Com a atualização em setembro de 2013, a nova versão da ISO 27001 ficou ainda mais madura, privilegiando uma “gestão de riscos mais efetiva” com controles atualizados e organizados de forma mais intuitiva. Como isso funciona? Vamos mostrar uma metodologia prática para aplicar esses controles em um ambiente real, demonstrando não só a teoria, mas também a aplicação hands-on da norma.

1. Claudio Dodt, ISMAS, CISSP, CISA, ISO 27001 Lead Auditor
Business Continuity & Security Senior Consultant
Sócio-Gerente
claudio.dodt@daryus.com.br www.daryus.com.br claudiododt.com
www.twitter.com/daryusbr www.twitter.com/cdodt www.facebook.com/claudiododtcom
Iluminando mentes,
capacitando profissionais
e protegendo negócios.
Segurança da Informação:
Práticas de Gestão de Risco da ISO
27001:2013 com o RealISMS.

2. Bem-vindo ao Circuito de Palestras EXIN 2014
Conheça o novo Portfólio EXIN:

3. AGENDA
 DARYUS
 A norma ISO 27001
 Uma visão holística
 O processo de Gestão de Riscos de
Segurança da Informação
 Como vemos Segurança da Informação?
 Práticas com o RealISMS
 Perguntas

4. •O Strategic Risk Consulting não está apenas no nome, é fato.
•Nascemos em 2006 com o objetivo de popularizar as práticas de gestão de riscos
pervasivas aos processos de gestão empresarial.
•Entendemos que práticas de segurança, continuidade, riscos, conformidade e
governança de TIC são partes fundamentais da gestão moderna e não
complementos.
•A capacitação contínua das pessoas, a revisão continua dos processos, controles
para mitigar riscos e as certificações nas normas ISO são fatores de sucesso e
amadurecimento empresarial que acreditamos.
• DARYUS = Uma consultoria, uma escola de negócios e duas empresas de
tecnologias que agregam valor, reduzem custos e minimizam riscos.
Quem somos:

5. Nossas unidades

6. • Continuidade de Negócios
• Segurança da Informação
• Gestão de Processos de Negócios
• Governança, Risco e Conformidade
Nossos serviços:

7. Objetivo: Esta norma foi preparada para fornecer os
requisitos para estabelecer, implementar, manter e melhorar
continuamente um Sistema de Gestão de Segurança da
Informação.
Objetivo: Prover um modelo para estabelecer, implementar,
operar, monitorar, analisar criticamente, manter e melhorar
um Sistema de Gestão de Segurança da Informação
(SGSI).
A norma ISO 27001
27001:2005
 A 27000 é a principal família de normas de Segurança da Informação aceitas
internacionalmente;
 Aplicável a qualquer organização, independentemente de tamanho ou
segmento;
 Base para uma certificação, mas pode ser usada mesmo sem esse objetivo.

8. Objetivo: Esta norma foi preparada para fornecer os
requisitos para estabelecer, implementar, manter e melhorar
continuamente um Sistema de Gestão de Segurança da
Informação.
A norma ISO 27001
 Atualizada em 25 de Setembro de 2013;
 Update foi baseado na experiência de usuários que buscavam certificação;
 Objetivo principal é simplificar a abordagem e proporcionar melhorias na
gestão de riscos.
 É possível baixar gratuitamente a ISO 27000:2012 (vocabulário) aqui:
http://dary.us/1adqpM1 (em inglês)
27001:2013

9. Uma visão holística
Essa é a visão da ISO 27001

10. O processo de Gestão de Riscos de SegInfo
DEFINIÇÃO DO CONTEXTO
ANÁLISE / AVALIAÇÃO DE RISCOS
ANÁLISE DE RISCOS
IDENTIFICAÇÃO DE RISCOS
ESTIMATIVA DE RISCOS
AVALIAÇÃO DE RISCOS
PONTO DE DECISÃO 1
Avaliação Satisfatória Não
TRATAMENTO DO RISCO
ACEITAÇÃO DO RISCO
Sim
Sim
PONTO DE DECISÃO 2
Tratamento Satisfatório
MONITORAMENTOEANÁLISECRÍTICADERISCOS
COMUNICAÇÃODORISCO
Não
Processo de Gestão de Riscos
ISO 27005:2011
•O objetivo é reduzir o risco a um
nível aceitável e não extinguir o
risco.
Processo
do SGSI
Processo de gestão de riscos de SI
Planejar • Definição do contexto
• Análise/avaliação de riscos
• Definição do plano de tratamento do risco
• Aceitação do risco
Executar • Implementação do plano de tratamento do
risco
Verificar • Monitoramento contínuo e análise crítica de
riscos
Agir • Manter e melhorar o processo de Gestão
de Riscos de Segurança da Informação

11. Plano para identificar a ação de gestão apropriada,
recursos, responsabilidades e prioridades para a gestão
dos riscos de segurança
PLANO DE
TRATAMENTO DE
RISCOS
 Todos os controles planejados devem ser incluídos em um
Plano de Tratamento de Riscos.
 O objetivo do tratamento de riscos não é a eliminação completa
e sim diminuir o nível de risco para um patamar tido como
aceitável.
 Controles que não são justificáveis do ponto de vista do negócio
não devem ser implementados.
O processo de Gestão de Riscos de SegInfo

12. PLANO DE
TRATAMENTO DE
RISCOS
Resultado da Avaliação de
Riscos
Tratamento do Risco
Opções de Tratamento
Reter
Risco Residual
Reduzir Evitar Transferir
O processo de Gestão de Riscos de SegInfo

13. Opções de Tratamento
Reter
Reduzir
Evitar
Transferir
Aplicação de um controle para que o Risco seja reavaliado como aceitável.
Caso o Risco atenda os critérios para aceitação o mesmo poderá ser retido.
O Risco pode ser evitado através da eliminação da atividade ou processo de
negócio ou de uma mudança significativa no ambiente (e.g. mudar um
Datacenter de localidade)
O Risco pode ser transferido para uma outra entidade (e.g. Contratação de um
seguro, terceirizar). É importante lembrar que não se pode transferir
completamente a responsabilidade pela segurança da informação.
O processo de Gestão de Riscos de SegInfo

14. Como vemos SegInfo?
Confidencialidade
Integridade Disponibilidade
Segurança
da
Informação
Pessoas Processos Tecnologia

15. Miopia do Iceberg
Tecnologia
Tecnologia é...
...a mera ponta...
...do iceberg.

16. Tecnologia
Processos
Pessoas
Miopia do Iceberg
• Investimento inteligente
• Padrões Testados
• Visão Estratégica
• Formalização
• Seleção
• Capacitação
• Reciclagem
• Conscientização

17. • Suporte completo a biblioteca de riscos e
controles da ISO 27001;
• Mapeamento de Ativos de Informação;
• Identificação e Tratamento de Riscos;
• Controle de Documentos, Normas,
Procedimentos;
• Gestão de Incidentes de Segurança.
Práticas com o RealISMS
real ISMS

18. ActPlan Do Check
Análise/Avaliação
de Gap/Riscos
Plano de
Tratamento dos
riscos
Avaliação e
Tratamento de
riscos
Treinamento e
conscientização
Definição do
escopo
Auditorias
internas
Métricas e
indicadores do
SGSI
Identificação de
não-
conformidades
Tratamento de
não-
conformidades
Apoio na
auditoria de 3ª.
parte
Declaração de
aplicabilidade
Metodologia DARYUS para Atendimento aos
requisitos da ISO 27001real ISMS
Práticas com o RealISMS

19. Dashboard  Sumário da Gestão de Riscos
Práticas com o RealISMS

20. Matriz de Risco com 5 níveis
Nível de Risco por:
Dashboard  Sumário da Gestão de Riscos
Muito Baixo Baixo Médio Alto Muito Alto
Área
Processo
Ativo
Práticas com o RealISMS

21. Práticas com o RealISMS

22. Gestão dos Riscos
Área Processo Ativo Risco Controle
Práticas com o RealISMS

23. Área Processo Ativo Risco Controle
Práticas com o RealISMS

24. Área Processo Ativo Risco Controle
Práticas com o RealISMS

25. Área Processo Ativo Risco Controle
Práticas com o RealISMS

26. Área Processo Ativo Risco Controle
Práticas com o RealISMS

27. Risco Potencial
25
Muito Alto
Área Processo Ativo Risco Controle
Práticas com o RealISMS

28. Uma das
opções é
reduzir o nível
de Risco com
Controles de
Segurança
Área Processo Ativo Risco Controle
Práticas com o RealISMS

29. Risco Potencial
25
Muito Alto
Risco Residual
14
Alto
3
Muito Baixo
Área Processo Ativo Risco Controle
Práticas com o RealISMS

30. Risco Reduzido
Práticas com o RealISMS

31. Controles de
Segurança
diretamente
alinhados as
melhores práticas,
criando o RTP
Plano de Tratamento
de Riscos
Visão Geral dos Controles
Práticas com o RealISMS

32. Relatórios Detalhados
Práticas com o RealISMS

33. Vamos iniciar a sessão de PERGUNTAS. Utilize a
ferramenta do chat (para digitar) ou do hands on (para
pedir acesso e perguntar diretamente ao palestrante.
Perguntas?

34. Calendário Cursos
ISFS - ISO 27002 Foundation - Segurança da Informação: conceitos e
fundamentos
São Paulo - 16 a 17/04/2014 – diurno
Brasília - 06 a 07/05/2014 – diurno
Fortaleza - 22 a 25/04/2014 – noturno
ISMAS - ISO 27002 Advanced - Segurança da Informação: gerenciamento
avançado
São Paulo - 21 a 23/05/2014 – diurno
Brasília - 21 a 23/05/2014 – diurno
Fortaleza - 21 a 23/05/2014 – diurno
ITIL ® Foundation - Gerenciamento de Serviços de TI
Fortaleza - 12 a 16/05/2014 – diurno
* Válido até 15/05/2014

35. Claudio Dodt, ISMAS, CISSP
Business Continuity & Security Senior Consultant
claudio.dodt@daryus.com.br
http://www.daryus.com.br
http://claudiododt.com
http://www.facebook.com/claudiododtcom
http://www.linkedin.com/profile/view?id=15394059
Obrigado!

36. ACESSO AO MATERIAL
• Vamos Vamos disponibilizar o link com Cópia desta apresentação
+ Certificado de Participação para todos que responderem
nossa pesquisa de satisfação e nos ajudarem a aprimorar nossas
futuras ações (acesso imediato ao de desconectar da sessão ao final
da apresentação).
• Você também pode acessar nosso canal do YouTube e Slide Share
para ter acesso a todas as apresentações realizadas em 2012 e 2013.
• Mais Informações?
Milena Andrade
Regional Manager
Milena.andrade@exin.com
www.exin.com