[1] O documento apresenta a estrutura de um curso de Governança em Segurança da Informação ministrado pelo professor Marcelo Lau. [2] O curso terá 40 horas de duração divididas em 5 aulas com intervalos. [3] A estrutura do curso abordará temas como segurança como valor estratégico, governança e segurança da informação, norma ISO 27001 e métricas de segurança da informação.

1. © 2012 Marcelo Lau
Governança em
Segurança da Informação - Overview
Prof. Msc. Marcelo Lau

2. © 2012 Marcelo Lau
Estrutura do curso
 Carga horária: 40 horas.
 5 aulas (8 horas) com 2 intervalos de 15 minutos e
1 intervalo de 1 hora (almoço).
 Necessária Frequência Mínima de 80%.

3. © 2012 Marcelo Lau
Instrutor
Prof. Msc. Marcelo Lau
E-mail: marcelo.lau@datasecurity.com.br
 Diretor Executivo da Data Security.
 Atuou mais de 12 anos em bancos brasileiros em Segurança da Informação e
Prevenção à Fraude.
 Atualmente ministra aulas de formação em Compliance pela FEBRABAN, e
Forense Computacional na Universidade Presbiteriana Mackenzie e na FIAP.
 Foi professor no MBA de Segurança da Informação da FATEC/SP
 Coordenou o curso de Gestão em Segurança da Informação e Gerenciamento de
Projetos no SENAC/SP.
 É Engenheiro eletrônico da EEM com pós graduação em administração pela
FGV, mestre em ciência forense pela POLI/USP e pós graduado em
comunicação e arte pelo SENAC-SP.
 Ministra curso em Países como: Angola, Argentina, Colômbia, Bolívia, Perú e
Paraguai.
 É reconhecido pela imprensa Brasileira e Argentina com trabalhos realizados em
vários países do mundo.

4. © 2012 Marcelo Lau
CSO ou CISO?
 Papéis de um Chief Security Officer (CSO):
 Responsável pela segurança como um
todo, englobando:
 Plano de continuidade de negócios;
 Controle de acesso aos sistemas;
 Manutenção e desenvolvimento de
sistemas;
 Segurança física e ambiental;
 Conformidade;
 Segurança pessoal;
 Organização da segurança;
 Gerenciamento das operações e
comunicações;
 Gestão de ativos; e
 Política de segurança.

5. © 2012 Marcelo Lau
Funções organizacionais de Segurança
 Papéis do CSO e sua Equipe:
 Atividades operacionais específicas:
 Servir como consultor de segurança para a
organização;
 Documentar as políticas e procedimentos
de segurança criados pelo comitê de
segurança e verificar a sua adoção, uso e
eficiência;
 Prover treinamento e/ou conscientização
para todos os colaboradores, terceiros e
fornecedores sobre as política e
procedimentos de segurança da
informação; e
 Realizar avaliações de risco periódicas e
servir como uma auditoria interna relativa à
segurança.

6. © 2012 Marcelo Lau
Funções organizacionais de Segurança
 Equipe do CSO:
 Atividades operacionais específicas:
 Implementar e verificar a eficiência dos
controles de segurança;
 Analisar todos os planos relacionados com o
sistema de segurança em toda a rede da
organização, estando sempre em contato com
TI.
 Coordenar as atividades do comitê de
segurança.
 Orientar a organização das mais novas
tecnologias e vulnerabilidades de segurança.
 Monitorar os sistemas de controle de acesso
para garantir os privilégios adequados aos
sistemas e informações.
 Desenvolver um plano de recuperação de
desastres.

7. © 2012 Marcelo Lau
Estrutura do curso
 Segurança como valor estratégico:
 Definição de valor estratégico.
 Segurança das informação.
 Estratégias de Segurança.
 Responsabilidades e visão da área de
segurança.
 CSO X CISO.
 Organogramas das áreas de segurança.
 Estratégias de redução de risco.
 Monitoramento de segurança.
 Auditorias de Segurança.
 Classificação da Informação.
 Gestão Executiva e Gestão da
Segurança.

8. © 2012 Marcelo Lau
Estrutura do curso
 Governança e Segurança da Informação
 O que é governança?
 COSO.
 Governança Corporativa.
 Gestão de Pessoas.
 Governança em Tecnologia da Informação.
 Fundamentos do COBIT.
 Governança em Segurança da Informação.
 Benefícios da Governança de SI.
 Resultados esperados na Governança de SI.
 Características de uma Governança de
Segurança Eficaz.
 Plano de Segurança Empresarial (PES).
 Responsabilidades na Governança de SI.
 Segurança Orgânica.
 Arquitetura de Segurança.
 Framework SABSA.
 Eficiência na Governança de Segurança.

9. © 2012 Marcelo Lau
Estrutura do curso
 NBR ISO 27001 - Sistema de Gestão da
Segurança da Informação (SGSI)
 Sistema de Gestão de Segurança da
Informação.
 Modelo PDCA.
 Estabelecimento do SGSI.
 Implementação e Operação do SGSI.
 Monitoramento e Análise Crítica do SGSI.
 Manutenção e Melhoria do SGSI.
 Requisitos de Documentação e Controle
de Documentos.
 Controle de Registros.
 Requisitos Adicionais do SGSI.
 Responsabilidades da Direção.
 Auditorias Internas do SGSI.
 Análise Crítica do SGSI pela Direção.
 Melhoria do SGSI.

10. © 2012 Marcelo Lau
Estrutura do curso
 Métricas de Segurança da
Informação
 NBR ISO 27004 - Métricas para
a Gestão da Segurança da
Informação.
 Gestão de Riscos e
Gerenciamento de Projetos
 NBR ISO 27005 - Gestão de
Risco da Segurança da
Informação.
 NBR ISO 31000 - Gestão de
Riscos: Princípios e Diretrizes.

11. © 2012 Marcelo Lau
Estrutura do curso
 Gestão de Projetos
 Conceitos de Gerenciamento de
Projetos.
 Principais conceitos do PMBOK.
 Gestão de Serviços de TI na
Segurança da Informação
 Introdução ao ITIL.
 ISO 20000 - Gerenciamento de
Serviços de TI.
 Gerenciamento de Segurança da
Informação.
 Gerenciamento de Incidentes.
 Gerenciamento de Mudanças.
 Gerenciamento da Continuidade dos
Serviços de TI.

12. © 2012 Marcelo Lau
Referências adicionais para estudo
 Bibliografia Data Security (http://www.datasecurity.com.br) em:
 Análise de vulnerabilidade.
 Forense Computacional.
 Biometria.
 Segurança em Sistemas Operacionais
 Ameaças aos sistemas computacionais,
 E muito mais...