Feeds:
Posts
Comentários

Posts Tagged ‘mssp’

SUGESTÃO DE ESTRATÉGIA – ADOÇÃO DAS RECOMENDAÇÕES DA NORMA ISO-IEC-27.002 – SEGURANÇA DA INFORMAÇÃO

Sugestão de estratégia – adoção das recomendações da norma ISO-IEC-27.002 – Segurança da Informação

Uma estratégia vencedora pra implementação de melhores práticas é adotar os frameworks através de níveis organizacionais, ou seja:

Politicas:  Estabelecer o nível estratégico a ser cumprido na adoção das melhores práticas. É atribuída pelo nível diretivo das organizações e estabelece as diretrizes gerais a serem observadas por todos.

Normas: Estabelecer o nível tático e estabelece as regras a que as áreas operacionais deverão observar para o cumprimento das diretrizes ditadas pelas políticas. É atribuída aos gerentes e gestores das áreas envolvidas em cada framework a ser adotado.

Procedimentos: Estabelecer o nível operacional e estabelece o “como será feito!”, descrevendo passo a passo as atividades, responsáveis, evidências a serem produzidas, e ainda em um segundo momento, poderão ser adotadas métricas que possibilitem a medida de eficiência e de nível de serviço auferido pelo processo.

Adotar a implantação dos modelos através destes três níveis possibilita a formalização dos processos recomendados pelas melhores práticas, e distribui o escopo de cada recomendação nos diversos níveis da organização.

SUGESTÃO DE APLICAÇÃO DAS RECOMENDAÇÕES DA NORMA NOS ATRAVÉS DOS NÍVEIS DE DOCUMENTOS. 

– Politicas:

Confeccionar uma ou mais políticas, adotando formalmente as recomendações  estabelecidas pela Norma.

– Normas:

Cada Capítulo da Norma ISO-IEC-27.002, possui definido um objetivo e controles a serem implementados. Normalmente isto pode ser adotado criando uma norma para cada item, ou seja,  devem-se definir as regras de aplicação do conteúdo de cada capítulo.
Um fato interessante é que a ISO-27002 tem recomendações genéricas (O Que fazer?), mas não detalha o (Como Fazer?).  Para que o escopo do projeto de adoção fique adaptável à realidade de cada organização, é necessário estabelecer através de regras, o que será feito e quais os critérios deverão ser adotados para cada capítulo da norma.

– Procedimentos:

Cada capítulo estabelece os controles que devem ser adotados, estes, uma vez delimitados pelas Regras de como a empresa adotará ou não alguma recomendação, acabam por estabelecer quantos controles deverão ser criados e consequentemente quantos processos devem ser organizados.

Cada controle é lastreado por um processo, o qual tem como escopo definir as atividades e responsáveis pela execução do controle, e qual artefato será produzido durante a realização de cada ação ou atividade. Finalizado o processo devemos ter em mãos uma evidencia de que a atividade foi realizada.

DICAS:

Os processos devem ser construídos e relacionados seguindo uma ordem de baixo para cima, ou seja:

– Controle de Riscos – Sec 4.
– Controles de Politicas e Organização da Segurança – Sec 5,  6 e 15.
– Controle de Ativos – Sec 7.
– Controle de RH – Sec 8.
– Controle de Segurança Fisica – Sec 9.
– Controle de Operações e Comunicações – Sec 10.
– Controle de Acessos Lógicos – Sec 11.
– Controle de Aquisição e Desenvolvimento de Sistemas – Sec 12.
– Controle dos Incidentes de segurança – Sec, 13

– Controle de Continuidade do Negócio. Sec 14,
Recomendamos implementar esta seção em uma etapa seguinte a implementação das seções anteriores, pois para que um plano de continuidade de negócio possa ser estruturado e testado de forma eficiente, devem estar implementados os controles de ativos, acessos, operações e comunicações e devidamente gerenciados em relação a gestão de mudanças, convém adotar também os requisitos estabelecidos pela Norma ISO-IEC-20.000 – Gerenciamento de Serviços de TI.

Outros Artigos Relacionados:

  • Veja Artigo sobre como Formatar, Organizar Documentação de Processos em TI para implementar boas práticas em:

https://aghatha.wordpress.com/2011/06/18/como_formatar_e_organizar_a_documentacao_de_processos_ti/

Este artigo está disponível para download no formato de Documento (PDF) na pagina de Download  do Site da AGHATHA  em :  Http://www.aghatha.com.br

—- Fim Conteúdo Artigo —-

Agradecimentos e Convites:

As informações e comentários existentes neste artigo são o fruto de observações e experiências adquiridas pelo autor durante a  execução de projetos ao longo de 30 anos de atuação no mercado. Utilizamos este espaço para a divulgação e intercâmbio destes conhecimentos junto aos nossos leitores, clientes e amigos.

Caso você tenha alguma dúvida ou necessidade de informações adicionais para o seu entendimento ou aplicação, entre em contato conosco através do e-mail abaixo.

Abraço e Felicidades a Todos,

Eurico Haan de Oliveira

Consultoria@aghatha.com.br

———
———

Apresentação AGHATHA Framework – Norma ISO-27001:2/2005.


———

Declaração e Preservação de Direitos:

 Todas as demais marcas, modelos, desenhos, nomes, incluindo o conteúdo integral deste artigo, são de propriedade de seus respectivos fabricantes, autores ou publicadores.

O leitor está autorizado a fazer o uso interno e não comercial do conteúdo deste artigo, desde que mantidas as observações de direitos autorais e mantidas as referencias a suas origens e identificação dos respectivos autores e proprietários.

Direitos de uso comerciais deste artigo são preservados e mantidos em nome exclusivo do autor e o leitor não está autorizado a utiliza-los, de forma integral ou parcial para usos e fins comercias e/ou em atividades que visem à obtenção de lucro ou benefício comercial próprio ou a terceiros.

Licença Creative Commons
This work is licensed under a Creative Commons Atribuição-Uso não-comercial-Vedada a criação de obras derivadas 3.0 Unported License.

Para a confecção deste artigo foram citadas e/ou utilizados os seguintes nomes, marcas e publicações:

  •  COBIT ® 4.1, que é de propriedade exclusiva ISACA – Information Systems Audit and Control Association (www.isaca.org ) e IT Governance Institute™ (www.itgi.org), sendo Todos os direitos autorais reservados.
  • Conteúdo Artigo – é de propriedade exclusiva do Autor e de AGHATHA (http://www.aghatha.com.br / Http://www.aghatha.com ), sendo os direitos preservados todos os direitos autorais e exploração comercial.
  • COSO®, que é de propriedade exclusiva Committee of Sponsoring Organizations of the Treadway Commission (COSO)™ (www.coso.org/), sendo Todos os direitos autorais reservados.
  • ISO-IEC® Standard – São de propriedade exclusiva do  International Organization for Standardization (ISO®)   e International Electrotechnical Commission (IEC®) (www.iso.org), sendo Todos os direitos autorais reservados.
  • ITIL V-3 ® – IT Infrastructure Library®  (www.itil-officialsite.com) que é de propriedade e proteção exclusiva da Coroa Britanica (www.ogc.gov.uk) – Office of Government Commerce (OGC) – UK, sendo Todos os direitos autorais reservados.
  • PCAOB ® é  propriedade exclusiva do  Public Company Accounting Oversight Board  – (http://pcaobus.org/), sendo Todos os direitos autorais reservados.
  • PMI ®  / PMBOK ®   propriedade exclusiva do Project Management Institute ( www.pmi.org/),  sendo Todos os direitos autorais reservados

– Fim Declarações de Direitos de Copyright —

— Fim Artigo

Anúncios

Read Full Post »

Blog Oficial – Aghatha Maxi Consulting

aghatha_maxi_top_300_300

AGHATHA MAXI CONSULTING é especializada em Governança de TI e Serviços Gerenciados de Segurança da Informação. Fornecemos framework integrado de processos e Serviços que possibilitam a conformidade aos seguintes padrões: GRC,SOX,PCI,COSO,COBIT,ISO-27.002,ISO-20.000, ITIL,Gerenciamento de Mudanças e Gestão de Portfólio de Projetos de TI através de PMO – Escritório de Projetos. Conheça melhor a nossa empresa  ( Http://www.aghatha.com.br / http://www.aghatha.com).

Somos Distribuidores no Brasil das Soluções Integradas e Convergentes da ACCELOPS / USA , para monitoramento de Disponibilidade, Performance e Segurança – AccelOps SIEM e AccelOps PAM –  Monitoramento integrado e Convergente de Data Center e SOC/NOC. (Veja mais detalhes em nosso site em http://www.aghatha.com.br/solucoes.htm e http://www.aghatha.com.br/datacenter.htm

——–

Declaração e Preservação de Direitos Autorais:

 Todas as demais marcas, modelos, desenhos, nomes, incluindo o conteúdo os textos integrais dos artigos contidos neste BLOG, são de propriedade dos seus respectivos fabricantes, autores ou publicadores.

O leitor está autorizado a fazer o uso interno e não comercial do conteúdo deste BLOG , desde que mantidas as observações relativas as proteções de direitos autorais e de propriedades intelectuais, referencias da sua origens e identificação dos respectivos autores e proprietários.

O  leitor não é autorizado a utiliza-los, de forma integral ou parcial para usos e fins comercias e/ou em atividades que visem à obtenção de lucro ou benefícios comerciais de forma direta ou indireta para sí ou em favor de terceiros.

Licença Creative Commons
This work is licensed under a Creative Commons Atribuição-Uso não-comercial-Vedada a criação de obras derivadas 3.0 Unported License.

——–

Na confecção dos artigos contidos neste Blog, serão regularmente citados e/ou utilizados como referenciais técnicos os seguintes nomes, marcas e publicações:

 — fim declarações de Copyright —

As informações e comentários existentes neste BLOG  são o fruto de observações e experiências adquiridas pelo autor durante a  execução de projetos ao longo de 30 anos de atuação no mercado. Utilizamos este espaço para a divulgação e intercâmbio destes conhecimentos junto aos nossos leitores , clientes e amigos.

Caso você tenha alguma dúvida ou necessidade de informações adicionais sobre qualquer artigo, conceitos ou conteúdos, entre em contato conosco através do e-mail abaixo.

Abraço e Felicidades a Todos,

Eurico Haan de Oliveira

www.aghatha.com.br

Consultoria@aghatha.com.br

Siga-nos pelo Twiter, e receba comunicados de novos artigos e revisões.   Follow aghatha_maxi on Twitter

Skype : aghatha.maxi.consulting

Skype : eurico.haan.de.oliveira

 

Read Full Post »