Certificação ISO 27001: dados sobre a implementação na TV Cabo
A primeira organização certificada em Gestão de Segurança da Informação - TV Cabo - disponibilizou amavelmente para o ISMSPT alguns dados sobre o processo de implementação de um sistema de gestão de segurança da informação. As informações foram prestadas por Nuno Schiappa Cruz (Responsável de Projectos Transversais da TV Cabo) e Rui Pedro Vaz (Senior Manager da GMS Consulting), aos quais agradecemos pelo facto de divulgarem à nossa comunidade alguns dados deste projecto pioneiro.
Q1: Qual o âmbito do sistema implementado? Explicitando a declaração de âmbito (a disponibilizar publicamente pela entidade certificadora). Se possível, definir qual o tipo de informação que o sistema protege.
O âmbito de certificação considerado para o ISMS da TV Cabo integra os activos de Informação, Sistemas de Informação e Direcções funcionais considerados relevantes para os processos de negócio "Gerir Clientes" e "Facturar e Cobrar".
Informações genéricas sobre qual a estrutura de gestão de segurança implementada (funções genéricas, quantas pessoas envolvidas na gestão do sistema)
Encontra-se definida uma estrutura de funções e responsabilidades associadas à gestão e manutenção do ISMS, nomeadamente:
- Comissão Executiva da PTM: tem como principais responsabilidades a promoção das políticas de segurança da Informação na Organização e a disponibilização dos recursos humanos, financeiros e tecnológicos considerados adequados à sua efectiva operacionalização;
- Comité de Segurança: tem como principais responsabilidades a coordenação e supervisão da adopção das políticas de segurança na Organização e a execução e/ou revisão periódica do ISMS; e
- As Direcções de Recursos Humanos (DCRH), Jurídica (DCJ), Sistemas de Informação (DSI), Customer Care (DCC), Fidelização de Clientes (DFC), Operações e Engenharia (DOE), Rede de Distribuição (DRD), Financeira e Administrativa (DCFA): têm como principais responsabilidades assegurar a operacionalização e monitorização dos controlos de segurança da Informação cuja implementação lhes esteja atribuída.
Em termos globais, estas áreas de actuação concentram aproximadamente 100 colaboradores da TV Cabo nas funções âmbito de certificação.
Qual a metodologia de gestão de risco (se é qualitativa ou quantitativa)?
A TV Cabo optou por desenvolver e implementar uma metodologia própria de Gestão de Risco que assegura o apuramento quantitativo dos riscos brutos e net associados ao âmbito do ISMS, nomeadamente através da valorização ponderada dos seus activos face às vulnerabilidades e ameaças consideradas.
Exemplos de interfaces do sistema com os departamentos da TV Cabo (tipos de mecanismos de gestão de interfaces)
Constitui-se como uma responsabilidade das Direcções, Departamentos, Áreas e/ou Colaboradores TV Cabo, em coordenação com os proprietários da informação e com o Comité de Segurança, assegurar a operacionalização e monitorização dos controlos de segurança da Informação cuja implementação lhes esteja atribuída. Adicionalmente, estão definidos procedimentos e mecanismos específicos que asseguram:
- Continuidade e refresh ao nível awarness e formação dos Colaboradores da TV Cabo no sistema e, em particular, nas Políticas de Segurança da Informação da Organização; e
- Reporte de incidentes de segurança pelos Colaboradores da TV Cabo e o respectivo follow-up em termos de resolução.
Refira-se no entanto que a gestão integrada destes interfaces é maioritariamente da responsabilidade do Comité de Segurança.
Opinião sobre as dificuldades "genéricas" da implementação do sistema na TV Cabo.
As principais dificuldades sentidas ao nível da implementação do ISMS circunscreveram-se essencialmente à selecção e operacionalização de alguns dos controlos de segurança definidos (nomeadamente dos de cariz mais técnico), e à componente de awarness e formação dos Colaboradores da TV Cabo para a importância da Segurança de Informação no "dia-a-dia" da Organização. Refira-se , no entanto, que ultrapassada a barreira inicial de alguma resistência à mudança, a interiorização dos conceitos e princípios básicos de Segurança da Informação por parte dos Colaboradores da TV Cabo foi considerada como um dos pontos fortes nos resultados da Auditoria de Certificação.
Quais os drivers da implementação e quais são os benefícios esperados e (e já verificados, caso seja este o caso)?
A implementação do ISMS decorreu da operacionalização de um conjunto de controlos tecnológicos e funcionais que visaram garantir a conformidade da TV Cabo com os requisitos emanados do normativo SOX 404. Nesse sentido, o objectivo da certificação na norma ISO 27001 surgiu como uma resposta óbvia à necessidade de se implementar um sistema de gestão que permitisse a monitorização e melhoria contínua da Segurança de Informação da Organização, nomeadamente dos processos de negócio "Gerir Clientes" e Facturar e Cobrar" (considerados prioritários na sequência da análise de risco efectuada).
Com a implementação do ISMS constataram-se alguns benefícios imediatos, nomeadamente o incremento do controlo e formalismo das actividades desenvolvidas por prestadores de serviço externos (ex. inclusão de cláusulas de segurança e de monitorização da informação específicas nos contratos respectivos, etc.), o awarness e formação dos Colaboradores (internos e externos à TV Cabo) relativamente às regras e normas de segurança básicas a respeitar (ex. confidencialidade e integridade da informação manuseada, etc.), a melhoria do controlo de acessos físicos às diferentes instalações da Organização e uma maior proactividade na participação e resolução de incidentes de segurança.
De notar que existiram também impactos positivos ao nível dos Sistemas de Informação da TV Cabo mas, sendo esta uma área que tem tido desde sempre uma grande preocupação natural ao nível da segurança da informação armazenada/processada, foram menos visíveis (numa perspectiva de quick-win)
Informações sobre a metodologia seguida pela TV Cabo/GMS Consulting.
A metodologia utilizada para a implementação do ISMS foi a metodologia de PDCA (Plan-Do-Check-Act), que compreendeu:
- PLAN: definição do âmbito do ISMS, definição e implementação do Risk Assessment, definição do Statement of Applicability (SOA), Gap Analysis com requisitos ISO 27001 e plano de acções;
- DO: implementação dos planos de acções definidos, formação e awareness dos colaboradores inseridos no âmbito, planeamento das auditorias internas;
- CHECK: realização das auditorias internas; e
- ACT: implementação das acções correctivas e preventivas identificadas no decorrer das auditorias internas efectuadas.
Dados genéricos sobre o esforço de implementação sobretudo do lado da TV Cabo (recursos, tempo, etc.)?
A implementação do ISMS e respectiva certificação foi um projecto que envolveu, numa perspectiva de dedicação total, uma equipa de 4 Colaboradores da TV Cabo e 3 Consultores da GMS Consulting durante um período aproximado de 6 meses (com 2 meses prévios para a definição e implementação da metodologia de Gestão de Risco), complementada pelo apoio pontual dos diferentes intervenientes nos processos âmbito de certificação (ex. levantamento e valorização de riscos, actividades de auditoria, implementação de controlos, etc.)
De salientar que este projecto beneficiou de claras sinergias com o projecto de conformidade com o normativo SOX 404, nomeadamente ao nível da identificação e implementação dos controlos de segurança.
Labels: Segurança da Informação, TV Cabo
Data 28.5.07