SlideShare uma empresa Scribd logo

Segurança e privacidade na era da informação

Pedro Garcia
Pedro Garcia

1) O documento discute vários tópicos relacionados à segurança e privacidade da informação, incluindo Edward Snowden, criptografia e normas como a NBR ISO/IEC 27001. 2) Também aborda conceitos como gestão de riscos, avaliação de riscos, planos de contingência e incident response. 3) Por fim, apresenta estatísticas sobre pirataria de software e faz uma breve sinopse do filme The Good Shepherd.

Tecnologia
1 de 41
Baixar para ler offline
Segurança e privacidadeSegurança e privacidade Gustavo C. Russo – 12.206.507-1 Marina C. Moraes – 12.112.680-9 Pedro P. Garcia – 12.112.399-6 Willian Weller – 12.206.544-4 Yuri N. Constanti – 12.206.490-0
Agenda • Snowden • Criptografia • Normas • Guidelines• Guidelines • COSO • Estatísticas • The Good Shepherd (2006) - Filme
Snowden • Ex-funcionário da CIA • Ex-contratado da NSA • Entrevista exclusiva em Hong Kong ▫ Glenn Greenwald ▫ Laura Poitras ▫ http://www.theguardian.com/world/video/2013/jul/08/edward-snowden-video-interview
Cr1pt0graf1@ • “BMWP8EJMNB” • O que significa?• O que significa? • Regra: (Letra – 1 e espaço=8) “ALVO DILMA”
NBR ISO/IEC 27001:2006 • Abordagem do Processo Modelo PDCA
NBR ISO/IEC 27002:2005 Informação e Segurança da Informação
NBR ISO/IEC 27002:2005 Controles
NBR ISO/IEC 27005:2008 DEFINIÇÃO DO CONTEXTO: • Determinação de um propósito • Definição de critérios básicos ▫ Critérios para avaliação de risco ▫ Critérios de impacto ▫ Critérios para aceitação do risco • Escopo e limites • Organização para gestão de risco de segurança da informação
NBR ISO/IEC 27005:2008 ANÁLISE/AVALIÇÃO DE RISCO: • Identificação dos riscos ▫ Identificação dos ativos ▫ Identificação das ameaças ▫ Identificação dos controles existentes ▫ Identificação das vulnerabilidades ▫ Identificação dos controles existentes ▫ Identificação das vulnerabilidades ▫ Identificação das conseqüências • Estimativas de riscos ▫ Metodologias para estimativa de riscos ▫ Avaliação das conseqüências ▫ Avaliação da probabilidade dos incidentes ▫ Estimativa do nível de risco • Avaliação dos riscos
NBR ISO/IEC 27005:2008 TRATAMENTO DO RISCO:
NBR ISO/IEC 27005:2008 ACEITAÇÃO DO RISCO: • Decisão dos gestores da organização • Análise crítica• Análise crítica • Considerado as circunstâncias predominantes no momento • Documento formal ▫ Lista de riscos aceitos ▫ Justificativa para aqueles que não satisfaçam os critérios normais para aceitação de risco
General Security Risk Assessment • Guia no qual os riscos de segurança podem ser identificado e comunicados • Metodologia dividida em 7 etapas• Metodologia dividida em 7 etapas • Criado nos EUA por principais representantes de organizações de segurança do país
Etapas • Compreender a organização e identificar as pessoas e bens em risco • Especificar perdas em eventos de risco / vulnerabilidades • Estabelecer a probabilidade de risco de perda e• Estabelecer a probabilidade de risco de perda e freqüência de eventos • Determinar o impacto dos eventos • Desenvolver opções para aliviar os riscos • Estudar a viabilidade de implementação das opções • Analisar o custo benefício
“Handbook” de Segurança da Informação Um Guia Para Gestores • Objetivo e Aplicabilidade • Relação com a Orientação Existente
Governança da Segurança da Informação
Ciclo de Vida de Desenvolvimento de Sistema
Sistemas Interligados Estabelecer Equipe de Planejamento Definir o Caso de Negócio Realizar C&A 1 2 3 Planejamento Determinar Requisitos de Interligação Documento de Acordo de Interligação Aprovação ou Rejeição da Interligação 4 5 6
Indicadores de performance
Planos de Contingência na Tecnologia da Informação
Gestão de Riscos
Certificação, Confiabilidade e Avaliações de Segurança • Papéis e Responsabilidades da Certificação, Confiabilidade e avaliações de segurança; • Delegação de Funções;• Delegação de Funções; • O Processo de Certificação e Confiabilidade da Segurança; • Documentação da Certificação de Segurança; • Decisões de Confiabilidade; • Monitoramento Contínuo; • Avaliações de programas;
Serviços de Segurança e Aquisição de Produtos
Resposta a Incidentes Preparação • Preparando para Resposta a Incidentes • Preparando para coletar dados de Incidentes • Prevenção de Incidentes• Prevenção de Incidentes Detecção e Análise Contenção, erradicação e recuperação Pós-Incidente Atividade
Por que da gestão?
BS 7799-3:2006 Information security Management Systems • Objetivo: Prover orientação e suporte para implantação dos requerimentos definidos na BS ISO/IEC 27001:2005.* • Risk approach: ▫ 1-Escopo ▫ 2-Referência ▫ 3-Termos e definições ▫ 4-Contexto organizacional ▫ 5-Avaliação ▫ 6-Tratamento ▫ 7-On going Monitoring ▫ 7-Reavaliações *Mostrar tabela comparativa
Riscos da Segurança da Informação nas organizações • Scope and Policy ▫ Business Case: Recurso Razões (O por que implementar?) RAZÕES Legal ou Regulatório Recurso Definições da empresa* ▫ ISMS Scope Definição do Escopo ▫ ISMS Policy ▫ Risk Approach • Approach ▫ Determinação do critério de aceitação de riscos ▫ Identificação de níveis aceitáveis de riscos ▫ Identificação e avaliação dos riscos ▫ Cobertura dos aspectos do escopo ISMS RAZÕES Privada ou estatal Tamanho da companhia Localilzação Geográfica Tipo de negócio
Avaliação do Risco Cálculo do Risco Avaliador de risco A pessoa que perfomará a gestão do risco tem que ter diversas caracteristicas, tais como: ▫ Conhecimentos em TI ▫ Conhecimento no negócio ▫ Conhecimento de controle de risco ▫ E outros diversos
Objetivo: É contribuir para que a gestão de empresas e demais organizações adotem uma forma mais adequada de abordar os riscos inerentes ao cumprimento de seus objetivos. Como: Integrar diversos conceitos deComo: Integrar diversos conceitos de administração de riscos em uma única estrutura . Resultado: Acomodar a maior parte das opiniões e, assim, possibilitar a avaliação e o aprimoramento da gestão de riscos corporativos para futuras iniciativas de órgãos reguladores e de ensino.
O que é o gerenciamento de riscos? São riscos e oportunidades de criar ou preservar valor. Alguns conceitos fundamentais para definição de gerenciamento de riscos: • Um processo contínuo e que flui pela organização; • Conduzido pelos profissionais em todos os níveis da organização; • Definição das estratégias; • Visão de todos os riscos a que a organização está exposta; • Identifique eventos em potencial, cuja ocorrência poderá afetar a organização, e que administre os riscos de acordo com o seu apetite a risco; • Capaz de propiciar garantia razoável para a organização; • Orientado para à realização e cumprimento dos objetivos em uma ou mais categorias distintas, mas dependentes.
Cumprimento dos Objetivos Essa estrutura estabelece quatro categorias de objetivos para a organização: • Estratégicos –referem-se às metas no nível mais elevado. Alinham-se e fornecem apoio à missão;fornecem apoio à missão; • Operações –têm como meta a utilização eficaz e eficiente dos recursos; • Comunicação –relacionados à confiabilidade dos relatórios; • Conformidade –fundamentam-se no cumprimento das leis e dos regulamentos pertinentes.
O que são componentes do gerenciamento de riscos corporativos ? São constituído de oito componentes inter-relacionados, que trata a maneira de como a administração gerencia a organização, e que se integram ao processo de gestão. Ambiente Interno Resposta a RiscoAmbiente Interno Fixação de Objetivos Identificação de Eventos Avaliação de Riscos Resposta a Risco Atividades de Controle Informações e Comunicações Monitoramento
Ambiente Interno O ambiente interno determina os conceitos básicos sobre a forma como os riscos e os controles serão vistos e abordados pelos empregados da organização. Impacto de um ambiente interno ineficaz pode ir muito longe e talvez provocar prejuízos financeiros, desgastes da imagem pública ou até mesmo o fracasso. Fixação de Objetivos Em primeiro lugar, é necessário que os objetivos existam para que a administração possa identificar e avaliar os riscos quanto a sua realização, bem como adotar as medidas necessárias para administrá-los. • Objetivos estratégicos • Objetivos Correlatos
Avaliação de Riscos Identificação de Eventos Podemos identificar os eventos em : Riscos Oportunidade Riscos e Oportunidade Avaliação de Riscos Os riscos identificados são analisados com a finalidade de determinar a forma como serão administrados e depois serão associados aos objetivos que podem influenciar. Avaliam-se os riscos considerando seus efeitos: Inerentes e Residuais Probabilidade e seu Impacto
Resposta a Risco Os empregados identificam e avaliam as possíveis respostas aos riscos: evitar, aceitar, reduzir ou compartilhar. A administração seleciona o conjunto de ações destinadas a alinhar os riscos às respectivas tolerâncias e ao apetite a risco. As respostas a riscos classificam-se nas seguintes categorias: Evitar Reduzir Compartilhar CompartilharEvitar Reduzir Compartilhar Compartilhar Atividades de Controle Políticas e procedimentos são estabelecidos e implementados para assegurar que as respostas aos riscos selecionados pela administração sejam executadas com eficácia.
Relacionamento entre Objetivos e Componentes As quatro categorias de objetivos - estão representadas nas colunas verticais.verticais. Os oito componentes, nas linhas horizontais. A organização e as unidades de uma organização, na terceira dimensão do cubo
Índice de Pirataria • BSA (Business Software Alliance) – associação que representa fabricantes de software • 7º Estudo Anual Global de Pirataria de Software - 2009 • Mundo:• Mundo: ▫ Geórgia 95% ▫ Zimbábue 92% ▫ Bangladesh 91% • Brasil: ▫ 56% ▫ Sendo que 2008 58% • Media mundial ▫ 43% http://tecnologia.uol.com.br/ultimas-noticias/redacao/2010/05/11/conheca- os-paises-30-paises-com-as-maiores-e-menores-taxas-de-pirataria-do- mundo.jhtm
The Good Shepherd (2006) • Elenco ▫ Robert De Niro ▫ Matt Damon▫ Matt Damon ▫ Angelina Jolie • Sinopse ▫ Edward Wilson (Matt Damon) é recrutado para trabalhar na CIA na época da Guerra Fria. Tamanha espionagem, fazem com que ele tenha que sacrificar sua vida pessoal, seus ideais e sua família
Duvidas?Duvidas?
Bibliografia • ABNT NBR ISO/IEC 27005:2008 (ABNT,2008) • ASIS. General Security Risk Assessment guideline • ABNT. Tecnologia da informação – Técnicas de segurança – Código de prática para gestão da segurança da informação:Código de prática para gestão da segurança da informação: ABNT NBR ISSO/IEC 27002:2005. 2ª ed. Rio de Janeiro, 2005 • ABNT. Tecnologia da informação - Técnicas de segurança – Sistemas da gestão de segurança da informação: ABNT 27001:2006 1ª ed. Rio de Janeiro, 2006 • BOWEN, P.; HASH, J.; WILSON, M. NIST Special Publication 800- 100: Information Security Handbook: A Guide for Managers. [S.I.], October 2006.
Bibliografia • BS.B.S. Information Security Management Systemns (BS 7799-3- 2006): Part 3: guidelines for information security risk management. 2006 • COSO: Committee of Sponsoring Oraganizations of the treadway Commission. Enterprise Risk Managment Framewor:Commission. Enterprise Risk Managment Framewor: Exposure Draft for Public Comment [S.I.], 2004 • http://www.asionline.org/guideleines/guidelines • http://csrc.nist.gov/publications/nistpubs/800-100/SP800-100- Mar07-2007.pdf • http://www.coso.org/documents/COSO_ERM_ExecutiveSummary _Portuguese.pdf

Recomendados

Gestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de NegóciosGestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de NegóciosAlvaro Gulliver
 
Gestão de Riscos Corporativos 2018
Gestão de Riscos Corporativos 2018Gestão de Riscos Corporativos 2018
Gestão de Riscos Corporativos 2018Rodrigo Dantas, PMP, Msc
 
Apresentação sobre gerenciamento de riscos
Apresentação sobre gerenciamento de riscosApresentação sobre gerenciamento de riscos
Apresentação sobre gerenciamento de riscosCaio Petrônios
 
Perfil corporativo web
Perfil corporativo webPerfil corporativo web
Perfil corporativo web72security
 
Palestra sobre Gestão de Continuidade de Negócios
Palestra sobre Gestão de Continuidade de NegóciosPalestra sobre Gestão de Continuidade de Negócios
Palestra sobre Gestão de Continuidade de NegóciosGLM Consultoria
 
Palestra BB MAPFRE_12Nov2014_linkedin
Palestra BB MAPFRE_12Nov2014_linkedinPalestra BB MAPFRE_12Nov2014_linkedin
Palestra BB MAPFRE_12Nov2014_linkedinFabio Coimbra, PhD, MSc, MBA
 
Risk Governance_IBGC_19Abril2013
Risk Governance_IBGC_19Abril2013Risk Governance_IBGC_19Abril2013
Risk Governance_IBGC_19Abril2013Fabio Coimbra, PhD, MSc, MBA
 
Plano de Continuidade de Negócios
Plano de Continuidade de NegóciosPlano de Continuidade de Negócios
Plano de Continuidade de NegóciosInformaGroup
 

Recomendados

Gestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de NegóciosGestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de NegóciosAlvaro Gulliver
 
Gestão de Riscos Corporativos 2018
Gestão de Riscos Corporativos 2018Gestão de Riscos Corporativos 2018
Gestão de Riscos Corporativos 2018Rodrigo Dantas, PMP, Msc
 
Apresentação sobre gerenciamento de riscos
Apresentação sobre gerenciamento de riscosApresentação sobre gerenciamento de riscos
Apresentação sobre gerenciamento de riscosCaio Petrônios
 
Perfil corporativo web
Perfil corporativo webPerfil corporativo web
Perfil corporativo web72security
 
Palestra sobre Gestão de Continuidade de Negócios
Palestra sobre Gestão de Continuidade de NegóciosPalestra sobre Gestão de Continuidade de Negócios
Palestra sobre Gestão de Continuidade de NegóciosGLM Consultoria
 
Palestra BB MAPFRE_12Nov2014_linkedin
Palestra BB MAPFRE_12Nov2014_linkedinPalestra BB MAPFRE_12Nov2014_linkedin
Palestra BB MAPFRE_12Nov2014_linkedinFabio Coimbra, PhD, MSc, MBA
 
Risk Governance_IBGC_19Abril2013
Risk Governance_IBGC_19Abril2013Risk Governance_IBGC_19Abril2013
Risk Governance_IBGC_19Abril2013Fabio Coimbra, PhD, MSc, MBA
 
Plano de Continuidade de Negócios
Plano de Continuidade de NegóciosPlano de Continuidade de Negócios
Plano de Continuidade de NegóciosInformaGroup
 
Sistema de Gestão de Risco - Implantação
Sistema de Gestão de Risco - ImplantaçãoSistema de Gestão de Risco - Implantação
Sistema de Gestão de Risco - ImplantaçãoAndré Santos
 
Gestão de Risco
Gestão de RiscoGestão de Risco
Gestão de RiscoAdeildo Caboclo
 
Coso Erm Executive Summary Portuguese
Coso Erm Executive Summary PortugueseCoso Erm Executive Summary Portuguese
Coso Erm Executive Summary PortugueseLuiz Deoclecio Fiore, CRMA Certified
 
Plano de continuidade de negocios
Plano de continuidade de negociosPlano de continuidade de negocios
Plano de continuidade de negociosFernando Pessoal
 
Gestao de servicos de Ti | Andracom
Gestao de servicos de Ti | AndracomGestao de servicos de Ti | Andracom
Gestao de servicos de Ti | AndracomAndracom Solutions
 
Webinar | Gerenciamento de Risco Corporativo segundo COSO®
Webinar | Gerenciamento de Risco Corporativo segundo COSO®Webinar | Gerenciamento de Risco Corporativo segundo COSO®
Webinar | Gerenciamento de Risco Corporativo segundo COSO®CompanyWeb
 
Gestão de risco e auditoria
Gestão de risco e auditoriaGestão de risco e auditoria
Gestão de risco e auditoriaFabio Duarte
 
Gerenciamento de riscos abordando os assuntos tratados no PMBOK®, ISO 31000 e...
Gerenciamento de riscos abordando os assuntos tratados no PMBOK®, ISO 31000 e...Gerenciamento de riscos abordando os assuntos tratados no PMBOK®, ISO 31000 e...
Gerenciamento de riscos abordando os assuntos tratados no PMBOK®, ISO 31000 e...Jefferson Oliveira
 
O que e_abr
O que e_abrO que e_abr
O que e_abrandrealeixes
 
Aula 4 - Plano de Continuidade de Negócios (PCN)
Aula 4 - Plano de Continuidade de Negócios (PCN)Aula 4 - Plano de Continuidade de Negócios (PCN)
Aula 4 - Plano de Continuidade de Negócios (PCN)Carlos Henrique Martins da Silva
 
Gerenciamento Risco Pwc
Gerenciamento Risco PwcGerenciamento Risco Pwc
Gerenciamento Risco PwcLuiz Deoclecio Fiore, CRMA Certified
 
Implemente Aud Riscos Abr
Implemente Aud Riscos AbrImplemente Aud Riscos Abr
Implemente Aud Riscos AbrLuiz Deoclecio Fiore, CRMA Certified
 
Aula03
Aula03Aula03
Aula03paulopcc
 
Elo Group Incerteza Como Fonte De Vantagem Competitiva (Abnt)
Elo Group Incerteza Como Fonte De Vantagem Competitiva (Abnt)Elo Group Incerteza Como Fonte De Vantagem Competitiva (Abnt)
Elo Group Incerteza Como Fonte De Vantagem Competitiva (Abnt)EloGroup
 
AnáLise De Risco Parada 2011
AnáLise De Risco Parada 2011AnáLise De Risco Parada 2011
AnáLise De Risco Parada 2011Luiz Ignacio Neumann
 
Elo Group Criando Valor Com A GestãO De Riscos (Sucesu)
Elo Group Criando Valor Com A GestãO De Riscos (Sucesu)Elo Group Criando Valor Com A GestãO De Riscos (Sucesu)
Elo Group Criando Valor Com A GestãO De Riscos (Sucesu)EloGroup
 
Implantando ou aperfeiçoando o DRP alinhado às necessidades do negócio
Implantando ou aperfeiçoando o DRP alinhado às necessidades do negócioImplantando ou aperfeiçoando o DRP alinhado às necessidades do negócio
Implantando ou aperfeiçoando o DRP alinhado às necessidades do negócioSidney Modenesi, MBCI
 
A Continuidade de Negócios - Seu Seguro para Incidentes de Segurança e de Tec...
A Continuidade de Negócios - Seu Seguro para Incidentes de Segurança e de Tec...A Continuidade de Negócios - Seu Seguro para Incidentes de Segurança e de Tec...
A Continuidade de Negócios - Seu Seguro para Incidentes de Segurança e de Tec...Sidney Modenesi, MBCI
 
Gestão da Continuidade de Negócios - mini curso
Gestão da Continuidade de Negócios - mini cursoGestão da Continuidade de Negócios - mini curso
Gestão da Continuidade de Negócios - mini cursobioiniciativa - Estratégias Sustentáveis
 
Plano de gerenciamento de riscos de obras
Plano de gerenciamento de riscos de obrasPlano de gerenciamento de riscos de obras
Plano de gerenciamento de riscos de obrasUniversidade Federal Fluminense
 
Certificacao iso 27001
Certificacao iso 27001Certificacao iso 27001
Certificacao iso 27001Andre Verdugal
 
Apresentacao Roteiro Avaliacao Maturidade.pptx
Apresentacao Roteiro Avaliacao Maturidade.pptxApresentacao Roteiro Avaliacao Maturidade.pptx
Apresentacao Roteiro Avaliacao Maturidade.pptxBelzemiroSantiabo
 

Mais conteúdo relacionado

Mais procurados

Sistema de Gestão de Risco - Implantação
Sistema de Gestão de Risco - ImplantaçãoSistema de Gestão de Risco - Implantação
Sistema de Gestão de Risco - ImplantaçãoAndré Santos
 
Plano de continuidade de negocios
Plano de continuidade de negociosPlano de continuidade de negocios
Plano de continuidade de negociosFernando Pessoal
 
Gestao de servicos de Ti | Andracom
Gestao de servicos de Ti | AndracomGestao de servicos de Ti | Andracom
Gestao de servicos de Ti | AndracomAndracom Solutions
 
Webinar | Gerenciamento de Risco Corporativo segundo COSO®
Webinar | Gerenciamento de Risco Corporativo segundo COSO®Webinar | Gerenciamento de Risco Corporativo segundo COSO®
Webinar | Gerenciamento de Risco Corporativo segundo COSO®CompanyWeb
 
Gestão de risco e auditoria
Gestão de risco e auditoriaGestão de risco e auditoria
Gestão de risco e auditoriaFabio Duarte
 
Gerenciamento de riscos abordando os assuntos tratados no PMBOK®, ISO 31000 e...
Gerenciamento de riscos abordando os assuntos tratados no PMBOK®, ISO 31000 e...Gerenciamento de riscos abordando os assuntos tratados no PMBOK®, ISO 31000 e...
Gerenciamento de riscos abordando os assuntos tratados no PMBOK®, ISO 31000 e...Jefferson Oliveira
 
Elo Group Incerteza Como Fonte De Vantagem Competitiva (Abnt)
Elo Group Incerteza Como Fonte De Vantagem Competitiva (Abnt)Elo Group Incerteza Como Fonte De Vantagem Competitiva (Abnt)
Elo Group Incerteza Como Fonte De Vantagem Competitiva (Abnt)EloGroup
 
Elo Group Criando Valor Com A GestãO De Riscos (Sucesu)
Elo Group Criando Valor Com A GestãO De Riscos (Sucesu)Elo Group Criando Valor Com A GestãO De Riscos (Sucesu)
Elo Group Criando Valor Com A GestãO De Riscos (Sucesu)EloGroup
 
Implantando ou aperfeiçoando o DRP alinhado às necessidades do negócio
Implantando ou aperfeiçoando o DRP alinhado às necessidades do negócioImplantando ou aperfeiçoando o DRP alinhado às necessidades do negócio
Implantando ou aperfeiçoando o DRP alinhado às necessidades do negócioSidney Modenesi, MBCI
 
A Continuidade de Negócios - Seu Seguro para Incidentes de Segurança e de Tec...
A Continuidade de Negócios - Seu Seguro para Incidentes de Segurança e de Tec...A Continuidade de Negócios - Seu Seguro para Incidentes de Segurança e de Tec...
A Continuidade de Negócios - Seu Seguro para Incidentes de Segurança e de Tec...Sidney Modenesi, MBCI
 

Mais procurados (20)

Sistema de Gestão de Risco - Implantação
Sistema de Gestão de Risco - ImplantaçãoSistema de Gestão de Risco - Implantação
Sistema de Gestão de Risco - Implantação
 
Gestão de Risco
Gestão de RiscoGestão de Risco
Gestão de Risco
 
Coso Erm Executive Summary Portuguese
Coso Erm Executive Summary PortugueseCoso Erm Executive Summary Portuguese
Coso Erm Executive Summary Portuguese
 
Plano de continuidade de negocios
Plano de continuidade de negociosPlano de continuidade de negocios
Plano de continuidade de negocios
 
Gestao de servicos de Ti | Andracom
Gestao de servicos de Ti | AndracomGestao de servicos de Ti | Andracom
Gestao de servicos de Ti | Andracom
 
Webinar | Gerenciamento de Risco Corporativo segundo COSO®
Webinar | Gerenciamento de Risco Corporativo segundo COSO®Webinar | Gerenciamento de Risco Corporativo segundo COSO®
Webinar | Gerenciamento de Risco Corporativo segundo COSO®
 
Gestão de risco e auditoria
Gestão de risco e auditoriaGestão de risco e auditoria
Gestão de risco e auditoria
 
Gerenciamento de riscos abordando os assuntos tratados no PMBOK®, ISO 31000 e...
Gerenciamento de riscos abordando os assuntos tratados no PMBOK®, ISO 31000 e...Gerenciamento de riscos abordando os assuntos tratados no PMBOK®, ISO 31000 e...
Gerenciamento de riscos abordando os assuntos tratados no PMBOK®, ISO 31000 e...
 
O que e_abr
O que e_abrO que e_abr
O que e_abr
 
Aula 4 - Plano de Continuidade de Negócios (PCN)
Aula 4 - Plano de Continuidade de Negócios (PCN)Aula 4 - Plano de Continuidade de Negócios (PCN)
Aula 4 - Plano de Continuidade de Negócios (PCN)
 
Gerenciamento Risco Pwc
Gerenciamento Risco PwcGerenciamento Risco Pwc
Gerenciamento Risco Pwc
 
Implemente Aud Riscos Abr
Implemente Aud Riscos AbrImplemente Aud Riscos Abr
Implemente Aud Riscos Abr
 
Aula03
Aula03Aula03
Aula03
 
Elo Group Incerteza Como Fonte De Vantagem Competitiva (Abnt)
Elo Group Incerteza Como Fonte De Vantagem Competitiva (Abnt)Elo Group Incerteza Como Fonte De Vantagem Competitiva (Abnt)
Elo Group Incerteza Como Fonte De Vantagem Competitiva (Abnt)
 
AnáLise De Risco Parada 2011
AnáLise De Risco Parada 2011AnáLise De Risco Parada 2011
AnáLise De Risco Parada 2011
 
Elo Group Criando Valor Com A GestãO De Riscos (Sucesu)
Elo Group Criando Valor Com A GestãO De Riscos (Sucesu)Elo Group Criando Valor Com A GestãO De Riscos (Sucesu)
Elo Group Criando Valor Com A GestãO De Riscos (Sucesu)
 
Implantando ou aperfeiçoando o DRP alinhado às necessidades do negócio
Implantando ou aperfeiçoando o DRP alinhado às necessidades do negócioImplantando ou aperfeiçoando o DRP alinhado às necessidades do negócio
Implantando ou aperfeiçoando o DRP alinhado às necessidades do negócio
 
A Continuidade de Negócios - Seu Seguro para Incidentes de Segurança e de Tec...
A Continuidade de Negócios - Seu Seguro para Incidentes de Segurança e de Tec...A Continuidade de Negócios - Seu Seguro para Incidentes de Segurança e de Tec...
A Continuidade de Negócios - Seu Seguro para Incidentes de Segurança e de Tec...
 
Gestão da Continuidade de Negócios - mini curso
Gestão da Continuidade de Negócios - mini cursoGestão da Continuidade de Negócios - mini curso
Gestão da Continuidade de Negócios - mini curso
 
Plano de gerenciamento de riscos de obras
Plano de gerenciamento de riscos de obrasPlano de gerenciamento de riscos de obras
Plano de gerenciamento de riscos de obras
 

Semelhante a Segurança e privacidade na era da informação

Certificacao iso 27001
Certificacao iso 27001Certificacao iso 27001
Certificacao iso 27001Andre Verdugal
 
Apresentacao Roteiro Avaliacao Maturidade.pptx
Apresentacao Roteiro Avaliacao Maturidade.pptxApresentacao Roteiro Avaliacao Maturidade.pptx
Apresentacao Roteiro Avaliacao Maturidade.pptxBelzemiroSantiabo
 
365 saturday - PowerApps Portal na Gestão da Privacidade
365 saturday - PowerApps Portal na Gestão da Privacidade365 saturday - PowerApps Portal na Gestão da Privacidade
365 saturday - PowerApps Portal na Gestão da PrivacidadeCLEBER VISCONTI
 
A risk-management-standard-portuguese-version
A risk-management-standard-portuguese-versionA risk-management-standard-portuguese-version
A risk-management-standard-portuguese-versionNuno Silva
 
Política e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticosPolítica e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticosBruno Oliveira
 
NBR ISO/IEC 27001
NBR ISO/IEC 27001NBR ISO/IEC 27001
NBR ISO/IEC 27001Amanda Luz
 
FGV MBA GEEP T40 Implantacao de PMO em LISARB
FGV MBA GEEP T40 Implantacao de PMO em LISARBFGV MBA GEEP T40 Implantacao de PMO em LISARB
FGV MBA GEEP T40 Implantacao de PMO em LISARBMarco Coghi
 
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 Foundation
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 FoundationISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 Foundation
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 FoundationCompanyWeb
 
Plano estratégico de segurança da informação
Plano estratégico de segurança da informação Plano estratégico de segurança da informação
Plano estratégico de segurança da informação Módulo Security Solutions
 
Auditoria e Segurança em TI
Auditoria e Segurança em TIAuditoria e Segurança em TI
Auditoria e Segurança em TIWagner Silva
 
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...Luzia Dourado
 
ISO 27001 - 5
ISO 27001 - 5ISO 27001 - 5
ISO 27001 - 5jcfarit
 
CGU - Controles Internos - Coso
CGU - Controles Internos - CosoCGU - Controles Internos - Coso
CGU - Controles Internos - CosoFelipe Prado
 
Implementação de um programa de segurança da informação
Implementação de um programa de segurança da informaçãoImplementação de um programa de segurança da informação
Implementação de um programa de segurança da informaçãoAlexandre Lima
 
06 Sistema de Gestão em Segurança e Saúde no Trabalho.pptx
06 Sistema de Gestão em Segurança e Saúde no Trabalho.pptx06 Sistema de Gestão em Segurança e Saúde no Trabalho.pptx
06 Sistema de Gestão em Segurança e Saúde no Trabalho.pptxlucasriostst
 
Daryus 27001 2013_r1
Daryus 27001 2013_r1Daryus 27001 2013_r1
Daryus 27001 2013_r1hs1982
 

Semelhante a Segurança e privacidade na era da informação (20)

Certificacao iso 27001
Certificacao iso 27001Certificacao iso 27001
Certificacao iso 27001
 
Apresentacao Roteiro Avaliacao Maturidade.pptx
Apresentacao Roteiro Avaliacao Maturidade.pptxApresentacao Roteiro Avaliacao Maturidade.pptx
Apresentacao Roteiro Avaliacao Maturidade.pptx
 
365 saturday - PowerApps Portal na Gestão da Privacidade
365 saturday - PowerApps Portal na Gestão da Privacidade365 saturday - PowerApps Portal na Gestão da Privacidade
365 saturday - PowerApps Portal na Gestão da Privacidade
 
A risk-management-standard-portuguese-version
A risk-management-standard-portuguese-versionA risk-management-standard-portuguese-version
A risk-management-standard-portuguese-version
 
Assessoria ao processo decisorio Ampliado
Assessoria ao processo decisorio AmpliadoAssessoria ao processo decisorio Ampliado
Assessoria ao processo decisorio Ampliado
 
Política e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticosPolítica e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticos
 
NBR ISO/IEC 27001
NBR ISO/IEC 27001NBR ISO/IEC 27001
NBR ISO/IEC 27001
 
FGV MBA GEEP T40 Implantacao de PMO em LISARB
FGV MBA GEEP T40 Implantacao de PMO em LISARBFGV MBA GEEP T40 Implantacao de PMO em LISARB
FGV MBA GEEP T40 Implantacao de PMO em LISARB
 
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 Foundation
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 FoundationISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 Foundation
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 Foundation
 
Plano estratégico de segurança da informação
Plano estratégico de segurança da informação Plano estratégico de segurança da informação
Plano estratégico de segurança da informação
 
Auditoria e Segurança em TI
Auditoria e Segurança em TIAuditoria e Segurança em TI
Auditoria e Segurança em TI
 
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
 
Gestão riscos estratégicos
Gestão riscos estratégicosGestão riscos estratégicos
Gestão riscos estratégicos
 
ISO 27001 - 5
ISO 27001 - 5ISO 27001 - 5
ISO 27001 - 5
 
CGU - Controles Internos - Coso
CGU - Controles Internos - CosoCGU - Controles Internos - Coso
CGU - Controles Internos - Coso
 
Implementação de um programa de segurança da informação
Implementação de um programa de segurança da informaçãoImplementação de um programa de segurança da informação
Implementação de um programa de segurança da informação
 
06 Sistema de Gestão em Segurança e Saúde no Trabalho.pptx
06 Sistema de Gestão em Segurança e Saúde no Trabalho.pptx06 Sistema de Gestão em Segurança e Saúde no Trabalho.pptx
06 Sistema de Gestão em Segurança e Saúde no Trabalho.pptx
 
Daryus 27001 2013_r1
Daryus 27001 2013_r1Daryus 27001 2013_r1
Daryus 27001 2013_r1
 
Gestão de Riscos nas Operações Empresariais
Gestão de Riscos nas Operações EmpresariaisGestão de Riscos nas Operações Empresariais
Gestão de Riscos nas Operações Empresariais
 
Catalogo parte2
Catalogo parte2Catalogo parte2
Catalogo parte2
 

Segurança e privacidade na era da informação

  • 1. Segurança e privacidadeSegurança e privacidade Gustavo C. Russo – 12.206.507-1 Marina C. Moraes – 12.112.680-9 Pedro P. Garcia – 12.112.399-6 Willian Weller – 12.206.544-4 Yuri N. Constanti – 12.206.490-0
  • 2. Agenda • Snowden • Criptografia • Normas • Guidelines• Guidelines • COSO • Estatísticas • The Good Shepherd (2006) - Filme
  • 3. Snowden • Ex-funcionário da CIA • Ex-contratado da NSA • Entrevista exclusiva em Hong Kong ▫ Glenn Greenwald ▫ Laura Poitras ▫ http://www.theguardian.com/world/video/2013/jul/08/edward-snowden-video-interview
  • 4. Cr1pt0graf1@ • “BMWP8EJMNB” • O que significa?• O que significa? • Regra: (Letra – 1 e espaço=8) “ALVO DILMA”
  • 5. NBR ISO/IEC 27001:2006 • Abordagem do Processo Modelo PDCA
  • 6. NBR ISO/IEC 27002:2005 Informação e Segurança da Informação
  • 8. NBR ISO/IEC 27005:2008 DEFINIÇÃO DO CONTEXTO: • Determinação de um propósito • Definição de critérios básicos ▫ Critérios para avaliação de risco ▫ Critérios de impacto ▫ Critérios para aceitação do risco • Escopo e limites • Organização para gestão de risco de segurança da informação
  • 9. NBR ISO/IEC 27005:2008 ANÁLISE/AVALIÇÃO DE RISCO: • Identificação dos riscos ▫ Identificação dos ativos ▫ Identificação das ameaças ▫ Identificação dos controles existentes ▫ Identificação das vulnerabilidades ▫ Identificação dos controles existentes ▫ Identificação das vulnerabilidades ▫ Identificação das conseqüências • Estimativas de riscos ▫ Metodologias para estimativa de riscos ▫ Avaliação das conseqüências ▫ Avaliação da probabilidade dos incidentes ▫ Estimativa do nível de risco • Avaliação dos riscos
  • 11. NBR ISO/IEC 27005:2008 ACEITAÇÃO DO RISCO: • Decisão dos gestores da organização • Análise crítica• Análise crítica • Considerado as circunstâncias predominantes no momento • Documento formal ▫ Lista de riscos aceitos ▫ Justificativa para aqueles que não satisfaçam os critérios normais para aceitação de risco
  • 12. General Security Risk Assessment • Guia no qual os riscos de segurança podem ser identificado e comunicados • Metodologia dividida em 7 etapas• Metodologia dividida em 7 etapas • Criado nos EUA por principais representantes de organizações de segurança do país
  • 13. Etapas • Compreender a organização e identificar as pessoas e bens em risco • Especificar perdas em eventos de risco / vulnerabilidades • Estabelecer a probabilidade de risco de perda e• Estabelecer a probabilidade de risco de perda e freqüência de eventos • Determinar o impacto dos eventos • Desenvolver opções para aliviar os riscos • Estudar a viabilidade de implementação das opções • Analisar o custo benefício
  • 14.
  • 15. “Handbook” de Segurança da Informação Um Guia Para Gestores • Objetivo e Aplicabilidade • Relação com a Orientação Existente
  • 16. Governança da Segurança da Informação
  • 17. Ciclo de Vida de Desenvolvimento de Sistema
  • 18. Sistemas Interligados Estabelecer Equipe de Planejamento Definir o Caso de Negócio Realizar C&A 1 2 3 Planejamento Determinar Requisitos de Interligação Documento de Acordo de Interligação Aprovação ou Rejeição da Interligação 4 5 6
  • 20. Planos de Contingência na Tecnologia da Informação
  • 22. Certificação, Confiabilidade e Avaliações de Segurança • Papéis e Responsabilidades da Certificação, Confiabilidade e avaliações de segurança; • Delegação de Funções;• Delegação de Funções; • O Processo de Certificação e Confiabilidade da Segurança; • Documentação da Certificação de Segurança; • Decisões de Confiabilidade; • Monitoramento Contínuo; • Avaliações de programas;
  • 23. Serviços de Segurança e Aquisição de Produtos
  • 24. Resposta a Incidentes Preparação • Preparando para Resposta a Incidentes • Preparando para coletar dados de Incidentes • Prevenção de Incidentes• Prevenção de Incidentes Detecção e Análise Contenção, erradicação e recuperação Pós-Incidente Atividade
  • 25. Por que da gestão?
  • 26. BS 7799-3:2006 Information security Management Systems • Objetivo: Prover orientação e suporte para implantação dos requerimentos definidos na BS ISO/IEC 27001:2005.* • Risk approach: ▫ 1-Escopo ▫ 2-Referência ▫ 3-Termos e definições ▫ 4-Contexto organizacional ▫ 5-Avaliação ▫ 6-Tratamento ▫ 7-On going Monitoring ▫ 7-Reavaliações *Mostrar tabela comparativa
  • 27. Riscos da Segurança da Informação nas organizações • Scope and Policy ▫ Business Case: Recurso Razões (O por que implementar?) RAZÕES Legal ou Regulatório Recurso Definições da empresa* ▫ ISMS Scope Definição do Escopo ▫ ISMS Policy ▫ Risk Approach • Approach ▫ Determinação do critério de aceitação de riscos ▫ Identificação de níveis aceitáveis de riscos ▫ Identificação e avaliação dos riscos ▫ Cobertura dos aspectos do escopo ISMS RAZÕES Privada ou estatal Tamanho da companhia Localilzação Geográfica Tipo de negócio
  • 28. Avaliação do Risco Cálculo do Risco Avaliador de risco A pessoa que perfomará a gestão do risco tem que ter diversas caracteristicas, tais como: ▫ Conhecimentos em TI ▫ Conhecimento no negócio ▫ Conhecimento de controle de risco ▫ E outros diversos
  • 29. Objetivo: É contribuir para que a gestão de empresas e demais organizações adotem uma forma mais adequada de abordar os riscos inerentes ao cumprimento de seus objetivos. Como: Integrar diversos conceitos deComo: Integrar diversos conceitos de administração de riscos em uma única estrutura . Resultado: Acomodar a maior parte das opiniões e, assim, possibilitar a avaliação e o aprimoramento da gestão de riscos corporativos para futuras iniciativas de órgãos reguladores e de ensino.
  • 30. O que é o gerenciamento de riscos? São riscos e oportunidades de criar ou preservar valor. Alguns conceitos fundamentais para definição de gerenciamento de riscos: • Um processo contínuo e que flui pela organização; • Conduzido pelos profissionais em todos os níveis da organização; • Definição das estratégias; • Visão de todos os riscos a que a organização está exposta; • Identifique eventos em potencial, cuja ocorrência poderá afetar a organização, e que administre os riscos de acordo com o seu apetite a risco; • Capaz de propiciar garantia razoável para a organização; • Orientado para à realização e cumprimento dos objetivos em uma ou mais categorias distintas, mas dependentes.
  • 31. Cumprimento dos Objetivos Essa estrutura estabelece quatro categorias de objetivos para a organização: • Estratégicos –referem-se às metas no nível mais elevado. Alinham-se e fornecem apoio à missão;fornecem apoio à missão; • Operações –têm como meta a utilização eficaz e eficiente dos recursos; • Comunicação –relacionados à confiabilidade dos relatórios; • Conformidade –fundamentam-se no cumprimento das leis e dos regulamentos pertinentes.
  • 32. O que são componentes do gerenciamento de riscos corporativos ? São constituído de oito componentes inter-relacionados, que trata a maneira de como a administração gerencia a organização, e que se integram ao processo de gestão. Ambiente Interno Resposta a RiscoAmbiente Interno Fixação de Objetivos Identificação de Eventos Avaliação de Riscos Resposta a Risco Atividades de Controle Informações e Comunicações Monitoramento
  • 33. Ambiente Interno O ambiente interno determina os conceitos básicos sobre a forma como os riscos e os controles serão vistos e abordados pelos empregados da organização. Impacto de um ambiente interno ineficaz pode ir muito longe e talvez provocar prejuízos financeiros, desgastes da imagem pública ou até mesmo o fracasso. Fixação de Objetivos Em primeiro lugar, é necessário que os objetivos existam para que a administração possa identificar e avaliar os riscos quanto a sua realização, bem como adotar as medidas necessárias para administrá-los. • Objetivos estratégicos • Objetivos Correlatos
  • 34. Avaliação de Riscos Identificação de Eventos Podemos identificar os eventos em : Riscos Oportunidade Riscos e Oportunidade Avaliação de Riscos Os riscos identificados são analisados com a finalidade de determinar a forma como serão administrados e depois serão associados aos objetivos que podem influenciar. Avaliam-se os riscos considerando seus efeitos: Inerentes e Residuais Probabilidade e seu Impacto
  • 35. Resposta a Risco Os empregados identificam e avaliam as possíveis respostas aos riscos: evitar, aceitar, reduzir ou compartilhar. A administração seleciona o conjunto de ações destinadas a alinhar os riscos às respectivas tolerâncias e ao apetite a risco. As respostas a riscos classificam-se nas seguintes categorias: Evitar Reduzir Compartilhar CompartilharEvitar Reduzir Compartilhar Compartilhar Atividades de Controle Políticas e procedimentos são estabelecidos e implementados para assegurar que as respostas aos riscos selecionados pela administração sejam executadas com eficácia.
  • 36. Relacionamento entre Objetivos e Componentes As quatro categorias de objetivos - estão representadas nas colunas verticais.verticais. Os oito componentes, nas linhas horizontais. A organização e as unidades de uma organização, na terceira dimensão do cubo
  • 37. Índice de Pirataria • BSA (Business Software Alliance) – associação que representa fabricantes de software • 7º Estudo Anual Global de Pirataria de Software - 2009 • Mundo:• Mundo: ▫ Geórgia 95% ▫ Zimbábue 92% ▫ Bangladesh 91% • Brasil: ▫ 56% ▫ Sendo que 2008 58% • Media mundial ▫ 43% http://tecnologia.uol.com.br/ultimas-noticias/redacao/2010/05/11/conheca- os-paises-30-paises-com-as-maiores-e-menores-taxas-de-pirataria-do- mundo.jhtm
  • 38. The Good Shepherd (2006) • Elenco ▫ Robert De Niro ▫ Matt Damon▫ Matt Damon ▫ Angelina Jolie • Sinopse ▫ Edward Wilson (Matt Damon) é recrutado para trabalhar na CIA na época da Guerra Fria. Tamanha espionagem, fazem com que ele tenha que sacrificar sua vida pessoal, seus ideais e sua família
  • 40. Bibliografia • ABNT NBR ISO/IEC 27005:2008 (ABNT,2008) • ASIS. General Security Risk Assessment guideline • ABNT. Tecnologia da informação – Técnicas de segurança – Código de prática para gestão da segurança da informação:Código de prática para gestão da segurança da informação: ABNT NBR ISSO/IEC 27002:2005. 2ª ed. Rio de Janeiro, 2005 • ABNT. Tecnologia da informação - Técnicas de segurança – Sistemas da gestão de segurança da informação: ABNT 27001:2006 1ª ed. Rio de Janeiro, 2006 • BOWEN, P.; HASH, J.; WILSON, M. NIST Special Publication 800- 100: Information Security Handbook: A Guide for Managers. [S.I.], October 2006.
  • 41. Bibliografia • BS.B.S. Information Security Management Systemns (BS 7799-3- 2006): Part 3: guidelines for information security risk management. 2006 • COSO: Committee of Sponsoring Oraganizations of the treadway Commission. Enterprise Risk Managment Framewor:Commission. Enterprise Risk Managment Framewor: Exposure Draft for Public Comment [S.I.], 2004 • http://www.asionline.org/guideleines/guidelines • http://csrc.nist.gov/publications/nistpubs/800-100/SP800-100- Mar07-2007.pdf • http://www.coso.org/documents/COSO_ERM_ExecutiveSummary _Portuguese.pdf