Your SlideShare is downloading. ×
Gestão da Governança de TI | Andracom
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Introducing the official SlideShare app

Stunning, full-screen experience for iPhone and Android

Text the download link to your phone

Standard text messaging rates apply

Gestão da Governança de TI | Andracom

937
views

Published on

Articular as futuras necessidades, avaliar a situação atual e determinar o caminho correto. Ao mesmo tempo equilibra o curto prazo aos objetivos de longo prazo.

Articular as futuras necessidades, avaliar a situação atual e determinar o caminho correto. Ao mesmo tempo equilibra o curto prazo aos objetivos de longo prazo.

Published in: Technology

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
937
On Slideshare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Simplificando a Governançada Segurança da Informação
  • 2. Governança  da  Segurança  da  Informação  
  • 3. Sobre  a  empresa   Ministramos  diversas  palestras  e   cursos  no  Congresso  La5noamericano  de  Auditoria  de  TI,   Segurança  da  Informação  e   Governança,  consagrado  como  o   mais  importante  evento  para  os  profissionais  de  Risk  Management  e   Compliance,  no  IDC  Informa;on   Security,  VOL  DAY,  entre  outros.   Par;cipamos  a;vamente  da   elaboração  da  normas  ISO  série   27000  (Segurança  da  Informação).  Por  exemplo,  a  NBR  ISO/IEC  27001  e   27002.       Publicamos  desde  2006  ar;gos  no   maior  portal  de  TI  do  Brasil,  IDG  Now!.  A  EP75  é  fonte  de  informação  para  diversos  meios  de  comunicação.  
  • 4. Alcançando  os  obje5vos  de  Governança   SoGware   Consultoria   Treinamento  A  EP75  é  um  sistema  de   Campanhas  de   Governança  da    diagnós;co  e  avaliação   conscien;zação.   Segurança  da     de  maturidade,     Informação:   benchmarking,   Elaboração  de  Sistema    auditoria  do  Sistema  de   de  Gestão  e  Polí;ca  da   O  conteúdo  programá;co    Gestão  da  Segurança  da   Segurança  da   está  dividido  em  5  módulos,     Informação  e   Informação.   incluindo  exercícios  prá;cos     desenvolvimento  do     para  a  construção  de     plano  de  crescimento   Governança  da   um  Sistema  de     Gestão  da    do  nível  de  maturidade.   Segurança  da   Segurança  da  Informação.   Informação.   Avaliação  de  Maturidade  e   Campanhas  de   Gestão  da   Governança  da   Análise  de   Medição  de  desempenho   Conscien5zação   Segurança   Segurança   Risco   Soluções  para  Governança,  Risco  e  Compliance  
  • 5. Nossos  clientes  A  EP75  já  beneficiou  vários  clientes  através  de  assessoria  especializada  em   Governança  da  Segurança  da  Informação.     TRIBUNAL  REGIONAL  ELEITORAL   SANTA  CATARINA  
  • 6. Metra-­‐framework   Pessoas,  Processos,  Tecnologia  e  Estratégias  As  organizações  estão  optando  cada  vez  mais  pelas  boas  prá;cas  de  Governança  Corpora;va.  Um  aspecto  significa;vo  é  a  inclusão  da  segurança  da  informação  como  parte  do  risco  operacional.   Nossa   s olução:   S oGware   p ara   d iagnós5co   e   avaliação   d o   n ível   d e   m aturidade   d a   s egurança   da   i nformação.   Mapeia  a  situação  atual  da  organização   1   (nível  de  maturidade);   Nível  de       Benchmarking   maturidade   Compara  com  a  situação  das  melhores   2   organizações  (benchmarking);     Estabelece  e  monitora  passo  a  passo  as   Plano  de   3   melhorias  dos  processos  rumo  à  estratégia   Auditoria   crescimento   da  organização  (plano  de  crescimento);     Compara  com  regulamentações  e  padrões   4   internacionais  (auditoria).  
  • 7. Como  usam  a  nossa  solução  Os   clientes   que   u;lizam   o   EP75   compar;lham   uma   necessidade   crí;ca   de   alcançar   os   obje;vos   e  sa;sfazer   os   requisitos   de   Governança   Corpora;va,   demonstrando   que   a   organização   possui   controles  ligados   a   segurança   da   informação   em   vigor   e   implementa   melhorias   no   Sistema   de   Gestão   da  Segurança  da  Informação.   Mo5vadores:   Como   p odemos   i den5ficar   a s   a ções   n ecessárias   p ara   a 5ngir   u m   n ível   a dequado   1   de   g erenciamento   e   c ontrole   s obre   o s   p rocessos   d e   s egurança   d a   i nformação?   O   q ue   a s   o rganizações   d o   n osso   s egmento   e stão   f azendo   e   c omo   e stamos   2   posicionados   e m   r elação   a   e ssas   e mpresas?   3   Quais   s ão   a s   b oas   p rá5cas   d e   s egurança   d a   i nformação   a ceitáveis   p ara   o   n osso   negócio   e   c omo   e stamos   p osicionados   e m   r elação   a   e ssas   p rá5cas?   4   Nossa   e mpresa   e stá   a 5ngindo   o s   r equisitos   d e   c onformidade?  
  • 8. Modelo  de  implementação   FASE  2    Iden5ficamos  os   Sócios,  Diretores,   pontos  fortes  e   FASE  3   Inves5dores  e  partes   fracos  da  segurança  Desenvolvemos   interessadas   o  plano  de   crescimento  da   Reportar   maturidade.       z   É  o  plano  de   FASE  1  ação  para  sair  da   Avaliamos  a   situação  atual   Avaliação  da  segurança  e   maturidade   para  uma   benchmarking  situação  deseja.   FASE  4   Direcionamento  de  acordo    Implementação  das   com  o  alinhamento   a5vidades  de   Monitorar   estratégico   segurança  de  acordo   com  o  alinhamento   estratégico.   Sistema  de  Gestão  da  Segurança  da  Informação   São  as  avidades  do  dia-­‐a-­‐dia.  Por  exemplo,  resposta  a  incidentes,  plano  de  connuidade  de   negócios,  classificação  da  informação,  políca  de  segurança  da  informação,  teste  de  invasão  etc.  
  • 9. Dimensões  da  maturidade  O  EP75  usa  uma  abordagem  que  envolve  a  avaliação  da  maturidade  da  organização  baseando-­‐se  em   visões  amplas  das  exigências  corpora5vas,  e  rela;vas  as  pessoas,  tecnologias  e  informações  para   o5mizar  os  negócios.   Dimensão   Descrição  Competência  técnica   Inves;mentos  regulares  em  treinamentos  de   segurança  da  informação.  Uso  de  metodologia   Adoção  de  metodologia  e  padronização  dos     procedimentos.  Informa;zação   Informa;zação  de  processos  de  segurança  que   necessitam  de  uma  considerável  quan;dade  de   informações.    Estrutura  organizacional   Forte  apoio  da  alta  administração  para  implantação     de  uma  equipe  de  segurança  da  informação.  Alinhamento  estratégico   Forte  alinhamento  das  a;vidades  de  segurança  da     informação  com  as  estratégias  da  organização.  Competência  comportamental   Possibilitam  maior  probabilidade  de  obtenção  de     sucesso  na  execução  de  determinadas  a;vidades.  
  • 10. Mapeamento  da  situação  atual   Nível  1   •   Nenhuma  inicia;va  da  organização  OU  inicia;vas  pessoais   isoladas.   Inicial   •   Resistência  à  alterações  das  prá;cas  existentes.   Nível  2   •   Conhecimento  básico  de  segurança  para  os  principais   colaboradores.   Conhecido   •   Estabelecimento  de  uma  linguagem  comum.   •   Mapeamento  dos  processos  desde  o  Planejamento  Estratégico.   Nível  3   •   Metodologia  desenvolvida,  implantada,  testada  e  em  uso.   Informa;zação  de  partes  da  metodologia  em  uso.  Padronizado   •   Estrutura  organizacional  implantada  e  em  uso.   Nível  4   •   Habilidades  avançadas  em  segurança  da  informação.   Alinhamento  com  os  negócios.   •   Metodologia  estabilizada  e  iden;ficação  e  eliminação  de  causas  Gerenciado   de  desvios  da  meta  de  segurança.   Nível  5   •   O;mização  dos  processos  com  ganhos  em  prazos,  custos  e   qualidade.   •   Grande  experiência  em  segurança  da  informação  e  capacidade   O5mizado   de  assumir  riscos  maiores.  A  empresa  vista  como  benchmark  
  • 11. Mapeamento  da  situação  atual    Em  relação  aos  treinamentos  internos  (efetuados  dentro  da  organização),  rela5vos  a  segurança  da  informação,  assinale  a  opção  mais  adequada:       A.  São  realizados  cursos  internos  há  mais  de  um  ano,  abordando  as  ameaças  e   riscos  referentes  a  segurança  da  informação,  com  freqüência  e  regularidade.   B.  São  realizados  cursos  internos  há  menos  de  um  ano,  abordando  as  ameaças  e   riscos  referentes  a  segurança  da  informação,  com  freqüência  e  regularidade.   C.  São  realizados  cursos  internos,  abordando  as  ameaças  e  riscos  referentes  a   segurança  da  informação,  com  pouca  freqüência  e  regularidade.   D.  Estão  se  iniciando  esforços  internos  para  se  ter  um  programa  de  treinamento.     E.  A  organização  não  dá  importância  a  este  aspecto  e  não  realizou  nenhum  curso   interno  no  úl;mo  ano.    
  • 12. Aderências  as  dimensões  da  maturidade   São  produzidos  relatórios  demonstrando   todos  os  pontos  fortes  e  fracos  relacionados   a  cada  uma  das  6  dimensões  da  segurança  da   informação.  A  organização  consegue  iden;ficar  a  taxa  de  sa;sfação  das  necessidades  de  negócios  e  obje;vos  de  segurança  de  acordo  com  a  aderência  das  dimensões  da  maturidade.  
  • 13. Aderência  as  dimensões  da  maturidade  Esta  organização  está  no  nível  2  de  maturidade.  Porém,  atende  alguns  requisitos   do  nível  3,  4  e  5  de  maturidade.  
  • 14. Benchmarking  Nível  2,23   Concluído  o  processo  de  avaliação  do  nível  de  maturidade,  EP07   automa;camente,  você  terá  acesso  a  classificação  geral  da   1   sua  empresa  em  relação  a  todas  as  avalições.  Nível  2,10  EP12   2  Nível  1,57  Sua  empresa   3   Você  pode  comparar  a  sua  empresa  com  outras    Nível  1,49   empresas  de  diversos  segmentos.  EP01   4   Como  parte  da  nossa  metodologia,  também  são  Nível  1,10   realizadas  comparações  com  os  controles  u;lizados  por   outras  organizações,  definidas  por  você,  previamente  EP06   avaliadas  pelos  consultores,  presentes  em  nossa  base  de   5   dados.  O  processo  de  benchmarking  contempla  5  fases:  Nível  1   planejamento,  coleta  de  dados,  análise,  adaptação  e   implementação.  EP03   6  
  • 15. Benchmarking   O  obje5vo  da  organização  é     iden5ficar,  internamente,    quais   melhores  prá5cas  de  segurança   da  informação  são  u5lizadas  em   diferentes  empresas  do  mesmo   grupo.     A  avaliação  realizada  pelos   consultores,  demonstrou  que  a   organização  controladora   (localizada  em  Minas  Gerais)  está     no  nível    4  de  maturidade.  As  Nível 5 controladas  de  SP  e  RJ  estão  no   nível  2.  A  controlada  do  PR  está  Nível 4 no  nível  3.    Nível 3 A  organização  controladora  é  vista  Nível 2 como  benchmark.  Nível 1
  • 16. Benchmarking   Financeiro   Indústria   As  informações  para  o  benchmarking  funcional  originam-­‐se  da  troca  direta  de  informações  sobre  determinados  processos  de   segurança  da  informação  da   organização.   4   Empresa  A   Nível  5   3   Empresa  B   3   Empresa  B   Nível  4   Níveis  de   Maturidade   Nível  3   Nível  2   2   Empresa  C   2   Empresa  C   Nível  1  
  • 17. Benchmarking   Aperfeiçoar  a  Gestão  da  Segurança  da  Informação  por  meio   do  aprendizado  conlnuo     Empresa  “Estrela”    Financeiro   Indústria             Entende  os  melhores   4   Empresa  A   desempenhos  do   mercado  e  determina   como  a  organização  e   seus  processos  se   3   Empresa  B   3   Empresa  B   comparam  a  eles.   2   Empresa  C   2   Empresa  C  
  • 18. Benchmarking  
  • 19. Plano  de  Crescimento  da  Maturidade  O  Plano  de  Crescimento  irá  demonstrar,  com  clareza,  que  a  organização  iden5ficou  pontos  fortes  e  fracos  em  relação  a  determinados  processos  de  segurança  da  informação  e  deverá  implementar  as  melhorias   de   acordo   com   o   planejamento   estratégico,   bem   como   monitorar   o   desempenho   dos  processos.  
  • 20. Plano  de  Crescimento  da  Maturidade   O   EP75   permite   a   execução   e   controle   de   tarefas   onde   são   atribuídas   as   responsabilidades   e   determinado   como   a   melhoria   do   processo   deverá   ser   realizada,   assim   como   o   responsável   pela   implementação   e   o   prazo   para   conclusão.  
  • 21. Auditoria  da  Segurança  da  Informação  O  sopware  EP75  possibilita  avaliar  a  conformidade  e  o  desempenho  da  sua  empresa  em  relação  ao  conjunto  de  melhores  prá;cas  reunidas  na  NBR  ISO/IEC  27002  (Código  de  Prá;ca  para  a  Gestão  da  Segurança  da  Informação).   Índice  de  conformidade  com  as  melhores  prá5cas  da  NBR  ISO/IEC  27002   O  EP75  permite  que   sua  equipe  de  Não   75%   auditores  realize   auditorias  internas   do  Sistema  de   Gestão  da  Sim   25%   Segurança  da   Informação  de   maneira  eficiente,   Sim   Não   rápida  e  simples.  
  • 22. O  nosso  obje5vo  é  implementar  a    Governança  da  Segurança  da  Informação   em  empresas  comprome5das  com  o   crescimento  sustentável.  
  • 23. Eliezer Amâncio da Silva CCO – Chief Compliance Officer