Your SlideShare is downloading. ×
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009

520
views

Published on

“COMO GARANTIR A SEGURANCA DA INFORMACAO …

“COMO GARANTIR A SEGURANCA DA INFORMACAO
NOS NEGOCIOS, ADOTANDO A ISO 27001”

Published in: Technology

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
520
On Slideshare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
46
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. “COMO GARANTIR A SEGURANÇA DA INFORMAÇÃO NOS NEGÓCIOS, ADOTANDO A ISO 27001” Prof. Giovani F. de Sant’Anna MSc, MBA, MCSO, Security+, BS 7799 Lead Auditor E-mail: gfsantanna@gmail.com 2009 UNIVERSIDADE PRESBITERIANA MACKENZIE
  • 2. 1 • Segurança da Informação • Estratégia Corporativa • Riscos • Gestão de Segurança da Informação • Empresas Certificadas ISO 27001 no Mundo • Perguntas Agenda
  • 3. Segurança da Informação e Riscos 2
  • 4.  “Segurança é um processo, não um produto.” (Bruce Schneier) Livro: Secrets & Lies 3
  • 5. 1a Geração Portões, Armas, Guardas Gerenciamento Tempo 2a Geração Segurança Reativa 3a Geração Segurança habilitando os negócios 4a Geração Gerenciamento Proativo e Auditabilidade Evolução da Segurança 4
  • 6. Estratégia Corporativa 5
  • 7. Princípio das Mudanças 6
  • 8. Sistema de Gestão de Tecnologia e Segurança da Informação Medição dos Controles Aplicação dos Controles ITIL Novo Código Civil Cobit ISO/IEC 17799:2005 Cobit x Sarbanes GoodPriv@cy Melhores Práticas 7
  • 9. Transparência - Eqüidade - Prestação de Contas - Responsabilidade Corporativa Sócios Conselhode Administração Diretoria Executiva Auditoria Práticas Pilares da Governança Corporativa Princípios Básicos ConselhoFiscal Governança – Princípios, Pilares e Práticas 8
  • 10. Tecnologia •1 •2 •3 Processos Pessoas A segurança da informação deve considerar 3 fatores críticos de sucesso e influenciadores dos critérios de proteção. Fatores críticos de Sucesso 9
  • 11. •Segurança não é somente um problema de tecnologia... •...é a gestão inteligente da informação em todos os ambientes! Quebrando o paradigma 10
  • 12. 11 RISCOS
  • 13. 12 RISCOS
  • 14. •Vulnerabilidades •Integridade •Confidencialidade •Disponibilidade •Ativos Riscos •Medidas de Segurança •Impactos no negócio •aumenta•diminui •aumenta •aumenta •aumenta •Ameaças •sujeitos •permitem•limitados •causam •protege •perdas •Segurança é uma questão de gestão e não somente técnica! Ciclo de vida da Segurança 13
  • 15. Categoria dos Riscos 14
  • 16. 15 Gestão de Segurança da Informação
  • 17. 16 Governança Corporativa,SI e Riscos...
  • 18. 17 Infraestrututa Equipamentos Organizacional Acessoàinformação Cópiasdesegurança Continuidadedonegócio Ambienteinterconexão Negócio da organização Segurança da Informação Dimensões da Segurança da Informação
  • 19. Abrangência da ISO 27001 – Sistema Gestão SI 18
  • 20. NBR ISO / IEC 27002 (ISO 17799:2005) Código de Prática para Gestão de Segurança da Informação 19
  • 21. NBR ISO/IEC 17799:2005 134 Controles 20
  • 22. NBR ISO/IEC 17799:2005 • Política de Segurança da Informação • Organizando a Segurança da Informação • Gestão de Ativos • Classificação da Informação • Segurança nos Recursos Humanos • Segurança Física e do Ambiente • Gerenciamento das Operações e Comunicações • Controle de Acessos • Aquisição, Desenvolvimento e Manut. De Sistemas de Informação • Gestão de Incidentes de Segurança da Informação • Gestão da Continuidade dos Negócios • Conformidade Gerenciamento de Riscos Gestão de Incidentes de Segurança 17 Novos Controles foram Introduzidos 21
  • 23. Faz recomendações claras sobre a guarda de mídias de dados de backups (capítulo 8.4.1) “Convém que as mídias sejam controladas e fisicamente protegidas” “Convém que seja dado às cópias de segurança um nível adequado de proteção física e ambiental” (3 cópias) Norma Técnica da NBR ISO IEC 17799 22
  • 24. Norma Técnica da BS EN 1047-1:1997 23
  • 25. Norma Técnica da BS EN 1047-1:1997 24
  • 26. Sistema de Gestão em Segurança da Informação (SGSI) ou Information Security Management System (ISMS) 25
  • 27. ISO/IEC 27001:2006 Sistema de Gestão de Segurança da Informação 26
  • 28. ISO/IEC 27001:2006 27
  • 29. Sistema Gestão de Segurança da Informação - SGSI • É o resultado da aplicação planejada de objetivos, diretrizes, políticas, procedimentos, modelos e outras medidas administrativas que, de forma conjunta, define como são reduzidos os riscos para a segurança da informação. – Para as empresas implantarem a norma, para constituir um SGSI, elas consideram o seguintes pontos: • Os ativos que estão sendo protegidos; • O gerenciamento de riscos; e • Os objetivos de controles e controles implementados. 28
  • 30. A ISO 27002 e a ISO 27001 • A ISO 27002 define as melhores práticas para a gestão da segurança da informação. • A ISO 27001 considera: segurança física, técnica, procedimental e em pessoas. • Sem um Sistema de Gestão da Segurança da Informação formal, existe um grande risco da segurança ser quebrada. • A segurança da informação é um processo de gestão, não é um processo tecnológico. • A ISO 27001 é a única norma internacional que pode ser auditada por uma terceira parte. 29
  • 31. Visão Geral ISO 27001 • Incorpora um processo de escalonamento de risco e valorização de ativos. • O grau em que o sistema é formal e contém processos estruturados irá facilitar a replicação do sistema de um local para outro. • O investimento no compromisso da direção e em treinamento dos funcionários reduz a probabilidade de ameaças bem sucedidas. • A infra-estrutura (sistemas de gestão e processos) pode ser desenvolvida centralmente e então desdobrada globalmente. • Controles adicionais podem ser incorporados ao SGSI se assim for desejado. 30
  • 32. • Governança Corporativa • Melhoria da eficácia da Segurança da Informação • Diferencial de mercado • Atender os requisitos de partes interessadas e dos clientes • Única norma com aceitação global • Redução potencial no valor do seguro • Focada nas responsabilidades dos funcionários • A norma cobre TI bem como a organização, pessoal e instalações • Conformidade com as legislações Por que adotar a ABNT NBR ISO/IEC ISO 27001 ? 31
  • 33. Dificuldades para Implementar um SGSI • Dificuldade na definição do escopo. • Dificuldade para desenvolver uma abordagem sistemática simples e clara para a Gestão de Risco. • Mesmo existindo Planos de Continuidade de Negócio, raramente eles são testados de alguma forma. • Designação da área de TI como responsável por desenvolver o projeto. • Falta de visão e “mente aberta” ao estabelecer os parâmetros dos controles identificados na Norma. • Falta de ação para identificar e usar controles fora da norma. • Limitação de orçamento. 32
  • 34. Benefícios da Implementação da ISO 27001 • Reduz o risco de responsabilidade pela não implementação ou determinação de políticas e procedimentos. • Oportunidade de identificar e corrigir pontos fracos. • A alta direção assume a responsabilidade pela segurança da informação. • Permite revisão independente do sistema de gestão da segurança da Informação. • Oferece confiança aos parceiros comerciais, partes interessadas, e clientes. Melhor conscientização sobre segurança. • Combina recursos com outros Sistemas de Gestão. • Mecanismo para se medir o sucesso do sistema. 33
  • 35. Estrutura da Norma NBR ISO/IEC 27001:2006 34
  • 36. Responsabilidade da Direção / Entendendo comprometimento Para o bife a cavalo dar certo, a galinha apenas botou o ovo, já a vaca deu a VIDA. É muito fácil ser galinha, o difícil é ser a vaca ? A Alta Direção precisa estar comprometida, precisa dar sua carne e seu sangue E o cavalo ? Não fez nada e levou a fama 35
  • 37. Abordagem do Processo 36
  • 38. Abordagem do Processo
  • 39. Abordagem do Processo Modelo PDCA - Aplicado ao SGSI 38
  • 40. Compatibilidade com outros Sistemas de Gestão Possível adaptação a sistemas já existentes na organização 43
  • 41. A norma ISO 27001: • Cobre todos os tipos de organizações, • Especifica requisitos para estabelecer, implementar, operar, monitorar,analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negócios globais da organização. •Especifica requisitos para a implementação de controles de segurança personalizados para as necessidades individuais de organizações ou suas partes. Objetivo Geral 44
  • 42. Aplicação Qualquer Produtos/Serviços Qualquer Tamanho Qualquer Tipo 45
  • 43. Empresas Certificadas ISO 27001 No Mundo Diferencial Competitivo 46
  • 44. Região Número de Certificados Australia 5 Austria 2 Brazil 2 China 5 Egypt 1 Finland 8 Germany 8 Greece 2 Hong Kong 7 Hungary 3 Iceland 1 India 13 Ireland 3 Italy 11 Japan 34 Korea 11 Malaysia 1 Mexico 1 Norway 7 Singapore 9 Spain 1 Sweden 4 Switzerland 1 Taiwan 4 UAE 1 UK  91 USA 3 TOTAL 239 Em 2000: Registros de Certificações 47
  • 45. Em Junho de 2004: Japan 365 USA 9 Argentina 1 UK 139 Ireland 8 Egypt 1 India 34 China 6 Macau 1 Germany 24 Sweden 4 Malaysia 1 Korea 23 Austria 3 Netherlands 1 Taiwan 20 Brazil 3 Poland 1 Italy 18 Iceland 3 Qatar 1 Hong Kong 15 Mexico 3 Saudi Arabia 1 Singapore 11 Switzerland 3 Slovenia 1 Australia 10 Belgium 2 South Africa 1 Finland 10 Denmark 2 Spain 1 Hungary 9 Greece 2 Relative Total 749 Norway 9 UAE 2 Absolute Total 744 Registros de Certificações 48
  • 46. Em Novembro de 2006 Registros de Certificações 49
  • 47. Em Novembro de 2006 Registros de Certificações 50
  • 48. fonte: http://www.iso27001certificates.com/ Registros de Certificações Em Março de 2007 51
  • 49. fonte: http://www.iso27001certificates.com/ Registros de Certificações Em Março de 2007 52
  • 50. Em Maio de 2009 Registros de Certificações 53
  • 51. Financeiro Governo Telecom Comércio e IndústriaServiços Algumas Empresas Certificadas fonte: http://www.iso27001certificates.com/ Em MAIO de 2009 54
  • 52. 55 OBRIGADO

×