Produtos

:: ISMS Risk Management Software
A. Gestão de Risco
B. Principais Características do ISMS
C. Diferenciais do Produto
D. Tecnologia e Infra-estrutura
E. Benefícios do ISMS
F. Informações

A. Gestão de Risco

A Gestão de Risco é uma das principais disciplinas estabelecidas dentro de um Sistema de Gestão de Segurança da Informação. É através da identificação e parametrização do risco que a empresa define quais são os controles que serão implementados em seu ambiente de negócio. Esta gestão deve ser realizada de forma sistemática, alinhada aos objetivos de negócio da organização.

A norma ISO 27001:2005 cumpre o papel de estabelecer como deve ser constituído o Sistema de Gestão da Segurança da Informação, para que a empresa opere e gerencie os riscos e controles em uma perspectiva de melhoria contínua.

A ISO 27001 não estabelece uma metodologia para gerenciamento do risco, porém faz menção a outras normas, que nos permitem estruturar o gerenciamento de risco de forma padronizada.

Em síntese, o gerenciamento do risco apresenta alguns desafios. Dentre estes os que entendemos mais relevantes são:
:: Garantir que a análise de risco esteja sempre atualizada, representando o momento atual da organização;
:: Comunicar os riscos aos responsáveis pela informação, de maneira a registrar que os mesmos tomaram conhecimento acerca dos riscos identificados e dos controles selecionados;
:: Medir a eficiência dos controles implementados ao longo do tempo (estabelecer linha de tendência);
:: Estruturar a Gestão de Risco considerando ativos, processos e áreas de negócio;
:: Correlacionar e organizar os riscos e controles, mesmo em um ambiente onde existem centenas de riscos e controles;
:: Manter a integridade na base de riscos e a rastreabilidade sobre ações geradas nas tabelas de risco;
:: Fornecer dados à auditoria interna, e alertar sempre que for necessário auditor determinado controle.

Frente a esta demanda, e para atender com maior qualidade às empresas interessadas em adequar sua sistemática de Gestão de Risco às normas ISO 27001 a GlobalStand em jointventure com a lançou ao mercado o ISMS Risk Management.

voltar ao topo

B. Principais Características do ISMS

O ISMS é um completo sistema para gerenciamento de risco. O sistema tem como base um profundo estudo frente as principais normas internacionais para gerenciamento do risco, dentre elas:
:: ISO 13335-1:2004 Information technology Security techniques Management of information and communications technology security
:: ISO GUIDE 73: Risk management - Vocabulary - Guidelines for use in standards
:: AS NZS 4360-2004: Risk Management Standard

O ISMS possui como principais características:

1. Sistema distribuído via WEB: sem necessidade de instalação de clientes na estação dos usuários

2. Interface intuitiva / português e inglês: o ISMS possui interface simples e amigável, totalmente disponível em português e inglês

3. Conformidade total com a ISO 27001: o sistema é totalmente orientado as principais normas de segurança da informação, garantindo ao usuário estar adequado as melhores práticas em gestão de risco

4. Visão estratégica, tática e operacional: o sistema permite a configuração de diversos perfis de usuário, fornecendo desde uma visão operacional de quem executa as tarefas até a visão estratégica, de quem monitora os resultados

5. Workflow integrado: o ISMS possui um sistema de workflow que delega tarefas e envia alerta por e-mail

6. Integração com domínio NT: a autenticação do usuário no ISMS pode ser integrada a autenticação da rede, não demandando de mais uma senha para o usuário

7. Biblioteca de Riscos, Controles e Ativos: o ISMS permite a possibilidade da criação de uma biblioteca de riscos particular para cada empresa, utilizando como base a biblioteca de riscos que a Axur fornece junto ao sistema. O mesmo pode ser feito com Ativos e Controles

8. Gestão da Eficiência dos Controles: item mandatório pela ISO 27001, a eficiência dos controles - medida através de métricas -, pode ser acompanhada pelo ISMS;

B.1. Relatórios do ISMS

O ISMS traz uma gama de relatórios, alguns destes mandatórios para o processo de certificação em ISO 27001. Veja na lista abaixo alguns dos relatórios que podem ser emitidos com o ISMS:

::Declaração de Aplicabilidade: documento necessário no processo de certificação ISO 27001. Traz a listagem de todos os controles da ISO 17799 e a justificativa de sua aplicação ou não-aplicação, correlacionando o controle aplicado aos riscos mitigados pelo mesmo.

:: Plano de Tratamento de Riscos: lista por ativo, de todos os controles que devem ser implementados, com a data limite de implementação, e responsável. Este relatório também apresenta um cruzamento entre os controles e os riscos que serão mitigados.

:: Relatório de Riscos: relatório que lista todos os riscos, podendo filtrar por risco alto, médio ou baixo, ou por risco real ou risco residual.

:: Relatório de Ativos por Área ou Processo: lista de ativos separados por área ou por processo de negócio.

:: Risco por Controle: lista de riscos por controle implementado, facilitando a identificação do impacto no sistema de gestão de segurança, no caso da remoção de um controle.

:: Relatório de Responsabilidades: relatório que lista todas as áreas, processos de negócio e ativos de informação, separados pelo seu responsável.

:: Acompanhamento de Eficiência: este relatório apresenta a eficiência dos controles ao longo do tempo. Usa como dado de entrada a medição dos indicadores

voltar ao topo

C. Diferenciais do Produto

C.1. Visão Estratégica, Tática e Operacional

O Risk Management permite que a segurança da informação seja tratada institucionalmente, através da participação de todos os envolvidos no processo. Isso significa que não apenas os técnicos de segurança, mas usuários, gestores de áreas e até mesmo a Alta Administração possuem funções a serem desempenhadas dentro do sistema. Abaixo são listados alguns dos perfis de acesso que compõe o sistema:

:: Diretor / Presidente: usuário com visão estratégica do sistema. Deve aprovar principais definições e o tratamento de riscos de alta criticidade. O Diretor / Presidente pode acessar o sistema e visualizar o status de risco das principais unidades de negócio e navegar através do sistema para determinar quais são os aspectos que determinam situações de risco à empresa;

:: Gestor de Área: usuário responsável por uma determinada área de negócio da empresa. Este é responsável pela determinação de quais são os processos de negócio da área e quais são os recursos de informação necessários para correto funcionamento das atividades de negócio. O Gestor da Área tem a possibilidade de visualizar quais são os principais riscos de segurança relacionados à sua área, e determinar ações para contenção destes riscos;

:: Gestor de Processo de Negócio: usuário responsável por determinado processo de negócio. Este usuário deve correlacionar os ativos de informação utilizados em seu processo e determinar o fluxo de informações do processo em questão.

:: Gestor de Ativo de Informação: segundo a norma ISO 17799, recomenda-se que cada ativo de informação tenha um gestor formal. O Risk Management formaliza essa gestão atribuindo a responsabilidade sobre a segurança de um ativo a um indivíduo. Este gestor é responsável por identificar e parametrizar os riscos de segurança, garantindo que seu ativo estará sempre protegido contra as ameaças e vulnerabilidades existentes.

:: Gestor de Controle de Segurança: controles de segurança são implantados para tratar riscos de segurança. Cada medida de segurança deve possuir um responsável e o sistema formaliza esse responsável garantindo que as ações serão realizadas. O sistema alerta periodicamente os gestores de controles para que a revisão de eficiência seja realizada a fim de determinar o sucesso ou fracasso do controle na contenção as ameaças associadas.

:: Security Officer: usuário com acesso total ao sistema para auxilio e controle das atividades. Porém, as ações desenvolvidas pelo Security Officer devem ser aprovadas pelos responsáveis, garantindo o alinhamento do processo às necessidades de segurança da empresa.

C.2. Workflow

Uma das principais características do ISMS - Risk Management é o fluxo de aprovações das atividades do sistema. Através dele, um usuário pode indicar riscos, porém o responsável pelo ativo deve aprovar estes riscos. O Security Officer pode configurar todo o cenário de risco e os gestores de áreas, processos, ativos e controles apenas aprovam as indicações propostas.

Vamos a um exemplo:

1. Gestor de Processo aponta uma ameaça de segurança relacionado ao Serviço de E-mail.
2. Gestor do Ativo Serviço de E-mail recebe esse apontamento e o aprova, concordando que é uma ameaça válida.
3. Gestor do Ativo Serviço de E-mail parametriza o risco identificando impacto e probabilidade e verifica que o resultado é um risco de alta criticidade.
4. O Security Officer recebe este risco de alta criticidade e indica um controle de segurança, com base nos controles da norma ISO 17799:2005, já cadastrados no sistema.
5. O Gestor do Ativo deve aprovar o controle de segurança e o sistema automaticamente calcula o novo valor de risco

voltar ao topo

D. Tecnologia e Infra-estrutura

O ISMS é desenvolvido com tecnologia 100% orientada a web, oferecido como Software as a Service - SaaS a preços altamente competitivos.

voltar ao topo

E. Benefícios do ISMS

Destacamos como benefícios do Risk Management Workbench:

:: Definição de Plano de Tratamento de Riscos com prioridades conforme nível de risco;
:: Delegar atividades da gestão do risco aos diversos gestores;
:: Controlar o workflow de realização das atividades da Gestão do Risco;
:: Consolidar informações e gerar de forma automatizada relatórios com informações sumarizadas;
:: Executar a análise de risco através de metodologia internacionalmente aceita (ISO 13335 AS NZS 4360);
:: Criar base de conhecimento de riscos relacionados ao negócio;
:: Atender requisitos de normas internacionais;
:: Acompanhar histórico de evolução do risco nas unidades de negócio da empresa;
:: Fornecer insumo para reuniões do Comitê de Segurança e de Gestão de Risco;
:: Fornecer acesso de visualização das informações gerenciais somente aos usuários relacionados com as áreas, e autorizados no sistema;
:: Fornecer ao Security Officer controle sobre os riscos da organização;
:: Apoiar planejamento em segurança a curto, médio e longo prazo;
:: Ferramenta única para tratar a segurança de perímetros, processos, produtos e pessoas;
:: Transforma o trabalho do Security Officer em uma função gerencial;
:: Concentra evidências para auditoria.

voltar ao topo

F. Informações

Se você tem interesse em realizar um webtour assistido simulando a utilização do ISMS, entre em contato conosco.

		voltar ao topo
<< Voltar