Atualização da norma ISO 27001

Olá, gestores!
Para aqueles que acompanham as boas práticas em gestão de segurança da informação, é bom se informar sobre as atualizações da ISO 27001:2013.
Há uma ótima palestra virtual do consultor Cláudio Dodt sobre as atualizações. Veja:
O vídeo tem a duração de 01 hora, portanto, para aqueles que querem uma leitura rápida sobre as mudança, segue uma síntese (mas não deixem de ver o vídeo:

Maior alinhamento com outros sistemas de gestão

Uma das dificuldades de quem implementa mais de um sistema de gestão ISO (e.g. 27001 x 9001) é saber que apesar das normas possuírem requisitos em comum, existem várias diferenças no que tange a definições.

Uma das modificações da 27001:2013 é o alinhamento com as diretrizes do Annex SL (conhecido antigamente como ISO Guide 83), que padroniza definições e estruturas de diferentes padrões ISO. Com isso, a norma está completamente  alinhada com outros padrões ISO como ISO 9001, ISO 14000, ISO 20000, ISO 22000, ISO 22301.

Empresas que possuem mais de um sistema de gestão poderão centralizar e integrar os mesmo de uma forma efetiva, reduzindo a sobrecarga administrativa.

Período de Transição

A ISO 27001:2013 já está válida e publicada no exterior. No Brasil a expectativa é que a ABNT publique a versão em português ainda este ano. Mas o que acontece com quem ainda está usando a versão 2005?

Se sua empresa está próxima de obter ou já possui certificação 27001:2005 não entre em pânico! Ainda é possível obter ou renovar a certificação na versão antiga até Setembro de 2014.

O prazo limite para migrar para a versão de 2013 é de dois anos, apenas em Setembro de 2015.

Documentos obrigatórios

A lista de documentos obrigatórios não assusta, especialmente se você já está acostumado com os requisitos da versão anterior:

Documentos:
Scope of the ISMS (clause 4.3)
Information security policy and objectives (clauses 5.2 and 6.2)
Risk assessment and risk treatment methodology (clause 6.1.2)
Statement of Applicability (clause 6.1.3 d)
Risk treatment plan (clauses 6.1.3 e and 6.2)
Risk assessment report (clause 8.2)
Definition of security roles and responsibilities (clauses A.7.1.2 and A.13.2.4)
Inventory of assets (clause A.8.1.1)
Acceptable use of assets (clause A.8.1.3)
Access control policy (clause A.9.1.1)
Operating procedures for IT management (clause A.12.1.1)
Secure system engineering principles (clause A.14.2.5)
Supplier security policy (clause A.15.1.1)
Incident management procedure (clause A.16.1.5)
Business continuity procedures (clause A.17.1.2)
Statutory, regulatory, and contractual requirements (clause A.18.1.1)
Registros:
Records of training, skills, experience and qualifications (clause 7.2)
Monitoring and measurement results (clause 9.1)
Internal audit program (clause 9.2)
Results of internal audits (clause 9.2)
Results of the management review (clause 9.3)
Results of corrective actions (clause 10.1)
Logs of user activities, exceptions, and security events (clauses A.12.4.1 and A.12.4.3)

Claro, se um documento referenciado acima faz parte do anexo A, este só é obrigatório se existir um risco que exija sua implementação.  Mas falando no famoso Anexo A, vamos a ele!

Anexo A: Comparando as versões!

Ok, a norma está mais alinhada com outros sistemas de gestão e vou ter um bom tempo para me adaptar. Ótimo! Mas o que realmente muda?

Bem, o objetivo da atualização foi tornar a 27001 mais eficiente e aderente ao contexto atual da Segurança da Informação nas organizações. A norma mudou bastante, mas isso não significa um trabalho enorme.

Vamos a um resumo das principais mudanças dos Controles e Objetivos de Controles no Anexo A:

Seções: o número de seções aumentou. Enquanto em sua versão anterior a norma era dívida em 11 itens, a 27001:2013 possui 14! Essa mudança ajuda principalmente a organização do framework, que em sua versão anterior tinha controles inseridos em locais que simplesmente não faziam sentido. Esse problema foi resolvido!

Um exemplo é criptografia, que agora ganhou uma seção própria (10) e não faz mais parte do item Aquisição, Desenvolvimento e Manutenção de sistemas de informação, o que faz bastante sentido. Outro item que ganhou uma seção própria foi Relacionamento com Fornecedor (15).

Veja como ficou a nova estrutura:

5 Security Policies
6 Organization of information security
7 Human resource security
8 Asset management
9 Access control
10 Cryptography
11 Physical and environmental security
12 Operations security
13 Communications security
14 System acquisition, development and maintenance
15 Supplier relationships
16 Information security incident management
17 Information security aspects of business continuity
18 Compliance

Número de Controles: Se você achava que uma atualização na norma aumentaria automaticamente o número de controles… bem, você estava errado! Claro, existem novos controles, mas vários controles considerados muito específicos ou desatualizados foram excluídos. Veja:

Novos controles:
14.2.1 Secure development policy – rules for development of software and information systems
14.2.5 System development procedures – principles for system engineering
14.2.6 Secure development environment – establishing and protecting development environment
14.2.8 System security testing – tests of security functionality
16.1.4 Assessment and decision of information security events – this is part of incident management
17.2.1 Availability of information processing facilities – achieving redundancy

Controles Excluídos:
6.2.2 Addressing security when dealing with customers
10.4.2 Controls against mobile code
10.7.3 Information handling procedures
10.7.4 Security of system documentation
10.8.5 Business information systems
10.9.3 Publicly available information
11.4.2 User authentication for external connections
11.4.3 Equipment identification in networks
11.4.4 Remote diagnostic and configuration port protection
11.4.6 Network connection control
11.4.7 Network routing control
12.2.1 Input data validation
12.2.2 Control of internal processing
12.2.3 Message integrity
12.2.4 Output data validation
11.5.5 Session time out
11.5.6 Limitation of connection time
11.6.2 Sensitive system isolation
12.5.4 Information leakage
14.1.2 Business continuity and risk assessment
14.1.3 Developing and implementing business continuity plans
14.1.4 Business continuity planning framework
15.1.5 Prevention of misuse of information processing facilities
15.3.2 Protection of information systems audit tools

Conclusões

Obviamente você deve estar se perguntando: Qual versão da norma devo usar? 2005 ou 2013?

Bem, a atualização da 27001 – que deve ser publicada em português pela ABNT ainda este ano – teve como principal objetivo algo que me atrai bastante: uma “gestão de riscos mais efetiva”, trazendo controles atualizados e organizados de forma mais intuitiva.

Além disso, a 27001:2013 é mais fácil de alinhar com outros sistemas de gestão, o que vai poupar bastante tempo em um novo projeto ou reduzir a carga administrativa em um ambiente existente.

Com todos esses benefícios é óbvio que a recomendação para novos projetos é partir já com a norma atualizada. Mas se você já possui um projeto em andamento, que deve ser concluído nos próximos seis a oito meses, eu recomendaria manter a versão 2005, mas seja rápido!

Fonte: Cláudio Dodt

 

Aplicativos que todo concurseiro deve conhecer!

Olá, concurseiros!

Como estão os estudos?

Como forma de auxiliá-los em seus estudos, andei testando alguns aplicativos gratuitos para Android. Segue a minha opinião:

Aprovado

Simplesmente sensacional!!! É ideal para quem está estudando não somente para concursos públicos, mas como para Enem, OAB, certificação, entre outros exames e precisa de um melhor gerenciamento de estudos (cronograma de estudos) ou controle de horas de seus estudos. Com o aplicativo, é possível cadastrar as matérias da prova e registrar a duração do estudo de cada uma delas (manualmente ou por cronômetro), acompanhando de perto o tempo que dedica, por meio de gráficos de desempenho. Ah, além do app, o Aprovado tem um site com as mesmas funcionalidades que existentes no aplicativo.

Vasculhador Concursos

Permite encontrar concursos públicos com inscrições abertas ou em andamento de acordo com o seu perfil (escolaridade e UF), além de poder favoritar aqueles que é do interesse do usuário, que pode receber alerta de último dia de inscrição e dia da prova dos concursos favoritados. Bem interessante!!!

Ankidroid

O melhor que já vi na categoria memorização! É possível memorizar qualquer coisa com esse aplicativo. Esse app permite que você aprenda com cartões de estudo de forma muito eficiente, mostrando-os imediatamente antes que você os esqueça. Ele é totalmente compatível com o software de repetição espaçada Anki (incluindo a sincronização), que está disponível para Windows, Linux e MacOS.

Só para esclarecer um pouco, o estudo utilizando repetição espaçada é um método de memorização baseado na curva do esquecimento e no fato de que existe um momento ideal para revisar o que aprendemos. Ao revisar muito cedo, perdemos tempo; muito tarde, esquecemos aquilo que aprendemos e temos de reaprender. O melhor momento para revisar é justamente no momento em que estamos prestes a esquecer a informação aprendida.

E esse app permite a repetição por meio da avaliação do usuário após visualizar a resposta do cartão (fácil, bom, mostrar novamente). Por meio da avaliação, o app trata de reexibir o cartão após um determinado número de dias.

Eu já o utilizei bastante para estudar questões de concursos, memorizar processos do Cobit, ITIL, e recentemente estou utilizando para aprender inglês. É bastante utilizado por quem estuda o idioma japonês. É ótimo para aproveitar o tempo livre em viagens de ônibus, esperas em consultórios médicos ou em qualquer outra situação de espera!

Você pode criar seus próprios decks com cartões de estudo ou baixe decks prontos para vários idiomas e tópicos (mais de 6000 disponíveis). Porém para importar decks prontos, é mais fácil fazê-lo por meio do Anki versão desktop.

Logo, logo farei um posto específico de como criar os cartões no Anki, aguardem!!!

Quizlet

Bom aplicativo para memorização. Funciona de forma quase semelhante ao Ankidroid, porém não trabalha com repetição espaçada, os cartões são apresentados da forma como foram cadastrados. Ah, o aplicativo também tem suporte a aúdio e é possível cadastrar os cartões tanto pelo aplicativo como pelo site. Fácil, fácil!!!

PCI Concursos

Para quem gosta de acompanhar informações sobre concursos públicos pelo site PCI Concursos, esse é o aplicativo! Permite visualizar concursos públicos e processos seletivos em aberto, suspenso, prorrogado ou cancelado, notícias sobre concursos e visualização de editais.

Gabaritar

Esse aplicativo reúne simulados e gerenciamento de estudos. Para quem estuda para vários concursos distintos, é possível criar múltiplos planos de estudo a partir de diferentes editais ou até por um plano genérico. O plano de estudos pode ser montado a partir das disciplinas exigidas em cada edital, e possibilita registrar as horas de estudo em cada uma delas. O aplicativo calcula a quantidade de horas recomendadas em cada disciplina, bem como suas meta diária e total, que ficam sempre visíveis nas telas dos planos e disciplinas. É possível também monitorar a evolução de seus estudos através de gráficos.

E você, tem algum aplicativo que usa para auxiliar em seus estudos? Deixe seu comentário!

Edital compilado do TRT 1: Cargos de TI

Boa tarde!

Saiu o edital do TRT 1!!!

Para a área de TI, há duas oportunidades:

1. Analista Judiciário – Área Apoio Especializado – Especialidade Tecnologia da Informação
Vagas: 74
Salário: R$8.178,06

2. Técnico Judiciário – Área Apoio Especializado – Especialidade Tecnologia da Informação
Vagas: 2
Remuneração: R$5.007,82

As vagas aqui descritas são para ampla concorrência.

Provas dia 07/09/2014

Para facilitar a vida do concurseiro, fiz a compilação dos conhecimentos exigidos no edital em arquivo .txt e mapa mental. Publico as imagens dos mapas e também o arquivo dos mapas usando o XMind (www.xmind.net).

Para baixar, clique aqui.

Agora, estudar firme, com foco e muita fé!!!

Bons estudos!