Este documento fornece um resumo sobre a ISACA Lisbon Chapter. Apresenta informações sobre a visão, missão e membros da ISACA em Portugal, além do modelo operacional proposto para o capítulo de Lisboa e a apresentação da diretoria. Também fornece um breve resumo sobre a certificação CISM e a importância da segurança da informação para a ISACA.
4. 1. ISACA Overview
Facts and Figures
ISACA® (Information Systems Audit and Control Association) – “leading global provider of knowledge,
certifications, community, advocacy and education on information systems (IS) assurance and security,
enterprise governance of IT, and IT-related risk and compliance”
Ano de criação: 1969 “individuals with similar jobs sat down to discuss the need for a centralized source of
information and guidance in the field.”
# de membros: 86.000 em 160 países
Modelos e frameworks: Business Model for Information Security (BMIS), IT Assurance Framework (ITAF),
COBIT®, Val IT™ e The Risk IT Framework.
Certificações: 70.000 Certified Information Systems Auditor™ (CISA ®); 12.500 Certified Information Security
Manager ® (CISM ®); 4.000 Certified in the Governance of Enterprise IT ® (CGEIT ®); e Certified in Risk and
Information Systems Control™ (CRISC™).
Local Chapters: 185 chapters em mais de 75 países.
Vision Statement
“Our vision is to be the recognized global leader in IT governance, control and assurance.”
Mission Statement
“Our mission is to support enterprise objectives through the development, provision and promotion of research,
standards, competencies and practices for the effective governance, control and assurance of information,
systems and technology.”
3 ISACA Lisbon (in-formation)
5. 2. ISACA Lisbon Chapter (in-formation)
From: Soares, Bruno Horta (PT - Lisbon)
[mailto:bsoares@deloitte.pt]
Sent: Tuesday, May 08, 2007 10:36 AM
To: Dept: Membership
Subject: Portugal Chapter
Good afternoon,
I'm as ISACA member for some time and I'm now
training for my CISA certification. For this reason, I
would like to know if there in any expectation for
the creation of the Portuguese Chapter.
(...)
“Life is like riding a bicycle. To keep your balance you must keep moving”
Albert Einstein
ISACA Lisbon (in-formation)
6. 2. ISACA Lisbon Chapter (in-formation)
Chapter Name Portugal
ISACA Lisbon Chapter Capital - Lisbon
Map Of Proposed Territory Official languages - Portuguese
Population - 2008 estimate 10,676,910
Currency - Euro (€) (EUR)
ISACA Lisbon Chapter Vision
“ISACA Lisbon Chapter vision is to be recognized local
leader in IT Governance, Security and Assurance.”
ISACA Lisbon Chapter Mission
“ISACA Lisbon Chapter’s mission is to provide
operation excellence support to all Portuguese
ISACA members, through the support of Assurance,
Security and IT Governance stakeholders and the
Information systems communities in general.”
ISACA in Portugal Facts & Figures
O ISACA tem actualmente cerca de 200 membros
registados em Portugal (Março 2010), dos quais 82
CISA, 20 CISM e 14 CGEIT.
5 ISACA Lisbon (in-formation)
7. 3. Modelo Operacional
Other IS organizations
“…knowledge, certifications,
IS Auditors and Other Communities
ISACA community, advocacy and education …”
ISACA Members
Education & Training Office
Board Desenvolvimento e suporte de acções de formação e
educação focadas nos standards e frameworks do ISACA.
Chapter Management
Ex. Formação profissional, Apoio às certificações, Evento
anual, Workshops, Conferências, Seminários.
External Affairs
Communication Office
Responsável pela comunicação local do ISACA junto dos
Annual Event Mailing membros ISACA e da comunidade de TI em geral (ex.
Administrative & Support
Universidades, Empresas, Entidades Formadoras, media.)
Workshops, conferences
Website
and Siminars
Training & Education Newsletter
Certifications & Standards Office
Education&Training Communication Suporte ao desenvolvimento e manutenção dos standards
globais ISACA e alinhamento com expectativas locais (ex.
língua, requisitos legais e normativos).
Workgroups
Valorização local das certificações ISACA.
Certification/Standards support
Certifications &Standards Industry Committee
Alinhamento da actividade do ISACA com as expectativas
Industry Support específicas dos sectores público e privado (Financial
Industry Committee Services, Telecoms e Media, Government & Healthcare,
Manufacturing, Consumer Business ).
6 ISACA Lisbon (in-formation)
8. 3. Modelo Operacional
ISACA Lisbon Chapter Operational model IPAI (IIA) Operational model
Other IS organizations
IS Auditors and Other Communities
ISACA IIA
ISACA Members IIA Members
Board
Chapter Management
External Affairs
Information System
Annual Event Mailing …
Auditors Division
Administrative & Support
Workshops,
Conferences and Website
Seminars Annual Event
Training & Education Newsletter WorkShops, Conferences and
Seminars
Education&Training Communication
Training & Education
Workgroups
Code of Practice
Certification/Standards support
Certifications &Standards Certifications
Industry Support Partnerships
Industry Committee
7 ISACA Lisbon (in-formation) Areas of primary collaboration
9. 4. Board & Officers
ISACA Lisbon Chapter Board
Bruno Horta Soares, PMP, Pedro Cupertino de Miranda, CISM,CISA Luis Montanha Rebelo, CGEIT, Paulo Gomes, CISA, ISO 27001 LA
CISA, CGEIT ISO27001 LA
Vice-President Treasurer
President Secretary
Mobile: +351 93 244 10 14 Mobile: +351 93 950 4040
Mobile: +351 96 210 31 53 Email: rpmiranda@sonaedistribuicao.pt Mobile: +351 213 249 439 Email: pjpgomes@sonae.pt
Email: bsoares@deloitte.pt ISACA Member: 443380 Email: lmrebelo@montepio.pt ISACA Member: 277124
ISACA Member: 215603 Location: Oporto ISACA Member: 140224 Location: Lisbon
Location: Lisbon Company: Sonae Distribuicao Location: Lisbon Company: Sonae SGPS
Company: Deloitte Position: Chief IT Auditor Company: Montepio Position: Audit Information
Position: Manager Position: Senior Internal Audit Manager System Manager
ISACA Lisbon Chapter Officers
Pedro Galvão, CISA,CISSP Marco Raposo Melo, CISSP-ISSMP, Paulo Cardoso, CISA José Tinoco, CIA, CFE, CISA, ISO
CISSP, QSAp, ABCP, CCNA 27001 LA
Education & Training Officer Communication Officer
Certifications & Standards Officer Industry Committee Officer
Mobile: +351 915 602 261 Mobile:+351 91 952 52 46
Email: pedro.galvao@pt.ibm.com Mobile: +351 96 977 92 78 Email:Paulo.Cardoso@vodafone.com Mobile: +351 217 813 000
ISACA Member: 195856 Email: marco.raposo@alcatel-lucent.com ISACA Member:253368 Email: jose.tinoco@sibs.pt
Location: Lisbin ISACA Member: 619500 Location:Lisbon ISACA Member: 114479
Company: IBM Corporation Location: Lisbon Company: Independent Information Location: Lisbon
Position: Senior Managing Consultant Company: Alcatel-Lucent Security Consultant Company: SIBS, S.A.
Position: Manager Position: Information Systems Auditor Position: Audit and Quality supervisor
8 ISACA Lisbon (in-formation)
10. 5. Próximos Passos
Phase 1 Preparation Phase 2 Preparation Chapter Operation
Jan 2009 Mar 2009 November 2009
• [] Chapter name • [] Board definition • [ ] Chapter legal registration
Chapter Approval process
• [] Chapter territory • [] Chapter detailed activity plan • [ ] Website “go live”
• [] Organizing committee • [Ongoing] Chapter bylaws • [ ] Local communication of the new ISACA
creation documentation Chapter (Companies, Universities, ...)
• [] Local members • [Ongoing] Website preparation • [ ] Activity plan implementation
communication
• [Ongoing] Sponsorship definition • [ ] ...
• [] Willingness to Serve
• [Ongoing] Alliances definition
Statement collection
• [] Organizational meeting
• [] Business plan preparation
• [] Administrative support
• [] Phase 1 submission
definition (address, phone, fax)
• [Ongoing] Phase II submission
• [ ] Chapter approval support
9 ISACA Lisbon (in-formation)
12. 6. Security overview @ ISACA
Security overview @ ISACA
A Segurança da Informação é desde há muito uma área que o ISACA reconhece como de elevada
importância no contexto dos Sistemas de Informação actuais.
Tal como nas restantes áreas, o ISACA tem vindo a desenvolver um conjunto vasto de produtos e
serviços que apoiem os seus membros e comunidade de TI nas áreas de IS Security e IS Security
Management.
• ISACA Journal
• Certificações (CISA, CISM);
• Conferências e workshops;
• Frameworks e Standards;
• Bibliografia.
Um dos aspectos chave que tem vindo a ser desenvolvido é sem dúvida o estabelecimento de parcerias,
acordos e alinhamento com as organizações e frameworks de referência global nesta área, como é
exemplo a criação e participação no Alliance for Enterprise Security Risk Management (AESRM).
EuroCACS Europe
20—23 March 2011 3–5 November 2010
Manchester, United Vienna, Austria
Kingdom
11 ISACA Lisbon (in-formation)
13. 6. Security overview @ ISACA
O K-NET é a base de conhecimento do ISACA com mais de 6.000 recursos
nas áreas de IT Governance, Assurance, Security and Control.
Database items matching: security
Results: 3825 matches
Projectos em curso e alguma documentação de referência
Business Model for Information Security
Controls and Assurance for Cloud Computing
Career Guide for Information Security and Assurance Professionals
Information Security Program Metrics
Security, Audit and Control Features Oracle, 3rd Edition
Security Culture
Aligning COBIT® 4.1, ITIL® V3 and ISO/IEC 27002
Defining Information Security Manager Position Requirements: Guidance for
Executives and Managers
12 ISACA Lisbon (in-formation)
14. 6. Security overview @ ISACA
CISM
O programa de certificação Certified Information Security
Manager® (CISM®) foi desenvolvido para gestores de segurança
da informação e para aqueles com responsabilidades sobre a
segurança da informação.
A certificação CISM é destinada a profissionais que gerem,
desenham, supervisionam e/ou avaliam a segurança da
informação corporativa.
Através do CISM, o ISACA pretende promover as melhores
práticas internacionais e apoiar os gestores na corroboração de Domínio 1 - Information Security
CISM Receives ANSI
Accreditation que os profissionais credenciados têm a experiência e Governance
conhecimento necessários para a execução e prestação de
serviços de gestão de segurança Domínio 2 - Information Security
Management
A certificação CISM define ainda um modelo de competências para
a gestão de segurança bem como um método de avaliação dos Domínio 3 - Information Security
actuais profissionais ou futuros candidatos à função. Program Development
Domínio 4 - Information Security
CISM Named Finalist for SC Program Management
Magazine's Best Certification Requisitos
Program Domínio 5 - Incident Management &
1. Passar no exame CISM (Junho 2010) Response
2. Assinar o “The Code of Professional Ethics”
3. Cumprir com a Continuing Education Policy (120 CPE triénio)
4. Experiência profissional comprovada (5 anos)
13 ISACA Lisbon (in-formation)
15. 6. Security overview @ ISACA
CRISC
A certificação Certified in Risk and Information Systems Control™
(CRISC™, “see-risk”) pretende reconhecer todos os profissionais
com conhecimento na área de Risco e a sua capacidade para
Desenhar, Implementar, Monitorizar e Manter um ambiente de
controlo de mitigação desse Risco.
Grandfathering A certificação pretende reconhecer profissionais de TI com
Program for the New experiência reconhecida nos domínios de Risk identification,
ISACA CRISC assessment, and evaluation; Risk response; Risk monitoring; IS
Certification control design and implementation; e IS control monitoring and
maintenance. Domínio 1 - Risk identification,
Requisitos: assessment and evaluation
8 anos de Domínio 2 - Risk response
experiência Requisitos
Domínio 3 - Risk monitoring
profissional 1. Passar no exame CRISC (Março 2011)
comprovada com Domínio 4 - IS control design and
pelo menos 6 anos 2. Assinar o “The Code of Professional Ethics” implementation
nos domínios CRISC 3. Cumprir com a Continuing Education Policy (120 CPE triénio) Domínio 5 - IS control monitoring and
4. Experiência profissional comprovada (5 anos) maintenance
De Abril 2010 a
Março 2011.
14 ISACA Lisbon (in-formation)
16. 6. Security overview @ ISACA
Vos estis sal terrae
Vós, diz Cristo, senhor nosso, falando com os pregadores, sois o sal da terra; e
chama-lhe sal da terra, porque quer que façam na terra o que faz o sal.
O efeito do sal é impedir a corrupção, mas quando a terra se vê tão corrupta como
está a nossa, havendo tantos nela que têm ofício de sal, qual será, ou qual pode
ser a causa desta corrupção?
Ou é porque o sal não salga, ou porque a terra se não deixa salgar.
Ou é porque o sal não salga, e os pregadores não pregam a verdadeira
doutrina, ou porque a terra se não deixa salgar, e os ouvintes, sendo verdadeira
a doutrina que lhe dão, a não querem receber.
Ou é porque o sal não salga, e os pregadores dizem uma coisa e fazem outra,
ou porque a terra não se deixa salgar, e os ouvintes querem antes imitar o que
eles fazem que fazer o que dizem.
Ou é porque o sal não salga, e os pregadores se pregam a si e não a Cristo, ou
porque a terra se não deixa salgar, e os ouvintes, em vez de servir a Cristo,
servem os seus apetites.
Não é tudo isto verdade?.
VIEIRA, Padre António, Sermão de Santo António aos Peixes
ISACA Lisbon (in-formation)
17. 6. Security overview @ ISACA
Business Model for Information Security (BMIS)
Apresentação
O Business Model for Information Security (BMIS) não é uma framework, é um modelo!
O BMIS define uma abordagem holística e business-oriented para a gestão da segurança da
informação, e uma linguagem comum para a gestão de segurança e a gestão do negócio falarem sobre
protecção de informação.
O BMIS foi desenvolvido com base na Teoria de Sistemas o que possibilita uma gestão da segurança
mais dinâmica (não causa efeito) e alinhada com a complexidade e desafios, internos e externos,
actuais.
Uma das peças críticas do BMIS é a importância que coloca do desenvolvimento de uma Cultura de
Segurança alinhada com os requisitos de governace da organização:
“The essence of
systems theory is that 1. Campanhas de consciencialização; 4. Alinhamento da segurança com os objectivos do negócio;
a system need to be 2. Equipas transversais; 5. Abordagem baseada no Risco;
viewed hilistically –
not merely as a sum 3. Compromisso da Gestão; 6. Compromisso entre Organização, Pessoas, Processos e
of its parts – to be Tecnologia;
accurately
7. Convergência das estratégias de segurança.
understood”
Destinatários do modelo
von Bertalanffy, L.; General
System Theory: • CXO
Foundations, Development,
Applications • Gestores de Segurança da Informação
• Responsáveis pela gestão de Risco e Indivíduos com responsabilidade no desenho, implementação,
16 ISACA Lisbon (in-formation) monitorização e melhoria do sistema de gestão de segurança da informação
18. 6. Security overview @ ISACA
Principais componentes BMIS
Elementos
1. Organization
(Design/Strategy)
2. People
3. Process
4. Technology
Interligações dinâmicas
1. Governance
2. Culture
3. Enabling & Support
4. Emergence
5. Human Factors
6. Architecture
17 ISACA Lisbon (in-formation)
20. Contactos
Bruno Luís Horta Soares, 30 anos, nacionalidade portuguesa, solteiro.
Licenciado em Informática e Gestão de Empresas pelo ISCTE e pós-graduado em Gestão
de projectos pela ISLA/PMO Consulting.
O Bruno iniciou a sua carreira como Investigador Junior na associação Adetti e
posteriormente como trainee na Deloitte Consulting. Entre 2002 e 2006 fez parte do
departamento de Information Risk Management (IRM) na área de Risk Advisory Services
(RAS) da KPMG e em 2006 juntou-se à Deloitte onde é actualmente Manager no
departamento de Enterprise Risk Services (ERS) na área de Information & Technology Risk
Services.
Desenvolveu a sua carreira nas áreas de Auditoria de Sistemas de Informação, Risco e
Controlo de Sistemas de Informação, Segurança e Privacidade e Gestão de Projectos,
tendo realizado projectos nas indústrias de Financial Services Industry, Technology, Media
& Telecommunications Public Sector, Manufacturing, Consumer Business e Energy &
Resources.
Bruno Horta Soares, PMP, CISA, CGEIT
Tem as certificações Project Management Professional (PMP), do Project Management
Mobile: +351 96 210 31 53 Institute (PMI); Certified Information Systems Auditor (CISA) e Certified in the Governance of
Email: bsoares@deloitte.pt Enterprise IT (CGEIT) do ISACA; ITIL® version 3 Foundation; e Certificação de Aptidão
http://pt.linkedin.com/in/brunohsoares Pedagógica (CAP).
ISACA Member: 215603
Desde 2008 é professor convidado na Universidade Católica Portuguesa onde lecciona a
Location: Lisbon disciplina de Auditoria a Sistemas de Informação. Adicionalmente, é Presidente do ISACA
Company: Deloitte Lisbon (in-formation), Portugal Chapter, Presidente da Mesa da Assembleia Geral do PMI
Position: Manager Portugal Chapter e orador em diversas conferências, fóruns e seminários relacionados com
a Auditoria de Sistemas de Informação.
19 ISACA Lisbon (in-formation)