práticas de gestão de risco da iso 270012013 com o realisms
TRANSCRIPT
Bem-vindo ao Circuito de Palestras EXIN 2014 Conheça o novo Portfólio EXIN:
Claudio Dodt, ISMAS, CISSP, CISA, ISO 27001 Lead Auditor
Business Continuity & Security Senior Consultant
Sócio-Gerente
[email protected] www.daryus.com.br claudiododt.com
www.twitter.com/daryusbr www.twitter.com/cdodt www.facebook.com/claudiododtcom
Iluminando mentes,
capacitando profissionais
e protegendo negócios.
Segurança da Informação:
Práticas de Gestão de Risco da ISO
27001:2013 com o RealISMS.
AGENDA
DARYUS
A norma ISO 27001
Uma visão holística
O processo de Gestão de Riscos de
Segurança da Informação
Como vemos Segurança da Informação?
Práticas com o RealISMS
Perguntas
•O Strategic Risk Consulting não está apenas no nome, é fato.
•Nascemos em 2006 com o objetivo de popularizar as práticas de gestão de riscos
pervasivas aos processos de gestão empresarial.
•Entendemos que práticas de segurança, continuidade, riscos, conformidade e
governança de TIC são partes fundamentais da gestão moderna e não
complementos.
•A capacitação contínua das pessoas, a revisão continua dos processos, controles
para mitigar riscos e as certificações nas normas ISO são fatores de sucesso e
amadurecimento empresarial que acreditamos.
• DARYUS = Uma consultoria, uma escola de negócios e duas empresas de
tecnologias que agregam valor, reduzem custos e minimizam riscos.
Quem somos:
Nossas unidades
• Continuidade de Negócios
• Segurança da Informação
• Gestão de Processos de Negócios
• Governança, Risco e Conformidade
Nossos serviços:
Objetivo: Esta norma foi preparada para fornecer os
requisitos para estabelecer, implementar, manter e melhorar
continuamente um Sistema de Gestão de Segurança da
Informação.
Objetivo: Prover um modelo para estabelecer, implementar,
operar, monitorar, analisar criticamente, manter e melhorar
um Sistema de Gestão de Segurança da Informação
(SGSI).
A norma ISO 27001
27001:2005
A 27000 é a principal família de normas de Segurança da Informação aceitas
internacionalmente;
Aplicável a qualquer organização, independentemente de tamanho ou
segmento;
Base para uma certificação, mas pode ser usada mesmo sem esse objetivo.
Objetivo: Esta norma foi preparada para fornecer os
requisitos para estabelecer, implementar, manter e melhorar
continuamente um Sistema de Gestão de Segurança da
Informação.
A norma ISO 27001
Atualizada em 25 de Setembro de 2013;
Update foi baseado na experiência de usuários que buscavam certificação;
Objetivo principal é simplificar a abordagem e proporcionar melhorias na
gestão de riscos.
É possível baixar gratuitamente a ISO 27000:2012 (vocabulário) aqui:
http://dary.us/1adqpM1 (em inglês)
27001:2013
Uma visão holística
Essa é a visão da ISO 27001
O processo de Gestão de Riscos de SegInfo
DEFINIÇÃO DO CONTEXTO
ANÁLISE / AVALIAÇÃO DE RISCOS
ANÁLISE DE RISCOS
IDENTIFICAÇÃO DE RISCOS
ESTIMATIVA DE RISCOS
AVALIAÇÃO DE RISCOS
PONTO DE DECISÃO 1
Avaliação Satisfatória Não
TRATAMENTO DO RISCO
ACEITAÇÃO DO RISCO
Sim
Sim
PONTO DE DECISÃO 2
Tratamento Satisfatório
MO
NIT
OR
AM
EN
TO
E A
NÁ
LIS
E C
RÍT
ICA
DE
RIS
CO
S
CO
MU
NIC
AÇ
ÃO
DO
RIS
CO
Não
Processo de Gestão de Riscos ISO 27005:2011
•O objetivo é reduzir o risco a um
nível aceitável e não extinguir o
risco.
Processo
do SGSI
Processo de gestão de riscos de SI
Planejar • Definição do contexto
• Análise/avaliação de riscos
• Definição do plano de tratamento do risco
• Aceitação do risco
Executar • Implementação do plano de tratamento do
risco
Verificar • Monitoramento contínuo e análise crítica de
riscos
Agir • Manter e melhorar o processo de Gestão
de Riscos de Segurança da Informação
Plano para identificar a ação de gestão apropriada,
recursos, responsabilidades e prioridades para a gestão
dos riscos de segurança
PLANO DE
TRATAMENTO DE
RISCOS
Todos os controles planejados devem ser incluídos em um
Plano de Tratamento de Riscos.
O objetivo do tratamento de riscos não é a eliminação completa
e sim diminuir o nível de risco para um patamar tido como
aceitável.
Controles que não são justificáveis do ponto de vista do negócio
não devem ser implementados.
O processo de Gestão de Riscos de SegInfo
PLANO DE
TRATAMENTO DE
RISCOS
Resultado da Avaliação de
Riscos
Tratamento do Risco
Opções de Tratamento
Reter
Risco Residual
Reduzir Evitar Transferir
O processo de Gestão de Riscos de SegInfo
Opções de Tratamento
Reter
Reduzir
Evitar
Transferir
Aplicação de um controle para que o Risco seja reavaliado como aceitável.
Caso o Risco atenda os critérios para aceitação o mesmo poderá ser retido.
O Risco pode ser evitado através da eliminação da atividade ou processo de
negócio ou de uma mudança significativa no ambiente (e.g. mudar um
Datacenter de localidade)
O Risco pode ser transferido para uma outra entidade (e.g. Contratação de um
seguro, terceirizar). É importante lembrar que não se pode transferir
completamente a responsabilidade pela segurança da informação.
O processo de Gestão de Riscos de SegInfo
Como vemos SegInfo?
Confidencialidade
Integridade Disponibilidade
Segurança da
Informação
Pessoas Processos Tecnologia
Miopia do Iceberg
Tecnologia
Tecnologia é...
...a mera ponta...
...do iceberg.
Tecnologia
Processos
Pessoas
Miopia do Iceberg
• Investimento inteligente
• Padrões Testados
• Visão Estratégica
• Formalização
• Seleção
• Capacitação
• Reciclagem
• Conscientização
• Suporte completo a biblioteca de riscos e
controles da ISO 27001;
• Mapeamento de Ativos de Informação;
• Identificação e Tratamento de Riscos;
• Controle de Documentos, Normas,
Procedimentos;
• Gestão de Incidentes de Segurança.
Práticas com o RealISMS
real ISMS
Act Plan Do Check
Análise/Avaliação
de Gap/Riscos
Plano de
Tratamento dos
riscos
Avaliação e
Tratamento de
riscos
Treinamento e
conscientização
Definição do
escopo
Auditorias
internas
Métricas e
indicadores do
SGSI
Identificação de não-
conformidades
Tratamento de
não-
conformidades
Apoio na
auditoria de 3ª.
parte
Declaração de
aplicabilidade
Metodologia DARYUS para Atendimento aos
requisitos da ISO 27001 real ISMS
Práticas com o RealISMS
Dashboard Sumário da Gestão de Riscos
Práticas com o RealISMS
Matriz de Risco com 5 níveis
Nível de Risco por:
Dashboard Sumário da Gestão de Riscos
Muito Baixo Baixo Médio Alto Muito Alto
Área
Processo
Ativo
Práticas com o RealISMS
Práticas com o RealISMS
Gestão dos Riscos
Área Processo Ativo Risco Controle
Práticas com o RealISMS
Área Processo Ativo Risco Controle
Práticas com o RealISMS
Área Processo Ativo Risco Controle
Práticas com o RealISMS
Área Processo Ativo Risco Controle
Práticas com o RealISMS
Área Processo Ativo Risco Controle
Práticas com o RealISMS
Risco Potencial
25 Muito Alto
Área Processo Ativo Risco Controle
Práticas com o RealISMS
Uma das
opções é
reduzir o nível
de Risco com
Controles de
Segurança
Área Processo Ativo Risco Controle
Práticas com o RealISMS
Risco Potencial
25 Muito Alto
Risco Residual
14 Alto
3 Muito Baixo
Área Processo Ativo Risco Controle
Práticas com o RealISMS
Risco Reduzido
Práticas com o RealISMS
Controles de
Segurança
diretamente
alinhados as
melhores práticas,
criando o RTP
Plano de Tratamento
de Riscos
Visão Geral dos Controles
Práticas com o RealISMS
Relatórios Detalhados
Práticas com o RealISMS
Vamos iniciar a sessão de PERGUNTAS. Utilize a
ferramenta do chat (para digitar) ou do hands on (para
pedir acesso e perguntar diretamente ao palestrante.
Perguntas?
Calendário Cursos
ISFS - ISO 27002 Foundation - Segurança da Informação: conceitos e
fundamentos
São Paulo - 16 a 17/04/2014 – diurno
Brasília - 06 a 07/05/2014 – diurno
Fortaleza - 22 a 25/04/2014 – noturno
ISMAS - ISO 27002 Advanced - Segurança da Informação: gerenciamento
avançado
São Paulo - 21 a 23/05/2014 – diurno
Brasília - 21 a 23/05/2014 – diurno
Fortaleza - 21 a 23/05/2014 – diurno
ITIL ® Foundation - Gerenciamento de Serviços de TI
Fortaleza - 12 a 16/05/2014 – diurno
* Válido até 15/05/2014
Claudio Dodt, ISMAS, CISSP Business Continuity & Security Senior Consultant
http://www.daryus.com.br
http://claudiododt.com
http://www.facebook.com/claudiododtcom
http://www.linkedin.com/profile/view?id=15394059
Obrigado!
ACESSO AO MATERIAL
• Vamos Vamos disponibilizar o link com Cópia desta apresentação
+ Certificado de Participação para todos que responderem
nossa pesquisa de satisfação e nos ajudarem a aprimorar nossas
futuras ações (acesso imediato ao de desconectar da sessão ao final
da apresentação).
• Você também pode acessar nosso canal do YouTube e Slide Share
para ter acesso a todas as apresentações realizadas em 2012 e 2013.
• Mais Informações?
Milena Andrade
Regional Manager
www.exin.com