riscos para a informação
DESCRIPTION
Riscos para a Informação. O Dever de gerir os riscos para a informação na Administração Pública. Daniel Jezini, CISA TCU/Sefti. Dever? . Dependência?. INTEGRAÇÃO. Sobre a Informação. Sobre a Informação. Fonte: TCU. Fonte: TCU. REVISTA VEJA (SP) • INTERNACIONAL • 10/09/2013 - PowerPoint PPT PresentationTRANSCRIPT
1
Riscos para a InformaçãoO Dever de gerir os riscos para a informação na Administração Pública
Daniel Jezini, CISATCU/Sefti
2
Dever?
Dependência?
INTEGRAÇÃO
Sobre a Informação
2007 2010 20120%5%
10%15%20%25%30%35%40%45%50%
Class. InfoPSI20%
36%
5
2007 2010 20120%5%
10%15%20%25%30%35%40%45%50%
Class. InfoPSI20%
36%45%
17%
6
Sobre a Informação
Fonte: TCU
2007 2010 20120%
5%
10%
15%
20%
25%
30%Análise de Riscos
Análise de Riscos
25%
7
2007 2010 20120%
5%
10%
15%
20%
25%
30%Análise de Riscos
Análise de Riscos
25% 17%
8
2007 2010 20120%
5%
10%
15%
20%
25%
30%Análise de Riscos
Análise de Riscos
25% 17%
10%
9Fonte: TCU
REVISTA VEJA (SP) • INTERNACIONAL • 10/09/2013
Vulnerabilidade.gov.br A possível espionagem feita por países
estrangeiros está longe de ser a principal ameaça à segurança das informações confidenciais brasileiras. 0 maior risco vem de falhas do próprio governo, como ter sistemas desatualizados e funcionários sem treinamento. (...)
20070%
2%
4%
6%
8%
10%
12%
14%
GCN
GCN
12%Gestão de Continuidade
Gestão de Continuidade
2007 2010 20120%
2%
4%
6%
8%
10%
12%
14%
GCN
GCN
12%
3%
2007 2010 20120%
2%
4%
6%
8%
10%
12%
14%
GCN
GCN
12%
3% 6%
CONTINUIDADE DE SERVIÇOS DE TI?
17%
Gestão de Continuidade
Fonte: TCU
Tá, e daí?
1º DESAFIO
16
MOTIVAÇÃO
17
...mas sempre funcionou desse jeito!
18
Recomendações ao GSI:
9.6.1. crie procedimentos para elaboração de Políticas de Segurança da Informação, Políticas de Controle de Acesso, Políticas de Cópias de Segurança, Análises de Riscos e Planos de Continuidade do Negócio. Referidas políticas, planos e análises deverão ser implementadas nos entes sob sua jurisdição por meio de orientação normativa;
Acórdão 2.471/2008-TCU
Normas complementares GSI/DSIC
Especificamente sobre segurança da informação
Processo de Gestão de Riscos (NC GSI/DSIC 4)
20
9.8.2. em atenção a Lei 10.168/2003, art. 6º, IV, oriente os órgãos e entidades sob sua jurisdição que a implantação dos controles gerais de segurança da informação positivados nas normas do GSI/PR não é faculdade, mas obrigação da alta administração, e sua não implantação sem justificativa é passível da sanção prevista na Lei 8.443/1992, art. 58, II (subitem II.8)
Acórdão 1.233/2012 - TCU
21
22
VALOR
23
Quem é você?
24
Ou...