Your SlideShare is downloading. ×
  • Like
DARYUS Segurança da Informação:  Práticas de Gestão de Risco da ISO 27001:2013 com o RealISMS
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Now you can save presentations on your phone or tablet

Available for both IPhone and Android

Text the download link to your phone

Standard text messaging rates apply

DARYUS Segurança da Informação: Práticas de Gestão de Risco da ISO 27001:2013 com o RealISMS

  • 261 views
Published

Com a atualização em setembro de 2013, a nova versão da ISO 27001 ficou ainda mais madura, privilegiando uma “gestão de riscos mais efetiva” com controles atualizados e organizados de forma mais …

Com a atualização em setembro de 2013, a nova versão da ISO 27001 ficou ainda mais madura, privilegiando uma “gestão de riscos mais efetiva” com controles atualizados e organizados de forma mais intuitiva.

Como isso funciona? Vamos mostrar uma metodologia prática para aplicar esses controles em um ambiente real, demonstrando não só a teoria, mas também a aplicação hands-on da norma.

Published in Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
261
On SlideShare
0
From Embeds
0
Number of Embeds
1

Actions

Shares
Downloads
20
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Claudio Dodt, ISMAS, CISSP, CISA, ISO 27001 Lead Auditor Business Continuity & Security Senior Consultant Sócio-Gerente claudio.dodt@daryus.com.br www.daryus.com.br claudiododt.com www.twitter.com/daryusbr www.twitter.com/cdodt www.facebook.com/claudiododtcom Iluminando mentes, capacitando profissionais e protegendo negócios. Segurança da Informação: Práticas de Gestão de Risco da ISO 27001:2013 com o RealISMS.
  • 2. Bem-vindo ao Circuito de Palestras EXIN 2014 Conheça o novo Portfólio EXIN:
  • 3. AGENDA  DARYUS  A norma ISO 27001  Uma visão holística  O processo de Gestão de Riscos de Segurança da Informação  Como vemos Segurança da Informação?  Práticas com o RealISMS  Perguntas
  • 4. •O Strategic Risk Consulting não está apenas no nome, é fato. •Nascemos em 2006 com o objetivo de popularizar as práticas de gestão de riscos pervasivas aos processos de gestão empresarial. •Entendemos que práticas de segurança, continuidade, riscos, conformidade e governança de TIC são partes fundamentais da gestão moderna e não complementos. •A capacitação contínua das pessoas, a revisão continua dos processos, controles para mitigar riscos e as certificações nas normas ISO são fatores de sucesso e amadurecimento empresarial que acreditamos. • DARYUS = Uma consultoria, uma escola de negócios e duas empresas de tecnologias que agregam valor, reduzem custos e minimizam riscos. Quem somos:
  • 5. Nossas unidades
  • 6. • Continuidade de Negócios • Segurança da Informação • Gestão de Processos de Negócios • Governança, Risco e Conformidade Nossos serviços:
  • 7. Objetivo: Esta norma foi preparada para fornecer os requisitos para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gestão de Segurança da Informação. Objetivo: Prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI). A norma ISO 27001 27001:2005  A 27000 é a principal família de normas de Segurança da Informação aceitas internacionalmente;  Aplicável a qualquer organização, independentemente de tamanho ou segmento;  Base para uma certificação, mas pode ser usada mesmo sem esse objetivo.
  • 8. Objetivo: Esta norma foi preparada para fornecer os requisitos para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gestão de Segurança da Informação. A norma ISO 27001  Atualizada em 25 de Setembro de 2013;  Update foi baseado na experiência de usuários que buscavam certificação;  Objetivo principal é simplificar a abordagem e proporcionar melhorias na gestão de riscos.  É possível baixar gratuitamente a ISO 27000:2012 (vocabulário) aqui: http://dary.us/1adqpM1 (em inglês) 27001:2013
  • 9. Uma visão holística Essa é a visão da ISO 27001
  • 10. O processo de Gestão de Riscos de SegInfo DEFINIÇÃO DO CONTEXTO ANÁLISE / AVALIAÇÃO DE RISCOS ANÁLISE DE RISCOS IDENTIFICAÇÃO DE RISCOS ESTIMATIVA DE RISCOS AVALIAÇÃO DE RISCOS PONTO DE DECISÃO 1 Avaliação Satisfatória Não TRATAMENTO DO RISCO ACEITAÇÃO DO RISCO Sim Sim PONTO DE DECISÃO 2 Tratamento Satisfatório MONITORAMENTOEANÁLISECRÍTICADERISCOS COMUNICAÇÃODORISCO Não Processo de Gestão de Riscos ISO 27005:2011 •O objetivo é reduzir o risco a um nível aceitável e não extinguir o risco. Processo do SGSI Processo de gestão de riscos de SI Planejar • Definição do contexto • Análise/avaliação de riscos • Definição do plano de tratamento do risco • Aceitação do risco Executar • Implementação do plano de tratamento do risco Verificar • Monitoramento contínuo e análise crítica de riscos Agir • Manter e melhorar o processo de Gestão de Riscos de Segurança da Informação
  • 11. Plano para identificar a ação de gestão apropriada, recursos, responsabilidades e prioridades para a gestão dos riscos de segurança PLANO DE TRATAMENTO DE RISCOS  Todos os controles planejados devem ser incluídos em um Plano de Tratamento de Riscos.  O objetivo do tratamento de riscos não é a eliminação completa e sim diminuir o nível de risco para um patamar tido como aceitável.  Controles que não são justificáveis do ponto de vista do negócio não devem ser implementados. O processo de Gestão de Riscos de SegInfo
  • 12. PLANO DE TRATAMENTO DE RISCOS Resultado da Avaliação de Riscos Tratamento do Risco Opções de Tratamento Reter Risco Residual Reduzir Evitar Transferir O processo de Gestão de Riscos de SegInfo
  • 13. Opções de Tratamento Reter Reduzir Evitar Transferir Aplicação de um controle para que o Risco seja reavaliado como aceitável. Caso o Risco atenda os critérios para aceitação o mesmo poderá ser retido. O Risco pode ser evitado através da eliminação da atividade ou processo de negócio ou de uma mudança significativa no ambiente (e.g. mudar um Datacenter de localidade) O Risco pode ser transferido para uma outra entidade (e.g. Contratação de um seguro, terceirizar). É importante lembrar que não se pode transferir completamente a responsabilidade pela segurança da informação. O processo de Gestão de Riscos de SegInfo
  • 14. Como vemos SegInfo? Confidencialidade Integridade Disponibilidade Segurança da Informação Pessoas Processos Tecnologia
  • 15. Miopia do Iceberg Tecnologia Tecnologia é... ...a mera ponta... ...do iceberg.
  • 16. Tecnologia Processos Pessoas Miopia do Iceberg • Investimento inteligente • Padrões Testados • Visão Estratégica • Formalização • Seleção • Capacitação • Reciclagem • Conscientização
  • 17. • Suporte completo a biblioteca de riscos e controles da ISO 27001; • Mapeamento de Ativos de Informação; • Identificação e Tratamento de Riscos; • Controle de Documentos, Normas, Procedimentos; • Gestão de Incidentes de Segurança. Práticas com o RealISMS real ISMS
  • 18. ActPlan Do Check Análise/Avaliação de Gap/Riscos Plano de Tratamento dos riscos Avaliação e Tratamento de riscos Treinamento e conscientização Definição do escopo Auditorias internas Métricas e indicadores do SGSI Identificação de não- conformidades Tratamento de não- conformidades Apoio na auditoria de 3ª. parte Declaração de aplicabilidade Metodologia DARYUS para Atendimento aos requisitos da ISO 27001real ISMS Práticas com o RealISMS
  • 19. Dashboard  Sumário da Gestão de Riscos Práticas com o RealISMS
  • 20. Matriz de Risco com 5 níveis Nível de Risco por: Dashboard  Sumário da Gestão de Riscos Muito Baixo Baixo Médio Alto Muito Alto Área Processo Ativo Práticas com o RealISMS
  • 21. Práticas com o RealISMS
  • 22. Gestão dos Riscos Área Processo Ativo Risco Controle Práticas com o RealISMS
  • 23. Área Processo Ativo Risco Controle Práticas com o RealISMS
  • 24. Área Processo Ativo Risco Controle Práticas com o RealISMS
  • 25. Área Processo Ativo Risco Controle Práticas com o RealISMS
  • 26. Área Processo Ativo Risco Controle Práticas com o RealISMS
  • 27. Risco Potencial 25 Muito Alto Área Processo Ativo Risco Controle Práticas com o RealISMS
  • 28. Uma das opções é reduzir o nível de Risco com Controles de Segurança Área Processo Ativo Risco Controle Práticas com o RealISMS
  • 29. Risco Potencial 25 Muito Alto Risco Residual 14 Alto 3 Muito Baixo Área Processo Ativo Risco Controle Práticas com o RealISMS
  • 30. Risco Reduzido Práticas com o RealISMS
  • 31. Controles de Segurança diretamente alinhados as melhores práticas, criando o RTP Plano de Tratamento de Riscos Visão Geral dos Controles Práticas com o RealISMS
  • 32. Relatórios Detalhados Práticas com o RealISMS
  • 33. Vamos iniciar a sessão de PERGUNTAS. Utilize a ferramenta do chat (para digitar) ou do hands on (para pedir acesso e perguntar diretamente ao palestrante. Perguntas?
  • 34. Calendário Cursos ISFS - ISO 27002 Foundation - Segurança da Informação: conceitos e fundamentos São Paulo - 16 a 17/04/2014 – diurno Brasília - 06 a 07/05/2014 – diurno Fortaleza - 22 a 25/04/2014 – noturno ISMAS - ISO 27002 Advanced - Segurança da Informação: gerenciamento avançado São Paulo - 21 a 23/05/2014 – diurno Brasília - 21 a 23/05/2014 – diurno Fortaleza - 21 a 23/05/2014 – diurno ITIL ® Foundation - Gerenciamento de Serviços de TI Fortaleza - 12 a 16/05/2014 – diurno * Válido até 15/05/2014
  • 35. Claudio Dodt, ISMAS, CISSP Business Continuity & Security Senior Consultant claudio.dodt@daryus.com.br http://www.daryus.com.br http://claudiododt.com http://www.facebook.com/claudiododtcom http://www.linkedin.com/profile/view?id=15394059 Obrigado!
  • 36. ACESSO AO MATERIAL • Vamos Vamos disponibilizar o link com Cópia desta apresentação + Certificado de Participação para todos que responderem nossa pesquisa de satisfação e nos ajudarem a aprimorar nossas futuras ações (acesso imediato ao de desconectar da sessão ao final da apresentação). • Você também pode acessar nosso canal do YouTube e Slide Share para ter acesso a todas as apresentações realizadas em 2012 e 2013. • Mais Informações? Milena Andrade Regional Manager Milena.andrade@exin.com www.exin.com