como garantir a seguranca da informação - congresso mackenzie forense 2009
DESCRIPTION
“COMO GARANTIR A SEGURANCA DA INFORMACAO NOS NEGOCIOS, ADOTANDO A ISO 27001”TRANSCRIPT
![Page 1: Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009](https://reader035.vdocuments.net/reader035/viewer/2022062308/559acbb81a28ab34628b470c/html5/thumbnails/1.jpg)
“COMO GARANTIR A SEGURANÇA DA INFORMAÇÃO NOS NEGÓCIOS, ADOTANDO A ISO 27001”
Prof. Giovani F. de Sant’Anna MSc, MBA, MCSO, Security+, BS 7799 Lead Auditor
E-mail: [email protected] 2009
UNIVERSIDADE PRESBITERIANA MACKENZIE
![Page 2: Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009](https://reader035.vdocuments.net/reader035/viewer/2022062308/559acbb81a28ab34628b470c/html5/thumbnails/2.jpg)
1
• Segurança da Informação • Estratégia Corporativa • Riscos • Gestão de Segurança da Informação • Empresas Certificadas ISO 27001 no Mundo • Perguntas
Agenda
![Page 3: Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009](https://reader035.vdocuments.net/reader035/viewer/2022062308/559acbb81a28ab34628b470c/html5/thumbnails/3.jpg)
Segurança da Informação e
Riscos
2
![Page 4: Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009](https://reader035.vdocuments.net/reader035/viewer/2022062308/559acbb81a28ab34628b470c/html5/thumbnails/4.jpg)
“Segurança é um processo, não um produto.” (Bruce Schneier)
Livro: Secrets & Lies
3
![Page 5: Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009](https://reader035.vdocuments.net/reader035/viewer/2022062308/559acbb81a28ab34628b470c/html5/thumbnails/5.jpg)
1a Geração Portões, Armas, Guardas
Ger
enci
amen
to
Tempo
2a Geração Segurança Reativa
3a Geração Segurança habilitando
os negócios
4a Geração Gerenciamento Proativo e
Auditabilidade
Evolução da Segurança
4
![Page 6: Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009](https://reader035.vdocuments.net/reader035/viewer/2022062308/559acbb81a28ab34628b470c/html5/thumbnails/6.jpg)
Estratégia Corporativa
5
![Page 7: Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009](https://reader035.vdocuments.net/reader035/viewer/2022062308/559acbb81a28ab34628b470c/html5/thumbnails/7.jpg)
Princípio das Mudanças
6
![Page 8: Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009](https://reader035.vdocuments.net/reader035/viewer/2022062308/559acbb81a28ab34628b470c/html5/thumbnails/8.jpg)
Sistema de Gestão de Tecnologia e Segurança da Informação
Medição dos Controles
Aplicação dos Controles
ITIL
Novo Código Civil
Cobit
ISO/IEC 17799:2005
Cobit x Sarbanes
GoodPriv@cy
Melhores Práticas
7
![Page 9: Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009](https://reader035.vdocuments.net/reader035/viewer/2022062308/559acbb81a28ab34628b470c/html5/thumbnails/9.jpg)
Transparência - Eqüidade - Prestação de Contas - Responsabilidade Corporativa
Sóci
os
Con
selh
o de
A
dmin
istr
ação
Dire
toria
Ex
ecut
iva
Aud
itoria
Práticas
Pilares da Governança Corporativa
Princípios Básicos
C
onse
lho
Fisc
al
Governança – Princípios, Pilares e Práticas
8
![Page 10: Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009](https://reader035.vdocuments.net/reader035/viewer/2022062308/559acbb81a28ab34628b470c/html5/thumbnails/10.jpg)
Tecnologia
•1
•2 •3
Processos
Pessoas
A segurança da informação deve considerar 3 fatores críticos de sucesso e influenciadores dos critérios de proteção.
Fatores críticos de Sucesso
9
![Page 11: Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009](https://reader035.vdocuments.net/reader035/viewer/2022062308/559acbb81a28ab34628b470c/html5/thumbnails/11.jpg)
•Segurança não é somente um problema de tecnologia...
•...é a gestão inteligente da informação em todos os ambientes!
Quebrando o paradigma
10
![Page 12: Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009](https://reader035.vdocuments.net/reader035/viewer/2022062308/559acbb81a28ab34628b470c/html5/thumbnails/12.jpg)
11
RISCOS
![Page 13: Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009](https://reader035.vdocuments.net/reader035/viewer/2022062308/559acbb81a28ab34628b470c/html5/thumbnails/13.jpg)
12
RISCOS
![Page 14: Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009](https://reader035.vdocuments.net/reader035/viewer/2022062308/559acbb81a28ab34628b470c/html5/thumbnails/14.jpg)
•Vulnerabilidades
•Integridade •Confidencialidade •Disponibilidade
•Ativos
Riscos
•Medidas de Segurança
•Impactos no negócio
•aumenta •diminui
•aumenta •aumenta
•aumenta •Ameaças
•sujeitos
•permitem •limitados
•causam
•protege
•perdas
•Segurança é uma questão de gestão e não somente técnica!
Ciclo de vida da Segurança
13
![Page 15: Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009](https://reader035.vdocuments.net/reader035/viewer/2022062308/559acbb81a28ab34628b470c/html5/thumbnails/15.jpg)
Categoria dos Riscos
14
![Page 16: Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009](https://reader035.vdocuments.net/reader035/viewer/2022062308/559acbb81a28ab34628b470c/html5/thumbnails/16.jpg)
15
Gestão de Segurança da
Informação
![Page 17: Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009](https://reader035.vdocuments.net/reader035/viewer/2022062308/559acbb81a28ab34628b470c/html5/thumbnails/17.jpg)
16
Governança Corporativa,SI e Riscos...
![Page 18: Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009](https://reader035.vdocuments.net/reader035/viewer/2022062308/559acbb81a28ab34628b470c/html5/thumbnails/18.jpg)
17
Infr
a es
trut
uta
Equi
pam
ento
s
Org
aniz
acio
nal
Aces
so à
info
rmaç
ão
Cópi
as d
e se
gura
nça
Cont
inui
dade
do
negó
cio
Ambi
ente
inte
r co
nexã
o
Negócio da organização
Segurança da Informação
Dimensões da Segurança da Informação
![Page 19: Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009](https://reader035.vdocuments.net/reader035/viewer/2022062308/559acbb81a28ab34628b470c/html5/thumbnails/19.jpg)
Abrangência da ISO 27001 – Sistema Gestão SI
18
![Page 20: Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009](https://reader035.vdocuments.net/reader035/viewer/2022062308/559acbb81a28ab34628b470c/html5/thumbnails/20.jpg)
NBR ISO / IEC 27002 (ISO 17799:2005)
Código de Prática para Gestão de Segurança da Informação
19
![Page 21: Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009](https://reader035.vdocuments.net/reader035/viewer/2022062308/559acbb81a28ab34628b470c/html5/thumbnails/21.jpg)
NBR ISO/IEC 17799:2005
134
Controles
20
![Page 22: Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009](https://reader035.vdocuments.net/reader035/viewer/2022062308/559acbb81a28ab34628b470c/html5/thumbnails/22.jpg)
NBR ISO/IEC 17799:2005
• Política de Segurança da Informação • Organizando a Segurança da Informação • Gestão de Ativos • Classificação da Informação • Segurança nos Recursos Humanos • Segurança Física e do Ambiente • Gerenciamento das Operações e Comunicações • Controle de Acessos • Aquisição, Desenvolvimento e Manut. De Sistemas de Informação • Gestão de Incidentes de Segurança da Informação • Gestão da Continuidade dos Negócios • Conformidade
Gerenciamento de Riscos
Gestão de Incidentes de
Segurança
17 Novos Controles foram
Introduzidos
21
![Page 23: Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009](https://reader035.vdocuments.net/reader035/viewer/2022062308/559acbb81a28ab34628b470c/html5/thumbnails/23.jpg)
Faz recomendações claras sobre a guarda de mídias de dados de backups
(capítulo 8.4.1) “Convém que as mídias sejam
controladas e fisicamente protegidas”
“Convém que seja dado às cópias de segurança um nível adequado de proteção
física e ambiental” (3 cópias)
Norma Técnica da NBR ISO IEC 17799
22
![Page 24: Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009](https://reader035.vdocuments.net/reader035/viewer/2022062308/559acbb81a28ab34628b470c/html5/thumbnails/24.jpg)
Norma Técnica da BS EN 1047-1:1997
23
![Page 25: Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009](https://reader035.vdocuments.net/reader035/viewer/2022062308/559acbb81a28ab34628b470c/html5/thumbnails/25.jpg)
Norma Técnica da BS EN 1047-1:1997
24
![Page 26: Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009](https://reader035.vdocuments.net/reader035/viewer/2022062308/559acbb81a28ab34628b470c/html5/thumbnails/26.jpg)
Sistema de Gestão em
Segurança da Informação (SGSI)
ou
Information Security Management System (ISMS)
25
![Page 27: Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009](https://reader035.vdocuments.net/reader035/viewer/2022062308/559acbb81a28ab34628b470c/html5/thumbnails/27.jpg)
ISO/IEC 27001:2006 Sistema de Gestão de Segurança da Informação
26
![Page 28: Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009](https://reader035.vdocuments.net/reader035/viewer/2022062308/559acbb81a28ab34628b470c/html5/thumbnails/28.jpg)
ISO/IEC 27001:2006
27
![Page 29: Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009](https://reader035.vdocuments.net/reader035/viewer/2022062308/559acbb81a28ab34628b470c/html5/thumbnails/29.jpg)
Sistema Gestão de Segurança da Informação - SGSI
• É o resultado da aplicação planejada de objetivos, diretrizes, políticas, procedimentos, modelos e outras medidas administrativas que, de forma conjunta, define como são reduzidos os riscos para a segurança da informação.
– Para as empresas implantarem a norma, para constituir um
SGSI, elas consideram o seguintes pontos:
• Os ativos que estão sendo protegidos; • O gerenciamento de riscos; e • Os objetivos de controles e controles implementados.
28
![Page 30: Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009](https://reader035.vdocuments.net/reader035/viewer/2022062308/559acbb81a28ab34628b470c/html5/thumbnails/30.jpg)
A ISO 27002 e a ISO 27001
• A ISO 27002 define as melhores práticas para a gestão da segurança da informação. • A ISO 27001 considera: segurança física, técnica, procedimental e em pessoas. • Sem um Sistema de Gestão da Segurança da Informação formal, existe um grande risco da segurança ser quebrada. • A segurança da informação é um processo de gestão, não é um processo tecnológico. • A ISO 27001 é a única norma internacional que pode ser auditada por uma terceira parte.
29
![Page 31: Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009](https://reader035.vdocuments.net/reader035/viewer/2022062308/559acbb81a28ab34628b470c/html5/thumbnails/31.jpg)
Visão Geral ISO 27001
• Incorpora um processo de escalonamento de risco e valorização de ativos. • O grau em que o sistema é formal e contém processos estruturados irá facilitar a replicação do sistema de um local para outro. • O investimento no compromisso da direção e em treinamento dos funcionários reduz a probabilidade de ameaças bem sucedidas. • A infra-estrutura (sistemas de gestão e processos) pode ser desenvolvida centralmente e então desdobrada globalmente. • Controles adicionais podem ser incorporados ao SGSI se assim for desejado.
30
![Page 32: Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009](https://reader035.vdocuments.net/reader035/viewer/2022062308/559acbb81a28ab34628b470c/html5/thumbnails/32.jpg)
• Governança Corporativa
• Melhoria da eficácia da Segurança da Informação
• Diferencial de mercado
• Atender os requisitos de partes interessadas e dos clientes
• Única norma com aceitação global
• Redução potencial no valor do seguro
• Focada nas responsabilidades dos funcionários
• A norma cobre TI bem como a organização, pessoal e instalações
• Conformidade com as legislações
Por que adotar a ABNT NBR ISO/IEC ISO 27001 ?
31
![Page 33: Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009](https://reader035.vdocuments.net/reader035/viewer/2022062308/559acbb81a28ab34628b470c/html5/thumbnails/33.jpg)
Dificuldades para Implementar um SGSI
• Dificuldade na definição do escopo.
• Dificuldade para desenvolver uma abordagem sistemática simples e clara para a Gestão de Risco. • Mesmo existindo Planos de Continuidade de Negócio, raramente eles são testados de alguma forma. • Designação da área de TI como responsável por desenvolver o projeto. • Falta de visão e “mente aberta” ao estabelecer os parâmetros dos controles identificados na Norma. • Falta de ação para identificar e usar controles fora da norma. • Limitação de orçamento.
32
![Page 34: Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009](https://reader035.vdocuments.net/reader035/viewer/2022062308/559acbb81a28ab34628b470c/html5/thumbnails/34.jpg)
Benefícios da Implementação da ISO 27001
• Reduz o risco de responsabilidade pela não implementação ou determinação de políticas e procedimentos. • Oportunidade de identificar e corrigir pontos fracos. • A alta direção assume a responsabilidade pela segurança da informação. • Permite revisão independente do sistema de gestão da segurança da Informação. • Oferece confiança aos parceiros comerciais, partes interessadas, e clientes. Melhor conscientização sobre segurança. • Combina recursos com outros Sistemas de Gestão. • Mecanismo para se medir o sucesso do sistema.
33
![Page 35: Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009](https://reader035.vdocuments.net/reader035/viewer/2022062308/559acbb81a28ab34628b470c/html5/thumbnails/35.jpg)
Estrutura da Norma NBR ISO/IEC 27001:2006
34
![Page 36: Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009](https://reader035.vdocuments.net/reader035/viewer/2022062308/559acbb81a28ab34628b470c/html5/thumbnails/36.jpg)
Responsabilidade da Direção / Entendendo comprometimento
Para o bife a cavalo dar certo, a galinha apenas botou o ovo, já a vaca deu a VIDA. É muito fácil ser galinha, o difícil é ser a vaca ?
A Alta Direção precisa estar comprometida, precisa dar sua carne e seu sangue
E o cavalo ? Não fez nada e levou a fama
35
![Page 37: Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009](https://reader035.vdocuments.net/reader035/viewer/2022062308/559acbb81a28ab34628b470c/html5/thumbnails/37.jpg)
Abordagem do Processo
36
![Page 38: Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009](https://reader035.vdocuments.net/reader035/viewer/2022062308/559acbb81a28ab34628b470c/html5/thumbnails/38.jpg)
Abordagem do Processo
37
![Page 39: Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009](https://reader035.vdocuments.net/reader035/viewer/2022062308/559acbb81a28ab34628b470c/html5/thumbnails/39.jpg)
Abordagem do Processo Modelo PDCA - Aplicado ao SGSI
38
![Page 40: Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009](https://reader035.vdocuments.net/reader035/viewer/2022062308/559acbb81a28ab34628b470c/html5/thumbnails/40.jpg)
Compatibilidade com outros Sistemas de Gestão
Possível adaptação a sistemas já existentes na organização 43
![Page 41: Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009](https://reader035.vdocuments.net/reader035/viewer/2022062308/559acbb81a28ab34628b470c/html5/thumbnails/41.jpg)
A norma ISO 27001: • Cobre todos os tipos de organizações, • Especifica requisitos para estabelecer, implementar, operar, monitorar,analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negócios globais da organização. •Especifica requisitos para a implementação de controles de segurança personalizados para as necessidades individuais de organizações ou suas partes.
Objetivo Geral
44
![Page 42: Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009](https://reader035.vdocuments.net/reader035/viewer/2022062308/559acbb81a28ab34628b470c/html5/thumbnails/42.jpg)
Aplicação
Qualquer Produtos/Serviços
Qualquer Tamanho Qualquer Tipo
45
![Page 43: Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009](https://reader035.vdocuments.net/reader035/viewer/2022062308/559acbb81a28ab34628b470c/html5/thumbnails/43.jpg)
Empresas Certificadas ISO 27001 No Mundo
Diferencial Competitivo
46
![Page 44: Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009](https://reader035.vdocuments.net/reader035/viewer/2022062308/559acbb81a28ab34628b470c/html5/thumbnails/44.jpg)
Região Número de CertificadosAustralia 5Austria 2Brazil 2China 5Egypt 1
Finland 8Germany 8Greece 2
Hong Kong 7Hungary 3Iceland 1India 13
Ireland 3Italy 11
Japan 34Korea 11
Malaysia 1Mexico 1Norway 7
Singapore 9Spain 1
Sweden 4Switzerland 1
Taiwan 4UAE 1UK 91USA 3
TOTAL 239
Em 2000:
Registros de Certificações
47
![Page 45: Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009](https://reader035.vdocuments.net/reader035/viewer/2022062308/559acbb81a28ab34628b470c/html5/thumbnails/45.jpg)
Em Junho de 2004: Japan 365 USA 9 Argentina 1 UK
139 Ireland 8 Egypt 1
India 34 China 6 Macau 1 Germany 24 Sweden 4 Malaysia 1 Korea 23 Austria 3 Netherlands 1 Taiwan 20 Brazil
3 Poland
1
Italy 18 Iceland 3 Qatar 1 Hong Kong 15 Mexico 3 Saudi Arabia 1 Singapore 11 Switzerland 3 Slovenia 1 Australia 10 Belgium 2 South Africa 1 Finland 10 Denmark 2 Spain 1 Hungary 9 Greece 2 Relative Total 749
Norway 9 UAE 2 Absolute Total 744
Registros de Certificações
48
![Page 46: Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009](https://reader035.vdocuments.net/reader035/viewer/2022062308/559acbb81a28ab34628b470c/html5/thumbnails/46.jpg)
Em Novembro de 2006
Registros de Certificações
49
![Page 47: Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009](https://reader035.vdocuments.net/reader035/viewer/2022062308/559acbb81a28ab34628b470c/html5/thumbnails/47.jpg)
Em Novembro de 2006
Registros de Certificações
50
![Page 48: Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009](https://reader035.vdocuments.net/reader035/viewer/2022062308/559acbb81a28ab34628b470c/html5/thumbnails/48.jpg)
fonte: http://www.iso27001certificates.com/
Registros de Certificações
Em Março de 2007
51
![Page 49: Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009](https://reader035.vdocuments.net/reader035/viewer/2022062308/559acbb81a28ab34628b470c/html5/thumbnails/49.jpg)
fonte: http://www.iso27001certificates.com/
Registros de Certificações Em Março de 2007
52
![Page 50: Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009](https://reader035.vdocuments.net/reader035/viewer/2022062308/559acbb81a28ab34628b470c/html5/thumbnails/50.jpg)
Em Maio de 2009
Registros de Certificações
53
![Page 51: Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009](https://reader035.vdocuments.net/reader035/viewer/2022062308/559acbb81a28ab34628b470c/html5/thumbnails/51.jpg)
Financeiro Governo Telecom Comércio e Indústria Serviços
Algumas Empresas Certificadas fonte: http://www.iso27001certificates.com/ Em MAIO de 2009
54
![Page 52: Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009](https://reader035.vdocuments.net/reader035/viewer/2022062308/559acbb81a28ab34628b470c/html5/thumbnails/52.jpg)
55
OBRIGADO