerente de
responsabilidades abrange uma rea ampla, e que exige substancial
conhecimentos e habilidades tcnicas e gerenciais gerais.
Um programa de segurana bem executado servir para efetivamente
projetar, implementar, gerenciar e monitorar o programa de segurana,
transformar estratgia em realidade. Ao fornecer o
recursos para atender os objetivos de segurana, mas tambm ir acomodar
as inevitveis mudanas nos requisitos de segurana, aproveitando
de experincia em segurana, ferramentas e tcnicas j disponveis
na infra-estrutura. Ela tambm aumenta a probabilidade de que o
esforos so bem integradas, reduzindo custos de manuteno e
administrao e proporcionando um nvel consistente de segurana em
a empresa.
Deve ficar claro que um programa de segurana eficaz requer um
grande dose de planejamento, bem como conhecimentos e recursos. Eficaz
planejamento pode ser significativamente ajudado pelo desenvolvimento de
uma empresa
arquitetura de segurana no conceitual, lgico, funcional e
nveis fsicos. Existem modelos bem definidos e estruturas que
pode ajudar neste processo, conforme detalhado na seo 3.12.
3.4.2 resultados de informaes
Programa de Gesto de Segurana
A gesto eficaz do programa de segurana da informao deve
alcanar os objectivos definidos na estratgia de segurana discutidos em
captulo 1. Tal como acontece com outras actividades de gesto, as metas
devem ser
definida em termos especficos, objetivos e mensurveis. Apropriado
mtricas devem, ento, ser estabelecida para determinar se os objetivos
foram alcanados e, se no, por quanto eles foram perdidas
e como o desempenho pode ser melhorado.
Pgina 147

Seo Dois: Contedo
143

Se a governana da segurana da informao formal foi
implementadas ou no, um nvel aceitvel dos seis critrios seguintes
os resultados devem ser considerados a base para o desenvolvimento do
objetivos de um programa de segurana da informao eficaz:
Alinhamento estratgico
A gesto de riscos
entrega de valor
Gesto de recursos
integrao do processo de Garantia
A medio do desempenho
Desenvolver uma estratgia e definir os atributos da informao
programa de segurana so exerccios essencialmente conceituais e lgicos.
Desenvolvimento do programa de segurana exigir que transformemos estes
conceitos e relaes lgicas em tecnologias e processos.
Do ponto de vista arquitetnico, o que exigir o desenvolvimento da
componentes fsicos, funcionais e operacionais que so necessrios
para atingir os objectivos definidos.
Se esta uma iniciativa importante ou uma srie de iniciativas, as informaes
gestor de segurana deve considerar o desenvolvimento de uma segurana
total
arquitetura para garantir que as metas e os resultados esperados so
realizado. Se a arquitetura (s) empresa j existir, ento a segurana
arquitetura que consistente com o que deve ser incorporado
para a arquitetura corporativa existente (s). Tal como acontece com qualquer
complexo
estrutura com vrias partes mveis, arquitetura pode servir para
definir componentes e processo lgico, fsico e operacional
relaes. Ele tambm pode esclarecer possveis problemas e fornecer
rastreabilidade, desde a concepo at a implementao e operao.
Alinhamento Estratgico
Alinhamento eficaz da segurana da informao com o negcio
objetivos requer a interao regular com os empresrios e
uma compreenso de seus planos e objetivos. Muitas vezes depende
em angariar entrada de e construir consenso entre a
unidades operacionais importantes dentro da organizao. No reino do
gerente de segurana da informao, esse consenso envolve temas como
como a compreenso:
risco da informao organizacional
A seleo de objetivos e normas de controlo adequados
Acordo de risco aceitvel e tolerncia ao risco
As definies de restries financeiras, operacionais e outros
Isso pode ser feito por meio de um comit gestor de segurana,
se empresrios ou seus delegados so membros e ativo
participantes. O programa de segurana pode suportar o alinhamento de
objetivos de negcios e segurana da informao atravs da implementao de

processos que garantam que os objetivos de negcio definidos fornecer a
entrada em curso para orientar as atividades de segurana.
Ambos os velhos e novos problemas que requerem ateno deve ser
monitorado
e comunicada regularmente. Os itens de ao relacionados com a questo
investigao, resoluo e disposio devem ser monitorados
e relatou como as mtricas de desempenho de segurana organizacional. A
informaes regulares relatrio de estratgia de segurana devem ser
entregues
a gesto executiva para dar visibilidade em sucessos e
contratempos em torno do alinhamento estratgico. Esta informao pode
variar
do andamento dos projetos de interesse para novo risco ou capacidades
que podem afetar uma determinada linha de negcio.
Essas interaes operacionais do dia-a-dia tambm so poderosos
na sua capacidade de construir relacionamento e cooperao ao longo
a organizao. Alm de facilitar a ao oportuna sobre
questes de segurana da informao, relacionamentos ativos promovida pelo
gerente de segurana da informao pode tambm aumentar a conscincia e
uma
senso de responsabilidade em torno da segurana da informao.
Se a organizao tem uma unidade de planejamento estratgico de negcios,
ativo
participao nas suas actividades tambm podem fornecer informaes sobre
o futuro
direes de negcios e assegurar que as consideraes de segurana so
includos no processo de planejamento. Isto pode proporcionar oportunidades
para orientar as atividades de segurana para apoiar esses objetivos e
identificar
risco potencial.
Os esforos para alinhar a segurana com os objetivos de negcios deve
incluir
considerao de solues de segurana que so um bom ajuste para a corrente
e planejou iniciativas de negcios. O alinhamento tambm deve levar em
processos de conta da empresa, bem como o custo, a cultura, a governana,
tecnologia existente e da estrutura da organizao.
Gesto de Riscos
Gerenciando o risco para os ativos de informao uma responsabilidade
primria
do gerente de segurana da informao e fornece a base
e justificativa para virtualmente todas as atividades de segurana da
informao. Risco
anlise deve ser baseada em requisitos de negcio, bem como sobre
uma compreenso da organizao do processo, a cultura e
tecnologia. Para gerenciar riscos de forma eficaz, a segurana da informao

gerente deve desenvolver uma compreenso abrangente de ameaas
a organizao enfrenta, suas vulnerabilidades e seu perfil de risco. O
potenciais impactos das ameaas que se materializam deve ser avaliada
e usada para estabelecer prioridades. Risco deve ser gerenciado para um nvel
que seja aceitvel para a organizao. No entanto, o cenrio de risco
est sempre mudando, e novo risco inevitavelmente surgiro durante
desenvolvimento de programas e administrao. importante que um
processo contnuo de gesto de risco de ser mantida durante
implementao do programa e evoluo.
Valor Entrega
Entrega de valor como um objetivo exige que as informaes
segurana oferece o nvel necessrio de segurana de forma eficaz e
eficientemente. A execuo do programa de segurana pode ter um
efeito considervel na concretizao deste objectivo. Um bom planejamento e
habilidades de gerenciamento de projetos so necessrios para implementar o
estratgia eficaz.
Investimentos de segurana devem ser gerenciados para otimizar o suporte de
objetivos de negcios e agregar valor claro para a organizao.
O gerente de segurana da informao deve direcionar esforos
em direo a realizao de um conjunto padro de prticas de segurana
e estabelecimento de linhas de base de segurana proporcionais ao risco.
Esforos de proteco devem ser priorizados para alocar recursos limitados
para as reas de maior necessidade e benefcio.
Entrega contnua de valor exige que as solues de segurana ser
prticas institucionalizadas como normal e esperado com base em
padres. As solues devem abordar de forma abrangente lgico,
preocupaes tcnicas, operacionais e fsicas com base em um
compreenso dos processos operacionais de ponta a ponta do
organizao. A gesto da segurana no pode permanecer esttico e deve
esforar-se para desenvolver uma cultura de melhoria contnua.
Pgina 148

Seo Dois: Contedo
144
Gesto de Recursos
Uma srie de recursos so utilizados no desenvolvimento e gesto
um programa de segurana. Esses recursos incluem pessoas, tecnologia
e processos. O gerente de segurana da informao deve esforar-se
utilizar os recursos humanos, financeiros, tcnicos e de conhecimento
eficiente e eficaz. Um aspecto importante de recurso

gesto conseguido por assegurar que o conhecimento
capturados e disponibilizados para aqueles que dela necessitam. Recursos
humanos
so utilizados de forma eficiente, garantindo conhecimentos e competncias
adequadas,
correcta gesto e acompanhamento de desempenho. Processos de segurana
e as prticas devem ser documentadas, e eles devem ser consistentes
com as normas e polticas. O planejamento do projeto, seleo de tecnologia
e aquisio ou desenvolvimento de competncias ser factor
significativamente em
a eficcia da gesto dos recursos. Arquiteturas de segurana
deve ser desenvolvido para definir e utilizar as infra-estruturas para
alcanar os objetivos de segurana eficiente. Estes esforos ajudam a
promover
reconhecimento das necessidades de recursos e falhas e fornecer o
base para uma boa gesto de recursos.
Processo de garantia de Integrao
importante que o gerente de segurana da informao a ter em conta
e entender todas as funes de garantia de organizao por causa
que, invariavelmente, tm significado para a segurana da informao.
O gerente de segurana da informao deve desenvolver formais
relaes com outros provedores de seguros e esforo para
integrar essas atividades com as atividades de segurana da informao. Em
a organizao tpica, isso pode incluir a segurana fsica, risco
gesto, escritrio privacidade, garantia de qualidade, auditoria, a mudana
gesto, de seguros, de RH, a continuidade dos negcios, o desastre
recuperao e talvez outros.
Como ditada pelos objectivos de governao discutidas no captulo 1,
um gerente de segurana da informao devem procurar aumentar
garantia da informao e da previsibilidade das operaes de negcios
atravs de medidas de mitigao que reduzam os riscos relacionados com a
informao
ao definido e acordado os nveis de aceitabilidade. Como discutido em
captulo 2, risco aceitvel a um custo aceitvel pode ser determinada
atravs do desenvolvimento de objetivos de tempo de recuperao (RTOs),
que servir
para equilibrar o custo de recuperao contra falhas aceitveis.
Em outros casos, o risco aceitvel pode ser determinada em termos
de confiabilidade, integridade, os nveis de desempenho, confidencialidade,
paradas aceitveis e impactos financeiros.
Medio de Desempenho
Se uma estratgia de segurana da informao foi desenvolvido,
deve ter identificado uma variedade de monitoramento importante e
exigncias mtricas. provvel que, durante a evoluo e
gesto de um programa de segurana, oportunidades adicionais

para desenvolver mtricas significativas ou pontos de monitoramento til
se tornar aparente. Pode haver oportunidades para "enrolar"
grupos de mtricas para fornecer uma viso mais holstica para a gesto
segurana. Novo trabalho considervel tem sido feito pela ISACA
com o objetivo de desenvolver processos para fornecer melhor segurana
mtricas de gesto. Este tema est coberto na maior detalhe em
seo 3.16.
O desenvolvimento e implementao do programa de segurana
prprio exigir um meio de medir o progresso e monitoramento
actividades. Um programa de segurana da informao eficazes resulta em
processos destinados a alcanar os objetivos de governana, bem como
artefatos mensurveis que demonstram se os objectivos so
satisfeitas. Processos de segurana devem ser projetados com mensurvel
pontos de controle que permitem que os auditores independentes para atestar
que o
programa est em vigor e geridos de forma eficaz.
O gerente de segurana da informao deve desenvolver monitoramento
processos e mtricas associadas para fornecer informao contnua
sobre a eficcia dos processos de segurana da informao e
controlos. Bom design mtricas e implementao requer um
compreenso das informaes necessrias por vrios crculos eleitorais
para gerir de forma eficaz. As mtricas devem ser desenvolvidos em vrios
nveis, incluindo estratgico, gesto e os nveis operacionais.
As mtricas utilizadas devem ser definidas, acordadas pela gesto
e alinhada com os objetivos estratgicos. Cuidados devem ser tomados para
assegurar que os parmetros de fornecer informaes teis e relevantes para
gesto das actividades de segurana para alcanar os objetivos
definidos. Estes
processos de medio ajudar a identificar deficincias e falhas
das actividades de segurana, e fornecer feedback sobre os progressos
realizados na
resoluo de problemas.
3.5 Segurana da Informao
Objetivos do Programa
O objetivo do programa de segurana da informao implementar
a estratgia da maneira possvel mais rentvel, enquanto
maximizando o apoio de funes de negcios e minimizando
interrupes operacionais. Os captulos 1 e 2 explicam como a governana
e objetivos de gesto de risco para um programa de segurana so
definidos e incorporados em uma estratgia global. O sucesso
destes passos iniciais vai determinar o grau de clareza
compreender o desenvolvimento do programa de segurana da informao
objetivos. Se a estratgia de segurana tem sido bem desenvolvido, o
principal tarefa ser transformar a estratgia de alto nvel em lgica e
realidade fsica atravs de uma srie de projetos e iniciativas. Mas

mesmo com uma estratgia de segurana bem desenvolvida, inevitvel que
haver elementos que devem ser modificados ou reexaminadas
durante a concepo do programa, o desenvolvimento ea administrao
contnua.
Isso pode ocorrer por uma variedade de razes, tais como mudanas na
requisitos de negcios, infra-estrutura subjacente, topologia,
tecnologias ou nvel de risco. Tambm pode ser o caso que melhor
solues se tornam disponveis durante o curso do programa
desenvolvimento ou posteriormente. Mesmo resistncia inesperada por
os afetados pelas alteraes introduzidas pelo novo ou modificadas
programa pode conduzir mudanas significativas para a concepo,
implementao
ou operao de um programa de segurana.
Se a estratgia tem sido desenvolvido em detalhe significativo
ou apenas para o nvel conceitual, o desenvolvimento do programa ser
incluem uma grande dose de planejamento e design para atingir trabalho
planos de projeto. provvel que o padro SDLC abordagens
ser til, inclusive de viabilidade, requisitos e fases de projeto.
O desenvolvimento destes planos de forma colaborativa importante
obter consenso e cooperao entre as vrias partes interessadas e
minimizar posterior implementao e problemas operacionais.
Pgina 149

Seo Dois: Contedo
145
Raramente um gerente de segurana da informao diante de uma situao
onde no h atividade de segurana da informao presente em uma
organizao. Portanto, a construo de um programa de segurana da
informao
muitas vezes um processo de comparar a atividade organizacional existente
para o que necessrio para alcanar um estado desejado, efectuando uma
lacuna
anlise. Se os processos descritos no captulo 1 foram utilizados
para desenvolver os objetivos de segurana da informao, isso j vai
ter sido realizado a um nvel elevado, mas pode ser necessrio
para definir melhor esses objetivos baixo para um mais concreto e
nvel prtico. Isso pode exigir uma quantidade substancial de esforo,
mas um componente crtico para o desenvolvimento do programa de

segurana.
essencial para determinar as foras que impulsionam a necessidade de
negcio
para o programa de segurana da informao. Principais impulsionadores para
uma
programa de segurana da informao podem incluir:
As exigncias sempre de montagem para conformidade regulamentar
frequncia e custo relacionados a incidentes de segurana Superior
As preocupaes com danos reputao
As crescentes exigncias comerciais da Indstria de Cartes de Pagamento
(PCI)
Data Security Standard (DSS)
Determinar os motoristas vo ajudar a esclarecer os objetivos do programa
e proporcionam a base para o desenvolvimento de mtricas relevantes.
Uma vez que os objectivos tenham sido claramente definida, a fim de
as atividades de desenvolvimento de programa de segurana desenvolver a
processos e projetos que fecham a lacuna entre o estado atual
e esses objectivos. Tipicamente, a maior parte do trabalho de base ser
para identificar controlos necessrios, implement-las, desenvolver adequado
mtricas e, em seguida, monitorar os pontos de controle de apoio do controle
objetivos.
Se existe ou no um programa de segurana da informao existente,
existem alguns elementos bsicos que precisam estar no local
para apoiar a atividade de controle e saber que ela eficaz. Como tem
foi referido anteriormente, o primeiro passo sempre para determinar
objectivos de gesto de segurana da informao, desenvolvimento de metachave
indicadores (KGIs) que refletem esses objectivos e, em seguida desenvolver
maneiras de medir se o programa est indo na direita
direo para atingir esses objetivos.
Conceitos programa
Como um programa de segurana da informao desenvolvido, importante
que os desenvolvedores manter em mente o objetivo fundamental da
programa de segurana, ou seja, para implementar a estratgia de segurana e
alcanar os resultados definidos, conforme descrito no captulo 1.
Em situaes em que a governana de segurana no foi
implementada e / ou uma estratgia no tem sido desenvolvida, que ainda ser
ser necessrio definir objectivos gerais para as atividades de segurana.
Off-the-shelf, objetivos ready-made pode incluir a conformidade com
um determinado conjunto de normas ou alcanar um nvel de maturidade
definida
com base no modelo CMM.
Se definido em uma estratgia ou no, um programa de segurana
esforo de implementao tambm deve incluir uma srie de especfico

objetivos de controle como definido no COBIT ou ISO 27001.
provvel que uma grande parte de qualquer programa de segurana ser
composto de
concepo, desenvolvimento e implementao de controles, seja
tcnico, processual ou fsica. Como estes controlos so desenvolvidos,
monitorizao e mtricas tambm deve ser considerado. Processos para
medir a eficcia do controle ser essencial como abordagens
para determinar a falha de controle. Algum desenvolvimento de mtricas
abordagens e processos so detalhados na seo 3.16.
A aplicao ter tipicamente consistem de uma srie de projetos
e iniciativas. Ela geralmente envolve habilidades de gerenciamento de
projetos,
incluindo a utilizao de recursos, oramento, definio e reunio
linhas de tempo e metas, garantia de qualidade e de usurio
testes de aceitao.
Muitos projetos envolvem elementos tcnicos incomuns ou complexos e
pode exigir a especificao detalhada, design e esforos de engenharia.
Isso muitas vezes requer habilidades fora da segurana da informao
managers'capabilities e geralmente prudente considerar
contratar os servios de consultores ou contratados com o assunto
percia da matria.
3.6.1 Conceitos
Ambos implementao e gesto de um programa de segurana ser
exigem o gerente de segurana da informao para entender e ter
um conhecimento prtico de uma srie de gesto e processo
conceitos incluindo:
SDLCs
Desenvolvimento de Requisitos
desenvolvimento Especificao
Objetivos de controle
projeto de controle e desenvolvimento
implementao de controle e teste
monitoramento e mtricas de controle
Arquiteturas
Documentao
Garantia de qualidade
Gerenciamento de projetos
Caso de Desenvolvimento de Negcios
reengenharia de processos de negcios
Oramento, custos e questes financeiras
estratgias de implantao e integrao
Treinamento de avaliao das necessidades e abordagens
Comunicaes
A resoluo de problemas
Variao e resoluo de descumprimento

A gesto de riscos
O controlo do cumprimento e execuo
questes de pessoal
Nota: Esta no uma lista de tudo includo, mas apenas representante
de muitas das principais conceitos que com que as informaes
gestor de segurana deve estar familiarizado.
Pgina 150

Seo Dois: Contedo
146
3.6.2 Recursos Tecnolgicos
Um programa de segurana da informao, na maioria dos casos, envolvem
uma variedade de tecnologias, alm de processos, polticas e
pessoas. O gerente de segurana da informao deve ser qualificado para
tomar decises no que diz respeito tecnologia, incluindo a viabilidade
e aplicabilidade das solues disponveis em termos de programa
metas e objetivos. tambm essencial que as informaes
gerente de segurana entender onde uma dada tecnologia se encaixa
para a preveno, a deteco, a conteno, a reao bsica e
quadro de recuperao, e como ele vai servir para implementar
elementos estratgicos.
Abaixo est uma amostra das tecnologias relacionadas diretamente com
segurana da informao de que o gerente de segurana da informao deve
estar familiarizado com:
Firewalls
sistemas de antivrus
Os recursos de segurana inerentes a dispositivos de rede
(Por exemplo, roteadores, switches)
sistemas de deteco de intruso (IDSs), inclusive com base em hospedeiro
sistemas de deteco de intruso (HIDSs), invaso de rede
Os sistemas de deteco (NIDSs)
sistemas de preveno de intruso (IPSS)
tcnicas de criptografia (por exemplo, infra-estrutura de chave pblica [PKI]
Advanced Encryption Standard [AES], etc)
As assinaturas digitais
Cartes inteligentes
mecanismos de autenticao e autorizao (one-time
senhas [OTPs], desafio-resposta, certificados PKI
autenticao multifatorial, biometria)
metodologias de segurana sem fio

A computao mvel
metodologias de segurana de aplicativos
metodologias de acesso remoto (rede privada virtual
[VPNs], etc)
tcnicas de segurana Web
coleta de logs, anlise e correlao de ferramentas (ou seja, de Segurana
Informao e Gesto de Eventos [SIEM])
Vulnerabilidade e ferramentas de testes de penetrao
metodologias de preveno de vazamento de dados (segurana mdia
removvel,
filtragem de contedo, etc) e tecnologias associadas
controles de integridade de dados, por exemplo, backups, instantneos de
dados, os dados
replicao, RAID, SAN replicao em tempo real, etc
sistemas de gerenciamento de identidade e acesso
Embora muitas dessas tecnologias so especificamente relacionados com
segurana e mais funes como controle, a segurana da informao
gerente deve reconhecer que praticamente todas as tecnologias implantadas
ter implicaes de segurana.
Alm de tecnologias que esto relacionadas com a segurana, o
gerente de segurana da informao deve estar familiarizado com o mais
amplo
aspectos da tecnologia da informao, incluindo, mas no limitados a:
Redes locais (LANs)
Wide Area Networks (WANs)
backup e arquivamento abordagens como matriz redundante de
discos de baixo custo (RAID), redes de rea de armazenamento (SANs)
Internet e de rede protocolos (TCP / IP, UDP, etc)
Sistemas Operacionais
conceitos e protocolos de rede de roteamento
Bancos de dados
Servidores
arquiteturas empresariais (dois e servidores do cliente de trs camadas,
mensagens, etc)
Virtualizao
Computao em nuvem
tecnologias relacionadas Web e arquiteturas
Para reiterar, essas listas no so destinadas a ser abrangente,
mas representativo das reas e tipos de tecnologias da
gerente de segurana da informao deve estar familiarizado com a
gerenciar com sucesso um programa de segurana da informao.
Se no familiarizados com qualquer um dos termos listados acima, o CISM
candidato deve primeiro analisar o glossrio no final deste
Manual. Alm disso, o Centro de Conhecimento da ISACA
web site ( www.isaca.org ) contm uma loja totalmente pesquisvel de

informaes na forma de white papers, artigos de peridicos e outros
Publicaes da ISACA que abordam vrias tecnologias, tendncias e
conceitos importantes para os gerentes de segurana da informao.
3.7 mbito e Carta de um
informaes de segurana programa
Se um gerente de segurana da informao est se formando um novo
departamento de segurana ou entrar em um j estabelecido, no
vrias consideraes importantes a ter em conta. Ser
importante para determinar o escopo, responsabilidades e alvar de
o departamento. raro encontrar esses elementos claramente identificados
e documentada, ao contrrio responsabilidades tcnicas gerais para
itens, tais como firewalls, IDS, de deteco de vrus, etc, que so
geralmente documentada. A falta de responsabilidades definidas vontade
tornam difcil determinar o que para gerir ou quo bem o
funo de segurana o cumprimento dos objectivos.
O gerente de segurana da informao entrando em uma nova situao
aconselhado a investir um esforo considervel na obteno de um
entendimento
daqueles que ele ou ela se reporta a respeito das expectativas,
responsabilidades, escopo, autoridade, oramentos, requisitos de informao,
etc Ser til para documentar especificamente esses elementos e
obter um acordo com a administrao.
Em termos de cadeia de comando, vital para entender o
estrutura organizacional e onde a funo de segurana cai
dentro dessa estrutura. Em muitas situaes, haver inerente
conflitos estruturais que o gestor deve estar atento e dar
considerar cuidadosamente. Ele tambm pode ser prudente discutir qualquer
potenciais conflitos de interesse com a gesto e compreender
como que vai ser tratada. O departamento de segurana da informao
em grande parte, serve como uma funo de regulao interno, e a sua
capacidade para
funo efetivamente impede relatrios para aqueles que suposto
regular. Embora possa haver excees, geralmente verdade que
gestores de segurana da informao que se reportam na cadeia de tecnologia
de comando ou a outros gerentes operacionais tendem a ser muito
limitados na sua capacidade de fornecer segurana da informao eficaz
toda a empresa.
Se o departamento est estabelecido e tem funcionado bem,
provvel que muitas funes do departamento de segurana j vai
ser aceito prtica. No entanto, ser til para determinar
se as responsabilidades so claramente definidas e bem documentada.
Pgina 151

Seo Dois: Contedo
147
Em muitos casos, um gestor antes ir ter assumido uma variedade
de funes e assumiu responsabilidades que no eram formalmente
definidos e documentados. Esses gestores podem ter sido eficaz
por ser particularmente convincente e influente, em vez de
atravs de processos e estrutura definidos e documentados. Se o
gerente prvia est disponvel para orientao, seria prudente
para utilizar o tempo que est disponvel para obter insights sobre o
situao existente. Se o gestor anterior no estiver disponvel, ele pode
tomar uma investigao completa para determinar o que o gerente de
responsabilidades eram e como as tarefas foram realizadas.
A capacidade de ser eficaz em uma determinada organizao vai
ser fortemente impactado pela cultura ea segurana da informao
compreenso do gerente do mesmo. A segurana muitas vezes politicamente
carregada, eo sucesso pode depender mais sobre o desenvolvimento do direito
relacionamentos do que em qualquer experincia particular. Em graus
variados,
medida, as organizaes no operam na forma definida pela
organogramas, mas por relaes sem documentos e
influncia. Por mais que o motor de busca Google determina
importncia relativa pelo nmero de links para um site particular, de modo
pode a influncia de determinados indivduos em uma organizao ser
traado pelo seu nmero de links.
Tambm essencial para obter uma compreenso profunda do actual
estado de funes de segurana na organizao. Isto pode incluir
todos ou muitos dos elementos de avaliao discutido nos captulos anteriores
tais como avaliaes de risco e impacto nos negcios. O estado de
governana e estratgia ter de ser determinado, assim como o
condio de polticas e normas, compliance, etc Comentrios de
auditorias recentes e outros relatrios pertinentes sero teis tambm.
Depois de concludo, o equilbrio dos elementos identificados no
captulo 1 sobre a governana pode ser considerado, e as informaes
gerente de segurana ter uma base para avanar com
implementao de uma estrutura de gesto de segurana da informao.
Anexo 3.2 apresenta um resumo dos passos no desenvolvimento de uma
O escopo de um programa de segurana da informao estabelecido
pelo desenvolvimento de uma estratgia tal como discutido no Captulo 1, em
combinao com responsabilidades de gesto de riscos cobertos
no captulo 2. A medida em que apoia a gesto
implementao das actividades de estratgia e gesto de risco

determina a Carta.
Implementao de um programa de segurana, invariavelmente, os impactos
de uma
forma estabelecida da organizao de fazer as coisas. Dentro de uma existente
estrutura de pessoas, processos e tecnologia, a informao
gestor de segurana deve se esforar para integrar alteraes a estes
processos e polticas estabelecidas. Inevitavelmente, isto ir resultar em
algum grau de resistncia mudana que devem ser antecipados e
planejado.
Na ausncia de uma estratgia adotada segurana da informao e
onde nenhuma carta formal documentado, um segurana da informao
gerente pode cair de volta para os padres da indstria, tais como um
personalizado
verso da descrio da ISACA de segurana da informao madura
programa que pode ler:
"A segurana da informao uma responsabilidade conjunta de
negcios, segurana da informao e gesto de TI,
e integrado com os objetivos de negcios da empresa.
Requisitos de segurana da informao esto claramente definidos,
otimizado e includo em um plano de segurana verificada.
Funes de segurana so integrados com aplicativos ao
fase de projeto e usurios finais esto cada vez mais responsvel
para o gerenciamento de segurana. Relatrios de segurana da informao
fornece um aviso antecipado de mudar e emergentes de risco,
usando monitoramento ativo automatizado abordagens para
Anexo 3.2-Etapas de Desenvolvimento do Programa de Segurana da
Informao
Definir
segurana
objetivos
(Estado desejado)
Determinar
desejado
resultados para
segurana
Determinar
atual
estado
Realizar
anlise de lacunas
entre a corrente
Estado e desejado
estado
Desenvolver
a estratgia
lacunas estreitas
Criar roteiro
para navegar
estratgia
Desenvolver programa
para implementar
estratgia
Gerenciar a segurana
programa para atender
objetivos e
alcanar desejado
resultados
A gesto de riscos
atividades avaliar
risco atual,
estratgia de informao,
e gerenciamento de segurana
Pgina 152

Seo Dois: Contedo
148
sistemas crticos. Os incidentes so prontamente resolvidas com
procedimentos de resposta a incidentes formais apoiados por
ferramentas automatizadas. As avaliaes de segurana peridicas avaliar
a eficcia da implementao da segurana
plano. Informaes sobre novas ameaas e vulnerabilidades
sistematicamente coletados e analisados, e adequada
controles de mitigao sejam prontamente comunicados e
implementado. Testes de intruso, anlise de causa raiz
de incidentes de segurana e identificao pr-ativa
de risco a base para melhorias contnuas.
Processos e tecnologias de segurana so integrados
organizationwide ".
Esta abordagem, juntamente com COBIT, ISO / IEC 27001
Sistema de Gesto da Segurana da Informao (SGSI), pode servir como
a base para uma estratgia e ajudar a definir o escopo ea carta de
o programa de segurana da informao.
O quadro de gesto de segurana da informao um conceitual
representao de uma estrutura de gesto de segurana da informao.
Deve definir a tcnica, operacional, administrativa e
componentes de gesto do programa; as unidades organizacionais
e liderana responsvel para cada componente, o controle ou
objectivo de gesto que cada componente deve entregar;
as interfaces e fluxo de informaes entre os componentes;
e resultados tangveis de cada componente. Embora os formatos e
nveis de detalhe variar, o quadro deve fundamentalmente descrever
os componentes de gerenciamento de segurana da informao (por exemplo,
papis,
polticas, procedimentos operacionais padro [POPs], a gesto
procedimentos, as arquiteturas de segurana) e suas interaes em
traos largos. Isto , na sua essncia, uma arquitectura operacional conforme
descrito na seo 3.12.
Outros resultados de um quadro eficaz de gerenciamento de segurana
foco nas necessidades de curto prazo. Por exemplo, organizacional
tomadores de deciso requerem conscincia de opes de mitigao de risco e
em apoio s iniciativas empresariais, tais como hosting externo
sistemas de informao. Implementadores de solues muitas vezes requerem
os servios de percia tcnica assunto de segurana, que
o gerente de segurana da informao deve facilitar, quer atravs
recursos internos ou externos. Garantir que as iniciativas e
existente operaes aderir a polticas e normas tambm uma rea
que o gerente de segurana da informao e do departamento de segurana
Espera-se administrar.
O gerente de segurana da informao normalmente esperado para
embarcaes
opes de gerenciamento de segurana da informao que entregam
resultados
que so menos direta, mas no menos importante, para alcanar a segurana
objetivos. Esses objectivos incluem demonstrando, direta e
indirectamente, que:
O programa agrega valor ttico e estratgico para o
organizao.
O programa est sendo operado de forma eficiente e com a preocupao de
questes de custo.
Gesto tem uma compreenso clara da segurana da informao
motoristas, atividades, benefcios e necessidades.
conhecimento de segurana da informao e capacidades esto crescendo
como
um resultado do programa.
O programa promove a cooperao e boa vontade entre
unidades organizacionais.
H facilitao das partes interessadas de segurana da informao

compreender as suas funes, responsabilidades e expectativas.
Essas metas suaves giram em torno direta e indiretamente
demonstrando aos comits de direco de segurana, Snior
gesto e conselhos de administrao de que a segurana da informao
programa est a dar resultados ea segurana da informao
gerente est a gerir o programa de forma eficaz.
H um nmero de diferentes estruturas que podem ser utilizadas pela
o gerente de segurana da informao para o desenvolvimento da informao
programa de segurana. Dois dos mais comuns internacionalmente
abordagens reconhecidas (COBIT e
ISO / IEC 27001) so descritos nas sees seguintes.
Embora as abordagens mapear um ao outro, muito mais COBIT
detalhado e fornece uma srie de ferramentas e mtricas.
3.8.1 COBIT 5
COBIT 5 oferece um quadro abrangente que auxilia
empresas na consecuo de seus objetivos para a governana e
gesto de TI corporativa. Em termos simples, isso ajuda as empresas
criar valor ideal de TI, mantendo um equilbrio entre a
percebendo os benefcios e otimizar os nveis de risco e uso de recursos.
COBIT 5 permite que ele seja regido e gerenciado de uma forma holstica
forma para toda a empresa, tendo, no final, end-to-full
negcios e de TI reas funcionais de responsabilidade, considerando
os interesses relacionados a TI das partes interessadas internas e externas.
COBIT 5 genrico e til para empresas de todos os tamanhos, se
comercial, sem fins lucrativos ou no setor pblico.
Anexo 3.3-COBIT 5 Princpios
Fonte: ISACA, COBIT 5, EUA, 2012, figura 2
1. Reunio
Stakeholder
Necessidades
5. Separador
Governo
A partir de
Gesto
4. A habilitao de um
Holstica
Aproximao
3. Aplicando uma
nico
Integrado
Quadro
2. Cobrindo o
Empresa
End-to-end
COBIT 5
Princpios
Pgina 153

Seo Dois: Contedo
149
COBIT 5 baseada em cinco princpios fundamentais (como mostrado
na exposio 1.6 )
para a governana e gesto de TI da empresa:
Princpio 1: Reunio as Necessidades dos Envolvidos -Empresas existir
para criar valor para seus acionistas, atravs da manuteno de um equilbrio
entre a realizao de benefcios ea otimizao de risco
e uso dos recursos. COBIT 5 fornece toda a necessria
processos e outros facilitadores para apoiar a criao de valor de negcio
atravs do uso de TI. Como cada empresa tem diferentes
objetivos, uma empresa pode personalizar COBIT 5 para se adequar ao seu
prprio contexto atravs da cascata objetivos, traduzindo de alto nvel
objetivos da empresa em gerenciveis objetivos, especficos, relacionados a TI
e
mapeando-os para processos e prticas especficas.
Princpio 2: Cobrindo o End-to-End Empresa COBIT 5 integra a governana de TI da empresa em empresa
governana:
- Abrange todas as funes e processos dentro da empresa;
O COBIT 5 no se concentrar apenas na "funo de TI", mas trata
informao e tecnologias relacionadas como ativos que precisam
ser tratado como qualquer outro ativo por todos na
empresa.
- Considera tudo governana e gesto relacionados com a TI
facilitadores para ser em toda a empresa e end-to-end, ou seja, inclusive
de tudo e de todos, interna e externa, que
relevante para a governao e gesto da empresa
informaes e relacionados a TI.
Princpio 3: Aplicao de um nico, Estrutura Integrada Existem vrios padres relacionados a TI e as melhores prticas, cada um
fornecendo orientaes sobre um subconjunto de atividades de TI. COBIT 5
alinha
com outros padres e estruturas relevantes a um nvel elevado,
e, portanto, pode servir como o quadro geral para a governana
e gesto de TI corporativa.
Princpio 4: Ativando uma Abordagem Holstica Eficiente e

governana e gesto eficaz da empresa exige de TI
uma abordagem holstica, levando em conta vrios interagindo
componentes. COBIT 5 define um conjunto de facilitadores para apoiar o
implementao de uma governana global e gesto
sistema de TI corporativa. Facilitadores so amplamente definido como
qualquer coisa
que podem ajudar a alcanar os objetivos da empresa. O
COBIT 5 quadro define sete categorias de facilitadores:
- Princpios, Polticas e Frameworks
- Processos
- Estruturas Organizacionais
- Cultura, tica e Comportamento
- Informaes
- Servios, Infra-estrutura e Aplicaes
- Pessoas, habilidades e competncias
Princpio 5: Separar Governana da Administrao O framework COBIT 5 faz uma distino clara entre
governana e gesto. Estas duas disciplinas englobam
diferentes tipos de atividades, exigem diferentes organizacional
estruturas e servem a propsitos diferentes. A viso de COBIT 5 desta
distino fundamental entre a governana e gesto :
- Governana
Governana assegura que as necessidades das partes interessadas, as
condies
e as opes so avaliadas para determinar equilibrado,
acordadas em objetivos corporativos a serem alcanados; definio
direo atravs de priorizao e tomada de deciso;
e desempenho e em conformidade com o monitoramento
acordadas em direo e objetivos.
Na maioria das empresas, a governana global da responsabilidade do
do conselho de administrao, sob a liderana do presidente.
Responsabilidades de governana especficos pode ser delegada a
estruturas organizacionais especiais em um nvel adequado,
particularmente em empresas de maior dimenso, complexos.
- Gesto
Planos de manejo, constri, executa e monitora as atividades
em alinhamento com a direo definida pelo governo
corpo para alcanar os objetivos da empresa.
Na maioria das empresas, a gesto da responsabilidade do
a gesto executiva, sob a liderana do chefe
diretor executivo (CEO). Juntos, esses cinco princpios
habilitar a empresa a construir uma governao eficaz e
quadro de gesto que otimiza as informaes e
investimento em tecnologia eo uso para o benefcio das partes interessadas.
COBIT 5 de Segurana da Informao

COBIT
5 de Segurana da Informao aproveita o abrangente

vista do COBIT 5 enquanto se concentra em fornecer orientao para
profissionais envolvidos na manuteno da confidencialidade,
disponibilidade e integridade das informaes da empresa. O
framework fornece ferramentas para ajudar a entender, utilizar, implementar
e segurana da informao direta ncleo actividades conexas e
tomar decises mais informadas. Ele permite que a segurana da informao
profissionais para comunicar eficazmente com os negcios ea TI
lderes e gerenciar o risco associado com a informao, incluindo
aquelas relacionadas compliance, continuidade, segurana e privacidade.
3.8.2 ISO / IEC 27001
A norma de segurana ISO / IEC 27001 Segurana da Informao
Management System (ISMS) eo cdigo de acompanhamento do
prtica 27002 fornece uma estrutura e amplamente aceito
abordagem gesto de segurana da informao. O controle de 134
objectivos nos 11 domnios de 27001 pode ser geralmente mapeado
a COBIT, mas so orientados menos negcios, menos abrangente e
no fornecem conjuntos de ferramentas completas. Estes padres fornecem
de alto nvel requisitos abrangentes para segurana da informao
programas. Com base na norma britnica (BS), esta norma tem
foi ligeiramente ampliado para incluir 11 reas de controle de amplas:
Segurana Poltica -Fornece direo e gesto
apoio segurana da informao, de acordo com o negcio
requisitos, e as leis e regulamentos pertinentes
Organizao dos bens e recursos -Facilita a gesto
da segurana da informao dentro da organizao
classificao de ativos e controla -Medidas que identificam bens,
e estabelecer medidas de proteco e de manejo adequadas
O pessoal de segurana -garante que os funcionrios, contratados
e os usurios de terceiros entendam suas responsabilidades e
so adequados para papis que so considerados para, e reduz o
risco de erro humano, roubo, fraude ou utilizao indevida de informaes e
instalaes de processamento de informaes
segurana fsica e ambiental -Medidas que
impedir o acesso no autorizado, danos e interferncias na
A organizao de instalaes, equipamentos, informaes e outros ativos
Comunicao e gesto de operaes -Medidas
que garantir o funcionamento correto e seguro de informaes
instalaes de processamento
Pgina 154

Seo Dois: Contedo
150
Controle de Acesso -Medidas que impedem o acesso no autorizado a
sistemas de informao
aquisio de sistemas de informao, desenvolvimento e
manuteno -Garante que a segurana do sistema de aplicao
software e as informaes so incorporados aos sistemas de informao
continuidade do negcio de gesto de -medidas que impeam,
mitigar e minimizar o impacto de interrupes de negcios
atividades; proteger processos operacionais crticos de grande
falhas de sistemas de informao; ou desastres e garantir oportuna
restaurao de servios de informao e de processamento no evento
de perturbao
Cumprimento -medidas que impeam violaes de qualquer criminoso
e direito civil, obrigaes estatutrias, regulamentares ou contratuais,
e de quaisquer requisitos de segurana
Gerenciamento de Incidentes -processos e recursos que gerem
incidentes de identificao precoce, classificao severidade do incidente,
triagem eficaz, conteno e resposta para restaurar crtico
servios prestados s empresas
ISO / IEC 27001 a verso atualizada do BS 7799-2:2002.
A principal mudana para o padro que agora internacional.
Isto significa que, para alm de reconhecimento internacional e
aceitao do padro britnico, as organizaes podem desenvolver e
implementar um quadro global para a gesto da segurana de sua
informaes. A verso final da norma foi lanado em
15 de outubro de 2005.
3.9 Segurana da Informao quadro
Componentes
A maioria dos quadros padro de segurana da informao mostram a
desenvolvimento de um programa de segurana da informao como a
comear
avaliao de risco e identificao de objetivos de controle e
controles-chave definidos por padres como COBIT e
ISO / IEC 27001. Mas deve entender-se que os objectivos de controlo
deve ser baseado em objetivos organizacionais individuais e sob medida
para alcanar os resultados desejados, conforme discutido no captulo
1. Como o
programa desenvolve e amadurece, podem ser necessrios controles
adicionais
para cumprir com as condies de mudana, novos regulamentos e contratual
obrigaes, conforme ilustrado na exposio 3.4 .

Estratgia de Implementao do Programa Anexo 3.4-Security
Os vrios componentes que compem a gesto
quadro pode ser decomposto em seus elementos funcionais.
Isto pode ser til para garantir que cada aspecto adequadamente
representado no quadro.
3.9.1 componentes operacionais
Componentes operacionais de um programa de segurana esto em curso
actividades de gesto e administrativas que devem ser
realizada para proporcionar o necessrio nvel de garantia de segurana.
Esses componentes operacionais incluem itens como padro
procedimentos operacionais, as prticas de segurana e operaes de
negcios,
manuteno e administrao de tecnologias de segurana. Eles so
geralmente realizadas no dia a dia para a linha de tempo semanal.
O gerente de segurana da informao deve fornecer em curso
gesto dos componentes operacionais. Porque comum
para muitos destes componentes para cair fora das informaes
domnio de segurana (por exemplo, sistema operacional remendar
procedimentos), a
gerente de segurana da informao deve trabalhar com ele, as unidades de
negcios
e outras unidades organizacionais para assegurar que as necessidades
operacionais so
coberto. Exemplos de componentes operacionais comuns incluem:
administrao de gesto de identidade e controle de acesso
monitoramento e anlise de eventos de segurana
procedimentos de aplicao de patches do sistema e gerenciamento de
configurao
processos de controle de mudanas e / ou gesto de liberao
coleta de mtricas e relatrios de segurana
Manuteno de tecnologias de controle suplementar e programa
tecnologias de apoio
resposta a incidentes, investigao e resoluo
Para cada componente operacional, o gerente de segurana da informao
ter de identificar o proprietrio e colaborar para documentar chave
informaes necessrias para a gesto das funes necessrias.
Essas informaes incluem a propriedade e execuo de componentes
papis, cronograma de atividades ou gatilhos, informaes ou dados
necessrios
insumos, etapas processuais reais, critrios de sucesso, fracasso escalada
procedimentos e processos de aprovao / reviso. Tambm inclui os
processos
para fornecer mtricas de gesto adequados para o feedback
necessrios para o gerenciamento contnuo eficaz.
Alm disso, o gerente de segurana da informao deve garantir

que os procedimentos de manuteno de registro de trabalho, problema de
escalonamento,
superviso da gesto e qualidade peridica garantia opinies so
desenvolvidos e implementados. importante que as informaes
gerente de segurana para atualizar os papis e responsabilidades
documentao como novas tarefas surgem na componente operacional
desenvolvimento. Por exemplo, um novo procedimento operacional
exige um diretor operacional mensal (COO) reviso das
as questes de segurana relacionadas com as atividades de negcios precisa
ser adicionado ao
as listas e os cronogramas de tarefas apropriadas.
3.9.2 componentes de gerenciamento
Para alm de uma variedade de tcnicas de segurana e operacional contnua
tarefas, o gerente de segurana da informao ter um nmero de
componentes de gesto a considerar. Estas tipicamente incluem
atividades estratgicas de implementao, como o desenvolvimento de
padres
ou modificaes, revises de polticas e fiscalizao das iniciativas ou
a execuo do programa. Estas so atividades que geralmente ocorrem
com menos frequncia do que os componentes operacionais, talvez em uma
linha do tempo
medido em meses, trimestres ou anos.
Os objectivos de gesto, requisitos e polticas so fundamentais para
moldar o resto do programa que a segurana da informao,
por sua vez, define o que deve ser gerenciado. As informaes
gestor de segurana deve garantir que esse processo executado com
Feedback
Lao
Segurana
Metas
Segurana
Processo
Informao e
Sistemas
Ambiente
Segurana
Atuao
Indicadores
Pgina 155

Seo Dois: Contedo

151
a devida ateno legal, regulatrio, risco e recursos
questes, bem como um conjunto de mtricas necessrias para o apoio
deciso.
Anlise contnua ou peridica de ativos, ameaas, riscos e
impactos organizacionais deve continuar a ser a base para
modificar as polticas de segurana e desenvolvimento ou modificao
padres. Deve-se considerar que as primeiras verses so muitas vezes
demasiado
permissivo, demasiado restritiva ou desalinhado com as realidades
operacionais.
Como resultado, o gerente de segurana da informao bem aconselhados a
ter flexibilidade para fazer ajustes s normas e poltica
interpretao durante os estgios iniciais de um programa de segurana.
Comunicao permanente com as unidades de negcios e operacionais
fundamental para proporcionar o feedback que podem fornecer orientao
para
gesto de segurana da informao, garantir a sua eficcia, e
manter o alinhamento e apoio de, os objetivos do
a organizao.
Durante o desenvolvimento da gesto operacional e tcnico
componentes, importante que haja controle de gesto
assegurar o cumprimento dos requisitos e coerncia com
direo estratgica. Esta omisso ocorre frequentemente sob a forma de
revises de componentes do programa, por exemplo, a gesto de
Chief Information Officer (CIO), executivo-chefe (CEO),
comit diretivo ou comit executivo realizando uma trimestral
reviso das operaes de segurana. Tpicos para reviso podem incluir
modificaes em componentes operacionais ou tcnicas, gerais
eficcia dos componentes do programa, anlise de mtricas e chave
indicadores de desempenho (KPIs), anlise de causa raiz de prejudicial
eventos como interrupes ou compromissos, questes que dificultam
eficcia componente que requerem ateno da administrao e /
ou reviso de itens de ao e compromissos de reviso anterior
sesses.
3.9.3 componentes administrativos
Como o escopo e as responsabilidades da segurana da informao
funo de gesto cresce, assim como os recursos, pessoal e
aspectos financeiros envolvidos. Isso significa que a segurana da informao
gesto deve abordar o mesmo administrao de empresas
atividades como outras unidades de negcio. A segurana da informao
gerente responsvel por tal organizao deve assegurar que
financeiro, RH e outras funes de gerenciamento so eficazes.
Funes de administrao financeira geralmente consistem de oramentao,

planejamento de linha de tempo, custo total de propriedade (TCO)
anlise / gesto, o retorno sobre o investimento (ROI)
anlise / gesto, aquisio / compras e inventrio
gesto. Estas funes, particularmente oramento e tempo
planejamento de linha, muitas vezes exigem atualizaes ao longo do ano
fiscal
como realidades financeiras e objetivos organizacionais mudam. O
gerente de segurana da informao deve estabelecer uma relao de trabalho
com o departamento de finanas da organizao para garantir uma forte
relao de trabalho, apoio e cumprimento financeiro
polticas e procedimentos.
Funes de gesto de RH geralmente incluem descrio do trabalho
gesto, planejamento organizacional, recrutamento e
rastreamento de contratao, gesto de desempenho, folha de pagamento e
tempo
administrao, educao dos funcionrios e desenvolvimento, e
gesto de resciso. O programa de segurana da informao
deve contabilizar o tempo e os recursos necessrios para estes
actividades, nomeadamente no programa de pessoal cresce ao longo do tempo.
Os responsveis pela gesto da maior segurana da informao
programas devem tambm abordar a necessidade de desenvolver um eficiente
estrutura organizacional com camadas adequadas de gesto
e pessoal de superviso. Em todas as questes relacionadas ao RH
gesto, importante que o gerente de segurana da informao
trabalhar em estreita colaborao com a liderana de RH e aderir ao
estabelecido
procedimentos para evitar responsabilidades legais e outros tipos de risco.
Funes de gesto eficazes exigem a segurana da informao
gerente de equilibrar os esforos de projeto e operacional em curso
sobrecarga com contagem de pessoal, os nveis de utilizao e externa
recursos. Raramente qualquer programa de segurana da informao tm
um nmero ideal de recursos, e sempre necessrio
priorizar esforos. O gerente de segurana da informao deve
trabalhar com o comit de direco e de gesto executiva para
determinar prioridades e estabelecer consenso sobre o projeto
itens pode ser adiada por causa de limitaes de recursos. Spikes
em atividade ou esforos inesperados do projeto muitas vezes podem ser
tratadas
com recursos de terceiros, tais como empreiteiros. As informaes
gestor de segurana deve manter relaes com os fornecedores
com maior probabilidade de ser chamados, em tais casos.
No incomum para o gerente de segurana da informao para estar sob
presso para atalho de gerenciamento de segurana, garantia de qualidade
(QA) e processos de desenvolvimento, ou para desviar recursos de
operaes dirias para acelerar os esforos de projeto. a funo do

informao gerente de segurana para documentar e garantir que o executivo
administrao entende as implicaes de risco de mover um
iniciativa em frente sem diligncia segurana total, mas at executivo
gesto para decidir se a iniciativa importante o suficiente para
justificar o risco. Se essa situao ocorrer, a segurana da informao
gerente deve fazer todos os esforos para utilizar o primeiro disponvel
oportunidade de rever os sistemas ou iniciativas no certificados.
Para garantir que o ambiente de segurana existente funciona como
, os recursos necessrios operacionais de segurana s deve ser desviados para
esforos do projeto, se no forem totalmente utilizados. Mesmo nessa
situao,
ele precisa ser claramente comunicado que a segurana operacional
recursos so fornecidos ad hoc , e um aumento nas atividades operacionais
(Por exemplo, uma intruso) requer a ateno imediata da
pessoal operacional.
3.9.4 educativo e informativo
Componentes
Atividades de gesto de segurana da informao deve incluir
educao dos funcionrios e conscientizao sobre o risco de segurana.
Treinamento de conscientizao de segurana da informao muitas vezes
integrados com
orientao dos funcionrios e formao inicial. Geral organizacional
polticas e procedimentos, tais como polticas de uso aceitvel e
polticas de monitoramento empregado, deve ser comunicada
e administrado a nvel de RH da organizao. Questes e
responsabilidades que so especficos para o papel de um funcionrio ou
organizao, por exemplo, autenticao de call center dos clientes, deve
ser comunicada e administrada no nvel da unidade de negcios.
Tcnicas de ensino interativos, tais como testes on-line e
role-playing so muitas vezes mais eficaz do que um puramente informativo
abordagem. Em todos os casos, o gerente de segurana da informao deve
Pgina 156

Seo Dois: Contedo
152
colaborar com as unidades de RH e de negcios para identificar informaes
educao necessidades de segurana. Mtricas pertinentes (por exemplo,
mdia
pontuaes do questionrio empregado, o tempo mdio decorrido desde a

ltima empregado
formao) deve ser monitorado e comunicada direco
comit e gesto executiva.
3.10 definio de um segurana da informao
programa Roteiro
Os objetivos principais do alinhamento estratgico, gesto de risco, o valor
entrega, gerenciamento de recursos, integrao de processos de garantia de
qualidade e
medio de desempenho so universais e so definidos para alguns
extenso no desenvolvimento de uma estratgia de segurana. O processo de
o desenvolvimento do programa exige que cada um dos seis principais
objetivos
analisada em pormenor e esclarecido luz do roteiro evoluindo.
Projeto como planos especficos para vrias partes do roteiro desenvolver,
abordagens para melhor alcanar cada meta chave deve se tornar aparente.
Estes podem ser conceitos que no so bem compreendidos pelo gesto
e outras partes interessadas, o que poderia levar a expectativas irreais
e os resultados pobres. Para maximizar as chances de sucesso, pode ser
mais eficaz de desenvolver um roteiro para a segurana da informao
programa em fases comeando com objetivos relativamente simples projetado
para demonstrar o valor do programa e fornecer feedback sobre
realizao dos objectivos-chave.
Como um exemplo: A primeira etapa pode ser a criao que
subcomponente do programa necessrio para demonstrar
alinhamento estratgico. Para comear, um segurana da informao
gerente pode entrevistar as partes interessadas, tais como chefes de
departamento
em RH, jurdico, finanas e grandes unidades de negcios para determinar
questes organizacionais importantes e preocupaes. Informaes
tomadas a partir dessas entrevistas ir apontar para os candidatos a
os membros do comit de segurana da informao. Na fase 2,
que o frum pode ser usado para elaborar polticas de segurana bsicas para
a implementao de um programa de segurana da informao
para aprovao pela administrao superior. Como os membros de
o comit gestor de segurana da informao, por definio,
representar os interesses das empresas, o frum pode ser usado para listar
objetivos de negcios especficos para a segurana com referncia aos
negcios
processos (e, portanto, tambm para sistemas como descritos na exposio
3,5 ).
Na fase 3, os membros da direco de segurana da informao
comit segurar papis funcionais que podem promover a conscientizao de
a poltica e conduzir revises internas de segurana para ver se eles
esto em conformidade. No estgio 4, as lacunas de conformidade identificada
nas revises de segurana pode ser usado para efetuar a mudana, e um

aproximar para monitorar o cumprimento da poltica organizacional
estratgia poderia ser desenvolvido simultaneamente. Daquele
fundao, o gerente de segurana da informao pode comear a
obra de construo de um consenso em torno de funes e responsabilidades,
processos e procedimentos de apoio poltica.
3.10.1 elementos de um roteiro
Um roteiro para implementar a estratgia de segurana da informao
deve considerar uma srie de fatores. Se uma estratgia bem desenvolvida
existe, em seguida, um roteiro de alto nvel tambm deve existir. Objetivos,
ter sido definido recursos e constrangimentos. O trabalho que
resta a de transformar a arquitetura conceitual ou lgica
ou projeto em uma agresso fsica. Construo de projetos especficos
e iniciativas devem ser planejadas juntamente com os oramentos,
cronogramas,
pessoal e outros aspectos tticos de gerenciamento de projeto que vai
resultar em conjunto para alcanar os objectivos da estratgia. semelhante
s diferenas entre a arquitetura de uma casa ea
tarefas necessrias para construir a casa.
Se, no entanto, uma estratgia no a gesto de risco desenvolvido e
objectivos no so definidas, existe um risco de que os diversos elementos
que devem ser desenvolvidas para o programa de segurana da informao
ser
no ser integrado ou priorizados. Alm disso, haver uma falta de
mtricas teis e, ao longo do tempo, os resultados tendem a ser menos do que
ptima.
Grande parte de um esforo de desenvolvimento de programas de segurana
da informao
envolver projetar controles que atendam os objetivos de controle,
em seguida, o desenvolvimento de projetos para implementar, implantar e
testar o
controlos. Um fator a considerar a capacidade da organizao
para absorver novas atividades de segurana. Essas atividades seriam
iniciado para resolver as deficincias de controle e atingir novos objetivos.
Deve-se considerar, na medida em que essas atividades
so perturbadores para outras atividades organizacionais. Consulte a seo
3.15
Controles e contramedidas.
3.10.2 desenvolvimento de um segurana da informao
programa Roteiro
Uma habilidade importante a ter no desenvolvimento de um segurana da
informao
roteiro do programa a capacidade de rever completamente a segurana
nvel de dados, aplicaes, sistemas, instalaes existentes e
processos. Isto ir fornecer insights sobre os projetos especficos
necessrio para atingir os objetivos estratgicos. Abordagens para a realizao

de
revises de segurana e avaliao do programa de segurana discutida
na seo 3.14.4.
Um roteiro de implementao pode ser essencialmente um alto nvel
plano de projeto ou um projeto arquitetnico que pode servir o mesmo
propsito. Ou pode servir para definir as medidas necessrias para alcanar
um objectivo especfico do programa. O objectivo ter um
viso geral das etapas necessrias, bem como a seqncia. Em mais
projectos complexos, pode ser uma vantagem para os dois. Um roteiro
deve incluir vrios marcos que iro fornecer KGIs, indicam
KPIs e definir os fatores crticos de sucesso (FCS).
3.10.3 lacuna anlise-base para um plano de aco
Uma vez que os papis e responsabilidades organizacionais parecem
devidamente estabelecido e inventrio tido em conta o necessrio
contra a tecnologia e os processos existentes, um segurana da informao
gerente pode identificar onde os objetivos de controle no so adequadamente
suportado por controlos. O gerente de segurana da informao deve
obter essas pessoas responsveis para identificar os pontos de controle e
auxiliar
no desenvolvimento de processos para monitor-los. Aqueles execuo novo
processos e procedimentos devem se concentrar em KGIs e KPIs,
freqentemente validar que os objetivos de controle esto sendo atendidas e
que o progresso em direo aos objetivos de controle alcana informao
metas do programa de segurana. mais importante que o processo de
monitorizao do cumprimento dos objetivos de controle estabelecida do
que
que todos os processos esto bem na primeira passagem. esse
monitoramento
que, se eficaz, ir fornecer uma base para o programa de segurana para
evoluir e amadurecer.
Pgina 157

Seo Dois: Contedo
153
infra-estrutura e arquitetura
Infra-estrutura refere-se base subjacente ou fundao em
que os sistemas de informao so implantados. Em geral, a infra-estrutura
compreende as plataformas de computao, redes e middleware
camadas, e suporta uma ampla gama de aplicaes. Na anterior

sees, o programa de segurana da informao tem sido apresentada
como a base que permite que recursos de segurana a ser implantado.
Infra-estrutura e infra-estrutura de segurana referem-se ao mesmo
coisa. Quando a infra-estrutura projetada e implementada e
consistente com as polticas e normas adequadas, o
infra-estrutura deve ser essencialmente seguro.
3.11.1 Enterprise Information
Arquitetura de Segurana
Desenvolvimento considervel de abordagens de arquitetura para
segurana, como uma parte da arquitetura da empresa, tenha ocorrido
durante a ltima dcada. H poucas coisas to complexo como o
sistemas de informao em uma grande organizao. Estes sistemas
A avaliao de risco
estratgias incluem:
(1) Controlo
auto-avaliao
(2) Privacidade
impacto
avaliao
(3) Ameaa de risco
avaliao
(4) OCTAVE
InfoSec
gesto
reviso
comit
Humano
recursos
gerente
finanas VP
Propriedade
administrao
gerente
Vice-presidente de produto
desenvolvimento
Diretor da
tcnico
operaes
Diretor da
produto
desenvolvimento
VP de pagamento
dispositivos
Diretor da
banco on-line
servios
Diretor da
auditoria interna
A: Integrado
o incidente ITIL
e problema
gesto
processos,
projeto
gesto
service desk,
humano
recursos,
sistemas
desenvolvimento
A
B: Integrado
para o projeto
gesto
dashboards
Contrato
Registro
Estatutria,
Regulador
Registro
ISMS ISO27K
AUDITORIA
GESTO
REVISO
ACCEPT,
Rejeitar ou
TRANSFERNCIA
RISCO
CORRETIVA
OR
PREVENTIVA
AO
GESTO ISMS
PROCESSO DE REVISO
PLANOS DE ACO /
PROJETO
PLANOS
Reunio
Minutos
CONFORMIDADE
AMEAA / RISCO
AVALIAO
RISCO
AVALIAO
DECLARAO
DE
APLICABILIDADE
ISMS RECORDE
GESTO
RECORDS /
EVIDNCIA
ASSET
INVENTRIO
DADOS
SENSIBILIDADE
PARCEIRO /
CLIENTE
FEEDBACK
NEGCIOS
PLANOS
LEGISLATIVA
MUDANAS
ISMS EXTERNO
ENTRADA
RISCO
TRATAMENTO
PLANO
CONTNUA
MELHORIA
PROGRAMA
AUDITORIA
RELATRIO
ISMS AUDITORIA
PROCESSO
SIM
SIM
SIM
NO
NO
NO
B
RELATRIO RA
Exposio Sistema de Gesto de Segurana de 3,5 Informaes controles
de processo
Pgina 158

Seo Dois: Contedo
154
so muitas vezes construdos sem uma arquitetura abrangente ou
extensos esforos de design. Os sistemas de informao tm tradicionalmente
evoluiu organicamente com pedaos acrescentados conforme necessrio.
O resultado tem sido a falta de integrao, segurana casual
padronizao e uma srie de outros males evidentes na maioria dos sistemas.
Noes contemporneas de arquitetura de segurana da informao
incluir um nmero de camadas de contextual para fsica. Como um
arquitetura, o nvel mais alto ou contextual definido no
Arquitetura Business Security Sherwood Aplicada (Sabsa)
e os quadros Zachman o "negcio" ou camada utilidade.
Ou seja, o que a estrutura a ser utilizada para? Um teatro projetado
muito diferente do que um prdio de escritrios, porque os edifcios so
utilizado para diferentes fins. O design ou arquitetura, fortemente
alinhadas com o propsito, ou seja, vinculada ao objetivo de negcio.
Boa arquitetura uma articulao de polticas.
A arquitectura contextual serve para definir as relaes
entre vrios atributos de negcios necessrios. Estes incluem que,
que, quando, onde e como, o qual ser discutido em maior
detalhes na seo 3.12. Estas perguntas conduzir a prxima camada,
a camada conceitual, que integra o projeto arquitetnico
conceitos com os requisitos de negcio.
A camada seguinte, a arquitectura lgica, descreve a mesma
elementos em termos das relaes de elementos lgicos. Este
Segue-se uma camada fsica, que identifica as relaes
entre vrios segurana "mecanismos" que ir executar o
relaes lgicas e arquitetura de componentes consistindo de
os dispositivos reais e as suas interligaes. Finalmente, h o
arquitetura operacional, descrevendo de entrega como servio de segurana
est organizado. Os passos necessrios para definir esses nveis so mostrados
em exposio 3.5 .
No ponto do desenvolvimento e implementao de
um programa de segurana da informao, alguma forma de alto nvel
arquitetura ou design deve ter sido preparado. Isto
particularmente o caso para grandes implementaes composta de
muitas peas e projetos que devem integrar bem para atingir o
objectivos do programa. Muitas organizaes no desenvolveram
empresa ou arquiteturas de segurana, bem como a adopo de um

mais adequado pode ser essencial para o desenvolvimento e implementao
um programa de segurana da informao eficaz. Na ausncia de um
arquitetura global abrangente, as fases iniciais do programa
desenvolvimento vai exigir algum nvel de arquitetura de segurana, em um
mnimo, aos nveis lgicos, fsicos e operacionais.
Um nmero de abordagens arquitectnicas tm sido desenvolvidos para o
empresa que incluem segurana e alguns que trata exclusivamente
com segurana, como discutido no captulo 1,
seo 1.14.2, incluindo:
Quadro Integrado Arquitetura da Capgemini
Reino Unido Ministrio da Defesa (MOD) Architecture Framework
(MODAF)
Institutos Nacionais de Sade (NIH) Enterprise Architecture
Quadro
Arquitetura Aberta de Segurana
Service-Oriented Modeling Framework (SOMF)
O Open Group Architecture Framework (TOGAF)
GATA francs Dlgation Gnrale pour l'Armamento Atelier
de Gestion de l'Architecture des Systmes d'information et de
comunicao
Estados Unidos Departamento de Defesa estrutura arquitetnica
(DoDAF)
Interoperabilidade de entrega (de servios pblicos europeus
pblico) Administraes, empresas e cidados (IDABC)
Estados Unidos Escritrio de Administrao e Oramento Federal
Enterprise Architecture (FEA)
Model-Driven Architecture (MDA) do Object Management
Grupo
Ownership, Processos de Negcios, Aplicaes, Sistemas,
Hardware, e negcios de infra-estrutura e metodologia de TI e
quadro (OBASHI)
quadro Sabsa abrangente para Enterprise Security
Arquitetura e Servio de Gesto
estrutura Zachman de IBM (quadro da dcada de 1980)
SAP Enterprise Architecture Framework, uma extenso do
TOGAF, para melhor apoiar os programas de off-the-shelf comerciais
e Arquitetura Orientada a Servios
Mtodo para um Ambiente de Conhecimento Integrado (MIKE2.0),
que inclui um quadro de arquitetura corporativa chamada
Arquitetura Estratgica para a Federated Empresa (SAFE)
Enquanto uma discusso detalhada de cada uma destas abordagens
para alm do mbito deste manual, deve notar-se que estes
abordagens se dividem em duas categorias bsicas: os modelos de processo e
modelos de enquadramento. Frameworks como Zachman, Sabsa e
TOGAF permite que uma grande quantidade de flexibilidade na forma como

cada elemento da
a arquitectura desenvolvido. A essncia dos quadros
para descrever os elementos da arquitetura e como eles devem se relacionar
uns com os outros. Os modelos de processo so mais directiva nos processos
utilizados para os vrios elementos. Embora os objectivos de todos os
modelos so essencialmente os mesmos, o mtodo muito varivel.
Em alguns casos, uma organizao j adotou uma padronizao
abordagem de arquitectura, que deve ser utilizada para a extenso
possvel. Se nenhuma abordagem padro foi concebido, os vrios
mtodos mencionados neste manual devem ser avaliados para o
forma mais adequada, em forma e funo.
Arquiteturas
Uma das principais funes de "arquitetura" como uma ferramenta do
moderno
negcio fornecer um quadro no qual a complexidade pode
ser tratados com sucesso. medida que o tamanho ea complexidade de um
projeto
cresce, muitos designers e influncias de design devem todos trabalhar como
equipe para criar algo que tem a aparncia de ser criado
por uma nica "autoridade design."
medida que a complexidade do ambiente de negcios cresce, muitos
processos de negcio e funes de apoio devem integrar
perfeitamente a prestao de servios e gesto eficazes para a
negcio, seus clientes e seus parceiros. Arquitetura fornece uma
significa gerenciar essa complexidade.
Fornecer um quadro e Roteiro
Arquitetura tambm atua como um roteiro para uma coleo de menor
projetos e servios que devem ser integrados em um nico
Pgina 159

Seo Dois: Contedo
155
todo homogneo. Ele fornece uma estrutura dentro da qual muitos
membros do projeto grande, as equipes de entrega e de apoio pode trabalhar
harmoniosamente, e para que os projetos tticos pode
ser migrados.
Simplicidade e clareza Atravs camadas e modularizao
Da mesma forma que a arquitetura convencional define as regras
e normas para a concepo e construo de edifcios,

arquitetura de sistemas de informao aborda estas mesmas questes
para a concepo e construo de computadores, comunicaes
redes e os sistemas de negcios distribudos que so necessrios
para a prestao de servios de negcios. Sistemas de informao
arquitetura deve, portanto, ter em conta:
Os objetivos que devem ser atingidos atravs dos sistemas
O ambiente no qual os sistemas ser construdo e usado
As capacidades tcnicas do povo para construir e operar
os sistemas e seus subsistemas componentes
Business Focus alm do domnio tcnico
Arquitetura de sistemas de informao se preocupa com muito mais
de fatores tcnicos. Ele est preocupado com o que a empresa
quer atingir e com os fatores ambientais que
influenciar essas conquistas. O termo "empresa" implica
No apenas uma grande organizao, mas um em que todas as partes do
que apresentam uma organizao "juntou-se" qualidade e no qual o
organizao visto no nvel mais alto, como uma entidade nica, com um
misso e propsito integrado.
Em algumas organizaes, essa viso ampla de sistemas de informao
arquitectura no bem compreendida. Fatores tcnicos so muitas vezes
as principais influncias sobre a arquitetura e, de acordo com estes
condies, a arquitetura pode deixar de entregar o que o negcio
espera e precisa.
Arquitetura e Controle Objetivos
Quando os objetivos de controle de segurana so considerados, um sistema
arquiteto pode usar combinaes de tecnologias para fornecer controle
aponta na infra-estrutura do sistema. Combinado com o controle
atividades e procedimentos associados, estes pontos de controle pode ser
usado para garantir que o cumprimento da poltica preservada como novos
sistemas
so implantados que usam a infra-estrutura. Por exemplo, se uma rede
estruturado de tal modo que haja apenas uma ligao Internet,
em seguida, todo o trfego de rede que destinado para a Internet deve
viajar atravs dessa conexo. Isso permitiria que a tecnologia seja
implantado em um lugar que pode inspecionar todos os documentos
destinados
para a Internet para assegurar que a informao contida na
documento est autorizado a ser enviado para uma entidade externa. Muitas
vezes,
nenhuma tecnologia ser especificado pela arquitetura, o que deixa um
ampla gama de opes de design para os pontos de controle que iria
inspecionar
documentos de serem enviados para a Internet.
3.12 arquitetura de implementao
Algumas organizaes tm bastante experincia com combinaes

de tecnologias usadas para uma finalidade especfica que elas elevam
decises de arquitetura para o nvel poltico. Isto , as escolhas
de combinaes de tecnologias utilizadas para um determinado fim so
mandatado pela poltica, porque certas combinaes permitem fcil
implementao de funcionalidades de segurana que realizam especfico
objetivos de controle. Muitas vezes, as polticas de arquitectura so garantidos
onde o dano potencial da exposio de dados garante redundante
controlos. Alguns exemplos de domnios polticos arquitetura so:
sistemas de gerenciamento de banco de dados (para restringir o acesso do
aplicativo)
Telecomunicaes (para mitigar ameaas de fraude telefone)
acesso a aplicaes Web
Por exemplo, o acesso de aplicaes web muitas vezes protegido contra
acesso no autorizado atravs de IDs de usurio e senhas. No entanto, inerente
vulnerabilidades na comunicao em redes de acesso pblico
solicitado arquitetos de segurana para requerer o uso de camada de transporte
Security (TLS) em servidores web que sediaram as aplicaes que
trocaram informaes sensveis com os clientes.
Esta configurao muitas vezes mandatada pela poltica para garantir que
o trfego entre o cliente eo servidor criptografada para evitar que o
ID de usurio e senha, eo fluxo de dados subseqente, a partir de
sendo observada na rede pblica. No entanto, tal poltica
no oferece qualquer garantia de que o cliente no foi
comprometida ou que a senha do usurio no foi roubado.
Mitigao desta ameaa representao requer uma tecnologia
controle, alm de senhas e criptografia TLS bsico.
Existem vrias alternativas que uma aplicao pode empregar
para atingir o nvel de identificao do cliente necessrio para mitigar
o risco de representao. Em aplicaes financeiras, como
banco on-line, os reguladores exigem agora que os bancos utilizam
alguma forma de autenticao multifatorial para fornecer adicional
garantia da identidade do indivduo iniciar o cliente
pedido. Aplicando este requisito uniformemente em todas as aplicaes
(Tornando-se parte da arquitetura de segurana da organizao) vai
permitir que a organizao para reduzir a ameaa de representao em um
uniforme e eficiente, assim suportvel, maneira.
Uma srie de abordagens para a arquitetura de componentes
dos sistemas de informao existentes (por exemplo, arquiteturas de dados
e bancos de dados, servidores, infra-estruturas tcnicas, a identidade
administrao, etc.) No entanto, poucas organizaes tm desenvolvido
uma infra-estrutura global de segurana empresa global, a sua
gesto e sua relao com os objetivos de negcios. Isto
um tanto semelhante a uma situao em que existe separada,
projetos no integrados para asas de avies, motores, navegao
equipamento, os assentos de passageiros, etc, mas no projetos para o

completo
aeronaves e como os vrios componentes se encaixam. O resultado
seria pouco provvel que funcione bem, se em tudo, e poucos seriam
inclinados a confiar nele com suas vidas. Reconhecidamente, a informao
sistemas so projetados para operar em um muito mais fracamente acoplado
moda, mas o ponto , no entanto, relevante.
Uma srie de estruturas arquitetnicas tm sido desenvolvidos
durante a ltima dcada para resolver este problema e eles oferecem til
insights e abordagens para lidar com muitos design atual,
questes de gesto, implementao e monitoramento. Alguns
abordagens especficas esto listadas na seo 3.12.
As abordagens quadro oferecem uma grande flexibilidade em
utilizando uma variedade de padres e mtodos tais como COBIT, ITIL
e ISO / IEC 27001. verdade que muitos dos mtodos pode
ser mais sofisticada e complexa do que muitas organizaes
esto preparados para lidar com eles. No entanto, com a confiana crescente
em sistemas cada vez mais complexos, juntamente com a escalada
Pgina 160

Seo Dois: Contedo
156
problemas de gerenciamento e segurana, as organizaes
eventualmente ter pouca escolha alm de "se organizar."
Para o gerente de segurana da informao, a abordagem pode ser
til no desenvolvimento de objectivos a longo prazo ou sugerindo
abordagens para tratar de questes atuais. Algumas organizaes tm
elementos aprovados da abordagem arquitetnica, fragmentadas, com
o objectivo a longo prazo de implementao integral ao longo do tempo.
O resumo a seguir a metodologia Sabsa para a segurana
arquitetura ilustrativo de uma abordagem do quadro.
A Sabsa modelo composto por seis camadas, o resumo do que
mostrado na exposio 3.6 . Ele acompanha de perto o trabalho feito por
John
A. Zachman no desenvolvimento de um modelo para a arquitetura
corporativa,
, embora tenha sido adaptado um pouco de vista da segurana
mundo. Cada camada representa o ponto de vista de um jogador diferente em
o processo de especificao, concepo, construo e utilizao do
sistema de negcios.
Anexo 3.6-A Sabsa Modelo de Segurana

The View Negcios
Contextual Arquitetura de segurana
Viso do arquiteto
Conceitual Arquitetura de segurana
Ver do Designer
Lgico Arquitetura de segurana
Ver do Construtor
Arquitetura Fsica Segurana
Ver do Comerciante
Component Architecture Segurana
Visualizao O Gerente de Instalaes
Arquitetura de Segurana Operacional
H uma outra configurao destes seis camadas que
talvez mais til, mostrado na exposio 3.7 . Neste diagrama, a
"Arquitetura de segurana operacional" foi colocado verticalmente
ao longo das outras cinco camadas. Isto porque a segurana operacional
problemas surgem em cada uma das outras cinco camadas. Operacional
segurana tem um significado no contexto de cada uma destas outras camadas.
Anexo 3.7-A Sabsa Modelo de Segurana
Arquitetura de Desenvolvimento de Segurana Operacional
Arquitectura Perspectiva
Para uma anlise detalhada de cada um dos seis camadas, a matriz Sabsa
tambm utiliza os mesmos seis perguntas que so utilizados na Zachman
Quadro: o qu, por que e quando, como, onde e quem? Para cada
camada horizontal h uma anlise vertical como se segue:
O que voc est tentando fazer nessa camada? -os ativos a serem
protegido por sua arquitetura de segurana.
Por que voc est fazendo isso? -A motivao para querer aplicar
segurana, expressa nos termos desta camada.
Como voc est tentando faz-lo? -As funes necessrias para alcanar
segurana nesta camada.
Quem est envolvido? -As pessoas e os aspectos organizacionais da
segurana nesta camada.
Onde voc est fazendo isso? -Os locais onde voc aplica seu
segurana, relevantes para essa camada.
Quando voc est fazendo isso? -Os aspectos relacionados com o tempo de
segurana
relevantes para essa camada.
Estes seis elementos arquitetnicos verticais so resumidos para todos
seis camadas horizontais em exposio 3.8 . Isto d uma matriz 6x6 de
clulas, o que representa todo o modelo para a segurana corporativa
arquitetura. Se cada questo levantada por estas clulas podem ser abordados,
haver um alto nvel de confiana de que a segurana
arquitetura completa. O processo de desenvolvimento de uma empresa

arquitectura de segurana um processo de preencher todas as 36 clulas.
Sabsa Quadro de Gesto de Servios de Segurana
A rea de gesto de servios de segurana, a administrao
e as operaes so os destinatrios atravs do Sabsa operacional
camada de arquitetura. Esta camada da estrutura (como mostrado na
exposio 3,9 ) aplicada verticalmente em todos os outros cinco,
proporcionando flexibilidade para garantir a integrao e holstica
com as normas e quadros operacionais selecionados. Este
garante a conformidade de segurana da informao e integrao com
atravs de frameworks como ITIL, BS15000/AS8018,
ISO / IEC 27002 e COBIT. Sabsa fornece o roteiro para
determinar como os requisitos destas normas podem ser aplicadas
em contextos de negcios individuais.
3.13 Programa de Gesto de Segurana
e atividades administrativas
Gesto do programa de segurana da informao inclui direo,
supervisionar e monitorar as atividades relacionadas informao
segurana em apoio aos objetivos organizacionais. Gesto
o processo de alcanar os objetivos do negcio
organizao, reunindo humanos, fsicos e financeiros
recursos em uma combinao tima com processo e
tecnologia e tomar a melhor deciso para a organizao
, tendo em considerao o seu ambiente operacional.
Na organizao, tpico programa de segurana da informao
gesto ir incluir o planejamento de curto e longo alcance e
administrao no dia-a-dia em adio a vrios dirigir
projetos e iniciativas. Ele geralmente tambm inclui uma variedade de riscos
actividades de gesto e gerenciamento de incidentes e resposta
funes, que normalmente vai incluir uma variedade de superviso e
funes de monitoramento tambm. Gesto do programa tipicamente
inclui aspectos de governana seja em termos de poltica
e padres de desenvolvimento ou em termos de controles processuais
Contextual Arquitetura de segurana
Conceitual Arquitetura de segurana
Lgico Arquitetura de segurana
Arquitetura Fsica Segurana
Component Architecture Segurana
Segurana Operacional
Arquitetura
Pgina 161

Seo Dois: Contedo

157
e regras gerais de uso para os usurios finais. Tal como acontece com outros
aspectos
de segurana da informao, governana no pode permanecer esttico em um
mudana do ambiente de risco e deve evoluir para ser eficaz.
O gerente de segurana da informao tem a responsabilidade de
gerenciar as atividades do programa de segurana da informao para alcanar
o
resultados listados na seo 3.4.2. da responsabilidade de altos
gesto para apoiar esses objetivos e proporcionar adequada
recursos e autoridade para assegurar que os objetivos sejam alcanados.
Alm disso, os papis e responsabilidades de outros garantia
fornecedores devem ser claramente definidas para evitar lacunas na proteco
entre eles.
Como o alcance da segurana da informao gerente de
responsabilidades continua a se expandir, h o risco que
elementos de segurana importantes podem ser ignoradas ou
negligenciadas. Ele
pode ser til para o gerente de segurana da informao a considerar
a seguinte lista de verificao para uma abrangente, bem gerida
programa de segurana:
Uma estratgia de segurana intrinsecamente ligados aos objetivos de
negcios
que tem aceitao da alta administrao e apoio
Poltica de segurana e suporte aos padres que so completos e
consistente com a estratgia
procedimentos de segurana completas e precisas para todos os importantes
operaes
Ativos
(O que)
Contextual
Conceptual
Lgico
Fsico
Componente
Motivao
(Por)
Processo
(Como)
Pessoas
(Quem)
Localizao
(Onde)
Tempo
(Quando)
Negcio
Requisitos
Coleo;
Informaes
Classificao
Negcio
Continuidade
Gesto
Segurana
Operaes
Horrio
Gesto
Domnio de Segurana
Gesto
Segurana
Formao;
Conscincia;
Cultural
Desenvolvimento
Mude de Controle
Incidente
Gesto;
Desastre
Recuperao
Auditoria de Segurana;
Corporativo
Compliance;
Mtricas, medidas
e referencial;
SLAs
Risco de Negcio
Avaliao;
Poltica da empresa
Fazer
Negcio
Calendrio e
Horrio
Gesto
Negcio
Operaes de Campo
Programa
Negcio
Segurana
Organizao
Gesto
Risco de Negcio
Avaliao;
Poltica da empresa
Fazer
Deteco de Intruso;
Monitoramento de Eventos
Processo de Segurana
Desenvolvimento
Servio de Segurana
Gesto;
Desenvolvimento de Sistemas
Controles; Configurao
Gesto
Aplicaes
Prazo & Cut-off
Gesto
Controle de Acesso;
Privilege e
Perfil
Administrao
Aplicaes
Segurana
Administrao e
Gesto
Segurana detalhada
Formulao de Polticas;
Poltica
Observncia
Monitoramento;
Inteligncia
Coleta
Informaes
Segurana;
Integridade do sistema
Banco de dados
Segurana;
Integridade do sistema
Vulnerabilidade
Avaliao;
Penetrao
testes;
Ameaa
Avaliao
Regra de definio;
Key Management
Manuteno ACL
Administrador de Backup;
Computao Forense;
Event Log Administator
Anti-Virus
Administrador
Suporte ao Usurio;
Segurana
Help desk
Rede
Segurana
Gesto;
Segurana do site
Gesto
Usurio A / C Envelhecimento;
Senha Envelhecimento;
Envelhecimento chave de criptografia;
Admin. de Acesso
Time Control
Windows
Produtos e Ferramenta
Segurana e
Integridade
Ameaa
Investigao;
Vulnerabilidade
Investigao;
CERT
Notificaes
Produto
Aquisies;
Projeto
Gesto;
Operaes
Gesto
Pessoal
Habilitao;
Fornecedor Aprovao;
Admin.
Plataforma
Workstation e
Equipamento
Segurana
Gesto
Intervalo
Configurao;
Detalhado
Segurana
Operaes
Sequenciamento
Anexo 3.9-A Sabsa Quadro de Gesto de Segurana
Anexo 3.8-A Matrix Sabsa para o Desenvolvimento Arquitetura de
segurana
Fonte: 1995 a 2008, Sherwood Negcios Aplicada Arquitetura de
segurana. Todos os direitos reservados. Usado com permisso.
Ativos
(O que)
Contextual
Conceptual
Lgico
Fsico
Componente
Operacional
Motivao
(Por)
Processo
(Como)
Pessoas
(Quem)
Localizao
(Onde)
Tempo
(Quando)
O
Negcio
Negcio
Atributos
Negcio
Informaes
Modelo
Negcio
Dados
Modelo
Garantia de
Operacional
Continuidade
Detalhado
Dados
Estruturas
Negcio
Risco
Modelo
Negcio
Processo
Modelo
Negcio
Organizao e
Relacionamentos
Controle
Objetivos
Segurana
Polticas
Regras de Segurana,
Prticas e
Procedimentos
Operacional
Risco
Gesto
Segurana
Normas
Segurana
Estratgias e
Arquitetnico
Camadas
Segurana
Servios
Segurana
Mecanismos
Servio de Segurana
Gesto
e Suporte
Segurana
Produtos
e Ferramentas
Entidade de Segurana
Modelo e
Confiana-Quadro
Entidade esquema
e Privilege
Perfis
Usurios,
Aplicaes
ea
Interface com o Usurio
Aplicao
e Usurio
Gesto
e Suporte
Identidades,
Funes,
Aes
e Acesso
Controle
Lists (ACLs)
Negcio
Geografia
Segurana
Domnio
Modelo
Domnio de Segurana
Definies e
Associaes
Plataforma
e Rede
Infra-estrutura
Segurana de
Sites, Redes
e Plataformas
Processo,
Nodes,
Endereos
e Protocolos
Negcio
Tempo
Dependncias
Relacionados Segurana
Vidas e
Prazos
Segurana
Processamento
Ciclo
Controle
Estrutura
Execuo
Segurana
Operaes
Horrio
Segurana Etapa
Cronometragem
e Sequercing
Pgina 162

Seo Dois: Contedo
158
Limpar atribuio de funes e responsabilidades
mtodo estabelecido para garantir o alinhamento contnuo com os negcios
metas e objetivos, como um comit de direco de segurana
Ativos de informao que foram identificadas e classificadas por
Arquitetura de segurana que seja completa e consistente com
estratgia, e em linha com os objetivos de negcios
controles eficazes que foram bem concebidos, implementados
e mantida
processos de monitoramento eficaz no lugar
Testado e funcional incidente e emergncia
capacidade de resposta
planos de continuidade de negcio testado / recuperao de desastres
adequado envolvimento segurana da informao na mudana
processos de gesto, SDLC e de gerenciamento de projetos
processos para assegurar que o risco seja devidamente identificados
Fundada,
avaliado, comunicada e gerenciados
treinamento de conscientizao de segurana estabelecidas para todos os
usurios
atividades estabelecidas que criam e sustentam uma cultura corporativa
que valoriza a segurana da informao
processos estabelecidos para manter a conscincia da atual e
questes regulatrias e legais emergentes
A integrao eficaz com os contratos e de terceiros
processos de gesto
Resoluo de problemas de no conformidade e outras variaes em um
tempo hbil
Processos para garantir a interao permanente com o negcio
proprietrios de processos
Os processos de negcio suportados para o risco e impacto nos negcios
avaliaes, desenvolvimento de estratgias de mitigao de risco, e
execuo de polticas e conformidade regulatria
mtricas operacionais, tticas e estratgicas estabelecidas que

monitorar a utilizao e eficcia dos recursos de segurana
mtodos estabelecidos para a captao e disseminao de conhecimento
Uma comunicao eficaz e integrao com outros
prestadores de garantia organizacionais
Note-se que esta lista no exaustiva, nem vai caber tudo
organizaes. simplesmente para demonstrar a variedade de
atividades e prticas estabelecidas que constituiriam um maduro
programa de segurana. Esta lista deve ser feita sob medida para o tamanho ea
natureza
de cada organizao.
Administrao do Programa
A administrao de um programa de segurana vai tipicamente envolver um
srie de funes repetitivas semelhantes que requerida em outros
unidades organizacionais. Haver diferenas na administrao de
projetos de desenvolvimento do programa ea administrao contnua da
Operaes de aspectos do programa que precisam ser considerados.
A administrao contnua pode incluir tarefas como:
desempenho pessoal, controle de tempo e outra manuteno de registros
A utilizao de recursos
Compras e / ou aquisio
Gesto de estoques
acompanhamento e monitoramento do projeto
o desenvolvimento do programa Conscincia
controle de oramento, gesto financeira e patrimonial
desenvolvimento de casos de negcios e anlise financeira
gesto de administrao de RH e pessoal
Projeto e gesto do programa
Operaes e gesto da prestao de servios
Implementao e administrao de mtricas e relatrios
gesto do ciclo de vida de desenvolvimento de tecnologia da informao
Pode haver uma srie de tcnicas e administrativo
requisitos operacionais tambm. Estas podem incluir:
gerenciamento de chave de criptografia
opinies e monitoramento Entrar
Mudana de reviso e superviso do pedido
Configurao, patch e outra reviso da gesto do ciclo de vida
e superviso
Vulnerabilidade
monitoramento de ameaas
O controlo do cumprimento
Um gerente eficaz de segurana da informao deve estar familiarizado
com os quadros existentes e as principais normas internacionais de
TI e gerenciamento de segurana (por exemplo, COBIT, ISO / IEC 27001 e
27002) e ser capaz de extrair os elementos relevantes de utilizar para o
abordagem de gesto mais adequado para a organizao. Alguns podem

revelar-se um ajuste melhor do que outros, dependendo da organizao
estrutura, a cultura, os recursos disponveis, o setor de negcios, etc
O gerente de segurana da informao tem muitas responsabilidades, e
um pode ser como um facilitador para ajudar a resolver objectivos
concorrentes
entre segurana e desempenho. Como um facilitador ativo, o
ganhos gerente de segurana da informao de apoio gesto snior
e aceitao organizacional e conformidade para a informao
polticas do programa de segurana, normas e procedimentos. Atravs de um
abordagem facilitadora, o gerente de segurana da informao pode trabalhar
com os diferentes departamentos para discutir a segurana da informao
risco e sugerir solues que atendam os requisitos de segurana
e minimizar o impacto sobre as atividades empresariais. Atravs desta
papel consultivo, o gerente de segurana da informao tambm precisa
para garantir que os processos de ciclo de vida da organizao incorporam
segurana da informao. Ao trabalhar em um papel consultivo, o
gerente de segurana da informao pode facilitar a da empresa
programa de segurana da informao enquanto se mantm informado sobre o
actividades da organizao que podem afetar a segurana da informao.
3.13.1 pessoal, papis e responsabilidades,
e as habilidades
O gerente de segurana da informao deve planejar pessoal
recursos em torno das competncias tcnicas e administrativas
necessria para operar eficazmente o programa. Os membros da equipe podem
incluem engenheiros de segurana, especialistas em controle de qualidade e
teste, o acesso
administradores, gerentes de projetos, ligaes de conformidade, segurana
arquitetos, coordenadores de conscientizao e especialistas em polticas.
O gerente de segurana da informao deve desenvolver posies
de acordo com as necessidades especficas do programa, mesmo se fundindo
responsabilidades de mltiplas funes em uma posio pessoal para
pequenas organizaes.
O gerente de segurana da informao devem assegurar que o pessoal
dentro da organizao de segurana, bem como outros responsveis
organizaes mantm as competncias adequadas necessrias para realizar
funes do programa. Requisitos de habilidades de cada organizao variam,
Pgina 163

Seo Dois: Contedo
159

geralmente giram em torno de sistemas de informao existentes e
tecnologias de segurana implementadas.
Necessidades de pessoal para o programa de segurana da informao
desenvolvimento diferem aps o programa implementado. Em outra
Palavras, arquitetos, designers, construtores, desenvolvedores, testadores e
outros
envolvidos na construo de um programa de segurana so susceptveis de
ser diferente do pessoal que ir administrar os sistemas uma vez
que esto a funcionar normalmente. Habilidades que s raramente so
necessrios
so melhor adquiridas por meio do engajamento de prestadores de servios,
tais
como integradores ou empresas de consultoria. Quando confrontados com a
necessidade de um
habilidade especializada, o gerente de segurana da informao deve analisar
o custo, o tempo e as implicaes capital intelectual de contratao de pessoal
versus usando um provedor de servios externo.
O gerenciamento de projetos ser uma atividade normal na gesto do
desenvolvimento de um programa de segurana. Organizaes maiores
geralmente
tem um escritrio de projetos (PMO), que pode estar disponvel
para o gerente de segurana da informao para auxiliar no desenvolvimento
e projetos de implementao. Funes existentes dentro do
organizao deve ser usado sempre que possvel, tanto para maximizar
envolvimento organizacional no programa e alavancagem existente
capacidades.
Roles
RACI (Consultado, Informado responsveis, responsveis, quadros)
pode ser utilizado eficazmente na definio das vrias funes associadas
com aspectos do desenvolvimento de um programa de segurana da
informao. Claro
designao de papis e responsabilidades necessrio para garantir
implementao efetiva.
Um papel uma designao atribuda a um indivduo em virtude de
uma funo de trabalho ou outro rtulo. A responsabilidade uma descrio
de algum procedimento ou funo relacionada com o papel que algum
responsvel para executar. Roles so importantes para informaes
segurana, pois eles permitem que as responsabilidades e / ou direitos de
acesso
para ser atribudos com base no facto de que um indivduo realiza um
funo, em vez de ter que atribu-los a pessoas individuais.
H tipicamente muitas funes de trabalho na organizao
que as funes de segurana e suporte a capacidade de atribuir acesso
autorizaes com base em funes simplifica a administrao.
Skills
Habilidades so a formao, especializao e experincia realizada pelo
pessoal em uma determinada funo. importante compreender
as proficincias de pessoal disponvel para garantir que eles so mapeados
de competncias requeridas para a implementao do programa. Especfico
habilidades necessrias para a implementao do programa pode ser adquirido
atravs da formao ou da utilizao de recursos externos. Os recursos
externos
tais como consultores so muitas vezes uma opo mais econmica para
competncias necessrias para apenas um curto perodo de tempo para
projetos especficos.
Uma vez que foi acordado que certas pessoas tero especfico
responsabilidades de segurana da informao, o emprego formal
acordos devem ser estabelecidos que fazem referncia os
responsabilidades, e estes devem ser considerados quando o rastreio
candidatos a emprego
Cultura
Cultura representa o comportamento organizacional, mtodos para
navegao e influenciando a organizao do formal e informal
estruturas para comear o trabalho feito, atitudes, normas, o nvel de trabalho
em equipe,
existncia ou no de questes de relva, e disperso geogrfica. Cultura
impactado pelos fundos individuais, a tica do trabalho, valores, passado
experincias, filtros individuais / pontos cegos e percepes da vida
que os indivduos trazem para o local de trabalho. Cada organizao tem um
cultura, se foi propositadamente concebido ou simplesmente emergiu
ao longo do tempo como um reflexo da liderana.
Enquanto a segurana da informao envolve principalmente lgico e
atividades de anlise, a construo de relacionamentos, trabalho em equipe e
influenciar as atitudes organizacionais para um positivo
cultura de segurana se baseia mais em boas habilidades interpessoais. O
astuto gerente do programa de segurana da informao vai reconhecer o
importncia do desenvolvimento de ambos os tipos de habilidades como
essencial para ser
um gerente eficaz.
Construir uma cultura de segurana-aware depende indivduos em
seus respectivos papis realizando seus trabalhos de uma forma que proteja
ativos de informao. Cada pessoa, no importa o nvel ou funo dentro
a organizao, deve ser capaz de articular como informaes
segurana relaciona-se com o seu papel. Para que isso acontea, a segurana
gerente deve planejar comunicaes, participar de comits
e projetos, e fornecer ateno individual ao users'or final
managers'needs. O departamento de segurana deve ser capaz de responder
"O que est nele para mim?" Ou "Por que eu deveria me importar?" Para cada
pessoa
na organizao. Uma vez que estas perguntas foram respondidas,

comunicao eficaz pode ser adaptado para essas mensagens.
Alguns indicadores de uma cultura de segurana bem-sucedida so:
departamento de segurana da informao trazida para projectos no
momentos apropriados, os usurios finais sabem como identificar e relatrio
incidentes, a organizao pode identificar o gestor de segurana, e
as pessoas sabem o seu papel na proteo dos ativos de informao da
organizao e integrao de segurana da informao em sua
prticas cotidianas.
3.13.2 conscientizao de segurana, treinamento e
educao
Risco que inerente utilizao de sistemas de computao no podem ser
abordados atravs de mecanismos tcnicos de segurana. Um ativo
programa de conscientizao de segurana pode reduzir muito o risco,
abordando
o elemento comportamental de segurana, atravs da educao e consistente
aplicao de tcnicas de sensibilizao. Programas de conscientizao de
segurana
deve se concentrar em interesses comuns de segurana do usurio como senha
seleco, utilizao adequada dos recursos de computao, e-mail e web
a segurana da navegao, ea engenharia social e os programas devem
ser adaptadas para grupos especficos. Alm disso, os usurios so a linha de
frente
para a deteco de ameaas que no podem ser detectveis por automatizada
significa, por exemplo, a atividade fraudulenta e engenharia
social. Funcionrios
devem ser educados sobre como reconhecer e escalada tais eventos para
melhorar a preveno de perdas.
Um aspecto importante para assegurar a conformidade com as informaes
programa de segurana a educao e conscientizao da organizao
a respeito da importncia do programa. Para alm da necessidade de
segurana da informao, todo o pessoal deve ser treinado em sua especfica
responsabilidades que esto relacionados segurana da informao.
Pgina 164

Seo Dois: Contedo
160
Uma ateno especial deve ser dada a essas funes de trabalho que
requerem acesso a dados praticamente ilimitadas. As pessoas cujo trabalho
para transferncia de dados pode ter acesso aos dados na maioria dos sistemas,
e
aqueles ajuste de desempenho fazendo pode mudar mais operacional
configuraes do sistema. As pessoas cujo trabalho agendar lote
trabalhos tm a autoridade para executar a maioria das aplicaes de
empregos do sistema.
Os programadores tm acesso para alterar o cdigo do aplicativo. Estes
funes no so tipicamente gerida por um segurana da informao
gerente. Embora seja possvel configurar o monitoramento elaborado
controles, no tecnicamente vivel ou prudente financeiramente para
um gerente de segurana da informao para proporcionar superviso
adequada
para garantir que todos os trabalhos de transferncia de dados que transmitem
relatrios enviar
-los apenas para os destinatrios devidamente autorizado. Embora o
gerente de segurana da informao pode garantir que no h poltica clara,
desenvolver normas aplicveis e ajudar na coordenao de processos,
gesto em todas as reas devem auxiliar na superviso.
Conscientizao dos funcionrios deve comear a partir do ponto de aderir
organizao (por exemplo, atravs da formao de induo) e continuar
regularmente. As tcnicas para a entrega precisa de variar para evitar
los de se tornar obsoleto ou chato, e tambm pode precisar de ser
incorporadas em outros programas de treinamento organizacional.
Programas de conscientizao de Segurana deve consistir de formao,
muitas vezes
administrado online, testes simples para avaliar a reteno de
conceitos de formao; lembretes de conscientizao de segurana, tais como
cartazes,
newsletters, ou protetores de tela, e uma programao regular de reciclagem
treinamento. Em organizaes maiores, pode haver um grande o suficiente
populao de mdia e alta gerncia para justificar especial
formao de nvel gerencial em conscincia e segurana da informao
questes de operaes.
Todos os funcionrios de uma organizao e, se for o caso, de terceiros
os usurios devem receber treinamento apropriado e atualizaes regulares
sobre
a importncia da segurana polticas, normas e procedimentos
na organizao. Isso inclui requisitos de segurana, legal
responsabilidades e controles empresariais, bem como a formao em
o uso correto das instalaes de processamento de informao, por exemplo, o
login
procedimentos, o uso de pacotes de software. Para os novos funcionrios, este
deve ocorrer antes que o acesso a informaes ou servios concedida
e ser uma parte da orientao de novos funcionrios.
O gerente de segurana da informao deve ter um metdico
abordagem para o desenvolvimento e implementao da educao e

programa de conscientizao, e considerar vrios aspectos, incluindo:
Quem o pblico-alvo (gesto snior de negcios
gestores, equipe de TI, usurios finais)?
Qual a mensagem pretendida (polticas, procedimentos,
eventos recentes)?
Qual o resultado esperado (melhor cumprimento da poltica,
mudana de comportamento, melhores prticas)?
O mtodo de comunicao ser utilizado (baseado em computador
formao [CBT], todas as-mos de reunies, intranet, boletins informativos,
etc)?
Qual a estrutura e cultura organizacional?
Um nmero de mecanismos diferentes disponveis para elevar
conscientizao de segurana da informao incluem:
programas de conscientizao de segurana baseado em computador e
formao
lembretes de e-mail e dicas de segurana
As polticas escritas de segurana e procedimentos (e atualizaes)
declaraes de confidencialidade assinados pelo empregado
O uso de diferentes meios de comunicao na divulgao de segurana (por
exemplo, a empresa
newsletter, pgina da web, vdeos, cartazes, lembretes de login)
cumprimento de regras de segurana visvel
incidentes de segurana simulado para melhorar a segurana
Premiar funcionrios que relatam eventos suspeitos
Revises peridicas
As descries de cargo
Avaliaes de desempenho
3.13.3 Documentao
Superviso da criao e manuteno de relacionados com a segurana
documentao um importante componente administrativa
um programa de segurana da informao eficaz. Os documentos que
geralmente pertencem ao programa incluem:
polticas, normas, procedimentos e diretrizes
Diagramas tcnicos de infra-estrutura e arquiteturas,
aplicaes e fluxos de dados
documentao Formao e sensibilizao
As anlises de risco, recomendaes e documentao relacionada
projetos de sistemas de segurana, polticas de configurao e manuteno
documentao
registros operacionais, tais como relatrios de turno e incidente
relatrios de acompanhamento
Procedimentos operacionais e fluxos de processo
documentao organizacional, tais como organogramas, pessoal
objetivos de desempenho e modelos RACI
Cada documento deve ser atribudo um proprietrio que responsvel

para atualizao de documentao (ou modelos, no caso de operao
registros). As mudanas devem ser feitas de acordo com as recomendaes
de administrao ou de direco de segurana comit, a pessoa ou
grupo deve tambm aprovar as alteraes antes de sua distribuio. O
proprietrio tambm responsvel por garantir que o acesso documentao
apropriado, controlado e auditvel.
Anexo 3.10-COBIT 5 Empresa Enablers
Fonte: ISACA, COBIT 5, EUA, 2012, figura 12
2. Processos
3. Organizacional
Estruturas
1. Princpios, Polticas e Frameworks
6. Servios,
Infra-estrutura
e Aplicaes
7. Pessoas,
Habilidades e
Competncias
Recursos
5. Informaes
4. Cultura, tica
e Comportamento
Pgina 165

Seo Dois: Contedo
161
O gerente de segurana da informao deve garantir que habilitadores
(princpios, polticas e quadros; processos; organizacionais
estruturas; cultura, tica e comportamento, informaes, servios,
infra-estrutura e aplicaes; pessoas, habilidades e competncias)
esto disponveis, que a criao de endereos, aprovao, alterao,
manuteno,
distribuio controlada e retirada de documentao. Em muitos
casos, esses servios so fornecidos como parte de uma empresa maior
sistema de gerenciamento de documentos, uma situao ideal, considerando
que o gerente de segurana da informao no necessariamente
manter a guarda de toda a documentao relacionada com a segurana.
O gerente de segurana da informao tambm deve garantir que
documentos tcnicos e operacionais sensveis so protegidos por
controles e prticas iguais ou mais fortes do que as implementadas

para outros ativos confidenciais de informao corporativa. Segurana
documentao tambm deve seguir as normas organizacionais para
classificao e rotulagem adequadas.
Uma srie de documentos sero necessrios para projetar, iniciar e
implementar um programa de segurana da informao. Documentao
requisitos mudar em vrias fases, e importante
para se certificar que esto em curso. Normas e procedimentos devem
mudar conforme o necessrio para lidar com mudanas no risco, tecnologia,
negcios
atividades ou linhas de base, mas deve ser coerente com o publicado
polticas, que normalmente mudam com muito menos frequncia.
O controle de verso essencial para garantir que todas as partes esto
funcionando
a partir das mesmas revises de documentos, e uma notificao confivel e
processo de publicao ser necessria.
Parte da documentao exigida normalmente incluem:
objetivos do Programa
Mapas de estradas
Casos de negcios
Recursos necessrios
Documentao
Controles
Oramentos
projetos de sistemas / arquiteturas
polticas, normas, procedimentos, diretrizes
marcos plano do projeto, linhas de tempo
KGIs, KPIs, QCA, outras mtricas
requisitos de formao e sensibilizao
Manuteno de Documentos
Documentao normalmente precisam ser atualizados conforme as
informaes
programa de segurana implementado e como a organizao evolui.
O gerente de segurana da informao devem implementar procedimentos
para
acrescentando, modificando, e, em alguns casos, se aposentar da segurana da
informao
polticas, normas, procedimentos e outros documentos.
Uma considerao importante para todas as atividades de documentao
para garantir que um processo de controle de verso apropriada est em vigor
de modo que todos os destinatrios esto usando documentao
atual. Processos
tambm devem ser desenvolvidos para se aposentar documentao que foi
substitudas por verses posteriores. Os sistemas automatizados utilizando
uma
nica fonte de toda a documentao vai ajudar a garantir que apenas

as actuais polticas, normas e procedimentos esto sendo usados. Alm disso,
toda a documentao deve ter marcas padronizadas, incluindo
data de lanamento eficaz, proprietrio e classificao.
Um processo de apresentao de propostas de alterao podem ser baseadas
em anlises da poltica
ou como as partes interessadas reconhecem a necessidade de uma mudana de
poltica. O
gerente de segurana da informao deve acompanhar as mudanas propostas
para
polticas para a reviso nos fruns apropriados.
Modificao dos padres provavelmente ir ocorrer com mais freqncia
de modificao de polticas. Essas mudanas so muitas vezes conduzidos
por mudanas na tecnologia, como a disponibilidade de uma nova segurana
capacidades, mudanas no risco, a evoluo da infra-estrutura tcnica
e as exigncias de novas iniciativas empresariais. Padres propostos
devem ser revistos pelo comit de direco e / ou por departamentos
impactados por elas. A oportunidade de contribuir e sugeriu
modificao deve ser oferecida, bem como para otimizar a cooperao
e conformidade. As normas devem ser revistas periodicamente ou como
justificada por mudanas ambientais, risco mudando, pedido de
partes interessadas ou determinao de auditoria de insuficincia. Mudanas
normas devem ser geridas de forma semelhante s mudanas polticas
e tambm deve incluir a anlise de risco tcnico ou operacional relativa
para a proposta de mudana nos padres.
Modificaes tanto polticas ou normas devem desencadear
procedimentos para modificar ferramentas e processos de controlo da
conformidade.
Sugere-se que as modificaes sejam periodicamente partilhada com os
auditores
e pessoal de conformidade que ainda no esto envolvidos no
alterar o processo de gesto para garantir a conscientizao e aceitao
de alteraes antes de as atividades de auditoria.
Mudanas nas normas exigir uma reviso dos procedimentos que
pode requerer modificao para estar em conformidade. Outra documentao
tais como as polticas de uso aceitvel, diretrizes, controle de qualidade e os
contratos
processos, e outros tambm podem exigir modificaes.
3.13.4 Programa de Desenvolvimento e
Projeto de Gesto
Programas de segurana da informao so raramente esttica e devem ser
submetidos a
desenvolvimento em curso para responder s novas condies e riscos. O
base para o desenvolvimento ser a estratgia para alcanar definida
objetivos. Esses objectivos incluem alcanar o desejado
nveis de maturidade e gerenciamento de riscos a nveis aceitveis enquanto

efetivamente apoiar as operaes de negcios.
A anlise de lacunas de segurana da informao descrita na seco
3.10.3 normalmente identifica a necessidade de projetos que resultem em
melhorias para o programa de segurana da informao. Os processos
descrito na seo 3.14.11 tambm devem ser revistos para identificar
projetos que possam preencher as lacunas entre a organizao existente
eo programa como previsto. Muitos desses projetos ser
implementaes de tecnologia ou reconfiguraes que faro
tecnologia existente mais seguro. Cada projeto deve ter tempo,
oramento e resultado mensurvel. Cada um deve tornar o ambiente
mais seguro, sem causar deficincias de controle em outras reas.
Como faria com qualquer gerente de projeto profissional, uma informao
gestor de segurana deve priorizar a carteira de projetos em
tal modo que aqueles que no se sobrepem esto atrasadas por outro,
recursos sejam adequadamente atribudos, e os resultados so bem
integrados ou a transio de operaes existentes. O
gerente de segurana da informao deve empregar geralmente aceite
tcnicas de gerenciamento de projetos, tais como a definio de objectivos,
medindo
progresso, prazos de rastreamento, e atribuindo responsabilidades
Pgina 166

Seo Dois: Contedo
162
uma maneira controlada e reproduzvel. Isto ajuda a assegurar que o
concepo e implementao do programa de segurana ser bem sucedido.
3.13.5 Gesto de Risco
Virtualmente todos os aspectos da gesto do programa servem para gerir
risco a nveis aceitveis. Uma vez que a paisagem muda de risco
de forma contnua, essencial que as mudanas de segurana da informao e
adapta-se conforme necessrio para garantir o negcio capaz de lidar
eficazmente com as condies atuais.
Independentemente da eficcia da segurana da informao, poucos
organizaes vo escapar do efeito de incidentes de segurana. Uma
aspecto essencial da gesto do programa consiste em assegurar que o
organizao pode responder de forma eficaz aos incidentes de segurana que
interromper as operaes de negcios.
Responsabilidades da Gesto de Risco
Gerenciamento de riscos da informao parte integrante da informao
responsabilidades permanentes do gerente de segurana e uma primria

exigncia tanto no desenvolvimento e gesto de programas. O
gerente de segurana da informao deve ter uma boa compreenso
e desenvolver as habilidades necessrias em matria de avaliao e
gesto de risco. Isto deve incluir:
Conhecimento de desenvolvimento de programas de risco do ciclo de vida
Conhecimento de risco gesto do programa
Conhecimento dos mtodos para avaliar as vulnerabilidades em
ambientes tcnicos e operacionais
Capacidade de analisar as exposies, o ambiente geral e ameaa
ameaas especficas organizao do gerente de segurana da informao
Conhecimento de anlise de risco, incluindo as abordagens quantitativa
e os mtodos qualitativos
Conhecimento dos processos de gesto de risco, incluindo a mitigao,
eliminao, transferncia e aceitao informado
Capacidade de compreender e avaliar os impactos potenciais se o risco
so exploradas
Conhecimento de mtodos para monitoramento, documentao e
comunicar questes de risco e de impacto
3.13.6 caso de desenvolvimento de negcios
O propsito de um caso de negcio capturar o raciocnio para
iniciando um projeto ou tarefa, eo caso de negcio deve incluir
todos os fatores que podem afetar materialmente o sucesso do projeto
ou falha. O mtodo de apresentao deve ser consistente
com a abordagem habitual da organizao e pode ser eletrnico, um
bem estruturado documento escrito ou uma apresentao de slides. Deve
persuasivamente englobam benefcios, custos e riscos. Os benefcios
deve ser tangvel, suportvel e relevantes para a organizao.
Deve ser dada especial ateno aos aspectos financeiros da
proposta. O TCO e risco deve ser realisticamente representado
para o ciclo de vida do projeto. importante evitar
excesso de confiana, as projees excessivamente otimistas e excessiva
preciso para o que provvel que sejam resultados um tanto especulativos.
(Veja a seo 1.10.1 Problemas comuns.)
Os principais efeitos do processo de caso de negcios formal so:
Introduzir uma maneira de pensar que faz com que as pessoas com a
autoridade
recomendar projetos de considerar o seu valor, risco e relativa
prioridade como um elemento fundamental da apresentao do projeto
proposta.
Exigir aqueles propondo um projeto para justificar o seu valor para
a empresa e para eliminar qualquer proposta que no de
valor demonstrvel.
Permitir o gerenciamento para determinar se o projeto proposto
de valor para o negcio e vivel em comparao com o
mritos relativos de propostas alternativas.

Permitir o gerenciamento para medir objetivamente o subseqente
realizao dos benefcios do processo de negcio.
Embora existam muitos formatos possveis para o desenvolvimento de um
negcio
caso, utilizando metodologias formais de gerenciamento de projetos
provvel
para ser o mais persuasivo. O caso deve incluir as opes
consideradas e as razes para rejeit-los. As opes apresentadas
deve incluir o caso de no dar incio a um projeto em particular. O
caso de negcio deve incluir alguns ou todos os seguintes:
Referncia -Project nome / referncia, origens / fundo /
estado atual
Contexto objetivos de negcios / oportunidades de negcios estratgicos
alinhamento (prioridade)
Proposta de Valor resultados de negcio desejado, os resultados estrada
mapa, os benefcios de negcio (por resultado), quantificada valor benefcios,
cenrios financeiros custos / ROI, risco / custos de no prosseguir,
o risco do projeto (para projeto, benefcios e de negcios)
Foco -Problem/solution escopo, premissas / restries, opes
avaliao identificou / avaliado, tamanho, escala e complexidade
Entregas -Outcomes, resultados e benefcios planejados;
reas organizacionais impactado (interna e externamente); chave
partes interessadas
Dependncias -CSFs
Projeto mtricas -KGIs, KPIs
Workload -Approach, definies fase / estgio (projeto
[editar] atividades, atividades tcnicas de fornecimento, carga de trabalho
estimativa fracasso, o plano e cronograma / projeto, crtico
anlise do caminho)
recursos obrigatrios equipe de liderana, projecto
equipe de governana, recursos da equipe, o financiamento
Compromissos (obrigatrio) controles de projetos, reviso de cronograma,
processos de comunicao, as entregas programao, financeira
oramento / cronograma
Avaliao Business Case
Avaliao e anlise de um caso de negcio deve incluir
a determinao de que:
O investimento tem valor e importncia.
O projeto ser adequadamente gerida.
A empresa tem a capacidade de entregar os benefcios.
recursos dedicados da empresa esto trabalhando no mais alto
oportunidades de valor.
Projetos com interdependncias so efectuadas no
seqncia tima.
Objetivos de caso de negcio

O processo em apreo dever ser projetado para ser:
Adaptvel -Ele adaptado ao tamanho e risco da proposta.
Consistente -As mesmas questes bsicas de negcios so abordados por
cada projeto.
orientada Negcios -Preocupa-se com o negcio
capacidades e impacto, ao invs de ter um foco tcnico.
Comprehensive -Todos os fatores relevantes para uma avaliao completa
esto includos.
Pgina 167

Seo Dois: Contedo
163
Compreensvel -Os contedos so claramente relevante, lgica e,
embora exigente, so simples de completar e avaliar
mensurveis aspectos-chave-All pode ser quantificado pelo que a sua
realizao pode ser monitorado e medido.
Transparente elementos-chave pode ser justificada diretamente.
Responsvel -responsabilidades e compromissos para o
entrega de benefcios e gesto de custos so claros.
3.13.7 programa oramentrio
Oramento uma parte essencial do programa de segurana da informao
gesto e pode ter um impacto significativo sobre o programa de
sucesso. Preparao eficaz e defesa de um oramento pode significar
a diferena entre ter ou no ter pessoal suficiente e
outros recursos para realizar os objectivos da informao
Tal como acontece com muitas actividades comerciais, auto-educao e
avanar
preparao so fatores-chave para navegar com sucesso este
processo freqentemente desafiando. Bem antes do ciclo de oramento
comea, o gerente de segurana da informao deve garantir
familiaridade com o processo oramentrio e os mtodos utilizados pelo
organizao. Ser tambm importante considerar o tempo de
as vrias fases do ciclo de oramento da organizao.
Outra considerao importante antes de comear a oramentao
processo a estratgia de segurana da informao. Todo o oramento
gastos com segurana da informao deve ser derivada de e
suportado pela estratgia de segurana da informao. Idealmente, elementos
da estratgia de segurana so definidos em um roteiro de segurana, como
discutido na seo 3.10. Tendo a estratgia comunicada

e aprovado antes de entrar no processo de oramento uma chave
elemento em uma proposta de oramento de sucesso.
Elementos de um Oramento-Programa de Segurana da Informao
Muitos custos associados a um programa de segurana da informao
so bastante simples. Despesas como pessoal (salrios,
formao, etc), hardware e software bsico, e assinatura
servios que se enquadram nesta categoria. Alm do programa tpico
custos operacionais anuais start-up e, provavelmente haver
projetos de curto e longo prazo, que representam vrios objectivos
no mapa da estrada da segurana. Estes projetos vo consumir recursos
ao longo de meses ou anos () e tem de ser contabilizada
no oramento com a maior preciso possvel. A segurana da informao
gerente deve colaborar com PMO e da organizao do
especialistas no assunto apropriadas (PME) para ajudar a estimar custos
para projetos que vo comear dentro de um ano fiscal. Os elementos de cada
projeto que devem ser considerados incluem:
tempo empregado
Empresrio e consultor taxas
equipamento (hardware, software) custos
Os requisitos de espao (espao de rack de centro de dados, etc)
Teste de recursos (pessoal, tempo de sistema, etc)
Criao de documentao de apoio
manuteno Ongoing
Contingncias com custos inesperados
Enquanto isso vai ser impossvel de ser 100 por cento preciso, engajando
PME apropriadas e gerentes de projetos qualificados pode ser
inestimvel para chegar a uma estimativa bastante precisa.
Finalmente, importante ter em mente que alguns aspectos da
um programa de segurana da informao no so totalmente previsveis
e podem incorrer em custos inesperados, particularmente na rea de
resposta a incidentes. Estes custos so muitas vezes o resultado da necessidade
de
recursos externos para ajudar com um evento de segurana que excede o
habilidades ou a largura de banda do pessoal da organizao. Uma abordagem
para
oramento para estas situaes a utilizao de dados histricos de incidentes
e custos de remediao de eventos de segurana anteriores, que exigiam
recursos externos no oramentadas.
Mesmo que a organizao iniciou recentemente a sua segurana
programa, pode ter havido eventos anteriores que exigiam
recursos externos. Se o programa planejado no antecipa
ter essas habilidades na equipe, provvel que recursos externos sero
novamente necessrio no futuro. Por exemplo, se durante os trs ltimos
anos, a organizao contratou consultores externos forenses
para ajudar com eventos de segurana, porque os conjuntos de habilidades

necessrios
no estavam na equipe, o gerente de segurana deve considerar a adio de
uma rubrica no oramento para dar conta dessa situao. Os custos podem
ser estimado com base nos custos mdios ao longo dos anos anteriores
como ponto de partida. Se essa informao no estiver disponvel, a indstria
estatsticas de organizaes de pares pode ser til como um indicador de
custos de risco e remediao.
3.13.8 regras gerais de uso / aceitvel
Poltica de Uso da
Enquanto procedimentos especficos fornecer os passos detalhados
necessrios para
muitas funes ao nvel operacional, ainda existe um grande grupo
de usurios que podem se beneficiar de um resumo user-friendly do que
que deve e no deve fazer para cumprir com a poltica. Um efetivo
forma de ajudar esses usurios em geral a compreender a segurana de
responsabilidades relacionadas o desenvolvimento de um uso aceitvel
poltica. Isso pode detalhar a poltica, em termos cotidianos, as obrigaes
e responsabilidades de todos os usurios em um simples e concisa
maneira. necessrio, ento, comunicar de forma eficaz o uso
poltica a todos os usurios e garantir que ele seja lido e entendido. O uso
poltica deve ser fornecido a todos os novos funcionrios que tero
acesso aos ativos de informao, independentemente da situao de emprego.
Normalmente, estas regras de uso para todo o pessoal incluir a poltica
e normas para controle de acesso, classificao, marcao e
manipulao de documentos e informaes, apresentao de relatrios
e restries de divulgao. Eles tambm podem incluir regras sobre e-mail
e uso da Internet, bem como outros recursos de informao e
ativos. As regras de uso de fornecer uma base de segurana geral para o
organizao inteira. Muitas vezes, necessrio para proporcionar suplementar
ou informaes adicionais para grupos especficos da organizao,
coerente com suas responsabilidades.
3.13.9 Segurana da Informao problema
Prticas de gesto
Alm de crise ou de prticas de gesto de eventos, as informaes
gerente de segurana precisa entender os vrios aspectos de um
abordagem de gerenciamento de problema eficaz. O gerenciamento de
problemas
normalmente requer uma abordagem sistemtica para a compreenso dos
diversos
aspectos da questo, definindo o problema e projetar uma ao
programa, juntamente com a atribuio de responsabilidade e atribuio de
datas de vencimento
para resoluo. Um processo de comunicao tambm devem ser
implementadas para
acompanhar os resultados e garantir que o problema seja resolvido.

Pgina 168

Seo Dois: Contedo
164
Como o ambiente de sistemas de informao que vai continuamente
atravs de mudanas atravs de atualizaes e incluses, no incomum para
os controles de segurana no local para desenvolver, ocasionalmente, um
problema
e no funcionar como previsto. neste ponto que as informaes
gestor de segurana deve identificar o problema e atribuir uma prioridade
para isso.
O gerente de segurana da informao tambm deve estar familiarizado
com a mitigao controlos que podem ter que ser empregues, se o
controle de segurana primrio falhar. Em vez de permitir que a segurana
vulnerabilidade para colocar a organizao em risco, pode ser necessrio
para o gerente de segurana da informao para tomar medidas alternativas
para
proteger os recursos de informao at que o problema seja resolvido. Para
exemplo, se um firewall falhar, o gerente de segurana da informao pode
optar por desligar o sistema pelo lado de fora at que o firewall
problema seja corrigido. Enquanto isso iria proteger as informaes
recursos provenientes de risco fora, provavelmente afetam a organizao do
capacidade de realizar negcios. Portanto, importante que especfica
autoridade e os limites so estabelecidos pela administrao.
3.13.10 fornecedor de gerenciamento
Uma gesto em curso e responsabilidade administrativa
o tpico gerente de segurana da informao a superviso e
monitoramento de fornecedores externos de hardware e software,
suprimentos em geral, e vrios servios.
Isso para dar garantias de que correm o risco introduzido em aquisio
entrega de processos, implementao e servio gerenciado
apropriadamente.
Prestadores de servios de segurana so uma caracterstica comum de muitos
programas de segurana da informao e muitas vezes a melhor relao custobenefcio
aproximar a vrias funes de monitoramento e administrativas. Eles
pode fornecer o gerente de segurana da informao com competncias
especializadas
conforme a necessidade, o aumento do pessoal de longo prazo, enquanto o

recrutamento para abrir
posies e at mesmo o descarregamento de suas tarefas
habituais. Terceirizados
prestadores de servios de segurana pode oferecer uma gama de servios, tais
como
avaliao e auditoria, engenharia, suporte operacional, a segurana
arquitetura e design, servios de consultoria, suporte e forense.
Prestadores de servios de segurana pode liberar recursos internos para foco
em projetos ou operaes, onde a preservao do capital intelectual
um prmio. A utilizao dos recursos de segurana externa tambm pode
fornecer um objetivo, nova perspectiva sobre a segurana da informao
programa. Se o gerente de segurana da informao utilizar um
provedor de segurana terceirizada, as capacidades e abordagens que
o fornecedor toma deve alinhar com informaes da organizao
O uso de partes externas para fornecer funes relacionadas com a segurana
geralmente cria um risco que deve ser gerenciado pela informao
gerente de segurana. Questes como a viabilidade financeira, qualidade de
servios, pessoal adequado, a adeso a segurana da organizao
polticas e direito de auditoria devem ser abordadas.
3.13.11 Programa de Gesto de Avaliao
Certas situaes exigem o gerente de segurana da informao para avaliar
o estado atual de um programa de segurana da informao existente, por
exemplo,
se promovido ou contratado para um papel CSO existente. tambm
importante
para o gerente de segurana da informao para reavaliar periodicamente o
eficcia do programa em relao s mudanas na organizao
demandas, meio ambiente e restries. Os resultados de tal anlise
deve ser compartilhada com o comit gestor de segurana da informao
ou outras partes interessadas para anlise e desenvolvimento de estratgias
para
modificaes necessrias do programa.
Enquanto o gerente de segurana da informao deve determinar o mais
escopo apropriado para avaliar o estado atual, a seo seguinte
descreve vrias reas crticas para a avaliao.
Objetivos do Programa
O gerente de segurana da informao deve avaliar a
objetivos de segurana documentados estabelecidos para o programa. Chave
consideraes incluem:
Foram objetivos do programa alinhado com os objetivos de governana
(Se que existe)?
Os objetivos mensurveis, realistas e associada especfico
linhas de tempo?
No os objetivos do programa alinham com os objetivos organizacionais,

iniciativas, as necessidades de conformidade e ambiente operacional?
Existe consenso sobre os objetivos do programa? Eram objetivos
desenvolvido de forma colaborativa?
Tenha mtricas foram implementadas para medir objetivo do programa
sucesso e falhas?
Existem comentrios de gesto regulares de objetivos
e realizaes?
Requisitos de conformidade
Alinhamento com e cumprimento de requisitos de conformidade
esto entre as indicaes mais visveis de gerenciamento de segurana
estado. Porque muitas normas estabelecer a gesto do programa
requisitos, o gerente de segurana da informao deve avaliar
o programa de gesto em si-estrutura e componentes de
contra obrigatrio e / ou padres de conformidade voluntrias. Chave
consideraes incluem:
Existe a facilitao de estreita comunicao entre o cumprimento
e os grupos de segurana da informao? a segurana da informao
requisitos de conformidade esto claramente definidos?
O programa de segurana da informao especificamente integrar
requisitos de conformidade nas polticas, normas, procedimentos,
operaes e mtricas de sucesso?
Fazer do programa tcnico, operacional e gerencial
componentes esto alinhados com os componentes exigidos pela
normas regulamentares?
Quais foram os resultados da recente auditoria e compliance
revises do programa de segurana da informao?
deficincias de conformidade programa so acompanhadas, relatados e
abordados oportuna?
So tecnologias de gesto de conformidade utilizado para aumentar o
eficincia de cumprir exigncias de conformidade de segurana?
Gesto do Programa
A avaliao dos componentes de gesto do programa ir revelar o
extenso do apoio gesto e profundidade total do existente
programa. Programas de segurana muito tcnico, taticamente-driven vontade
tendem a implementar menos componentes de gesto, onde estratgico
programas conduzidos por normas, compliance e governana vontade
implementar um conjunto mais abrangente de actividades de gesto
que garante que os requisitos so estabelecidas e cumpridas.
Pgina 169

Seo Dois: Contedo

165
Consideraes de componentes de gesto do programa incluem:
Existe documentao completa do prprio programa? Tenha chave
polticas, normas e procedimentos foi reduzido para acesso
diretrizes operacionais e distribudos para os responsveis?
Indivduos responsveis entender suas funes e
responsabilidades?
So funes e responsabilidades definidas para os membros da snior
gesto, placas, etc? Ser que essas organizaes a compreender
e envolver as suas responsabilidades?
As responsabilidades de segurana da informao representada em
objetivos managers'individual negcios e parte de sua
avaliao de desempenho individual?
As polticas e padres definidos, formalmente aprovada
e distribudo?
So os gerentes de unidades de negcios envolvidos em orientar e apoiar
atividades do programa de segurana da informao? Existe um compromisso
formal
comit de direo?
Como que o programa posicionado dentro da organizao? Para
quem o responsvel do programa? Ser que este posicionamento impart
um nvel adequado de autoridade e visibilidade para os objetivos
que o programa tem de cumprir?
O programa de implementar funes de administrao eficazes,
por exemplo, oramento, gesto financeira, gesto de RH,
gesto do conhecimento?
so mtricas significativas utilizados para avaliar o desempenho do
programa?
So essas mtricas recolhidas e comunicadas regularmente?
Existem fruns e mecanismos de gesto comum
superviso das actividades do programa? Ser que a gesto regularmente
reavaliar a eficcia do programa?
Gesto de Operaes de Segurana
O gerente de segurana da informao deve avaliar a eficcia
com que o programa de segurana da informao implementa segurana
atividades operacionais, tanto no mbito da organizao de segurana e em
outras unidades organizacionais. Algumas consideraes importantes incluem:
Os requisitos e processos includos na segurana de segurana,
procedimentos operacionais padro de tecnologia e de negcios da unidade?
Os procedimentos operacionais padronizados relacionados segurana
(POPs)
assegurar a responsabilizao, a visibilidade do processo e
superviso da gesto?
Existem POPs documentados para as atividades relacionadas com a

segurana, tais
como gerenciamento de acesso, manuteno de sistemas de segurana, evento
anlise e resposta a incidentes?
Existe um cronograma de procedimentos realizados regularmente, por
exemplo,
reviso configurao tcnica? O programa prev
registros das atividades programadas?
Existe separao de funes entre os implementadores do sistema,
administradores de segurana e pessoal de cumprimento?
O programa prev mtricas operacionais eficazes
de relatrios que fornecem gerenciamento com a informao necessria para
superviso? Existem outros mecanismos de fiscalizao no lugar?
A gesto de rever regularmente as operaes de segurana? Existe
um frum para questes operacionais para ser escalado para a gesto
para a resoluo?
Gesto de Segurana Tcnica
Gesto do ambiente de segurana tcnica fundamental
para garantir que os sistemas de processamento de informao e de segurana
mecanismos so implementados de forma eficaz. Alm de
avaliar o prprio ambiente tcnico atual, o
gerente de segurana da informao deve considerar o seguinte
questes relativas gesto de questes de segurana tcnica:
Existem normas tcnicas para a configurao de segurana
rede de individual, sistema, aplicao e outros
componentes de tecnologia?
No existem normas que o endereo de segurana arquitetnica
questes como a topologia, protocolos de comunicao e
compartimentalizao de sistemas crticos?
Fazer suporte a padres e aplicar polticas de alto nvel e
requisitos? So normas um esforo colaborativo entre
tecnologia, operaes e pessoal de segurana?
So normas tcnicas uniformemente implementado? Os procedimentos
existem para avaliar regularmente e informar sobre o cumprimento tcnico
normas? Existe um processo formal para gerenciar excees?
a separao de desenvolvimento, teste e de produo
ambientes aplicadas?
Os sistemas de forar a separao do dever, especialmente onde a alta
nveis de acesso administrativo esto em causa?
Existe visibilidade confivel e abrangente (registro)
em atividades do sistema, configuraes, acessibilidade e
eventos relacionados com a segurana? este visibilidade contnua ou
intermitente?
Nveis de Recursos
O gerente de segurana da informao deve avaliar o nvel de
recursos financeiros, humanos e tcnicos afectos

programa. reas de deficincia deve ser identificado e encaminhado para
alta administrao e / ou do comit de direco. Consideraes
incluem as seguintes reas:
alocao de recursos financeiros
- Qual o nvel atual de financiamento para o programa?
- um capital considervel e oramento operacional mantida?
- No dotaes financeiras alinhar com programa
expectativas oramento?
- Existem ligaes entre a alocao de recursos e
objetivos de negcio?
- Funes dentro do programa priorizados em termos de So
dotao financeira?
- Quais as funes que so propensos a sofrer de subfinanciamento?
HR
- O programa de implementao de uma gesto de carga de trabalho
metodologia?
- Qual o nvel de pessoal atual para o programa?
- Os recursos esto totalmente utilizados em termos de tempo existente
e habilidades?
Os recursos so adequadamente qualificados existentes para os papis eles esto em?
- Existem tarefas de baixo valor que outros recursos poderiam ser
aproveitados para completar?
- Que outros recursos humanos (por exemplo, tecnologia da informao
pessoal) o programa de dependentes de operar de forma eficaz?
a segurana da informao de uma parte formal destes resources'job
descries e planos de actividade?
Recursos tcnicos
- Quais so as tecnologias atualmente suportam a segurana da informao
objectivos do programa?
- a capacidade de tecnologias de suporte suficiente para suportar
demandas atuais? Ser que essas tecnologias dimensionado para atender
necessidades futuras?
Pgina 170

Seo Dois: Contedo
166
- Ser que a conta do programa de manuteno, administrao
e eventual substituio de tecnologias de suporte?
- Existem outras tecnologias que podem tornar o programa

mais eficiente ou eficaz?
3.13.12 Plan-Do-Check-Act
O programa de segurana da informao baseada na efetiva, eficiente
gesto de controles projetados e implementados para tratar ou
mitigar ameaas, riscos e vulnerabilidades. A dependncia exclusiva em
a gesto eficaz e eficiente de um processo de negcio, tais como
segurana da informao presta-se aos conceitos e metodologias
englobado dentro do sistema de gesto da qualidade total (TQM).
TQM baseado em quatro processos primrios, Plan-Do-Check-Act
(PDCA), conforme ilustrado na exposio 3,11 .
A abordagem TQM, combinado com uma metodologia de governana
que incide sobre o alinhamento estratgico com programa organizacional
objetivos, ir fornecer o gerente de segurana da informao com ferramentas
que ele ou ela pode usar para implementar e manter um ambiente altamente
programa efetivo e eficiente. Conforme descrito no captulo 1, o bsico
elementos de uma metodologia de governana inclui uma viso estratgica,
objetivos, KGIs, CSFs, KPIs e aces-chave ou ttico e
planos de aco anuais. Estes elementos so definidos como se segue e
representado na exposio 3,12 .
Viso uma declarao clara e convincente em sentido lato
sobre o propsito da organizao. Isto deve incluir o
resultados desejados do programa de segurana da informao.
Os objetivos estratgicos so um conjunto de metas que so necessrias e
suficiente para mover a organizao em direo a sua viso. Estes
objetivos devem ser refletidas em KGIs.
QCA so um conjunto de circunstncias ou eventos que so necessrios para
atingir os objetivos estratgicos.
KPIs so mtricas concretas monitorados para garantir que os QCA so
a ser alcanados.
As aces-chave, incluindo planos de ao tticos e anuais so
as iniciativas a serem entregues, a fim de alcanar o estratgico
objetivos e KGIs.
Departamentos jurdicos corporativos so muitas vezes focado principalmente
na
contratos e valores mobilirios, ou assuntos relacionados s aes da
empresa. O
resultado que eles so, em muitos casos, no tem conhecimento de regulao
requisitos, eo gerente de segurana da informao deve
no contam com o departamento jurdico para identific-los. Tipicamente, o
departamento afetado ser o mais bem informados sobre legal
e questes regulatrias. , no entanto, para a informao prudente
gerente de segurana para solicitar a reviso e interpretao legal
requisitos legais que tm implicaes de segurana para garantir a clareza
sobre a posio oficial da organizao sobre o assunto.

Alm disso, o gerente de segurana da informao pode ser necessria
para apoiar normas legais relacionadas privacidade das informaes
e operaes, a recolha e tratamento dos registros de auditoria,
polticas de reteno de e-mail, procedimentos de investigao de incidentes, e
cooperao com as autoridades judiciais. Questes jurdicas tambm deve ser
tomados em devida considerao, sempre que um funcionrio da
organizao investigado ou monitorado, ou quando disciplinar
ao deve ser tomada por comportamento inadequado.
3.13.14 fatores fsicos e ambientais
A confidencialidade, integridade e disponibilidade da informao
pode ser comprometida atravs de acesso fsico no autorizado
e danos ou destruio de componentes fsicos. O nvel
de segurana em torno de qualquer hardware e software, ou qualquer
ativos fsicos de informao, como documentos ou outros meios de
comunicao,
deve depender da criticidade dos sistemas, a sensibilidade do
a informao que pode ser acedida, o significado de aplicaes
processado, o custo do equipamento e a disponibilidade de apoio
Equipamento. Uma ampla gama de controles de segurana fsica, como
fechaduras eletrnicas, detectores de movimento, cmeras, encarceramento fio
de ao e
dispositivos de rastreamento de rdio-frequncia, esto disponveis para a
informao
gerente de segurana para implementar a segurana fsica.
Devem ser estabelecidas polticas e normas de segurana fsica
em adio aos processos de controlo. O controle fsico de acesso a
recursos computacionais deve ser aplicada com base na sensibilidade da
informaes acessadas, processados e armazenados l. O acesso deve
ser fornecido em uma base como-necessrio.
Localizao dentro das instalaes e fatores ambientais tambm so
preocupaes. Localizando sistemas crticos em reas com instvel
ambientes ou na proximidade de tubulaes de gua ou outro potencial
perigos deve ser evitada. Ambientes de computao deveria
incorporar sistemas para monitorar e controlar os fatores ambientais
tais como temperatura, umidade e qualidade da energia eltrica.
Os computadores pessoais so usados frequentemente em reas de usurios
menos seguras e
podem exigir uma ateno especial para garantir nveis adequados de
segurana. Se uma estao de trabalho tem uma funo particularmente
sensvel
ou necessrio para armazenar informaes sigilosas, isolando-o pode
ser desejvel. Outros controles de estaes de trabalho fsico pode incluir
proteger fisicamente o dispositivo para impedir o roubo, o bloqueio do
chassis para evitar adulteraes, a remoo ou desativao externo
interfaces de dispositivo (por exemplo, universal serial bus [USB], portas

seriais),
e execuo de rede de rea local (LAN) de armazenamento com base para
minimizar os dados sensveis em discos estao de trabalho.
Laptops e dispositivos portteis tambm exigem uma ateno especial,
sobretudo tendo em conta o risco significativo de roubo ou perda. O
gerente de segurana da informao deve considerar o uso de disco inteiro
criptografia para proteger informaes sensveis em caso de perda.
Segurana de mdia impressa e eletrnica, tambm devem ser protegidos.
A divulgao de informaes sensveis em papel, microfilme, fita,
CD-ROM ou outra mdia fsica como um grande risco para o
organizao como um compromisso on-line e deve ser armazenado em
locais seguros. O transporte e armazenamento de fitas de backup, se
no criptografada, tambm pode apresentar risco significativo,
particularmente quando
externo armazenado. O gerente de segurana da informao deve tambm
considerar uma poltica de mesa limpa para evitar o acesso no autorizado a
informaes confidenciais em reas de escritrio menos seguras.
Preocupaes geogrficas tambm devem ser consideradas, especialmente
onde as instalaes organizacionais e locais de recuperao de desastres so
envolvido. Regies com risco de terremotos, furaces, inundaes
ou outros desastres naturais devem ser evitados quando a seleo
locais de instalao. A proximidade com as instalaes que apresentam risco
especial (por exemplo,
usinas nucleares, instalaes de produo qumica, aeroportos)
deve ser considerada. Finalmente, as instalaes de processamento primrio,
Pgina 171

Seo Dois: Contedo
167
Anexo Metodologia 3.11-PDCA
A Metodologia PDCA um modelo de processo iterativo
PLANO
ACT
FAZER
VERIFICAO
PLANO
FAZER
VERIFICAO
ACT
Partes Interessadas
Informaes
Segurana
Requisitos e
Expectativas
Chumbo corretiva,
preventiva, e
melhoria contnua
planos de ao
Planejar, projetar e iniciar o programa de segurana da informao. Essas
atividades incluem a criao de uma estratgia,
conceitos de socializao, a criao de polticas, metas, objetivos e prticas
necessrias para gerir o risco.
Executar e controlar a estratgia de segurana da informao, incluindo a
integrao em prticas organizacionais.
Facilitar auditorias semestrais para determinar a conformidade com a
declarao de aplicabilidade e identificar
oportunidades de melhoria. Sempre que apropriado, desenvolver e integrar as
matrizes de desempenho que
Segurana da informao Suporte metas e objetivos do programa.
Aps a descoberta de no-conformidades e / ou oportunidades, criar e
acompanhar corretiva, preventiva e
ao de melhoria contnua planeja. Apresentar os resultados das avaliaes de
auditoria e risco internos / externos para
o Comit de Gesto de Reviso para as decises sobre a aceitao, rejeio ou
transferncia de risco e
o comprometimento de recursos e capital para facilitar os esforos
subseqentes.
Manter e melhorar
programa
Projeto e plano
programa
Monitor, auditoria,
analisar as informaes
Partes Interessadas
Gerenciado
Informaes
Segurana
Exposio 3.12-Estratgico Objetivos, QCA, KPIs, aces-chave
Estratgico
objetivos
V
iso
QCA
KPIs / metas
As aces-chave /
mudanas nos negcios
Pgina 172

Seo Dois: Contedo
168
locais de recuperao de desastres e instalaes de armazenamento de dados
externo deve
estar localizada suficientemente longe um do outro para assegurar que um
desastre
evento no afeta mais de um site.
3.13.15 tica
Muitas organizaes tm implementado tica treinamento para fornecer
orientao sobre o que a organizao considera legal e apropriado
comportamento. Esta abordagem mais comum quando os indivduos so
obrigados a se envolver em atividades de natureza particularmente sensvel
como as atividades do usurio, monitoramento de testes de penetrao e
acesso
aos dados pessoais sensveis. Pessoal de segurana da informao deve ser
sensveis a potenciais conflitos de interesse ou actividades que podem ser
percebida de uma forma prejudicial para a organizao.
O cdigo de tica deve ser revisado a cada empregado
envolvidos na gesto de segurana da informao e assinado
aceitao do cdigo deve ser mantido em registros de funcionrios.
3.13.16 Cultura e regionais variaes
O gerente de segurana da informao deve estar ciente das diferenas
nas percepes, costumes e comportamento adequado em diferentes
regies e culturas e que o que visto como razovel em um
a cultura no pode ser aceitvel no outro. A segurana da informao
gestor precisa identificar o pblico e aqueles que sero
afetado pelas atividades de segurana da informao.
Alm disso, as leis de diferentes pases restringir certa partilha de
informaes pessoais. As necessidades de gerente de segurana da informao
estar ciente destas complicaes e trabalhar para desenvolver um
programa de segurana da informao que atenda s necessidades individuais
de
a organizao.
As polticas, procedimentos e controles devem ser desenvolvidas e

implementado no que diz respeito a essas diferenas. Elementos
que podem ser culturalmente ofensiva para outros devem ser evitados,
nomeadamente se os elementos alternativos esto disponveis que o controle
se encontram
requisitos. Em caso de dvida, o gerente de segurana da informao
deve trabalhar com o departamento jurdico e de RH para desenvolver
estratgias adequadas para lidar com as diferenas entre as regies
e culturas representadas dentro da organizao para identificar
potenciais conflitos e trabalhar em direo a solues.
3.13.17 logstica
O gerente de segurana da informao deve abordar questes logsticas
eficaz, sobretudo tendo em conta a quantidade significativa de interao
com outras unidades de negcios e os indivduos que exigido por um
programa de segurana da informao eficaz. Alguns dos logstica
questes que o gerente de segurana da informao precisa ser capaz de
gerenciar incluem:
planejamento estratgico Cross-organizacional e execuo
O gerenciamento de projetos e tarefas
Coordenao das reunies e atividades da comisso
Desenvolver esquemas de procedimentos realizados regularmente
gesto de priorizao de recursos e carga de trabalho
Coordenao de recursos e atividades de segurana com maior
projetos e operaes
Recursos corporativos existentes, tais como o agendamento on-line e recursos
sistemas de gesto, pode ajudar com essas preocupaes. Alm disso, o
gerente de segurana da informao deve desenvolver a gesto logstica
habilidades atravs de treinamento, auto-estudo ou mentoring.
3.14 Segurana servios de programas e
Atividades Operacionais
O programa tpico de segurana da informao tem um nmero de
responsabilidades operacionais, alm de fornecer vrios
segurana relacionada servios. Embora a natureza destas operaes e
servios variam consideravelmente entre as diferentes organizaes, a
seo a seguir descreve os mais tipicamente encontradas em maior
organizaes.
3.14.1 informaes de segurana de ligao
responsabilidades
Alm das funes discutidas na seo renncia, ele
essencial para um gerente de segurana da informao eficaz para
manter relacionamentos contnuos com uma srie de outros grupos
e departamentos da organizao. Esses outros organizacional
funes ter um grande impacto sobre a capacidade de o
gerente de segurana da informao para ser eficaz na implementao
e gesto do programa de segurana. Enquanto os nomes desses
departamentos podem variar, a maioria das organizaes ter a maioria

destas funes.
Enquanto o programa de segurana da informao vai conseguir maior
sucesso
atravs da integrao de atividades de garantia com os seguintes
departamentos
na medida do possvel, a integrao efetiva com a TI essencial.
Integrao com TI coberto em maior detalhe na seo 3.14.11.
/ Segurana Corporativa Fsica
A maioria das organizaes ter um departamento de segurana corporativa
acusado de responsabilidades de segurana fsica. Estes departamentos
normalmente so geridos por pessoas de aplicao da lei
e muitas vezes, tm exposio limitada segurana da informao.
No entanto, as questes de segurana fsica, invariavelmente, um impacto
segurana da informao e essencial que um trabalho prximo
existe relao com este departamento.
Auditoria de TI
TI ou de auditoria interna geralmente acusado de prestao de garantias
de conformidade com as polticas e identificao de risco. Muitas vezes,
especialmente no
ausncia de polticas e normas completas, esses auditores tero
concluses sobre a segurana da informao com base no que eles consideram
bom
ou prticas aceitveis. Dependendo da especializao dos auditores,
estes resultados podem ou no concordar com a segurana da informao
perspectiva do gestor, e isso refora a necessidade de
documentao completa governana. Como as atividades de auditoria interna
invariavelmente afetar o programa de segurana da informao, essencial
para
o gerente de segurana da informao para desenvolver e manter um bom
relao de trabalho com auditoria interna. Um bom relacionamento com
auditoria interna tambm pode fornecer apoio considervel para alcanar
objetivos de segurana da informao.
Unidade de Tecnologia da Informao
medida que os implementadores e operadores de informaes hands-on
sistemas de processamento, unidade de tecnologia da informao de uma
organizao
tem um papel fundamental no desenvolvimento do programa de segurana da
informao
Pgina 173

Seo Dois: Contedo

169
e gesto. importante para a segurana da informao
gerente de desenvolver uma relao de trabalho forte com o
unidade de tecnologia da informao e se esforam para promover um
ambiente de
rapport, confiana e comunicao. Este pode ser um desafio, uma vez
Muitas vezes, percebe a segurana como um impedimento para seus esforos.
Muitas vezes tem exigncias conflitantes para assegurar que as polticas
e normas sejam cumpridas, ao mesmo tempo que o desempenho e
requisitos de eficincia esto sendo tratados. Este conflito
entre segurana e desempenho pode resultar em sacrificar a segurana
para cumprir os objectivos operacionais.
Tipicamente, os requisitos de segurana abranger implementao de
mecanismos de controle na rede, sistemas e aplicaes
ambientes, bem como assegurar que as operaes de tecnologia
atender aos requisitos de segurana. Esta pode ser uma tarefa desafiadora
para a unidade de tecnologia de informao, uma vez que tem de cumprir
necessidades de segurana, abordando tambm temas como a funcionalidade,
acessibilidade, desempenho, capacidade e escalabilidade. O
gerente de segurana da informao deve trabalhar com as informaes
unidade de tecnologia para determinar solues que atendam tanto a
segurana
requisitos e ainda atender aos requisitos de desempenho.
Alm de configurar a segurana dentro do actual tcnico
ambiente, muitas organizaes utilizam a tecnologia da informao
unidade para projetar, implementar e operar sistemas de segurana, tais como
firewalls, sistemas de gerenciamento de identidade e tecnologias de
criptografia
(por exemplo, VPNs, Secure Sockets Layer [SSL] aceleradores).
A separao de responsabilidades operacionais entre a
departamento de segurana da informao e tecnologia da informao
unidade muitas vezes baseada no impacto que um determinado ttulo
sistema tem no ambiente da tecnologia de produo. Enquanto
falha de um controlo passivo, tal como um NIDS pouco provvel para criar
uma falha de todo o sistema, a falha de um sistema de linha em como
um firewall pode fazer com que o Internet ou parceiro de negcios crticos
conexes para ir para baixo.
Gestores de Unidade de Negcios
importante que o gerente de segurana da informao para se envolver
gesto de unidade de negcios no desenvolvimento da segurana da
informao
programa, e para continuar a desenvolver essas relaes em curso
atividades de gerenciamento de segurana. O gerente da unidade de negcios
responsabilidade por operaes de negcios da linha de frente garantir

que as operaes de negcios atender aos requisitos de segurana, bem como
identificar e escalada de incidentes de segurana e outras preocupaes de
risco.
essencial que o gestor de segurana da informao garante que
gerentes de unidades de negcio reconhecer e engajar suas responsabilidades
no sentido de garantir o dia-a-dia da segurana operacional segura. Negcio
gerentes de unidades devem ser membros da segurana da informao
comit de direo, eo gerente de segurana da informao deve
estabelecer laos estreitos com os gestores das unidades de negcios
predispostos a
de risco relacionados com a informao (por exemplo, centros de
atendimento, mesas de apoio).
Alm de unidades de negcios operacionais dirios, a maioria das
organizaes
tem unidades de negcios responsveis pelo desenvolvimento de novos
produtos
ou servios destinados a usurios internos, um mercado externo ou
ambos. importante que envolve o gerente de segurana da informao
no processo de desenvolvimento de produtos ou servios relacionados com a
recursos de informao da organizao, que inclui praticamente qualquer
tal iniciativa. A unidade de negcios de desenvolvimento de produto deve
utilizar
uma linha de base estabelecida de requisitos de segurana em p (por
exemplo,
controles de autenticao, registro de atividades) para qualquer novo
desenvolvimento
projetar e trabalhar com o gerente de segurana da informao para
desenvolver
controles adicionais para proteger contra o risco especfico do aplicativo.
O envolvimento precoce no ciclo de desenvolvimento de produto e padro
requisitos de segurana da informao de base ajuda a informao
gerente de segurana assegurar que os recursos eo tempo so alocados para
implementao controles eficazes. Se o grupo de segurana da informao
tem uma equipe de arquitetura de segurana, esta uma rea adequada para a
sua
envolvimento.
Recursos Humanos
O departamento de RH dentro da maioria das organizaes tem significativa
responsabilidades de segurana da informao no que diz respeito poltica
de empregado
distribuio, educao e fiscalizao. A segurana da informao
gerente deve trabalhar com a liderana de RH para estabelecer a melhor
significa para administrar a educao dos funcionrios, e de acordo com,
polticas e procedimentos de uso de recursos do computador.
O gerente de segurana da informao deve garantir que o RH e

departamentos jurdicos esto intimamente envolvidos em qualquer ao que
envolva
monitoramento das aes de um funcionrio ou de suspeita de abuso de
recursos de computao. Por causa das implicaes legais envolvidas
com aes de pessoal na maioria das localidades, esta cooperao
crucial. O gerente de segurana da informao deve estabelecer
procedimentos e escalada como parte do gerenciamento de incidentes
procedimentos para que todas as partes envolvidas entender suas funes e
responsabilidades e esto preparados para uma ao imediata quando um
evento ocorre. Um alto representante do departamento de RH
deve ser atribudo direo de segurana da informao
comit.
Departamento Jurdico
Questes de segurana da informao so freqentemente relacionadas
compliance,
responsabilidade, responsabilidade corporativa e due diligence. Na maioria
organizaes, todas essas reas so o domnio do legal
departamento. O gerente de segurana da informao deve articular-se
com um representante do departamento jurdico, que deve tambm
estar no comit gestor de segurana. Ao garantir que o legal
departamento tem conscincia permanente de questes de segurana da
informao
e agindo com o seu consenso, o gerente de segurana da informao
pode ajudar a proteger a organizao de qualquer responsabilidade legal.
Funcionrios
Funcionrios servir como a primeira linha de defesa na segurana de
informaes. Uma vez treinados, da responsabilidade de todos os
funcionrios
a seguir as polticas, normas e procedimentos. Os funcionrios devem
ser treinados para relatar ameaas potenciais e incidentes, bem como oferecer
sugestes de melhoria para o programa de segurana da informao,
com base na sua participao no dia-a-dia com o programa.
Aquisio
A maioria das organizaes vai empregar um processo de aquisio formal de
que pode ter consequncias para a segurana da informao em termos de
aquisies de produtos. importante que a segurana da informao
gerente tem visibilidade sobre o processo e entrada para aquisio
prticas. Organizaes maduras ter um equipamento aprovado
lista que foi avaliada para a poltica e cumprimento de normas
para gerir e minimizar as vulnerabilidades introduzidas como resultado de
Pgina 174
Seo Dois: Contedo
170
novas aquisies de equipamentos. Na ausncia de um tal processo, isso
importante que o gerente de segurana da informao para ser avisado de
proposto aquisies e proporcionou a oportunidade de determinar
o risco pode ser introduzido como um resultado.
Observncia
Como conseqncia do legal cada vez mais complexo e
cenrio regulatrio que as organizaes devem navegar, muitos
organizaes tm implementado um escritrio de conformidade que podem
ser um departamento independente ou uma parte do departamento jurdico.
Uma vez que no pode precisar de ser poltica, normas e procedimentos
reconhecimento dos requisitos legais e regulamentares aplicveis,
necessrio que o gerente de segurana da informao para estabelecer uma
relao de trabalho com o escritrio de compliance.
Privacidade
Regulamentos de privacidade tornaram-se cada vez mais comum e
mais restritiva em muitas partes do mundo. Em resposta, muitos
organizaes tm institudo um escritrio de privacidade ou um oficial de
privacidade.
Em alguns casos, isto uma parte do escritrio conformidade, ou pode ser
uma funo separada. Em todos os requisitos do evento, de privacidade, de
alguma
jurisdies so vigorosamente aplicada e cumprimento deve ser
um foco importante de segurana da informao. Para garantir que os
requisitos
forem atendidas, o gerente de segurana da informao deve manter
coordenao com o escritrio de privacidade para evitar sanes que tm
crescido cada vez mais grave.
Treinamento
Muitas organizaes maiores tm uma formao e educao em separado
departamento. O gerente de segurana da informao deve ter
contato com esta funo de assistncia no fornecimento de segurana
treinamento de conscientizao e educao em habilidades de segurana
necessrias.
Quality Assurance
A garantia de qualidade deve incluir nveis aceitveis de relacionados com a
segurana
controlos. Compreender o processo de controle de qualidade ea garantia de
que ele inclui
testes de aspectos relacionados com a segurana uma considerao
importante
para segurana da informao. O gerente de segurana da informao deve

manter uma relao com o departamento de QA, a fim de garantir
que o risco tratado como uma parte normal do processo.
Seguro
A maioria das organizaes manter vrias aplices de seguro como
cobertura para interrupo de negcios que tem relevncia para a informao
atividades de segurana na medida em que a resposta a incidentes,
continuidade de negcios
e recuperao de desastres. Cabe a segurana da informao
gerente de compreender os tipos e extenso de seguro a
organizao tem, a fim de inclu-lo na gesto de riscos e
planejamento de recuperao.
Gesto de Terceiros
Gesto de terceiros inclui funes terceirizadas e
servios. Alguns servios podem estar sob o controle direto do
segurana da informao, tais como o monitoramento do IDS terceirizada,
mas a maioria
so provavelmente gerido por outros departamentos. Cabe a
gerente de segurana da informao para entender o que funciona ou
servios so prestados por terceiros e para compreender a
risco associado. A gesto de riscos a nveis aceitveis pode representar um
desafiar e podem exigir uma variedade de preventiva, detetive e
controles de compensao.
Project Management Office
A organizao de segurana da informao deve manter uma forte
relacionamento com todos os PMOs dentro da empresa. importante
que o gerente de segurana da informao ou representantes tm
uma conscincia de todos os projetos, especialmente projetos de TI, em todo o
organizao. Manter um relacionamento no s com negcio
TI e grupos, mas tambm com todos os PMOs organizacionais, fornece
outra camada de proteo que nenhum projeto ser concludo
sem ao menos ser revisto pela equipe de segurana da informao
para o risco potencial ou medidas de segurana necessrias.
3.14.2 responsabilidades inter-organizacional
O gerente de segurana da informao diretamente responsvel por
muitos aspectos crticos do programa de segurana da informao.
importante estar ciente de que no pode haver separao entre questes de
direitos
se o mesmo gestor responsvel pela sobreposio de aspectos da
polticas, implementao e monitoramento. Ele geralmente cai no
informao gerente de segurana, para garantir que estas reas
de responsabilidade esto devidamente distribudo entre os gerentes seniores
dentro da organizao para evitar possveis conflitos de interesse.
medida que cada fase de um programa de segurana desenvolvido,
executivo
gesto, os gestores com responsabilidades de gesto de risco

e gesto de departamento devem estar cientes da
contedo do programa de segurana da informao para que as atividades
podem
ser coordenados e reas especficas de responsabilidade confirmado.
Programas de segurana da informao normalmente atravessar numerosos
limites de departamento e, portanto, promover a conscientizao e
obteno de consenso no incio do processo importante. O papel de
o prprio gerente de segurana da informao, muitas vezes torna-se o de
"Embaixador" para o programa de segurana da informao.
O gerente de segurana da informao devem trabalhar em estreita
colaborao com
de gesto para garantir que aqueles em vrios departamentos e
unidades de negcios compreender, aceitar e tem os recursos necessrios
para implementar a sua parte do programa de segurana da informao.
Uma estratgia para incorporar as idias e apoio da
gesto da organizao pode incluir a formao de
um comit de segurana da informao ou de um executivo
conselho de segurana como discutido no captulo 1. Esses comits
tambm pode servir para coordenar as atividades entre os grupos envolvidos
em outros aspectos das funes de gesto de risco e de garantia,
contribuindo assim para alcanar a integrao processo de garantia. O
membros destes comits so selecionados por sua capacidade de
apoiar o programa de segurana da informao e para representar o
interesses da organizao. Eles vo ajudar a garantir que as informaes
requisitos de segurana so identificados e apoio de toda a organizao
seja alcanado. O comit de direco, normalmente o dono do
estratgia e segurana da informao comumente designado como o
grupo poderes para aprovar mudanas na poltica ou padres.
Uma parte importante do desenvolvimento do programa a reviso,
modificao e / ou criao de polticas necessrias para estabelecer um
estrutura para o desenvolvimento de padres organizacionais com
respeito segurana. Os documentos que refletem as decises estabelecidas
pelo
estratgia de segurana devem ser claramente definidas na forma de poltica
mandatos. Documentos de polticas identificar inteno gesto e
direo e formam a base para as normas organizacionais que
Pgina 175

Seo Dois: Contedo
171

Anexo 3.13-Informaes Funes de Segurana e Responsabilidades
Papel
Responsabilidade processo associado Segurana da Informao
Key Performance Indicator Amostra
A gerncia executiva
Superviso estratgia de segurana e alinhamento
Responsabilidade organizacional para a execuo de toda a segurana
elementos do programa atribudo.
O risco de negcio
gesto
TI avaliao de risco
Lista de prioridades de TI corre o risco de ser abordado mantido e
periodicamente atualizado.
Departamento
gesto
Os requisitos de segurana sign-off e teste de aceitao
Os recursos de segurana a serem incorporadas ao aplicativo so
formalmente aprovado.
Autorizao de acesso
Indivduos ou grupos que tm acesso a dados so formalmente
aprovado.
Assessor Jurdico
gesto executiva
Conselho de proteo de informaes
Polticas de proteco de informao so consistentes com o caso
leis e regulamentos, formalmente aprovado, e as pessoas afetadas
est ciente deles.
Operaes de TI
gesto
Monitoramento de segurana
Os incidentes de segurana so identificados antes que eles causem danos.
Resposta a incidentes
Respostas adequadas aos incidentes de segurana so incorporados em
procedimentos operacionais.
Gesto de crises
Os procedimentos de recuperao so periodicamente e testado com sucesso.
Inventrio do Site
Todos os dispositivos de computao adquiridos so contabilizados e
correlacionam-se com a finalidade do negcio.
Gerente de Qualidade
Participao crtica de segurana
Sistemas polticos-compliant de segurana so configurados.
Os requisitos de segurana captura
Requisitos de negcios para a confidencialidade, integridade e
disponibilidade esto documentados.

Projeto de segurana de aplicativos
Planos de implementao tcnicas para reunio de negcios
requisitos de segurana processo so estabelecidas.
Altere o controle
De arquivamento seguro, recuperao e compilao de planos
cdigo fonte manteve-organizao e do produto
personalizaes so estabelecidas.
Gerenciamento de atualizao de segurana
Certifique-se de teste e aplicao de correes de software de segurana
Aquisitivo
Os requisitos de segurana captura
Requisitos formais para a segurana em todos os pedidos de
informaes sobre o produto e as propostas so estabelecidas.
Requisitos do contrato
Requisitos de negcios para a confidencialidade, integridade e
disponibilidade em provedor de servio de informao e tecnologia
contratos de manuteno so estabelecidas.
cumprir com a gesto e os objectivos de regulao para os dados
confidencialidade, integridade e disponibilidade.
Em seguida, a conscientizao necessria para educar as pessoas afectadas
por segurana
poltica de seus papis e responsabilidades. As aces de sensibilizao
deve ser conduzida por todas as reas de negcios que so responsveis
para a manuteno de processos em conformidade com a poltica de
segurana.
Estes no precisam ser sempre aulas de formao formais, mas deve caber no
com a cultura da organizao e gesto do preferido
mtodo de comunicao. Dependendo da organizao,
executivos podem cumprir as suas responsabilidades de conscientizao com
uma variedade de alternativas, incluindo vdeos, memorandos, e-mail
lembretes, cartazes, seminrios e aulas formais de treinamento de segurana.
Uma variedade de abordagens paralelas so mais provveis de serem eficazes.
Consideraes sobre a implementao de medidas de segurana so
raramente limitada a alguns projetos de arquitetura central de segurana ou
principais iniciativas que o gerente de segurana da informao pessoalmente
gerencia. Responsabilidades de implementao de segurana pode variar
de proteger um laptop pessoal de roubo configurao
equipamentos de telecomunicaes. Por esta razo, a maioria dos gestores
e os executivos tero algum aspecto da implementao de segurana
no seu mbito de responsabilidades.
Aqueles com monitoramento responsabilidade deve estabelecer processos
que criar e manter alertas, logs e mtricas sobre a segurana do sistema
configurao e atividade. O gerente de segurana da informao muitas
vezes
Do ponto de escalada para as questes de segurana identificados pelo

monitoramento
processos, bem como o contato principal para incidentes que possam
exigir uma investigao. Monitoramento de segurana deve ser implementado
em um
forma a assegurar a separao de funes. Isto importante porque
a fim de ser eficaz, as funes reguladoras, como a segurana, a auditoria
e o controlo de qualidade no pode estar sob o controlo dessas sendo
monitorizados. Isto tambm verdade para cumprimento e execuo.
Finalmente, o cumprimento incluir qualquer atividade que monitora a
segurana
questes e ajuda a garantir que os recursos facilitar a resoluo
de questes de segurana. Executivos com responsabilidade pela segurana
conformidade devem estabelecer programas que rastreiam tendncias em
mtricas,
e investigar anomalias, bem como as violaes de segurana conhecidas. A
Pgina 176

Seo Dois: Contedo
172
forte programa de conformidade continuar a assegurar que as concluses
destas investigaes so relatados para outros em executivo
gesto de tal maneira que o risco bem compreendida. Estes
relatrios devem, se possvel, ser acompanhado de recomendaes
mudanas necessrias para atingir os nveis de conformidade satisfatrios.
O gerente de segurana da informao, muitas vezes, ser uma PME dentro
este processo ou pode levar o programa.
3.14.3 Resposta a Incidentes
Resposta a incidentes tipicamente um requisito operacional para o
departamento de segurana da informao. A capacidade de resposta a
incidentes
discutido no captulo 4 fornece socorristas para o inevitvel
incidentes de segurana com experincia em praticamente todas as
organizaes. O
objetivo identificar e conter incidentes para prevenir rapidamente
interrupes significativas para atividades comerciais; restaurar afetada
servios e determinar as causas para que as melhorias podem ser
implementadas para prevenir a reincidncia.
3.14.4 revises de segurana e auditorias
Durante o desenvolvimento e gesto de uma informao
programa de segurana, essencial para o gestor a ter uma

abordagem padronizada consistente para apreciar e avaliar
o estado dos vrios aspectos do programa. Usando uma consistente
abordagem ir fornecer informaes tendncia ao longo do tempo e pode
servir
como uma mtrica para melhorias em vrios aspectos das informaes
programa de segurana. Isto pode ser conseguido utilizando uma segurana
processo similar a uma auditoria reviso. Tal como acontece com abordagens
padro para
auditoria, revises de segurana ter:
Um objetivo
Um escopo
Restries
Uma abordagem
Um resultado
Um objectivo reviso uma declarao do que deve ser determinado em
o curso de uma avaliao. Por exemplo, o objectivo de uma reviso pode
ser a de determinar se um aplicativo de Internet banking pode ser
exploradas para ganhar acesso aos sistemas internos.
Objetivo define o que o gerente de segurana da informao quer
sair da reviso. Normalmente, para determinar se ou no uma
determinado ambiente sistemas encontra algum padro de segurana. No
No exemplo acima, o objectivo que a avaliao de um tpico externo
estudo de penetrao, ou seja, para se certificar de que os usurios de servios
web
no pode explorar as vulnerabilidades do sistema para obter acesso aos
sistemas
que hospedam esses servios.
Escopo refere-se ao mapeamento do objectivo para o aspecto que
deve ser revista. Assim, o objetivo crtica dita escopo.
Por exemplo, o objectivo de avaliao no exemplo anterior
dita que o escopo inclui os pontos de acesso Internet da
aplicao e toda a tecnologia subjacente que permite
esse acesso. Se o escopo difcil de descrever, o objetivo reviso
devem ser esclarecidos para garantir que o resultado da reviso ser
bem definida e, assim, acionvel.
Restrio a situao em que um revisor que opera
pode afetar aspectos da realizao da reviso. Ele pode ou no pode
dificultar seu / sua capacidade de revisar todo o escopo e completar
o objetivo de reviso. No exemplo, a restrio pode ser um
proibio de acessar o aplicativo durante o horrio comercial.
Um gerente de segurana da informao deve avaliar seu / sua capacidade de
cumprir o objectivo da reviso no contexto de restries.
Abordagem um conjunto de atividades que abrangem o escopo de uma
forma que
atende ao objetivo da reviso, dadas as restries. L

geralmente so conjuntos de atividades alternativas que podem cobrir o
escopo
e objetiva. A idia identificar o conjunto que dificultada pela
o menor nmero de restries. No exemplo anterior, uma restrio podia
ser que o gerente de segurana da informao no seria dada a
credenciais necessrias para criar uma sesso de web como um usurio
autorizado
da aplicao em anlise. Lembre-se que o objetivo exige que o
revisor para fornecer uma determinao sobre se a aplicao Internet
de acesso pode ser explorada para obter o acesso aos sistemas internos. Para
satisfazer
este objectivo, a reviso deve ter "acesso Internet de aplicao" como
parte do escopo. Um gerente de segurana da informao, nesta situao,
deve identificar a falta de autorizao para acesso a aplicaes como
restrio e encontrar alguma outra maneira de conseguir o mesmo objetivo.
Uma abordagem poderia ser a de configurar o sistema em um ambiente de
teste
caso a autorizao de acesso no um problema.
Resultado avaliar se o objetivo reviso foi cumprido.
uma resposta para a pergunta: "Isto seguro?" Se no possvel
para responder pergunta com qualquer nvel de garantia, a reviso
deve ser declarada incompleta. Isto pode ocorrer no caso
acima, se o acesso do aplicativo necessrio para cobrir o escopo
no foi alcanada.
Anexo 3.14 mostra alguns tipos comuns de opinies e do
objetivos, escopo, restries e abordagem resulta de cada um.
No decurso da realizao de revises de segurana, uma informao
gerente de segurana pode coletar dados no s sobre a poltica e
processo em vrios nveis da organizao, mas tambm dados sobre
deficincias de controle especficos que podem colocar em risco
informaes. Este
os dados podem ser usados para ajudar a hierarquizar os esforos de
desenvolvimento do programa.
Auditorias
Como revises de segurana, as auditorias tm objetivos, escopo, restries,
abordagem e resultados. A prtica profissional da informao
auditoria de sistemas baseada em uma abordagem em que os auditores
identificar, avaliar, testar e avaliar a eficcia dos controlos.
A eficcia avaliada com base em se os controles de atender a uma
determinado conjunto de objetivos de controle, como a conformidade com as
polticas
e padres. Ao realizar uma auditoria, uma equipe de auditoria rene
documentao 1) que mapeia os controles para controlar os objetivos,
2) afirma que eles fizeram para testar os controles e 3) liga os teste
resultados para a sua avaliao final. Esta documentao, chamado "trabalho

papers ", pode ou no ser entregue com o relatrio final.
Pgina 177

Seo Dois: Contedo
173
Quando um programa de segurana da informao estabeleceu polticas
e normas, uma auditoria extremamente til em identificar se
as polticas e normas foram totalmente implementadas.
No entanto, quando um programa de segurana da informao est sob
desenvolvimento, as polticas e as normas ainda no pode ser definido.
Nesta situao, um gerente de segurana da informao pode seleccionar
um padro publicado externamente e envolver uma equipe de auditoria para
determinar a extenso em que a organizao est em conformidade.
Um padro externo ou enquadramento, tais como COBIT ou
ISO / IEC 27001, 27002, fornece uma estrutura para os objectivos de controlo
que permite que uma equipe de auditoria para organizar o seu exame de
controles existentes. Os papis de trabalho de tal auditoria pode, muitas vezes
ser mais til do que o relatrio final. O valor na anlise de
controles existentes e seu mapeamento para um conjunto de normas externas
mais til se o conjunto de normas externas se assemelha
aqueles que o gerente de segurana da informao tem a inteno de colocar
em prtica
como parte do programa de segurana da informao.
Diferentes padres de se concentrar em diferentes aspectos de controles.
Os exemplos a seguir comear pelo mais abrangente
escopo, seguidos por aqueles cujo mbito se estreita em especfico
domnios tecnolgicos:
objetivos de controle do COBIT listas, e para cada objetivo de controle,
uma lista de prticas de controle.
A Norma de Boas Prticas de Segurana da Informao
prticas de gesto de segurana da informao e catlogos de listas
necessidades de recursos e responsabilidades correspondentes.
ISO / IEC 27001 e 27002 listas de controle de prticas no domnio
de segurana de TI, seguido de um apndice listando relacionadas segurana
objetivos de controle e, para cada objetivo de controle, uma lista de
prticas de controle.
Auditores
As auditorias so uma parte essencial de qualquer programa de segurana e
essencial para o gerente de segurana da informao para desenvolver um
boa relao de trabalho com os auditores. Embora no seja

incomum para os auditores para ser visto em uma luz negativa por TI e
equipe de segurana da informao e outras pessoas na organizao, eficaz
gestores de segurana da informao compreender que as auditorias so tanto
uma
processo de garantia essencial e um aliado importante e influente na
alcanar a boa governana de segurana e conformidade. Eles podem
ser fundamental na implementao das normas de segurana, fornecendo
feedback para a gerncia snior atravs de achados de auditoria que pode
servem para influenciar o "tom no topo" e criar de alto nvel
apoio s actividades de segurana. Envolvendo auditores em geral
gerenciamento de segurana pode ser uma ferramenta poderosa para melhorar
um
cultura de segurana da organizao.
O programa de segurana da informao deve integrar-se com interna
e / ou atividades de auditoria externa. Alguns exames so obrigatrios,
como as necessrias para comprovar o cumprimento regulamentar alguns
padro. Outros so voluntrias, como quando um auditor independente
faz uma declarao de conformidade com um padro da indstria.
O gerente de segurana da informao deve coordenar com
coordenadores de auditoria organizacionais para garantir que o tempo e os
recursos
so alocados para atender as atividades de auditoria. Os procedimentos devem
ser
estabelecido com antecedncia para agendamento, a observao de empregado
atividades, e fornecimento de dados de configurao do tcnico
sistemas.
Em alguns casos, uma deficincia identificada por um auditor no pode
ser aplicvel a especfica do gerente de segurana da informao
organizao. Se as preocupaes so identificados durante uma auditoria, o
gerente de segurana da informao deve trabalhar com os auditores
concordar com risco associado, fatores e satisfatria mitigar
Anexo 3.14-Security comentrio Alternativas
Tipo de anlise
Controle de auto-avaliao
Arquitetura de segurana ou
Design Review
Segurana Ponto Verifique
Objetivo
Para determinar se os controlos
implementadas para manter a segurana so
suficiente para faz-lo nos sistemas
ambiente necessrio para efetuar a segurana
Para estabelecer que um sistema
capaz de proteger os dados, e
identificar os parmetros de configurao

Para decidir se um determinado segurana
processo est a trabalhar
Escopo
O ambiente de sistemas de habitao a
dados que uma organizao cobrado
para proteger os documentos sobre o sistema
mecanismos de segurana
Sistema operacional de rede e
diagramas de posicionamento, bem como a
projeto tcnico detalhado
Descrio do processo, a segurana do sistema
parmetros do sistema diretamente
apoiar o processo de
Constrangimento
Desconhecidos ou falta de experincia em
mecanismos de segurana em terceiro
produtos
Tempo
O possvel vis de participantes
que tambm so responsveis pelo sistema de
manuteno
Desconhecidos ou falta de experincia em
mecanismos de segurana em terceiro
produtos
Tempo
Reliance em suposies com respeito
interfaces de sistemas e de suporte
sistemas (por exemplo, feeds de dados de rede, sistema operacional)
Aproximao
Identificar os riscos, exposies e potencial
perpetradores.
Avaliar a capacidade dos controles para proteger,
detectar ou recuperar de exploits.
Comparar os parmetros ajustveis de todos
componentes do sistema a conhecida seguro
configuraes e / ou poltica de segurana.
Rever todos os procedimentos de segurana do sistema
e configuraes.
Identificar esperado comunidade de usurios.
Avaliar se os controles previstos so
no lugar.
Resultado
Lista de deficincias de controle
Lista de problemas para resolver, processo iterativo Sim ou no
Pgina 178

Seo Dois: Contedo
174
objetivos de controle. Com essas informaes em mos, as informaes
gerente de segurana pode criar uma ou mais solues potenciais
que o ajuste da organizao operacional, financeiro e tcnico
ambiente. Qualquer combinao de mitigar ou compensar
controles que reforam os objetivos de controle acordados-on deve
satisfazer o problema.
Os resultados da auditoria fornecer feedback forte e independente para o
comit e / ou gesto de utilizar na avaliao da direco do
eficcia do programa de segurana da informao.
3.14.5 gesto da segurana da tecnologia
O programa de segurana tpico emprega uma srie de tecnologias
que requerem uma gesto eficaz e operao, se o valor ideal
entrega e gesto de recursos deve ser alcanado. Enquanto a mais nova
organizao pode utilizar as tecnologias contemporneas, mais maduro
organizaes so muitas vezes restringidos pela arquitetura legado do
organizao. No entanto, estas restries podem ser minimizados porque
existe geralmente uma grande variedade de alternativas tecnologia
disponvel
abordar um determinado objetivo de controle. Recursos que esto disponveis
dentro
um determinado conjunto de dispositivos legados sero diferentes dependendo
da tcnica
pegada da organizao. No entanto, atravs de dcadas de desenvolvimento
de alternativa controles preventivos, detetive e de recuperao, ferramentas
slidas
e tcnicas para atingir metas de segurana da informao so geralmente
disponvel.
Tecnologia Competncias
Embora a segurana da informao abrange tcnicas, operacionais
e domnios de gesto, uma parcela significativa do real
implementao do programa de segurana da informao susceptvel de
ser tcnico. O gerente de segurana da informao e segurana
departamento pessoal so muitas vezes consideradas a principal fonte de
segurana expertise no assunto tcnico dentro de uma organizao.
importante que as obras do gerente de segurana da informao
com o comit gestor de segurana, administrao e
outras partes interessadas de segurana para estabelecer o escopo ea

abordagem
de entrega das competncias tcnicas em que a segurana da informao
gerente e organizao de segurana so esperados para participar.
Organizaes diferem no que diz respeito ao mbito tcnico da
departamento de segurana da informao. Em um extremo do espectro
a abordagem em que o programa de segurana da informao
opera no nvel corporativo e define principalmente segurana
padres em um alto nvel. Outra abordagem comum
utilizar o pessoal de segurana da informao como as PME tcnicos,
prestao de servios de consultoria para os administradores de sistemas e
outros tecnlogos da informao, que, por sua vez, implementam tcnico
controles e sistemas de segurana. Na outra extremidade do espectro
so organizaes em que o grupo de segurana da informao assume
titularidade de partes especficas de infra-estrutura, como acesso
sistemas de controle, sistemas de deteco e monitoramento de intruso e
conformidade e vulnerabilidade ferramentas de automao de avaliao.
Para o indivduo gerente de segurana da informao, a tecnologia
habilidades que so necessrias variar de acordo com sua / seu papel
operacional,
a estrutura organizacional e escopo tcnico. Mais
gestores de segurana da informao tcnica com foco, por exemplo, aqueles
em
funes de administrao do sistema, obviamente ter mais aprofundada
formao de conhecimento e deve fazer tcnico e educativo
as devidas providncias. Gestores de segurana da informao
operando com um nvel mais elevado, por exemplo, como um CISO, pode no
necessitar
hands-on habilidades tcnicas, mas devem estar bem informados sobre o
tecnologias de informao implementados pela sua organizao de
perspectivas de arquitetura e fluxo de dados. Independentemente de operao
nvel, todos os gestores de sistemas de informao deve ter um profundo
compreenso da arquitetura de segurana, controle de aplicao
princpios e processos e de segurana comumente implementadas
mecanismos. Esse entendimento deve incluir os pontos fortes,
limitaes, oportunidades e riscos de controles de segurana comuns
alm das implicaes financeiras e operacionais
de implantao.
importante para os gestores de segurana da informao a ter em
considerao todos os nveis de tecnologia como eles planejam para as
habilidades
desenvolvimento, tanto pessoal como para a informao geral
programa de segurana. Enquanto permetro tradicional, rede e
segurana de sistemas ainda so cruciais para uma forte segurana tcnica
gerentes de segurana de meio ambiente, de informao so cada vez mais
Espera-se que tratar de questes de segurana do aplicativo (por exemplo,

codificao
prticas, mecanismos de segurana de aplicativos funcionais, dados
mecanismos de controle de acesso), segurana de banco de dados (por
exemplo, acesso a dados
mtodos de controle, integrao de aplicaes, proteo de contedo) e,
cada vez mais, os elementos de fsica, operacional e ambiental
problemas de segurana. Sistemas altamente integrados e fortemente
acoplados,
tais como planejamento de recursos empresariais (ERP) implementaes,
pode criar um desafio adicional, todo o sistema tem de ser
considerada a partir de uma perspectiva de segurana por causa do
compromisso
um elemento pode atrapalhar as operaes de toda a empresa. Ele
importante que o gerente de segurana da informao e compreender
plano para o potencial "efeito domin" de risco em cascata.
3.14.6 due diligence
Due diligence , essencialmente, um termo relacionado com a noo de
"Padro de cuidado devido." a idia de que h passos que
deve ser tomada por uma pessoa razovel de competncia semelhante
em circunstncias semelhantes. No caso de um segurana da informao
gerente, isso significa garantir que os componentes bsicos de
um programa de segurana razovel esto no lugar. Algumas delas
componentes podem incluir:
apoio gesto snior
polticas abrangentes, normas e procedimentos
educao de segurana adequadas, treinamento e conscientizao
em toda a organizao
avaliaes de risco peridicas
processos de backup e recuperao eficazes
Implementao de controles de segurana adequados
O acompanhamento eficaz e mtricas do programa de segurana
esforos eficazes de cumprimento
planos de continuidade de negcios e recuperao de desastres testados
tambm importante ter em considerao que os terceiros
a organizao usa e depende pode apresentar risco informao
recursos. Due diligence em relao a colocao de adequada
linguagem de segurana em contratos e acordos com terceiros,
bem como subseqente desempenho terceiro contra a segurana
requisitos, tambm deve ter lugar. Informaes de uma organizao
deve ser protegida, tal como especificado por suas polticas,
independentemente de
a sua localizao.
Pgina 179

Seo Dois: Contedo
175
Revises peridicas da infra-estrutura, de preferncia por um
independente terceiro conhecedor, pode ser um razovel
exigncia bem. A infra-estrutura um componente crtico
que a organizao utiliza para atingir seus objetivos de negcios. Risco
devem ser identificados e razoavelmente abordadas.
Gesto e Controle do acesso
Recursos de Informao
O gerente de segurana da informao deve estar ciente dos vrios
normas de gesto e controle de acesso informao
recursos. Tambm deve ser considerado que, de acordo com o
setor da indstria da organizao, rgos reguladores especficos podem
definiu normas que devem ser abordadas.
Cada vez mais, a gesto da segurana da informao definido pela
precisa para satisfazer os requisitos regulamentares. Embora estes reguladora
requisitos estabelecer medidas de proteco especficas que precisam
de estar no lugar, eles no so abrangentes na sua abordagem.
Orientaes mais amplamente definido para o programa de segurana da
informao
desenvolvimento e administrao fornecido por vrias normas
corpos e por organizaes no-lucrativas, cujos membros so
envolvidos com a governana, garantia ou proteo das informaes.
A lista a seguir, enquanto no pretende ser completa, identifica
algumas das organizaes mais amplamente reconhecidas que fornecem
materiais de referncia de interesse para os gestores de segurana da
informao:
Instituto Americano de Contadores Pblicos Certificados (AICPA)
Canadian Institute of Chartered Accountants (CICA)
O Committee of Sponsoring Organizations of the Treadway
Comisso (COSO)
Escritrio Federal Alemo para Segurana da Informao (BSI)
Organizao Internacional para Padronizao (ISO)
ISACA
Instituto de Governana de TI
National Fire Protection Association (NFPA)
Organizao para a Cooperao Econmica e Desenvolvimento
(OCDE)
Comisso dos EUA Federal Energy Regulatory (FERC)
Exame Conselho Federal dos EUA Instituio Financeira (FFIEC)

Instituto Nacional dos EUA de Padres e Tecnologia (NIST)
Escritrio do Controlador da Moeda (OCC) EUA
Fontes de relatrio Vulnerabilidade
Hoje, as ameaas aos sistemas de informao so globais. Requisitos
para o tempo rpido ao mercado e outras questes resultaram em uma
variedade de vulnerabilidades, tanto em hardware e software. Estes
vulnerabilidades esto constantemente a ser descoberto e relatado por um
variedade de organizaes. uma parte importante de qualquer eficaz
programa de segurana para manter o monitoramento dirio de entidades
relevantes
que publica esta informao, que inclui CERT, MITRE de
Vulnerabilidades e Exposies Comuns banco de dados, Security Focus '
Lista de discusso BUGTRAQ, SANS Institute, os OEMs e numerosos
fornecedores de software. Ter a mais atual possvel vulnerabilidade
informao torna possvel para a segurana da informao
gerente para responder prontamente com mitigao apropriadas,
compensao ou eliminao de ao para tratar recm-descoberto
software e sistema falhas.
3.14.7 vigilncia do cumprimento e
aplicao
Processos de aplicao da conformidade deve ser considerada durante
desenvolvimento de programas para garantir a eficcia e posterior
capacidade de gerenciamento, uma vez que o programa
implementado. Observncia
aplicao refere-se a qualquer atividade dentro da informao
programa de segurana que se destina a assegurar o cumprimento da
polticas de segurana da organizao, normas e procedimentos.
Compliance, especialmente com os controles processuais, pode representar
um
dos maiores desafios para a gesto de um programa de segurana, e
Deve ser dada ateno especial ao projetar os controles durante
desenvolvimento do programa. Facilidade de monitoramento e fiscalizao
ser
muitas vezes, ser os fatores mais importantes na seleo de
controle. Complexo
processos de controle que no so facilmente aplicveis, ou que so
difcil monitorar a conformidade so geralmente de pouco valor
e pode representar um risco considervel se.
Procedimentos de execuo devem ser projetados para assumir que
atividades de controle esto no local em apoio aos objetivos de controle.
Estes procedimentos so uma camada adicional de controle que verifica se
os procedimentos estabelecidos pela administrao so realmente seguidas.
Por exemplo, em um processo de redefinio de senha, uma aplicao
processo pode consistir de um supervisor ouvir aleatoriamente
chamadas de ajuda selecionado mesa e listando qualquer equipe de help desk

que
deixar de pedir a um usurio para um cdigo de identificao de segurana
antes de
redefinir as senhas. O procedimento de execuo seria
usar a lista para o primeiro, advertir e, em seguida, a disciplina pessoal de help
desk que
no seguiu o procedimento de redefinio de senha.
Cumprimento da Poltica
Polticas formam a base de tudo responsabilidade com relao segurana
responsabilidades em toda a organizao. As polticas devem ser
abrangente o suficiente para abranger todas as situaes em que a informao
tratada, mas suficientemente flexvel para permitir que diferentes processos
e
procedimentos para evoluir para diferentes tecnologias e ainda estar em
cumprimento. Exceto em pequenas organizaes, uma informao
gerente de segurana no ter controle direto sobre as atividades SDLC
de todos os sistemas de informao na organizao. Por conseguinte,
necessrio designar funes de segurana formais que estabelecem que
chefe de departamento responsvel por colocar os processos no lugar que
manter o cumprimento da poltica de segurana e atender a adequada
padres para um determinado conjunto de sistemas de informao.
da responsabilidade do gestor de segurana da informao para
assegurar que, no processo de atribuio, no h "rfo"
sistemas ou sistemas sem donos poltica de condicionalidade.
tambm de responsabilidade do gerente de segurana da informao para
supervisionar e garantir que os processos de conformidade de polticas
esto devidamente projetado. Um gerente de segurana da informao pode
realizar essa fiscalizao por meio de uma combinao de reviso de
segurana,
mtricas de coleta e elaborao de relatrios de processos.
Informaes literatura de gesto de segurana, muitas vezes refere-se a uma
poltica
processo de exceo. Este um mtodo pelo qual as unidades de negcios ou
departamentos pode rever poltica e decidir no segui-lo com base
em um de vrios fatores. Podem existir vrias justificaes para a poltica
excees. Ele pode ser baseado em uma deciso de risco / recompensa onde
o benefcio de no seguir a poltica de justificar o risco. Pode
ser financeiramente ou tecnicamente invivel para cumprir especfico
Pgina 180

Seo Dois: Contedo
176
polticas ou normas. Tais compromissos devem ser considerados no
quando possvel processo de desenvolvimento de polticas para minimizar a
necessidade
para excees subseqentes. Como parte do desenvolvimento do programa,
um processo de renncia formal devem ser implementadas para gerenciar a
ciclo de vida dessas excees para garantir que eles so periodicamente
revistos e, quando possvel fechado.
Conformidade com as Normas
Normas fornecer os limites de opes de sistemas, processos,
e aes que ainda vai cumprir com a poltica. As normas devem
ser concebido para assegurar que todos os sistemas do mesmo tipo no interior
da
mesmo domnio de segurana so configurados e operados no mesmo
forma com base na criticidade e sensibilidade dos recursos. Estes vontade
permitir que os procedimentos de administrao de plataforma a ser
desenvolvida utilizando
documentos de padres como referncia para garantir que o cumprimento da
poltica
mantida. Normas tambm oferecem economia de escala, o
mapeamento de configurao para a poltica precisa ser feito apenas uma vez
para
cada domnio de segurana e tecnologia e engenharia de processos
esforos so reutilizados para sistemas do mesmo tipo.
Tanto quanto possvel, a conformidade com as normas devem ser
automatizado para garantir que as configuraes do sistema no, atravs de
atividade intencional ou no, desviar-se da poltica
cumprimento. No entanto, como a poltica deve indicar apenas a gesto
inteno, direo e expectativas para permitir flexibilidade para diferentes
padres para desenvolver e fornecer muitas opes para cumprir
poltica, as excees s normas devem ser sempre revistos para
ver se eles se desviam da inteno da poltica. Tambm pode ser que um
situao de negcios justifica um desvio dos padres existentes, mas,
no entanto, pode ser determinada a cair dentro da inteno da poltica.
Resoluo de problemas de no conformidade
Problemas de no conformidade geralmente resultam em risco organizao,
por isso importante para o desenvolvimento de processos especficos para
lidar com estes
problemas de uma forma eficaz e atempada. Dependendo de quo
significativa o risco , vrias abordagens podem ser tomadas para endereo
lo. Se um evento de descumprimento particular um risco grave, em seguida,
resoluo precisa ocorrer rapidamente. Os benefcios gerente de segurana
a partir de um mtodo de determinao da criticalidade e, em seguida, com

um risco
processo de resposta baseado.
Tipicamente, um calendrio desenvolvido para cada documento
item de descumprimento e responsabilidade para lidar com isso
atribudo e registrado. O acompanhamento regular importante para garantir
que a questo descumprimento e outras variaes so satisfatoriamente
abordadas de uma forma atempada. Problemas de no conformidade e outros
variaes podem ser identificadas atravs de um nmero de diferentes
mecanismos incluindo:
monitoramento normal
Os relatrios de auditoria
As revises de segurana
scans de vulnerabilidade
trabalho de due diligence
Compliance Enforcement
Aplicao Compliance um conjunto contnuo de atividades que
esforar-se para assegurar o cumprimento da segurana da informao e
outras normas. As auditorias so um instantneo de cumprimento no tempo;
Sano da conformidade um processo contnuo que ajuda a reduzir
risco, bem como garantir a pareceres de auditoria positivos.
Responsabilidades de aplicao da Compliance so geralmente
compartilhados
entre as unidades organizacionais, e os resultados so comumente
compartilhado com a gerncia executiva e auditoria do conselho ou
comits de conformidade. Os servios de auditoria internos e jurdicos
muitas vezes tm a responsabilidade pela avaliao das estratgias
empresariais
e operaes, respectivamente. A unidade de segurana da informao
muitas vezes responsvel pela implementao avaliao independente
normas tcnicas, de preferncia, utilizando ferramentas automatizadas. Na
maior
organizaes e indstrias fortemente regulamentadas, uma organizao
independente
organizao cumprimento pode ser estabelecida para lidar com e
coordenar essas atividades.
O prprio programa de segurana da informao tambm uma meta de
avaliao da conformidade e desempenho. A segurana da informao
gestor deve estar preparado para trabalhar em estreita colaborao com o
cumprimento
e / ou o pessoal de auditoria interna para demonstrar a conformidade de
o programa de segurana da informao com as normas pertinentes e
regulamentos. Tal como acontece com uma auditoria formal, as questes
identificadas devem
ser definido em termos de risco, fatores atenuantes e aceitvel
objetivos de controle. Dependendo da magnitude do problema,

o gerente de segurana da informao podem responder preocupao
independentemente ou pode colaborar com a gerncia executiva
e / ou do comit de direco de segurana para afetar uma soluo.
3.14.8 Avaliao de risco e impacto
A responsabilidade operacional principal para a segurana da informao
gerente eo propsito fundamental do programa
gerenciar os riscos a nveis aceitveis. O objectivo minimizar
interrupes nas atividades organizacionais equilibrado contra um
custo aceitvel. Uma srie de tarefas em curso so obrigados a
alcanar este objectivo. Enquanto o tpico abordado em profundidade no
captulo 2, a seo a seguir resume as actividades em curso
necessrio em um programa tpico de segurana da informao.
Avaliao de Vulnerabilidade
Ambiente de sistemas de informao da organizao deve ser
constantemente monitorados para o desenvolvimento de vulnerabilidades que
poderia ameaar a confidencialidade, integridade ou disponibilidade. Alm
para a busca de vulnerabilidades conhecidas, esse processo tambm deve
detectar mudanas inesperadas nos sistemas tcnicos. Este processo
melhor implementadas usando, rede ou ferramentas baseados em host
automatizados
que entregar relatrios concisos para a gesto de segurana da informao,
incluindo alertas imediatos se vulnerabilidades graves so observadas.
Alm regularmente programada digitalizao, a informao
gestor de segurana deve garantir que as alteraes previstas para existente
ambientes tcnicos (por exemplo, instalao de um novo servio, os anfitries
esto sendo realocados, atualizaes de firewall) no inadvertidamente criar
vulnerabilidades arquitetnicos. O erro humano e inesperado do sistema
comportamentos podem fazer com que as polticas de aplicao de segurana
tcnica
mecanismos de controle para mudar, criando oportunidades para explorar
eo impacto dos sistemas de informao da organizao.
Avaliao da Ameaa
Ameaas tcnicas e comportamentais para uma organizao evoluir como
resultado de vrios fatores internos e externos. Implementao
de novas tecnologias, concedendo mais ampla rede e aplicao
acesso a parceiros e clientes, ea crescente
capacidades dos atacantes garante reavaliao peridica da
cenrio de ameaas que uma organizao enfrenta. Esta atividade
Pgina 181

Seo Dois: Contedo

177
particularmente importante para as organizaes muito pequenas ou
de recursos com restries para adotar uma avaliao contnua
abordagem gesto de ameaa.
O gerente de segurana da informao deve realizar esta anlise
pelo menos anualmente, avaliando mudanas na tcnica e
ambientes operacionais da organizao, em especial quando
entidades externas tm acesso a recursos organizacionais.
Os fatores internos, tais como novas unidades de negcios, novas ou
adaptadas
tecnologias, as alteraes aos produtos e servios, e mudanas na
papis e responsabilidades todos representam reas onde novas ameaas
podem surgir.
medida que novas ameaas so identificadas e priorizadas em termos de
impacto,
o gerente de segurana da informao deve avaliar a capacidade de
controles existentes para mitigar riscos associados a novas ameaas. Em
Nalguns casos, a arquitectura de segurana tcnica pode precisar de ser
modificado, uma contramedida especficos de ameaa pode ser implantado, ou
um mecanismo de compensao ou processo pode ser implementado at
controles atenuantes so desenvolvidas.
Existem inmeras ameaas que podem afetar o programa de segurana
esforos e objectivos de desenvolvimento. A gama de possveis ameaas
devem ser avaliados para determinar se eles so viveis, a probabilidade
eles vo se materializar, a sua magnitude potencial eo potencial
impacto nos sistemas ou operaes, para o pessoal ou instalaes.
Risco e Avaliao de Impacto no Negcio
A avaliao de riscos um processo utilizado para identificar e avaliar o risco
e seu potencial impacto sobre uma organizao em termos quantitativos ou
termos qualitativos. Uma anlise de impacto nos negcios (BIA) um
exerccio
que determina o impacto de perda de disponibilidade de qualquer
recursos de uma organizao, estabelece a escalada de que a perda de
ao longo do tempo, identifica os recursos mnimos necessrios para se
recuperar,
e prioriza a recuperao de processos e sistemas de apoio.
Enquanto a BIA muitas vezes visto no contexto de negcios
continuidade e recuperao de desastres, seja impacto potencial
determinada por este processo ou por outro processo no importante.
Impacto a linha de fundo de risco ea gama de gravidade em termos
da organizao deve ser determinada para fornecer as informaes
necessrio e para orientar as atividades de gerenciamento de
risco. Obviamente, mesmo
alto risco com pouco ou nenhum impacto no motivo de preocupao.

No desenvolvimento KGIs necessrias para alcanar os objetivos de controle,
um gerente de segurana da informao deve fazer escolhas sobre
o impacto que a obteno de objetivos de controle ter sobre
a confidencialidade, integridade e disponibilidade da informao
recursos. No entanto, mesmo que um processo de gesto de risco tem sido
desenvolvido conforme descrito no Captulo 2, os benefcios de controle de
mapeamento
e impacto sobre os objetivos de negcio-chave para a segurana no
necessariamente
um processo simples. A relao de desenvolvimento e
implementao de controles de segurana para conseguir organizacional
objetivos normalmente requerem um caso de negcio bem desenvolvido (ver
seco 3.13.6) para alcanar o nvel de buy-in necessrio para alcanar
sucesso.
O caso de negcios deve abordar o fato de que, independentemente do nvel
de controle, o risco residual ser sempre, e deve abordar
o facto de que o risco pode agregar-se em nveis que so inaceitveis.
Em outras palavras, mesmo com controles eficazes aparentemente gesto
arriscar a nveis aceitveis, o efeito global de um nmero de tipos
risco de aceitvel no pode ser aceitvel e pode representar um srio
ameaa para a organizao.
Numerosos estudos mostram que os desastres no so normalmente uma nica
ocorrncia calamitosa, mas sim o resultado de uma srie de pequenas
incidentes e erros que contribuem coletivamente para um grande
evento. A lio que, enquanto, individualmente, os tipos de riscos residuais
pode ser baixo, coletivamente, eles podem ser desastrosos.
Como as ameaas e vulnerabilidades surgem, a segurana da informao
gerente deve tomar medidas para analisar e comunicar o impacto
sobre a postura de risco da organizao. Este processo essencial para
garantindo que as partes interessadas de segurana esto cientes do potencial
de negcios
impacto e pode tomar medidas para reduzir os riscos em conformidade. Este
Todo o processo deve ser concludo por ano, ou a informao
gerente de segurana pode optar por ter uma abordagem incremental,
analisando pores da empresa mensal ou trimestral.
O gerente de segurana da informao tambm deve reconhecer que
os valores dos ativos e caractersticas de risco tambm pode mudar, exigindo
reanlise da postura de risco. Por exemplo, uma empresa pode crescer
cada vez mais em um aplicativo que foi dependente de receita
inicialmente no considerado crtico para a empresa. Valor patrimonial
pode aumentar ou diminuir ao longo do tempo em termos de verdadeiro
monetria
valor ou de valor estratgico para a organizao. Alm disso, o risco
associado com um ativo pode crescer. Um pequeno banco de dados pode,

inicialmente,
contm apenas algumas dezenas de registros de informaes pessoais, o
mesmo
banco de dados de cinco anos depois pode conter 10.000, representando um
muito maior impacto se comprometido.
Resultados da avaliao de risco peridicas devem ser fornecidas ao
comit de direco e / ou a gerncia snior para uso na orientao
prioridades de segurana da informao e atividades. As informaes
gestor de segurana deve gerenciar este processo e orientar o
comit atravs de tomada de decises adequadas com base no risco
resultados da anlise. Mais detalhes sobre a avaliao de risco esto no
captulo 2,
seo 2.10 Avaliao de Risco.
Avaliao Dependncia de recursos
Se o recurso ou outras restries no permitem abrangente
avaliaes de impacto de negcios, uma avaliao de dependncia de
negcios
pode ser uma alternativa menos onerosa para servir de base para a atribuio
de
recursos disponveis com base na criticidade da funo.
Uma avaliao de dependncia de negcios analisa os recursos
que so usados para realizar negcios, ou seja, servidores, bancos de dados etc
Dependendo da criticidade da funo de negcios, os ativos
e os recursos necessrios para esta funo so identificadas, proporcionando
um
base para priorizar os esforos de proteo. Em outras palavras, um negcio
avaliao de dependncia se baseia na determinao dos diversos
aplicaes e infra-estrutura utilizada por uma empresa para o dia-a-dia
operaes. Enquanto ele tambm deve identificar as interdependncias e
outros recursos necessrios para desempenhar as funes exigidas, ele faz
no captar o impacto financeiro e operacional do potencial
rupturas e no substitui uma BIA.
3.14.9 terceirizao e prestadores de servios
Os dois tipos de terceirizao que um segurana da informao
gerente pode ser obrigado a lidar com incluem terceiros
prestadores de servios de segurana e terceirizados de TI ou de negcios
Pgina 182

Seo Dois: Contedo
178

processos que devem ser integrados na informao global
programa de segurana. A maioria dos requisitos de segurana so
semelhantes,
dependendo criticidade e sensibilidade dos ativos e extenso de
servios envolvidos, mas a posse ser diferente, ou seja, o
gerente de segurana da informao ser normalmente o processo
proprietrio para servios de segurana terceirizados, enquanto outros
terceirizados
servios so tipicamente de responsabilidade do proprietrio do processo. O
risco representado por terceiros ligados organizao interna da
rede pode ser substancial e deve ser cuidadosamente considerada.
Economia so o principal condutor da terceirizao. Como resultado,
envolvimento precoce pelo gerente de segurana da informao
essencial para garantir que aqueles que fazem as decises no indevidamente
comprometer a segurana por causa do custo. Uma variedade de risco como
resultado de externalizao deve ser considerado. Alguns dos comum
problemas experimentados incluem:
Perda de habilidades essenciais
Falta de visibilidade sobre os processos de segurana
Novo acesso e outro risco de controle
Viabilidade do fornecedor de terceiros
Complexidade de gerenciamento de incidentes
As diferenas culturais e ticos
custos imprevistos e inadequaes de servios
A adequao dos controles do fornecedor precisa ser auditada e
monitorada atravs da vida do contrato para garantir que a segurana
medidas no so marginalizados ao longo do tempo como resultado de
presses de custos.
Isso pode ser feito atravs de uma auditoria independente ou visitas ao local
no
instalao de terceiros para garantir que os controles apropriados esto no
lugar.
A existncia e aplicao das leis de privacidade para proteger um
Dados da empresa tambm precisa ser considerado. Isto particularmente
verdadeiro como indivduos em diferentes culturas pode tratar informaes
de forma diferente (ou seja, o que a sua empresa considera as informaes
sensveis
no podem ser considerados sensveis em outro pas).
Enquanto os controles tcnicos para a componente de TI de terceirizados
processos podem parecer bvias, arranjos que lidam com
processos de negcios exigem que a formao, sensibilizao, manual
controles e monitoramento de ser postas em prtica para garantir que os
funcionrios
em instalaes de terceiros esto a tratar os processos e fsica e
dados eletrnicos aos padres aceitveis.

Provedores de segurana de terceiros so uma estratgia vivel que o
gerente de segurana da informao pode ser usada para ajudar na concepo
e
funcionamento do programa de segurana da informao da organizao ou
para
prestao de outros servios de TI. Uma das principais preocupaes para a
segurana
na medida em que o provedor de terceiros pode e vai atender a
polticas e normas de segurana da organizao em um curso,
base verificvel. Uma vez que um estudo de 2006 por PGP-Vontu mostra que
cerca de um quinto de todas as violaes de segurana so causados por
fatores externos
prestadores de servios, esta uma questo crtica a considerar.
A maturidade do programa de segurana de um fornecedor e sua garantia
de conformidade com a segurana da organizao contratante
polticas, deve ser no topo da lista de fatores de deciso quando
a seleo de um fornecedor. Este processo de proposta e avaliao
muitas vezes usado quando se avalia se deve usar uma organizao de
diviso autnoma ou controlada para certos servios de segurana.
As questes que requerem ateno so amplas e devem ser enumerados
com base no escopo, tipo e risco associado iniciativa.
Alguns problemas comuns a serem considerados incluem:
Isolamento de acesso parte externa aos recursos
Integridade e autenticidade dos dados e transaes
Proteo contra cdigos maliciosos ou de contedo
acordos e procedimentos de privacidade / confidencialidade
Normas de segurana para sistemas de transaes
confidencialidade de transmisso de dados
Identidade e acesso de gerenciamento de terceiros
Incidentes procedimentos de contato e de escalao
Terceirizao de Contratos
O propsito fundamental de contratos para assegurar que o
partes do contrato esto conscientes das suas responsabilidades e
direitos dentro da relao e fornecer os meios para
divergncias de endereo quando o contrato est em vigor. Dentro
Nesse quadro, h certas disposies de segurana e
proteo de informaes com as quais a segurana da informao
gerente deve ser familiar.
A proviso de segurana mais comum trata de confidencialidade
ou sigilo. Cada uma das partes normalmente concorda que qualquer
informaes confidenciais ou sensveis que recebe como parte do
acordo, ou sobre a outra parte, sero mantidas em sigilo
atravs de medidas adequadas. Isto pode tambm incluir o
exigncia de devolver ou destruir qualquer propriedade ou confidenciais
informaes sobre a resciso do contrato ou depois de um determinado

perodo de tempo. O gerente de segurana da informao ter de
determinar o nvel especfico de destruio que ser necessrio
(Por exemplo, documento de triturao, de disco e de fita de desmagnetizao,
etc.)
O contrato tambm pode estipular que uma ou ambas as partes devem
manter os controles de segurana adequadas para garantir que os sistemas de
e informaes utilizadas no mbito do acordo so protegidos por
meios adequados. O contrato deve definir explicitamente o que
entende por "apropriado" e os requisitos para demonstrar
a eficcia dessas protees. Se atravs do
produo de um relatrio de auditoria atual de terceiros (por exemplo, um
SAS 70) ou
conformidade com uma estrutura de segurana padro da indstria (tais
como ISO / IEC 27001, 27002 ou COBIT), os padres pelos quais
o programa ser julgado deve ser definido no contrato.
Alm disso, se o produto ou servio contratado inclui a rede
conectividade entre o comprador eo vendedor, o contrato
deve abordar a responsabilidade pela segurana da conexo.
Especificaes como para o nvel de segurana (por exemplo, esperar,
firewalls
deteco de intruso / preveno, monitoramento, etc) ou especfico
requisitos tcnicos devem ser abordados tambm.
Um contrato com um prestador de servio que tenha sido determinado
(Atravs de uma avaliao de risco), a ser alm de um risco predeterminado
limiar deve sempre conter uma disposio da direita para a auditoria. Este
normalmente seria para qualquer terceiro que acessa, lojas ou
processa todas as informaes crticas de negcios sensvel ou no,
que presta servios de misso crtica, ou que se conecta ao
infra-estrutura de rede da organizao contratante. O direitoclusula de auditoria deve permitir que o cliente, aps a devida notificao,
o direito de realizar uma auditoria aprofundada de segurana do terceiro
programa e processos a fim de verificar a eficcia de todos os associados
controlos. Se esta disposio est includa no contrato, o
parmetros para uma auditoria, tais como critrios de conformidade, a
notificao,
Pgina 183

Seo Dois: Contedo
179
limitaes de escopo, freqncia e responsabilidade por custos incorridos,

deve ser explcito.
No caso de uma violao de segurana acontece em qualquer uma das partes,
a
contrato deve especificar as funes de cada uma das partes vai jogar no
investigao e processo de remediao. Questes como a que
partido conduzir a investigao, os procedimentos de notificao e
responsabilidades (incluindo a aplicao da lei ou regulamentao
notificaes) e tempo devem ser abordados. Durante um ativo
incidente, a presso alta, os nimos podem Flair, e justia e
equidade so muito mais difceis de encontrar, por isso, abordar estas questes
no contrato mais fcil e pode ser feito muito mais equitativamente.
Finalmente, o contrato deve conter clusulas de indenizao que garantam
compensao por impactos causados pelo prestador de servio.
O contrato entre as partes um elemento fundamental de estabelecer
um nvel adequado de controle da informao organizao
instalaes de processamento (invlida). Dependendo dos processos de
negcios
e as necessidades operacionais da organizao que requer os servios de
um fornecedor de outsourcing de terceiros, os contratos podem ter de lidar
com
uma srie de questes de segurana complexas. Os pontos que devem ser
coberto no contrato (da perspectiva das informaes
gestor de segurana) podem incluir, mas no esto limitados a:
especificao detalhada do servio terceirizado
requisitos de segurana especficos
Restries sobre a cpia das informaes e obteno de ativos
Proibir o acesso sem autorizao explcita e
manter uma lista de indivduos que tm acesso
direito de auditar e / ou inspecionar
clusulas de indenizao para mitigar impactos causados pela
provedor de servios
Requisitos para a resposta a incidentes e BCPs
Nvel de qualidade do servio
Integridade e confidencialidade dos ativos da empresa
acordos de confidencialidade a ser assinados pelos funcionrios / agentes
de terceiros
Proteo da propriedade intelectual
A posse de informaes
Requerimento de que os requisitos legais e regulamentares aplicveis
so atendidas
Certifique-se de devoluo e / ou destruio de informao / ativos no final
do contrato
Durao at que a confidencialidade deve ser mantida
Os funcionrios ou agentes do terceiro obrigados a cumprir
polticas de segurana da organizao

processos de escalonamento
Terceiros Acesso
Acesso de terceiros s informaes de segurana gerente de
instalaes de processamento da organizao em qualquer circunstncia
deve ser controlada com base na avaliao de risco e deve ser
claramente definido em um acordo de nvel de servio (SLA). Acesso
deve ser concedida com base nos princpios de "menor privilgio",
"Necessidade de saber" e "necessidade de tomar-do." importante ter em
importa que terceiros podem ter um conjunto diferente de tica e
cultura de negcios que deve ser considerado em termos de risco.
Proporcionar o acesso a terceiros deve basear-se claramente definida
mtodos de acesso, direitos de acesso e nvel de funcionalidade, e
acesso deve exigir a aprovao do proprietrio do ativo.
Uso de acesso deve ser totalmente registrado e revisado pelo segurana
gerente em uma base regular. A freqncia de reviso deve ser
decidida com base em fatores como:
A criticidade da informao para que os direitos de acesso so dadas
Criticidade de privilgios dada
Perodo de contrato
Anomalias notado deve ser imediatamente comunicado ao ativo
proprietrio e escalaes feitas sempre que necessrio. Os direitos de acesso
dada a terceiros deve ser removido imediatamente aps a
contrato expira.
Redes e da informao de acesso no deve ser concedido a um terceiro
festa at que o contrato foi assinado. O contrato deve
definir os termos para o acesso, controlar e fazer exigncias
subsdios para a garantia de que as salvaguardas apropriadas esto em vigor
e manter-se durante a durao do contrato.
3.14.10 A computao em nuvem
A computao em nuvem a evoluo de um conceito que remonta
1960, quando a noo de "utility computing" foi sugerida pela primeira vez.
A idia foi baseada na noo de uma concessionria de energia eltrica ou
telefone
provedor de servios. As dcadas intervenientes forneceram o
base tecnolgica para tornar o conceito prtico atravs do aumento da
largura de banda e perto de disponibilidade universal Internet.
Enquanto as ofertas atuais variam consideravelmente em escopo e
capacidades,
h um crescente consenso sobre a definio. The National EUA
Instituto de Cincia e Tecnologia (NIST) define cloud
computao como "um modelo conveniente para permitir que, a pedido da
rede
acesso a um pool compartilhado de recursos computacionais configurveis
(por exemplo,
redes, servidores, armazenamento, aplicaes e servios) que podem ser

rapidamente provisionados e liberados com um esforo de gerenciamento
mnimo ou
interao prestador de servios ".
A caracterstica definidora da computao em nuvem que o processamento
e os dados esto em algum lugar na "nuvem", em oposio a estar em um
local especfico conhecido. A computao em nuvem pode ser fornecido
como
ou hospedagem pblico para uma srie de entidades independentes ou privada
hospedagem, no caso de grandes organizaes que querem um maior controle
sobre o meio ambiente. O tema coberto extensivamente na ISACA
papel branco "Cloud Computing: Benefcios para o negcio com a segurana,
Governana e garantia de perspectivas "datado 28 de outubro de 2009
( www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/
Pages/Cloud-Computing-business-benefits-With-SecurityGovernana e-Assurance-Perspective.aspx ).
Como acontece com qualquer tecnologia emergente, a computao em nuvem
oferece a
possibilidade de alta recompensa em termos de conteno de custos e
caractersticas como agilidade e velocidade de provisionamento. No entanto,
como um
Iniciativa "novo", mas tambm pode trazer o potencial de alto risco. Nuvem
computao apresenta um nvel de abstrao entre o fsico
infra-estrutura e do proprietrio da informao a ser armazenada e
processado. Tradicionalmente, o proprietrio dos dados teve direta ou indireta
controle do ambiente fsico que afecte os seus / suas dados. No
nuvem, isso no mais o caso. Devido a essa abstrao, no
j uma demanda generalizada para uma maior transparncia e
garantia de uma abordagem robusta da computao em nuvem do fornecedor
ambiente de segurana e controle.
Pgina 184

Seo Dois: Contedo
180
Uma vez que tenha sido determinado que os servios em nuvem so uma
plausvel
soluo para uma empresa, importante identificar o negcio
objetivos e riscos que acompanham a nuvem. Isso ir ajudempresas em determinar que tipos de dados devem ser confiveis para
a nuvem, bem como quais aplicativos e servios pode entregar
o maior benefcio.
Vantagens
Os defensores da computao em nuvem citam uma srie de benefcios,
incluindo:
Custo -Computing torna-se um custo operacional em vez de uma
despesas de capital uma vez que o provedor de nuvem tipicamente fornece
a infra-estrutura, conforme necessrio. Alm disso, muito menos em casa
experincia necessria reduzindo as necessidades de pessoal tcnico.
Centralizao de recursos de computao com os resultados do provedor em
economias de escala que reduzem os custos tambm.
Escalabilidade -Fornece provisionamento sob demanda de recursos
reduo ou eliminao de requisitos para planejamento de capacidade.
Confiabilidade provedores de computao em nuvem-Large ter redundantes
sites que podem abordar mais a continuidade dos negcios e do desastre
problemas de recuperao.
Desempenho Melhor desempenho, como resultado de provedor
monitoramento contnuo e consistente.
Agilidade -Maior agilidade como resultado da rpida re-provisionamento de
recursos de infra-estrutura, conforme necessrio.
O modelo de nuvem pode ser pensado como sendo composto por trs
modelos de servio ( exposio 3,15 ) e quatro modelos de implementao
( expor 3.16 ). Riscos e benefcios globais sero diferentes por modelo, e
importante notar que, quando se considera a diferentes tipos de
modelos de servios e de implantao, as empresas devem considerar o
risco de que os acompanha.
Consideraes sobre segurana
Para as organizaes onde a segurana no considerado um alto
prioridade, a segurana fornecida por um provedor de nuvem pode respeitvel
ser uma melhora significativa. No entanto, para as informaes
gerente de segurana, consideraes de segurana so uma questo que deve
ser cuidadosamente avaliada. A perda de controle sobre os dados sensveis
must
ser considerado. A localizao dos dados pode ser um problema tambm. Em
organizaes que armazenam e transmitem dados atravs estadual ou nacional
limites, o gerente de segurana da informao pode precisar
considerar leis inumerveis, regulamentos e requisitos de conformidade
de vrias jurisdies. Requisitos para lidar com incidentes podem
variar de uma jurisdio para outra, por exemplo, violao de notificao
leis. Disponibilidade de logs de auditoria tambm pode ser limitada ou
inexistente
do provedor de nuvem, eo nvel real de segurana pode ser
difcil de determinar.
Tal como acontece com a terceirizao de TI, a falha do fornecedor ou o
interconexes pode deixar a organizao sem computar
recursos e apesar da ocorrncia improvvel, deve ser
considerada.
3.14.11 integrao com os processos de TI
importante para proporcionar as interfaces definidas entre o
funes relacionadas com a segurana da organizao e assegurar que no
so canais de comunicao claros. Por exemplo, informaes
atividades de gerenciamento de risco de segurana devem integrar-se bem
com o
atividades de um gerente de risco organizacional para garantir a continuidade
e eficincia de esforos. Planejamento de continuidade de negcios muitas
vezes
uma funo separada que devem integrar-se com a resposta a incidentes
atividades do departamento de segurana da informao.
Integrao
O gerente de segurana da informao deve garantir que o
programa de segurana da informao interage efetivamente com outro
funes de garantia organizacionais. Estas interfaces so muitas vezes
bidirecional, ou seja, informaes relacionadas segurana recebida
destes servios e, por sua vez, a segurana da informao deve
fornecer informaes relevantes para essas unidades. A garantia
funes oferecem entrada, requisitos e feedback para o
programa de segurana da informao, que, por sua vez, fornece mtricas e
dados de avaliao para avaliao de garantia. importante que o
unidades de garantia da organizao fazem parte do comit de direco
para garantir a conscincia mais ampla de questes de segurana. Broad em
curso
envolvimento tambm ajuda a evitar o efeito silo desintegrada criado
quando as funes de garantia de operar de forma isolada.
Para ser eficaz, a segurana da informao deve ser difundida, afetando
todos os aspectos da empresa. Como consequncia, o intervalo de
responsabilidades para a gesto de segurana eficaz amplo e,
na maioria dos casos, excede a autoridade directa da informao
gerente de segurana. Como resultado, o gerente de segurana da informao
mais provvel de ser bem sucedida, operando de forma colaborativa
moda, ser um bom comunicador e desenvolvimento de um persuasivo
business case para iniciativas de segurana.
Processos do Ciclo de Vida do Sistema
Alcanar a segurana dos sistemas de informao eficazes mais fcil quando
consideraes de risco e proteo esto includos no SDLC.
Uma vez que essas atividades so geralmente da responsabilidade de outro
departamentos, mas ter um impacto significativo sobre a segurana,
essencial
que o gerente de segurana da informao desenvolve abordagens para
integrar estas funes com as atividades de segurana da informao.
Os vrios processos SDLC geralmente consistem em:
Estabelecimento de requisitos
Viabilidade
Arquitetura e design
Prova de conceito
Desenvolvimento completo
O teste de integrao
Qualidade e testes de aceitao
Implantao
Manuteno
Sistema de fim de vida
Gesto da Mudana
Praticamente todas as organizaes utilizam alguma forma de mudana
processo de gesto. Em alguns casos, pode no ser formal.
Segurana deve ser uma parte integrante da gesto da mudana
processo, pois novas vulnerabilidades podem ser introduzidas como resultado
de processo do sistema ou mudanas. O gerente de segurana da informao
deve identificar todos os processos de gesto de mudana utilizados pelo
organizao para a notificao de que as mudanas esto ocorrendo, que
pode afetar a segurana. As necessidades de gerente de segurana da
informao
implementar processos para assegurar que as implicaes de segurana
so considerados uma prtica padro. Como as mudanas so feitas para
sistemas e processos ao longo do tempo, muitas vezes h uma tendncia para
controla a segurana existente para tornar-se menos eficaz. Portanto, ele
Pgina 185

Seo Dois: Contedo
181
fundamental para o gestor de segurana para garantir que os controles de
segurana
e contramedidas so atualizados regularmente e so adaptadas para
mudanas organizacionais.
Organizaes descentralizadas podem representar um desafio especial para o
gerente de segurana. Muitas vezes, muitas dessas divises so altamente
autnoma, e pode ser difcil de controlar e garantir
conformidade com as polticas e procedimentos corporativos. importante
compreender a estrutura organizacional durante o desenvolvimento e
implementao de um programa de segurana para desenvolver um
abordagem eficaz.
Para manter a responsabilidade pelo cumprimento da poltica atravs
mudana freqente, um programa de segurana da informao deve identificar
onde mudanas na organizao de TI so iniciadas, financiado e

implantado. O gerente de segurana da informao deve negociar ganchos
Anexo Modelos 3.15-Cloud Computing Servio
Modelo de Servio
Definio
Para ser considerado
Infraestrutura como Servio (IaaS)
Capacidade de processamento de fornecimento, armazenamento,
redes e outro de computao fundamentais
recursos, oferecendo ao cliente a capacidade de
implantar e executar software arbitrrio, o que pode
incluir sistemas operacionais e aplicativos. IaaS
coloca essas operaes de TI nas mos de um terceiro
festa.
Opes para minimizar o impacto se a nuvem
provedor tem uma interrupo de servio
Plataforma como Servio (PaaS)
Capacidade para implantar na infraestrutura de nuvem
aplicaes cliente-criados ou adquiridos
criado usando linguagens de programao e ferramentas
suportado pelo fornecedor
Disponibilidade
Confidencialidade
Privacidade e responsabilidade legal em caso de
uma violao de segurana (como bancos de dados de habitao
informaes sensveis sero agora hospedado
offsite)
Propriedade dos dados
As preocupaes em torno de e-discovery
Software as a Service (SaaS)
Capacidade para usar aplicativos do provedor
execuo em aplicaes infrastructure.The nuvem
so acessveis a partir de vrios dispositivos de cliente
atravs de uma interface thin client como uma web
navegador (por exemplo, com base na web e-mail).
Quem possui os aplicativos?
Onde que os aplicativos residem?
ISACA, Cloud Computing: benefcios para o negcio com a segurana, a
governao e garantia de perspectivas , EUA, 2009, fig. 1,
p.5, www.isaca.org/KnowledgeCenter/Research/ResearchDeliverables/Pages/Cloud-Computing-businessbenefits-With-Security-Governance-and-Assurance-Perspective.aspx
Anexo 3.16-Cloud Computing Modelos de implantao
Modelo de Implantao
Descrio de Cloud Infrastructure
Para ser considerado

Nuvem privada
Operado exclusivamente para uma organizao
Pode ser gerido pela organizao ou um tero
festa
Pode existir no local ou off-premise
Servios em nuvem com o mnimo risco
Pode no fornecer a escalabilidade e agilidade de
servios de nuvem pblica
Nuvem Comunidade
compartilhada por vrias organizaes
Suporta uma comunidade especfica que compartilhou
misso ou interesse.
Pode ser geridos pelas organizaes ou um
terceiro
podem residir no local ou off-premise
Mesmo que a nuvem privada, alm de:
Os dados podem ser armazenados com os dados de
concorrentes.
Nuvem pblica
disponibilizada ao pblico em geral ou de uma grande
grupo da indstria
Possudo por uma organizao que vende nuvem
servios
O mesmo que comunidade nuvem, alm de:
Os dados podem ser armazenados em locais desconhecidos e
no pode ser facilmente recuperveis.
Hbrido nuvem
Uma composio de duas ou mais nuvens (privadas,
comunidade ou pblica) que permanecem entidades nicas
mas esto unidos por padronizado ou
tecnologia proprietria que permite que os dados e
a portabilidade de aplicativos
(Por exemplo, exploso de nuvem para balanceamento de carga entre
nuvens)
risco agregado de fuso implantao diferente
modelos
Classificao e rotulagem de dados ser
benfico para o gestor de segurana para garantir
que os dados so atribudos nuvem correcta
digita.
ISACA, Cloud Computing: benefcios para o negcio com a segurana, a
governao e garantia de perspectivas , EUA, 2009, fig. 2,
p.5, www.isaca.org/Knowledge-
Center/Research/ResearchDeliverables/Pages/Cloud-Computing-businessbenefits-With-Security-Governance-and-Assurance-Perspective.aspx
Pgina 186

Seo Dois: Contedo
182
para esses processos de modo que aqueles em funes de trabalho que
especificam,
adquirir e implantar novos sistemas tm conformidade com as polticas, como
parte
de suas funes. Isto d ao gerente de segurana da informao
tempo para identificar vulnerabilidades em novos sistemas, identificar novas
ameaas apresentadas pelos sistemas e auxiliar a implementao
equipe no desenvolvimento de normas de polticas compatveis que podem ser
entregues
para um gerente de lanamento como pr-aprovado para implantao de
produo.
Este um elemento-chave da integrao do programa de segurana para o
trabalho do dia-a-dia da organizao, garantindo assim a sua longa
adoo prazo.
Gerenciamento da Configurao
Estudos tm mostrado que a configurao inadequada a maior
causa de violaes de segurana aos sistemas de informao. Como
Consequentemente, essencial que a forte processual e / ou tcnico
controles so implementados para gerir eficazmente o risco.
As causas subjacentes tpicas para a falta de configurar corretamente
sistemas so uma falta de normas ou procedimentos claros para
configurao ou pessoal shorthanded no seguir corretamente
procedimentos ou tomar atalhos imprprios. A segurana da informao
gerente deve garantir que a documentao adequada existe em
configurao correta e que o pessoal de TI tem formao suficiente em
a execuo dessas atividades. Se a documentao apropriada existir,
a carga de trabalho dos responsveis devem ser examinados para ver se
o tempo o problema ou se alguma forma de imposio de conformidade
necessrio para garantir a configurao correta.
Gerenciamento de Liberao
Quando devidamente implementado, gerenciamento de liberao reduz a
chances de falha operacional, garantindo os testes adequados tem
foram realizados e existem condies necessrias para a correcta
operao de um novo software ou de sistemas. Cabe a
informao gerente de segurana para garantir que os padres apropriados e

Existem procedimentos para que os produtos no so implantados para a
produo
prematuramente. Alm disso, importante para proporcionar adequada
monitoramento e superviso para assegurar que os procedimentos so
seguidos
para evitar a falha do sistema de produo inesperado.
3.15 controles e contramedidas
Ao elaborar o programa de segurana da informao, uma informao
O foco do gestor de segurana ter de alternar entre geral e
controles em nvel de aplicativo. No decorrer da realizao de segurana
comentrios, avaria passo-a-passo da atividade inter-relacionadas
segmentada em atividades de controle que cobrem a infra-estrutura e
ambiente operacional (controles gerais), e medidas de segurana
para alm das que leva para executar software de negcios com segurana
(controles de aplicativos).
Controles gerais so as atividades de controle que suportam todo o
organizao de uma forma centralizada. Porque infra-estrutura
muitas vezes compartilhada entre diferentes departamentos da mesma
organizao, o termo "controles gerais" muitas vezes usado para descrever
todos os controles mais infra-estrutura. Estes so tipicamente controle
actividades de apoio de um sistema operacional, rede e instalao
segurana. Eles podem incluir a administrao centralizada de usurio
procedimentos bem. Ao determinar como proteger dados crticos para
um processo de negcio, importante que um segurana da informao
gerente de poder contar com a existncia de geral adequada
controlos. Estes so a base sobre a qual o controle especfico
actividades de apoio a proteo dos recursos de informao de negcios
descansar. Onde, informaes de negcios noncentralized especfico
processamento suportado pela tecnologia, as atividades de controle de mais
de
que a tecnologia so muitas vezes referidos como controles em nvel de
aplicativo.
Na maioria das organizaes, controles gerais e controles de aplicao so
gerida por diferentes grupos. Com a ajuda de gesto, o
gerente de segurana da informao deve identificar e definir os papis
e responsabilidades em matria de segurana para estes e todos os outros
grupos. Assim, um elemento vital de qualquer programa de segurana da
informao
uma matriz de funes e responsabilidades, tais como o de exposio 1.3
no captulo 1. O gerente de segurana da informao deve projetar o
programa de segurana da informao para facilitar tanto em toda a empresa e
atividades de controle de nvel de departamento que se baseiam em
organizacional
responsabilidade pelos controles gerais e de aplicativos. Alm disso, o
gerente de segurana da informao deve levar em conta organizacional

interfaces com os fornecedores de servios de terceiros, reguladores e outros
entidades com as quais a organizao deve cooperar para atender seus dados
requisitos de proteco.
Dentro das limitaes dos papis e responsabilidades
atribuies, gerente de segurana da informao pode ser capaz de
identificar os elementos-chave da tecnologia que facilitam a realizao
de objetivos de controle. O gerente de segurana da informao deve recorrer
as principais partes interessadas, com papis e responsabilidades que
correspondem a
os objetivos de controle no projeto de tecnologia correspondente
controlos. O gerente de segurana da informao deve garantir que estes
metas de tecnologia so vistas a contribuir para a stakeholders'objectives
garantir que eles so adotados e apoiado. Idealmente, a tecnologia
deve ser fcil de utilizar, reutilizvel e promover a eficincia operacional.
Estes elementos de tecnologia, quando apoiou centralmente e utilizados por
vrias partes da organizao, tornar-se parte da informao
arquitetura de segurana, e os processos e procedimentos que suportam
eles tornam-se controles gerais. Eles tornam-se essencialmente o edifcio
blocos em que todo o programa descansa. Porque a tecnologia em si
insuficiente para implementar controles gerais, a adoo de segurana
arquitetura ea capacidade de delegar formalmente a responsabilidade pela
operando dentro dela de acordo com a poltica so critrios fundamentais na
seleo
elementos tcnicos de um roteiro de segurana da informao.
No entanto, raro que os controles de toda a empresa ou gerais so
suficiente para proteger contra todas as situaes em que os dados podem
estar em
risco devido ao acesso e uso no autorizado. Como a informao deve
ser distribudos atravs da organizao a ser utilizado pelas empresas
processos, o gerente de segurana da informao deve estar ciente
daquelas situaes em que os controles gerais so insuficientes para
proteger contra o uso indevido de informaes. Portanto, um elemento crtico
da segurana roteiro informao o processo de SDLC
que prev revises de segurana em fases iniciais de projetos para
determinar se os controles de nvel de aplicao so necessrias.
Isso permite que um gerente de segurana da informao para identificar e
recomendar mtodos para implementar o acesso ou outros controles em
o nvel de aplicao. A escolha da segurana "pontos de contato" para ser
estabelecidos para garantir os controles de acesso so eficazes, como ilustrado
na
exibem 3,17 .
Uma parte importante da gesto de segurana o design,
implementao, monitoramento, testes e manuteno de controles.
Os controles so definidos como as polticas, procedimentos, prticas,
tecnologias e estruturas organizacionais projetadas para fornecer

Pgina 187

Seo Dois: Contedo
183
garantia razovel de que os objetivos de negcios sejam alcanados e
que os eventos indesejveis so evitados ou detectados e corrigidos.
Os controles so essencialmente qualquer processo de regulamentao, seja
fsica,
tcnico ou processual. A escolha dos controlos podem ser baseados em
uma srie de consideraes, incluindo a sua eficcia, custo ou
restries s atividades empresariais, e que a forma ideal de
controle .
Os controles so um dos principais mtodos de gerenciamento de informaes
risco de segurana e uma grande responsabilidade da segurana da informao
gesto. importante entender que os controles para
elementos fsicos, tais como os processos administrativos e
procedimentos, so to crticos como controles aplicados tecnologia.
A maioria das falhas de segurana podem vir a ser atribuda a falhas
de gesto, e preciso lembrar que a gesto
problemas normalmente no tm solues tcnicas. Inevitavelmente,
as pessoas e os processos fsicos existir em cada extremidade da tcnica
processos e constituem o maior risco para a segurana da informao.
Como conseqncia, o gerente de segurana da informao deve ser
cuidado para no colocar o foco excessivo e dependncia de tecnologia.
O gerente de segurana da informao deve estar ciente de que os padres
ou procedimentos que so muito restritivas ou impedir a organizao
de atingir seus objetivos de negcios so susceptveis de contornados.
O objetivo equilibrar a necessidade de controles com o
requisitos do negcio. Portanto, a segurana da informao
gerente deve ter uma perspectiva de bons negcios, entender o
risco para os recursos de informao da organizao, interpretar o
polticas de segurana da informao e implementar controles de segurana
que
considerar todos esses aspectos. Uma perspectiva importante usar
a abordagem que menos restritiva e prejudicial para o negcio
que, no entanto, cumpre os critrios de risco aceitvel. O
trade-offs entre a maior segurana e menor impacto sobre
atividades de negcio a linha tnue que a informao eficaz
gestor de segurana deve se esforar para alcanar.
Controles de segurana da informao devem ser desenvolvidos para ambos

TI e processos de informao no relacionadas com TI. Isto inclui
garantir a marcao, manuseio, transporte e requisitos de armazenamento para
informaes fsicas, bem como consideraes para a manipulao e
preveno de engenharia social. Controles ambientais devem tambm
ser tomados em considerao, de modo a que os sistemas de outro modo no
so seguras
sujeito a ser simplesmente roubado, como ocorreu em alguns bem
casos divulgados.
H um certo nmero de padres e guias disponveis para
gesto de segurana da informao que deve ser familiar para
o gerente de segurana da informao. Dois dos mais aceita
referncias para a segurana da informao so COBIT e
ISO / IEC 27002 e ISO 27001. Numerosas outras fontes de
orientao esto disponveis, tais como a Federal Information EUA
Processing Standards (FIPS) Publicao 200, NIST 800-53
ea Norma de Boas Prticas de Segurana da Informao
publicado pelo Frum de Segurana da Informao.
3.15.1 categorias de controle
Preventiva controles preventivos inibir tentativas de violao
poltica de segurana e incluem controles como o controle de acesso
aplicao, criptografia e autenticao.
Detetive controles de detetive alertar sobre as violaes ou tentativas de
violaes da poltica de segurana e incluir tais como controles de auditoria
trilhas, mtodos e somas de verificao de deteco de intruso.
Corretivas controles corretiva corrigir vulnerabilidades.
Procedimentos de restaurao de backup so uma medida corretiva que
eles permitem que um sistema a ser recuperado se o dano to extensa
que o processamento no pode continuar sem recorrer a
medidas corretivas.
Compensatria controles compensatrias compensar
aumento do risco, adicionando etapas de controle que mitiguem o risco, pois
exemplo, a adio de um componente de resposta a desafio a fraco
controles de acesso pode compensar a deficincia.
Dissuaso controles de dissuaso fornecer avisos que podem impedir
potencial de compromisso, por exemplo, banners de advertncia sobre o login
telas ou oferecendo recompensas para a priso de hackers. Controles
e seus efeitos so mostrados na exposio 3,18 .
Note-se que os controles de compensao e corretivas so
muitas vezes combinados.
Consideraes sobre o projeto de controle 3.15.2
Baseado no ambiente regulador de hoje, os controles e
contramedidas so mais eficientemente abordado com base em um toppara baixo, a abordagem baseada no risco. Depois de aplicar reconhecido pela
indstria
frameworks como COBIT ou ISO 27001, projeto da

controles implementados devem incluir mensurabilidade. Eficcia
dos controles no pode ser avaliada a menos que possam ser testadas e
medido. Alm disso, os nveis de confiana e tamanhos de amostragem para
testar a eficcia desses controles espelhar perto de auditoria e
objetivos de conformidade regulamentar. Por exemplo, ao projetar um
controle para IDS DIRIO comentrios em uma organizao sujeita
Anexo 3.17-Touchpoints para Tollgates Segurana
Fonte: Adaptado com permisso do livro " Segurana de Software: Segurana
Edifcio Em "por Gary McGraw (Addison-Wesley, EUA,
2006) www.swsec.com
Segurana
Requisitos
Baseada em Risco
Segurana
Testes
Risco
Anlise
Externo
Reviso
Abuso
Casos
Risco
Anlise
Cdigo
Reviso
Penetrao
Prova
Segurana
Operao
Requisitos
e Casos de Uso
Arquitetura
and Design
Teste
Planos
Cdigo
Testes e
Resultados do Teste
O feedback dos
Campo
Pgina 188
Seo Dois: Contedo
184
EUA Lei Sarbanes-Oxley, lgico para criar um processo que
mostra de revistas dirias afirmativas (reviso notas, registe-offs,
aprovaes, etc) e que os tamanhos de amostragem siga EUA Sarbanes-Oxley
requisitos de teste com base na freqncia do controle, isto ,
25 amostras por dia, para 10 por semana, e trs para mensal.
Controles como estratgia de recursos de implementao
Os controles so qualquer dispositivo regulamentar, sistema, procedimento ou
processo
que regula ou controla alguma atividade operacional. Os controles de
segurana
necessidade de abordar as pessoas, tecnologia e processos. Os controles
devem
necessariamente resultar em uma ao corretiva ou preventiva, abrindo
caminho
para a melhoria das medidas de segurana da informao.
Por exemplo, o controle de acesso um controle preventivo que
impede o acesso no autorizado que pode resultar em danos ao
sistemas. A deteco de intruso um controle detetive porque
que permite o acesso no autorizado a ser detectado. Backup e
procedimentos de restaurao so um controle corretivo que permite que um
sistema a ser recuperado se o dano to extensa que os dados so perdidos
ou irreparavelmente danificados. s vezes, os controles de compensao
so mencionados, que so semelhantes aos controles corretivos, mas
compensar alguma falha de segurana.
Produtos de segurana fornecem muitas vezes vrias combinaes destes
diferentes tipos de comandos. Um controle tpico um firewall, que
um produto que filtra o trfego de rede para limitar o que os protocolos
(ou portas) pode ser usado para entrar ou sair de uma rede interna, como
bem como qual o endereo ou intervalo de endereos permitido como uma
fonte
e destino. Este um controlo preventivo, pois impede
O acesso s portas de rede especficas, protocolos ou destinos
no especificamente permitido. O mesmo pode ter mais de firewall
recursos avanados que permitem examinar de rede de entrada
trfego de malware e envia alertas para um centro de operaes
se passar atravs do dispositivo. Este um controle de detetive.
O firewall tambm pode ter um recurso que permite que as operaes de
desviar o trfego de entrada para um site de backup (embora este fosse
normalmente ser realizado por mudanas no roteador de Internet) se,
aps responder ao alerta de vrus, eles descobrem que um vrus tem
reduziu a capacidade no stio primrio. Essa uma recuperao, ou

corretiva, controle, pois permite que os sistemas de retomar a normalidade
operaes. O servio de proxy que executado no firewall pode ser
capaz de exibir uma bandeira de advertncia como um controle de dissuaso
contra acesso no autorizado.
Note-se que o elemento dissuasor, preventivo, detetive ou corretiva
(Ou compensatrias) caractersticas do firewall de controle so totalmente
descritvel, tecnicamente, sem usar a palavra "firewall." A
ponto que o gerente de segurana da informao deve reconhecer a
valor do produto de tecnologia recursos de segurana, independentemente da
rtulo dado a um produto pelo fornecedor do produto. os recursos
e como eles so usados, que permitem pontos de controle a ser estabelecido,
no a escolha do produto ou seu nome.
Na medida do possvel, o controlo deve ser automatizada de modo que
tecnicamente invivel para ignor-los. (Veja a seo 3.15.6,
Contramedidas.) Algumas prticas de controle comuns que fazem
difcil para os usurios a ignorar controles so mecanismos que incorporam
estes princpios:
(Logical) Controle de Acesso -Usurios de informao deve ser
identificados, autenticado e autorizado antes de acessar
informaes. H uma variedade de maneiras de implementar o acesso
controle. A maioria dos modelos de controle de acesso se enquadram em uma
de dois tipos:
controle de acesso obrigatrio (MAC) ou controle de acesso discricionrio
(DAC). MAC refere-se a um meio de restringir o acesso a dados
com base em requisitos de segurana para as informaes contidas no
dados e do apuramento dos usurios de segurana correspondente. MAC
normalmente utilizado para aplicaes militares, onde, por exemplo, um
folga segredo necessrio para acessar os dados classificados como
"segredo".
Ameaa
Impedimento
Controle
Descobre
Reduz
Probabilidade
de
Cria
Reduz
Probabilidade
de
Exploits
Protege
Resultados em
Reduz
Triggers
Diminui
Detetive
Controle
ATAQUE
Preventivo
Controle
Impacto
Vulnerabilidade
Corretivo
Controle
Compensando
Controle
Exposio Tipos 3.18-controle e Efeito
Pgina 189

Seo Dois: Contedo
185
Geralmente, h tambm uma segunda exigncia da "necessidade de saber"
de autorizao de acesso. DAC refere-se a mtodos para reduzir
acesso a objetos com base na identidade dos sujeitos e / ou grupos
a que pertencem. Os controles so discricionrios no sentido
que as regras podem permitir que um sujeito com determinada permisso de
acesso
aconteceu que a permisso para outro assunto. A escolha de
mecanismos de controle de acesso apropriadas em uma determinada situao
depende das necessidades organizacionais de proteco de dados.
Segura falha -Refere-se a um dispositivo destinado a fechar
e parar o processamento de informaes sempre que detecta um
mau funcionamento que podem afetar os seus mecanismos de controle de
acesso.
Fracasso seguro como uma poltica de controle devem ser cuidadosamente
considerados
uma vez que, obviamente afecta a disponibilidade. Tambm pode representar
um
perigo bvio quando o acesso fsico controlado eletricamente falhar
na condio bloqueada, impedindo sada, no caso de fogo ou
outro desastre.
princpio do menor privilgio -Refere-se a um acesso a recursos
estratgia de design que fornece capacidade administrativa para
acesso a recursos de partio de modo que aqueles que exigem menos

recursos
do que os outros tm os privilgios mnimos de sistema que eles
precisa para realizar suas responsabilidades.
Compartimentalize para minimizar os danos -Refere-se
a capacidade da arquitectura do sistema de acesso a conter
subconjuntos de recursos do sistema, exigindo um conjunto separado de
controla autorizao por subconjunto. Por exemplo, um sistema em
os privilgios administrativos no so concedidos quando
so solicitadas em certas interfaces de rede podem ser combinados
com restries de porta de rede para bloquear os utilizadores da Internet de
funes administrativas.
Segregao de funes -Refere-se capacidade do software
para restringir um usurio de ter duas funes que se destinam a
fornecer recursos de superviso ou controlo. Por exemplo, o software
deve impedir uma pessoa que tem a capacidade de imprimir cheques de
ser capaz de mudar o nome do destinatrio de verificao antes e
depois de impresso.
Transparncia -Refere-se capacidade da mdia
leigo a entender como a segurana do sistema suposto
trabalhar para que todos os interessados podem facilmente ver o efeito que a
sua
atividades sobre a segurana dos sistemas. Usurios, administradores,
engenheiros e arquitetos deve ser capaz de conversar sobre
controles do sistema de uma forma que todos possam verificar se eles esto
trabalhando
como esperado. Transparncia muitas vezes conseguido, mantendo o
design de tecnologia to simples quanto possvel para evitar confuso quanto
ao
funcionalidade do sistema.
Confiana -Refere-se a uma estratgia de design que inclui a existncia
de um mecanismo de segurana em que a identidade de um utilizador pode ser
determinada por sua relao com um "provedor de identidade", que
"confivel" por uma "terceira parte confivel." A terceira parte confivel
tem algum
mecanismo para determinar a autenticidade de uma ligao a partir de
o provedor de identidade e se baseia em que a informao para permitir que o
O fornecedor de identidade para passar a ele a identidade do utilizador. Um
tpico
aplicao o uso de uma terceira parte confivel em arquitetura PKI
conhecido como a autoridade de certificao (CA), que atesta a
identidade de uma entidade mediante a emisso de um certificado.
No confie em ningum -Refere-se a uma estratgia de design que inclui
fiscalizao controla como parte do projeto do sistema de informao
em vez de designar os indivduos de confiana para administrar o
sistema e esperar que eles seguir o procedimento ou depender

em auditoria posterior para verificar se eles tinham. Uma aplicao tpica
a utilizao de um circuito fechado de televiso (CCTV), para
monitorar as atividades.
3.15.3 fora controle
Fora de controlo pode ser medido pelo tipo de controle
sendo avaliado (preventivo, detetive, manual, automtico, etc)
ea sua conformidade resultados quantitativos e qualitativos de teste.
Como tal, embora a um controlo automtico normalmente prefervel
ao controlo manual, a anlise detalhada pode revelar que um manual
controle melhor. Um projeto de controle automatizado pode criar alertas
e gerar relatrios automticos. No entanto, uma avaliao cuidadosa de
o processo pode determinar que h evidncia de reviso pode ser
produzido e aes de resposta subseqentes at e incluindo
resoluo no pode ser medido. Neste cenrio, o controle falhar.
Por outro lado, se as notas manuscritas foram registrados dentro
IDS log relatrios em uma base diria com as iniciais e datas, e os
mesmas notas contidas anlise, planos de ao, os nmeros do bilhete e
resoluo, em seguida, o controlo manual muito mais eficaz do que o
um automatizado. Claro, nenhuma concluso pode ser alcanada quanto
fora do controle at que tenha sido devidamente testados.
A fora de controlo pode ser medida em termos da sua inerente
ou resistncia de projeto, ea probabilidade de sua eficcia. Uma
exemplo de um controle inerentemente forte equilibrar os livros para
conta para todo o dinheiro e / ou segregando responsabilidades de
contabilidade
entre vrios funcionrios. Um exemplo de um forte inerentemente
controle do projeto est exigindo controle duplo para acessar sensvel
reas ou materiais.
A fim de demonstrar o valor e alinhamento com o negcio
objetivos, mitigao de riscos deve ser ligada ao negcio suportado
funes. Isso garante que a segurana da informao e governana de TI
iniciativas so inerentemente seguido, e justificativa de custo para o
processo de tratamento prontamente disponvel e auto-explicativo.
3.15.4 Mtodos de Controle
Os controlos de segurana incluem a utilizao de tcnicas e no tcnicas
mtodos. Controles tcnicos so salvaguardas que so incorporados
em hardware, software ou firmware (por exemplo, acesso
mecanismos de controle, identificao e autenticao
mecanismos, mtodos de criptografia, software de deteco de intruso).
Controles no-tcnicos so a gesto e controles operacionais
tais como as polticas de segurana, procedimentos operacionais, e de pessoal,
segurana fsica e ambiental.
Elementos de controle que devem ser considerados quando se avalia
fora de controle incluem se os controles so preventivos ou
detetive, manual ou automatizado, e formal (documentado em

manuais de procedimentos e provas de sua operao mantida)
ou ad hoc . Controls, como a autenticao de dois fatores necessrios para
situaes de alta segurana, pode incluir tanto a nvel tcnico e manual
processos, por exemplo, cartes inteligentes que requerem um PIN.
3.15.5 recomendaes de controle
Elementos de controle que devem ser considerados quando se avalia
fora de controle incluem se os controles so preventivos ou
detetive, manual ou automatizado, e formal (documentado em
manuais de procedimentos e provas de sua operao mantida)
ou ad hoc. Durante esta etapa do processo, que controla poderia
reduzir ou eliminar o risco identificados (como apropriado
operaes da organizao) so fornecidos. O objetivo da
controles recomendadas reduzir o nvel de risco informao
Pgina 190

Seo Dois: Contedo
186
recursos para um nvel aceitvel. Os seguintes fatores devem ser
considerado nos controles e recomendando solues alternativas para
minimizar ou eliminar os riscos identificados:
Eficcia das opes recomendadas
Compatibilidade com outros impactados sistemas, processos e controles
legislao e regulamentao relevante
polticas e padres organizacionais
estrutura e cultura organizacional
impacto operacional
Segurana e confiabilidade
As recomendaes de controle so os resultados da avaliao de riscos
e processo de anlise e contribuir para a reduo do risco
processo. Durante o processo de mitigao de risco do recomendado
controles de segurana processuais e tcnicas so avaliadas, priorizadas
e implementadas. Para determinar quais so necessrios uns e
apropriada para uma organizao especfica, uma anlise custo-benefcio
devem ser conduzidos para os controles propostos para demonstrar
que os custos de implementao dos controles pode ser justificada pela
reduo do nvel de risco. Alm disso, o impacto operacional
(Por exemplo, o efeito sobre o sistema ou desempenho pessoal) e de
viabilidade
(Por exemplo, os requisitos tcnicos, de aceitao do usurio) de introduzir o
opes recomendadas devem ser avaliadas com cuidado durante o risco

processo de mitigao.
3.15.6 contramedidas
Em adio manuteno geral de que os controlos normais
fornecer, o gerente de segurana da informao podem, ocasionalmente,
exigem um controle contra uma ameaa especfica. Tal controle
designado por "contra-medida." Um contramedida pode ser considerado
um controle segmentado. Contramedidas muitas vezes fornecem especfico
proteo, tornando-os menos eficientes do que mais ampla, mais
gerais salvaguardas, embora no necessariamente menos rentvel
dependendo da expectativa de perda anual original e residual
(ALE) associado com a ameaa combatida.
Contramedidas so controles que so postas em prtica em resposta
a uma ameaa e / ou vulnerabilidade especfica que conhecida por
existir. Eles podem ser preventivo, detetive ou corretiva, ou qualquer
combinao dos trs. Contramedidas no so reconhecidos
na ISO / IEC 27001 e pode ser simplesmente considerado uma forma de
controle alvejado.
Contramedidas implantados para tratar estritamente ameaas especficas
ou vulnerabilidades so muitas vezes caros, tanto operacionalmente e
financeiramente, e pode se tornar uma distrao de segurana central
operaes. Sua implantao deve comear apenas com clara
justificao, com a devida cautela, e s quando uma existente ou mais
controle em geral no pode mitigar adequadamente a ameaa.
Contramedidas pode ser usado como qualquer outro controle. Mas
porque eles so, em resposta a uma ameaa ou vulnerabilidade especfica,
eles so muitas vezes aplicadas como aprimoramentos incrementais para
existente
controlos. Por exemplo, uma organizao que verifica todos os e-mail
para bloquear vrus de entrada pode encontrar uma ameaa para seu e-mail
infra-estrutura devido a um influxo de spam. A organizao pode
implementar uma contramedida para os ataques de spam atravs do reforo
o antivrus para bloquear e-mails recebidos a partir de uma lista de conhecidos
spammers. Contramedidas pode ser no-tcnica, bem como, tais como
oferecendo uma recompensa por informaes que levem priso de hackers.
Um programa de segurana da informao deve ser flexvel o suficiente para
ser
capazes de implementar uma contramedida com muito pouco aviso.
Mudanas de emergncia podem precisar contornar controle de mudanas
padro
processos, mas devem ser utilizadas com cautela e ser
exaustivamente documentado, e eles devem passar pela mudana
processo de gesto, mesmo que seja aps o fato.
Contramedidas no so frequentemente de natureza tcnica. Um muito
contramedida comum implantado em resposta s ameaas de
representao. Nos casos em que foi relatado que um engenheiro social

chamou um usurio final, posando como um administrador e pedindo
o usurio para seus / suas senhas, uma contramedida pode ser na
forma de atividade de conscincia como uma transmisso para todos os
usurios finais
direcionando-os para no divulgar suas senhas a ningum, sob
quaisquer circunstncias, e denunciar imediatamente tal suspeita
atividade de segurana.
3.15.7 controles fsicos e ambientais
Ao implementar um programa de segurana da informao, fundamental
compreender que todos os esforos para proteger as informaes tm como
fundao de uma forte barreira fsica proteger o meio fsico
em que a informao reside. Em muitas organizaes, fsica
segurana um servio prestado como parte do gerenciamento de instalaes.
A organizao de segurana fsica pode estabelecer requisitos em um
base de construo de edifcio-by, e fazer cumprir esses requisitos usando
uma combinao de medidas de segurana fsica e de tecnologia
procedimentos manuais. Um gerente de segurana da informao deve
validar as escolhas tecnolgicas de apoio segurana fsica
processos e deve assegurar que as polticas e os padres so
desenvolvido para garantir a segurana fsica adequada.
Os controlos fsicos e ambientais so um conjunto especializado de geral
controles em que todas as instalaes de computao, bem como de pessoal
dependem. Alm disso, algumas tecnologias possuem caractersticas que
permitem
mecanismos fsicos para substituir controles lgicos. Por exemplo,
acesso fsico no autorizado a dispositivos de tecnologia pode permitir
acesso no autorizado informao. Embora a segurana da informao
gerente, muitas vezes no responsvel por controles de acesso fsico,
importante que os papis e responsabilidades em relao a esses
controles so atribudas e que o gerente de segurana da informao
tem um caminho de escalao para garantir que os requisitos sejam
cumpridos.
importante para assegurar que no possvel para uma pessoa no autorizada
para conectar fisicamente o equipamento rede e que os equipamentos
e mdias removveis (incluindo documentos e itens descartados
como mdia removvel) esto protegidos contra roubo.
Mtodos para manter pessoas no autorizadas tenham acesso a
recursos de informao tangveis incluem crachs de identificao e
dispositivos de autenticao, tais como cartes inteligentes ou controles de
acesso baseados
em biometria, cmeras de segurana, guardas de segurana, cercas,
iluminao,
travas e sensores. Uma grande variedade de sensores de intruso esto
disponveis,
incluindo sensores de vibrao, detectores de movimento e muitos outros.

Controles fsicos tambm so destinados a prevenir ou mitigar os danos
s instalaes e outros recursos tangveis que podem ser causados por
eventos naturais ou tecnolgicos (por exemplo, fontes de alimentao de
backup pode
sustentar as operaes se um furaco danos as linhas de energia que servem
a facilidade ou se a rede eltrica falhar). Controles ambientais
incluem ar condicionado, drenagem de gua, extino de incndio e outros
medidas destinadas a garantir que as instalaes em que os sistemas de
Pgina 191

Seo Dois: Contedo
187
so armazenados projetado com as limitaes fsicas do computador
a operao do sistema como requisitos. Sem ambiental adequada
controles para prevenir, detectar e recuperar de danos fsicos
aos sistemas de informao, outro controle geral e aplicao
atividades podem ser ineficazes ou inteis.
Em um, um site de TI grande e geograficamente dispersa organizao
gerente de operaes pode ser atribuda em cada local para garantir que
todo o equipamento inventariado e configurado para a poltica-compliant
padres. Um gerente de segurana da informao pode estabelecer esta
papel e responsabilidade como um recurso para fazer a interface com as
autoridades locais
organizaes de segurana fsica em nome da informao
3.15.8 categorias controle da tecnologia
Ao determinar os tipos de tecnologias de controle que deve
ser considerado pelo gerente de segurana da informao, pode ser
til considerar autoridade operacional e os tipos de controles
disponvel. Como a maioria dos controles tcnicos ser o
responsabilidade directa do departamento de TI, a considerao deve
ser dada forma como a segurana ser mantida. Tecnologias
tipicamente se enquadram em uma das trs categorias diferentes em termos de
o tipo de controles que esto disponveis: nativa, suplementar e,
apoiar as tecnologias de controle. Em alguns casos, a autoridade operacional
pode ser dividida entre a TI eo departamento de segurana.
Control Technologies Native
Tecnologias de controle nativos so out-of-the-box segurana
caractersticas que so integrados com sistemas de informao de negcios.
Por exemplo, a maioria dos servidores web incluem funes fornecendo

recursos de autenticao, login de acesso e transporte SSL
criptografia. Todos estes controlos seria considerado nativo para o
tecnologia de servidor web.
Embora as polticas e normas que regem a sua utilizao so
estabelecido pela funo de segurana da informao, a maioria nativa
tecnologias de controle so geralmente configurado e operado pela TI.
Isso ocorre porque controles nativos muitas vezes impacto direto na produo
operaes e fornecendo pessoal de segurana da informao com
direitos de configurao para os sistemas de produo do ncleo muitas vezes
viola a
separao de tarefas principal e pode criar risco de complicar
mudar os processos de controle e questes de propriedade do sistema.
Controles de tecnologia nativos existir em todas as tecnologias de informao
dispositivos incluindo:
Servidores
Bancos de dados
Roteadores
Switches
Control Technologies Suplementar
Tecnologias de controle complementares so geralmente componentes
que so adicionados a um ambiente de sistemas de informao.
Tecnologias de segurana suplementares geralmente fornecem alguma funo
que no est disponvel a partir de componentes nativos (por exemplo, rede
deteco de intruso) ou que mais apropriado para implementar
fora dos sistemas de aplicativos de negcios principais para a arquitectura
ou motivos de desempenho (por exemplo, um nico firewall de rede contra
filtragem de rede individual baseado em host).
Tecnologias de controlo suplementares tendem a ser mais especializado
de tecnologias de controle de nativos e, portanto, eles so muitas vezes
operados por especialistas em segurana. Mesmo quando estes tcnico
especialistas em segurana so recursos da segurana da informao
operaes tcnicas de grupo, de segurana podem se beneficiar, aproveitando
o
suporte de unidades de tecnologia da informao. Em alguns casos, pode ser
apropriado para compartilhar a responsabilidade por uma suplementao
especial
controlar a tecnologia, especialmente se ele est profundamente enraizado em
ambos
os domnios de segurana e aplicativos de negcios. A identidade federada
e tecnologias de gerenciamento de acesso so um exemplo comum
de uma tecnologia complementar para que as responsabilidades so
compartilhado por toda a organizao de segurana e tecnologia. Tpico
tecnologias de controle complementares incluem:
sistemas de gerenciamento de identidades federadas
Single Sign On (SSO)

sistemas de preveno de intruso (IPS)
Firewalls
Tecnologias de Apoio Gesto
Tecnologias de apoio gesto servem para automatizar um
procedimento relacionado com a segurana, fornecer informaes de gesto
processamento, ou de outra forma aumentar a eficincia da gesto ou
capacidades. Alguns exemplos incluem informaes de segurana
(SIM) ferramentas de gesto, sistemas de anlise de eventos de segurana e
scanners de controlo da conformidade. Estas tecnologias so primariamente
utilizado pela organizao de segurana, e eles no afetam diretamente
o ambiente de produo. Por estas razes e para ajudar a impor
separao de funes, as tecnologias que suportam as operaes de segurana
so comumente implementado e operado pela informao
grupo de segurana em relativa independncia da informao
departamento de tecnologia.
Procedimentos relacionados segurana podem freqentemente ser
automatizado para
aumentar a eficincia do programa de segurana da informao ou
capacidades. A utilizao dessas tecnologias de suporte para aumentar
produtividade dos recursos uma estratgia importante no desenvolvimento
um programa eficiente e eficaz. Algumas das mais comuns
tecnologias de suporte incluem:
ferramentas SIM
Incidentes de Segurana e Gesto de Eventos (SIEM) sistemas
ferramentas de monitoramento e gerenciamento de conformidade
sistemas de workflow de gesto de acesso
ferramentas de verificao de Vulnerabilidade
ferramentas de monitoramento de configurao de segurana
sistemas de gesto e distribuio da Poltica
3.15.9 componentes tcnicos de controle
e arquitetura
Gesto de segurana da informao inclui lidar com um
vasta gama de componentes tcnicos. Geralmente, estas tcnicas
mecanismos foram anteriormente classificados como nativo
tecnologias de controle, tecnologias complementares de controle e
tecnologias de apoio gesto.
Anlise dos Controles
Controle e suporte de tecnologias coletivamente formam o tcnico
arquitetura de segurana. Esta construo pode ser aplicada ao indivduo
aplicaes de negcio, ou da empresa como um todo, com o
objetivo de revelar como a interao de tcnico individual
Pgina 192

Seo Dois: Contedo
188
componentes fornecem para a empresa global ou a segurana do aplicativo.
Essa viso holstica de recursos de componentes tcnicos impede
uma perspectiva de ponto soluo que leva falta de segurana em geral.
Anlise tcnica arquitetura de segurana deve ser coordenada
em estreita colaborao com comentrios e anlise de ameaas e fatores de
risco. O
gerente de segurana da informao deve garantir que os componentes
da arquitetura de segurana tcnica esto alinhados com a
riscos e das ameaas posturas da organizao, bem como de negcios
requisitos. Desde que a arquitetura tcnica est na
alinhamento com os nveis mais elevados de arquitetura, este alinhamento
com os objetivos de negcios deve ocorrer naturalmente.
Ao analisar a arquitetura de segurana tcnica, a informao
gestor de segurana deve usar um conjunto claramente definido de mensurvel
critrios para permitir o rastreamento de mtricas de desempenho. Alguns
possveis critrios para analisar a arquitetura de segurana tcnica e
componentes incluem:
colocao de Controle
- Onde esto os controles localizados na empresa?
- So controles em camadas?
- redundncia controle necessrio?
- Os controles sobre ou perto dos provedores permetro eficiente de
ampla proteo de acesso?
- Existem canais de acesso a servios de processamento descontrolados
ou dados? (Considere fsica, rede, em nvel de sistema, aplicao
e vetores de acesso de mensagens.)
eficcia de controle
- Os controles de confiana?
- Eles so o mnimo exigido?
- Ser que eles inibem a produtividade?
- Eles automatizado ou manual?
- Voc controles-chave monitorado? Em tempo real?
- Eles so facilmente contornadas?
A eficincia de controle
- Como amplamente que os controles de proteger o meio ambiente?
- Eles so especficos para um recurso ou ativo?
- Eles podem e deveriam ser mais amplamente utilizados?
- qualquer um controle de um nico ponto de falha do aplicativo?
- qualquer um controle de um nico ponto de falha de segurana?
- Existe redundncia desnecessria em controles?

A poltica de controle
- Os controles falham seguro ou deixar aberta?
- Os controles implementar uma poltica restritiva (negao, a menos
explicitamente permitido) ou uma poltica permissiva (permisso, a menos
explicitamente negado)?
- o princpio da funcionalidade mnimo necessrio e
acesso aplicadas?
- Ser que a justificativa para a configurao do controle de alinhar com
poltica, as expectativas empresariais e outros motoristas?
implementao de controle
- cada controle executado de acordo com as polticas
e normas?
- So controles auto-protegendo?
- Will controla o pessoal de segurana de alerta se eles falharem ou detectar
uma
condio de erro?
- Ter controles foram testados para verificar se implementar o
poltica destinada?
- So as atividades de controle registrado, monitorado e revisto?
- Os controles atender aos objetivos de controle definidos?
- So objetivos de controle mapeados para os objetivos organizacionais?
Detalhes das tecnologias de segurana especficos, controle tcnico
arquitetura e anlise de requisitos de controlo tcnico
so um componente importante do programa de segurana da informao
desenvolvimento, bem como decorrendo a gesto e administrao.
O gerente de segurana da informao deve ser bem versado no
tecnologias que fazem parte da arquitetura de segurana e tcnico
tm acesso a especialistas tcnicos que sero responsveis pela
instalao, configurao e manuteno dessas tecnologias.
3.15.10 testes de controle e modificao
Mudanas no ambiente tcnico ou operacional muitas vezes pode
modificar o efeito protetor dos controles ou criar novos pontos fracos
que os controles existentes no so projetados para mitigar. Testes peridicos
de controles devem ser implementados para garantir que os mecanismos
continuamente reforar as polticas e que os controles processuais esto sendo
realizado de forma consistente e eficaz.
Alteraes controles tcnicos ou operacionais devem ser feitas
com cautela. Deve ser feito alteraes em controles tcnicos
acordo com os procedimentos de controle de mudanas e aprovao das partes
interessadas. O
gerente de segurana da informao deve analisar o controle proposto
ambiente para determinar se existem vulnerabilidades novos ou recorrentes
no desenho e para assegurar que o controlo concebido adequadamente
(Isto , auto-proteco, contm uma poltica de falha, pode ser monitorizada).
Aps a implementao, testes de aceitao devem ser realizados para

assegurar que as polticas prescritas so impostas pelos mecanismos.
Mudanas nos procedimentos operacionais tambm devem passar por reviso
e
aprovao pelas partes interessadas apropriadas. Mudanas necessrias para
processo
insumos, etapas de atividades, aprovaes ou revises, e os resultados do
processo
devem ser consideradas e modificaes nos processos relacionados e
tecnologias devem ser coordenadas. Consideraes de carga de trabalho deve
tambm ser levados em considerao para garantir que as alteraes
operacionais
controles no sobrecarregue os recursos e afetar a qualidade operacional.
Se a formao de pessoal adicional necessrio para implementar mudanas,
deve ser coordenado e concludo antes da implementao de
a mudana. O controle operacional deve ser revista a forma
de um walk-through logo aps a implementao para garantir que todos
elementos so compreendidas e devidamente implementadas.
Informaes detalhadas esto disponveis no desenvolvimento de controle
objetivos e implementao de controles especficos do COBIT e
outras fontes, como a ISO / IEC 27001 e 27002.
3.15.11 controles de linha de base
Controles de segurana de referncia definidos deve ser um requisito de p
para todo o desenvolvimento de novos sistemas. Os requisitos de segurana
devem
ser definido e documentado como uma parte essencial do sistema
documentao. Rastreabilidade adequada dos requisitos de segurana
deve ser assegurada e apoiada atravs das diferentes fases do
ciclo de vida. Alguns exemplos incluem funes de autenticao, registro,
controle de acesso baseado em funo e confidencialidade de transmisso de
dados
mecanismos. O gerente de segurana da informao deve referir-se
para a indstria e de fontes regionais para determinar um conjunto de base de
funes de segurana adequadas s suas polticas organizacionais e
outras necessidades. Controles suplementares pode ser justificado com base
em
vulnerabilidades, ameaas e anlise de risco, e esses controles devem ser
includos no processo de coleta de requisitos.
Pgina 193

Seo Dois: Contedo
189
A equipe de segurana da informao pode ser consultada durante o projeto
e fases de desenvolvimento para avaliar a capacidade das opes de soluo
para satisfazer os requisitos. Raramente uma soluo perfeita encontrada, e
sempre haver trade-offs entre os requisitos de segurana,
desempenho, custos e outras exigncias. importante que o
gerente de segurana da informao exerccio diligncia na identificao e
comunicar deficincias de solues e desenvolvimento de atenuante
ou controles de compensao conforme necessrio. A segurana da
informao
gerente tambm deve empregar recursos internos ou externos
rever prticas de codificao e lgica de segurana durante o desenvolvimento
para
assegurar que as prticas adequadas esto sendo empregados.
Durante as fases de qualidade e de aceitao, a informao
gerente de segurana devem coordenar testes de originalmente
estabeleceu requisitos de segurana funcional, alm de testes
interfaces do sistema em busca de vulnerabilidades. Este teste deve verificar
que os mecanismos de segurana do sistema atendem os objetivos de controle
e
fornecer equipe de segurana da informao com necessria administrativa
e as funes de feedback. Se falhas de segurana funcionais,
codificao de vulnerabilidades ou falhas lgicas explorveis so
identificados,
o gerente de segurana da informao deve trabalhar com o projeto
equipe para priorizar e resolver problemas. Se os problemas no podem ser
reparados
ou mitigados antes de lanamento planejado, a gerncia snior
equipe deve analisar as questes de segurana e os riscos associados para
decidir
se o sistema deve ser implantado antes da resoluo de identificado
vulnerabilidades. Se o sistema deve ser implantado com o no resolvido
questes de segurana, o gerente de segurana deve garantir que haja
um calendrio acordado-on para resolver problemas ou, se no houver vivel
resoluo disponvel no momento, acompanhar e reavaliar periodicamente o
emitir e para determinar se uma resoluo vivel tornou-se
disponvel.
O gerente de segurana deve garantir que a segregao adequada
dos deveres considerado em todo o SDLC. Pessoal
promovendo cdigo para produo (implantao) no deve ser o
mesmo pessoal que desenvolveu, testado ou aprovado o cdigo.
Planos de testes e controle de qualidade tambm deve ser objeto de reviso
pelo
gerente de segurana para garantir que os elementos de segurana so

devidamente
testado e certificado. Em alguns casos, para o software desenvolvido para
operaes crticas, pode ser necessria a realizao de uma reviso de cdigo
em adio ao processo de teste de controle de qualidade. As revises de
cdigo so frequentemente
terceirizado para uma reviso independente.
Mtricas 3.16 Programa de Segurana
e monitoramento
No processo de gesto do programa de segurana da informao,
vrios aspectos de mtricas deve ser considerado. Primeiro, esto a
mtricas necessrias para acompanhar e orientar-se o desenvolvimento do
programa
nos nveis de projeto, gesto e estratgicas? Em segundo lugar, ser o
desenvolvimento de mtricas de ser necessrio para o gerenciamento contnuo
de
os resultados do programa? Dado que um dos elementos essenciais da
seleo controles se eles podem ser eficazmente controlado
e medida, fundamental considerar este aspecto durante o programa
design e desenvolvimento. Controles-chave que no podem ser monitorados
representar um risco de que deve ser evitado.
Para entender os conceitos de medida de segurana, os dois
palavras-segurana e medio-deve ser definido. O
segurana de uma organizao envolve muito mais do que especfica
controles tcnicos, como poltica, firewalls, senhas de intruso
deteco e planos de recuperao de desastres. A segurana certamente
composto de controles tcnicos, mas tambm inclui os processos
que cercam controles tcnicos e questes de pessoas. Estes trs
caractersticas de segurana tornam um sistema complexo, e quando
eles so combinados, pode ser chamado de um programa de segurana.
Para qualquer sistema complexo, aplicando a engenharia bsica do sistema
conceitos ir melhorar o desempenho do sistema. O
conceitos de design, implementao planejada, programada
manuteno e gerenciamento pode aumentar significativamente o
eficcia eo desempenho de um programa de segurana. Um
dos princpios fundamentais da engenharia de sistemas a
capacidade de medir e quantificar. Medio permite adequada
design, execuo rigorosa com as especificaes, e eficaz
actividades de gesto, incluindo a fixao de metas, seguindo o progresso,
aferio e priorizao. Na essncia, uma medio
requisito fundamental para o sucesso do programa de segurana.
Um programa de segurana eficaz envolve a concepo e planejamento,
implementao e gerenciamento contnuo das pessoas,
processos e tecnologia que impactam todos os aspectos da segurana em
uma organizao.
Pode ser til para esclarecer a distino entre gesto

os sistemas de segurana de TI tcnicos a nvel operacional e
a gesto global de um programa de segurana da informao.
Mtricas tcnicos so, obviamente, til para o puramente ttico
gesto operacional da segurana tcnica
infra-estrutura (por exemplo, servidores de antivrus, dispositivos de deteco
de intruso,
firewalls, etc) Eles podem indicar que a infra-estrutura
operado de uma forma slida e que vulnerabilidades tcnicas
so identificadas e tratadas. No entanto, estas medidas so de menos
valor do ponto de vista da gesto estratgica. Ou seja, eles dizem
nada sobre o alinhamento estratgico com objetivos organizacionais
ou quo bem o risco est a ser gerido, pois eles fornecem algumas medidas
de conformidade com a poltica ou se os objectivos para nveis aceitveis
do impacto potencial esto sendo alcanados. Eles tambm fornecem nenhum
informaes sobre o programa de segurana da informao direo,
velocidade
ou proximidade objetiva.
Do ponto de vista de gesto, embora tenha havido
melhorias nos indicadores tcnicos, que so geralmente incapazes de
fornecendo respostas para questes como:
Como seguro a organizao?
Quanto a segurana o suficiente?
Como podemos saber quando atingimos a segurana?
Quais so as solues mais rentveis?
Como podemos determinar o grau de risco?
Como posso arriscar ser previsto?
Ser que estamos caminhando na direo certa?
Que impacto a falta de segurana a ter na produtividade?
Qual o impacto que uma falha de segurana catastrfica tem?
Qual ser o impacto das solues tm sobre a produtividade?
Pgina 194

Seo Dois: Contedo
190
3.16.1 mtricas desenvolvimento
O processo de governana da segurana da informao descrito no
captulo 1, seo 1.4, Governana de Segurana da Informao
Viso geral, deve produzir um conjunto de metas para a informao
de segurana do programa-metas, que so adaptados para a

organizao. Como
discutido na seo 3.6.1 Conceitos, esses objetivos gerar
objetivos de controle e atividade de planejamento correspondente projetado
para alcanar os objectivos que resultam nos resultados desejados.
Mtricas do programa de segurana da informao que diretamente
correspondem a
esses objetivos de controle so essenciais para a gesto do programa.
Deve ser evidente que no ser possvel desenvolver
mtricas de gerenciamento de segurana significativo, sem o fundamento da
governana para definir metas e criar pontos de referncia. Isto quer dizer,
medidas sem uma referncia na forma de objetivos ou metas
no so mtricas e no susceptveis de serem teis na orientao do programa.
Em ltima anlise, as mtricas de servir apenas um suporte objetivodeciso. Ns
medir para gerir. Medimos a fornecer as informaes sobre
qual basear decises informadas em relao ao que estamos tentando
realizar, ou seja, as metas.
H uma srie de consideraes ao desenvolver til
e mtricas relevantes no decorrer do desenvolvimento do programa. Desde
o propsito de mtricas de apoio deciso, essencial saber
que as decises so tomadas em vrios nveis da organizao e
posteriormente, que as mtricas de informaes necessrio para fazer os
decises corretamente. Isso significa que os papis e as responsabilidades tm
a ser definida, a fim de saber quais as informaes requeridas pela
quais. O parmetro principal de projeto de mtricas pode ser resumida
como:
Quem precisa saber?
O que eles precisam saber?
Quando que eles precisam de saber isso?
Mtricas necessrio fornecer informao a um ou mais dos
trs seguintes nveis:
Estratgico
Gesto
Operacional
Estratgico
Mtricas estratgicas so muitas vezes uma compilao de outra gesto
mtricas projetados para indicar que o programa de segurana est no
caminho certo,
no alvo e no oramento para alcanar os resultados desejados. No
nvel estratgico, a informao necessria essencialmente "navegao",
isto , determinar se o programa de segurana est indo na direita
sentido de alcanar os objectivos definidos que conduzem ao desejado
resultados. Esta informao necessria, tanto pela informao
gerente de segurana, bem como a gerncia snior para fornecer
superviso adequada.
Gesto
Mtricas Management (tticos) ou so aqueles necessrios para gerenciar
o programa de segurana, tais como o nvel de polticas e normas
compliance, gerenciamento de incidentes e eficcia de resposta,
mo de obra e utilizao de recursos. No gerenciamento de segurana
nvel, informaes sobre o cumprimento, o risco emergente, de recursos
utilizao, o alinhamento com os objetivos de negcio, etc, sero necessrios
para tomar as decises necessrias para a gesto eficaz. O
gerente de segurana da informao requer tambm um resumo das tcnicas
mtricas para garantir que a mquina est a funcionar correctamente em
gamas aceitveis, tanto quanto o condutor de um veculo quer
saber que h combustvel no tanque e que a presso do leo e da gua
temperatura est em uma faixa aceitvel.
Operacional
Mtricas operacionais so a tcnica mais comum e
mtricas processuais como vulnerabilidades abertas, gerenciamento de patches
mtricas de status, etc puramente tcnicos ser til principalmente para TI
gerentes de segurana e administradores de sistema. Estes incluem o
medidas de mitigao de malware usuais, os dados de configurao de
firewall,
comentrios syslog e outros assuntos operacionais.
H um certo nmero de outras consideraes para desenvolver
mtricas. Os atributos essenciais que devem ser considerados incluem:
Gerencivel -Este atributo sugere que os dados devem ser
prontamente recolhida, condensada, classificado, armazenados,
correlacionados, revisado
e compreendido.
Significativa atributo Isto sugere que os dados devem ser
compreensvel para o destinatrio, relevante para os objectivos e
fornecer uma base para as decises necessrias para gerir.
acionvel -Assim como uma bssola deixa claro para um piloto em que
direo a cabea para permanecer no curso, por isso deve gesto
mtricas deixa claro se a virar esquerda ou direita. Informaes
que convida apenas uma investigao mais aprofundada pode ser apenas
desorganizao.
inequvoca -informao que no est claro pode no ser
ser til.
Confivel - essencial para ser capaz de contar com os vrios
mecanismos de feedback e que eles fornecem o mesmo resultado para
as mesmas condies de cada vez que so medidos. Por exemplo,
quando o tanque de gasolina realmente vazio, o medidor deve indicar que
cada vez que medido. Alm disso, para ser confivel, a mtrica
deve medir o que voc pensa que est medindo, e no um no relacionado
evento ou artefato esprio.
precisa -Mostrando um rumo de norte para o sul quando

pior do que no ter nenhuma informao a todos. O grau de preciso
depende do grau de importncia a medida e varia consideravelmente.
Mtricas qualitativas podem ser aproximados, mas, no entanto, so
adequada. Mtricas quantitativas precisam ser precisas para ser de qualquer
usar, por exemplo, se o indicador mostra 10 litros de combustvel, mas o real
montante de apenas cinco anos, a mtrica pode ser perigoso.
Timely -Para ser til, o feedback deve ocorrer quando necessrio.
melhor saber que a porta do celeiro est aberta antes da
cavalo escapa.
Predictive -Na medida do possvel, os principais indicadores so
muito valioso.
Genuine -Metrics sujeito manipulao so menos confiveis e
pode sofrer preciso tambm.
Estes atributos podem ser utilizados como meta-mtricas (isto , uma medida
de mtricas de si) que serve para classificar as mtricas e determinar
que so mais teis. Qualquer mtrica que substancialmente no cumprir
esses critrios suspeito. Em muitos casos, as mtricas em uso por mais
organizaes no ir avaliar bem nesses critrios, mas mesmo assim
pode ser o melhor disponvel. Tambm deve ser entendido que mesmo
mtricas bem classificados podem falhar. Uma abordagem prudente se
esforar para
criar um sistema de mtricas que referncia cruzada entre si para a
efeitos de validao. Isto pode ser conseguido medindo
dois aspectos distintos da mesma coisa e garantir a acordo
Pgina 195

Seo Dois: Contedo
191
entre eles. Por exemplo, se um motor consome cinco litros de
combustvel de hora em hora, um tanque de 10 litros deve durar duas
horas. Aps um
hora, o medidor de combustvel deve indicar que a metade do tanque
permanece,
supondo que ele estava cheio no incio. De maneira similar, as discrepncias
entre as medidas internas de cumprimento e os resultados de uma
auditoria deve ser investigada para determinar qual medida defeituoso. Se
ambos indicam aproximadamente o mesmo nvel de conformidade, que
serve para validar as medidas.
Um nmero de outros atributos descritivos pode ser desenvolvido, mas
os listados acima so os mais significativos. A questo ento

torna-se esses atributos podem ser priorizados ou se
quaisquer mtricas ou combinaes de mtricas que no incluem mais
ou todas as caractersticas acima devem ser descartadas.
Mtricas de gerenciamento de segurana devem ser implementadas para
determinar
a eficcia em curso de segurana para cumprir os objectivos definidos
nos nveis estratgico, de gesto e operacionais. As informaes
obrigados a tomar decises sobre a segurana ser diferente para cada
destes nveis, como ser a mtrica para capturar.
Os processos de controlo so necessrias para garantir o cumprimento
leis e regulamentos aplicveis ao qual a organizao
assunto. Monitoramento de todas as mtricas relevantes necessrio para
garantir
que eles esto operando e que as informaes que eles fornecem
adequadamente distribudos e manipulados.
Nos ltimos anos, uma srie de indstrias tornaram-se sujeitos a
regulamentaes especficas para garantir a segurana ea privacidade de
informaes sensveis
informaes, especialmente em organizaes financeiras e de sade,
e para reduzir o risco operacional em infra-estrutura crtica nacional
organizaes. Compliance falha nestes casos
pode ter implicaes legais contrrios, para monitorizao adequada
um requisito.
Para avaliar a eficcia da segurana de uma organizao
programa (s), o gerente de segurana da informao deve ter um
compreenso completa de como monitorar programas de segurana
e controles em uma base contnua. Alguns monitoramento tcnico
e de natureza quantitativa, enquanto outros aspectos so, por necessidade,
mtricas imprecisas e qualitative.Technical pode ser usado para fornecer
mtricas quantitativas para monitorao e podem incluir elementos
tais como:
Nmero de vulnerabilidades no corrigidos
Nmero de itens de auditoria abertos ou fechados
Nmero ou percentagem de contas de usurio em conformidade
com as normas
penetraes Permetro
variaes de segurana no resolvidos
Mtricas qualitativas que devem ser monitoradas podem ser usadas para
determinar as tendncias e podem incluir coisas como:
nveis de CMM em intervalos peridicos
KGIs
KPIs
Negcios balanced scorecard (BSC)
indicadores de qualidade Six Sigma
indicadores de qualidade ISO 9001

Outras medidas relevantes de significado pode incluir
relao custo-eficcia dos controles e da extenso das falhas de controle.
Outras atividades de monitoramento dizem respeito ao cumprimento de
organizao,
com as polticas e procedimentos de segurana estabelecidos pela
organizao como uma linha de base de segurana. Como os recursos de
informao
mudar ao longo do tempo, importante estar ciente de que a segurana
linha de base e os recursos devem se adaptar s novas ameaas e novos
vulnerabilidades. importante que todos os intervenientes esto conscientes
da
essas mudanas e um consenso adequada seja atingida.
3.16.2 abordagens de monitoramento
importante que o gestor de segurana para desenvolver um consistente,
mtodo confivel para determinar a eficcia global em curso de
o programa. Uma maneira realizar regularmente avaliaes de risco
e acompanhar as melhorias ao longo do tempo. Outra ferramenta padro o
uso de varredura externa e interna e testes de penetrao para
determinar as vulnerabilidades do sistema, embora isso s vai indicar
a eficcia de uma faceta do programa global. Faz-lo em
uma base regular e acompanhar os resultados podem ser um indicador til
de tendncias em segurana tcnica. A maioria das organizaes conduzir
varreduras de vulnerabilidades regulares para determinar se as
vulnerabilidades abertas
so abordados e para ver se novos aparecem. Melhoria constante
a marca de um efetivo programa de apesar de limitado
valor a partir de uma perspectiva de gesto, a menos que acompanhado por
informaes sobre ameaas viveis e possveis impactos para fornecer
informao suficiente para informar as decises de segurana apropriadas.
Alm de monitorar as atividades de segurana automatizados, o
atividades de gerenciamento de mudana da organizao tambm deve
alimentar o
programa de monitoramento de segurana da informao. Mtricas so
importantes,
mas de pouca utilidade se as tendncias adversas no so tratadas de forma
atempada
maneira. O gerente de segurana da informao deve ter um processo
no lugar em que as mtricas so revistos regularmente e qualquer
atividade incomum relatado. Um plano de ao para reagir incomum
atividade deve ser desenvolvida, bem como um plano pr-ativo para tratar
tendncias da atividade que podem levar a uma falha de segurana
ou falha.
Monitoramento das atividades de segurana em infra-estrutura e
Aplicaes de Negcio
Desde a vulnerabilidade da organizao a violaes provveis de segurana

existe 24/7, o monitoramento contnuo das actividades de segurana um
prtica empresarial prudente que o gestor de segurana da informao
deve implementar. Uma grande parte deste monitoramento ser
tcnico e pode ser realizada por pessoal de TI. Neste caso, o
requisitos de monitoramento deve ser definido no funcionamento adequado
normas, juntamente com critrios de gravidade e os processos de
escalonamento.
A monitorizao contnua da IDS e firewalls podem fornecer
informao em tempo real de tentativas de violao permetro defesas.
Pessoal ajuda Formao de mesa para escalar relatrios suspeitos
que pode ser sinal de uma violao ou um ataque pode servir como um eficaz
sistema de monitorizao e de alerta precoce. Esta informao pode ser
fundamental para a tomada de aes corretivas em tempo hbil.
Determinar o sucesso da Segurana da Informao
Investimentos
importante que o gerente de segurana da informao para ter
processos em andamento para determinar a eficcia global do
Pgina 196

Seo Dois: Contedo
192
investimentos em ttulos e na medida em que os objetivos foram
satisfeitas. H sempre a competio por recursos nas organizaes,
ea diretoria vai procurar obter os melhores retornos sobre
investimento e justificar os custos.
Durante a concepo e implementao do programa de segurana,
o gerente de segurana da informao deve garantir que os KPIs so
definido e acordado, e que um mecanismo para medir o progresso
contra esses indicadores implementada. Desta forma, a informao
gerente de segurana pode avaliar o sucesso ou o fracasso de vrios
componentes do programa de segurana e se so
custo justificvel. Isso ser til no desenvolvimento de um negcio
caso para outros elementos de um programa de segurana.
Os custos reais para vrios componentes de um programa de segurana
necessidade
para ser precisamente calculado para determinar o custo-efetividade. Ele
til usar o conceito de TCO para avaliar os diversos
componentes de um programa de segurana. Alm inicial
os custos de aquisio e implementao, importante incluir:
Custos para administrar controles

Os custos de treinamento
Os custos de manuteno
os custos de monitorizao
taxas de atualizao
Consultor ou help desk taxas
Taxas associadas com outros sistemas inter-relacionados que podem ter
foi modificado para acomodar os objetivos de segurana
3.16.3 Medio de Segurana da Informao
Gesto de desempenho
O gerente de segurana da informao deve entender como
implementar processos e mecanismos que permitam a capacidade
para avaliar o sucesso e deficincias da segurana da informao
programa. Medir o sucesso consiste em definir mensurvel
objetivos, seguindo as mtricas mais adequadas e periodicamente
analisar os resultados para determinar as reas de sucesso e melhoria
oportunidades. Os objetivos especficos da informao
programa de segurana variam de acordo com o alcance e operacional
nvel do departamento de segurana, mas deve ser conceitual e
cronologicamente alinhados com os objetivos de negcios.
Um programa de segurana da informao geralmente inclui um conjunto de
objectivos comuns:
Minimizar riscos e perdas relacionadas a questes de segurana da
informao.
Suporte realizao dos objetivos organizacionais gerais.
Suporte realizao organizacional de cumprimento.
Maximize a produtividade operacional do programa.
Maximize a segurana de custo-eficcia.
Estabelecer e manter a conscientizao da segurana organizacional.
Facilitar a efetiva lgica, tcnica e operacional
arquitetura de segurana.
Maximizar a eficcia da estrutura e dos recursos do programa.
medir e gerenciar o desempenho operacional.
Embora cada organizao deve desenvolver a sua organizao de
objetivos especficos, as seguintes sees cobrir o mais comum
objetivos e sugerir metodologias para medir o seu
entrega bem sucedida.
3.16.4 medir o risco de Segurana da Informao
e perda
O objetivo primrio de um programa de segurana da informao
garantir que o risco gerido adequadamente e que os impactos de
eventos adversos cair dentro de limites aceitveis. Atingir perfeito
segurana, mantendo a usabilidade do sistema praticamente impossvel.
Determinar se o programa de segurana est funcionando em um
eficincia operacional de balanceamento de nvel adequado contra adequada
segurana, pode ser tratada de vrias formas a partir de diferentes

perspectivas.
A seguir, so possveis abordagens para medir periodicamente
o sucesso do programa contra a gesto de risco e perda
objectivos de preveno:
A abordagem de gerenciamento de vulnerabilidade tcnica coloca a
as seguintes questes:
- Quantos tcnica ou vulnerabilidades operacionais existe?
- Quantos foram resolvidos?
- Qual o tempo mdio para resolv-los?
- Quantos recorreram?
- Quantos sistemas (crtico ou no) so afetados por eles?
- Quantos tm o potencial para explorar externo?
- Quantos tm o potencial para um compromisso bruto (por exemplo,
execuo remota de cdigo privilegiado, administrativo no autorizado
acesso, a exposio em massa de informaes impressas sensvel)?
A abordagem de gesto de risco est preocupado com o
- Quantos de alta, problemas de baixo risco, a mdio e esto sem soluo?
Qual a ALE agregado?
- Quantos foram resolvidas durante o perodo? Se
disponvel, o que o ALE agregado que foi eliminado?
- Quantos foram completamente eliminados contra parcialmente
mitigado contra transferido?
- Quantos foram aceitos porque no mitigao nem
mtodo de compensao era defensvel?
- Quantos permanecem abertos por causa da falta de ao ou falta de
cooperao?
A abordagem de preveno de perdas est preocupado com o
- Houve eventos de perda durante o perodo? O que
a perda agregada incluindo a investigao, recuperao de dados
reconstruo e gesto de relacionamento com o cliente?
- Quantos eventos eram evitveis (ou seja, risco ou vulnerabilidade
identificado antes do evento de perda)?
- Qual foi a quantidade mdia de tempo gasto para identificar a perda
incidentes? Para iniciar os procedimentos de resposta a incidentes? Para isolar
incidentes de outros sistemas? Para conter as perdas de eventos?
Em adio a estas medidas quantitativas, um nmero de qualitativa
medidas podem ser aplicadas gesto de risco o sucesso de monitoramento.
Algumas delas incluem:
fazer atividades de gesto de risco ocorrer como programado?
Alguma resposta a incidentes e BCPs foi testado?
Os estoques de ativos, custodianships, avaliaes e risco
analisa up-to-date?
Existe um consenso entre as partes interessadas de segurana da informao

como
para nveis aceitveis de risco para a organizao?
No ocorrer actividades de superviso e gerncia executiva de reviso
como o planejado?
Pgina 197

Seo Dois: Contedo
193
3.16.5 Medio apoio dos organizacional
OBJETIVOS
Como discutido em outras partes deste livro, as informaes
programa de segurana deve apoiar os objetivos organizacionais principais.
Medindo esse conjunto de objetivos , em grande parte subjetiva e
objetivos organizacionais podem mudar rapidamente em face
da evoluo das presses operacionais e condies de mercado.
As seguintes medidas qualitativas podem ser revistos pela
informaes de segurana comit de direco e / ou executivo
gesto:
Existe correlao documentada entre chave organizacional
marcos e os objectivos do programa de informao?
Quantos objetivos de segurana da informao foram sucesso
concludo em apoio s metas organizacionais?
Houve metas organizacionais que no foram cumpridos porque
objetivos de segurana da informao no foram cumpridas?
Quo forte consenso entre as unidades de negcios, executivo
partes interessadas de segurana de gesto e outras informaes que
objetivos do programa so completos e adequados?
O gerente de segurana da informao deve reconhecer que
muito do valor de uma medida de sucesso na anlise do porqu de um
objetivo foi ou no foi cumprida. Entre as medidas qualitativas, tais como os
representado por apoio aos objetivos organizacionais devem ser
tratadas como tal. Para os objetivos no atendidas, as razes pelas quais eles
eram
no realizado deve ser analisado eo feedback
utilizado para orientar a otimizao contnua da informao
3.16.6 avaliao do cumprimento
Uma preocupao essencial, contnuo e fundamental para obter informaes
gesto do programa de segurana a poltica e os padres
cumprimento. Dado que a maioria das falhas de segurana so o resultado

de pessoal que no seguem os procedimentos em conformidade com
normas, a conformidade um elemento essencial de segurana
gesto. Criticidade e sensibilidade deve ser conhecido, pois
mandatar o nvel de cumprimento que deve ser alcanado para gerenciar
risco a nveis aceitveis. Nada menos do que 100% de conformidade
inaceitvel quando pilotar avies de passageiros ou operar nuclear
usinas desde impactos tendem a ser catastrfico e
inaceitvel. Para qualquer atividade que no de vida ou organizao
ameaador, o custo dos esforos de conformidade deve ser ponderado
em relao aos benefcios e impactos potenciais.
Verificao do cumprimento de normas tcnicas muitas vezes
simples e pode ser freqentemente automatizado. Observncia
com normas de procedimento ou processo geralmente mais difcil
e pode representar um desafio. Uma vez que este , frequentemente, a rea
de falha levando a comprometimento da segurana, que exige cuidado
considerao. Alguns requisitos de conformidade so suficientemente
crtica se justifica uma vigilncia contnua direta, como o acesso
controlado por guardas e procedimentos registe-in. Em outros casos,
controles policiais como registro e listas de verificao pode ser suficiente.
Os requisitos de conformidade pode ser tanto legal, contratual
ou interno. Se a organizao deve cumprir obrigatria
ou por normas voluntrias que envolvem a segurana da informao, a
gerente de segurana da informao deve garantir que as metas do programa
esto alinhados com estes requisitos. Da mesma forma, as polticas,
procedimentos e tecnologias implementadas pelo programa must
cumprir requisitos das normas adotadas. Medidas de
realizao conformidade so muitas vezes ligada aos resultados de interno
ou auditorias externas. O gerente de segurana da informao tambm pode
desejam implementar o controlo do cumprimento automatizado ou manual
com maior freqncia e / ou escopo mais amplo do que possvel com
auditorias incremental. Para alm do cumprimento real point-in-time,
o programa deve ser medida sobre a eficcia de resolver
identificou questes de conformidade.
3.16.7 Medio produtividade operacional
Nenhum programa de segurana da informao tem recursos ilimitados. Casal
esta realidade com o rpido crescimento da tecnologia da informao
empresas, ea necessidade de o gerente de segurana da informao para
maximizar a produtividade operacional aparente.
Maneiras em que a produtividade pode ser melhorada incluem o uso de
tecnologias de automao, terceirizao de baixo valor operacional
tarefas e alavancar as atividades de outra organizao
unidades. Tecnologias de automao de gerenciamento de segurana podem
agir
como multiplicadores de fora de trabalho, aumentando a realizao de
tarefas operacionais muitas vezes. Ferramentas de verificao de

Vulnerabilidade
so um excelente exemplo deste efeito; vulnerabilidade Manual
avaliao que levou vrias pessoas de vrias semanas pode
agora ser realizado em horas ou dias. O pessoal reduo de custos
muitas vezes pode justificar o gasto de tais ferramentas.
Medidas de produtividade so mais teis quando empregados em um
anlise de comparao com base no tempo. Esta abordagem fornece uma
demonstrao poderosa de valor de automao de segurana, mostrando
produtividade antes e depois de uma tecnologia de aumento de produtividade
foi aplicada. Usando essa abordagem, a segurana da informao
gerente pode demonstrar o retorno sobre investimentos em segurana.
A produtividade uma medida de produto de trabalho gerado por recursos.
Por exemplo, se "as entradas de log de eventos analisados" o produto do
trabalho
e "analista de segurana" o recurso, a medida de produtividade
"eventos analisados por analista." medidas de produtividade pode ser
aplicado aos recursos de tecnologia, alm do pessoal, por exemplo,
"pacotes de rede processados por n IDS."
O gerente de segurana da informao deve definir metas peridicas para
aumentar a produtividade do programa de segurana da informao
atravs de iniciativas especficas. Essas metas devem ser revistos para
determinar os ganhos de produtividade alcanados. Sempre que possvel, o
gerente de segurana da informao deve analisar os dados, como por hora
custo empregado e esforo despendido por tarefa de demonstrar a
valor financeiro de iniciativas de melhoria de produtividade para
gerncia snior.
3.16.8 medir a segurana de custo-efetividade
importante que o programa de segurana da informao
financeiramente sustentvel, a fim de que os controles de segurana degradar
devido m
manuteno e suporte. As restries financeiras so um problema comum
motivo de falhas de segurana, incluindo a incapacidade de planejar para
curso
requisitos de manuteno. O gerente de segurana da informao
deve trabalhar para maximizar o valor de cada investimento em segurana
a fim de controlar as despesas de segurana da informao e assegurar
realizao sustentvel dos objetivos.
Pgina 198

Seo Dois: Contedo
194

Este processo comea com previso de custo exato e oramentao.
O sucesso desta atividade geralmente estabelecido pelo monitoramento
utilizao oramento contra projees originais e pode ajudar a identificar
problemas com planejamento de custos de segurana. Alm de medir
oramentao eficcia, o gerente de segurana da informao deve
implementar procedimentos para medir a relao custo-eficcia em curso
de componentes de segurana, na maioria das vezes feito por rastreamento
relao custo / resultado. Esta abordagem estabelece relao custo-benefcio
metas para novas tecnologias e metas de melhoria para existente
tecnologias de medio do custo total da produo de uma
resultado especfico.
Para ser exato, os custos devem incluir a manuteno, operaes e
custos de administrao para o perodo analisado (por exemplo, ms,
trimestre,
ano). Incluindo todos os custos pertinentes fornece a segurana da informao
gerente com o TCO para o investimento em segurana que est sendo
analisado.
Rcios de unidades de resultado por unidade de moeda (por exemplo, 7.400
pacotes de rede
analisados por dlar dos EUA por ano), ou vice-versa (0.04 euros por
mil e-mails digitalizados anualmente) pode ser utilizado para demonstrar
custo
eficincia e custo de resultados. Outros exemplos incluem:
Custos de avaliao de vulnerabilidade por aplicativo
Os custos para os controles de segurana da estao de trabalho por usurio
Custos para o e-mail de spam e proteo contra vrus por caixa de correio
Esforos de compra e implantao de tecnologia representam apenas uma
frao dos custos totais do ciclo de vida. O gerente de segurana da
informao
deve considerar regularmente os custos totais de manuteno, operando
e administrao de componentes de segurana tcnica. Alm disso,
os custos com pessoal associados em curso operacional e
actividades de gesto tambm deve ser considerado. Estas anlises
deve ser compartilhada com o comit gestor de segurana para ajudar a
identificar reas de oportunidade para melhorar a relao custo-eficcia e
para auxiliar na previso de necessidades de recursos futuros.
3.16.9 Medio conscincia organizacional
Mesmo em um ambiente tcnico rigidamente controlado, o pessoal
aes podem apresentar ameaas que s podem ser mitigados atravs de
educao e conscientizao. importante que as informaes
programa de segurana para implementar processos para acompanhar o
andamento
eficcia dos programas de sensibilizao.
Rastreamento conscincia organizacional mais comumente atingida

ao nvel dos funcionrios. Como tal, o gerente de segurana da informao
deve trabalhar com o seu / departamento de RH de sua organizao de
implementar mtricas para rastrear o sucesso organizacional conscincia.
Registros de formao inicial, a aceitao de polticas e uso
acordos e atualizaes contnuas de conscientizao so mtricas teis
em relao ao programa de treinamento real. Alm de identificar
pessoas que necessitam de treinamento, isso ajuda a identificar organizacional
unidades que podem no ser totalmente engajados na conscientizao de
segurana
programa.
Outra medida da eficcia do programa conscincia empregado
teste. O gerente de segurana da informao deve desenvolver ferramentas
tais como exames online ou em papel curtas que so administrados
imediatamente aps o treino para determinar a eficcia
do treinamento. Alm disso, a realizao de quizzing adicional numa
amostragem aleatria de funcionrios de vrios meses aps o treinamento ser
ajudar a determinar a eficcia a longo prazo do treinamento de
conscientizao
e outros esforos (por exemplo, boletins de segurana da informao).
3.16.10 Avaliar a eficcia das tcnicas
Arquitetura de Segurana
A arquitetura de segurana tcnica muitas vezes um dos mais
manifestaes tangveis de um programa de segurana da informao. Ele
importante que o gerente de segurana da informao para estabelecer
medidas quantitativas de a eficcia do controle tcnico
ambiente. A gama de possveis mtricas tcnicas bastante
amplo, eo gerente de segurana da informao deve identificar aqueles
mtricas mais significativas para os destinatrios identificados. Tcnico
mtricas de segurana podem ser categorizados para relatrios e anlises
fins de recurso protegido e localizao geogrfica. Alguns
exemplos de mtricas de eficcia tcnicas de segurana incluem:
Sonda e ataque tentativas repelidas pelo controle de acesso de rede
dispositivos; qualificar por ativo ou recurso alvo, geografia fonte
e tipo de ataque
Sonda e ataque tentativas detectados pelo IDS em interno
redes; qualificar interna contra externo fonte de recursos
alvo eo tipo de ataque
Nmero e tipo de compromissos reais; qualificar por ataque
gravidade, tipo de ataque, a severidade do impacto e fonte de ataque
As estatsticas sobre vrus, worms e outros malwares identificados e
neutralizados; qualificar por potencial de impacto, maior gravidade da
Surtos de Internet e malwares vetor
Quantidade de tempo de inatividade atribuveis a falhas de segurana e
sistemas desatualizados
Nmero de mensagens processadas, as sesses analisadas, e

kilobytes (KB) de dados examinados por IDSs
Alm das mtricas de sucesso quantitativos acima, existem
uma srie de medidas qualitativas importantes que se aplicam ao
ambiente de controle tcnico. Alguns exemplos incluem:
mecanismos tcnicos individuais foram testados para verificar
objetivos de controle e aplicao de polticas.
A arquitetura de segurana construdo de controles adequados
de uma forma em camadas.
Os mecanismos de controle esto corretamente configurados e monitorados
em
em tempo real, auto-proteo implementadas, e segurana da informao
pessoal alertado para falhas.
Todos os sistemas crticos transmitir eventos de segurana da informao
pessoal ou a anlise de eventos ferramentas de automao para em tempo real
deteco de ameaas.
O gerente de segurana da informao deve ter em mente que,
Embora estas medidas e mtricas so teis para TI e
gesto e outros de segurana da informao, a maioria ter pouco
o que significa para a gerncia snior e so mais provavelmente de pouco
interesse. Um resumo composto indicando o departamento de segurana
se realizar de acordo com as expectativas, provavelmente, ser muito
mais til para a gerncia snior e executivo.
3.16.11 Avaliar a eficcia das
Quadro de gesto e recursos
Eficiente gesto de segurana da informao maximiza a
resultados produzidos pelos componentes e processos que implementa.
Mecanismos para a captura de feedback do processo, identificando problemas
e oportunidades, consistncia na execuo, acompanhamento
e comunicar eficazmente as mudanas e ajuda o conhecimento
maximizar a eficcia do programa. Mtodos de monitoramento do
O sucesso do programa nesta rea incluem:
Pgina 199

Seo Dois: Contedo
195
Acompanhamento da freqncia de emisso de recorrncia
Acompanhamento do nvel de captura de conhecimento operacional
e disseminao
O grau em que as implementaes de processo so padronizados
Clareza e completude da segurana da informao documentada

papis e responsabilidades
requisitos de segurana da informao incorporadas cada
plano de projeto
Os esforos e resultados em tornar o programa mais produtivo e
relao custo-benefcio
utilizao e tendncias dos recursos de segurana geral
alinhamento contnuo com, e apoio de, objetivos organizacionais
O gerente de segurana da informao deve implementar tais
mecanismos com o objetivo de extrair valor "latente" adicional
da estrutura, procedimentos e recursos que compem
o programa.
3.16.12 Medir o desempenho operacional
Medio, monitoramento e elaborao de relatrios sobre a segurana da
informao
processos ajuda o gerente de segurana da informao garantir que
componentes operacionais do programa efetivamente apoiar o controle
objetivos. As medidas de desempenho operacional de segurana incluem:
Tempo de detectar, escalar, isolar e conter incidentes
O tempo entre a deteco e resoluo de vulnerabilidade
Quantidade, freqncia e gravidade dos incidentes descobertos aps
a sua ocorrncia
Tempo mdio entre o lanamento de patches de vulnerabilidades fornecedor
e sua aplicao
Percentual de sistemas que tenham sido objecto de auditoria num
certo perodo
Nmero de mudanas que so liberados sem mudana completa
aprovao controle
O gerente de segurana da informao deve determinar o mais
mtricas apropriadas para acompanhar as operaes de segurana dentro de
tudo
unidades organizacionais. Essas mtricas devem ser compilados, analisados
e distribudo s partes interessadas e gesto responsvel
, numa base regular. Problemas de desempenho devem ser analisados para
causa raiz pelo comit gestor de segurana e melhoria
solues implementadas.
3.16.13 monitoramento e comunicao
H uma srie de consideraes de monitoramento na implementao
ou gesto de um programa de segurana, independentemente do seu
mbito. Novo
ou controles modificados, alm de vrios outros de design
Consideraes exigir mtodos para determinar se eles so
funcionar como desejado. Monitoramento controles tcnicos, muitas vezes,
consistem em rever registros e vrios alertas, como um IDS ou
firewalls para as vulnerabilidades de segurana em potencial ou ameaas

emergentes.
Outras atividades de monitoramento que so to importantes e, normalmente,
mais difcil vai incluir controles de procedimento e de processo.
Acompanhamento tcnico dos processos fsicos provvel que seja o mais
eficiente e eficaz. Pessoal geralmente interface com informaes
sistemas em vrios pontos processos tpicos e estes sero
os pontos de controle mais promissoras para monitorar. Monitoramento mais
cedo
em processos, alm de prestar ateno para os resultados adequados, vontade
fornecer advertncia anterior de problemas iminentes.
Monitorizao da segurana dos sistemas de informao um crtico
componente operacional de qualquer programa de segurana da informao. O
gerente de segurana da informao deve considerar o desenvolvimento de
um meio de monitorao central que proporciona a visibilidade analistas
em todos os recursos de informao da empresa. H uma ampla gama
de eventos de segurana que so registrados e que poderiam ser monitorados,
e cada organizao precisa determinar quais eventos so o
mais pertinentes em termos de recurso afetado e tipo de evento. Alguns
tipos de eventos comumente monitorados so:
tentativas de acesso no conseguiu recursos
falhas de processamento que podem indicar adulterao do sistema
As interrupes, as condies de corrida e falhas relacionadas insuficincia
de recursos
alteraes nas configuraes do sistema, especialmente os controles de
segurana
acesso ao sistema privilegiado e atividades
Deteco de falhas de componentes de segurana Tcnico
Procedimentos para anlise de eventos e tendo apropriado responsivo
deve ser desenvolvida a ao. Analistas de monitoramento de segurana deve
ser
treinados sobre esses procedimentos, e os supervisores de monitoramento
deve
ter procedimentos de resposta para lidar com anomalias. Normalmente
resposta
procedimentos envolvem anlise de eventos relacionados e estados do
sistema,
captura de informaes relacionadas com o evento adicional, investigando
atividade suspeita, ou a escalada da questo para analistas seniores ou
gesto. O caminho de escalada para eventos de segurana e incidentes
iniciao deve ser testado regularmente.
Alm do monitoramento em tempo real, a segurana da informao
gestor deve realizar periodicamente a anlise das tendncias em
eventos relacionados segurana, tais como tipos de ataque ou tentativas mais
recursos freqentemente alvo. A viso mais associado
este tipo de anlise muitas vezes pode revelar padres de ameaas e riscos que
, caso contrrio, passar despercebidas.
Todos os controles-chave devem ser monitorados em tempo real, se
possvel. Log
opinies e IDS alertas so aps o fato, os controles policiais e
no o ideal para garantir reaco rpida.
Resultados do monitoramento contnuo pode ser enrolado para fornecer
garantia para a gesto que a segurana est fornecendo o
nveis adequados de garantias operacionais e objetivos de controle
esto sendo atendidas.
3.17 comum de informaes de segurana
Desafios programa
Iniciar ou expandir um programa de segurana, muitas vezes, resultar em uma
surpreendente gama de impedimentos inesperados para as informaes
gerente de segurana. Estas podem incluir:
resistncia organizacional devido a mudanas nas reas de
responsabilidade instaurada pelo programa
A percepo de que o aumento de segurana vai reduzir o acesso necessrio
para funes de trabalho
excesso de confiana na mtricas subjetivas
A falta de estratgia
Hipteses de conformidade processual sem
superviso confirmando
gerenciamento de projetos, iniciativas de segurana ineficaz atrasar
Anteriormente sem serem detectados, quebrado ou um software de
segurana de buggy
Pgina 200

Seo Dois: Contedo
196
H sempre desafios culturais e organizacionais em qualquer trabalho
funo eo caminho no limpo para a segurana da informao
gerente simplesmente em virtude de ganhar o apoio da alta administrao.
A fim de implementar um programa verdadeiramente bem sucedida, a
cooperao
de muitos outros na organizao ser importante tambm.
Anexo 3.19 identifica alguns constrangimentos inerentes roteiro
de desenvolvimento para trs organizaes diferentes. Uma informao
gestor de segurana deve estar ciente do tipo de limitaes inerentes
na organizao ao projetar as atividades de controle e deve
se esforam para minimizar seu impacto sobre a segurana da informao

objectivos do programa.
A ltima linha mostra 3.19 mostra o programa de segurana da informao
capacidades de que resultam a partir do conjunto dos constrangimentos
associados com
a organizao correspondente. Organizao 1 a organizao
que apresenta o maior nmero de restries sobre a implementao de um
bem sucedido programa de segurana da informao. Organizao 3 o maior
controlada e, portanto, mais favorvel para o desenvolvimento de um sistema
eficaz
programa de segurana da informao. Estes exemplos so contrastados com
demonstrar que a capacidade de um gerente de segurana da informao
para produzir um programa de segurana da informao eficaz quase
totalmente dependente do ambiente em que operam.
Muitas organizaes ainda vem a segurana da informao como um de
baixo nvel,
centro de custo baseado em tecnologia, segurana e governana renunciar
gesto de segurana da informao estratgica. Enquanto universalmente
reconhecido como necessrio, a segurana da informao muitas vezes visto
como
obstrucionista e um impedimento para comear o trabalho feito. Este
situao pode criar um ambiente desafiador para uma informao
gerente de segurana. Algumas manifestaes comuns de tal

Cism2013 PT

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Cism2013 PT

Uploaded by

Copyright:

Available Formats

2013

Manual de Reviso 2013

Com mais de 100 mil eleitores em 180 pases, a ISACA (www.isaca.org)

Journal, e desenvolve internacional auditorias e controle

), Certificado em Governana de TI empresarial

Manual de 2013 Comente principalmente como um recurso educacional para

Junte-se ISACA no LinkedIn: ISACA (oficial), http://linkd.in/ISACAOfficial

CISM manual comentrio 2013

Manual de reviso. O objetivo deste manual fornecer CISM

Manual de reviso atualizada anualmente para manter o ritmo com as

proporcionar maior clareza ao contedo apresentado neste manual. O exame

Manual de reviso o resultado dos esforos coletivos de muitos

Manual de reviso merecem os nossos agradecimentos e gratido.

CISM manual comentrio 2013

Abordagens centralizados e descentralizados para Coordenador de Segurana

CISM manual comentrio 2013

1.16.1 Gap Analysis-Base para uma

Gesto de Riscos 2.7 Segurana da

2.10.3 Outras abordagens de avaliao de

2.11.3 Informaes sobre

CISM manual comentrio 2013

2.15.2 Alteraes Relatrios significativa no

Seo Dois: Contedo

3.10.1 Elementos de uma

3.13.11 Avaliao da Gesto de

CISM manual comentrio 2013

3.14.4 Comentrios de segurana

Controles como Estratgia de

3.16.11 Eficcia do quadro e Gesto de Recursos de medio

Recursos adicionais sugeridos

CISM manual comentrio 2013

4.12.2 Avaliao de Impacto no

4.14 Teste de Resposta a Incidentes e Continuidade de Negcios / planos

ISACA. Todos os direitos reservados.

CISM manual comentrio 2013

Manual de Reviso 2013 um guia de referncia projetado

Manual de reviso de 2013 est dividido em quatro captulos

Exame e Certificao. O exame baseado nestes tarefa e

Manual de Reviso 2013 de

exame. O material de referncia inclui outras publicaes

"Refere-se ao Instituto de Governana de TI

respostas e explicaes manual

Questes de Reviso, Respostas

Questes de Reviso, Respostas e Explicaes

Questes de Reviso, Respostas e Explicaes manual

Questes de Reviso, Respostas e Explicaes manuais e 2011

Questes de Reviso, Respostas e

Questes de Reviso, Respostas e Explicaes manuais e 2012

produto, os candidatos do CISM pode rapidamente identificar seus pontos

Manual de Reviso 2013

CISM manual comentrio 2013

Conceitos de Segurana da Informao

Captulo 1-Governana de Segurana da Informao

Manual de Reviso 2013 escrito a partir de uma prtica

comunicar diretrizes de gesto e orientar o

Captulo 1-Governana de Segurana da Informao

possvel faz-lo. Note-se que embora haja muitas vezes se sobrepem,

relacionadas com a gesto de segurana da informao e desenvolvimento de

Captulo 1-Governana de Segurana da Informao

apoio de outras partes interessadas para maximizar a

Captulo 1-Governana de Segurana da Informao

1.4.2 Resultados da Segurana da Informao

Captulo 1-Governana de Segurana da Informao