Comunidade Portuguesa de Segurança da Informação

2007-12-25T10:10:00.000+00:00

Certificação ISO 27001: dados sobre a implementação na TV Cabo
Qual a metodologia? Qual a duração do projecto? Descubra os detalhes do projecto.

Visão Executiva (+)

Gestão de Serviços de SI/TI

Quais os referenciais nesta área? Links disponíveis.

Implementação de Gestão da Segurança da Informação (+)

Continuidade de Negócio

Quais os referenciais? Links e recursos disponíveis.

Segurança Informática (+)

Procedimentos legais para incidentes informáticos
Quais os procedimentos para reportar incidentes às autoridades em Portugal?

Recursos (+)

Pressupostos e decisões da Gestão de Segurança da Informação

Apresentação efectuada no SINO´2006 em Aveiro.

Links para directórios de weblogs

Web Blog Directory Blogarama

Lançamento da certificação em Gestão de Continuidade de Negócio - BS 25999

2007-11-29T18:51:00.000+00:00

Duas empresas do Reino Unido foram as primeiras organizações no mundo a alcançar a certificação em gestão de continuidade de negócio, de acordo com os requisitos da norma BS 25999.

Segundo o director-geral da BSI Management Systems, Flemming Norklit "o significado da apresentação [desta certificação] é enorme para as organizações que desejam minimizar o risco para os seus negócios de acontecimentos disruptivos." Segundo o mesmo responsável "a TDG e SunGard [as empresas certificadas] estão no centro de uma longa e crescente lista de corporações de topo que pretendem demonstrar ao mercado que a efectuar o que é requerido para protegerem os seus negócios."

Norma de gestão da continuidade de negócio

O referencial de gestão da continuidade de negócio, publicado pelo organismo britânico de normalização, British Standard Institution, com a denominação de BS 25999, possibilita que organizações que demonstrem conformidade com as boas práticas aceites de gestão da continuidade de negócio obtenham a certificação dos seus sistemas de gestão de continuidade de negócio.

A certificação BS 25999 é suportada em dois documentos normativos à semelhança de outras normas, nomeadamente a gestão de segurança da informação, designada como ISO 27001.

O primeiro destes documentos, denominado de BS 25999-1, estabelece o catálogo de boas práticas de gestão de continuidade de negócio, ou seja o conjunto de actividades estruturadas para desenvolver, implementar e monitorizar a gestão da continuidade de negócio, o que abrange, por exemplo, a realização de análises de impacto de negócio e o desenvolvimento de uma política de gestão de continuidade de negócio na organização.

A segunda norma, intitulada de BS 25999-2, define as especificações exactas que um sistema de gestão da continuidade de negócio existente numa organização deve atender para poder almejar conformidade face à presente norma.

Baseado no press release da BSI:

http://www.bsi-global.com/en/About-BSI/News-Room/BSI-News-Content/General/Presentation-of-the-worlds-first-certificates-for-BS-25999/

2007-09-07T15:51:00.000+01:00

Notícias de Gestão Segurança da Informação

Conferência "Inteligência Económica: Um Instrumento de Competitividade Estratégica
Dia 16 de Abril às 12h00 na SEDES em Lisboa

Workshop BS 25999 - Sistema de Gestão de Continuidade de Negócio
Conhece a norma para a certificação de organizações ao nível da continuidade de negócio?

Workshop Gestão de Risco e Conformidades
Apresentações disponíveis dos casos de aplicação reais do Risk Manager

Workshop de Boas Práticas de Segurança da Informação
Qual a utilidade das "boas práticas" de segurança? Quais os modelos aplicáveis?
Uma apresentação de 95 slides para si.

Exames CISA CISM em Portugal
ISACA irá realizar uma segunda época de exames em Lisboa.

Governo cria Sistema de Certificação Electrónica para o Estado

Decretos-Lei aprovados em 4 de Maio de 2006.

Organismo público brasileiro certificado
Certificação ISO 27001/BS7799 para a SERPRO.

Sapo noticia Comunidade

O Sapo Tek recomendou o nosso blog.

Curso de Auditorias Internas à ISO 27001
Curso para auditores internos. 15-16 Maio, em Sintra.

Gestão de Serviços de TI para a Segurança da Informação

Vantagens da BS 15000/ITIL (actual ISO 20000) para a gestão de Segurança da Informação.

Workshop - Gestão da Segurança da Informação
Apresentação disponível, descubra os próximos workshops gratuitos.

Ganhos com a Sarbanes-Oxley
Como o SOX permitiu melhores processos, mais segurança e até mesmo custos menores?

BP retira 18.000 laptops da LAN por motivos de segurança

Preocupações de crime organizado e os ciber-criminosos suscitou esta operação.

Workshop Gestão da Segurança da Informação

Apresentação disponível, descubra os próximos workshops gratuitos.

Novo referencial da gestão de riscos
Em Março será publicado a BS 7799-3, referência de gestão de risco.

Módulo Security: certificação ISO 27001
Primeira certificação no mundo de uma empresa de Segurança da Informação.

1º Curso de implantação de ISO 27001
Curso de metodologia de implementação de um ISMS, em Março, Portugal

Curso de Gestão de Segurança da Informação
Curso da BSI, organismo inglês de standard, em Lisboa e Porto (Janeiro de 2006).

Formação ISO 27001 e CISSP em Barcelona
Formação intensiva em 3 certificações de segurança.

Metodologia de mediação em revisão
Leia o draft ou contribua para o mesmo.

Curso na cidade do Porto
Um curso de introdução às normas ISO 17799 e nova ISO 27001 a realizar em Dezembro.

Nova versão da ISO/IEC 17799
As novidades do código de boas práticas.

As novidades da ISO 27001
O que a ISO 27001 difere da BS 7799?

Glossários de Segurança da Informação

Glossário em inglês para download.

Alinhamento formal entre o CobiT, ITIL e ISO/IEC 17799

Documento para donwload.

1º Curso de Auditor Coordenador em Portugal

O segundo curso de auditores coordenadores da ISO 27001 a nível mundial.

Lista das normas 27000 de Segurança de Informação

Do ISO 27000 ao ISO 27006.

Publicação da nova edição da BS 7799-2 como ISO 27001

Finalmente a nova versão.

Guia básico para recuperação de dados

2007-05-29T15:34:00.000+01:00

A perda de informação num disco rígido pode ocorrer dentro de dois cenários possíveis:

a) o utilizador ainda consegue aceder ao disco rígido, e o sistema operativo está a funcionar normalmente;
b) o computador “congelou”, não reinicia e podem inclusivé ouvir-se barulhos estranhos vindos do disco.

A. Vamos abordar primeiro o cenário a), usando regras simples e fáceis de seguir.

1. Depois de uma perda de dados, nunca escreva para o disco rígido.

Quando informação é perdida no disco, a primeira regra que se deve seguir é uma simples regra de senso comum: não escreva mais nada para o disco rígido antes de recuperar o que foi perdido.

Há uma razão muito simples para isto: quando se apaga alguma coisa no disco, o sistema operativo (windows, mac os ou linux, por exemplo) não apaga permanentemente a informação. Em vez disso, diz apenas ao utilizador que agora existe mais espaço livre na unidade – mas esse espaço continua ocupado pela informação apagada, apenas muda de “estado” para o utilizador, de ocupado para livre.

Uma coisa é sempre verdade, no que respeita à informação no seu disco – o que se vê nem sempre é tudo aquilo que se tem.

Isto é verdade para ficheiros perdidos, mas também para partições perdidas. Se apagar uma partição, deixe-a em branco. Pode não a conseguir ver, mas software especializado em recuperação de dados vai conseguir. O mesmo se aplica a discos formatados – é perfeitamente possível recuperar de uma formatação completa.

Como apago ficheiros permanentemente? Se quiser apagar ficheiros por razões de segurança e/ou privacidade deve usar software comercial produzido para essa função ou contactar uma empresa especializada em recuperação de dados.

2. Restore as suas cópias de segurança (backups)

Se fez o seu trabalho de casa, deve ter cópias de segurança actualizadas de toda a informação vital armazenada no seu disco rígido. Agora é o tempo certo para consultar esses backups, e eventualmente restaurá-los, para recuperar os dados perdidos.

Se não possuir cópias de segurança actualizadas, deve começar um processo de recuperação de dados, como explicado nos passos seguintes. Mas lembre-se que no futuro, cópias de segurança actualizadas são sempre a sua melhor hipótese de proteger informação vital e insubstituível. Por isso faça cópias de segurança em períodos regulares e armazene-as num lugar seguro.

3. Não instale software de recuperação de dados na mesma unidade em que ocorreu a perda de dados

Lembre-se o passo 1. Se instalar software no mesmo disco rígido onde perdeu os seus dados inicialmente, pode correr o sério risco de escrever por cima da informação que quer recuperar, perdendo-a definitivamente.

4. Desligue o seu computador

Para jogar pelo seguro, logo após uma perda de informação, deve desligar de imediato o computador. Basta iniciar o sistema operativo para que ocorram operações de leitura e escrita para o disco rígido, e o espaço onde está a sua informação perdida pode ser reescrito numa delas.

5. Proteja o seu disco rígido

Remova a unidade de disco do seu computador e conecte outra, mesmo que seja uma unidade antiga, desde que tenha um sistema operativo instalado, para que seja capaz de reiniciar o seu computador e analisar depois a unidade em que ocorreu a perda de informação. Como alternativa, pode instalar o seu disco rígido noutro computador, como drive secundária, para aceder a ele sem que ocorra o risco de escrever dados no mesmo.

Se perdeu dados em virtude de um ataque de virus, instale um software anti-virus no disco que vai usar para reiniciar o seu computador.

Discos de emergência ao socorro: Se está com medo de desmontar o seu computador, e tem um disco de emergência preparado, pode reiniciar o seu computador com ele (seja uma disquete, CD ou DVD) e seguir o processo a partir dai.

6. A escolha do software de recuperação de dados

Existem diversas escolhas gratuitas na Internet, bem como diversas versões de demonstração de programas comerciais.

Pode experimentar muitos destes programas, por sua conta e risco. Em qualquer caso, se tiver alguma questão, dúvidas, ou não sentir possuir os conhecimentos técnicos necessários para recuperar os seus dados sozinho, pode sempre consultar uma empresa de recuperação de dados na sua área.

B. O cenário b) é um cenário em que existe uma falha do disco rígido

Uma falha do disco rígido ocorre quando se torna impossível aceder ao mesmo, por influência de factores internos ou externos. Os factores podem variar, mas o mais comum é conhecido como “head crash” – a cabeça que lê a superfície magnética do seu disco toca na superfície metálica, friccionando contra ela e tornando as leituras normais impossíveis.

Como é constituído um disco rígido? Pratos, um motor, cabeças de leitura/escrita e actuaradores de cabeças. Os pratos rodam usando o motor e as cabeças lêem e escrevem informação no sitio para onde são movidas pelo braço actuador.

1. Desligue o computador e não tente reiniciá-lo

Quando ocorre um erro físico num disco rígido, a melhor coisa a fazer é não tentar reiniciar o sistema. Esta reiniciação pode causar mais problemas ao disco.

2. Proteja o disco rígido

Se o seu disco falhou devido a um problema externo, deve preservá-lo “tal como está”. Isto significa que, se por exemplo houve uma inundação e o disco entrou em contacto com água, deve preservá-lo dentro de água, nunca tente abri-lo ou secá-lo por si mesmo.

O meu computador esteve debaixo de água! Neste caso, a melhor coisa a fazer é tirar o disco do computador e armazená-lo dentro de um tupperware cheio de água. Envie de seguida essa embalagem para uma empresa especializada em recuperação de dados.

2. Como escolher uma empresa de recuperação de dados

Quando ocorre um erro físico, não deve tentar soluccioná-lo sozinho. Muitas das vezes certos componentes do disco têm de ser reparados ou substituidos, e esse processo apenas pode ter lugar numa “sala limpa”.

Para maximizar as suas hipóteses de recuperar os dados, deve encontrar rapidamente uma empresa de recuperação de dados perto de si.

São 4 as coisas principais a considerar, no processo de escolher essa empresa:

a) Ela deve possuir o equipamento adequado. A empresa que escolher deve ter os meios certos para recuperar a sua informação perdida. Pergunte directamente se ela possui pelo menos uma “sala limpa” de classe 100.

b) Existe uma possibilidade de parceria? A empresa que escolher está aberta a estabelecer uma parceria com a sua empresa? Oferecem formação e conselhos a longo prazo para melhor proteger os seus dados?

c) Experiência. Essa empresa especializa-se em recuperar dados no tipo de unidades em que está a tentar efectuar a recuperação de dados?

d) Lista de clientes. Visite o website da empresa que está a considerer contratar e consulte a lista de clientes passados. Ela inclui nomes de grandes empresas, e uma variada lista de indústrias diferentes? É sempre positivo se a resposta for sim.

3. Envie o disco para análise

A maioria das empresas não cobra absolutamente nada se não recuperarem os seus dados. Com toda a probabilidade estarão dispostos a dar uma estimativa de quanto lhe vai custar essa recuperação, por isso aproveite e peça-a sempre antes de se comprometer com um preço.

Consulte várias empresas e compare preços, mas lembre-se do passo 2 – é melhor pagar um pouco extra, se isso lhe assegura o acesso a melhor equipamento e a uma empresa com uma melhor lista de clientes satisfeitos.

Quando chegar a uma decisão, envie o seu disco para receber um orçamento. Use preferencialmente o material de embrulho que vinha originalmente com o mesmo. Se comprou o disco em conjunto com o seu computador, use material de embrulho macio, como por exemplo um envelope almofadado. Use espuma para compactar o disco rígido e impedir que este sofra com movimentos súbitos durante o transporte.

David Marques
Director Técnico
Data Recover Center
Empresa de recuperação de dados

Certificação ISO 27001: dados sobre a implementação na TV Cabo

2007-05-28T09:45:00.000+01:00

A primeira organização certificada em Gestão de Segurança da Informação - TV Cabo - disponibilizou amavelmente para o ISMSPT alguns dados sobre o processo de implementação de um sistema de gestão de segurança da informação. As informações foram prestadas por Nuno Schiappa Cruz (Responsável de Projectos Transversais da TV Cabo) e Rui Pedro Vaz (Senior Manager da GMS Consulting), aos quais agradecemos pelo facto de divulgarem à nossa comunidade alguns dados deste projecto pioneiro.

Q1: Qual o âmbito do sistema implementado? Explicitando a declaração de âmbito (a disponibilizar publicamente pela entidade certificadora). Se possível, definir qual o tipo de informação que o sistema protege.

O âmbito de certificação considerado para o ISMS da TV Cabo integra os activos de Informação, Sistemas de Informação e Direcções funcionais considerados relevantes para os processos de negócio "Gerir Clientes" e "Facturar e Cobrar".

Informações genéricas sobre qual a estrutura de gestão de segurança implementada (funções genéricas, quantas pessoas envolvidas na gestão do sistema)

Encontra-se definida uma estrutura de funções e responsabilidades associadas à gestão e manutenção do ISMS, nomeadamente:

Comissão Executiva da PTM: tem como principais responsabilidades a promoção das políticas de segurança da Informação na Organização e a disponibilização dos recursos humanos, financeiros e tecnológicos considerados adequados à sua efectiva operacionalização;
Comité de Segurança: tem como principais responsabilidades a coordenação e supervisão da adopção das políticas de segurança na Organização e a execução e/ou revisão periódica do ISMS; e
As Direcções de Recursos Humanos (DCRH), Jurídica (DCJ), Sistemas de Informação (DSI), Customer Care (DCC), Fidelização de Clientes (DFC), Operações e Engenharia (DOE), Rede de Distribuição (DRD), Financeira e Administrativa (DCFA): têm como principais responsabilidades assegurar a operacionalização e monitorização dos controlos de segurança da Informação cuja implementação lhes esteja atribuída.

Em termos globais, estas áreas de actuação concentram aproximadamente 100 colaboradores da TV Cabo nas funções âmbito de certificação.

Qual a metodologia de gestão de risco (se é qualitativa ou quantitativa)?

A TV Cabo optou por desenvolver e implementar uma metodologia própria de Gestão de Risco que assegura o apuramento quantitativo dos riscos brutos e net associados ao âmbito do ISMS, nomeadamente através da valorização ponderada dos seus activos face às vulnerabilidades e ameaças consideradas.

Exemplos de interfaces do sistema com os departamentos da TV Cabo (tipos de mecanismos de gestão de interfaces)

Constitui-se como uma responsabilidade das Direcções, Departamentos, Áreas e/ou Colaboradores TV Cabo, em coordenação com os proprietários da informação e com o Comité de Segurança, assegurar a operacionalização e monitorização dos controlos de segurança da Informação cuja implementação lhes esteja atribuída. Adicionalmente, estão definidos procedimentos e mecanismos específicos que asseguram:

Continuidade e refresh ao nível awarness e formação dos Colaboradores da TV Cabo no sistema e, em particular, nas Políticas de Segurança da Informação da Organização; e
Reporte de incidentes de segurança pelos Colaboradores da TV Cabo e o respectivo follow-up em termos de resolução.

Refira-se no entanto que a gestão integrada destes interfaces é maioritariamente da responsabilidade do Comité de Segurança.

Opinião sobre as dificuldades "genéricas" da implementação do sistema na TV Cabo.

As principais dificuldades sentidas ao nível da implementação do ISMS circunscreveram-se essencialmente à selecção e operacionalização de alguns dos controlos de segurança definidos (nomeadamente dos de cariz mais técnico), e à componente de awarness e formação dos Colaboradores da TV Cabo para a importância da Segurança de Informação no "dia-a-dia" da Organização. Refira-se , no entanto, que ultrapassada a barreira inicial de alguma resistência à mudança, a interiorização dos conceitos e princípios básicos de Segurança da Informação por parte dos Colaboradores da TV Cabo foi considerada como um dos pontos fortes nos resultados da Auditoria de Certificação.

Quais os drivers da implementação e quais são os benefícios esperados e (e já verificados, caso seja este o caso)?

A implementação do ISMS decorreu da operacionalização de um conjunto de controlos tecnológicos e funcionais que visaram garantir a conformidade da TV Cabo com os requisitos emanados do normativo SOX 404. Nesse sentido, o objectivo da certificação na norma ISO 27001 surgiu como uma resposta óbvia à necessidade de se implementar um sistema de gestão que permitisse a monitorização e melhoria contínua da Segurança de Informação da Organização, nomeadamente dos processos de negócio "Gerir Clientes" e Facturar e Cobrar" (considerados prioritários na sequência da análise de risco efectuada).

Com a implementação do ISMS constataram-se alguns benefícios imediatos, nomeadamente o incremento do controlo e formalismo das actividades desenvolvidas por prestadores de serviço externos (ex. inclusão de cláusulas de segurança e de monitorização da informação específicas nos contratos respectivos, etc.), o awarness e formação dos Colaboradores (internos e externos à TV Cabo) relativamente às regras e normas de segurança básicas a respeitar (ex. confidencialidade e integridade da informação manuseada, etc.), a melhoria do controlo de acessos físicos às diferentes instalações da Organização e uma maior proactividade na participação e resolução de incidentes de segurança.

De notar que existiram também impactos positivos ao nível dos Sistemas de Informação da TV Cabo mas, sendo esta uma área que tem tido desde sempre uma grande preocupação natural ao nível da segurança da informação armazenada/processada, foram menos visíveis (numa perspectiva de quick-win)

Informações sobre a metodologia seguida pela TV Cabo/GMS Consulting.

A metodologia utilizada para a implementação do ISMS foi a metodologia de PDCA (Plan-Do-Check-Act), que compreendeu:

PLAN: definição do âmbito do ISMS, definição e implementação do Risk Assessment, definição do Statement of Applicability (SOA), Gap Analysis com requisitos ISO 27001 e plano de acções;
DO: implementação dos planos de acções definidos, formação e awareness dos colaboradores inseridos no âmbito, planeamento das auditorias internas;
CHECK: realização das auditorias internas; e
ACT: implementação das acções correctivas e preventivas identificadas no decorrer das auditorias internas efectuadas.

Dados genéricos sobre o esforço de implementação sobretudo do lado da TV Cabo (recursos, tempo, etc.)?

A implementação do ISMS e respectiva certificação foi um projecto que envolveu, numa perspectiva de dedicação total, uma equipa de 4 Colaboradores da TV Cabo e 3 Consultores da GMS Consulting durante um período aproximado de 6 meses (com 2 meses prévios para a definição e implementação da metodologia de Gestão de Risco), complementada pelo apoio pontual dos diferentes intervenientes nos processos âmbito de certificação (ex. levantamento e valorização de riscos, actividades de auditoria, implementação de controlos, etc.)

De salientar que este projecto beneficiou de claras sinergias com o projecto de conformidade com o normativo SOX 404, nomeadamente ao nível da identificação e implementação dos controlos de segurança.

Video de Segurança Informática

2007-04-25T14:32:00.000+01:00

Videocast da Cisco sobre segurança informática, datado mas divertido.

Enquadramento legal

2007-04-17T13:10:00.000+01:00

Legislação:
Lista de legislação portuguesa do site da Polícia Judiciária
Legislação portuguesa aplicavél aos sistemas de informação.

Lista de legislação internacional do site da CNPD
Legislação comunitária e internacional.

Diário da República Electrónico
Acesso gratuito aos diplomas legais.

Comissão Nacional de Protecção de Dados
Supervisiona a aplicação da Lei de Protecção de Dados Pessoais (Lei n. 67/98).

Comissão de Acesso aos Documentos Administrativos
Supervisiona o acesso dos cidadãos aos documentos administrativos.

Recursos:
Direito na Sociedade da Informação LEFIS
Blogue da Rede LEFIS - "LEgal Framework for the Information Society" para a Língua Portuguesa.

Autoridade Europeia para a Protecção de Dados
Organismo europeu de cooperação e supervisão dos direitos de de protecção de dados de carácter pessoal.

2007-04-12T16:59:00.000+01:00

A Inteligência Económica deve ser entendida actualmente como um poderoso instrumento ao serviço dos Estados, das empresas e das organizações em geral.

A aplicação à realidade portuguesa será alvo de reflexão da parte do Prof. Didier Lucas, da École de Guerre Economique, e do Dr. André Magrinho, adjunto do Presidente da AIP.

O evento terá lugar no dia 16 de Abril, às 21h00, na SEDES.

Programa

«A necessidade da inteligência económica face aos desafios da globalização: uma reflexão sobre o caso de Portugal»
Prof. Didier Lucas, Director científico e pedagógico École de Guerre Économique (grupo ESLSCA), Paris

«As práticas de inteligência económica em Portugal: um ponto de situação»
Dr. André Magrinho, Adjunto da Presidência da Associação Industrial Portuguesa

Moderador:
Mestre Pedro Mendes Santos
Investigador associado do Centro de Administração e Políticas Públicas ISCSP-UTL
Investigador convidado da École de Guerre Économique (groupe ESLSCA), Paris

Este evento é organizado pela SEDES, Associação para o Desenvolvimento Económico e Social. No âmbito da SEDES está em formação um grupo de trabalho sobre inteligência económica, portanto o vosso contributo será bem-vindo.

Mais detalhes em http://www.sedes.pt/eventos.aspx?args=4,19&ID=59

TV Cabo: certificação ISO 27001

2007-02-04T16:26:00.000+00:00

A partir da leitura do press release da TV Cabo foi possível obter mais dados sobre a primeira certificação em segurança da informação de uma empresa portuguesa:

Âmbito do sistema: Processos “Facturar e cobrar” e ”Gerir Clientes”, os quais são "dois processos do modelo de negócio transversais à relação com o cliente, desde o atendimento do call center até ao trabalho de dados pessoais e confidenciais dos clientes".

Implicações:

Vasto conjunto de mecanismos de controlo "ao nível da gestão de informação interna, baseados numa metodologia de Gestão de Risco";
Procedimentos internos revistos e corrigidos;
Formação de 110 colaboradores da empresa "que, por sua vez, deram formação sobre as novas normas de segurança a todos os operadores dos call centers da TV Cabo" num total de 2000 pessoas.

Dados recolhidos do press release da TV Cabo.

Workshop: BS 25999 - Gestão da Continuidade do Negócio

2007-01-25T10:23:00.000+00:00

A BS 25999 é uma norma que especifica os requisitos de um Sistema de Gestão da Continuidade do Negócio. Esta norma britânica adopta o modelo dos sistemas de gestão (tal como o da ISO 9001) à gestão de continuidade do negócio, permitindo às organizações a obtenção de uma certificação das suas práticas de continuidade do negócio.

Nesta apresentação de 75 slides, poderá descobrir as especificações e as aplicações desta referência de continuidade de negócio.

Faça o download aqui.

Workshop: Gestão de risco e conformidades

2006-12-26T12:28:00.000+00:00

No passado dia 12 de Dezembro realizou-se em Lisboa o workshop “Gestão de Risco e Conformidade” no qual foram apresentados um conjunto de casos de aplicação da ferramenta Risk Manager como suporte à conformidade com o SOX, certificação ISO 27001 e gestão de risco.

O Risk Manager (denominado anteriormente de Check-up Tool) é um sistema que mede e analisa os riscos numa organização. O sistema executa o mapeamento dos riscos encontrados nos activos tecnológicos (software e equipamentos) e não-tecnológicos (ambientes, pessoas e processos), criando indicadores de segurança e fornecendo, de forma automática, relatórios detalhados para a equipa técnica e gráficos com informações consolidadas para os executivos. Esses relatórios, que informam o impacto de cada activo nos negócios, são usados tanto para implementar um maior nível de segurança quanto para priotizar os investimentos e gerar evidências, atendendo aos Regulamentações, Leis e Normas aplicáveis à organização.

A actual versão do software, lançado recentemente para o mercado internacional, integra na sua base de conhecimento, dentre outras funcionalidades, a implementação do COBIT 4 e da ISO 27001 e a verificação de conformidade com Sarbanes Oxley, entre outras matérias.

Descubra mais sobre o Risk Manager aqui .

No workshop foram realizadas as seguintes apresentações:

• SINFIC
• Módulo Security
• British Standard Institution
• BS 25999 - Business Continuity Management
• Demo do Risk Manager

Poderá ter acesso às apresentações, aqui.

Workshop: Boas Práticas em Segurança da Informação

2006-12-26T12:00:00.000+00:00

Uma apresentação de 95 slides que caracteriza o cenário de desafios de segurança colocados às organizações e as consequências derivadas da implantação da gestão de segurança da informação.

Porquê "Boas Práticas" nas organizações?
Ameaças às organizações
Protecção da Informação - as 3 dimensões fundamentais
Actos ilegais nas organizações (... por desconhecimento) - Legislação Portuguesa
Manuais de Boas Práticas para Passwords e outras áreas
O Código de Boas Práticas ISO 17799
Sistema de Gestão de Segurança da Informação

Faça o download aqui.

Continuidade de Negócio

2006-11-20T15:54:00.001+00:00

Referencial:

Recursos:

Introdução à Continuidade de Negócio (apresentação PPT com 61 slides)
Workshop Gestão de Risco e Conformidades (apresentação em Portugal da BS 25999)
Recuperação de Desastres: aplicação num caso prático (link externo)

Organismos internacionais:

Site da BSI sobre continuidade de negócio

BS 25999: Código de Práticas para a Gestão da Continuidade do Negócio

2006-11-20T15:34:00.000+00:00

A recente publicação do novo referencial BS 25999-1- ‘Código de Práticas para a Gestão da Continuidade do Negócio’ http://www.bsi-global.com/bs25999, substituirá o documento ‘PAS 56 – Guia para a Gestão da Continuidade do Negócio’ (Publically Available Specification 56 – Guide to Business Continuity Management), que estipulava já um conjunto de directrizes relativas à gestão efectiva da continuidade do negócio das organizações, não detendo contudo o estatuto de referencial.

Entre os temas abordados na BS 25999-1 encontram-se: a definição do conceito de Gestão da Continuidade do Negócio, bem como uma visão geral da mesma; a apresentação do conceito de Sistema de Gestão da Continuidade do Negócio; introdução à problemática da gestão de programas de continuidade do negócio (incluindo a documentação associada ao mesmo); a clarificação do papel da disciplina de Gestão da Continuidade do Negócio e relevância da mesma para as organizações; a determinação das diferentes abordagens à gestão da continuidade do negócio que as organizações podem eleger; o desenvolvimento e implementação de um plano de gestão da continuidade do negócio; a necessidade da realização de testes, auditorias, manutenção e auto-avaliação do processo de gestão da continuidade do negócio na organização; e por fim, a integração do conceito e processo de gestão da continuidade do negócio na cultura organizacional.

A publicação da segunda parte da norma britânica BS 25999 encontra-se prevista para o início do próximo ano, e possibilitará a obtenção de uma certificação, por parte das organizações, no que concerne aos seus Sistemas de Gestão da Continuidade do Negócio, enquanto a BS 25999-1 estipula o conjunto de boas práticas que as organizações devem considerar no sentido de garantir a continuidade do seu negócio face a um incidente de proporções significativas, encontrando-se alinhada com as boas práticas apresentadas pelo referencial internacional de excelência no que concerne à segurança da informação, a norma BS ISO/IEC 17799:2005.

Texto de Maria Manuela Gaivéo, Consultora na SINFIC.

PAS 56 – Guia para a Gestão da Continuidade do Negócio

2006-11-20T15:21:00.000+00:00

Um dos principais objectivos da implantação de um Sistema de Gestão da Segurança da Informação e/ou da definição de um processo formal para a Gestão da Segurança da Informação nas organizações, é assegurar que se encontram reunidas as condições que possibilitam a continuidade da realização dos seus processos de negócio, através da garantia da integridade, confidencialidade e disponibilidade da sua informação crítica de negócio, bem como das infra-estruturas de suporte ou a esta associadas.

A necessidade da definição de um modelo e estrutura para a Gestão da Continuidade do Negócio das organizações é pois, um dos aspectos que ganha especial relevância tanto no referencial BS ISO/IEC 17799:2005, como no referencial BS ISO/IEC 27001:2005, que apresentam respectivamente, o conjunto de boas práticas que as organizações devem seguir ao nível da gestão da segurança da informação e os requisitos para a implantação de um sistema de gestão da segurança da informação (Information Security Management System – ISMS). As práticas de gestão e controlos definidos nestes documentos têm por objectivo garantir que, uma vez ocorrido um incidente de segurança, de maior ou menor impacto (decorrentes de desastres naturais, ou de meras falhas temporárias de energia, por exemplo), a organização tem à sua disposição os meios que lhe permitem assegurar a continuidade do seu negócio, através da realização dos processos e actividades críticos que lhe estão associados.

Uma das dificuldades associadas à definição de um Plano de Continuidade de Negócio, ou mesmo do processo de Gestão da Continuidade do Negócio nas organizações prende-se com a complexidade que o desenvolvimento destes dois importantes elementos pode acarretar para estas. Atendendo às necessidades e dificuldades identificadas a este nível, a BSI (British Standards Institution), conjuntamente com o BCI (Business Continuity Institute), desenvolveu e publicou um conjunto de directrizes – ‘PAS 56 – Guia para a Gestão da Continuidade do Negócio’ (Publically Available Specification 56 – Guide to Business Continuity Management) -, que visa auxiliar as organizações nos processos de definição, desenvolvimento, implementação e gestão de um programa de Gestão da Continuidade do Negócio, atendendo à sua envolvente de riscos e requisitos de negócio.

Aplicável a todas as organizações, independentemente da sua dimensão e da natureza do seu negócio, o PAS 56 descreve as actividades e resultados envolvidos no estabelecimento de um processo de Gestão da Continuidade do Negócio, fornecendo ainda um conjunto de recomendações e boas práticas, bem como directrizes para a definição de critérios de avaliação da eficácia deste processo na organização, de acordo com as suas necessidades. De referir que o processo de Gestão da Continuidade não se cinge meramente a actividades de resposta a incidentes, abrangendo problemáticas como a recuperação de desastres, a gestão de situações de crise, gestão do risco bem como tecnologias de suporte, que devem ser geridas de forma unificada no sentido de assegurar a adequação e eficácia do processo de gestão da continuidade do negócio como um todo.

Encontra-se previsto que este documento dê origem, num futuro próximo, ao referencial BS 25999, norma esta que se dividirá em duas partes: ‘BS 25999-1 - Código de Práticas para a Gestão da Continuidade do Negócio’ (parte que substituirá o actual PAS 56), e ‘BS 25999-2 – Especificação para a Gestão da Continuidade do Negócio’, referencial que possivelmente, permitirá a obtenção de uma certificação a este nível, por parte das organizações.

Gestão de Serviço de SI/TI

2006-11-20T14:50:00.000+00:00

Referêncial:

O que é o ITIL?
Cinco Razões Porque o ITIL Não é Implementado "By The Book"?
Sete Aspectos Chave para a Implementação de uma Estrutura ITIL
Dez Razões Porque a Implementação do ITIL Falha nas Organizações
ISO 20000: O que deve uma organização fazer? (Whitepaper da BMC Software: leitura recomendada)

Organismos internacionais:

Site da BSI sobre a ISO 20000

Organismos nacionais:

Site Português

O que é o ISO 20000? - Parte I

2006-11-20T13:38:00.000+00:00

Desenvolvida a partir da BS 15000-1, norma britância preparada pela BSI (British Standards Institution), que descreve um conjunto integrado de processos de gestão que possibilitam a entrega eficaz de serviços de SI/TI quer à organização, quer aos seus clientes, estando alinhada com a abordagem por processos definida no ITIL (IT Infrastructure Library), a recentemente publicada BS ISO/IEC 20000-1:2005 tem por objectivo a promoção da adopção de uma abordagem por processos para a gestão integrada e efectiva dos serviços de SI/TI das organizações, no sentido de ir de encontro aos requisitos e objectivos quer do negócio, quer dos seus clientes a este nível.

A integração e implementação dos diferentes processos de gestão de serviços de SI/TI potenciam o alcance de um incremento da eficiência dos mesmos, o seu controlo e monitorização permanentes, bem como a capacidade de melhoria destes processos, por parte da organização. A garantia de que são levadas a cabo, de forma eficaz e eficiente, as actividades e processos relacionados com o desenvolvimento, entrega, operação, manutenção e suporte de serviços de SI/TI, requer por conseguinte, a organização e coordenação de recursos de ordens distintas, tais como recursos informáticos, infra-estruturas e como não poderia deixar de ser, das pessoas afectas às referidas actividades e processos, entre outros.

Atendendo à relevância destes aspectos, a BS ISO/IEC 20000-1:2005, apresenta as especificações e requisitos para o estabelecimento de um sistema de gestão de serviços de SI/TI, alicerçado em processos de gestão de serviços intimamente relacionados entre si e que incidem, nomeadamente: no planeamento e implementação do processo de gestão de serviços na organização, com especial atenção no que concerne ao planeamento e implementação de novos serviços ou de alterações a serviços já existentes e em utilização; nos requistos para o processo de entrega de serviço, incluindo a gestão de níveis de serviço, a gestão da continuidade e da disponibilidade de serviços, a gestão da capacidade de serviços e a gestão da segurança da informação; na clarificação de aspectos relacionados com processos de relação com terceiros, como é o caso de fornecedores; na definição de processos de resolução e gestão de incidentes e/ou problemas associados aos diferentes recursos alocados a serviços de SI/TI; na identificação de especificações no que diz respeito a processos de controlo (gestão da mudança e de configurações); e por fim, no processo de disponibilização do serviço, novo ou alterado, para o mercado.

Importa referir que a implantação da BS ISO/IEC 20000-1:2005 numa organização pressupõe a adopção de algumas das práticas estabelecidas pela BS ISO/IEC 20000-2:2005 – ‘Código de práticas para a gestão de serviços de SI/TI’, e possibilita às organizações a obtenção de uma certificação reconhecida internacionalmente no que diz respeito à gestão dos serviços de SI/TI que detém e/ou que disponibiliza a outrém. É ainda interessante constatar as relações e paralelismos existentes entre algumas das especificações supra mencionadas e as especificações da BS ISO/IEC 27001:2005, referencial de excelência ao nível de sistemas de gestão da segurança da informação.

Texto de Maria Manuela Gaivéo, Consultora na SINFIC.

O que é a ISO 20000-2?

2006-11-20T13:20:00.000+00:00

Tendo por base, à semelhança do que acontece com a BS ISO/IEC 20000-1, o referencial britânico BS 15000-2, desenvolvido pela BSI (British Standards Institution), a BS ISO/IEC 20000-2:2005 apresenta um conjunto de práticas de referencia para as organizações, no que concerne à Gestão de Serviços de SI/TI internos ou a disponibilizar a terceiros, mediante contrato de hosting, suporte ou manutenção, por exemplo, encontrando-se alinhada com o estipulado não só na BS ISO/IEC 20000-1:2005, mas também com a abordagem orientada a processos consubstanciada na framework ITIL (IT Infrastructure Library).

A BS ISO/IEC 20000-2:2005, estabelece pois o código de boas práticas, apresentando e descrevendo as diferentes práticas e processos reconhecidos pela indústria ao nível da qualidade dos processos de Gestão de Serviços de SI/TI, atendendo ao âmbito previamente definido à luz da BS ISO/IEC 20000-1:2005, sendo de especial utilidade para as organizações que pretendam a certificação atendendo aos requisitos desta ou que se encontrem em processo de revisão e/ou de melhoria de serviços e processos a estes associados.

Atendendo a que a definição, desenvolvimento, implementação, operação e manutenção adequadas de serviços de SI/TI, possibilitam a maximização da eficiência e eficácia destes mesmos serviços, com vista a ir de encontro quer aos requisitos de negócio organizacionais, quer aos requisitos e necessidades estabelecidos pelos seus clientes, a implementação das boas práticas estipuladas na BS ISO/IEC 20000-2 torna-se um aspecto de crucial relevância para a garantia da qualidade dos seus serviços de SI/TI, e por conseguinte, do cumprimento dos requisitos internos e externos a que a organização deve responder.

Neste sentido, a BS ISO/IEC 20000-2:2005 estabelece, num conjunto de oito capítulos, práticas de referência no que diz respeito à gestão de Serviços de SI/TI, nomeadamente ao nível de:

Sistema de Gestão – estipula a necessidade da definição e implantação de um sistema de gestão (BS ISO/IEC 20000-1:2005), que deverá incluir as políticas da organização a este nível, bem como de uma framework que possibilite a gestão e implementação efectivas de todos os serviços de TI das organização.
Planeamento de implementação de gestão de serviços – identifica a necessidade da definição/realização de um processo de planeamento estruturado e sustentado que possibilite a gestão de serviços de SI/TI, com enfoque na sua implementação e entrega.
Planeamento e implementação de novos serviços ou de serviços alterados – visa o alcance da garantia de que novos serviços e alterações a serviços já existentes, poderão ser alvo de entrega e gestão, cumprindo com estipulado com o acordo estabelecido entre as partes, nomeadamente ao nível de custos e de qualidade dos serviços.
Processos de entrega de serviços – tem por objectivo assegurar que se encontram definidos, acordados, registados e geridos os diferentes níveis de serviço estabelecidos entre a organização e terceiros.
Processos de relação (com terceiros) – com vista a garantir que todas as partes envolvidas num acordo de disponibilização de serviços de SI/TI se encontram cientes, compreendem e vão de encontro a necessidades de negócio, compreendem quer as capacidades quer constrangimentos à disponibilização dos serviços acordados, e ainda que compreendem as suas responsabilidades e obrigações.
Processos de resolução – visam dotar as organizações de procedimentos e políticas que lhes possibilitem a gestão do processo de resposta a incidentes e problemas verificados aquando da disponibilização de serviços de SI/TI interna e externamente.
Processos de controlo – têm por objectivo assegurar a definição e controlo de componentes dos serviços e infra-estruturas, mantendo igualmente informação de configuração precisa.
Processos de disponibilização do serviço para o exterior – com vista a garantir a entrega, distribuição e acompanhamento adequados de uma ou mais alterações verificadas em serviços em ambiente de procução.

Tendo em consideração o apresentado, será de inegável utilidade para as organizações que pretendem o alcance de uma certificação internacional à luz da BS ISO/IEC 27001:2005, a análise do estipulado em ambos referenciais BS ISO/IEC 20000:2005 e posterior implementação, atendendo a que esta estabelece as boas práticas ao nível da gestão de serviços de SI/TI muitas das vezes sujeitos ao impacto e consequências decorrentes de quebras de segurança, apresentando ainda o benefício de ambas se encontrarem alinhadas e obedecerem a um conjunto de princípios comuns.

Texto de Maria Manuela Gaivéo, Consultora na SINFIC.

Workshop Gestão de Risco e Conformidades

2006-11-16T11:26:00.000+00:00

Apresentação de casos de organizações que utilizam a Ferramenta Risk Manager
Conhecer e avaliar riscos deixou de ser uma necessidade técnica para se transformar numa questão estratégica para as organizações, em função da exigência do mercado, governo, de agências reguladoras e Clientes. O conhecimento de Casos de Estudo, reais e actuais, sobre a forma inteligente de gerir riscos e conformidades, utilizando ferramentas de gestão auxiliares são o mote deste evento.

Agenda
16:40 - Recepção
17:00 - Apresentação de Casos de Estudo (1ª Sessão): Xerox; Justiça do Trabalho; Vivo (telecomuniacções)
18:00 - Apresentação da parceria entre Sinfic, S.A. e Módulo Security
18:15 - Apresentação de Casos de Estudo (2ª Sessão): Módulo Security; Banco Santander; Continuidade de Negócio - Operacionalidade face à Gripe das Aves
19:15 - Gestão de Continuidade de Negócio segundo a BS 25999
19:30 - Cocktail
20:00 - Encerramento

Inscrições e informações em

http://www.sinfic.com/modulo

Sobre o Risk Manager
O Risk Manager foi premiado pela Microsoft como a melhor solução de segurança do mundo na categoria de Security Management.

Workshop Auditorias Internas - 16 de Outubro

2006-10-18T17:05:00.000+01:00

Faça download aqui da apresentação "Auditorias Internas" realizada no workshop de dia 18 de Outubro. Ficheiro com 84 slides.

Pressupostos e decisões da Gestão de Segurança da Informação

2006-10-11T12:10:00.000+01:00

Uma apresentação, em inglês, com 41 slides sobre os pressupostos e decisões para implementação de um Sistema de Gestão de Segurança da Informação. Apresentação realizada na 2ª Conferência sobre Segurança Informática nas Organizações - SINO´2006 em Aveiro.

Tópicos abordados:

IT security vs Information security
Security management concept (in relation to risk and compliance management)
A security management system: mandatory activities, optional controls, protected business process
ISMS scope dilemma: macro vs micro scope
Asset identification criteria
Asset evaluation scale
Risk identification techniques
Risk assessment formula
Risk treatment options
Polices and procedures

Boa leitura.

Requisitos de um SGSI – Sistema de Gestão de Segurança da Informação

2006-09-29T10:30:00.000+01:00

1. O que é um SGSI?
A norma BS ISO/IEC 27001:2005 (antiga BS 7799-2), tal como a ISO/IEC 9000 e ISO/IEC 14000, tem como propósito o desenvolvimento de um sistema de gestão nas organizações. No caso da ISO/IEC 27001, o sistema de gestão é orientado para a protecção dos recursos informativos da organização, sendo por isso designado de sistema de gestão de segurança da informação ou SGSI, a que corresponde em Inglês o acrónimo de ISMS. Um SGSI é definido pela ISO como “that part of the overall management system, based on a business risk approach, to establish, implement, operate, monitor, review, maintain and improve information security” [ISO05:p.4].

Neste sentido, um SGSI envolve as actividades de gestão e as estruturas de suporte à gestão relevantes para a segurança da informação.

2. Quais os requisitos de um SGSI?
Um SGSI para ser passível de ser certificado tem de obedecer a um conjunto de requisitos definidos pela norma ISO/IEC 27001. Estes requisitos podem ser classificados como obrigatórios e selectivos. Vamos começar pelos primeiros.

3. Requisitos obrigatórios
A norma de segurança da informação herda os mecanismos de controlo de gestão dos sistemas de qualidade (ISO/IEC 9001) e de gestão ambiental (ISO/IEC 14000). Desta forma um SGSI deverá possuir um conjunto de actividades documentadas, as quais deverão estar estruturadas em processos. Assumindo a óptica de processos, num hipotético SGSI poderão coexistir os seguintes processos:

(a) gestão do âmbito,
(b) gestão de inventário,
(c) gestão do risco,
(d) gestão da formação e de acções de sensibilização de segurança,
(e) gestão de registos de incidentes e eventos de segurança,
(f) auditorias internas,
(g) acções preventivas e correctivas.

Todos estes processos são suportados pelo:

(h) processo planeamento e revisão de segurança (designado como revisão de gestão), bem como o
(i) processo de definição, aprovação, publicação e comunicação de documentos e registos do SGSI e finalmente
(j) deverão existir mecanismos de monitorização continua dos vários processos de segurança.

Os 10 processos mencionados resultam da aplicação das cláusulas obrigatórias (do capítulo 4 ao 7) da norma ISO/IEC 27001:2005. Registe-se que esta lista não é exaustiva e que, em organizações específicas, os processos citados podem ser surgir agrupados ou decompostos em outros.

4. Requisitos selectivos
O que distingue um SGSI de um outro sistema de gestão são os controlos do Anexo A do ISO/IEC 27001:2005. Neste Anexo foram reproduzidas as 136 medidas de protecção do ISO/IEC 17799:2005.

Cabe à organização, com base nos objectivos de negócio, avaliação do risco que executou e nos requisitos legais aplicáveis, ajuizar da aplicabilidade ou não do controlo à organização. Dado o carácter discricionário destes requisitos, o número de medidas implementadas numa organização depende do nível de conforto face ao risco que esta tenha adoptado.

Neste conjunto de 136 controlos, 10 medidas concretas relacionadas com aspectos legais ou de gestão de segurança da informação são caracterizadas como aplicáveis na maior parte das organizações. Por conseguinte, estes 10 controlos definidos pela ISO/IEC 17799:2005 constituem requisitos selectivos, mas com um grau de aplicabilidade reforçado. E, podemos, inferir que efectivamente, os controlos onde a discricionariedade se aplica são realmente apenas 126.

5. Conclusão
A gestão de segurança para ter sucesso numa organização não se pode limitar a seguir modelos, mas terá que com base nestes, desenvolver processos adaptados aos seus objectivos e constrangimentos de negócio. Não existe, por isso, um receituário universal de desenvolvimento de processos de gestão de segurança. Todavia, as organizações para alcançarem o reconhecimento público da sua gestão de segurança por uma certificação externa deverão provar a sua conformidade face a um núcleo essencial de mecanismos de controlo de gestão (requisitos obrigatórios) e aplicar as medidas de salvaguarda (requisitos selectivos) necessárias para proteger a sua informação crítica de negócio.

Requirements of ISO 27001:2005

Texto de Paulo Coelho

Consultor

Sinfic, SA

Exames CISA CISM em Portugal

2006-09-26T16:45:00.000+01:00

O ISACA organizará em Dezembro os exames CISA e CISM em local a definir na cidade de Lisboa (detalhes aqui).

Esta já é a terceira vez que os exames são organizados em Portugal, depois de uma primeira experiência de realização de exames - em Junho de 2005 - ter contado com 28 inscritos, o ISACA efectuou este ano em Junho uma segunda época de exames, e dado a afluência resolveu dar uma nova oportunidade para todos os profissionais que pretendam efectuar os exames citados.

Estas informações foram gentilmente facultadas por Carlos Alexandre, auditor profissional que juntamente com outros profissionais está envolvido na criação de um chapter do ISACA em Portugal.

TV Cabo certificada ISO 27001

2006-09-26T15:17:00.000+01:00

Segundo o Jornal de Negócios de 18 de Setembro, a TV Cabo obteve no dia 15 de Setembro a Certificação ISO 27001.

À falta de outras fontes noticiosas, transcreve-se o texto da notícia:

"A TV Cabo torna-se, assim, na primeira empresa portuguesa a obter esta certificação. No total são 127 os controlos implementados ao nível da segurança da informação interna na fornecedora de televisão por subscrição, tendo a empresa do Grupo PT sido apoiada pela GMS - Global Managment Solutions - para o conseguir.

A TV Cabo reforçou as suas capacidades internas ao nível de desenho, adaptação, avaliação e correcção de alguns procedimentos de tratamento e disponibilização da informação da organização. Mais do que ao nível informático e "virtual" da segurança, a atribuição da ISO 27001 à TV Cabo confere também à empresa um elevado grau de fiabilidade em termos de segurança no acesso a certas zonas das instalações da empresa ou armazéns e mesmo protecção da base de dados de clientes. Os próprios trabalhadores tiveram "direito" a acções de formação sobre as novas normas de segurança da empresa."

In Jornal de Negócios de 18 de Setembro de 2006

Lisboa na rota do Information Security Forum (ISF)

2006-09-08T16:15:00.000+01:00

No dia 26 de Setembro irá decorrer em Lisboa uma sessão de apresentação do Information Security Fórum, com entrada sujeita à marcação prévia no site desta instituição.

08:00 – 08:30 Continental breakfast and registration
08:30 – 09:00 Welcome and introduction to ISF
09:00 – 09:15 An information security approach based on
global best practice
09:15 – 09:45 Major issues in information security /
threat horizon
09:45 – 10:10 Information risk analysis, benchmarking, security
evaluation and compliance
10:10 – 10:25 A Member’s view of the ISF
10:25 – 10:30 Summary and close

O ISF é um organismo com fins não lucrativos que reúne 270 das principais corporações de todo o mundo, em projectos de investigação de segurança da informação. Alguns destes projectos resultaram em contribuições práticas para a comunidade, tal como é o caso de:

The Standard of Good Practice for Information Security - um catálogo de boas práticas com um histórico de 16 anos.
FIRM - uma metodologia de gestão de risco que recorre a uma fórmula de 5 dimensões (criticality, control weaknesses, special circumstances, level of threat, business impact) para avaliar os riscos existentes.