Com a atualização em setembro de 2013, a nova versão da ISO 27001 ficou ainda mais madura, privilegiando uma “gestão de riscos mais efetiva” com controles atualizados e organizados de forma mais intuitiva.
Como isso funciona? Vamos mostrar uma metodologia prática para aplicar esses controles em um ambiente real, demonstrando não só a teoria, mas também a aplicação hands-on da norma.
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
DARYUS Segurança da Informação: Práticas de Gestão de Risco da ISO 27001:2013 com o RealISMS
1. Claudio Dodt, ISMAS, CISSP, CISA, ISO 27001 Lead Auditor
Business Continuity & Security Senior Consultant
Sócio-Gerente
claudio.dodt@daryus.com.br www.daryus.com.br claudiododt.com
www.twitter.com/daryusbr www.twitter.com/cdodt www.facebook.com/claudiododtcom
Iluminando mentes,
capacitando profissionais
e protegendo negócios.
Segurança da Informação:
Práticas de Gestão de Risco da ISO
27001:2013 com o RealISMS.
3. AGENDA
DARYUS
A norma ISO 27001
Uma visão holística
O processo de Gestão de Riscos de
Segurança da Informação
Como vemos Segurança da Informação?
Práticas com o RealISMS
Perguntas
4. •O Strategic Risk Consulting não está apenas no nome, é fato.
•Nascemos em 2006 com o objetivo de popularizar as práticas de gestão de riscos
pervasivas aos processos de gestão empresarial.
•Entendemos que práticas de segurança, continuidade, riscos, conformidade e
governança de TIC são partes fundamentais da gestão moderna e não
complementos.
•A capacitação contínua das pessoas, a revisão continua dos processos, controles
para mitigar riscos e as certificações nas normas ISO são fatores de sucesso e
amadurecimento empresarial que acreditamos.
• DARYUS = Uma consultoria, uma escola de negócios e duas empresas de
tecnologias que agregam valor, reduzem custos e minimizam riscos.
Quem somos:
6. • Continuidade de Negócios
• Segurança da Informação
• Gestão de Processos de Negócios
• Governança, Risco e Conformidade
Nossos serviços:
7. Objetivo: Esta norma foi preparada para fornecer os
requisitos para estabelecer, implementar, manter e melhorar
continuamente um Sistema de Gestão de Segurança da
Informação.
Objetivo: Prover um modelo para estabelecer, implementar,
operar, monitorar, analisar criticamente, manter e melhorar
um Sistema de Gestão de Segurança da Informação
(SGSI).
A norma ISO 27001
27001:2005
A 27000 é a principal família de normas de Segurança da Informação aceitas
internacionalmente;
Aplicável a qualquer organização, independentemente de tamanho ou
segmento;
Base para uma certificação, mas pode ser usada mesmo sem esse objetivo.
8. Objetivo: Esta norma foi preparada para fornecer os
requisitos para estabelecer, implementar, manter e melhorar
continuamente um Sistema de Gestão de Segurança da
Informação.
A norma ISO 27001
Atualizada em 25 de Setembro de 2013;
Update foi baseado na experiência de usuários que buscavam certificação;
Objetivo principal é simplificar a abordagem e proporcionar melhorias na
gestão de riscos.
É possível baixar gratuitamente a ISO 27000:2012 (vocabulário) aqui:
http://dary.us/1adqpM1 (em inglês)
27001:2013
10. O processo de Gestão de Riscos de SegInfo
DEFINIÇÃO DO CONTEXTO
ANÁLISE / AVALIAÇÃO DE RISCOS
ANÁLISE DE RISCOS
IDENTIFICAÇÃO DE RISCOS
ESTIMATIVA DE RISCOS
AVALIAÇÃO DE RISCOS
PONTO DE DECISÃO 1
Avaliação Satisfatória Não
TRATAMENTO DO RISCO
ACEITAÇÃO DO RISCO
Sim
Sim
PONTO DE DECISÃO 2
Tratamento Satisfatório
MONITORAMENTOEANÁLISECRÍTICADERISCOS
COMUNICAÇÃODORISCO
Não
Processo de Gestão de Riscos
ISO 27005:2011
•O objetivo é reduzir o risco a um
nível aceitável e não extinguir o
risco.
Processo
do SGSI
Processo de gestão de riscos de SI
Planejar • Definição do contexto
• Análise/avaliação de riscos
• Definição do plano de tratamento do risco
• Aceitação do risco
Executar • Implementação do plano de tratamento do
risco
Verificar • Monitoramento contínuo e análise crítica de
riscos
Agir • Manter e melhorar o processo de Gestão
de Riscos de Segurança da Informação
11. Plano para identificar a ação de gestão apropriada,
recursos, responsabilidades e prioridades para a gestão
dos riscos de segurança
PLANO DE
TRATAMENTO DE
RISCOS
Todos os controles planejados devem ser incluídos em um
Plano de Tratamento de Riscos.
O objetivo do tratamento de riscos não é a eliminação completa
e sim diminuir o nível de risco para um patamar tido como
aceitável.
Controles que não são justificáveis do ponto de vista do negócio
não devem ser implementados.
O processo de Gestão de Riscos de SegInfo
12. PLANO DE
TRATAMENTO DE
RISCOS
Resultado da Avaliação de
Riscos
Tratamento do Risco
Opções de Tratamento
Reter
Risco Residual
Reduzir Evitar Transferir
O processo de Gestão de Riscos de SegInfo
13. Opções de Tratamento
Reter
Reduzir
Evitar
Transferir
Aplicação de um controle para que o Risco seja reavaliado como aceitável.
Caso o Risco atenda os critérios para aceitação o mesmo poderá ser retido.
O Risco pode ser evitado através da eliminação da atividade ou processo de
negócio ou de uma mudança significativa no ambiente (e.g. mudar um
Datacenter de localidade)
O Risco pode ser transferido para uma outra entidade (e.g. Contratação de um
seguro, terceirizar). É importante lembrar que não se pode transferir
completamente a responsabilidade pela segurança da informação.
O processo de Gestão de Riscos de SegInfo
17. • Suporte completo a biblioteca de riscos e
controles da ISO 27001;
• Mapeamento de Ativos de Informação;
• Identificação e Tratamento de Riscos;
• Controle de Documentos, Normas,
Procedimentos;
• Gestão de Incidentes de Segurança.
Práticas com o RealISMS
real ISMS
18. ActPlan Do Check
Análise/Avaliação
de Gap/Riscos
Plano de
Tratamento dos
riscos
Avaliação e
Tratamento de
riscos
Treinamento e
conscientização
Definição do
escopo
Auditorias
internas
Métricas e
indicadores do
SGSI
Identificação de
não-
conformidades
Tratamento de
não-
conformidades
Apoio na
auditoria de 3ª.
parte
Declaração de
aplicabilidade
Metodologia DARYUS para Atendimento aos
requisitos da ISO 27001real ISMS
Práticas com o RealISMS
20. Matriz de Risco com 5 níveis
Nível de Risco por:
Dashboard Sumário da Gestão de Riscos
Muito Baixo Baixo Médio Alto Muito Alto
Área
Processo
Ativo
Práticas com o RealISMS
33. Vamos iniciar a sessão de PERGUNTAS. Utilize a
ferramenta do chat (para digitar) ou do hands on (para
pedir acesso e perguntar diretamente ao palestrante.
Perguntas?
34. Calendário Cursos
ISFS - ISO 27002 Foundation - Segurança da Informação: conceitos e
fundamentos
São Paulo - 16 a 17/04/2014 – diurno
Brasília - 06 a 07/05/2014 – diurno
Fortaleza - 22 a 25/04/2014 – noturno
ISMAS - ISO 27002 Advanced - Segurança da Informação: gerenciamento
avançado
São Paulo - 21 a 23/05/2014 – diurno
Brasília - 21 a 23/05/2014 – diurno
Fortaleza - 21 a 23/05/2014 – diurno
ITIL ® Foundation - Gerenciamento de Serviços de TI
Fortaleza - 12 a 16/05/2014 – diurno
* Válido até 15/05/2014
36. ACESSO AO MATERIAL
• Vamos Vamos disponibilizar o link com Cópia desta apresentação
+ Certificado de Participação para todos que responderem
nossa pesquisa de satisfação e nos ajudarem a aprimorar nossas
futuras ações (acesso imediato ao de desconectar da sessão ao final
da apresentação).
• Você também pode acessar nosso canal do YouTube e Slide Share
para ter acesso a todas as apresentações realizadas em 2012 e 2013.
• Mais Informações?
Milena Andrade
Regional Manager
Milena.andrade@exin.com
www.exin.com