Your SlideShare is downloading. ×
0
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação

854

Published on

Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação

Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação

Published in: Education
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
854
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
44
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Políticas, práticas e procedimentos em Segurança da Informação prof. Roberto Dias Duarte Melhor prevenir, que remediar!prof. Roberto Dias DuarteEsta obra foi licenciada com uma Licença Creative Commons - Atribuição - Uso Não-Comercial - Partilha nos Mesmos Termos 3.0 Não Adaptada. Photographer: Reuterssábado, 14 de maio de 2011
  • 2. Com licença, sou o Roberto “Conheço apenas minha ignorância”prof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 3. Big Brother Fiscal IV Disponível em maio/2011prof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 4. Big Brother Fiscal IV Disponível em maio/2011prof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 5. 1a Parte: Sensibilizaçãosábado, 14 de maio de 2011
  • 6. Visão executivaprof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 7. Trabalhos • 07.05 - Diagnóstico de segurança da empresa: contexto empresarial, visão, missão, estratégias, indicadores, normas reguladoras e “lacunas” de segurança. (30 pontos) • 14.05 - Ante-projeto Prática de Segurança: diagnóstico, problema, solução, custo, beneficios, análise de riscos, macro- cronograma. (30 pontos) • 28.05 - Elaborar um plano de implantação de política de segurança e o manual se segurança da informação. (30 pontos)sábado, 14 de maio de 2011
  • 8. Trabalhos Todo o projeto deve ser alinhado à estratégia empresarial e/ou marcos regulatórios de uma empresa, apontando custos e benefícios • 1. Lembrem-se dos indicadores de desempenho da empresa: receita, rentabilidade, retenção de clientes, etc. • 2. Toda organização está inserida em um ecossistema onde há diversos marcos regulatórios: SOX, Basiléia, legislação tributária, trabalhista, ANEEL, ANAC, consumidor, SAC, etc. • 3. Derivem os indicadores de GSI a partir dos indicadores empresariais (ou marcos legais). • 4. Determinem o planejamento de implantação da política de segurança para um indicador ou marco legal - se fizerem para mais de um, não há problema, mas o esforço de trabalho é proporcional à quantidade de métricas. • 5. Derivem os processos de segurança e as atividades a partir das políticas. • Lembrem-se, por fim, que o alinhamento estratégico é fator crítico de sucesso para este trabalho. Ou seja, indicadores de GSI devem ajudar a empresa a melhorar algum indicador de desempenho ou manter a compatibilidade legal regulatória do setor.sábado, 14 de maio de 2011
  • 9. 1o Trabalho Diagnóstico de segurança da empresa: contexto empresarial, visão, missão, estratégias, indicadores, normas reguladoras e “lacunas” (Gap’s) de segurança. Prazo: 7.5.2011 às 11:00 Pode ser em grupo Escolha uma empresa para o estudo de caso realsábado, 14 de maio de 2011
  • 10. 1. Contexto empresarial 1.2.Visão•1.1. Missão É o sonho da organização, é o– É a razão de existência futuro do negocio e onde a de uma organização. organização espera estar nesse futuro. •1.3. Estratégia •“Forma de pensar no futuro, integrada no processo decisório, com base em um procedimento formalizado e articulador de resultados” (Mintzberg).sábado, 14 de maio de 2011
  • 11. 2. Públicos Consumidores Clientes Investidores Parceirossábado, 14 de maio de 2011
  • 12. 3. Indicadoressábado, 14 de maio de 2011
  • 13. 4. Normas reguladoras 1. Em quais ecossistemas a empresa está inserida? 2. Quais os agentes reguladores e normas? IFRS ANATEL SPED Sindicatos ANAC SOX NF-e Consumidor ANEEL Basiléia RFB Clientes CMV SEFAZ Franqueadores BACEN Parceiros Contratossábado, 14 de maio de 2011
  • 14. 5. Lacunas de segurança 1.Liste 7 lacunas de segurança da empresa 2. Relacione as lacunas com os indicadores ou normas 3. Estabeleça as 3 de maior relevância, explicando os motivossábado, 14 de maio de 2011
  • 15. 2a Parte: Conceitos Básicossábado, 14 de maio de 2011
  • 16. Situação das empresasprof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 17. Situação das empresasprof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 18. Quer tentar?prof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 19. Quer tentar?prof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 20. Fraude?prof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 21. O que é fraude? É um esquema ilícito ou de má fé criado para obter ganhos pessoais.prof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 22. Fatores primários 1 - Existência de golpistas motivados. • Ineficiência das leis; • incerteza da pena; • incerteza jurídica; • existência de oportunidades; • pouca fiscalização.prof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 23. Mas principalmente porque... o desrespeito às leis é considerado comportamento “normal”.prof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 24. Mas principalmente porque... o desrespeito às leis é considerado comportamento “normal”.prof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 25. Fatores primários 2 - Existência de vítimas vulneráveis • Pouca informação e divulgação preventivas; • ignorância e ingenuidade; • ganância; • o desrespeito às leis é considerado comportamento “normal”.prof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 26. Fatores primários 3 - Falta de controle ou fiscalização • percepção do problema como não prioritário; • despreparo das autoridades; • escassa coordenação de ações contra fraudadores; • falta de leis específicas e pouca clareza em algumas das existentes.prof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 27. Vítima ou golpista?prof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 28. Vítima ou golpista?prof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 29. Segurança da Informação?prof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 30. Ameaça?prof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 31. Ameaça? Causa potencial de um incidente, que caso se concretize pode resultar em danoprof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 32. Vulnerabilidade?prof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 33. Vulnerabilidade? Falha (ou conjunto) que pode ser explorada por ameaçasprof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 34. Incidente? Evento que comprometa a operação do negócio ou cause dano aos ativos da organizaçãoprof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 35. Incidente? Evento que comprometa a operação do negócio ou cause dano aos ativos da organizaçãoprof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 36. Impacto? Resultados de incidentesprof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 37. Análise de risco Impacto Transfere Mitiga Aceita Reduz Probabilidadesprof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 38. Análise de riscoprof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 39. Ativo digital?prof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 40. Ativo? Intangível? “Um ativo intangível é um ativo não monetário identificável sem substância física ou, então, o ágio pago por expectativa de rentabilidade futura (goodwill)” Fonte: http://www.cpc.org.brprof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 41. Assinatura Digitalprof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 42. Assinatura Digital É um método de autenticação de informação digital Não é Assinatura Digitalizada! Não é Assinatura Eletrônica!prof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 43. Como funciona?prof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 44. Como funciona? HASH é gerado a partir da chave pública O HASH é Autor assina descriptografado a com sua partir da chave chave privada pública Novo HASH é gerado HASH é armazenado na mensagem Novo HASH é comparado com o originalprof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 45. Documentos Digitais MP 2.200-2 de Agosto/2001prof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 46. Documentos Digitais MP 2.200-2 de Agosto/2001 “As declarações constantes dos documentos em forma eletrônica produzidos com a utilização de processo de certificação disponibilizado pela presumem-se ICP-Brasil verdadeiros em relação aos signatários” (Artigo 10o § 1o)prof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 47. Documentos Digitais MP 2.200-2 de Agosto/2001prof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 48. Documentos Digitais MP 2.200-2 de Agosto/2001 “O disposto nesta Medida Provisória não obsta a utilização de outro meio de comprovação da autoria e integridade de documentos em forma eletrônica, inclusive os que utilizem certificados não emitidos pela ICP-Brasil, desde que admitido pelas partes como válido ou aceito pela pessoa a quem for oposto o documento.” (Artigo 10o § 2o)prof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 49. Caso realprof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 50. Caso real Integridade Autenticidade Não repudio Disponibilidade Confidencialidade Auditabilidadeprof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 51. Caso real Integridade Autenticidade Não repudio Disponibilidade Confidencialidade Auditabilidadeprof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 52. Carimbo do tempoprof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 53. Carimbo do tempo Certifica a autenticidade temporal (data e hora) de arquivos eletrônicos Sincronizado a “Hora Legal Brasileira”prof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 54. Integridadeprof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 55. Integridade Qualquer alteração da mensagem faz com que a assinatura não corresponda mais ao documentoprof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 56. Autenticidadeprof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 57. Autenticidade O receptor pode confirmar se a assinatura foi feita pelo emissorprof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 58. Não repúdioprof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 59. Não repúdio O emissor não pode negar a autenticidade da mensagemprof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 60. Confidencialidadeprof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 61. Confidencialidade Passo 1: Alice envia sua chave pública para Bob Passo 2: Bob cifra a mensagem com a chave pública de Alice e envia para Alice, que recebe e decifra o texto utilizando sua chave privadaprof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 62. Disponibilidadeprof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 63. Disponibilidade A informação deve estar disponível apenas para seu uso legítimoprof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 64. Auditabilidadeprof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 65. Auditabilidade Deve haver informação relativa às ações de alteração ou consulta de dados Quem? Quando? O que fez?prof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 66. Por que preciso saber disso?prof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 67. Ecosistema Fiscal NF-e NFS-e EFD ICMS/IPI CT-e EFD/CIAP Tem nota? CF-e Brasil-id EFD PIS/COFINS CC-e Siniav Entregou? EFD/FOLHA Fisco NF-e SPED Contábil Vendeu? NFS-e EFD Contábil CF-e CC-e Recebeu? Cliente Produziu? Contador NF-e Estoque? Pagou? NFS-e CF-e CC-e Fornecedor Comprou?prof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 68. Vamos entender as principais vulnerabilidades das empresas no mundo do pós-SPED?prof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 69. O que é a Nota Eletrônica? “Podemos conceituar a Nota Fiscal Eletrônica como sendo um documento de existência apenas digital, emitido e armazenado eletronicamente, (...) Sua validade jurídica é garantida pela assinatura digital do remetente (garantia de autoria e de integridade) e pela recepção, pelo Fisco, do documento eletrônico, antes da ocorrência do fato gerador.”prof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 70. Documento Fiscal Digitalprof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 71. Documento Fiscal Digitalprof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 72. Livro Contábil Digitalprof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 73. Livro Contábil Digitalprof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 74. Livro Fiscal Digital (ICMS/IPI)prof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 75. Livro Fiscal Digital (ICMS/IPI)prof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 76. Mas, nada muda na minha empresa, certo?prof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 77. Vulnerabilidade #1prof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 78. Vulnerabilidade #1 Te n h o q u e ver ificar o arquivo XML Cláusula décima § 1º O destinatário deverá v e r i fi c ar a vali dade e autenticidade da NF-e e a exis tênci a de Autorização de Uso da NF-e. Ajuste SINIEF 07/2005prof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 79. Vulnerabilidade #2prof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 80. Vulnerabilidade #2 Nota autorizada não meprof. Roberto Dias Duarte livra do "passivo fiscal"sábado, 14 de maio de 2011
  • 81. Vulnerabilidade #2prof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 82. Vulnerabilidade #2 Cláusula quarta Ainda que formalmente regular, não será considerado documento fiscal idôneo a NF-e que tiver si do emiti da o u utilizada co m do lo, f rau de, s i m u la ç ã o o u e r r o, q u e possibilite, mesmo que a terceiro, o não-pagamento do imposto ou q u al q u er o ut r a va ntag e m indevida. Ajuste SINIEF 07/2005prof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 83. Vulnerabilidade #3prof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 84. Vulnerabilidade #3 Só posso cancelar NF-e se a mercadoria não circulou....prof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 85. Vulnerabilidade #3prof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 86. Vulnerabilidade #3 ATO COTEPE/ICMS Nº 33 /2008 Efeitos a partir de 01.01.12: Art. 1º Poderá o emitente solicitar o cancelamento da NF-e, em prazo não superior a 24 horas, contado do momento em que foi concedida a respectiva Autorização de Uso da NF-e, desde que não tenha ocorrido a circulação da mercadoria ou a prestação de serviço e observadas às demais normas constantes do AJUSTE SINIEF 07/05, de 5 de outubro de 2005. prof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 87. Vulnerabilidade #4prof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 88. Vulnerabilidade #4 Tenho que enviar o arquivo XML ao destinatário e aoprof. Roberto Dias Duarte transportadorsábado, 14 de maio de 2011
  • 89. Vulnerabilidade #4prof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 90. Vulnerabilidade #4 Cláusula Sétima § 7º O emitente da NF-e deverá, obr ig ato r i am e nte, e ncam inhar o u disponibilizar download do arquivo da NF-e e seu respectivo Protocolo de Autorização de Uso ao destinatário e a o t r a n s p o r t a d o r c o n t r at a d o, imediatamente após o recebimento da autorização de uso da NF-e. Ajuste SINIEF 07/2005prof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 91. Vulnerabilidade #5prof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 92. Vulnerabilidade #5 Tenho que guardar o arquivo XMLprof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 93. Vulnerabilidade #5prof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 94. Vulnerabilidade #5 Cláusula décima O emitente e o destinatário deverão manter a NF-e em arquivo d ig i tal, sob sua guarda e re sp o nsabi l i dade, p elo prazo estabelecido na legislação tributária, mesmo que fora da empresa, devendo ser disponibilizado para a Administração Tributária quando solicitado. (...) § 2º Caso o destinatário não seja contribuinte credenciado para a emissão de NF-e, alternativamente ao disposto no “caput”, o destinatário deverá manter em arquivo o DANFE relativo a NF-e da operação, devendo ser apresentado à administração tributária, quando solicitado. § 3º O emitente de NF-e deverá guardar pelo prazo estabelecido na legislação tributária o DANFE que acompanhou o retorno de mercadoria não recebida pelo destinatário e que contenha o motivo da recusa em seu verso. Ajuste SINIEF 07/2005prof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 95. Vulnerabilidade #6prof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 96. Vulnerabilidade #6 Troca de identidadeprof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 97. Vulnerabilidade #6prof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 98. Vulnerabilidade #6 “ E m p ré s t i m o ” d e s e n h a e ar mazenam ento de certificados digitais eCPF, eCNPJ, ePJ A1, A3, HSMprof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 99. O que causa vulnerabilidade?prof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 100. Causas das vulnerabilidadesprof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 101. Causas das vulnerabilidades Tecnologia precária Falta de conhecimento Ganância: preços abaixo do mercado Desrespeito as leis encarado como comportamento comumprof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 102. Consequênciasprof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 103. Consequênciasprof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 104. Consequências Mercadorias sem documento idôneo Mercadorias de origem ilícita Problemas fiscais: documentos inidôneos Sigilo fiscal e comercial violados Assinatura de contratos e outros documentosprof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 105. Tenho como evitar?prof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 106. Solução: Paradigma do século XXI Conhecimento Comportamento Tecnologiaprof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 107. Ação preventivas básicasprof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 108. O dono da bola Quem é o responsável pela gestão da informação? Definições: políticas de segurança políticas de backup políticas de contingênciaprof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 109. Termo de compromisso Formaliza responsabilidades: Sigilo de informações; Cumprimento de normas de segurança; Conduta ética.prof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 110. Autenticação individual Identifica as pessoas: Senha; Cartão ou token; Biometria; Certificado Digital.prof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 111. “Empréstimo” de senhaprof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 112. “Empréstimo” de senhaprof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 113. Cópias de segurança Qual a política definida? Qual a cópia mais antiga? Os arquivos das estações têm cópias? Os servidores têm cópias? Onde são armazenadas? Em que tipo de mídia?prof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 114. Software homologado Itens de verificação: manutenção treinamento suporte condições comerciais capacidade do fabricante tendênciasprof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 115. Uso de antivírus Prevenção além do software: Anexos Executável? No way! Download? Só de sites confiáveis Backup, sempre Educaçãoprof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 116. O Carona Prevenção contra “sessões abertas” em sua ausência: Conduta: Suspensão ou encerramento da sessão; Mecanismo: Suspensão ou encerramento da sessão.prof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 117. Correio eletrônico Pishing Muitos golpes: Notícias falsas Propostas “irresistíveis” Seu CPF foi... Atualize sua senha... blá, blá, blá...prof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 118. Informações pessoais Cuidado com informação de: Funcionários Clientes Parceiros Quem pode acessar? Parceiros? Uso comercial?prof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 119. Ambiente Físico Ahhh, reuniões rápidas: no elevador na festa no avião Quadros, flip chart, relatórios, etc Lixão, de novo? Quem entra, quem sai? prof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 120. Engenharia social Procedimentos para obtenção de informações através de contatos falsos “Conversa de malandro” Lixão Habilidades do farsante: fala com conhecimento adquire confiança presta “favor”prof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 121. Uso da Internet & Redes Sociais Qual a sua opinião?prof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 122. Uso da Internet & Redes Sociaisprof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 123. Uso da Internet & Redes Sociaisprof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 124. Uso da Internet & Redes Sociaisprof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 125. Ações preventivas Conhecimento Física Análise Software Planejamento Humana Investimento Educação.prof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 126. Ações detectivas Quanto antes, melhor Conhecimento Monitoramento de Análise eventos Planejamento O que monitorar? Investimentoprof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 127. Ações corretivas Minimizar o problema Quanto mais rápido, melhorprof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 128. Plano de continuidade Contexto empresarial Mapeamento de riscos Conhecimento Análise Planejamento Investimento Educação Simulaçãoprof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 129. Direitos do usuário Acesso individual Treinamento sobre segurança Informações para trabalhar Comunicar ocorrências de segurança Saber o que é rastreado Garantia de privacidade Conhecer as políticas e normas Ser mais importante que a tecnologia Ser avisado sobre tentativas de invasãoprof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 130. Mensagem sobre o segurançaprof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 131. Mensagem sobre o segurançaprof. Roberto Dias Duartesábado, 14 de maio de 2011
  • 132. 2o Trabalho Ante-projeto Prática de Segurança: diagnóstico, análise de riscos, problema, solução, custo, beneficios, macro-cronograma. Prazo: 14.5.2011 às 07:40 Pode ser em grupo Escolha uma empresa para o estudo de caso realsábado, 14 de maio de 2011
  • 133. 2o Trabalho 1. Ajustar o diagnóstico reavaliando as lacunas 2. Análise de risco considerando as 7 lacunas relacionadas 3. Definir estratégia para cada lacuna: mitigar, transferir, reduzir,aceitar 4. Identificar problema, solução, custo, beneficios, macro-cronograma para 3 lacunas.sábado, 14 de maio de 2011
  • 134. Apresentação do 2o trabalho Data: 14/5/2011 Prazo para ajustes: de 07:40 às 08:20 Apresentações: de 08:20 às 09:00sábado, 14 de maio de 2011
  • 135. 3a Parte: Visão de Gestãosábado, 14 de maio de 2011
  • 136. sábado, 14 de maio de 2011
  • 137. Qual é a estrutura da sua organização?sábado, 14 de maio de 2011
  • 138. Governaça “É o conjunto de processos, costumes, políticas, leis, regulamentos e instituições que regulam a maneira como uma empresa é dirigida, administrada ou controlada” (fonte: Wikipedia)sábado, 14 de maio de 2011
  • 139. Governaça •Visão –É o sonho da organização, é o futuro do negocio e onde a organização espera estar nesse futuro. •Missão –É a razão de existência de uma organização.sábado, 14 de maio de 2011
  • 140. Governaça •Transparência –Mais do que "a obrigação de informar", a administração deve cultivar o "desejo de informar"sábado, 14 de maio de 2011
  • 141. Governaça•Equidade–Tratamento justo e igualitário de todos os grupos minoritários (stakeholdres).sábado, 14 de maio de 2011
  • 142. Stakeholders & Shareholders •Equilíbrio: – Regulamentações – Forças corporativas Qual a relação entre equilíbrio e segurança?sábado, 14 de maio de 2011
  • 143. Balanceando pressõessábado, 14 de maio de 2011
  • 144. Balanceando pressõessábado, 14 de maio de 2011
  • 145. Balanceando pressões • Compliance: “conjunto de disciplinas para fazer cumprir as normas legais e regulamentares, as políticas e as diretrizes estabelecidas para o negócio e para as atividades da instituição ou empresa, bem como evitar, detectar e tratar qualquer desvio ou inconformidade que possa ocorrer” (Fonte: Wikipedia)sábado, 14 de maio de 2011
  • 146. Balanceando pressões •Risco x Conformidade: –100% de conformidade garante 100% de segurança?sábado, 14 de maio de 2011
  • 147. Desafios da Governança Quais  são  os   Gerenciar riscos x principais   investimentos adequados desafios  de  sua   Manter organização organização? segura Seguir padrões Atender às exigências regulatóriassábado, 14 de maio de 2011
  • 148. Desafios da Governança Quais  são  os   Gerenciar riscos x principais   investimentos adequados desafios  de  sua   Manter organização organização? segura Seguir padrões Atender às exigências regulatóriassábado, 14 de maio de 2011
  • 149. Sucesso na GSI Comunicação: direção, gerências e operação Qual  a   Planejamento alinhado à realidade  de   estratégia sua   Políticas aderentes aos requisitos organização? legais Nível de maturidade coerente com contexto de riscos Estruturar controles de segurança (frameworks) Monitorar a eficácia e eficiênciasábado, 14 de maio de 2011
  • 150. Melhores Práticas •Personalizar as práticas Qual  as   ao negócio prá6cas  de  sua   organização? –“O grande diferencial não está em utilizar apenas um guia, ma sim em combinar o que cada um possui de melhor”sábado, 14 de maio de 2011
  • 151. Melhores Práticas Cuidado com: Orçamento Pessoassábado, 14 de maio de 2011
  • 152. Fundamentos de ITILsábado, 14 de maio de 2011
  • 153. Fundamentos de ITILsábado, 14 de maio de 2011
  • 154. Cobit: parte 1sábado, 14 de maio de 2011
  • 155. Cobit: parte 1sábado, 14 de maio de 2011
  • 156. Cobit: parte 2sábado, 14 de maio de 2011
  • 157. Cobit: parte 2sábado, 14 de maio de 2011
  • 158. Cobit: parte 1sábado, 14 de maio de 2011
  • 159. Cobit: parte 1sábado, 14 de maio de 2011
  • 160. Cobit: parte 1sábado, 14 de maio de 2011
  • 161. Cobit: parte 1sábado, 14 de maio de 2011
  • 162. Cobitsábado, 14 de maio de 2011
  • 163. Cobit: Alinhamentosábado, 14 de maio de 2011
  • 164. Cobit: metas e medidassábado, 14 de maio de 2011
  • 165. Cobit: frameworksábado, 14 de maio de 2011
  • 166. Cobit: frameworksábado, 14 de maio de 2011
  • 167. 3o Trabalho - parte Isábado, 14 de maio de 2011
  • 168. 3o Trabalho - parte I Elaborar um plano de implantação de política de segurança e o manual se segurança da informação. (30 pontos). Entrega final em: 28.05 1. Reavaliar o Diagnóstico & lacunas, considerando as metas de negócio. 2. Através da análise de risco, estabelecer as metas de TI (relativas à segurança). 3. Definir estratégia para cada lacuna, estabelecendo metas de processos e metas de atividades. 4. Definir resumo do projeto, contendo: problema, solução, custo, beneficios, macro-cronogramasábado, 14 de maio de 2011
  • 169. ISO/IEC 17799Pós-Graduação em Gestão da Segurança de T.I. (GSTI) • “A ISO/IEC 17799 foi atualizada para numeração ISO/IEC 27002 em julho de 2007. É uma norma de Segurança da Informação revisada em 2005 pela ISO e pela IEC. A versão original foi publicada em 2000, que por sua vez era uma cópia fiel do padrão britânico (BS) 7799-1:1999.” (Fonte: Wikipedia) sábado, 14 de maio de 2011
  • 170. ISO/IEC 27000Pós-Graduação em Gestão da Segurança de T.I. (GSTI) • ISO 27000 - Vocabulário de Gestão da Segurança da Informação; • ISO 27001 - Esta norma foi publicada em Outubro de 2005 e substituiu a norma BS 7799-2 para certificação de sistema de gestão de segurança da informação; • ISO 27002 - Substitui ISO 17799:2005 (Código de Boas Práticas); • ISO 27003 - Aborda a gestão de risco; • ISO 27004 - Mecanismos de mediação e de relatório de um sistema de gestão de segurança da informação; • ISO 27005 - Esta norma será constituída por indicações para implementação, monitoramento e melhoria contínua do sistema de controles; • ISO 27006 - Esta norma será referente à recuperação e continuidade de negócio. sábado, 14 de maio de 2011
  • 171. Pós-Graduação em Gestão da Segurança de T.I. (GSTI)sábado, 14 de maio de 2011 ISO/IEC 27001
  • 172. ISO/IEC 17799/27002Pós-Graduação em Gestão da Segurança de T.I. (GSTI) • Framework –Políticas de segurança –Segurança organizacional –Segurança das pessoas –Segurança física e do ambiente –Gerenciamento das operações –Controle de acesso –Desenvolvimento e manutenção de sistemas –Gestão da continuidade do negócio –Conformidade sábado, 14 de maio de 2011
  • 173. Metodologia OctavePós-Graduação em Gestão da Segurança de T.I. (GSTI) • Origem: Software Engineering Institute (SEI) da Carnigie Mellon University • Antes de avaliar o risco: entender o negócio, cenário e contexto • Octave Method (grandes organizações) e Octave-S (pequenas) sábado, 14 de maio de 2011
  • 174. Use Octave-S, se:Pós-Graduação em Gestão da Segurança de T.I. (GSTI) • Hierarquia simples • Menos de 300 funcionários • Metodologia estruturada com pouca customização • Há muita terceirização na TI • Infraestrutura simples sábado, 14 de maio de 2011
  • 175. Octave MethodPós-Graduação em Gestão da Segurança de T.I. (GSTI) • 1a Fase: Obtendo informações e definindo os perfis de ameaças aos ativos –Processo 1: Conhecimento da alta gerência: Equipe coleta informações sobre recursos importantes, exigências de segurança, ameaças e vulnerabilidades –Processo 2: Conhecimento da gerência operacional: Equipe coleta informações sobre recursos importantes, exigências de segurança, ameaças e vulnerabilidades – sábado, 14 de maio de 2011
  • 176. Octave MethodPós-Graduação em Gestão da Segurança de T.I. (GSTI) • 1a Fase: Obtendo informações e definindo os perfis de ameaças aos ativos –Processo 3: Conhecimento de cada departamento: Equipe coleta informações sobre recursos importantes, exigências de segurança, ameaças e vulnerabilidades –Processo 4: Criar perfis de ameaças para 3 a 5 ativos críticos sábado, 14 de maio de 2011
  • 177. Octave MethodPós-Graduação em Gestão da Segurança de T.I. (GSTI) • 2a Fase: Identificar vulnerabilidades da infraestrutura –Processo 5: Identificar e definir padrão de avaliação dos componentes-chave dos recursos –Processo 6: Avaliar componentes-chave dos recursos sábado, 14 de maio de 2011
  • 178. Octave MethodPós-Graduação em Gestão da Segurança de T.I. (GSTI) • 3a Fase: Desenvolver estratégias e planos de segurança –Processo 7: Definir critérios de avaliação de impactos (alto, médio, baixo) –Processo 8: Desenvolver estratégias de proteção para melhorar as práticas de segurança sábado, 14 de maio de 2011
  • 179. Octave-SPós-Graduação em Gestão da Segurança de T.I. (GSTI) • 1a Fase: Identifica ativos com base nos perfis de ameaça –Processo S1: Identificar ativos, definir critérios de avaliação dos impactos e situação atual das práticas de segurança –Processo S2: Criar perfis de ameaças e definir exigências de segurança sábado, 14 de maio de 2011
  • 180. Octave-SPós-Graduação em Gestão da Segurança de T.I. (GSTI) • 2a Fase: Identificar vulnerabilidades da infraestrutura –Processo S3: Analisar o fluxo de acesso aos sisteas que suportam os ativos e determinar o quanto os processos tecnológicos os protegem sábado, 14 de maio de 2011
  • 181. Octave-SPós-Graduação em Gestão da Segurança de T.I. (GSTI) • 3a Fase: Desenvolver estratégias e planos de segurança –Processo S4: Identificar e analisar os riscos, impactos e probabilidades de cada ativo crítico –Processo S5: Desenvolver estratégias de proteção para melhorar as práticas de segurança sábado, 14 de maio de 2011
  • 182. Octave-SPós-Graduação em Gestão da Segurança de T.I. (GSTI) • 3a Fase: Desenvolver estratégias e planos de segurança –Processo S4: Identificar e analisar os riscos, impactos e probabilidades de cada ativo crítico –Processo S5: Desenvolver estratégias de proteção para melhorar as práticas de segurança sábado, 14 de maio de 2011
  • 183. Octave: AtividadesPós-Graduação em Gestão da Segurança de T.I. (GSTI) para Gestão de Riscos • Identificação dos riscos • Análise e classificação quanto à criticidade • Criação de plano estratégico para proteção • Criação de plano para tratamento de riscos • Planejamento da implantação • Implantação • Monitoramento da execução dos planos • Controle das variações sábado, 14 de maio de 2011
  • 184. Visão ampla Where Does COBIT Fit?Pós-Graduação em Gestão da Segurança de T.I. (GSTI) CONFORMIDADE Direcionadores DESEMPENHO: Basel II, Sarbanes- Metas de Negócio Oxley Act, etc. Governança Corporativa BSC COSO Governança de TI COBIT Melhores práticas ISO ISO ISO 9001:2000 17799 20000 Processos e Procedimentos Princípios de ITIL procedimentos de QA Segurança sábado, 14 de maio de 2011
  • 185. Então?Pós-Graduação em Gestão da Segurança de T.I. (GSTI) • ITIL O  que  devo   • Cobit adotar  em   • ISO minha   empresa? • Octave • BSC sábado, 14 de maio de 2011
  • 186. ParadigmasPós-Graduação em Gestão da Segurança de T.I. (GSTI) • “A equipe de TI deve gerenciar e conduzir suas ações para influenciar as partes interessadas e garantir o sucesso do projeto, sempre focada no negócio” sábado, 14 de maio de 2011
  • 187. Partes interessadasPós-Graduação em Gestão da Segurança de T.I. (GSTI) Quais  são  os   principais   stakeholders   de  sua   organização? sábado, 14 de maio de 2011
  • 188. Governando RiscosPós-Graduação em Gestão da Segurança de T.I. (GSTI) • Desafio: conhecer os Por que adotar o riscos gerenciamento de riscos de segurança • Riscos determinam os da informação em processos de segurança sua organização? da metodologia/framework sábado, 14 de maio de 2011
  • 189. Tipos de RiscosPós-Graduação em Gestão da Segurança de T.I. (GSTI) • Estratégico e empresarial (negócios) • Humano Quais  são  os   • Tecnológico principais   • Imagem riscos  de  sua   • Legal organização? sábado, 14 de maio de 2011
  • 190. Pós-Graduação em Gestão da Segurança de T.I. (GSTI)sábado, 14 de maio de 2011 Visão executiva
  • 191. Visão executivaPós-Graduação em Gestão da Segurança de T.I. (GSTI) Na  sua   • Comunicação empresa,  TI  é   • Foco no negócio custo  ou   • Alinhamento estratégico diferencial? • Custo x diferencial competitivo • Recursos de TI como portfólio de investimentos sábado, 14 de maio de 2011
  • 192. Contexto daPós-Graduação em Gestão da Segurança de T.I. (GSTI) organização Você  fala     • Organograma: formal x real “javanês”   • Sensibilização e conscientização com  os   • Linguagem execu6vos? • Benchmark sábado, 14 de maio de 2011
  • 193. Governando ProcessosPós-Graduação em Gestão da Segurança de T.I. (GSTI) • Conceito de processo: –sequências semi-repetitivas de eventos que, geralmente, estão distribuídas de forma ampla pelo tempo e espaço sábado, 14 de maio de 2011
  • 194. Pós-Graduação em Gestão da Segurança de T.I. (GSTI)sábado, 14 de maio de 2011 Governando Processos
  • 195. Governando ProcessosPós-Graduação em Gestão da Segurança de T.I. (GSTI) • Mapeando processos: –Enumerar atividades –Ordernar em forma sequencial –Identificar entradas e saídas • recursos • infraestrutura • insumos • matéria-prima • fornecedores –Estabelecer características de produtos/serviços sábado, 14 de maio de 2011
  • 196. Governando ProcessosPós-Graduação em Gestão da Segurança de T.I. (GSTI) • Mapeando processos: –Definir documentação para operação e controle –Estabelecer indicadores de eficácia –Definir plano de controle sábado, 14 de maio de 2011
  • 197. Governando ProcessosPós-Graduação em Gestão da Segurança de T.I. (GSTI) • Nível de maturidade: –Obter conhecimento sobre os procedimentos –Otimizar processos (melhores práticas) –Comparar (benchmark) –Adotar políticas –Utilizar a TI como facilitador –Definir processos de riscos –Integrar riscos –Monitorar falhas e melhorias –Realinhar processos sábado, 14 de maio de 2011
  • 198. Cobit: níveis de maturidadePós-Graduação em Gestão da Segurança de T.I. (GSTI) • Nível 0: inexistente sábado, 14 de maio de 2011
  • 199. Cobit: níveis de maturidadePós-Graduação em Gestão da Segurança de T.I. (GSTI) • Nível 1: Inicial –Consciência mínima da necessidade de Governança –Estruturas desorganizadas, sem padrões –Suporte e TI não integrados –Ferramentas e serviços não integrados –Serviços reativos a incidentes sábado, 14 de maio de 2011
  • 200. Cobit: níveis de maturidadePós-Graduação em Gestão da Segurança de T.I. (GSTI) • Nível 2: Repetitivo –Consciência relativa da necessidade de Governança –Atividades de governança e medidores em desenvolvimento –Estruturas pouco organizadas, sem padrões –Serviços realizados sem metodologia –Repetição de incidentes –Sem controle de mudanças sábado, 14 de maio de 2011
  • 201. Cobit: níveis de maturidadePós-Graduação em Gestão da Segurança de T.I. (GSTI) • Nível 3: Definido –Alta consciência sobre Governança –Processos padronizados, implementados e documentodos –Controle de mudanças –Métricas e indicadores consistentes –Inexistência de SLA sábado, 14 de maio de 2011
  • 202. Cobit: níveis de maturidadePós-Graduação em Gestão da Segurança de T.I. (GSTI) • Nível 4: Gerenciado –Consciência da importância de Governança –SLA’s e catálogos de serviços –Inexistência de gestão financeira –TI ainda não é vista como benefício para o negócio –Início do processo de melhoria contínua sábado, 14 de maio de 2011
  • 203. Cobit: níveis de maturidadePós-Graduação em Gestão da Segurança de T.I. (GSTI) • Nível 5: Otimizado –Consciência total –Gestão financeira de TI –Melhores práticas adotadas e gerenciadas –Melhoria contínua de processos –Otimização contínua de TI sábado, 14 de maio de 2011
  • 204. Linha do tempoPós-Graduação em Gestão da Segurança de T.I. (GSTI) !"#$%&"() A(B&5&"() A".()>("?@-6) A".()")) A".()")) A".()7CD-).(&)) E01B(0(,#";D-) G-,.-B&";D-) HI5(BJ,5&") (),""=) A%"F0(,#"") K1(%"5&-,"B) !(BT-%&")5-,?,$")) G%&"%)E,@(,#O%&-.)) -)1%-5(..-) M"%")&,&5&"?@".)() P-@(%,",;") E,&5&")$0)"Q-%"F(0) R,&S5"-)()) P-@(%,",;") 234-56)789):";-)) <$",-)1%(5&.-=)) 3)>("?@-) 25(B(%"%)1%-L(#-.) M"%")%("F&%)".) .-B&5&#";N(.) /(01-) *)")+)",-.) sábado, 14 de maio de 2011
  • 205. Por que evoluirPós-Graduação em Gestão da Segurança de T.I. (GSTI) processos? • Evita desperdícios de esforços e recursos • Visão de processos e responsabilidades • Investimentos claros e alinhados ao negócio • Planejamento de longo prazo sábado, 14 de maio de 2011
  • 206. Métricas para GSIPós-Graduação em Gestão da Segurança de T.I. (GSTI) • Processos de TI –Modelo de maturidade –Fatores críticos de sucesso –Indicadores de metas –Indicadores de desempenho sábado, 14 de maio de 2011
  • 207. Métricas para GSIPós-Graduação em Gestão da Segurança de T.I. (GSTI) • Fatores críticos de sucesso (CFS) –importância estratégica –expressos em termos de processos –mensuráveis sábado, 14 de maio de 2011
  • 208. Métricas para GSIPós-Graduação em Gestão da Segurança de T.I. (GSTI) • Indicadores de metas (KGI) –verificam se os processos alcançaram as metas –“O que atingir?” –indicadores imediatos de sucesso –mensuráveis sábado, 14 de maio de 2011
  • 209. Métricas para GSIPós-Graduação em Gestão da Segurança de T.I. (GSTI) • Indicadores de desempenho (KPI) –orientados a processos –definem o desempenho dos procesoss –mensuráveis sábado, 14 de maio de 2011
  • 210. Integrando MedidoresPós-Graduação em Gestão da Segurança de T.I. (GSTI) • Security Scorecard –CFS definidos para um processo –São monitorados por KPI’s –Devem atingir os KGI’s sábado, 14 de maio de 2011
  • 211. Integrando MedidoresPós-Graduação em Gestão da Segurança de T.I. (GSTI) • Implantando –1a etapa: Definir indicadores –2a etapa: Sensibilizar pessoas e planejar mensuração –3a etapa: Treinar pessoas, coletar e validar dados –4a etapa: Corrigir e previnir sábado, 14 de maio de 2011
  • 212. Governança de SIPós-Graduação em Gestão da Segurança de T.I. (GSTI) • Visão e missão estratégicas: –Governança Corporativa: • Governança de TI • Governança de SI sábado, 14 de maio de 2011
  • 213. 4a parte: ImplantandoPós-Graduação em Gestão da Segurança de T.I. (GSTI) políticas de SI sábado, 14 de maio de 2011
  • 214. Políticas de SIPós-Graduação em Gestão da Segurança de T.I. (GSTI) • Informações são ativos • Envolvimento da alta gestão • Responsabilidade formal dos colaboradores • Estabelecimento de padrões sábado, 14 de maio de 2011
  • 215. Políticas de SI:Pós-Graduação em Gestão da Segurança de T.I. (GSTI) Características • Simples • Compreensíveis • Homologadas e assinadas pela alta gestão • Estruturada para implantação em fases • Alinhadas com o negócio • Orientadas aos riscos • Flexíveis • Protetoras de ativos (Pareto) • Positivas (não apenas proibitivas) sábado, 14 de maio de 2011
  • 216. Visão geral da metodologiaPós-Graduação em Gestão da Segurança de T.I. (GSTI) sábado, 14 de maio de 2011
  • 217. Etapas para oPós-Graduação em Gestão da Segurança de T.I. (GSTI) desenvolvimento • Fase I - Levantamento de informações –Obtenção dos padrões e normas atuais –Entendimento do uso da TI nos processos –Obtenção de informações sobre o negócio –Obtenção de informações sobre ambiente de TI sábado, 14 de maio de 2011
  • 218. Etapas para oPós-Graduação em Gestão da Segurança de T.I. (GSTI) desenvolvimento • Fase II - Desenvolvimento do Conteúdo e Normas – Gerenciamento da politica de segurança –Atribuição de regras e responsabilidades –Critérios para classificação de informações –Procedimentos de SI sábado, 14 de maio de 2011
  • 219. Fase II: DesenvolvimentoPós-Graduação em Gestão da Segurança de T.I. (GSTI) de políticas e normas: • Gerenciamento da politica de segurança –Definição da SI –Objetivos –CFS –Gerenciamento da versão –Referências a outras políticas sábado, 14 de maio de 2011
  • 220. Fase II: DesenvolvimentoPós-Graduação em Gestão da Segurança de T.I. (GSTI) de políticas e normas: • Atribuição de regras e responsabilidades: –Comitê de SI –Proprietário das informações –Área de SI –Usuários de informações –RH –Auditoria sábado, 14 de maio de 2011
  • 221. Fase II: DesenvolvimentoPós-Graduação em Gestão da Segurança de T.I. (GSTI) de políticas e normas: • Critérios de classificação das informações: –Introdução –Classificação –Níveis de classificação –Reclassificação –Armazenamento e descarte –Armazenamento e saídas sábado, 14 de maio de 2011
  • 222. Fase II: DesenvolvimentoPós-Graduação em Gestão da Segurança de T.I. (GSTI) de políticas e normas: • Procedimentos de SI: –Classificação e tratamento da informação –Notificação e gerenciamento de incidentes –Processo disciplinar –Aquisição e uso de hardware e software –Proteção contra software malicioso –Segurança e tratamento de mídias –Uso de internet –Uso de e-mail –Uso de recursos de TI sábado, 14 de maio de 2011
  • 223. Fase II: DesenvolvimentoPós-Graduação em Gestão da Segurança de T.I. (GSTI) de políticas e normas: • Procedimentos de SI: –Backup –Manutenção e teste de equipamentos –Coleta e registro de falhas –Gerenciamento e controle de rede –Monitoramento do uso e acesso aos sistemas –Uso de controles de criptografia –Controle de mudanças –Inventário de ativos de informação –Controle de acesso físico sábado, 14 de maio de 2011
  • 224. Fase II: DesenvolvimentoPós-Graduação em Gestão da Segurança de T.I. (GSTI) de políticas e normas: • Procedimentos de SI: –Segurança física –Supervisão de visitantes e prestadores de serviços sábado, 14 de maio de 2011
  • 225. Etapas para oPós-Graduação em Gestão da Segurança de T.I. (GSTI) desenvolvimento • Fase III - Elaboração de Procedimentos de SI –Pesquisa sobre melhores práticas –Desenvolvimento de procedimentos e padrões –Formalização dos procedimentos sábado, 14 de maio de 2011
  • 226. Etapas para oPós-Graduação em Gestão da Segurança de T.I. (GSTI) desenvolvimento • Fase IV - Revisão, aprovação e implantação –Revisão e aprovação –Implantação • Preparação de material de divulgação • Divulgação das responsabilidades • Palestras executivas • Palestras e treinamentos operacionais sábado, 14 de maio de 2011
  • 227. Etapas para o desenvolvimentoPós-Graduação em Gestão da Segurança de T.I. (GSTI) sábado, 14 de maio de 2011
  • 228. 3o Trabalho - parte II Elaborar um plano de implantação de política de segurança e o manual se segurança da informação. (30 pontos). Entrega final em: 28.05 1. Reavaliar o Diagnóstico & lacunas, considerando as metas de negócio. 2. Através da análise de risco, estabelecer as metas de TI (relativas à segurança). 3. Definir estratégia para cada lacuna, estabelecendo metas de processos e metas de atividades. 4. Definir resumo do projeto, contendo: problema, solução, custo, beneficios, macro-cronograma 5. Elaborar um plano de implantação de política de segurança e o manual se segurança da informação.sábado, 14 de maio de 2011

×