0
“COMO GARANTIR A SEGURANÇA DA INFORMAÇÃO
NOS NEGÓCIOS, ADOTANDO A ISO 27001”
Prof. Giovani F. de Sant’Anna MSc, MBA, MCSO,...
1
• Segurança da Informação
• Estratégia Corporativa
• Riscos
• Gestão de Segurança da Informação
• Empresas Certificadas ...
Segurança da Informação
e
Riscos
2
 “Segurança é um processo, não um produto.”
(Bruce Schneier)
Livro: Secrets & Lies
3
1a Geração
Portões, Armas, Guardas
Gerenciamento
Tempo
2a Geração
Segurança Reativa
3a Geração
Segurança habilitando
os ne...
Estratégia Corporativa
5
Princípio das Mudanças
6
Sistema de Gestão de
Tecnologia e Segurança da
Informação
Medição
dos
Controles
Aplicação
dos
Controles
ITIL
Novo
Código C...
Transparência - Eqüidade - Prestação de Contas -
Responsabilidade Corporativa
Sócios
Conselhode
Administração
Diretoria
Ex...
Tecnologia
•1
•2
•3
Processos
Pessoas
A segurança da informação deve considerar 3 fatores críticos de
sucesso e influencia...
•Segurança não é somente
um problema de tecnologia...
•...é a gestão inteligente da
informação em todos os
ambientes!
Queb...
11
RISCOS
12
RISCOS
•Vulnerabilidades
•Integridade
•Confidencialidade
•Disponibilidade
•Ativos
Riscos
•Medidas de
Segurança
•Impactos no
negóc...
Categoria dos Riscos
14
15
Gestão de Segurança
da
Informação
16
Governança Corporativa,SI e Riscos...
17
Infraestrututa
Equipamentos
Organizacional
Acessoàinformação
Cópiasdesegurança
Continuidadedonegócio
Ambienteinterconex...
Abrangência da ISO 27001 – Sistema Gestão SI
18
NBR ISO / IEC 27002 (ISO 17799:2005)
Código de Prática para Gestão de Segurança da Informação
19
NBR ISO/IEC 17799:2005
134
Controles
20
NBR ISO/IEC 17799:2005
• Política de Segurança da Informação
• Organizando a Segurança da Informação
• Gestão de Ativos
• ...
Faz recomendações claras sobre
a guarda de mídias de dados de backups
(capítulo 8.4.1)
“Convém que as mídias sejam
control...
Norma Técnica da BS EN 1047-1:1997
23
Norma Técnica da BS EN 1047-1:1997
24
Sistema de Gestão
em
Segurança da Informação (SGSI)
ou
Information Security Management
System (ISMS)
25
ISO/IEC 27001:2006
Sistema de Gestão de Segurança da Informação
26
ISO/IEC 27001:2006
27
Sistema Gestão de Segurança da Informação -
SGSI
• É o resultado da aplicação planejada de objetivos,
diretrizes, política...
A ISO 27002 e a ISO 27001
• A ISO 27002 define as melhores práticas para a
gestão da segurança da informação.
• A ISO 2700...
Visão Geral ISO 27001
• Incorpora um processo de escalonamento
de risco e valorização de ativos.
• O grau em que o sistema...
• Governança Corporativa
• Melhoria da eficácia da Segurança da Informação
• Diferencial de mercado
• Atender os requisito...
Dificuldades para Implementar um SGSI
• Dificuldade na definição do escopo.
• Dificuldade para desenvolver uma abordagem
s...
Benefícios da Implementação da ISO 27001
• Reduz o risco de responsabilidade pela não implementação ou determinação
de pol...
Estrutura da Norma NBR ISO/IEC 27001:2006
34
Responsabilidade da Direção / Entendendo comprometimento
Para o bife a cavalo dar certo, a galinha
apenas botou o ovo, já ...
Abordagem do Processo
36
Abordagem do Processo
Abordagem do Processo
Modelo PDCA - Aplicado ao SGSI
38
Compatibilidade com outros Sistemas de Gestão
Possível adaptação a sistemas já
existentes na organização
43
A norma ISO 27001:
• Cobre todos os tipos de organizações,
• Especifica requisitos para estabelecer, implementar,
operar, ...
Aplicação
Qualquer Produtos/Serviços
Qualquer Tamanho
Qualquer Tipo
45
Empresas Certificadas ISO 27001
No Mundo
Diferencial Competitivo
46
Região Número de Certificados
Australia 5
Austria 2
Brazil 2
China 5
Egypt 1
Finland 8
Germany 8
Greece 2
Hong Kong 7
Hung...
Em Junho de 2004:
Japan 365 USA 9 Argentina 1
UK 139 Ireland 8 Egypt 1
India 34 China 6 Macau 1
Germany 24 Sweden 4 Malays...
Em Novembro de 2006
Registros de Certificações
49
Em Novembro de 2006
Registros de Certificações
50
fonte: http://www.iso27001certificates.com/
Registros de Certificações
Em Março de 2007
51
fonte: http://www.iso27001certificates.com/
Registros de Certificações
Em Março de 2007
52
Em Maio de 2009
Registros de Certificações
53
Financeiro Governo Telecom Comércio e IndústriaServiços
Algumas Empresas Certificadas
fonte: http://www.iso27001certificat...
55
OBRIGADO
Upcoming SlideShare
Loading in...5
×

Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009

629

Published on

“COMO GARANTIR A SEGURANCA DA INFORMACAO
NOS NEGOCIOS, ADOTANDO A ISO 27001”

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
629
On Slideshare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
51
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Transcript of "Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009"

  1. 1. “COMO GARANTIR A SEGURANÇA DA INFORMAÇÃO NOS NEGÓCIOS, ADOTANDO A ISO 27001” Prof. Giovani F. de Sant’Anna MSc, MBA, MCSO, Security+, BS 7799 Lead Auditor E-mail: gfsantanna@gmail.com 2009 UNIVERSIDADE PRESBITERIANA MACKENZIE
  2. 2. 1 • Segurança da Informação • Estratégia Corporativa • Riscos • Gestão de Segurança da Informação • Empresas Certificadas ISO 27001 no Mundo • Perguntas Agenda
  3. 3. Segurança da Informação e Riscos 2
  4. 4.  “Segurança é um processo, não um produto.” (Bruce Schneier) Livro: Secrets & Lies 3
  5. 5. 1a Geração Portões, Armas, Guardas Gerenciamento Tempo 2a Geração Segurança Reativa 3a Geração Segurança habilitando os negócios 4a Geração Gerenciamento Proativo e Auditabilidade Evolução da Segurança 4
  6. 6. Estratégia Corporativa 5
  7. 7. Princípio das Mudanças 6
  8. 8. Sistema de Gestão de Tecnologia e Segurança da Informação Medição dos Controles Aplicação dos Controles ITIL Novo Código Civil Cobit ISO/IEC 17799:2005 Cobit x Sarbanes GoodPriv@cy Melhores Práticas 7
  9. 9. Transparência - Eqüidade - Prestação de Contas - Responsabilidade Corporativa Sócios Conselhode Administração Diretoria Executiva Auditoria Práticas Pilares da Governança Corporativa Princípios Básicos ConselhoFiscal Governança – Princípios, Pilares e Práticas 8
  10. 10. Tecnologia •1 •2 •3 Processos Pessoas A segurança da informação deve considerar 3 fatores críticos de sucesso e influenciadores dos critérios de proteção. Fatores críticos de Sucesso 9
  11. 11. •Segurança não é somente um problema de tecnologia... •...é a gestão inteligente da informação em todos os ambientes! Quebrando o paradigma 10
  12. 12. 11 RISCOS
  13. 13. 12 RISCOS
  14. 14. •Vulnerabilidades •Integridade •Confidencialidade •Disponibilidade •Ativos Riscos •Medidas de Segurança •Impactos no negócio •aumenta•diminui •aumenta •aumenta •aumenta •Ameaças •sujeitos •permitem•limitados •causam •protege •perdas •Segurança é uma questão de gestão e não somente técnica! Ciclo de vida da Segurança 13
  15. 15. Categoria dos Riscos 14
  16. 16. 15 Gestão de Segurança da Informação
  17. 17. 16 Governança Corporativa,SI e Riscos...
  18. 18. 17 Infraestrututa Equipamentos Organizacional Acessoàinformação Cópiasdesegurança Continuidadedonegócio Ambienteinterconexão Negócio da organização Segurança da Informação Dimensões da Segurança da Informação
  19. 19. Abrangência da ISO 27001 – Sistema Gestão SI 18
  20. 20. NBR ISO / IEC 27002 (ISO 17799:2005) Código de Prática para Gestão de Segurança da Informação 19
  21. 21. NBR ISO/IEC 17799:2005 134 Controles 20
  22. 22. NBR ISO/IEC 17799:2005 • Política de Segurança da Informação • Organizando a Segurança da Informação • Gestão de Ativos • Classificação da Informação • Segurança nos Recursos Humanos • Segurança Física e do Ambiente • Gerenciamento das Operações e Comunicações • Controle de Acessos • Aquisição, Desenvolvimento e Manut. De Sistemas de Informação • Gestão de Incidentes de Segurança da Informação • Gestão da Continuidade dos Negócios • Conformidade Gerenciamento de Riscos Gestão de Incidentes de Segurança 17 Novos Controles foram Introduzidos 21
  23. 23. Faz recomendações claras sobre a guarda de mídias de dados de backups (capítulo 8.4.1) “Convém que as mídias sejam controladas e fisicamente protegidas” “Convém que seja dado às cópias de segurança um nível adequado de proteção física e ambiental” (3 cópias) Norma Técnica da NBR ISO IEC 17799 22
  24. 24. Norma Técnica da BS EN 1047-1:1997 23
  25. 25. Norma Técnica da BS EN 1047-1:1997 24
  26. 26. Sistema de Gestão em Segurança da Informação (SGSI) ou Information Security Management System (ISMS) 25
  27. 27. ISO/IEC 27001:2006 Sistema de Gestão de Segurança da Informação 26
  28. 28. ISO/IEC 27001:2006 27
  29. 29. Sistema Gestão de Segurança da Informação - SGSI • É o resultado da aplicação planejada de objetivos, diretrizes, políticas, procedimentos, modelos e outras medidas administrativas que, de forma conjunta, define como são reduzidos os riscos para a segurança da informação. – Para as empresas implantarem a norma, para constituir um SGSI, elas consideram o seguintes pontos: • Os ativos que estão sendo protegidos; • O gerenciamento de riscos; e • Os objetivos de controles e controles implementados. 28
  30. 30. A ISO 27002 e a ISO 27001 • A ISO 27002 define as melhores práticas para a gestão da segurança da informação. • A ISO 27001 considera: segurança física, técnica, procedimental e em pessoas. • Sem um Sistema de Gestão da Segurança da Informação formal, existe um grande risco da segurança ser quebrada. • A segurança da informação é um processo de gestão, não é um processo tecnológico. • A ISO 27001 é a única norma internacional que pode ser auditada por uma terceira parte. 29
  31. 31. Visão Geral ISO 27001 • Incorpora um processo de escalonamento de risco e valorização de ativos. • O grau em que o sistema é formal e contém processos estruturados irá facilitar a replicação do sistema de um local para outro. • O investimento no compromisso da direção e em treinamento dos funcionários reduz a probabilidade de ameaças bem sucedidas. • A infra-estrutura (sistemas de gestão e processos) pode ser desenvolvida centralmente e então desdobrada globalmente. • Controles adicionais podem ser incorporados ao SGSI se assim for desejado. 30
  32. 32. • Governança Corporativa • Melhoria da eficácia da Segurança da Informação • Diferencial de mercado • Atender os requisitos de partes interessadas e dos clientes • Única norma com aceitação global • Redução potencial no valor do seguro • Focada nas responsabilidades dos funcionários • A norma cobre TI bem como a organização, pessoal e instalações • Conformidade com as legislações Por que adotar a ABNT NBR ISO/IEC ISO 27001 ? 31
  33. 33. Dificuldades para Implementar um SGSI • Dificuldade na definição do escopo. • Dificuldade para desenvolver uma abordagem sistemática simples e clara para a Gestão de Risco. • Mesmo existindo Planos de Continuidade de Negócio, raramente eles são testados de alguma forma. • Designação da área de TI como responsável por desenvolver o projeto. • Falta de visão e “mente aberta” ao estabelecer os parâmetros dos controles identificados na Norma. • Falta de ação para identificar e usar controles fora da norma. • Limitação de orçamento. 32
  34. 34. Benefícios da Implementação da ISO 27001 • Reduz o risco de responsabilidade pela não implementação ou determinação de políticas e procedimentos. • Oportunidade de identificar e corrigir pontos fracos. • A alta direção assume a responsabilidade pela segurança da informação. • Permite revisão independente do sistema de gestão da segurança da Informação. • Oferece confiança aos parceiros comerciais, partes interessadas, e clientes. Melhor conscientização sobre segurança. • Combina recursos com outros Sistemas de Gestão. • Mecanismo para se medir o sucesso do sistema. 33
  35. 35. Estrutura da Norma NBR ISO/IEC 27001:2006 34
  36. 36. Responsabilidade da Direção / Entendendo comprometimento Para o bife a cavalo dar certo, a galinha apenas botou o ovo, já a vaca deu a VIDA. É muito fácil ser galinha, o difícil é ser a vaca ? A Alta Direção precisa estar comprometida, precisa dar sua carne e seu sangue E o cavalo ? Não fez nada e levou a fama 35
  37. 37. Abordagem do Processo 36
  38. 38. Abordagem do Processo
  39. 39. Abordagem do Processo Modelo PDCA - Aplicado ao SGSI 38
  40. 40. Compatibilidade com outros Sistemas de Gestão Possível adaptação a sistemas já existentes na organização 43
  41. 41. A norma ISO 27001: • Cobre todos os tipos de organizações, • Especifica requisitos para estabelecer, implementar, operar, monitorar,analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negócios globais da organização. •Especifica requisitos para a implementação de controles de segurança personalizados para as necessidades individuais de organizações ou suas partes. Objetivo Geral 44
  42. 42. Aplicação Qualquer Produtos/Serviços Qualquer Tamanho Qualquer Tipo 45
  43. 43. Empresas Certificadas ISO 27001 No Mundo Diferencial Competitivo 46
  44. 44. Região Número de Certificados Australia 5 Austria 2 Brazil 2 China 5 Egypt 1 Finland 8 Germany 8 Greece 2 Hong Kong 7 Hungary 3 Iceland 1 India 13 Ireland 3 Italy 11 Japan 34 Korea 11 Malaysia 1 Mexico 1 Norway 7 Singapore 9 Spain 1 Sweden 4 Switzerland 1 Taiwan 4 UAE 1 UK  91 USA 3 TOTAL 239 Em 2000: Registros de Certificações 47
  45. 45. Em Junho de 2004: Japan 365 USA 9 Argentina 1 UK 139 Ireland 8 Egypt 1 India 34 China 6 Macau 1 Germany 24 Sweden 4 Malaysia 1 Korea 23 Austria 3 Netherlands 1 Taiwan 20 Brazil 3 Poland 1 Italy 18 Iceland 3 Qatar 1 Hong Kong 15 Mexico 3 Saudi Arabia 1 Singapore 11 Switzerland 3 Slovenia 1 Australia 10 Belgium 2 South Africa 1 Finland 10 Denmark 2 Spain 1 Hungary 9 Greece 2 Relative Total 749 Norway 9 UAE 2 Absolute Total 744 Registros de Certificações 48
  46. 46. Em Novembro de 2006 Registros de Certificações 49
  47. 47. Em Novembro de 2006 Registros de Certificações 50
  48. 48. fonte: http://www.iso27001certificates.com/ Registros de Certificações Em Março de 2007 51
  49. 49. fonte: http://www.iso27001certificates.com/ Registros de Certificações Em Março de 2007 52
  50. 50. Em Maio de 2009 Registros de Certificações 53
  51. 51. Financeiro Governo Telecom Comércio e IndústriaServiços Algumas Empresas Certificadas fonte: http://www.iso27001certificates.com/ Em MAIO de 2009 54
  52. 52. 55 OBRIGADO
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×