Your SlideShare is downloading. ×
Isaca lisbon@confraria security.v03
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Saving this for later?

Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime - even offline.

Text the download link to your phone

Standard text messaging rates apply

Isaca lisbon@confraria security.v03

950
views

Published on

Confraria SecIt - Isaca Lisbon

Confraria SecIt - Isaca Lisbon


0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
950
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
27
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. ISACA-Lisbon Chapter (in-formation) Abril 2010 Confraria Security & IT
  • 2. Agenda 1. ISACA overview 2. ISACA Lisbon Chapter (in-formation) 3. Modelo Operacional 4. Board & Officers 5. Próximos passos 6. Security overview @ ISACA
  • 3. ISACA Lisbon Chapter (in-formation) ISACA Lisbon (in-formation)
  • 4. 1. ISACA Overview Facts and Figures ISACA® (Information Systems Audit and Control Association) – “leading global provider of knowledge, certifications, community, advocacy and education on information systems (IS) assurance and security, enterprise governance of IT, and IT-related risk and compliance” Ano de criação: 1969 “individuals with similar jobs sat down to discuss the need for a centralized source of information and guidance in the field.” # de membros: 86.000 em 160 países Modelos e frameworks: Business Model for Information Security (BMIS), IT Assurance Framework (ITAF), COBIT®, Val IT™ e The Risk IT Framework. Certificações: 70.000 Certified Information Systems Auditor™ (CISA ®); 12.500 Certified Information Security Manager ® (CISM ®); 4.000 Certified in the Governance of Enterprise IT ® (CGEIT ®); e Certified in Risk and Information Systems Control™ (CRISC™). Local Chapters: 185 chapters em mais de 75 países. Vision Statement “Our vision is to be the recognized global leader in IT governance, control and assurance.” Mission Statement “Our mission is to support enterprise objectives through the development, provision and promotion of research, standards, competencies and practices for the effective governance, control and assurance of information, systems and technology.” 3 ISACA Lisbon (in-formation)
  • 5. 2. ISACA Lisbon Chapter (in-formation) From: Soares, Bruno Horta (PT - Lisbon) [mailto:bsoares@deloitte.pt] Sent: Tuesday, May 08, 2007 10:36 AM To: Dept: Membership Subject: Portugal Chapter Good afternoon, I'm as ISACA member for some time and I'm now training for my CISA certification. For this reason, I would like to know if there in any expectation for the creation of the Portuguese Chapter. (...) “Life is like riding a bicycle. To keep your balance you must keep moving” Albert Einstein ISACA Lisbon (in-formation)
  • 6. 2. ISACA Lisbon Chapter (in-formation) Chapter Name Portugal ISACA Lisbon Chapter Capital - Lisbon Map Of Proposed Territory Official languages - Portuguese Population - 2008 estimate 10,676,910 Currency - Euro (€) (EUR) ISACA Lisbon Chapter Vision “ISACA Lisbon Chapter vision is to be recognized local leader in IT Governance, Security and Assurance.” ISACA Lisbon Chapter Mission “ISACA Lisbon Chapter’s mission is to provide operation excellence support to all Portuguese ISACA members, through the support of Assurance, Security and IT Governance stakeholders and the Information systems communities in general.” ISACA in Portugal Facts & Figures O ISACA tem actualmente cerca de 200 membros registados em Portugal (Março 2010), dos quais 82 CISA, 20 CISM e 14 CGEIT. 5 ISACA Lisbon (in-formation)
  • 7. 3. Modelo Operacional Other IS organizations “…knowledge, certifications, IS Auditors and Other Communities ISACA community, advocacy and education …” ISACA Members Education & Training Office Board Desenvolvimento e suporte de acções de formação e educação focadas nos standards e frameworks do ISACA. Chapter Management Ex. Formação profissional, Apoio às certificações, Evento anual, Workshops, Conferências, Seminários. External Affairs Communication Office Responsável pela comunicação local do ISACA junto dos Annual Event Mailing membros ISACA e da comunidade de TI em geral (ex. Administrative & Support Universidades, Empresas, Entidades Formadoras, media.) Workshops, conferences Website and Siminars Training & Education Newsletter Certifications & Standards Office Education&Training Communication Suporte ao desenvolvimento e manutenção dos standards globais ISACA e alinhamento com expectativas locais (ex. língua, requisitos legais e normativos). Workgroups Valorização local das certificações ISACA. Certification/Standards support Certifications &Standards Industry Committee Alinhamento da actividade do ISACA com as expectativas Industry Support específicas dos sectores público e privado (Financial Industry Committee Services, Telecoms e Media, Government & Healthcare, Manufacturing, Consumer Business ). 6 ISACA Lisbon (in-formation)
  • 8. 3. Modelo Operacional ISACA Lisbon Chapter Operational model IPAI (IIA) Operational model Other IS organizations IS Auditors and Other Communities ISACA IIA ISACA Members IIA Members Board Chapter Management External Affairs Information System Annual Event Mailing … Auditors Division Administrative & Support Workshops, Conferences and Website Seminars Annual Event Training & Education Newsletter WorkShops, Conferences and Seminars Education&Training Communication Training & Education Workgroups Code of Practice Certification/Standards support Certifications &Standards Certifications Industry Support Partnerships Industry Committee 7 ISACA Lisbon (in-formation) Areas of primary collaboration
  • 9. 4. Board & Officers ISACA Lisbon Chapter Board Bruno Horta Soares, PMP, Pedro Cupertino de Miranda, CISM,CISA Luis Montanha Rebelo, CGEIT, Paulo Gomes, CISA, ISO 27001 LA CISA, CGEIT ISO27001 LA Vice-President Treasurer President Secretary Mobile: +351 93 244 10 14 Mobile: +351 93 950 4040 Mobile: +351 96 210 31 53 Email: rpmiranda@sonaedistribuicao.pt Mobile: +351 213 249 439 Email: pjpgomes@sonae.pt Email: bsoares@deloitte.pt ISACA Member: 443380 Email: lmrebelo@montepio.pt ISACA Member: 277124 ISACA Member: 215603 Location: Oporto ISACA Member: 140224 Location: Lisbon Location: Lisbon Company: Sonae Distribuicao Location: Lisbon Company: Sonae SGPS Company: Deloitte Position: Chief IT Auditor Company: Montepio Position: Audit Information Position: Manager Position: Senior Internal Audit Manager System Manager ISACA Lisbon Chapter Officers Pedro Galvão, CISA,CISSP Marco Raposo Melo, CISSP-ISSMP, Paulo Cardoso, CISA José Tinoco, CIA, CFE, CISA, ISO CISSP, QSAp, ABCP, CCNA 27001 LA Education & Training Officer Communication Officer Certifications & Standards Officer Industry Committee Officer Mobile: +351 915 602 261 Mobile:+351 91 952 52 46 Email: pedro.galvao@pt.ibm.com Mobile: +351 96 977 92 78 Email:Paulo.Cardoso@vodafone.com Mobile: +351 217 813 000 ISACA Member: 195856 Email: marco.raposo@alcatel-lucent.com ISACA Member:253368 Email: jose.tinoco@sibs.pt Location: Lisbin ISACA Member: 619500 Location:Lisbon ISACA Member: 114479 Company: IBM Corporation Location: Lisbon Company: Independent Information Location: Lisbon Position: Senior Managing Consultant Company: Alcatel-Lucent Security Consultant Company: SIBS, S.A. Position: Manager Position: Information Systems Auditor Position: Audit and Quality supervisor 8 ISACA Lisbon (in-formation)
  • 10. 5. Próximos Passos Phase 1 Preparation Phase 2 Preparation Chapter Operation Jan 2009 Mar 2009 November 2009 • [] Chapter name • [] Board definition • [ ] Chapter legal registration Chapter Approval process • [] Chapter territory • [] Chapter detailed activity plan • [ ] Website “go live” • [] Organizing committee • [Ongoing] Chapter bylaws • [ ] Local communication of the new ISACA creation documentation Chapter (Companies, Universities, ...) • [] Local members • [Ongoing] Website preparation • [ ] Activity plan implementation communication • [Ongoing] Sponsorship definition • [ ] ... • [] Willingness to Serve • [Ongoing] Alliances definition Statement collection • [] Organizational meeting • [] Business plan preparation • [] Administrative support • [] Phase 1 submission definition (address, phone, fax) • [Ongoing] Phase II submission • [ ] Chapter approval support 9 ISACA Lisbon (in-formation)
  • 11. Security overview @ ISACA 10 ISACA Lisbon (in-formation)
  • 12. 6. Security overview @ ISACA Security overview @ ISACA A Segurança da Informação é desde há muito uma área que o ISACA reconhece como de elevada importância no contexto dos Sistemas de Informação actuais. Tal como nas restantes áreas, o ISACA tem vindo a desenvolver um conjunto vasto de produtos e serviços que apoiem os seus membros e comunidade de TI nas áreas de IS Security e IS Security Management. • ISACA Journal • Certificações (CISA, CISM); • Conferências e workshops; • Frameworks e Standards; • Bibliografia. Um dos aspectos chave que tem vindo a ser desenvolvido é sem dúvida o estabelecimento de parcerias, acordos e alinhamento com as organizações e frameworks de referência global nesta área, como é exemplo a criação e participação no Alliance for Enterprise Security Risk Management (AESRM). EuroCACS Europe 20—23 March 2011 3–5 November 2010 Manchester, United Vienna, Austria Kingdom 11 ISACA Lisbon (in-formation)
  • 13. 6. Security overview @ ISACA O K-NET é a base de conhecimento do ISACA com mais de 6.000 recursos nas áreas de IT Governance, Assurance, Security and Control. Database items matching: security Results: 3825 matches Projectos em curso e alguma documentação de referência Business Model for Information Security Controls and Assurance for Cloud Computing Career Guide for Information Security and Assurance Professionals Information Security Program Metrics Security, Audit and Control Features Oracle, 3rd Edition Security Culture Aligning COBIT® 4.1, ITIL® V3 and ISO/IEC 27002 Defining Information Security Manager Position Requirements: Guidance for Executives and Managers 12 ISACA Lisbon (in-formation)
  • 14. 6. Security overview @ ISACA CISM O programa de certificação Certified Information Security Manager® (CISM®) foi desenvolvido para gestores de segurança da informação e para aqueles com responsabilidades sobre a segurança da informação. A certificação CISM é destinada a profissionais que gerem, desenham, supervisionam e/ou avaliam a segurança da informação corporativa. Através do CISM, o ISACA pretende promover as melhores práticas internacionais e apoiar os gestores na corroboração de Domínio 1 - Information Security CISM Receives ANSI Accreditation que os profissionais credenciados têm a experiência e Governance conhecimento necessários para a execução e prestação de serviços de gestão de segurança Domínio 2 - Information Security Management A certificação CISM define ainda um modelo de competências para a gestão de segurança bem como um método de avaliação dos Domínio 3 - Information Security actuais profissionais ou futuros candidatos à função. Program Development Domínio 4 - Information Security CISM Named Finalist for SC Program Management Magazine's Best Certification Requisitos Program Domínio 5 - Incident Management & 1. Passar no exame CISM (Junho 2010) Response 2. Assinar o “The Code of Professional Ethics” 3. Cumprir com a Continuing Education Policy (120 CPE triénio) 4. Experiência profissional comprovada (5 anos) 13 ISACA Lisbon (in-formation)
  • 15. 6. Security overview @ ISACA CRISC A certificação Certified in Risk and Information Systems Control™ (CRISC™, “see-risk”) pretende reconhecer todos os profissionais com conhecimento na área de Risco e a sua capacidade para Desenhar, Implementar, Monitorizar e Manter um ambiente de controlo de mitigação desse Risco. Grandfathering A certificação pretende reconhecer profissionais de TI com Program for the New experiência reconhecida nos domínios de Risk identification, ISACA CRISC assessment, and evaluation; Risk response; Risk monitoring; IS Certification control design and implementation; e IS control monitoring and maintenance. Domínio 1 - Risk identification, Requisitos: assessment and evaluation 8 anos de Domínio 2 - Risk response experiência Requisitos Domínio 3 - Risk monitoring profissional 1. Passar no exame CRISC (Março 2011) comprovada com Domínio 4 - IS control design and pelo menos 6 anos 2. Assinar o “The Code of Professional Ethics” implementation nos domínios CRISC 3. Cumprir com a Continuing Education Policy (120 CPE triénio) Domínio 5 - IS control monitoring and 4. Experiência profissional comprovada (5 anos) maintenance De Abril 2010 a Março 2011. 14 ISACA Lisbon (in-formation)
  • 16. 6. Security overview @ ISACA Vos estis sal terrae Vós, diz Cristo, senhor nosso, falando com os pregadores, sois o sal da terra; e chama-lhe sal da terra, porque quer que façam na terra o que faz o sal. O efeito do sal é impedir a corrupção, mas quando a terra se vê tão corrupta como está a nossa, havendo tantos nela que têm ofício de sal, qual será, ou qual pode ser a causa desta corrupção? Ou é porque o sal não salga, ou porque a terra se não deixa salgar. Ou é porque o sal não salga, e os pregadores não pregam a verdadeira doutrina, ou porque a terra se não deixa salgar, e os ouvintes, sendo verdadeira a doutrina que lhe dão, a não querem receber. Ou é porque o sal não salga, e os pregadores dizem uma coisa e fazem outra, ou porque a terra não se deixa salgar, e os ouvintes querem antes imitar o que eles fazem que fazer o que dizem. Ou é porque o sal não salga, e os pregadores se pregam a si e não a Cristo, ou porque a terra se não deixa salgar, e os ouvintes, em vez de servir a Cristo, servem os seus apetites. Não é tudo isto verdade?. VIEIRA, Padre António, Sermão de Santo António aos Peixes ISACA Lisbon (in-formation)
  • 17. 6. Security overview @ ISACA Business Model for Information Security (BMIS) Apresentação O Business Model for Information Security (BMIS) não é uma framework, é um modelo! O BMIS define uma abordagem holística e business-oriented para a gestão da segurança da informação, e uma linguagem comum para a gestão de segurança e a gestão do negócio falarem sobre protecção de informação. O BMIS foi desenvolvido com base na Teoria de Sistemas o que possibilita uma gestão da segurança mais dinâmica (não causa  efeito) e alinhada com a complexidade e desafios, internos e externos, actuais. Uma das peças críticas do BMIS é a importância que coloca do desenvolvimento de uma Cultura de Segurança alinhada com os requisitos de governace da organização: “The essence of systems theory is that 1. Campanhas de consciencialização; 4. Alinhamento da segurança com os objectivos do negócio; a system need to be 2. Equipas transversais; 5. Abordagem baseada no Risco; viewed hilistically – not merely as a sum 3. Compromisso da Gestão; 6. Compromisso entre Organização, Pessoas, Processos e of its parts – to be Tecnologia; accurately 7. Convergência das estratégias de segurança. understood” Destinatários do modelo von Bertalanffy, L.; General System Theory: • CXO Foundations, Development, Applications • Gestores de Segurança da Informação • Responsáveis pela gestão de Risco e Indivíduos com responsabilidade no desenho, implementação, 16 ISACA Lisbon (in-formation) monitorização e melhoria do sistema de gestão de segurança da informação
  • 18. 6. Security overview @ ISACA Principais componentes BMIS Elementos 1. Organization (Design/Strategy) 2. People 3. Process 4. Technology Interligações dinâmicas 1. Governance 2. Culture 3. Enabling & Support 4. Emergence 5. Human Factors 6. Architecture 17 ISACA Lisbon (in-formation)
  • 19. What’s Next? ISACA Lisbon (in-formation)
  • 20. Contactos Bruno Luís Horta Soares, 30 anos, nacionalidade portuguesa, solteiro. Licenciado em Informática e Gestão de Empresas pelo ISCTE e pós-graduado em Gestão de projectos pela ISLA/PMO Consulting. O Bruno iniciou a sua carreira como Investigador Junior na associação Adetti e posteriormente como trainee na Deloitte Consulting. Entre 2002 e 2006 fez parte do departamento de Information Risk Management (IRM) na área de Risk Advisory Services (RAS) da KPMG e em 2006 juntou-se à Deloitte onde é actualmente Manager no departamento de Enterprise Risk Services (ERS) na área de Information & Technology Risk Services. Desenvolveu a sua carreira nas áreas de Auditoria de Sistemas de Informação, Risco e Controlo de Sistemas de Informação, Segurança e Privacidade e Gestão de Projectos, tendo realizado projectos nas indústrias de Financial Services Industry, Technology, Media & Telecommunications Public Sector, Manufacturing, Consumer Business e Energy & Resources. Bruno Horta Soares, PMP, CISA, CGEIT Tem as certificações Project Management Professional (PMP), do Project Management Mobile: +351 96 210 31 53 Institute (PMI); Certified Information Systems Auditor (CISA) e Certified in the Governance of Email: bsoares@deloitte.pt Enterprise IT (CGEIT) do ISACA; ITIL® version 3 Foundation; e Certificação de Aptidão http://pt.linkedin.com/in/brunohsoares Pedagógica (CAP). ISACA Member: 215603 Desde 2008 é professor convidado na Universidade Católica Portuguesa onde lecciona a Location: Lisbon disciplina de Auditoria a Sistemas de Informação. Adicionalmente, é Presidente do ISACA Company: Deloitte Lisbon (in-formation), Portugal Chapter, Presidente da Mesa da Assembleia Geral do PMI Position: Manager Portugal Chapter e orador em diversas conferências, fóruns e seminários relacionados com a Auditoria de Sistemas de Informação. 19 ISACA Lisbon (in-formation)