Políticas,   práticas e procedimentos em Segurança da Informação                      prof. Roberto Dias Duarte           ...
Com licença, sou o                                Roberto                               “Conheço apenas                   ...
1a Parte: Sensibilização
Trabalhos• 07.12 - Diagnóstico de segurança da empresa:  contexto empresarial, visão, missão,  estratégias, indicadores, n...
Visão executivaprof. Roberto Dias Duarte
1o TrabalhoDiagnóstico de segurança da empresa: contextoempresarial, visão, missão, estratégias,indicadores, normas regula...
TrabalhosTodo o projeto deve ser alinhado à estratégia empresarial e/ou marcosregulatórios de uma empresa, apontando custo...
1. Contexto empresarial                            1.2.Visão•1.1. Missão                            É o sonho da organizaç...
2. Públicos                    ConsumidoresClientes     Investidores                    Parceiros
3. Indicadores
4. Normas reguladoras1. Em quais ecossistemas a empresa estáinserida?2. Quais os agentes reguladores e normas?            ...
5. Lacunas de segurança     da informação1.Liste 7 lacunas de segurança da empresa2. Relacione as lacunas com os indicador...
2a Parte: Conceitos     Básicos
Situação das empresasprof. Roberto Dias Duarte
Quer tentar?prof. Roberto Dias Duarte
Fraude?prof. Roberto Dias Duarte
O que é fraude?         É um esquema         ilícito ou de má fé         criado para obter         ganhos pessoais.prof. R...
Fatores primários       1 - Existência de golpistas       motivados.              • Ineficiência das leis;              • i...
Mas principalmente                            porque...                                  o desrespeito às                 ...
Quem é a vítima?prof. Roberto Dias Duarte
Fatores primários                            2 - Existência de vítimas vulneráveis                                  • Pouc...
Fatores primários 3 - Falta de controle ou fiscalização        • percepção do problema como              não prioritário;  ...
Quem fiscaliza?prof. Roberto Dias Duarte
Vítima ou golpista?prof. Roberto Dias Duarte
Segurança da                            Informação?prof. Roberto Dias Duarte
Ameaça?         Causa potencial de um         incidente, que caso se         concretize pode         resultar em danoprof....
Vulnerabilidade?    Falha (ou conjunto)    que pode ser explorada    por ameaçasprof. Roberto Dias Duarte
Incidente?     Evento que     comprometa a     operação do     negócio ou     cause dano aos     ativos da     organização...
Impacto?                                       Resultados de                                       incidentesprof. Roberto...
Análise de risco               Impacto                             Transfere     Mitiga                              Aceit...
Análise de riscoprof. Roberto Dias Duarte
Ativo digital?prof. Roberto Dias Duarte
Ativo? Intangível? “Um ativo intangível é um ativo não monetário identificável sem substância física ou, então, o ágio pago...
Assinatura Digital                            É um método de autenticação                               de informação digi...
Como funciona?                                       HASH é                                       gerado a                ...
Documentos Digitais    MP 2.200-2 de Agosto/2001    “As declarações constantes dos documentos em    forma eletrônica produ...
Documentos Digitais    MP 2.200-2 de Agosto/2001  “O disposto nesta Medida Provisória não obsta a  utilização de outro mei...
Caso real             Integridade             Autenticidade             Não repudio             Disponibilidade           ...
Carimbo do tempo       Certifica a autenticidade temporal    (data e hora) de arquivos eletrônicos       Sincronizado a “Ho...
Integridade   Qualquer alteração   da mensagem faz   com que a   assinatura não   corresponda mais   ao documentoprof. Rob...
Autenticidade     O receptor pode     confirmar se a     assinatura foi     feita pelo     emissorprof. Roberto Dias Duarte
Não            repúdio    O emissor não    pode negar a    autenticidade da    mensagemprof. Roberto Dias Duarte
Confidencialidade        Passo 1: Alice envia sua        chave pública para Bob                                         Pas...
Disponibilidade    A informação    deve estar    disponível    apenas para seu    uso legítimoprof. Roberto Dias Duarte
Auditabilidade Deve haver informação relativa às ações de alteração ou consulta de dados                                  ...
Por que preciso saber                           disso?prof. Roberto Dias Duarte
Ecosistema Fiscal                      NF-e                     NFS-e                                  EFD ICMS/IPI       ...
Vamos entender as                     principais                vulnerabilidades das               empresas no mundo do   ...
O que é a Nota                             Eletrônica?                “Podemos conceituar a Nota Fiscal Eletrônica        ...
Documento Fiscal Digitalprof. Roberto Dias Duarte
Livro Contábil Digitalprof. Roberto Dias Duarte
Livro Fiscal Digital                                (ICMS/IPI)prof. Roberto Dias Duarte
Mas, nada muda na                minha empresa, certo?prof. Roberto Dias Duarte
Vulnerabilidade #1   Te n h o q u e   ver ificar o   arquivo XML    Cláusula décima      §   1º    O   destinatário      d...
Vulnerabilidade #2                            Nota autorizada não meprof. Roberto Dias Duarte                            l...
Vulnerabilidade #2           Cláusula quarta           Ainda que formalmente regular,           não   será     considerado...
Vulnerabilidade #3                                     Só posso cancelar                                     NF-e se a    ...
Vulnerabilidade #3            ATO COTEPE/ICMS Nº 33 /2008             Efeitos a partir de 01.01.12:             Art. 1º Po...
Vulnerabilidade #4                                  Tenho que enviar o                                  arquivo XML ao    ...
Vulnerabilidade #4               Cláusula Sétima               § 7º O emitente da NF-e deverá,               obr ig ato r ...
Vulnerabilidade #5                                 Tenho que guardar                                 o arquivo XMLprof. Ro...
Vulnerabilidade #5           Cláusula décima            O emitente e o destinatário deverão manter a NF-e em arquivo      ...
Vulnerabilidade #6                            Troca de identidadeprof. Roberto Dias Duarte
Vulnerabilidade #6             “ E m p ré s t i m o ” d e s e n h a e             ar mazenam ento                     de  ...
O que causa                            vulnerabilidade?prof. Roberto Dias Duarte
Causas das                            vulnerabilidades        Tecnologia precária   Falta de conhecimento   Ganância: preç...
Consequênciasprof. Roberto Dias Duarte
Consequências      Mercadorias sem documento  idôneo     Mercadorias de origem ilícita      Problemas fiscais: documentos  ...
Tenho como evitar?prof. Roberto Dias Duarte
Solução: Paradigma do                      século XXI              Conhecimento              Comportamento              Te...
Ação preventivas básicasprof. Roberto Dias Duarte
O dono da bola       Quem é o responsável pela gestão da informação?       Definições:                políticas de seguranç...
Termo de compromisso           Formaliza responsabilidades:           Sigilo de informações;           Cumprimento de norm...
Autenticação individual           Identifica as pessoas:           Senha;           Cartão ou token;           Biometria;  ...
“Empréstimo” de senhaprof. Roberto Dias Duarte
Cópias de segurança           Qual a política definida?           Qual a cópia mais antiga?       Os arquivos das estações ...
Software homologado          Itens de verificação:             manutenção             treinamento             suporte      ...
Uso de antivírusPrevenção além do software:                Anexos                Executável? No way!                Downlo...
O Carona             Prevenção contra          “sessões abertas” em sua          ausência:            Conduta: Suspensão  ...
Correio eletrônico               Pishing               Muitos golpes:                    Notícias falsas                  ...
Informações pessoais               Cuidado com informação de:                   Funcionários                   Clientes   ...
Ambiente Físico              Ahhh, reuniões rápidas:                    no elevador                    na festa           ...
Engenharia social          Procedimentos para obtenção de informações       através de contatos falsos             “Conver...
Uso da Internet & Redes                       Sociais                            Qual a sua opinião?prof. Roberto Dias Dua...
Uso da Internet & Redes                       Sociaisprof. Roberto Dias Duarte
Uso da Internet & Redes                       Sociaisprof. Roberto Dias Duarte
Ações preventivas                                        Conhecimento                     Física                          ...
Ações detectivas              Quanto antes, melhor     Conhecimento          Monitoramento de             Análise        e...
Ações corretivas                    Minimizar o problema                Quanto mais rápido,              melhorprof. Rober...
Plano de continuidade         Contexto empresarial         Mapeamento de riscos                  Conhecimento             ...
Direitos do usuário           Acesso individual           Treinamento sobre                                     segurança ...
Mensagem sobre o                               segurançaprof. Roberto Dias Duarte
2o TrabalhoAnte-projeto Prática de Segurança: diagnóstico,análise de riscos, problema, solução, custo,beneficios, macro-cro...
2o Trabalho1. Ajustar o diagnóstico reavaliando as lacunas2. Análise de risco considerando as 7 lacunasrelacionadas3. Defin...
Apresentação do 2o        trabalhoData: 14/12/2011Prazo para ajustes: de 19:00 às 19:30Apresentações: de 19:30 às 20:30
3a Parte:Visão de Gestão
Qual é a estrutura da sua      organização?
Governaça“É o conjunto de processos,costumes, políticas, leis,regulamentos einstituições que regulam amaneira como umaempr...
Governaça                •Visão                –É o sonho da organização, é o                 futuro do negocio e onde a  ...
Governaça•Transparência–Mais do que "a obrigação de informar", a administração deve cultivar o "desejo de informar"
Governaça•Equidade–Tratamento justo e igualitário de todos os grupos minoritários (stakeholdres).
Stakeholders &                   Shareholders•Equilíbrio:– Regulamentações– Forças corporativasQual a relação entreequilíb...
Balanceando pressões
Balanceando pressões
Balanceando pressões• Compliance: “conjunto  de disciplinas para fazer  cumprir as normas  legais e regulamentares,  as po...
Balanceando pressões•Risco x Conformidade:–100% de conformidade garante 100% de segurança?
Desafios da Governança                           Quais&são&os&  Gerenciar riscos x        principais&investimentos adequado...
Desafios da Governança                           Quais&são&os&  Gerenciar riscos x        principais&investimentos adequado...
Sucesso na GSI  Comunicação: direção, gerênciase operação                                Qual&a&  Planejamento alinhado à ...
Melhores Práticas•Personalizar as práticas                                  Qual&as& ao negócio                   prá6cas&...
Melhores PráticasCuidadocom: Orçamento Pessoas
Fundamentos de ITIL
Cobit: parte 1
Cobit: parte 2
Cobit: parte 3
Cobit: parte 4
Cobit
Cobit: Alinhamento
Cobit: metas e medidas
Cobit: framework
Cobit: framework
3o Trabalho - parte I
3o Trabalho - parte IElaborar um plano de implantação de política desegurança e o manual se segurança dainformação. (30 po...
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)                                                      ISO/IEC 17799    ...
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)                                                       ISO/IEC 27000   ...
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)                                                      ISO/IEC 27001
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)                                                      ISO/IEC 17799/270...
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)                                                      Metodologia Octav...
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)                                                      Use Octave-S, se:...
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)                                                      Octave Method    ...
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)                                                      Octave Method    ...
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)                                                      Octave Method    ...
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)                                                      Octave Method    ...
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)                                                      Octave-S         ...
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)                                                      Octave-S         ...
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)                                                      Octave-S         ...
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)                                                      Octave-S         ...
Octave: AtividadesPós-Graduação em Gestão da Segurança de T.I. (GSTI)                                                     ...
Visão ampla                                                      Where Does COBIT Fit?Pós-Graduação em Gestão da Segurança...
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)                                                      Então?           ...
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)                                                      Paradigmas       ...
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)                                                      Partes interessad...
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)                                                      Governando Riscos...
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)                                                      Tipos de Riscos  ...
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)                                                      Visão executiva
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)                                                      Visão executiva  ...
Contexto daPós-Graduação em Gestão da Segurança de T.I. (GSTI)                                                      organi...
Governando ProcessosPós-Graduação em Gestão da Segurança de T.I. (GSTI)                                                   ...
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)                                                  Governando Processos
Governando ProcessosPós-Graduação em Gestão da Segurança de T.I. (GSTI)                                                   ...
Governando ProcessosPós-Graduação em Gestão da Segurança de T.I. (GSTI)                                                   ...
Governando ProcessosPós-Graduação em Gestão da Segurança de T.I. (GSTI)                                                   ...
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)                                       • Nível 0: inexistente          ...
Cobit: níveis de maturidadePós-Graduação em Gestão da Segurança de T.I. (GSTI)                                            ...
Cobit: níveis de maturidadePós-Graduação em Gestão da Segurança de T.I. (GSTI)                                            ...
Cobit: níveis de maturidadePós-Graduação em Gestão da Segurança de T.I. (GSTI)                                            ...
Cobit: níveis de maturidadePós-Graduação em Gestão da Segurança de T.I. (GSTI)                                            ...
Cobit: níveis de maturidadePós-Graduação em Gestão da Segurança de T.I. (GSTI)                                            ...
Linha do tempoPós-Graduação em Gestão da Segurança de T.I. (GSTI)                                                      Mat...
Por que evoluirPós-Graduação em Gestão da Segurança de T.I. (GSTI)                                                      pr...
Métricas para GSIPós-Graduação em Gestão da Segurança de T.I. (GSTI)                                                      ...
Métricas para GSIPós-Graduação em Gestão da Segurança de T.I. (GSTI)                                                      ...
Métricas para GSIPós-Graduação em Gestão da Segurança de T.I. (GSTI)                                                      ...
Métricas para GSIPós-Graduação em Gestão da Segurança de T.I. (GSTI)                                                      ...
Integrando MedidoresPós-Graduação em Gestão da Segurança de T.I. (GSTI)                                                   ...
Integrando MedidoresPós-Graduação em Gestão da Segurança de T.I. (GSTI)                                                   ...
Governança de SIPós-Graduação em Gestão da Segurança de T.I. (GSTI)                                                      •...
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)                                            políticas de SI            ...
Políticas de SIPós-Graduação em Gestão da Segurança de T.I. (GSTI)                                                      • ...
Políticas de SI:Pós-Graduação em Gestão da Segurança de T.I. (GSTI)                                                      C...
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)                                              metodologia              ...
Etapas para oPós-Graduação em Gestão da Segurança de T.I. (GSTI)                                                      dese...
Etapas para oPós-Graduação em Gestão da Segurança de T.I. (GSTI)                                                      dese...
Fase II: DesenvolvimentoPós-Graduação em Gestão da Segurança de T.I. (GSTI)                                               ...
Fase II: DesenvolvimentoPós-Graduação em Gestão da Segurança de T.I. (GSTI)                                               ...
Fase II: DesenvolvimentoPós-Graduação em Gestão da Segurança de T.I. (GSTI)                                               ...
Fase II: DesenvolvimentoPós-Graduação em Gestão da Segurança de T.I. (GSTI)                                               ...
Fase II: DesenvolvimentoPós-Graduação em Gestão da Segurança de T.I. (GSTI)                                               ...
Fase II: DesenvolvimentoPós-Graduação em Gestão da Segurança de T.I. (GSTI)                                               ...
Etapas para oPós-Graduação em Gestão da Segurança de T.I. (GSTI)                                                      dese...
Etapas para oPós-Graduação em Gestão da Segurança de T.I. (GSTI)                                                      dese...
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)                                              Etapas para o            ...
3o Trabalho - parte IIElaborar um plano de implantação de política desegurança e o manual se segurança da informação. (30p...
Políticas, práticas e procedimentos em Segurança da Informação
Upcoming SlideShare
Loading in …5
×

Políticas, práticas e procedimentos em Segurança da Informação

4,013 views

Published on

Published in: Business
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
4,013
On SlideShare
0
From Embeds
0
Number of Embeds
54
Actions
Shares
0
Downloads
90
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Políticas, práticas e procedimentos em Segurança da Informação

  1. 1. Políticas, práticas e procedimentos em Segurança da Informação prof. Roberto Dias Duarte Melhor prevenir, que remediar!prof. Roberto Dias DuarteEsta obra foi licenciada com uma Licença Creative Commons - Atribuição - Uso Não-Comercial - Partilha nos Mesmos Termos 3.0 Não Adaptada. Photographer: Reuters
  2. 2. Com licença, sou o Roberto “Conheço apenas minha ignorância”prof. Roberto Dias Duarte
  3. 3. 1a Parte: Sensibilização
  4. 4. Trabalhos• 07.12 - Diagnóstico de segurança da empresa: contexto empresarial, visão, missão, estratégias, indicadores, normas reguladoras e “lacunas” de segurança. (30 pontos)• 14.12 - Ante-projeto Prática de Segurança: diagnóstico, problema, solução, custo, beneficios, análise de riscos, macro- cronograma. (30 pontos)• 15.12 - Elaborar um plano de implantação de política de segurança e o manual se segurança da informação. (30 pontos)
  5. 5. Visão executivaprof. Roberto Dias Duarte
  6. 6. 1o TrabalhoDiagnóstico de segurança da empresa: contextoempresarial, visão, missão, estratégias,indicadores, normas reguladoras e“lacunas” (Gap’s) de segurança.Prazo: 7.12.2011Pode ser em grupoEscolha uma empresa para o estudo de caso real
  7. 7. TrabalhosTodo o projeto deve ser alinhado à estratégia empresarial e/ou marcosregulatórios de uma empresa, apontando custos e benefícios• 1. Lembrem-se dos indicadores de desempenho da empresa: receita, rentabilidade, retenção de clientes, etc.• 2. Toda organização está inserida em um ecossistema onde há diversos marcos regulatórios: SOX, Basiléia, legislação tributária, trabalhista, ANEEL, ANAC, consumidor, SAC, etc.• 3. Derivem os indicadores de GSI a partir dos indicadores empresariais (ou marcos legais).• 4. Determinem o planejamento de implantação da política de segurança para um indicador ou marco legal - se fizerem para mais de um, não há problema, mas o esforço de trabalho é proporcional à quantidade de métricas.• 5. Derivem os processos de segurança e as atividades a partir das políticas.• Lembrem-se, por fim, que o alinhamento estratégico é fator crítico de sucesso para este trabalho. Ou seja, indicadores de GSI devem ajudar a empresa a melhorar algum indicador de desempenho ou manter a compatibilidade legal regulatória do setor.
  8. 8. 1. Contexto empresarial 1.2.Visão•1.1. Missão É o sonho da organização, é o– É a razão de existência futuro do negocio e onde a de uma organização. organização espera estar nesse futuro. •1.3. Estratégia •“Forma de pensar no futuro, integrada no processo decisório, com base em um procedimento formalizado e articulador de resultados” (Mintzberg).
  9. 9. 2. Públicos ConsumidoresClientes Investidores Parceiros
  10. 10. 3. Indicadores
  11. 11. 4. Normas reguladoras1. Em quais ecossistemas a empresa estáinserida?2. Quais os agentes reguladores e normas? IFRS ANATEL SPED Sindicatos ANAC SOX NF-e Consumidor ANEEL Basiléia RFB Clientes CMV SEFAZ Franqueadores BACEN Parceiros Contratos
  12. 12. 5. Lacunas de segurança da informação1.Liste 7 lacunas de segurança da empresa2. Relacione as lacunas com os indicadores ounormas3. Estabeleça as 3 de maior relevância,explicando os motivos
  13. 13. 2a Parte: Conceitos Básicos
  14. 14. Situação das empresasprof. Roberto Dias Duarte
  15. 15. Quer tentar?prof. Roberto Dias Duarte
  16. 16. Fraude?prof. Roberto Dias Duarte
  17. 17. O que é fraude? É um esquema ilícito ou de má fé criado para obter ganhos pessoais.prof. Roberto Dias Duarte
  18. 18. Fatores primários 1 - Existência de golpistas motivados. • Ineficiência das leis; • incerteza da pena; • incerteza jurídica; • existência de oportunidades; • pouca fiscalização.prof. Roberto Dias Duarte
  19. 19. Mas principalmente porque... o desrespeito às leis é considerado comportamento “normal”.prof. Roberto Dias Duarte
  20. 20. Quem é a vítima?prof. Roberto Dias Duarte
  21. 21. Fatores primários 2 - Existência de vítimas vulneráveis • Pouca informação e divulgação preventivas; • ignorância e ingenuidade; • ganância; • o desrespeito às leis é considerado comportamento “normal”.prof. Roberto Dias Duarte
  22. 22. Fatores primários 3 - Falta de controle ou fiscalização • percepção do problema como não prioritário; • despreparo das autoridades; • escassa coordenação de ações contra fraudadores; • falta de leis específicas e pouca clareza em algumas das existentes.prof. Roberto Dias Duarte
  23. 23. Quem fiscaliza?prof. Roberto Dias Duarte
  24. 24. Vítima ou golpista?prof. Roberto Dias Duarte
  25. 25. Segurança da Informação?prof. Roberto Dias Duarte
  26. 26. Ameaça? Causa potencial de um incidente, que caso se concretize pode resultar em danoprof. Roberto Dias Duarte
  27. 27. Vulnerabilidade? Falha (ou conjunto) que pode ser explorada por ameaçasprof. Roberto Dias Duarte
  28. 28. Incidente? Evento que comprometa a operação do negócio ou cause dano aos ativos da organizaçãoprof. Roberto Dias Duarte
  29. 29. Impacto? Resultados de incidentesprof. Roberto Dias Duarte
  30. 30. Análise de risco Impacto Transfere Mitiga Aceita Reduz Probabilidadesprof. Roberto Dias Duarte
  31. 31. Análise de riscoprof. Roberto Dias Duarte
  32. 32. Ativo digital?prof. Roberto Dias Duarte
  33. 33. Ativo? Intangível? “Um ativo intangível é um ativo não monetário identificável sem substância física ou, então, o ágio pago por expectativa de rentabilidade futura (goodwill)” Fonte: http://www.cpc.org.brprof. Roberto Dias Duarte
  34. 34. Assinatura Digital É um método de autenticação de informação digital Não é Assinatura Digitalizada! Não é Assinatura Eletrônica!prof. Roberto Dias Duarte
  35. 35. Como funciona? HASH é gerado a partir da chave pública O HASH é Autor assina descriptografado a com sua partir da chave chave privada pública Novo HASH é gerado HASH é armazenado na mensagem Novo HASH é comparado com o originalprof. Roberto Dias Duarte
  36. 36. Documentos Digitais MP 2.200-2 de Agosto/2001 “As declarações constantes dos documentos em forma eletrônica produzidos com a utilização de processo de certificação disponibilizado pela presumem-se ICP-Brasil verdadeiros em relação aos signatários” (Artigo 10o § 1o)prof. Roberto Dias Duarte
  37. 37. Documentos Digitais MP 2.200-2 de Agosto/2001 “O disposto nesta Medida Provisória não obsta a utilização de outro meio de comprovação da autoria e integridade de documentos em forma eletrônica, inclusive os que utilizem certificados não emitidos pela ICP-Brasil, desde que admitido pelas partes como válido ou aceito pela pessoa a quem for oposto o documento.” (Artigo 10o § 2o)prof. Roberto Dias Duarte
  38. 38. Caso real Integridade Autenticidade Não repudio Disponibilidade Confidencialidade Auditabilidadeprof. Roberto Dias Duarte
  39. 39. Carimbo do tempo Certifica a autenticidade temporal (data e hora) de arquivos eletrônicos Sincronizado a “Hora Legal Brasileira”prof. Roberto Dias Duarte
  40. 40. Integridade Qualquer alteração da mensagem faz com que a assinatura não corresponda mais ao documentoprof. Roberto Dias Duarte
  41. 41. Autenticidade O receptor pode confirmar se a assinatura foi feita pelo emissorprof. Roberto Dias Duarte
  42. 42. Não repúdio O emissor não pode negar a autenticidade da mensagemprof. Roberto Dias Duarte
  43. 43. Confidencialidade Passo 1: Alice envia sua chave pública para Bob Passo 2: Bob cifra a mensagem com a chave pública de Alice e envia para Alice, que recebe e decifra o texto utilizando sua chave privadaprof. Roberto Dias Duarte
  44. 44. Disponibilidade A informação deve estar disponível apenas para seu uso legítimoprof. Roberto Dias Duarte
  45. 45. Auditabilidade Deve haver informação relativa às ações de alteração ou consulta de dados Quem? Quando? O que fez?prof. Roberto Dias Duarte
  46. 46. Por que preciso saber disso?prof. Roberto Dias Duarte
  47. 47. Ecosistema Fiscal NF-e NFS-e EFD ICMS/IPI CT-e EFD/CIAP Tem nota? CF-e Brasil-id EFD PIS/COFINS CC-e Siniav Entregou? EFD/FOLHA Fisco NF-e SPED Contábil Vendeu? NFS-e EFD Contábil CF-e CC-e Recebeu? Cliente Produziu? Contador NF-e Estoque? Pagou? NFS-e CF-e CC-e Fornecedor Comprou?prof. Roberto Dias Duarte
  48. 48. Vamos entender as principais vulnerabilidades das empresas no mundo do pós-SPED?prof. Roberto Dias Duarte
  49. 49. O que é a Nota Eletrônica? “Podemos conceituar a Nota Fiscal Eletrônica como sendo um documento de existência apenas digital, emitido e armazenado eletronicamente, (...) Sua validade jurídica é garantida pela assinatura digital do remetente (garantia de autoria e de integridade) e pela recepção, pelo Fisco, do documento eletrônico, antes da ocorrência do fato gerador.”prof. Roberto Dias Duarte
  50. 50. Documento Fiscal Digitalprof. Roberto Dias Duarte
  51. 51. Livro Contábil Digitalprof. Roberto Dias Duarte
  52. 52. Livro Fiscal Digital (ICMS/IPI)prof. Roberto Dias Duarte
  53. 53. Mas, nada muda na minha empresa, certo?prof. Roberto Dias Duarte
  54. 54. Vulnerabilidade #1 Te n h o q u e ver ificar o arquivo XML Cláusula décima § 1º O destinatário deverá v e r if i car a vali dade e autenticidade da NF-e e a exis tênci a de Autorização de Uso da NF-e. Ajuste SINIEF 07/2005prof. Roberto Dias Duarte
  55. 55. Vulnerabilidade #2 Nota autorizada não meprof. Roberto Dias Duarte livra do "passivo fiscal"
  56. 56. Vulnerabilidade #2 Cláusula quarta Ainda que formalmente regular, não será considerado documento fiscal idôneo a NF-e que tiver sido emitida ou utilizada co m do lo, f rau de, s i m u la ç ã o o u e r r o, q u e possibilite, mesmo que a terceiro, o não-pagamento do imposto ou qualquer outra va ntag e m indevida. Ajuste SINIEF 07/2005prof. Roberto Dias Duarte
  57. 57. Vulnerabilidade #3 Só posso cancelar NF-e se a mercadoria não circulou....prof. Roberto Dias Duarte
  58. 58. Vulnerabilidade #3 ATO COTEPE/ICMS Nº 33 /2008 Efeitos a partir de 01.01.12: Art. 1º Poderá o emitente solicitar o cancelamento da NF-e, em prazo não superior a 24 horas, contado do momento em que foi concedida a respectiva Autorização de Uso da NF-e, desde que não tenha ocorrido a circulação da mercadoria ou a prestação de serviço e observadas às demais normas constantes do AJUSTE SINIEF 07/05, de 5 de outubro de 2005. prof. Roberto Dias Duarte
  59. 59. Vulnerabilidade #4 Tenho que enviar o arquivo XML ao destinatário e aoprof. Roberto Dias Duarte transportador
  60. 60. Vulnerabilidade #4 Cláusula Sétima § 7º O emitente da NF-e deverá, obr ig ato r i am e nte, e ncam inhar o u disponibilizar download do arquivo da NF-e e seu respectivo Protocolo de Autorização de Uso ao destinatário e a o t r a n s p o r t a d o r c o n t r at a d o, imediatamente após o recebimento da autorização de uso da NF-e. Ajuste SINIEF 07/2005prof. Roberto Dias Duarte
  61. 61. Vulnerabilidade #5 Tenho que guardar o arquivo XMLprof. Roberto Dias Duarte
  62. 62. Vulnerabilidade #5 Cláusula décima O emitente e o destinatário deverão manter a NF-e em arquivo d ig i tal, sob sua guarda e re sp o nsabi l i dade, p elo prazo estabelecido na legislação tributária, mesmo que fora da empresa, devendo ser disponibilizado para a Administração Tributária quando solicitado. (...) § 2º Caso o destinatário não seja contribuinte credenciado para a emissão de NF-e, alternativamente ao disposto no “caput”, o destinatário deverá manter em arquivo o DANFE relativo a NF-e da operação, devendo ser apresentado à administração tributária, quando solicitado. § 3º O emitente de NF-e deverá guardar pelo prazo estabelecido na legislação tributária o DANFE que acompanhou o retorno de mercadoria não recebida pelo destinatário e que contenha o motivo da recusa em seu verso. Ajuste SINIEF 07/2005prof. Roberto Dias Duarte
  63. 63. Vulnerabilidade #6 Troca de identidadeprof. Roberto Dias Duarte
  64. 64. Vulnerabilidade #6 “ E m p ré s t i m o ” d e s e n h a e ar mazenam ento de certificados digitais eCPF, eCNPJ, ePJ A1, A3, HSMprof. Roberto Dias Duarte
  65. 65. O que causa vulnerabilidade?prof. Roberto Dias Duarte
  66. 66. Causas das vulnerabilidades Tecnologia precária Falta de conhecimento Ganância: preços abaixo domercado Desrespeito as leis encaradocomo comportamento comumprof. Roberto Dias Duarte
  67. 67. Consequênciasprof. Roberto Dias Duarte
  68. 68. Consequências Mercadorias sem documento idôneo Mercadorias de origem ilícita Problemas fiscais: documentos inidôneos Sigilo fiscal e comercial violados Assinatura de contratos e outros documentosprof. Roberto Dias Duarte
  69. 69. Tenho como evitar?prof. Roberto Dias Duarte
  70. 70. Solução: Paradigma do século XXI Conhecimento Comportamento Tecnologiaprof. Roberto Dias Duarte
  71. 71. Ação preventivas básicasprof. Roberto Dias Duarte
  72. 72. O dono da bola Quem é o responsável pela gestão da informação? Definições: políticas de segurança políticas de backup políticas de contingênciaprof. Roberto Dias Duarte
  73. 73. Termo de compromisso Formaliza responsabilidades: Sigilo de informações; Cumprimento de normas de segurança; Conduta ética.prof. Roberto Dias Duarte
  74. 74. Autenticação individual Identifica as pessoas: Senha; Cartão ou token; Biometria; Certificado Digital.prof. Roberto Dias Duarte
  75. 75. “Empréstimo” de senhaprof. Roberto Dias Duarte
  76. 76. Cópias de segurança Qual a política definida? Qual a cópia mais antiga? Os arquivos das estações têm cópias? Os servidores têm cópias? Onde são armazenadas? Em que tipo de mídia?prof. Roberto Dias Duarte
  77. 77. Software homologado Itens de verificação: manutenção treinamento suporte condições comerciais capacidade do fabricante tendênciasprof. Roberto Dias Duarte
  78. 78. Uso de antivírusPrevenção além do software: Anexos Executável? No way! Download? Só de sites confiáveis Backup, sempre Educaçãoprof. Roberto Dias Duarte
  79. 79. O Carona Prevenção contra “sessões abertas” em sua ausência: Conduta: Suspensão ou encerramento da sessão; Mecanismo: Suspensão ou encerramento da sessão.prof. Roberto Dias Duarte
  80. 80. Correio eletrônico Pishing Muitos golpes: Notícias falsas Propostas “irresistíveis” Seu CPF foi... Atualize sua senha... blá, blá, blá...prof. Roberto Dias Duarte
  81. 81. Informações pessoais Cuidado com informação de: Funcionários Clientes Parceiros Quem pode acessar? Parceiros? Uso comercial?prof. Roberto Dias Duarte
  82. 82. Ambiente Físico Ahhh, reuniões rápidas: no elevador na festa no avião Quadros, flip chart, relatórios, etc Lixão, de novo? Quem entra, quem sai?prof. Roberto Dias Duarte
  83. 83. Engenharia social Procedimentos para obtenção de informações através de contatos falsos “Conversa de malandro” Lixão Habilidades do farsante: fala com conhecimento adquire confiança presta “favor”prof. Roberto Dias Duarte
  84. 84. Uso da Internet & Redes Sociais Qual a sua opinião?prof. Roberto Dias Duarte
  85. 85. Uso da Internet & Redes Sociaisprof. Roberto Dias Duarte
  86. 86. Uso da Internet & Redes Sociaisprof. Roberto Dias Duarte
  87. 87. Ações preventivas Conhecimento Física Análise Software Planejamento Humana Investimento Educação.prof. Roberto Dias Duarte
  88. 88. Ações detectivas Quanto antes, melhor Conhecimento Monitoramento de Análise eventos Planejamento O que monitorar? Investimentoprof. Roberto Dias Duarte
  89. 89. Ações corretivas Minimizar o problema Quanto mais rápido, melhorprof. Roberto Dias Duarte
  90. 90. Plano de continuidade Contexto empresarial Mapeamento de riscos Conhecimento Análise Planejamento Investimento Educação Simulaçãoprof. Roberto Dias Duarte
  91. 91. Direitos do usuário Acesso individual Treinamento sobre segurança Informações para trabalhar Comunicar ocorrências de segurança Saber o que é rastreado Garantia de privacidade Conhecer as políticas e normas Ser mais importante que a tecnologia Ser avisado sobre tentativas de invasãoprof. Roberto Dias Duarte
  92. 92. Mensagem sobre o segurançaprof. Roberto Dias Duarte
  93. 93. 2o TrabalhoAnte-projeto Prática de Segurança: diagnóstico,análise de riscos, problema, solução, custo,beneficios, macro-cronograma.Prazo: 14.5.2011 às 07:40Pode ser em grupoEscolha uma empresa para o estudo de caso real
  94. 94. 2o Trabalho1. Ajustar o diagnóstico reavaliando as lacunas2. Análise de risco considerando as 7 lacunasrelacionadas3. Definir estratégia para cada lacuna: mitigar,transferir, reduzir,aceitar4. Identificar problema, solução, custo,beneficios, macro-cronograma para 3 lacunas.
  95. 95. Apresentação do 2o trabalhoData: 14/12/2011Prazo para ajustes: de 19:00 às 19:30Apresentações: de 19:30 às 20:30
  96. 96. 3a Parte:Visão de Gestão
  97. 97. Qual é a estrutura da sua organização?
  98. 98. Governaça“É o conjunto de processos,costumes, políticas, leis,regulamentos einstituições que regulam amaneira como umaempresa é dirigida,administrada oucontrolada” (fonte:Wikipedia)
  99. 99. Governaça •Visão –É o sonho da organização, é o futuro do negocio e onde a organização espera estar nesse futuro.•Missão–É a razão de existência de uma organização.
  100. 100. Governaça•Transparência–Mais do que "a obrigação de informar", a administração deve cultivar o "desejo de informar"
  101. 101. Governaça•Equidade–Tratamento justo e igualitário de todos os grupos minoritários (stakeholdres).
  102. 102. Stakeholders & Shareholders•Equilíbrio:– Regulamentações– Forças corporativasQual a relação entreequilíbrio esegurança?
  103. 103. Balanceando pressões
  104. 104. Balanceando pressões
  105. 105. Balanceando pressões• Compliance: “conjunto de disciplinas para fazer cumprir as normas legais e regulamentares, as políticas e as diretrizes estabelecidas para o negócio e para as atividades da instituição ou empresa, bem como evitar, detectar e tratar qualquer desvio ou inconformidade que possa ocorrer” (Fonte: Wikipedia)
  106. 106. Balanceando pressões•Risco x Conformidade:–100% de conformidade garante 100% de segurança?
  107. 107. Desafios da Governança Quais&são&os& Gerenciar riscos x principais&investimentos adequados desafios&de&sua& Manter organização organização?segura Seguir padrões Atender às exigênciasregulatórias
  108. 108. Desafios da Governança Quais&são&os& Gerenciar riscos x principais&investimentos adequados desafios&de&sua& Manter organização organização?segura Seguir padrões Atender às exigênciasregulatórias
  109. 109. Sucesso na GSI Comunicação: direção, gerênciase operação Qual&a& Planejamento alinhado à realidade&de&estratégia sua& Políticas aderentes aos requisitos organização?legais Nível de maturidade coerentecom contexto de riscos Estruturar controles desegurança (frameworks) Monitorar a eficácia e eficiência
  110. 110. Melhores Práticas•Personalizar as práticas Qual&as& ao negócio prá6cas&de&sua& organização? –“O grande diferencial não está em utilizar apenas um guia, ma sim em combinar o que cada um possui de melhor”
  111. 111. Melhores PráticasCuidadocom: Orçamento Pessoas
  112. 112. Fundamentos de ITIL
  113. 113. Cobit: parte 1
  114. 114. Cobit: parte 2
  115. 115. Cobit: parte 3
  116. 116. Cobit: parte 4
  117. 117. Cobit
  118. 118. Cobit: Alinhamento
  119. 119. Cobit: metas e medidas
  120. 120. Cobit: framework
  121. 121. Cobit: framework
  122. 122. 3o Trabalho - parte I
  123. 123. 3o Trabalho - parte IElaborar um plano de implantação de política desegurança e o manual se segurança dainformação. (30 pontos). Entrega final em: 28.051. Reavaliar o Diagnóstico & lacunas,considerando as metas de negócio.2. Através da análise de risco, estabelecer asmetas de TI (relativas à segurança).3. Definir estratégia para cada lacuna,estabelecendo metas de processos e metas deatividades.4. Definir resumo do projeto, contendo: problema,solução, custo, beneficios, macro-cronograma
  124. 124. Pós-Graduação em Gestão da Segurança de T.I. (GSTI) ISO/IEC 17799 • “A ISO/IEC 17799 foi atualizada para numeração ISO/IEC 27002 em julho de 2007. É uma norma de Segurança da Informação revisada em 2005 pela ISO e pela IEC. A versão original foi publicada em 2000, que por sua vez era uma cópia fiel do padrão britânico (BS) 7799-1:1999.” (Fonte: Wikipedia)
  125. 125. Pós-Graduação em Gestão da Segurança de T.I. (GSTI) ISO/IEC 27000 • ISO 27000 - Vocabulário de Gestão da Segurança da Informação; • ISO 27001 - Esta norma foi publicada em Outubro de 2005 e substituiu a norma BS 7799-2 para certificação de sistema de gestão de segurança da informação; • ISO 27002 - Substitui ISO 17799:2005 (Código de Boas Práticas); • ISO 27003 - Aborda a gestão de risco; • ISO 27004 - Mecanismos de mediação e de relatório de um sistema de gestão de segurança da informação; • ISO 27005 - Esta norma será constituída por indicações para implementação, monitoramento e melhoria contínua do sistema de controles; • ISO 27006 - Esta norma será referente à recuperação e continuidade de negócio.
  126. 126. Pós-Graduação em Gestão da Segurança de T.I. (GSTI) ISO/IEC 27001
  127. 127. Pós-Graduação em Gestão da Segurança de T.I. (GSTI) ISO/IEC 17799/27002 • Framework –Políticas de segurança –Segurança organizacional –Segurança das pessoas –Segurança física e do ambiente –Gerenciamento das operações –Controle de acesso –Desenvolvimento e manutenção de sistemas –Gestão da continuidade do negócio –Conformidade
  128. 128. Pós-Graduação em Gestão da Segurança de T.I. (GSTI) Metodologia Octave • Origem: Software Engineering Institute (SEI) da Carnigie Mellon University • Antes de avaliar o risco: entender o negócio, cenário e contexto • Octave Method (grandes organizações) e Octave-S (pequenas)
  129. 129. Pós-Graduação em Gestão da Segurança de T.I. (GSTI) Use Octave-S, se: • Hierarquia simples • Menos de 300 funcionários • Metodologia estruturada com pouca customização • Há muita terceirização na TI • Infraestrutura simples
  130. 130. Pós-Graduação em Gestão da Segurança de T.I. (GSTI) Octave Method • 1a Fase: Obtendo informações e definindo os perfis de ameaças aos ativos –Processo 1: Conhecimento da alta gerência: Equipe coleta informações sobre recursos importantes, exigências de segurança, ameaças e vulnerabilidades –Processo 2: Conhecimento da gerência operacional: Equipe coleta informações sobre recursos importantes, exigências de segurança, ameaças e vulnerabilidades –
  131. 131. Pós-Graduação em Gestão da Segurança de T.I. (GSTI) Octave Method • 1a Fase: Obtendo informações e definindo os perfis de ameaças aos ativos –Processo 3: Conhecimento de cada departamento: Equipe coleta informações sobre recursos importantes, exigências de segurança, ameaças e vulnerabilidades –Processo 4: Criar perfis de ameaças para 3 a 5 ativos críticos
  132. 132. Pós-Graduação em Gestão da Segurança de T.I. (GSTI) Octave Method • 2a Fase: Identificar vulnerabilidades da infraestrutura –Processo 5: Identificar e definir padrão de avaliação dos componentes-chave dos recursos –Processo 6: Avaliar componentes-chave dos recursos
  133. 133. Pós-Graduação em Gestão da Segurança de T.I. (GSTI) Octave Method • 3a Fase: Desenvolver estratégias e planos de segurança –Processo 7: Definir critérios de avaliação de impactos (alto, médio, baixo) –Processo 8: Desenvolver estratégias de proteção para melhorar as práticas de segurança
  134. 134. Pós-Graduação em Gestão da Segurança de T.I. (GSTI) Octave-S • 1a Fase: Identifica ativos com base nos perfis de ameaça –Processo S1: Identificar ativos, definir critérios de avaliação dos impactos e situação atual das práticas de segurança –Processo S2: Criar perfis de ameaças e definir exigências de segurança
  135. 135. Pós-Graduação em Gestão da Segurança de T.I. (GSTI) Octave-S • 2a Fase: Identificar vulnerabilidades da infraestrutura –Processo S3: Analisar o fluxo de acesso aos sisteas que suportam os ativos e determinar o quanto os processos tecnológicos os protegem
  136. 136. Pós-Graduação em Gestão da Segurança de T.I. (GSTI) Octave-S • 3a Fase: Desenvolver estratégias e planos de segurança –Processo S4: Identificar e analisar os riscos, impactos e probabilidades de cada ativo crítico –Processo S5: Desenvolver estratégias de proteção para melhorar as práticas de segurança
  137. 137. Pós-Graduação em Gestão da Segurança de T.I. (GSTI) Octave-S • 3a Fase: Desenvolver estratégias e planos de segurança –Processo S4: Identificar e analisar os riscos, impactos e probabilidades de cada ativo crítico –Processo S5: Desenvolver estratégias de proteção para melhorar as práticas de segurança
  138. 138. Octave: AtividadesPós-Graduação em Gestão da Segurança de T.I. (GSTI) para Gestão de Riscos • Identificação dos riscos • Análise e classificação quanto à criticidade • Criação de plano estratégico para proteção • Criação de plano para tratamento de riscos • Planejamento da implantação • Implantação • Monitoramento da execução dos planos • Controle das variações
  139. 139. Visão ampla Where Does COBIT Fit?Pós-Graduação em Gestão da Segurança de T.I. (GSTI) CONFORMIDADE Direcionadores DESEMPENHO: Basel II, Sarbanes- Metas de Negócio Oxley Act, etc. Governança Corporativa BSC COSO Governança de TI COBIT Melhores práticas ISO ISO ISO 9001:2000 17799 20000 Processos e Procedimentos Princípios de ITIL procedimentos de QA Segurança
  140. 140. Pós-Graduação em Gestão da Segurança de T.I. (GSTI) Então? • ITIL O&que&devo& • Cobit adotar&em& • ISO minha& empresa? • Octave • BSC
  141. 141. Pós-Graduação em Gestão da Segurança de T.I. (GSTI) Paradigmas • “A equipe de TI deve gerenciar e conduzir suas ações para influenciar as partes interessadas e garantir o sucesso do projeto, sempre focada no negócio”
  142. 142. Pós-Graduação em Gestão da Segurança de T.I. (GSTI) Partes interessadas Quais&são&os& principais& stakeholders& de&sua& organização?
  143. 143. Pós-Graduação em Gestão da Segurança de T.I. (GSTI) Governando Riscos • Desafio: conhecer os Por que adotar o riscos gerenciamento de riscos de segurança • Riscos determinam os da informação em processos de segurança sua organização? da metodologia/framework
  144. 144. Pós-Graduação em Gestão da Segurança de T.I. (GSTI) Tipos de Riscos • Estratégico e empresarial (negócios) • Humano Quais&são&os& • Tecnológico principais& • Imagem riscos&de&sua& • Legal organização?
  145. 145. Pós-Graduação em Gestão da Segurança de T.I. (GSTI) Visão executiva
  146. 146. Pós-Graduação em Gestão da Segurança de T.I. (GSTI) Visão executiva Na&sua& • Comunicação empresa,&TI&é& • Foco no negócio custo&ou& • Alinhamento estratégico diferencial? • Custo x diferencial competitivo • Recursos de TI como portfólio de investimentos
  147. 147. Contexto daPós-Graduação em Gestão da Segurança de T.I. (GSTI) organização Você&fala&& • Organograma: formal x real “javanês”& • Sensibilização e conscientização com&os& • Linguagem execu6vos? • Benchmark
  148. 148. Governando ProcessosPós-Graduação em Gestão da Segurança de T.I. (GSTI) • Conceito de processo: –sequências semi-repetitivas de eventos que, geralmente, estão distribuídas de forma ampla pelo tempo e espaço
  149. 149. Pós-Graduação em Gestão da Segurança de T.I. (GSTI) Governando Processos
  150. 150. Governando ProcessosPós-Graduação em Gestão da Segurança de T.I. (GSTI) • Mapeando processos: –Enumerar atividades –Ordernar em forma sequencial –Identificar entradas e saídas • recursos • infraestrutura • insumos • matéria-prima • fornecedores –Estabelecer características de produtos/serviços
  151. 151. Governando ProcessosPós-Graduação em Gestão da Segurança de T.I. (GSTI) • Mapeando processos: –Definir documentação para operação e controle –Estabelecer indicadores de eficácia –Definir plano de controle
  152. 152. Governando ProcessosPós-Graduação em Gestão da Segurança de T.I. (GSTI) • Nível de maturidade: –Obter conhecimento sobre os procedimentos –Otimizar processos (melhores práticas) –Comparar (benchmark) –Adotar políticas –Utilizar a TI como facilitador –Definir processos de riscos –Integrar riscos –Monitorar falhas e melhorias –Realinhar processos
  153. 153. Pós-Graduação em Gestão da Segurança de T.I. (GSTI) • Nível 0: inexistente Cobit: níveis de maturidade
  154. 154. Cobit: níveis de maturidadePós-Graduação em Gestão da Segurança de T.I. (GSTI) • Nível 1: Inicial –Consciência mínima da necessidade de Governança –Estruturas desorganizadas, sem padrões –Suporte e TI não integrados –Ferramentas e serviços não integrados –Serviços reativos a incidentes
  155. 155. Cobit: níveis de maturidadePós-Graduação em Gestão da Segurança de T.I. (GSTI) • Nível 2: Repetitivo –Consciência relativa da necessidade de Governança –Atividades de governança e medidores em desenvolvimento –Estruturas pouco organizadas, sem padrões –Serviços realizados sem metodologia –Repetição de incidentes –Sem controle de mudanças
  156. 156. Cobit: níveis de maturidadePós-Graduação em Gestão da Segurança de T.I. (GSTI) • Nível 3: Definido –Alta consciência sobre Governança –Processos padronizados, implementados e documentodos –Controle de mudanças –Métricas e indicadores consistentes –Inexistência de SLA
  157. 157. Cobit: níveis de maturidadePós-Graduação em Gestão da Segurança de T.I. (GSTI) • Nível 4: Gerenciado –Consciência da importância de Governança –SLA’s e catálogos de serviços –Inexistência de gestão financeira –TI ainda não é vista como benefício para o negócio –Início do processo de melhoria contínua
  158. 158. Cobit: níveis de maturidadePós-Graduação em Gestão da Segurança de T.I. (GSTI) • Nível 5: Otimizado –Consciência total –Gestão financeira de TI –Melhores práticas adotadas e gerenciadas –Melhoria contínua de processos –Otimização contínua de TI
  159. 159. Linha do tempoPós-Graduação em Gestão da Segurança de T.I. (GSTI) Maturidade) Felicidade) Fase)Rea?vo,) Fase)da)) Fase)da)) Fase)“Não)sei)) Implementação) Consolidação) Excelência) de)nada”) Fragmentada) Operacional) Melhoria)con?nua)) Criar)Inventários)) do)processo) Para)inicia?vas)de) Governança) Inicia)um)abordagem) Unificado)de)) Governança) Ad3Hoc,)“Só)faço)) Quando)preciso”)) 3)Rea?vo) Acelerar)projetos) Para)reagir)as) solicitações) Tempo) 2)a)5)anos)
  160. 160. Por que evoluirPós-Graduação em Gestão da Segurança de T.I. (GSTI) processos? • Evita desperdícios de esforços e recursos • Visão de processos e responsabilidades • Investimentos claros e alinhados ao negócio • Planejamento de longo prazo
  161. 161. Métricas para GSIPós-Graduação em Gestão da Segurança de T.I. (GSTI) • Processos de TI –Modelo de maturidade –Fatores críticos de sucesso –Indicadores de metas –Indicadores de desempenho
  162. 162. Métricas para GSIPós-Graduação em Gestão da Segurança de T.I. (GSTI) • Fatores críticos de sucesso (CFS) –importância estratégica –expressos em termos de processos –mensuráveis
  163. 163. Métricas para GSIPós-Graduação em Gestão da Segurança de T.I. (GSTI) • Indicadores de metas (KGI) –verificam se os processos alcançaram as metas –“O que atingir?” –indicadores imediatos de sucesso –mensuráveis
  164. 164. Métricas para GSIPós-Graduação em Gestão da Segurança de T.I. (GSTI) • Indicadores de desempenho (KPI) –orientados a processos –definem o desempenho dos processos –mensuráveis
  165. 165. Integrando MedidoresPós-Graduação em Gestão da Segurança de T.I. (GSTI) • Security Scorecard –CFS definidos para um processo –São monitorados por KPI’s –Devem atingir os KGI’s
  166. 166. Integrando MedidoresPós-Graduação em Gestão da Segurança de T.I. (GSTI) • Implantando –1a etapa: Definir indicadores –2a etapa: Sensibilizar pessoas e planejar mensuração –3a etapa: Treinar pessoas, coletar e validar dados –4a etapa: Corrigir e previnir
  167. 167. Governança de SIPós-Graduação em Gestão da Segurança de T.I. (GSTI) • Visão e missão estratégicas: –Governança Corporativa: • Governança de TI • Governança de SI
  168. 168. Pós-Graduação em Gestão da Segurança de T.I. (GSTI) políticas de SI 4a parte: Implantando
  169. 169. Políticas de SIPós-Graduação em Gestão da Segurança de T.I. (GSTI) • Informações são ativos • Envolvimento da alta gestão • Responsabilidade formal dos colaboradores • Estabelecimento de padrões
  170. 170. Políticas de SI:Pós-Graduação em Gestão da Segurança de T.I. (GSTI) Características • Simples • Compreensíveis • Homologadas e assinadas pela alta gestão • Estruturada para implantação em fases • Alinhadas com o negócio • Orientadas aos riscos • Flexíveis • Protetoras de ativos (Pareto) • Positivas (não apenas proibitivas)
  171. 171. Pós-Graduação em Gestão da Segurança de T.I. (GSTI) metodologia Visão geral da
  172. 172. Etapas para oPós-Graduação em Gestão da Segurança de T.I. (GSTI) desenvolvimento • Fase I - Levantamento de informações –Obtenção dos padrões e normas atuais –Entendimento do uso da TI nos processos –Obtenção de informações sobre o negócio –Obtenção de informações sobre ambiente de TI
  173. 173. Etapas para oPós-Graduação em Gestão da Segurança de T.I. (GSTI) desenvolvimento • Fase II - Desenvolvimento do Conteúdo e Normas – Gerenciamento da politica de segurança –Atribuição de regras e responsabilidades –Critérios para classificação de informações –Procedimentos de SI
  174. 174. Fase II: DesenvolvimentoPós-Graduação em Gestão da Segurança de T.I. (GSTI) de políticas e normas: • Gerenciamento da politica de segurança –Definição da SI –Objetivos –CFS –Gerenciamento da versão –Referências a outras políticas
  175. 175. Fase II: DesenvolvimentoPós-Graduação em Gestão da Segurança de T.I. (GSTI) de políticas e normas: • Atribuição de regras e responsabilidades: –Comitê de SI –Proprietário das informações –Área de SI –Usuários de informações –RH –Auditoria
  176. 176. Fase II: DesenvolvimentoPós-Graduação em Gestão da Segurança de T.I. (GSTI) de políticas e normas: • Critérios de classificação das informações: –Introdução –Classificação –Níveis de classificação –Reclassificação –Armazenamento e descarte –Armazenamento e saídas
  177. 177. Fase II: DesenvolvimentoPós-Graduação em Gestão da Segurança de T.I. (GSTI) de políticas e normas: • Procedimentos de SI: –Classificação e tratamento da informação –Notificação e gerenciamento de incidentes –Processo disciplinar –Aquisição e uso de hardware e software –Proteção contra software malicioso –Segurança e tratamento de mídias –Uso de internet –Uso de e-mail –Uso de recursos de TI
  178. 178. Fase II: DesenvolvimentoPós-Graduação em Gestão da Segurança de T.I. (GSTI) de políticas e normas: • Procedimentos de SI: –Backup –Manutenção e teste de equipamentos –Coleta e registro de falhas –Gerenciamento e controle de rede –Monitoramento do uso e acesso aos sistemas –Uso de controles de criptografia –Controle de mudanças –Inventário de ativos de informação –Controle de acesso físico
  179. 179. Fase II: DesenvolvimentoPós-Graduação em Gestão da Segurança de T.I. (GSTI) de políticas e normas: • Procedimentos de SI: –Segurança física –Supervisão de visitantes e prestadores de serviços
  180. 180. Etapas para oPós-Graduação em Gestão da Segurança de T.I. (GSTI) desenvolvimento • Fase III - Elaboração de Procedimentos de SI –Pesquisa sobre melhores práticas –Desenvolvimento de procedimentos e padrões –Formalização dos procedimentos
  181. 181. Etapas para oPós-Graduação em Gestão da Segurança de T.I. (GSTI) desenvolvimento • Fase IV - Revisão, aprovação e implantação –Revisão e aprovação –Implantação • Preparação de material de divulgação • Divulgação das responsabilidades • Palestras executivas • Palestras e treinamentos operacionais
  182. 182. Pós-Graduação em Gestão da Segurança de T.I. (GSTI) Etapas para o desenvolvimento
  183. 183. 3o Trabalho - parte IIElaborar um plano de implantação de política desegurança e o manual se segurança da informação. (30pontos). Entrega final em: 15.121. Reavaliar o Diagnóstico & lacunas, considerando asmetas de negócio.2. Através da análise de risco, estabelecer as metas de TI(relativas à segurança).3. Definir estratégia para cada lacuna, estabelecendometas de processos e metas de atividades.4. Definir resumo do projeto, contendo: problema,solução, custo, beneficios, macro-cronograma5. Elaborar um plano de implantação de política desegurança e o manual se segurança da informação.

×