• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Gestão de Riscos e Continuidade de Negócios
 

Gestão de Riscos e Continuidade de Negócios

on

  • 3,434 views

Apresentação do projeto final de graduação do curso de Tecnologia em Segurança da Informação.

Apresentação do projeto final de graduação do curso de Tecnologia em Segurança da Informação.

Statistics

Views

Total Views
3,434
Views on SlideShare
3,368
Embed Views
66

Actions

Likes
1
Downloads
67
Comments
0

1 Embed 66

http://www.linkedin.com 66

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Gestão de Riscos e Continuidade de Negócios Gestão de Riscos e Continuidade de Negócios Presentation Transcript

    • UNIVERSIDADE CATÓLICA DE BRASÍLIA PRÓ-REITORIA DE GRADUAÇÃO TRABALHO DE CONCLUSÃO DE CURSOTECNOLOGIA EM SEGURANÇA DA INFORMAÇÃO Apresentação: “GESTÃO DE RISCOS E CONTINUIDADE DE NEGÓCIOS” Autor: Álvaro Gulliver Brandão de Lima Orientador: MSc. Marco Antonio de Oliveira Araújo BRASÍLIA / 2011
    • OBJETIVOS PCN AIN Análise e PAC Gestão de Fundamentos e Riscos Estrutura de um SGSI Evolução da Segurança da Informação (SI) Contingenciar e minimizar paradas e danos aos processos de negócio.
    • INTRODUÇÃO Entender os fundamentos sobre os impactos, ameaças e vulnerabilidades que afetam a continuidade dos negócios; Compreender a GR através de uma visão executiva para minimizar paradas e interrupção nos negócios e criar um plano de continuidade de negócios;
    • CONTEXTO HISTÓRICO Pré- Pós- computação Pós-Internet computação• Surgimento dos • Confiança em • Ampliação dos hieróglifos egípcios. sistemas de mercados globais; informação para• Transporte oficial de realizar controles e • Potencialidade de informações romano, transações problemas jurídicos e Correio. eletrônicas criminais, pirataria e financeiras através de até mesmo protocolos de terrorismo.• Cifra de César segurança e senhas de acesso para autenticação que utilizam sistemas de criptografia de extrema segurança. Fonte: Ramos et al. (2008)
    • FUNDAMENTOS DE SEGURANÇA Integridade • Uma informação íntegra é uma informação que se mantêm original, que não sofra alteração indevida e não autorizada. Confidencialidade • É o grau de sigilo atribuído ao seu conteúdo visando à limitação de seu acesso e uso restrito às pessoas autorizadas. Disponibilidade • Garantir a segurança na disponibilidade das informações é permitir que a mesma esteja sempre ao alcance quando necessária para seus usuários e destinatários.
    • DEFINIÇÕES Ativo Proteçã Ameaça o Segurança da Informação Incident Riscos e Vulnerabil idades
    • RISCO É a probabilidade de ocorrência de um evento;  Avaliação;  Cenário;  Controle. Conforme Ramos et al. (2008), existem quatro atividades ligadas à forma como se entende o risco. Classificam-se como:  Avaliação do risco;  Tratamento de risco;  Aceitação do risco;  Comunicação do risco.
    • DEFINIÇÕES RELACIONADAS À ISO 27K1 E 27K2 Norma Gestão Prioriza Classificação da Informação Gestão de Ativos Elaboração do ISO/IEC 27001 e inventário de ativos 27002 Ex: Segurança de Físico, ambiente, hu Recursos mano, operações e outros.
    • ESTRUTURA DO SGSI CONFORME ISO/IEC 27K1 • PLAN • ACT Manutençã Estabelecer oe o SGSI melhoria do SGSI Monitora e Implementa faz análise a operação crítica • DO • CHECK
    • PLANEJAMENTO E IMPLEMENTAÇÃO DO SGSI De acordo com a cláusula 4.2.1 da ISO/IEC 27001:2005, planejar é estabelecer a política, objetivos processos e procedimentos do SGSI, que sejam relevantes para a gestão de riscos e melhoria da segurança da informação que atendam as políticas globais de uma determinada organização. Podem-se dividir os objetivos desta cláusula em: Definição do escopo; Elaboração da política de segurança da informação; Realização da análise/avaliação de riscos e elaboração do plano de tratamento dos riscos.
    • DEFINIÇÃO DO ESCOPO De acordo com Bastos e Caubit (2009), escopo é “[...] o perímetro de abrangência que define os ativos a serem contemplados no SGSI, sejam eles sistemas, dispositivos físicos, processos ou ações do pessoal envolvido [...]”; A norma ISO/IEC 27001 orienta que o escopo deve considerar características do negócio, sua localização, ativos tangíveis e intangíveis. É recomendável que o escopo seja relevante para a organização, ou seja, compatível com os interesses e objetivos.
    • ELABORAÇÃO DA POLÍTICA DE SI A política de segurança da informação é um documento que contem as premissas e diretrizes orientando de forma clara a implementação da SGSI; A política de ser apoiada nos requisitos legais, regulatórios e contratuais do negócio. Servirá como base para estabelecer a estratégia e o contexto para gestão de riscos, bem como critérios de estruturação e avaliação de riscos.
    • RISCOS NOS NEGÓCIOS Conforme pesquisa realizada pelo Cert.br, o número total de notificações de incidentes no segundo trimestre de 2011 foi um pouco superior a 127 mil, o que corresponde a um aumento de 40% em relação ao trimestre anterior e de 287% em relação ao mesmo trimestre de 2010.
    • INCIDENTES REPORTADOS PELO CERT.BR
    • ABORDAGEM PARA ANÁLISE DE RISCOS Escolher uma metodologia que será utilizada e que melhor se adequar à organização; A objetividade é um dos critérios fundamentais para a escolha da metodologia de forma que proporcione a imparcialidade das análises e avaliações realizadas;
    • SEGURANÇA COMO INVESTIMENTO O ROI é uma medida de desempenho utilizado para avaliar a eficiência de um investimento (WIKIPEDIA); É vista como um centro de custo e o melhor a ser feito é tentar habilitar a empresa a assumir os riscos do negócio.
    • FOCO DA ANÁLISE DE RISCOS Tecnológico Humano Físico Processual
    • FASES DA ANÁLISE DE RISCOSIdentificar os Relevância Definição da processos dos equipe de negócio processos envolvida Análise Entrevista a técnica de usuários segurança
    • ANÁLISE TÉCNICA DE SEGURANÇA Segundo Ramos et al. (2009) dentre os mais conhecidos dos ativos tecnológicos analisados tecnicamente, podem-se listar os seguintes:  Análise de estações de trabalho;  Análise de servidores;  Análise de equipamentos e conectividade;  Análise de links;  Análise de banco de dados.
    • PERFIL DO RISCO Listar os ativos mais críticos da organização é primordial; Conforme Wheeler (2011), ao traçar o perfil de risco, o foco é medir a sua sensibilidade; A melhor maneira de criar o perfil é realizando um simples questionário que utiliza uma série de questões orientadas para medir o impacto potencial.
    • TIPOS DE ANÁLISE Análise Qualitativa; Análise Quantitativa; Análise Semi-quantitativa.
    • AVALIAÇÃO DE RISCOS Danos e Quanto maior prejuízos a financeiros tolerabilidade Porém haverá maior Mais riscos suscetibilidade serão aceitos a riscos Menos recursos para tratamento serão necessários
    • TRATAMENTO DOS RISCOS Tentativa de evitar o risco; Compartilhar o risco; Reter o risco.
    • PLANO DE TRATAMENTO DE RISCOS Plano de Tratamento conterá uma descrição prática, uma seqüencia de prioridade, recursos necessários, atribuições, prazos e informações importantes para medir o desempenho dos tratamento de riscos; Risco residual.
    • MONITORAÇÃO E REVISÃO A monitoração deve ser contínua; A mudança nos ativos e sua relevância ao processo de negócio devem sempre ocasionar uma Análise de Risco.
    • PLANEJAMENTO DA CONTINUIDADE DO NEGÓCIO Envolve avaliar uma variedade de riscos aos processos organizacionais; Criação de políticas, planos e procedimentos para minimizar o impacto desses riscos sobre a organização.
    • PROCESO DO PCN Aprovação e implementação Planejamento de continuidade Avaliação do impacto nos negócios Escopo do projeto e planejamento
    • ESTRATÉGIAS DE CONTINUIDADE DE NEGÓCIOS Segundo Ramos et al. (2008, p. 158), existem três modelos a serem abordados:  Ativo / Backup;  Ativo / Ativo;  Localidade alternativa.
    • AVALIAÇÃO DO IMPACTO NOS NEGÓCIOS (AIN) Identificar as prioridades; Desenvolver e implementar um plano de resposta (PAC).
    • PLANOS PARA GCN Segundo a norma ISO/IEC 27002:2006, são planos de de contitnuidade de negócios: Plano de Administração de crise; Plano de Respostas a Incidentes; Plano de Continuidade Operacional; Plano de Recuperação de Desastres; Plano de Retorno à Normalidade.
    • ESTRATÉGIAS DE RECUPERAÇÃO Segundo Ramos et al. (2008, p. 165) ao realizar uma Análise de Impacto no Negócio (AIN) identifica-se o Temo Máximo de Parada (TMP) dos diversos processos inerentes as atividades da organização.
    • EXEMPLOS DE ESTRATÉGIAS Usuários; Instalações; Logística; Dados; Operações.
    • PROCESSO DE OCORRÊNCIA DE CRISE Caso um incidente aconteça e a sensibilidade ao risco for alta, ou seja, de grande magnitude, devemos imediatamente recorrer ao PAC. A principal atividade é definir procedimentos de emergência e avaliar os danos causados. O tempo estimado de parada será primordial para saber se o PCN deve ser acionado e caso este tempo seja maior que o TMP, deve-se preceder com os planos.
    • CONCLUSÃO Uma das preocupações atuais da sociedade, dentro do cenário empresarial é desempenhar suas operações com segurança evitando que desastres interrompam suas atividades e conseqüentemente sua competitividade, e até mesmo sua existência no mercado.
    • REFERÊNCIASSitesCore business. In: WIKIPÉDIA: a enciclopédia livre. Wikimedia, 2006. Disponível em:< http://pt.wikipedia.org/w/index.php?title=Core_business&oldid=21866238>. Acesso em: 29 set. 2011Caesar cipher. In: WIKIPÉDIA: a enciclopédia livre. Wikimedia, 2006. Disponível em: <http://en.wikipedia.org/w/index.php?title=Caesar_cipher&oldid=451372028>. Acesso em: 8 set. 2011Segurança da Informação. In: WIKIPÉDIA: a enciclopédia livre. Wikimedia, 2006. disponível em: <http://pt.wikipedia.org/w/index.php?title=Seguran%C3%A7a_da_informa%C3%A7%C3%A3o&oldid=26560462>. Acesso em: 30 ago. 2011Retorno sobre Investimento. In: WIKIPÉDIA: a enciclopédia livre. Wikimedia, 2006. Disponível em <http://pt.wikipedia.org/w/index.php?title=Retorno_sobre_investimento&oldid=26567227>. Acesso em: 22 set. 2011LAGO, Davi Guimarães; GUIMARÃES, Ênio Benfica. Segurança da Informação e sua história. Disponível em <http://www.viajus.com.br/viajus.php?pagina=artigos&id=2202&idAreaSel=20&seeArt=yes>. Acesso em: 22 set. 2011Ciclo PDCA. In: WIKIPÉDIA: a enciclopédia livre. Wikimedia, 2006. Disponível em <http://pt.wikipedia.org/w/index.php?title=Ciclo_PDCA&oldid=26122983>. Acesso em: 27 out. 2011.LivrosBASTOS, Alberto; CAUBIT, Rosângela. Gestão da Segurança da Informação - uma visão prática. Porto Alegre: Zouk, 2009SÊMOLA, Marcos. Gestão da Segurança da Informação: uma visão executiva. Rio de Janeiro: Elsevier, 2003.WHEELER, Evan. Security Risk Management - Building and Information Security Risk Management Program from the Ground up. Massachusetts: Elsevier, 2011.NormasABNT NBR ISO/IEC 27001:2006. Tecnologia da Informação – Técnicas de Segurança – Sistema de Gestão de Segurança da Informação – Requisitos. Rio de Janeiro: ABNT, 2006ABNT NBR ISO/IEC 27002:2007. Tecnologia da Informação – Técnicas de Segurança – Códigos para a Gestão da Segurança da Informação. Rio de Janeiro: ABNT, 2007