Desde que existe informação, há necessidade de criar um sistema que permita gerir e garantir
que a informação está segura e que cumpre os requisitos básicos de segurança. Como tal, é
necessário desenvolver técnicas e mecanismos para que os requisitos sejam testados e
melhorados continuamente.
Com esta necessidade em vista, apareceram padrões que dão resposta a um conjunto vasto
de problemas, em diferentes sistemas e aplicações diversas. Estes tornaram-se guias de
reflexão para quem os analisava, de arquitetura para quem os implementava e modelos para
quem os geria.
O padrão ISO 27001 dá resposta aos cuidados a ter para se conseguir um sistema de gestão da
segurança da informação eficaz e eficiente. Esta norma preocupa-se com os detalhes de
aplicação até à forma como é implementado e arquitetado o sistema. Os processos,
atividades, fluxos de trabalho são essenciais para que esta norma seja cumprida. É necessário
um bom escrutínio dos processos e suas atividades, assim como um fluxo de trabalho bem
definido com papéis e responsabilidades de cada ator. É necessário também assegurar a
forma como é gerido, a sua verificação e melhoria contínua.
Foi aplicado no ISEP um exercício com o qual se pretendeu verificar se os processos e outros
aspetos seguiam estes cuidados e se estavam de acordo com a norma. Durante o exercício
foram verificados processos dentro de um certo âmbito, todas as suas atividades, papéis e
responsabilidades, verificação de recursos, aplicação de controlos e aplicação de uma análise
de risco. Esta análise tem como objetivo verificar o nível de segurança dos recursos, algo que a
norma ISO 27001 propõe mas não especifica em que moldes.
No final deste exercício pretendeu-se melhorar o sistema de gestão de informação do ISEP em
vertentes tais como a documentação, a qual especifica quais os passos realizados no decorrer
do mesmo.Since there is information, a need exists to create a system that allows managing and ensuring
the information is safe and meets the basic security requirements. As such, there was a need
to develop techniques and mechanisms for requirements to be tested and continuously
improved.
With this need in mind, patterns appeared that gave answer to a wide range of problems,
different systems and applications. These became guides to those who analyzed the problem,
the architecture and who was implementing the models.
The ISO 27001 standard addresses the precautions to ensure that a security management
system deals with effective and efficient information. This standard is concerned with every
detail of how it is implemented and how a system is architected. Processes, activities,
workflows become essential for the application of this standard. A good scrutiny of processes
and activities, as well as a workflow with well-defined roles and responsibilities for each actor,
are required. It is also necessary to ensure the way it is managed, as well as its verification and
continuous improvement.
In ISEP a process aiming to verify if these and other procedures were followed was run, and if
security was in accordance with the standard. During this process it was observed the
framework, activities, roles and responsibilities, actions, implementation controls, and a risk
analysis was undertaken. Risk analysis intends to verify the security level of resources, as ISO
27001 describes, but without specifying the way to do it.
This exercise intended to improve the management system of ISEP, producing documentation
describing what steps were performed during the exercise and results obtained
