Na ISO 27001 pode-se certificar: somente um computador, um departamento ou uma empresa. Ai você pode achar: "Então é só eu certificar uma máquina" e voilá. Não, o escopo da certificação deve ter um alinhamento com os negócios da sua empresa.
Para implantar a norma ISO 27001 deve-se implementar os seguinte tópicos:
- Sistema de Gestão do Sistema de Informações
- Responsabilidade da direção
- Auditorias internas do SGSI
- Análise crítica do SGSI
- Melhoria do SGSI
Traduzindo para o "computês" os itens do texto da norma fica mais fácil saber se já temos o controle implementado. Exemplo:
10.10.6 Sincronização de relógio NTP
10.4.1 Controle de Software Maliciosos Antivirus
10.5 Cópia de segurança... Backup
11.5 Controle de acesso Login
11.4 Controle de acesso a rede Firewall
11.4.2 Autenticação para conexão externa VPN
11.4.5 Segregação de redes DMZ
11.4.6 Controle de conexão Layer7
Algumas ferramentas livres que dão suporte a ISO 27001:
Nagio, Nessus, Nmap, Firewall, Hardening.
Antivirus livre: ClamAV
DICAS:
Não seja 100% técnico, resolva conceitualmente.
Use as pessoas. Concientização
Primeiro vem o treino, depois a pancadaria
Planejar é preciso...
Segurança da Informação é diferente de sugurança computacional
Segurançã não é o negócio da empresa
"Não se faz um omelete sem se quebrar alguns ovos"
Tenha um excelente relacionamento com a Diretoria