Pós-Graduação 2009        Gestão Corporativa em       Segurança da Informação                                Jairo Willian...
CronogramaSemana                                     Teoria                                       Prática         Conceitu...
Índice Gestão1.    Por que?2.    Implementando gestão3.    Contexto para Risk Management4.    Plano estratégico5.    Final...
Por que? NBR ISO/IEC 17799:2005 (27002):“Convém que uma estrutura de gerenciamento   seja estabelecida para iniciar e con...
Por que? Uma necessidade complexo existe     •   Um negócio;     •   Um escopo;     •   Uma “metodologia”;     •   Ferram...
Por que? Ameaças     Agentes                          VulnerabilidadesControles                      Ativos              R...
Por que? Problema Segurança > organização!•   Convém que ameaças sejam eleminidas;•   Que agentes de ameaças possam ser c...
Por que? Riscos são eternos companheiros  RM• Mitigar;                            • Transferir;      Contra-medidas - t...
Por que? Ambiente Legal       “dura lex, sed lex”                   9                 CON – A5
Como? Seqüência Implementação         10              CON – A5
Como? Seqüência Implementação Quanto aos processos...• Devem ser corretamente definidos – evitar lacunas!     Coleta e c...
Como? Seqüência Implementação As responsabilidades, devem ser...• ...corretamente atribuídas e divulgadas!     Claras;  ...
Como? Seqüência Implementação Funções x Responsáveis Conselhos/Direção   E        Administração Geral Comitês            ...
Como? Seqüência ImplementaçãoPOSIÇÃO             14              CON – A5
Metodologia - prover aprendizado Política de Segurança?                      15               CON – A5
Metodologia - prover aprendizado Política x Direção + Declaração Uma política deve ser desenvolvida, seguindo preceitos  ...
Metodologia - prover aprendizado         17                 CON – A5
Por que? Análise de Risco x Gestão Conhecimento•   Aproxima Segurança e Gestão de Negócio•   Apóia efetivamente a Gestão ...
Por que? Conhecendo o ambiente...                   19            CON – A5
Por que? Metodologia de Apoio•   Norma AS/NZS 4360:2004      Gestão de Riscos (referencial)    ISO/IEC Guide 51 – Aspec./...
Contexto para RM Estabelecendo o contexto O estabelecimento de contexto, é essencial para observar que    stakeholders e ...
Contexto para RM Desenvolvendo “critérios de riscos”                                                                     ...
Contexto para RM23               CON – A5
Contexto para RM24               CON – A5
Contexto para RM Análise de Risco, variáveis e considerações● fontes de riscos        ● conseqüências          ● probabil...
Contexto para RM Avaliação de Risco e variáveis Tem por finalidade a tomada de decisão, baseadanos resultados da análise ...
Contexto para RM  Tratamento de RiscosA definição das possibilidades de tratar as vulnerabilidades existentes        de m...
Contexto para RM Monitoração e Análise Crítica A monitoração e a análise critica têm por objetivo assegurar     que o pla...
Plano Estratégico Outros aspectos importantes   A correta identificação de processos de negócio da    organização deve pe...
Plano Estratégico Plano Estratégico      A gestão da SI deve possuir uma visão de longo prazo,          porém não se desc...
Plano Estratégico Inventário dos ativos“O correto levantamento do inventário dos ativos de  informação é imprescindível a...
Plano Estratégico Inventário dos ativos - Manual                     32               CON – A5
Plano Estratégico Inventário dos ativos – Automático OS                    33                    CON – A5
Plano Estratégico Inventário dos ativos – Automático COM                   34                 CON – A5
Plano Estratégico Índices e indicadores    Forma de avaliar o sucesso das atividades desenvolvidas•     Nível de Riscos  ...
Plano Estratégico Índices e indicadores  “    Em Deus eu acredito,          todos os outros      precisam mostrar dados  ...
Plano Estratégico Relacionamento externo  É importante que sua organização se relacione com      outras entidades e autor...
Plano Estratégico Qual o problema? Tecnológico?  E as pessoas?   Exemplos...                   38               CON – A5
Plano Estratégico Qual o problema? Conscientização/cultura?                    39                 CON – A5
Plano Estratégico Exempli gratia  Engenharia Social Engenharia social, é o termo utilizado para qualificar o tipo de int...
Plano Estratégico E.g.  Engenharia SocialMarcelo Contti enrolou atores, empresários, jornalistas epromotores do carnaval...
Plano Estratégico                             Visão Holística ■Controles:Devem ser aplicados em todos os ciclos e níveis  ...
Plano Estratégico Integrar as açõesImportância                       43               CON – A5
Plano Estratégico – Finalizando… Informação, quem manda afinal?                   44                CON – A5
Plano Estratégico – Finalizando… Erros mais comuns•   Ferramentas de segurança isoladamente (IDS, firewall…);•   Seguranç...
Plano Estratégico - Finalizando… FCS (Fatores Críticos de Sucesso)                    46                CON – A5
Plano Estratégico - Finalizando… Consolidando estratégicamente DIC                           Dado, informação & conhecime...
Plano Estratégico - Finalizando… Consolidando estratégicamente DIC                                 A cobertura
Plano Estratégico - Finalizando… Consolidando estratégicamente DIC                                      SWOT             ...
Plano Estratégico - Finalizando… Consolidando estratégicamente DIC                                   5F (Porter)         ...
Plano Estratégico - Finalizando… Consolidando estratégicamente DIC                                   Matriz BCG          ...
Plano Estratégico - Finalizando… Considerações finais● Diretrizes                                             HORIZONTE● ...
HomeworkFuturologia...     53              CON – A5
HomeworkPesquisar ISO-38500 e S.M.A.R.T.     !           Em função da data de produção do documento                (2009)...
Cartoon                                 “Only the paranoid survive.”                                                   And...
Linkshttp://www.bsi-global.com/http://www.modulo.com.brhttp://www.iso.orghttp://www.isaca.org/cobit.htmhttp://www.abnt.org...
Dúvidas ?57        CON – A5
Fim58   CON – A1
Pós-Graduação 2009          Avaliação dissertativa                                Jairo Willian PereiraSec+, Net+, MCSO, I...
Próximos SlideShares
Carregando em…5
×

Enterprise Information Security Mgmt - OverView

636 visualizações

Publicada em

SWOT, Porter, BCG Matrix, SMART and ScoreCard tooltips for "Enterprise Information Security Mgmt" and consolidation of Key Performance Indicators (PKIs)

Publicada em: Tecnologia
0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
636
No SlideShare
0
A partir de incorporações
0
Número de incorporações
3
Ações
Compartilhamentos
0
Downloads
13
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Enterprise Information Security Mgmt - OverView

  1. 1. Pós-Graduação 2009 Gestão Corporativa em Segurança da Informação Jairo Willian PereiraSec+, Net+, MCSO, ITIL, LPIC, MCSA & MCSE Certified jairo.pereira@gmail.com
  2. 2. CronogramaSemana Teoria Prática Conceituação Básica SI 1 E01 Conceitos de Gestão de Risco Histórico do Surgimento das Normas de Segurança E02 2 Sarbanes Oxley ISO/EIC 15408 (CC) 3 E03 ITIL Família 2700x (BS-7799) E04 4 COBIT Planejamento Corporativo de Segurança da Informação 5 P01 Primeira Avaliação - Dissertativa Apresentação Trabalhos: BS 25999 – Gestão de Contiuidade de Negócios T01 6 RFC 2196 – Gestão de Resposta à Incidentes de Seguranca Legislação Brasileira T02 COSO - Committee of Sponsoring Organizations of the Treadway Commission 2 CON – A5
  3. 3. Índice Gestão1. Por que?2. Implementando gestão3. Contexto para Risk Management4. Plano estratégico5. Finalizando...6. Considerações finais7. Cartoon8. HomeWork9. Links10. Dúvidas 3 CON – A5
  4. 4. Por que? NBR ISO/IEC 17799:2005 (27002):“Convém que uma estrutura de gerenciamento seja estabelecida para iniciar e controlar a implementação da segurança da informação dentro da organização.” 4 CON – A5
  5. 5. Por que? Uma necessidade complexo existe • Um negócio; • Um escopo; • Uma “metodologia”; • Ferramentas ou facilitadores; • Responsáveis (recursos); • Objetivos; • Monitoramente e métricas; • Adequações (plano de ação); • Revalidações circular. 5 CON – A5
  6. 6. Por que? Ameaças Agentes VulnerabilidadesControles Ativos Riscos a SegurançaMedidas de Valor dos Ativos eSegurança Impactos Potenciais 6 CON – A5
  7. 7. Por que? Problema Segurança > organização!• Convém que ameaças sejam eleminidas;• Que agentes de ameaças possam ser contidos;• Vulnerabilidades sejam administradas;• Impactos possam ser minimizados. {Organização} 7 CON – A5
  8. 8. Por que? Riscos são eternos companheiros  RM• Mitigar; • Transferir;  Contra-medidas - tratamento;  Uso de terceiros;• Aceitar; • Contenção;  Conviver com problema;  custo x benefício ruim! [X] 8 CON – A5
  9. 9. Por que? Ambiente Legal “dura lex, sed lex” 9 CON – A5
  10. 10. Como? Seqüência Implementação 10 CON – A5
  11. 11. Como? Seqüência Implementação Quanto aos processos...• Devem ser corretamente definidos – evitar lacunas!  Coleta e consolidação de índices e indicadores;  Controle e acompanhamento do projeto;  Condições ambientais (contexto da gestão de riscos)  Comunicação e Consulta  Reportes de incidentes, etc. 11 CON – A5
  12. 12. Como? Seqüência Implementação As responsabilidades, devem ser...• ...corretamente atribuídas e divulgadas!  Claras;  Documentadas;  Compartilhadas & informadas oficialmente;  Ter envolvimento de todos (todos são responsáveis);  Top-Down  propagação/implementação hierárquica. 12 CON – A5
  13. 13. Como? Seqüência Implementação Funções x Responsáveis Conselhos/Direção E Administração Geral Comitês T Planejamento Fóruns Operação O 13 CON – A5
  14. 14. Como? Seqüência ImplementaçãoPOSIÇÃO 14 CON – A5
  15. 15. Metodologia - prover aprendizado Política de Segurança? 15 CON – A5
  16. 16. Metodologia - prover aprendizado Política x Direção + Declaração Uma política deve ser desenvolvida, seguindo preceitos da NBR ISO/IEC 17799. Este documento tem o objetivo de prover uma diretriz, que declare formalmente os princípios e valores quanto ao tratamento das informações. O endosso deve ser feito pelo representante de maior cargo hierárquico, comunicando da sua adesão às normas, procedimentos e das responsabilidades de todos quanto a sua implementação, respeito e manutenção. 16 CON – A5
  17. 17. Metodologia - prover aprendizado 17 CON – A5
  18. 18. Por que? Análise de Risco x Gestão Conhecimento• Aproxima Segurança e Gestão de Negócio• Apóia efetivamente a Gestão de Segurança• Análise de Risco ≠ Análise de Vulnerabilidades• Permite melhor conhecimento do “ambiente”• Base para operações de “Continuidade do Negócio” 18 CON – A5
  19. 19. Por que? Conhecendo o ambiente... 19 CON – A5
  20. 20. Por que? Metodologia de Apoio• Norma AS/NZS 4360:2004 Gestão de Riscos (referencial) ISO/IEC Guide 51 – Aspec./Voc. iSec ISO/IEC Guide 73 – Vocabulário RM ISO 3534-1 - Estatística, Símbolos… ISO 9000 – Qualidade ISO 15489 - Gestão de registros ... 20 CON – A5
  21. 21. Contexto para RM Estabelecendo o contexto O estabelecimento de contexto, é essencial para observar que stakeholders e objetivos sejam considerados no modelo. 21 CON – A5
  22. 22. Contexto para RM Desenvolvendo “critérios de riscos” Impacto # Ativo Vulnerabilidade Ameaça P I E TOTAL Servidor Sem atualização Invasão do Servidor, WEB DMZ de patches Buffer Overflow HUB rede Mal uso equipamento, Sniffing, almoxarifado indisponibilidade Furto de dados Senhas de Invasão do sistema, Senhas compartilhadas usuários Sequestro de sessão Roteador de IOS desatualizado e Invasão, borda com bug indisponibilidade Processo - O que pode acontecer, quando, onde e por quê! (brainstorms, checklist, históricos, análise de cenários...) 22 CON – A5
  23. 23. Contexto para RM23 CON – A5
  24. 24. Contexto para RM24 CON – A5
  25. 25. Contexto para RM Análise de Risco, variáveis e considerações● fontes de riscos ● conseqüências ● probabilidadeObjetivo RA: verificar eventuais falhas de seguranças que se concretizem em vulnerabilidades que possam vir a ser utilizadas por agentes de ameaças e causar impacto à organização. Sua RA pode ser:• Qualitativa – adjetivos para descrever a magnitude dos riscos• Semiquantitativa - atribui-se valores às escalas qualitativas• Quantitativa – utiliza valores numéricos (precisão e completeza) 25 CON – A5
  26. 26. Contexto para RM Avaliação de Risco e variáveis Tem por finalidade a tomada de decisão, baseadanos resultados da análise de riscos, sobre quais riscos precisam ser tratados, bem como a sua prioridade. Os parâmetros utilizados para aceitar ou não os riscos devem ser os critérios definidos quando do estabelecimento do contexto inicial. 26 CON – A5
  27. 27. Contexto para RM  Tratamento de RiscosA definição das possibilidades de tratar as vulnerabilidades existentes de modo a minimizar riscos que a organização está exposta.Planos de ações com controles necessários são definidos, sendo que para vulnerabilidades não eliminadas ou residuais, devemos:  procurar alternativas para minimizar a probabilidade/conseqüências. 27 CON – A5
  28. 28. Contexto para RM Monitoração e Análise Crítica A monitoração e a análise critica têm por objetivo assegurar que o plano se mantenha pertinente e adequado às necessidades da organização.● Fatores diversos podem alterar probabilidade e/ou a conseqüência;● Análise de indicadores e índices - medir o desempenho da gestão● Aprendizado com ocorrências e outros históricos 28 CON – A5
  29. 29. Plano Estratégico Outros aspectos importantes A correta identificação de processos de negócio da organização deve permitir a compreensão de como estesinteragem com os sistemas de informação e a infra-estrutura, possibilitando o planejamento correto das ações de segurança. 29 CON – A5
  30. 30. Plano Estratégico Plano Estratégico A gestão da SI deve possuir uma visão de longo prazo, porém não se descuidando do curto e médio prazo.● É fundamental a elaboração de um Plano Estratégico para que a organização se prepare com relação à recursos necessários: • Aquisição de equipamentos • Programas de treinamento, divulgação e conscientização • Análise de riscos corporativas e específicas para ambientes • Elaboração de um BCP/PCN • Testes de invasão, DRP e engenharia social • etc. 30 CON – A5
  31. 31. Plano Estratégico Inventário dos ativos“O correto levantamento do inventário dos ativos de informação é imprescindível ao sucesso da gestão de riscos! Conhecer para poder se proteger!”“A Administração torna-se muito mais fácil quando existe uma base única e atualizada para referência” CI x CMDB 31 CON – A5
  32. 32. Plano Estratégico Inventário dos ativos - Manual 32 CON – A5
  33. 33. Plano Estratégico Inventário dos ativos – Automático OS 33 CON – A5
  34. 34. Plano Estratégico Inventário dos ativos – Automático COM 34 CON – A5
  35. 35. Plano Estratégico Índices e indicadores Forma de avaliar o sucesso das atividades desenvolvidas• Nível de Riscos - RMF Indicadores Nivel Up/Down• Índice de Compliance - ScoreCard Node01 99,99• Sistemas em funcionamento - SLA / SLO Node01 99,99• Node01 99,99 Eventos mais críticos - Mapping Node01 99,99• Incidentes reportados (usuários) - SrvCalls O referido ativo, encontra-se• dentro do SLA Solicitações/Incidentes automáticos - Threshold proposto inicialmente pelo• Turnover de recursos - FPR cliente.• Disponibilidade de CI´s - Traps&Alarms “Metas devem ser definidas e revistas de forma constante!” 35 CON – A5
  36. 36. Plano Estratégico Índices e indicadores “ Em Deus eu acredito, todos os outros precisam mostrar dados ” William Edwards Deming 36 CON – A5
  37. 37. Plano Estratégico Relacionamento externo É importante que sua organização se relacione com outras entidades e autoridades competentes. • Corpo de Bombeiros • Defesa Civil • Policia Civil, Militar e Federal • Entidades de classe • Eventos de segurança, sociais, etc. 37 CON – A5
  38. 38. Plano Estratégico Qual o problema? Tecnológico? E as pessoas? Exemplos... 38 CON – A5
  39. 39. Plano Estratégico Qual o problema? Conscientização/cultura? 39 CON – A5
  40. 40. Plano Estratégico Exempli gratia  Engenharia Social Engenharia social, é o termo utilizado para qualificar o tipo de intrusão não técnica, que coloca ênfase na interação humana e, frequentemente, envolve a habilidade de enganar pessoas, objetivando violar procedimentos de segurança. 40 CON – A5
  41. 41. Plano Estratégico E.g.  Engenharia SocialMarcelo Contti enrolou atores, empresários, jornalistas epromotores do carnaval do Recife/PE (Recifolia, 2001).Viveu dias de empresário, torrando R$ 100 mil dos “amigos”,beijando bocas de “chiques e famosas” e incorporando personagenssedutores, porém trambiqueiros do cinema.Passando-se pelo filho do dono da Gol Linhas Aéreas - HenriqueConstantino, pulou três dias de carnaval com João Paulo Diniz,Álvaro Garnero, e dos atores Cristiano Rangel e Ricardo Macchi.Posou para fotos ao lado das modelos Marinara e Feiticeira,e ainda ousou dar entrevistas para o programa Flash,apresentado por Amaury Júnior. [!] 41 CON – A5
  42. 42. Plano Estratégico Visão Holística ■Controles:Devem ser aplicados em todos os ciclos e níveis 42 CON – A5
  43. 43. Plano Estratégico Integrar as açõesImportância  43 CON – A5
  44. 44. Plano Estratégico – Finalizando… Informação, quem manda afinal? 44 CON – A5
  45. 45. Plano Estratégico – Finalizando… Erros mais comuns• Ferramentas de segurança isoladamente (IDS, firewall…);• Segurança com valor maior que o NEGÓCIO;• Não participação das diversas áreas da organização;• Decisões sem prévia análise/avaliação de riscos;• Enfoque somente em TI;• Subordinação à área de TI;• Abrangência maior que necessidade. 45 CON – A5
  46. 46. Plano Estratégico - Finalizando… FCS (Fatores Críticos de Sucesso) 46 CON – A5
  47. 47. Plano Estratégico - Finalizando… Consolidando estratégicamente DIC Dado, informação & conhecimento
  48. 48. Plano Estratégico - Finalizando… Consolidando estratégicamente DIC A cobertura
  49. 49. Plano Estratégico - Finalizando… Consolidando estratégicamente DIC SWOT 49 CON – A5
  50. 50. Plano Estratégico - Finalizando… Consolidando estratégicamente DIC 5F (Porter) 50 CON – A5
  51. 51. Plano Estratégico - Finalizando… Consolidando estratégicamente DIC Matriz BCG 51 CON – A5
  52. 52. Plano Estratégico - Finalizando… Considerações finais● Diretrizes HORIZONTE● Atividades identificadas, organizadas e documentadas PROCESSO● Áreas de atuação definidas RESPONSÁVEIS● Coordenação centralizada SINERGIA● Ações com base em Análise de Riscos EMBASAMENTO● Métricas/frameworks de avaliação e acompanhamento PADRÃO 52 CON – A5
  53. 53. HomeworkFuturologia... 53 CON – A5
  54. 54. HomeworkPesquisar ISO-38500 e S.M.A.R.T. !  Em função da data de produção do documento (2009), é altamente recomendado que seja consultado os novos frameworks e ferramentas de gestão corporativa de Segurança baseado em GRC (Governança, Risco e Conformidade). 54 CON – A5
  55. 55. Cartoon “Only the paranoid survive.” Andy Grove"A maioria enxerga o problema, a minoria entende as causas e raros são os que conhecem o remédio.“ JWP 55 CON – A5
  56. 56. Linkshttp://www.bsi-global.com/http://www.modulo.com.brhttp://www.iso.orghttp://www.isaca.org/cobit.htmhttp://www.abnt.org.brhttp://www.itsmf.com.brhttp://www.itil-officialsite.comhttp://www.ietf.comhttp://www.drii.org 56 CON – A5
  57. 57. Dúvidas ?57 CON – A5
  58. 58. Fim58 CON – A1
  59. 59. Pós-Graduação 2009 Avaliação dissertativa Jairo Willian PereiraSec+, Net+, MCSO, ITIL, LPIC, MCSA & MCSE Certified jairo.pereira@gmail.com

×