Políticas,    práticas e  procedimentos  em Segurança  da Informação                       prof. Roberto Dias Duarte      ...
Com licença, sou o                                 Roberto                                “Conheço apenas                 ...
Big Brother Fiscal IV               Disponível em                maio/2011prof. Roberto Dias Duartesábado, 14 de maio de 2...
Big Brother Fiscal IV               Disponível em                maio/2011prof. Roberto Dias Duartesábado, 14 de maio de 2...
1a Parte: Sensibilizaçãosábado, 14 de maio de 2011
Visão executivaprof. Roberto Dias Duartesábado, 14 de maio de 2011
Trabalhos                • 07.05 - Diagnóstico de segurança da empresa:                  contexto empresarial, visão, miss...
Trabalhos            Todo o projeto deve ser alinhado à estratégia empresarial e/ou marcos            regulatórios de uma ...
1o Trabalho                Diagnóstico de segurança da empresa: contexto                empresarial, visão, missão, estrat...
1. Contexto empresarial                                        1.2.Visão•1.1. Missão                                      ...
2. Públicos                                            Consumidores                  Clientes                             ...
3. Indicadoressábado, 14 de maio de 2011
4. Normas reguladoras              1. Em quais ecossistemas a empresa está              inserida?              2. Quais os...
5. Lacunas de segurança              1.Liste 7 lacunas de segurança da empresa              2. Relacione as lacunas com os...
2a Parte: Conceitos                                  Básicossábado, 14 de maio de 2011
Situação das empresasprof. Roberto Dias Duartesábado, 14 de maio de 2011
Situação das empresasprof. Roberto Dias Duartesábado, 14 de maio de 2011
Quer tentar?prof. Roberto Dias Duartesábado, 14 de maio de 2011
Quer tentar?prof. Roberto Dias Duartesábado, 14 de maio de 2011
Fraude?prof. Roberto Dias Duartesábado, 14 de maio de 2011
O que é fraude?            É um esquema            ilícito ou de má fé            criado para obter            ganhos pess...
Fatores primários         1 - Existência de golpistas         motivados.                  • Ineficiência das leis;         ...
Mas principalmente                                  porque...                                        o desrespeito às     ...
Mas principalmente                                  porque...                                        o desrespeito às     ...
Fatores primários                             2 - Existência de vítimas vulneráveis                                   • Po...
Fatores primários  3 - Falta de controle ou fiscalização           • percepção do problema como                   não prior...
Vítima ou golpista?prof. Roberto Dias Duartesábado, 14 de maio de 2011
Vítima ou golpista?prof. Roberto Dias Duartesábado, 14 de maio de 2011
Segurança da                             Informação?prof. Roberto Dias Duartesábado, 14 de maio de 2011
Ameaça?prof. Roberto Dias Duartesábado, 14 de maio de 2011
Ameaça?             Causa potencial de um             incidente, que caso se             concretize pode             resul...
Vulnerabilidade?prof. Roberto Dias Duartesábado, 14 de maio de 2011
Vulnerabilidade?      Falha (ou conjunto)      que pode ser explorada      por ameaçasprof. Roberto Dias Duartesábado, 14 ...
Incidente?        Evento que        comprometa a        operação do        negócio ou        cause dano aos        ativos ...
Incidente?        Evento que        comprometa a        operação do        negócio ou        cause dano aos        ativos ...
Impacto?                                        Resultados de                                        incidentesprof. Rober...
Análise de risco                   Impacto                              Transfere     Mitiga                              ...
Análise de riscoprof. Roberto Dias Duartesábado, 14 de maio de 2011
Ativo digital?prof. Roberto Dias Duartesábado, 14 de maio de 2011
Ativo? Intangível?  “Um ativo intangível é um  ativo não monetário  identificável sem  substância física ou,  então, o ágio...
Assinatura Digitalprof. Roberto Dias Duartesábado, 14 de maio de 2011
Assinatura Digital                             É um método de autenticação                                de informação di...
Como funciona?prof. Roberto Dias Duartesábado, 14 de maio de 2011
Como funciona?                                             HASH é                                             gerado a    ...
Documentos Digitais      MP 2.200-2 de Agosto/2001prof. Roberto Dias Duartesábado, 14 de maio de 2011
Documentos Digitais      MP 2.200-2 de Agosto/2001       “As declarações constantes dos documentos em       forma eletrôni...
Documentos Digitais      MP 2.200-2 de Agosto/2001prof. Roberto Dias Duartesábado, 14 de maio de 2011
Documentos Digitais      MP 2.200-2 de Agosto/2001   “O disposto nesta Medida Provisória não obsta a   utilização de outro...
Caso realprof. Roberto Dias Duartesábado, 14 de maio de 2011
Caso real                 Integridade                 Autenticidade                 Não repudio                 Disponibil...
Caso real                 Integridade                 Autenticidade                 Não repudio                 Disponibil...
Carimbo do tempoprof. Roberto Dias Duartesábado, 14 de maio de 2011
Carimbo do tempo          Certifica a autenticidade temporal       (data e hora) de arquivos eletrônicos          Sincroniz...
Integridadeprof. Roberto Dias Duartesábado, 14 de maio de 2011
Integridade     Qualquer alteração     da mensagem faz     com que a     assinatura não     corresponda mais     ao docume...
Autenticidadeprof. Roberto Dias Duartesábado, 14 de maio de 2011
Autenticidade       O receptor pode       confirmar se a       assinatura foi       feita pelo       emissorprof. Roberto D...
Não               repúdioprof. Roberto Dias Duartesábado, 14 de maio de 2011
Não               repúdio       O emissor não       pode negar a       autenticidade da       mensagemprof. Roberto Dias D...
Confidencialidadeprof. Roberto Dias Duartesábado, 14 de maio de 2011
Confidencialidade           Passo 1: Alice envia sua           chave pública para Bob                                      ...
Disponibilidadeprof. Roberto Dias Duartesábado, 14 de maio de 2011
Disponibilidade      A informação      deve estar      disponível      apenas para seu      uso legítimoprof. Roberto Dias...
Auditabilidadeprof. Roberto Dias Duartesábado, 14 de maio de 2011
Auditabilidade  Deve haver  informação  relativa às  ações de  alteração  ou consulta  de dados                           ...
Por que preciso saber                                    disso?prof. Roberto Dias Duartesábado, 14 de maio de 2011
Ecosistema Fiscal                          NF-e                         NFS-e                               EFD ICMS/IPI  ...
Vamos entender as                         principais                    vulnerabilidades das                   empresas no...
O que é a Nota                               Eletrônica?                     “Podemos conceituar a Nota Fiscal Eletrônica ...
Documento Fiscal Digitalprof. Roberto Dias Duartesábado, 14 de maio de 2011
Documento Fiscal Digitalprof. Roberto Dias Duartesábado, 14 de maio de 2011
Livro Contábil Digitalprof. Roberto Dias Duartesábado, 14 de maio de 2011
Livro Contábil Digitalprof. Roberto Dias Duartesábado, 14 de maio de 2011
Livro Fiscal Digital                                 (ICMS/IPI)prof. Roberto Dias Duartesábado, 14 de maio de 2011
Livro Fiscal Digital                                 (ICMS/IPI)prof. Roberto Dias Duartesábado, 14 de maio de 2011
Mas, nada muda na                     minha empresa, certo?prof. Roberto Dias Duartesábado, 14 de maio de 2011
Vulnerabilidade #1prof. Roberto Dias Duartesábado, 14 de maio de 2011
Vulnerabilidade #1     Te n h o q u e     ver ificar o     arquivo XML      Cláusula décima         §    1º     O       des...
Vulnerabilidade #2prof. Roberto Dias Duartesábado, 14 de maio de 2011
Vulnerabilidade #2                              Nota autorizada não meprof. Roberto Dias Duarte                           ...
Vulnerabilidade #2prof. Roberto Dias Duartesábado, 14 de maio de 2011
Vulnerabilidade #2              Cláusula quarta              Ainda que formalmente regular,              não      será    ...
Vulnerabilidade #3prof. Roberto Dias Duartesábado, 14 de maio de 2011
Vulnerabilidade #3                                          Só posso cancelar                                          NF-...
Vulnerabilidade #3prof. Roberto Dias Duartesábado, 14 de maio de 2011
Vulnerabilidade #3                ATO COTEPE/ICMS Nº 33 /2008                 Efeitos a partir de 01.01.12:               ...
Vulnerabilidade #4prof. Roberto Dias Duartesábado, 14 de maio de 2011
Vulnerabilidade #4                                       Tenho que enviar o                                       arquivo ...
Vulnerabilidade #4prof. Roberto Dias Duartesábado, 14 de maio de 2011
Vulnerabilidade #4                   Cláusula Sétima                   § 7º O emitente da NF-e deverá,                   o...
Vulnerabilidade #5prof. Roberto Dias Duartesábado, 14 de maio de 2011
Vulnerabilidade #5                                      Tenho que guardar                                      o arquivo X...
Vulnerabilidade #5prof. Roberto Dias Duartesábado, 14 de maio de 2011
Vulnerabilidade #5              Cláusula décima               O emitente e o destinatário deverão manter a NF-e em arquivo...
Vulnerabilidade #6prof. Roberto Dias Duartesábado, 14 de maio de 2011
Vulnerabilidade #6                               Troca de identidadeprof. Roberto Dias Duartesábado, 14 de maio de 2011
Vulnerabilidade #6prof. Roberto Dias Duartesábado, 14 de maio de 2011
Vulnerabilidade #6                 “ E m p ré s t i m o ” d e s e n h a e                 ar mazenam ento                 ...
O que causa                             vulnerabilidade?prof. Roberto Dias Duartesábado, 14 de maio de 2011
Causas das                             vulnerabilidadesprof. Roberto Dias Duartesábado, 14 de maio de 2011
Causas das                             vulnerabilidades           Tecnologia precária    Falta de conhecimento    Ganância...
Consequênciasprof. Roberto Dias Duartesábado, 14 de maio de 2011
Consequênciasprof. Roberto Dias Duartesábado, 14 de maio de 2011
Consequências       Mercadorias sem documento   idôneo      Mercadorias de origem ilícita       Problemas fiscais: document...
Tenho como evitar?prof. Roberto Dias Duartesábado, 14 de maio de 2011
Solução: Paradigma do                           século XXI                  Conhecimento                  Comportamento   ...
Ação preventivas básicasprof. Roberto Dias Duartesábado, 14 de maio de 2011
O dono da bola          Quem é o responsável pela gestão da informação?          Definições:                    políticas d...
Termo de compromisso               Formaliza responsabilidades:               Sigilo de informações;               Cumprim...
Autenticação individual               Identifica as pessoas:               Senha;               Cartão ou token;           ...
“Empréstimo” de senhaprof. Roberto Dias Duartesábado, 14 de maio de 2011
“Empréstimo” de senhaprof. Roberto Dias Duartesábado, 14 de maio de 2011
Cópias de segurança               Qual a política definida?               Qual a cópia mais antiga?         Os arquivos das...
Software homologado             Itens de verificação:                  manutenção                  treinamento             ...
Uso de antivírus  Prevenção além do software:                    Anexos                    Executável? No way!            ...
O Carona                Prevenção contra             “sessões abertas” em sua             ausência:               Conduta:...
Correio eletrônico                   Pishing                   Muitos golpes:                             Notícias falsas ...
Informações pessoais                   Cuidado com informação de:                        Funcionários                     ...
Ambiente Físico                        Ahhh, reuniões rápidas:                             no elevador                    ...
Engenharia social             Procedimentos para obtenção de informações          através de contatos falsos              ...
Uso da Internet & Redes                           Sociais                             Qual a sua opinião?prof. Roberto Dia...
Uso da Internet & Redes                           Sociaisprof. Roberto Dias Duartesábado, 14 de maio de 2011
Uso da Internet & Redes                           Sociaisprof. Roberto Dias Duartesábado, 14 de maio de 2011
Uso da Internet & Redes                           Sociaisprof. Roberto Dias Duartesábado, 14 de maio de 2011
Ações preventivas                                          Conhecimento                             Física                ...
Ações detectivas                  Quanto antes, melhor   Conhecimento            Monitoramento de             Análise     ...
Ações corretivas                             Minimizar o problema                     Quanto mais rápido,                 ...
Plano de continuidade            Contexto empresarial            Mapeamento de riscos                        Conhecimento ...
Direitos do usuário              Acesso individual           Treinamento sobre                                        segu...
Mensagem sobre o                                segurançaprof. Roberto Dias Duartesábado, 14 de maio de 2011
Mensagem sobre o                                segurançaprof. Roberto Dias Duartesábado, 14 de maio de 2011
2o Trabalho                Ante-projeto Prática de Segurança: diagnóstico,                análise de riscos, problema, sol...
2o Trabalho                1. Ajustar o diagnóstico reavaliando as lacunas                2. Análise de risco considerando...
Apresentação do 2o                                  trabalho                      Data: 14/5/2011                      Pra...
3a Parte:                             Visão de Gestãosábado, 14 de maio de 2011
sábado, 14 de maio de 2011
Qual é a estrutura da sua                      organização?sábado, 14 de maio de 2011
Governaça         “É o conjunto de processos,         costumes, políticas, leis,         regulamentos e         instituiçõ...
Governaça                             •Visão                             –É o sonho da organização, é o                   ...
Governaça       •Transparência       –Mais do que "a        obrigação de informar",        a administração deve        cul...
Governaça•Equidade–Tratamento justo e igualitário de todos os grupos minoritários (stakeholdres).sábado, 14 de maio de 2011
Stakeholders &                              Shareholders     •Equilíbrio:     – Regulamentações     – Forças corporativas ...
Balanceando pressõessábado, 14 de maio de 2011
Balanceando pressõessábado, 14 de maio de 2011
Balanceando pressões      • Compliance: “conjunto        de disciplinas para fazer        cumprir as normas        legais ...
Balanceando pressões                     •Risco x Conformidade:                     –100% de conformidade garante         ...
Desafios da Governança                                       Quais	  são	  os	                Gerenciar riscos x        pri...
Desafios da Governança                                       Quais	  são	  os	                Gerenciar riscos x        pri...
Sucesso na GSI           Comunicação: direção, gerências         e operação                                Qual	  a	      ...
Melhores Práticas        •Personalizar as práticas                                               Qual	  as	           ao n...
Melhores Práticas  Cuidado  com:         Orçamento         Pessoassábado, 14 de maio de 2011
Fundamentos de ITILsábado, 14 de maio de 2011
Fundamentos de ITILsábado, 14 de maio de 2011
Cobit: parte 1sábado, 14 de maio de 2011
Cobit: parte 1sábado, 14 de maio de 2011
Cobit: parte 2sábado, 14 de maio de 2011
Cobit: parte 2sábado, 14 de maio de 2011
Cobit: parte 1sábado, 14 de maio de 2011
Cobit: parte 1sábado, 14 de maio de 2011
Cobit: parte 1sábado, 14 de maio de 2011
Cobit: parte 1sábado, 14 de maio de 2011
Cobitsábado, 14 de maio de 2011
Cobit: Alinhamentosábado, 14 de maio de 2011
Cobit: metas e medidassábado, 14 de maio de 2011
Cobit: frameworksábado, 14 de maio de 2011
Cobit: frameworksábado, 14 de maio de 2011
3o Trabalho - parte Isábado, 14 de maio de 2011
3o Trabalho - parte I                Elaborar um plano de implantação de política de                segurança e o manual s...
ISO/IEC 17799Pós-Graduação em Gestão da Segurança de T.I. (GSTI)                                                      • “A...
ISO/IEC 27000Pós-Graduação em Gestão da Segurança de T.I. (GSTI)                                                      • IS...
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)sábado, 14 de maio de 2011                                             ...
ISO/IEC 17799/27002Pós-Graduação em Gestão da Segurança de T.I. (GSTI)                                                    ...
Metodologia OctavePós-Graduação em Gestão da Segurança de T.I. (GSTI)                                                     ...
Use Octave-S, se:Pós-Graduação em Gestão da Segurança de T.I. (GSTI)                                                      ...
Octave MethodPós-Graduação em Gestão da Segurança de T.I. (GSTI)                                                      • 1a...
Octave MethodPós-Graduação em Gestão da Segurança de T.I. (GSTI)                                                      • 1a...
Octave MethodPós-Graduação em Gestão da Segurança de T.I. (GSTI)                                                      • 2a...
Octave MethodPós-Graduação em Gestão da Segurança de T.I. (GSTI)                                                      • 3a...
Octave-SPós-Graduação em Gestão da Segurança de T.I. (GSTI)                                                      • 1a Fase...
Octave-SPós-Graduação em Gestão da Segurança de T.I. (GSTI)                                                      • 2a Fase...
Octave-SPós-Graduação em Gestão da Segurança de T.I. (GSTI)                                                      • 3a Fase...
Octave-SPós-Graduação em Gestão da Segurança de T.I. (GSTI)                                                      • 3a Fase...
Octave: AtividadesPós-Graduação em Gestão da Segurança de T.I. (GSTI)                                                     ...
Visão ampla                                                      Where Does COBIT Fit?Pós-Graduação em Gestão da Segurança...
Então?Pós-Graduação em Gestão da Segurança de T.I. (GSTI)                                                       • ITIL    ...
ParadigmasPós-Graduação em Gestão da Segurança de T.I. (GSTI)                                                           • ...
Partes interessadasPós-Graduação em Gestão da Segurança de T.I. (GSTI)                                                    ...
Governando RiscosPós-Graduação em Gestão da Segurança de T.I. (GSTI)                                                      ...
Tipos de RiscosPós-Graduação em Gestão da Segurança de T.I. (GSTI)                                                      • ...
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)sábado, 14 de maio de 2011                                             ...
Visão executivaPós-Graduação em Gestão da Segurança de T.I. (GSTI)                                                        ...
Contexto daPós-Graduação em Gestão da Segurança de T.I. (GSTI)                                                      organi...
Governando ProcessosPós-Graduação em Gestão da Segurança de T.I. (GSTI)                                                   ...
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)sábado, 14 de maio de 2011                                             ...
Governando ProcessosPós-Graduação em Gestão da Segurança de T.I. (GSTI)                                                   ...
Governando ProcessosPós-Graduação em Gestão da Segurança de T.I. (GSTI)                                                   ...
Governando ProcessosPós-Graduação em Gestão da Segurança de T.I. (GSTI)                                                   ...
Cobit: níveis de maturidadePós-Graduação em Gestão da Segurança de T.I. (GSTI)                                            ...
Cobit: níveis de maturidadePós-Graduação em Gestão da Segurança de T.I. (GSTI)                                            ...
Cobit: níveis de maturidadePós-Graduação em Gestão da Segurança de T.I. (GSTI)                                            ...
Cobit: níveis de maturidadePós-Graduação em Gestão da Segurança de T.I. (GSTI)                                            ...
Cobit: níveis de maturidadePós-Graduação em Gestão da Segurança de T.I. (GSTI)                                            ...
Cobit: níveis de maturidadePós-Graduação em Gestão da Segurança de T.I. (GSTI)                                            ...
Linha do tempoPós-Graduação em Gestão da Segurança de T.I. (GSTI)                                                      !"#...
Por que evoluirPós-Graduação em Gestão da Segurança de T.I. (GSTI)                                                      pr...
Métricas para GSIPós-Graduação em Gestão da Segurança de T.I. (GSTI)                                                      ...
Métricas para GSIPós-Graduação em Gestão da Segurança de T.I. (GSTI)                                                      ...
Métricas para GSIPós-Graduação em Gestão da Segurança de T.I. (GSTI)                                                      ...
Métricas para GSIPós-Graduação em Gestão da Segurança de T.I. (GSTI)                                                      ...
Integrando MedidoresPós-Graduação em Gestão da Segurança de T.I. (GSTI)                                                   ...
Integrando MedidoresPós-Graduação em Gestão da Segurança de T.I. (GSTI)                                                   ...
Governança de SIPós-Graduação em Gestão da Segurança de T.I. (GSTI)                                                      •...
4a parte: ImplantandoPós-Graduação em Gestão da Segurança de T.I. (GSTI)                                                  ...
Políticas de SIPós-Graduação em Gestão da Segurança de T.I. (GSTI)                                                      • ...
Políticas de SI:Pós-Graduação em Gestão da Segurança de T.I. (GSTI)                                                      C...
Visão geral da                                                      metodologiaPós-Graduação em Gestão da Segurança de T.I...
Etapas para oPós-Graduação em Gestão da Segurança de T.I. (GSTI)                                                      dese...
Etapas para oPós-Graduação em Gestão da Segurança de T.I. (GSTI)                                                      dese...
Fase II: DesenvolvimentoPós-Graduação em Gestão da Segurança de T.I. (GSTI)                                               ...
Fase II: DesenvolvimentoPós-Graduação em Gestão da Segurança de T.I. (GSTI)                                               ...
Fase II: DesenvolvimentoPós-Graduação em Gestão da Segurança de T.I. (GSTI)                                               ...
Fase II: DesenvolvimentoPós-Graduação em Gestão da Segurança de T.I. (GSTI)                                               ...
Fase II: DesenvolvimentoPós-Graduação em Gestão da Segurança de T.I. (GSTI)                                               ...
Fase II: DesenvolvimentoPós-Graduação em Gestão da Segurança de T.I. (GSTI)                                               ...
Etapas para oPós-Graduação em Gestão da Segurança de T.I. (GSTI)                                                      dese...
Etapas para oPós-Graduação em Gestão da Segurança de T.I. (GSTI)                                                      dese...
Etapas para o                                                      desenvolvimentoPós-Graduação em Gestão da Segurança de ...
3o Trabalho - parte II               Elaborar um plano de implantação de política de               segurança e o manual se...
Próximos SlideShares
Carregando em…5
×

Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação

1.025 visualizações

Publicada em

Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação

Publicada em: Educação
0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
1.025
No SlideShare
0
A partir de incorporações
0
Número de incorporações
7
Ações
Compartilhamentos
0
Downloads
44
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação

  1. 1. Políticas, práticas e procedimentos em Segurança da Informação prof. Roberto Dias Duarte Melhor prevenir, que remediar!prof. Roberto Dias DuarteEsta obra foi licenciada com uma Licença Creative Commons - Atribuição - Uso Não-Comercial - Partilha nos Mesmos Termos 3.0 Não Adaptada. Photographer: Reuterssábado, 14 de maio de 2011
  2. 2. Com licença, sou o Roberto “Conheço apenas minha ignorância”prof. Roberto Dias Duartesábado, 14 de maio de 2011
  3. 3. Big Brother Fiscal IV Disponível em maio/2011prof. Roberto Dias Duartesábado, 14 de maio de 2011
  4. 4. Big Brother Fiscal IV Disponível em maio/2011prof. Roberto Dias Duartesábado, 14 de maio de 2011
  5. 5. 1a Parte: Sensibilizaçãosábado, 14 de maio de 2011
  6. 6. Visão executivaprof. Roberto Dias Duartesábado, 14 de maio de 2011
  7. 7. Trabalhos • 07.05 - Diagnóstico de segurança da empresa: contexto empresarial, visão, missão, estratégias, indicadores, normas reguladoras e “lacunas” de segurança. (30 pontos) • 14.05 - Ante-projeto Prática de Segurança: diagnóstico, problema, solução, custo, beneficios, análise de riscos, macro- cronograma. (30 pontos) • 28.05 - Elaborar um plano de implantação de política de segurança e o manual se segurança da informação. (30 pontos)sábado, 14 de maio de 2011
  8. 8. Trabalhos Todo o projeto deve ser alinhado à estratégia empresarial e/ou marcos regulatórios de uma empresa, apontando custos e benefícios • 1. Lembrem-se dos indicadores de desempenho da empresa: receita, rentabilidade, retenção de clientes, etc. • 2. Toda organização está inserida em um ecossistema onde há diversos marcos regulatórios: SOX, Basiléia, legislação tributária, trabalhista, ANEEL, ANAC, consumidor, SAC, etc. • 3. Derivem os indicadores de GSI a partir dos indicadores empresariais (ou marcos legais). • 4. Determinem o planejamento de implantação da política de segurança para um indicador ou marco legal - se fizerem para mais de um, não há problema, mas o esforço de trabalho é proporcional à quantidade de métricas. • 5. Derivem os processos de segurança e as atividades a partir das políticas. • Lembrem-se, por fim, que o alinhamento estratégico é fator crítico de sucesso para este trabalho. Ou seja, indicadores de GSI devem ajudar a empresa a melhorar algum indicador de desempenho ou manter a compatibilidade legal regulatória do setor.sábado, 14 de maio de 2011
  9. 9. 1o Trabalho Diagnóstico de segurança da empresa: contexto empresarial, visão, missão, estratégias, indicadores, normas reguladoras e “lacunas” (Gap’s) de segurança. Prazo: 7.5.2011 às 11:00 Pode ser em grupo Escolha uma empresa para o estudo de caso realsábado, 14 de maio de 2011
  10. 10. 1. Contexto empresarial 1.2.Visão•1.1. Missão É o sonho da organização, é o– É a razão de existência futuro do negocio e onde a de uma organização. organização espera estar nesse futuro. •1.3. Estratégia •“Forma de pensar no futuro, integrada no processo decisório, com base em um procedimento formalizado e articulador de resultados” (Mintzberg).sábado, 14 de maio de 2011
  11. 11. 2. Públicos Consumidores Clientes Investidores Parceirossábado, 14 de maio de 2011
  12. 12. 3. Indicadoressábado, 14 de maio de 2011
  13. 13. 4. Normas reguladoras 1. Em quais ecossistemas a empresa está inserida? 2. Quais os agentes reguladores e normas? IFRS ANATEL SPED Sindicatos ANAC SOX NF-e Consumidor ANEEL Basiléia RFB Clientes CMV SEFAZ Franqueadores BACEN Parceiros Contratossábado, 14 de maio de 2011
  14. 14. 5. Lacunas de segurança 1.Liste 7 lacunas de segurança da empresa 2. Relacione as lacunas com os indicadores ou normas 3. Estabeleça as 3 de maior relevância, explicando os motivossábado, 14 de maio de 2011
  15. 15. 2a Parte: Conceitos Básicossábado, 14 de maio de 2011
  16. 16. Situação das empresasprof. Roberto Dias Duartesábado, 14 de maio de 2011
  17. 17. Situação das empresasprof. Roberto Dias Duartesábado, 14 de maio de 2011
  18. 18. Quer tentar?prof. Roberto Dias Duartesábado, 14 de maio de 2011
  19. 19. Quer tentar?prof. Roberto Dias Duartesábado, 14 de maio de 2011
  20. 20. Fraude?prof. Roberto Dias Duartesábado, 14 de maio de 2011
  21. 21. O que é fraude? É um esquema ilícito ou de má fé criado para obter ganhos pessoais.prof. Roberto Dias Duartesábado, 14 de maio de 2011
  22. 22. Fatores primários 1 - Existência de golpistas motivados. • Ineficiência das leis; • incerteza da pena; • incerteza jurídica; • existência de oportunidades; • pouca fiscalização.prof. Roberto Dias Duartesábado, 14 de maio de 2011
  23. 23. Mas principalmente porque... o desrespeito às leis é considerado comportamento “normal”.prof. Roberto Dias Duartesábado, 14 de maio de 2011
  24. 24. Mas principalmente porque... o desrespeito às leis é considerado comportamento “normal”.prof. Roberto Dias Duartesábado, 14 de maio de 2011
  25. 25. Fatores primários 2 - Existência de vítimas vulneráveis • Pouca informação e divulgação preventivas; • ignorância e ingenuidade; • ganância; • o desrespeito às leis é considerado comportamento “normal”.prof. Roberto Dias Duartesábado, 14 de maio de 2011
  26. 26. Fatores primários 3 - Falta de controle ou fiscalização • percepção do problema como não prioritário; • despreparo das autoridades; • escassa coordenação de ações contra fraudadores; • falta de leis específicas e pouca clareza em algumas das existentes.prof. Roberto Dias Duartesábado, 14 de maio de 2011
  27. 27. Vítima ou golpista?prof. Roberto Dias Duartesábado, 14 de maio de 2011
  28. 28. Vítima ou golpista?prof. Roberto Dias Duartesábado, 14 de maio de 2011
  29. 29. Segurança da Informação?prof. Roberto Dias Duartesábado, 14 de maio de 2011
  30. 30. Ameaça?prof. Roberto Dias Duartesábado, 14 de maio de 2011
  31. 31. Ameaça? Causa potencial de um incidente, que caso se concretize pode resultar em danoprof. Roberto Dias Duartesábado, 14 de maio de 2011
  32. 32. Vulnerabilidade?prof. Roberto Dias Duartesábado, 14 de maio de 2011
  33. 33. Vulnerabilidade? Falha (ou conjunto) que pode ser explorada por ameaçasprof. Roberto Dias Duartesábado, 14 de maio de 2011
  34. 34. Incidente? Evento que comprometa a operação do negócio ou cause dano aos ativos da organizaçãoprof. Roberto Dias Duartesábado, 14 de maio de 2011
  35. 35. Incidente? Evento que comprometa a operação do negócio ou cause dano aos ativos da organizaçãoprof. Roberto Dias Duartesábado, 14 de maio de 2011
  36. 36. Impacto? Resultados de incidentesprof. Roberto Dias Duartesábado, 14 de maio de 2011
  37. 37. Análise de risco Impacto Transfere Mitiga Aceita Reduz Probabilidadesprof. Roberto Dias Duartesábado, 14 de maio de 2011
  38. 38. Análise de riscoprof. Roberto Dias Duartesábado, 14 de maio de 2011
  39. 39. Ativo digital?prof. Roberto Dias Duartesábado, 14 de maio de 2011
  40. 40. Ativo? Intangível? “Um ativo intangível é um ativo não monetário identificável sem substância física ou, então, o ágio pago por expectativa de rentabilidade futura (goodwill)” Fonte: http://www.cpc.org.brprof. Roberto Dias Duartesábado, 14 de maio de 2011
  41. 41. Assinatura Digitalprof. Roberto Dias Duartesábado, 14 de maio de 2011
  42. 42. Assinatura Digital É um método de autenticação de informação digital Não é Assinatura Digitalizada! Não é Assinatura Eletrônica!prof. Roberto Dias Duartesábado, 14 de maio de 2011
  43. 43. Como funciona?prof. Roberto Dias Duartesábado, 14 de maio de 2011
  44. 44. Como funciona? HASH é gerado a partir da chave pública O HASH é Autor assina descriptografado a com sua partir da chave chave privada pública Novo HASH é gerado HASH é armazenado na mensagem Novo HASH é comparado com o originalprof. Roberto Dias Duartesábado, 14 de maio de 2011
  45. 45. Documentos Digitais MP 2.200-2 de Agosto/2001prof. Roberto Dias Duartesábado, 14 de maio de 2011
  46. 46. Documentos Digitais MP 2.200-2 de Agosto/2001 “As declarações constantes dos documentos em forma eletrônica produzidos com a utilização de processo de certificação disponibilizado pela presumem-se ICP-Brasil verdadeiros em relação aos signatários” (Artigo 10o § 1o)prof. Roberto Dias Duartesábado, 14 de maio de 2011
  47. 47. Documentos Digitais MP 2.200-2 de Agosto/2001prof. Roberto Dias Duartesábado, 14 de maio de 2011
  48. 48. Documentos Digitais MP 2.200-2 de Agosto/2001 “O disposto nesta Medida Provisória não obsta a utilização de outro meio de comprovação da autoria e integridade de documentos em forma eletrônica, inclusive os que utilizem certificados não emitidos pela ICP-Brasil, desde que admitido pelas partes como válido ou aceito pela pessoa a quem for oposto o documento.” (Artigo 10o § 2o)prof. Roberto Dias Duartesábado, 14 de maio de 2011
  49. 49. Caso realprof. Roberto Dias Duartesábado, 14 de maio de 2011
  50. 50. Caso real Integridade Autenticidade Não repudio Disponibilidade Confidencialidade Auditabilidadeprof. Roberto Dias Duartesábado, 14 de maio de 2011
  51. 51. Caso real Integridade Autenticidade Não repudio Disponibilidade Confidencialidade Auditabilidadeprof. Roberto Dias Duartesábado, 14 de maio de 2011
  52. 52. Carimbo do tempoprof. Roberto Dias Duartesábado, 14 de maio de 2011
  53. 53. Carimbo do tempo Certifica a autenticidade temporal (data e hora) de arquivos eletrônicos Sincronizado a “Hora Legal Brasileira”prof. Roberto Dias Duartesábado, 14 de maio de 2011
  54. 54. Integridadeprof. Roberto Dias Duartesábado, 14 de maio de 2011
  55. 55. Integridade Qualquer alteração da mensagem faz com que a assinatura não corresponda mais ao documentoprof. Roberto Dias Duartesábado, 14 de maio de 2011
  56. 56. Autenticidadeprof. Roberto Dias Duartesábado, 14 de maio de 2011
  57. 57. Autenticidade O receptor pode confirmar se a assinatura foi feita pelo emissorprof. Roberto Dias Duartesábado, 14 de maio de 2011
  58. 58. Não repúdioprof. Roberto Dias Duartesábado, 14 de maio de 2011
  59. 59. Não repúdio O emissor não pode negar a autenticidade da mensagemprof. Roberto Dias Duartesábado, 14 de maio de 2011
  60. 60. Confidencialidadeprof. Roberto Dias Duartesábado, 14 de maio de 2011
  61. 61. Confidencialidade Passo 1: Alice envia sua chave pública para Bob Passo 2: Bob cifra a mensagem com a chave pública de Alice e envia para Alice, que recebe e decifra o texto utilizando sua chave privadaprof. Roberto Dias Duartesábado, 14 de maio de 2011
  62. 62. Disponibilidadeprof. Roberto Dias Duartesábado, 14 de maio de 2011
  63. 63. Disponibilidade A informação deve estar disponível apenas para seu uso legítimoprof. Roberto Dias Duartesábado, 14 de maio de 2011
  64. 64. Auditabilidadeprof. Roberto Dias Duartesábado, 14 de maio de 2011
  65. 65. Auditabilidade Deve haver informação relativa às ações de alteração ou consulta de dados Quem? Quando? O que fez?prof. Roberto Dias Duartesábado, 14 de maio de 2011
  66. 66. Por que preciso saber disso?prof. Roberto Dias Duartesábado, 14 de maio de 2011
  67. 67. Ecosistema Fiscal NF-e NFS-e EFD ICMS/IPI CT-e EFD/CIAP Tem nota? CF-e Brasil-id EFD PIS/COFINS CC-e Siniav Entregou? EFD/FOLHA Fisco NF-e SPED Contábil Vendeu? NFS-e EFD Contábil CF-e CC-e Recebeu? Cliente Produziu? Contador NF-e Estoque? Pagou? NFS-e CF-e CC-e Fornecedor Comprou?prof. Roberto Dias Duartesábado, 14 de maio de 2011
  68. 68. Vamos entender as principais vulnerabilidades das empresas no mundo do pós-SPED?prof. Roberto Dias Duartesábado, 14 de maio de 2011
  69. 69. O que é a Nota Eletrônica? “Podemos conceituar a Nota Fiscal Eletrônica como sendo um documento de existência apenas digital, emitido e armazenado eletronicamente, (...) Sua validade jurídica é garantida pela assinatura digital do remetente (garantia de autoria e de integridade) e pela recepção, pelo Fisco, do documento eletrônico, antes da ocorrência do fato gerador.”prof. Roberto Dias Duartesábado, 14 de maio de 2011
  70. 70. Documento Fiscal Digitalprof. Roberto Dias Duartesábado, 14 de maio de 2011
  71. 71. Documento Fiscal Digitalprof. Roberto Dias Duartesábado, 14 de maio de 2011
  72. 72. Livro Contábil Digitalprof. Roberto Dias Duartesábado, 14 de maio de 2011
  73. 73. Livro Contábil Digitalprof. Roberto Dias Duartesábado, 14 de maio de 2011
  74. 74. Livro Fiscal Digital (ICMS/IPI)prof. Roberto Dias Duartesábado, 14 de maio de 2011
  75. 75. Livro Fiscal Digital (ICMS/IPI)prof. Roberto Dias Duartesábado, 14 de maio de 2011
  76. 76. Mas, nada muda na minha empresa, certo?prof. Roberto Dias Duartesábado, 14 de maio de 2011
  77. 77. Vulnerabilidade #1prof. Roberto Dias Duartesábado, 14 de maio de 2011
  78. 78. Vulnerabilidade #1 Te n h o q u e ver ificar o arquivo XML Cláusula décima § 1º O destinatário deverá v e r i fi c ar a vali dade e autenticidade da NF-e e a exis tênci a de Autorização de Uso da NF-e. Ajuste SINIEF 07/2005prof. Roberto Dias Duartesábado, 14 de maio de 2011
  79. 79. Vulnerabilidade #2prof. Roberto Dias Duartesábado, 14 de maio de 2011
  80. 80. Vulnerabilidade #2 Nota autorizada não meprof. Roberto Dias Duarte livra do "passivo fiscal"sábado, 14 de maio de 2011
  81. 81. Vulnerabilidade #2prof. Roberto Dias Duartesábado, 14 de maio de 2011
  82. 82. Vulnerabilidade #2 Cláusula quarta Ainda que formalmente regular, não será considerado documento fiscal idôneo a NF-e que tiver si do emiti da o u utilizada co m do lo, f rau de, s i m u la ç ã o o u e r r o, q u e possibilite, mesmo que a terceiro, o não-pagamento do imposto ou q u al q u er o ut r a va ntag e m indevida. Ajuste SINIEF 07/2005prof. Roberto Dias Duartesábado, 14 de maio de 2011
  83. 83. Vulnerabilidade #3prof. Roberto Dias Duartesábado, 14 de maio de 2011
  84. 84. Vulnerabilidade #3 Só posso cancelar NF-e se a mercadoria não circulou....prof. Roberto Dias Duartesábado, 14 de maio de 2011
  85. 85. Vulnerabilidade #3prof. Roberto Dias Duartesábado, 14 de maio de 2011
  86. 86. Vulnerabilidade #3 ATO COTEPE/ICMS Nº 33 /2008 Efeitos a partir de 01.01.12: Art. 1º Poderá o emitente solicitar o cancelamento da NF-e, em prazo não superior a 24 horas, contado do momento em que foi concedida a respectiva Autorização de Uso da NF-e, desde que não tenha ocorrido a circulação da mercadoria ou a prestação de serviço e observadas às demais normas constantes do AJUSTE SINIEF 07/05, de 5 de outubro de 2005. prof. Roberto Dias Duartesábado, 14 de maio de 2011
  87. 87. Vulnerabilidade #4prof. Roberto Dias Duartesábado, 14 de maio de 2011
  88. 88. Vulnerabilidade #4 Tenho que enviar o arquivo XML ao destinatário e aoprof. Roberto Dias Duarte transportadorsábado, 14 de maio de 2011
  89. 89. Vulnerabilidade #4prof. Roberto Dias Duartesábado, 14 de maio de 2011
  90. 90. Vulnerabilidade #4 Cláusula Sétima § 7º O emitente da NF-e deverá, obr ig ato r i am e nte, e ncam inhar o u disponibilizar download do arquivo da NF-e e seu respectivo Protocolo de Autorização de Uso ao destinatário e a o t r a n s p o r t a d o r c o n t r at a d o, imediatamente após o recebimento da autorização de uso da NF-e. Ajuste SINIEF 07/2005prof. Roberto Dias Duartesábado, 14 de maio de 2011
  91. 91. Vulnerabilidade #5prof. Roberto Dias Duartesábado, 14 de maio de 2011
  92. 92. Vulnerabilidade #5 Tenho que guardar o arquivo XMLprof. Roberto Dias Duartesábado, 14 de maio de 2011
  93. 93. Vulnerabilidade #5prof. Roberto Dias Duartesábado, 14 de maio de 2011
  94. 94. Vulnerabilidade #5 Cláusula décima O emitente e o destinatário deverão manter a NF-e em arquivo d ig i tal, sob sua guarda e re sp o nsabi l i dade, p elo prazo estabelecido na legislação tributária, mesmo que fora da empresa, devendo ser disponibilizado para a Administração Tributária quando solicitado. (...) § 2º Caso o destinatário não seja contribuinte credenciado para a emissão de NF-e, alternativamente ao disposto no “caput”, o destinatário deverá manter em arquivo o DANFE relativo a NF-e da operação, devendo ser apresentado à administração tributária, quando solicitado. § 3º O emitente de NF-e deverá guardar pelo prazo estabelecido na legislação tributária o DANFE que acompanhou o retorno de mercadoria não recebida pelo destinatário e que contenha o motivo da recusa em seu verso. Ajuste SINIEF 07/2005prof. Roberto Dias Duartesábado, 14 de maio de 2011
  95. 95. Vulnerabilidade #6prof. Roberto Dias Duartesábado, 14 de maio de 2011
  96. 96. Vulnerabilidade #6 Troca de identidadeprof. Roberto Dias Duartesábado, 14 de maio de 2011
  97. 97. Vulnerabilidade #6prof. Roberto Dias Duartesábado, 14 de maio de 2011
  98. 98. Vulnerabilidade #6 “ E m p ré s t i m o ” d e s e n h a e ar mazenam ento de certificados digitais eCPF, eCNPJ, ePJ A1, A3, HSMprof. Roberto Dias Duartesábado, 14 de maio de 2011
  99. 99. O que causa vulnerabilidade?prof. Roberto Dias Duartesábado, 14 de maio de 2011
  100. 100. Causas das vulnerabilidadesprof. Roberto Dias Duartesábado, 14 de maio de 2011
  101. 101. Causas das vulnerabilidades Tecnologia precária Falta de conhecimento Ganância: preços abaixo do mercado Desrespeito as leis encarado como comportamento comumprof. Roberto Dias Duartesábado, 14 de maio de 2011
  102. 102. Consequênciasprof. Roberto Dias Duartesábado, 14 de maio de 2011
  103. 103. Consequênciasprof. Roberto Dias Duartesábado, 14 de maio de 2011
  104. 104. Consequências Mercadorias sem documento idôneo Mercadorias de origem ilícita Problemas fiscais: documentos inidôneos Sigilo fiscal e comercial violados Assinatura de contratos e outros documentosprof. Roberto Dias Duartesábado, 14 de maio de 2011
  105. 105. Tenho como evitar?prof. Roberto Dias Duartesábado, 14 de maio de 2011
  106. 106. Solução: Paradigma do século XXI Conhecimento Comportamento Tecnologiaprof. Roberto Dias Duartesábado, 14 de maio de 2011
  107. 107. Ação preventivas básicasprof. Roberto Dias Duartesábado, 14 de maio de 2011
  108. 108. O dono da bola Quem é o responsável pela gestão da informação? Definições: políticas de segurança políticas de backup políticas de contingênciaprof. Roberto Dias Duartesábado, 14 de maio de 2011
  109. 109. Termo de compromisso Formaliza responsabilidades: Sigilo de informações; Cumprimento de normas de segurança; Conduta ética.prof. Roberto Dias Duartesábado, 14 de maio de 2011
  110. 110. Autenticação individual Identifica as pessoas: Senha; Cartão ou token; Biometria; Certificado Digital.prof. Roberto Dias Duartesábado, 14 de maio de 2011
  111. 111. “Empréstimo” de senhaprof. Roberto Dias Duartesábado, 14 de maio de 2011
  112. 112. “Empréstimo” de senhaprof. Roberto Dias Duartesábado, 14 de maio de 2011
  113. 113. Cópias de segurança Qual a política definida? Qual a cópia mais antiga? Os arquivos das estações têm cópias? Os servidores têm cópias? Onde são armazenadas? Em que tipo de mídia?prof. Roberto Dias Duartesábado, 14 de maio de 2011
  114. 114. Software homologado Itens de verificação: manutenção treinamento suporte condições comerciais capacidade do fabricante tendênciasprof. Roberto Dias Duartesábado, 14 de maio de 2011
  115. 115. Uso de antivírus Prevenção além do software: Anexos Executável? No way! Download? Só de sites confiáveis Backup, sempre Educaçãoprof. Roberto Dias Duartesábado, 14 de maio de 2011
  116. 116. O Carona Prevenção contra “sessões abertas” em sua ausência: Conduta: Suspensão ou encerramento da sessão; Mecanismo: Suspensão ou encerramento da sessão.prof. Roberto Dias Duartesábado, 14 de maio de 2011
  117. 117. Correio eletrônico Pishing Muitos golpes: Notícias falsas Propostas “irresistíveis” Seu CPF foi... Atualize sua senha... blá, blá, blá...prof. Roberto Dias Duartesábado, 14 de maio de 2011
  118. 118. Informações pessoais Cuidado com informação de: Funcionários Clientes Parceiros Quem pode acessar? Parceiros? Uso comercial?prof. Roberto Dias Duartesábado, 14 de maio de 2011
  119. 119. Ambiente Físico Ahhh, reuniões rápidas: no elevador na festa no avião Quadros, flip chart, relatórios, etc Lixão, de novo? Quem entra, quem sai? prof. Roberto Dias Duartesábado, 14 de maio de 2011
  120. 120. Engenharia social Procedimentos para obtenção de informações através de contatos falsos “Conversa de malandro” Lixão Habilidades do farsante: fala com conhecimento adquire confiança presta “favor”prof. Roberto Dias Duartesábado, 14 de maio de 2011
  121. 121. Uso da Internet & Redes Sociais Qual a sua opinião?prof. Roberto Dias Duartesábado, 14 de maio de 2011
  122. 122. Uso da Internet & Redes Sociaisprof. Roberto Dias Duartesábado, 14 de maio de 2011
  123. 123. Uso da Internet & Redes Sociaisprof. Roberto Dias Duartesábado, 14 de maio de 2011
  124. 124. Uso da Internet & Redes Sociaisprof. Roberto Dias Duartesábado, 14 de maio de 2011
  125. 125. Ações preventivas Conhecimento Física Análise Software Planejamento Humana Investimento Educação.prof. Roberto Dias Duartesábado, 14 de maio de 2011
  126. 126. Ações detectivas Quanto antes, melhor Conhecimento Monitoramento de Análise eventos Planejamento O que monitorar? Investimentoprof. Roberto Dias Duartesábado, 14 de maio de 2011
  127. 127. Ações corretivas Minimizar o problema Quanto mais rápido, melhorprof. Roberto Dias Duartesábado, 14 de maio de 2011
  128. 128. Plano de continuidade Contexto empresarial Mapeamento de riscos Conhecimento Análise Planejamento Investimento Educação Simulaçãoprof. Roberto Dias Duartesábado, 14 de maio de 2011
  129. 129. Direitos do usuário Acesso individual Treinamento sobre segurança Informações para trabalhar Comunicar ocorrências de segurança Saber o que é rastreado Garantia de privacidade Conhecer as políticas e normas Ser mais importante que a tecnologia Ser avisado sobre tentativas de invasãoprof. Roberto Dias Duartesábado, 14 de maio de 2011
  130. 130. Mensagem sobre o segurançaprof. Roberto Dias Duartesábado, 14 de maio de 2011
  131. 131. Mensagem sobre o segurançaprof. Roberto Dias Duartesábado, 14 de maio de 2011
  132. 132. 2o Trabalho Ante-projeto Prática de Segurança: diagnóstico, análise de riscos, problema, solução, custo, beneficios, macro-cronograma. Prazo: 14.5.2011 às 07:40 Pode ser em grupo Escolha uma empresa para o estudo de caso realsábado, 14 de maio de 2011
  133. 133. 2o Trabalho 1. Ajustar o diagnóstico reavaliando as lacunas 2. Análise de risco considerando as 7 lacunas relacionadas 3. Definir estratégia para cada lacuna: mitigar, transferir, reduzir,aceitar 4. Identificar problema, solução, custo, beneficios, macro-cronograma para 3 lacunas.sábado, 14 de maio de 2011
  134. 134. Apresentação do 2o trabalho Data: 14/5/2011 Prazo para ajustes: de 07:40 às 08:20 Apresentações: de 08:20 às 09:00sábado, 14 de maio de 2011
  135. 135. 3a Parte: Visão de Gestãosábado, 14 de maio de 2011
  136. 136. sábado, 14 de maio de 2011
  137. 137. Qual é a estrutura da sua organização?sábado, 14 de maio de 2011
  138. 138. Governaça “É o conjunto de processos, costumes, políticas, leis, regulamentos e instituições que regulam a maneira como uma empresa é dirigida, administrada ou controlada” (fonte: Wikipedia)sábado, 14 de maio de 2011
  139. 139. Governaça •Visão –É o sonho da organização, é o futuro do negocio e onde a organização espera estar nesse futuro. •Missão –É a razão de existência de uma organização.sábado, 14 de maio de 2011
  140. 140. Governaça •Transparência –Mais do que "a obrigação de informar", a administração deve cultivar o "desejo de informar"sábado, 14 de maio de 2011
  141. 141. Governaça•Equidade–Tratamento justo e igualitário de todos os grupos minoritários (stakeholdres).sábado, 14 de maio de 2011
  142. 142. Stakeholders & Shareholders •Equilíbrio: – Regulamentações – Forças corporativas Qual a relação entre equilíbrio e segurança?sábado, 14 de maio de 2011
  143. 143. Balanceando pressõessábado, 14 de maio de 2011
  144. 144. Balanceando pressõessábado, 14 de maio de 2011
  145. 145. Balanceando pressões • Compliance: “conjunto de disciplinas para fazer cumprir as normas legais e regulamentares, as políticas e as diretrizes estabelecidas para o negócio e para as atividades da instituição ou empresa, bem como evitar, detectar e tratar qualquer desvio ou inconformidade que possa ocorrer” (Fonte: Wikipedia)sábado, 14 de maio de 2011
  146. 146. Balanceando pressões •Risco x Conformidade: –100% de conformidade garante 100% de segurança?sábado, 14 de maio de 2011
  147. 147. Desafios da Governança Quais  são  os   Gerenciar riscos x principais   investimentos adequados desafios  de  sua   Manter organização organização? segura Seguir padrões Atender às exigências regulatóriassábado, 14 de maio de 2011
  148. 148. Desafios da Governança Quais  são  os   Gerenciar riscos x principais   investimentos adequados desafios  de  sua   Manter organização organização? segura Seguir padrões Atender às exigências regulatóriassábado, 14 de maio de 2011
  149. 149. Sucesso na GSI Comunicação: direção, gerências e operação Qual  a   Planejamento alinhado à realidade  de   estratégia sua   Políticas aderentes aos requisitos organização? legais Nível de maturidade coerente com contexto de riscos Estruturar controles de segurança (frameworks) Monitorar a eficácia e eficiênciasábado, 14 de maio de 2011
  150. 150. Melhores Práticas •Personalizar as práticas Qual  as   ao negócio prá6cas  de  sua   organização? –“O grande diferencial não está em utilizar apenas um guia, ma sim em combinar o que cada um possui de melhor”sábado, 14 de maio de 2011
  151. 151. Melhores Práticas Cuidado com: Orçamento Pessoassábado, 14 de maio de 2011
  152. 152. Fundamentos de ITILsábado, 14 de maio de 2011
  153. 153. Fundamentos de ITILsábado, 14 de maio de 2011
  154. 154. Cobit: parte 1sábado, 14 de maio de 2011
  155. 155. Cobit: parte 1sábado, 14 de maio de 2011
  156. 156. Cobit: parte 2sábado, 14 de maio de 2011
  157. 157. Cobit: parte 2sábado, 14 de maio de 2011
  158. 158. Cobit: parte 1sábado, 14 de maio de 2011
  159. 159. Cobit: parte 1sábado, 14 de maio de 2011
  160. 160. Cobit: parte 1sábado, 14 de maio de 2011
  161. 161. Cobit: parte 1sábado, 14 de maio de 2011
  162. 162. Cobitsábado, 14 de maio de 2011
  163. 163. Cobit: Alinhamentosábado, 14 de maio de 2011
  164. 164. Cobit: metas e medidassábado, 14 de maio de 2011
  165. 165. Cobit: frameworksábado, 14 de maio de 2011
  166. 166. Cobit: frameworksábado, 14 de maio de 2011
  167. 167. 3o Trabalho - parte Isábado, 14 de maio de 2011
  168. 168. 3o Trabalho - parte I Elaborar um plano de implantação de política de segurança e o manual se segurança da informação. (30 pontos). Entrega final em: 28.05 1. Reavaliar o Diagnóstico & lacunas, considerando as metas de negócio. 2. Através da análise de risco, estabelecer as metas de TI (relativas à segurança). 3. Definir estratégia para cada lacuna, estabelecendo metas de processos e metas de atividades. 4. Definir resumo do projeto, contendo: problema, solução, custo, beneficios, macro-cronogramasábado, 14 de maio de 2011
  169. 169. ISO/IEC 17799Pós-Graduação em Gestão da Segurança de T.I. (GSTI) • “A ISO/IEC 17799 foi atualizada para numeração ISO/IEC 27002 em julho de 2007. É uma norma de Segurança da Informação revisada em 2005 pela ISO e pela IEC. A versão original foi publicada em 2000, que por sua vez era uma cópia fiel do padrão britânico (BS) 7799-1:1999.” (Fonte: Wikipedia) sábado, 14 de maio de 2011
  170. 170. ISO/IEC 27000Pós-Graduação em Gestão da Segurança de T.I. (GSTI) • ISO 27000 - Vocabulário de Gestão da Segurança da Informação; • ISO 27001 - Esta norma foi publicada em Outubro de 2005 e substituiu a norma BS 7799-2 para certificação de sistema de gestão de segurança da informação; • ISO 27002 - Substitui ISO 17799:2005 (Código de Boas Práticas); • ISO 27003 - Aborda a gestão de risco; • ISO 27004 - Mecanismos de mediação e de relatório de um sistema de gestão de segurança da informação; • ISO 27005 - Esta norma será constituída por indicações para implementação, monitoramento e melhoria contínua do sistema de controles; • ISO 27006 - Esta norma será referente à recuperação e continuidade de negócio. sábado, 14 de maio de 2011
  171. 171. Pós-Graduação em Gestão da Segurança de T.I. (GSTI)sábado, 14 de maio de 2011 ISO/IEC 27001
  172. 172. ISO/IEC 17799/27002Pós-Graduação em Gestão da Segurança de T.I. (GSTI) • Framework –Políticas de segurança –Segurança organizacional –Segurança das pessoas –Segurança física e do ambiente –Gerenciamento das operações –Controle de acesso –Desenvolvimento e manutenção de sistemas –Gestão da continuidade do negócio –Conformidade sábado, 14 de maio de 2011
  173. 173. Metodologia OctavePós-Graduação em Gestão da Segurança de T.I. (GSTI) • Origem: Software Engineering Institute (SEI) da Carnigie Mellon University • Antes de avaliar o risco: entender o negócio, cenário e contexto • Octave Method (grandes organizações) e Octave-S (pequenas) sábado, 14 de maio de 2011
  174. 174. Use Octave-S, se:Pós-Graduação em Gestão da Segurança de T.I. (GSTI) • Hierarquia simples • Menos de 300 funcionários • Metodologia estruturada com pouca customização • Há muita terceirização na TI • Infraestrutura simples sábado, 14 de maio de 2011
  175. 175. Octave MethodPós-Graduação em Gestão da Segurança de T.I. (GSTI) • 1a Fase: Obtendo informações e definindo os perfis de ameaças aos ativos –Processo 1: Conhecimento da alta gerência: Equipe coleta informações sobre recursos importantes, exigências de segurança, ameaças e vulnerabilidades –Processo 2: Conhecimento da gerência operacional: Equipe coleta informações sobre recursos importantes, exigências de segurança, ameaças e vulnerabilidades – sábado, 14 de maio de 2011
  176. 176. Octave MethodPós-Graduação em Gestão da Segurança de T.I. (GSTI) • 1a Fase: Obtendo informações e definindo os perfis de ameaças aos ativos –Processo 3: Conhecimento de cada departamento: Equipe coleta informações sobre recursos importantes, exigências de segurança, ameaças e vulnerabilidades –Processo 4: Criar perfis de ameaças para 3 a 5 ativos críticos sábado, 14 de maio de 2011
  177. 177. Octave MethodPós-Graduação em Gestão da Segurança de T.I. (GSTI) • 2a Fase: Identificar vulnerabilidades da infraestrutura –Processo 5: Identificar e definir padrão de avaliação dos componentes-chave dos recursos –Processo 6: Avaliar componentes-chave dos recursos sábado, 14 de maio de 2011
  178. 178. Octave MethodPós-Graduação em Gestão da Segurança de T.I. (GSTI) • 3a Fase: Desenvolver estratégias e planos de segurança –Processo 7: Definir critérios de avaliação de impactos (alto, médio, baixo) –Processo 8: Desenvolver estratégias de proteção para melhorar as práticas de segurança sábado, 14 de maio de 2011
  179. 179. Octave-SPós-Graduação em Gestão da Segurança de T.I. (GSTI) • 1a Fase: Identifica ativos com base nos perfis de ameaça –Processo S1: Identificar ativos, definir critérios de avaliação dos impactos e situação atual das práticas de segurança –Processo S2: Criar perfis de ameaças e definir exigências de segurança sábado, 14 de maio de 2011
  180. 180. Octave-SPós-Graduação em Gestão da Segurança de T.I. (GSTI) • 2a Fase: Identificar vulnerabilidades da infraestrutura –Processo S3: Analisar o fluxo de acesso aos sisteas que suportam os ativos e determinar o quanto os processos tecnológicos os protegem sábado, 14 de maio de 2011
  181. 181. Octave-SPós-Graduação em Gestão da Segurança de T.I. (GSTI) • 3a Fase: Desenvolver estratégias e planos de segurança –Processo S4: Identificar e analisar os riscos, impactos e probabilidades de cada ativo crítico –Processo S5: Desenvolver estratégias de proteção para melhorar as práticas de segurança sábado, 14 de maio de 2011
  182. 182. Octave-SPós-Graduação em Gestão da Segurança de T.I. (GSTI) • 3a Fase: Desenvolver estratégias e planos de segurança –Processo S4: Identificar e analisar os riscos, impactos e probabilidades de cada ativo crítico –Processo S5: Desenvolver estratégias de proteção para melhorar as práticas de segurança sábado, 14 de maio de 2011
  183. 183. Octave: AtividadesPós-Graduação em Gestão da Segurança de T.I. (GSTI) para Gestão de Riscos • Identificação dos riscos • Análise e classificação quanto à criticidade • Criação de plano estratégico para proteção • Criação de plano para tratamento de riscos • Planejamento da implantação • Implantação • Monitoramento da execução dos planos • Controle das variações sábado, 14 de maio de 2011
  184. 184. Visão ampla Where Does COBIT Fit?Pós-Graduação em Gestão da Segurança de T.I. (GSTI) CONFORMIDADE Direcionadores DESEMPENHO: Basel II, Sarbanes- Metas de Negócio Oxley Act, etc. Governança Corporativa BSC COSO Governança de TI COBIT Melhores práticas ISO ISO ISO 9001:2000 17799 20000 Processos e Procedimentos Princípios de ITIL procedimentos de QA Segurança sábado, 14 de maio de 2011
  185. 185. Então?Pós-Graduação em Gestão da Segurança de T.I. (GSTI) • ITIL O  que  devo   • Cobit adotar  em   • ISO minha   empresa? • Octave • BSC sábado, 14 de maio de 2011
  186. 186. ParadigmasPós-Graduação em Gestão da Segurança de T.I. (GSTI) • “A equipe de TI deve gerenciar e conduzir suas ações para influenciar as partes interessadas e garantir o sucesso do projeto, sempre focada no negócio” sábado, 14 de maio de 2011
  187. 187. Partes interessadasPós-Graduação em Gestão da Segurança de T.I. (GSTI) Quais  são  os   principais   stakeholders   de  sua   organização? sábado, 14 de maio de 2011
  188. 188. Governando RiscosPós-Graduação em Gestão da Segurança de T.I. (GSTI) • Desafio: conhecer os Por que adotar o riscos gerenciamento de riscos de segurança • Riscos determinam os da informação em processos de segurança sua organização? da metodologia/framework sábado, 14 de maio de 2011
  189. 189. Tipos de RiscosPós-Graduação em Gestão da Segurança de T.I. (GSTI) • Estratégico e empresarial (negócios) • Humano Quais  são  os   • Tecnológico principais   • Imagem riscos  de  sua   • Legal organização? sábado, 14 de maio de 2011
  190. 190. Pós-Graduação em Gestão da Segurança de T.I. (GSTI)sábado, 14 de maio de 2011 Visão executiva
  191. 191. Visão executivaPós-Graduação em Gestão da Segurança de T.I. (GSTI) Na  sua   • Comunicação empresa,  TI  é   • Foco no negócio custo  ou   • Alinhamento estratégico diferencial? • Custo x diferencial competitivo • Recursos de TI como portfólio de investimentos sábado, 14 de maio de 2011
  192. 192. Contexto daPós-Graduação em Gestão da Segurança de T.I. (GSTI) organização Você  fala     • Organograma: formal x real “javanês”   • Sensibilização e conscientização com  os   • Linguagem execu6vos? • Benchmark sábado, 14 de maio de 2011
  193. 193. Governando ProcessosPós-Graduação em Gestão da Segurança de T.I. (GSTI) • Conceito de processo: –sequências semi-repetitivas de eventos que, geralmente, estão distribuídas de forma ampla pelo tempo e espaço sábado, 14 de maio de 2011
  194. 194. Pós-Graduação em Gestão da Segurança de T.I. (GSTI)sábado, 14 de maio de 2011 Governando Processos
  195. 195. Governando ProcessosPós-Graduação em Gestão da Segurança de T.I. (GSTI) • Mapeando processos: –Enumerar atividades –Ordernar em forma sequencial –Identificar entradas e saídas • recursos • infraestrutura • insumos • matéria-prima • fornecedores –Estabelecer características de produtos/serviços sábado, 14 de maio de 2011
  196. 196. Governando ProcessosPós-Graduação em Gestão da Segurança de T.I. (GSTI) • Mapeando processos: –Definir documentação para operação e controle –Estabelecer indicadores de eficácia –Definir plano de controle sábado, 14 de maio de 2011
  197. 197. Governando ProcessosPós-Graduação em Gestão da Segurança de T.I. (GSTI) • Nível de maturidade: –Obter conhecimento sobre os procedimentos –Otimizar processos (melhores práticas) –Comparar (benchmark) –Adotar políticas –Utilizar a TI como facilitador –Definir processos de riscos –Integrar riscos –Monitorar falhas e melhorias –Realinhar processos sábado, 14 de maio de 2011
  198. 198. Cobit: níveis de maturidadePós-Graduação em Gestão da Segurança de T.I. (GSTI) • Nível 0: inexistente sábado, 14 de maio de 2011
  199. 199. Cobit: níveis de maturidadePós-Graduação em Gestão da Segurança de T.I. (GSTI) • Nível 1: Inicial –Consciência mínima da necessidade de Governança –Estruturas desorganizadas, sem padrões –Suporte e TI não integrados –Ferramentas e serviços não integrados –Serviços reativos a incidentes sábado, 14 de maio de 2011
  200. 200. Cobit: níveis de maturidadePós-Graduação em Gestão da Segurança de T.I. (GSTI) • Nível 2: Repetitivo –Consciência relativa da necessidade de Governança –Atividades de governança e medidores em desenvolvimento –Estruturas pouco organizadas, sem padrões –Serviços realizados sem metodologia –Repetição de incidentes –Sem controle de mudanças sábado, 14 de maio de 2011
  201. 201. Cobit: níveis de maturidadePós-Graduação em Gestão da Segurança de T.I. (GSTI) • Nível 3: Definido –Alta consciência sobre Governança –Processos padronizados, implementados e documentodos –Controle de mudanças –Métricas e indicadores consistentes –Inexistência de SLA sábado, 14 de maio de 2011
  202. 202. Cobit: níveis de maturidadePós-Graduação em Gestão da Segurança de T.I. (GSTI) • Nível 4: Gerenciado –Consciência da importância de Governança –SLA’s e catálogos de serviços –Inexistência de gestão financeira –TI ainda não é vista como benefício para o negócio –Início do processo de melhoria contínua sábado, 14 de maio de 2011
  203. 203. Cobit: níveis de maturidadePós-Graduação em Gestão da Segurança de T.I. (GSTI) • Nível 5: Otimizado –Consciência total –Gestão financeira de TI –Melhores práticas adotadas e gerenciadas –Melhoria contínua de processos –Otimização contínua de TI sábado, 14 de maio de 2011
  204. 204. Linha do tempoPós-Graduação em Gestão da Segurança de T.I. (GSTI) !"#$%&"() A(B&5&"() A".()>("?@-6) A".()")) A".()")) A".()7CD-).(&)) E01B(0(,#";D-) G-,.-B&";D-) HI5(BJ,5&") (),""=) A%"F0(,#"") K1(%"5&-,"B) !(BT-%&")5-,?,$")) G%&"%)E,@(,#O%&-.)) -)1%-5(..-) M"%")&,&5&"?@".)() P-@(%,",;") E,&5&")$0)"Q-%"F(0) R,&S5"-)()) P-@(%,",;") 234-56)789):";-)) <$",-)1%(5&.-=)) 3)>("?@-) 25(B(%"%)1%-L(#-.) M"%")%("F&%)".) .-B&5&#";N(.) /(01-) *)")+)",-.) sábado, 14 de maio de 2011
  205. 205. Por que evoluirPós-Graduação em Gestão da Segurança de T.I. (GSTI) processos? • Evita desperdícios de esforços e recursos • Visão de processos e responsabilidades • Investimentos claros e alinhados ao negócio • Planejamento de longo prazo sábado, 14 de maio de 2011
  206. 206. Métricas para GSIPós-Graduação em Gestão da Segurança de T.I. (GSTI) • Processos de TI –Modelo de maturidade –Fatores críticos de sucesso –Indicadores de metas –Indicadores de desempenho sábado, 14 de maio de 2011
  207. 207. Métricas para GSIPós-Graduação em Gestão da Segurança de T.I. (GSTI) • Fatores críticos de sucesso (CFS) –importância estratégica –expressos em termos de processos –mensuráveis sábado, 14 de maio de 2011
  208. 208. Métricas para GSIPós-Graduação em Gestão da Segurança de T.I. (GSTI) • Indicadores de metas (KGI) –verificam se os processos alcançaram as metas –“O que atingir?” –indicadores imediatos de sucesso –mensuráveis sábado, 14 de maio de 2011
  209. 209. Métricas para GSIPós-Graduação em Gestão da Segurança de T.I. (GSTI) • Indicadores de desempenho (KPI) –orientados a processos –definem o desempenho dos procesoss –mensuráveis sábado, 14 de maio de 2011
  210. 210. Integrando MedidoresPós-Graduação em Gestão da Segurança de T.I. (GSTI) • Security Scorecard –CFS definidos para um processo –São monitorados por KPI’s –Devem atingir os KGI’s sábado, 14 de maio de 2011
  211. 211. Integrando MedidoresPós-Graduação em Gestão da Segurança de T.I. (GSTI) • Implantando –1a etapa: Definir indicadores –2a etapa: Sensibilizar pessoas e planejar mensuração –3a etapa: Treinar pessoas, coletar e validar dados –4a etapa: Corrigir e previnir sábado, 14 de maio de 2011
  212. 212. Governança de SIPós-Graduação em Gestão da Segurança de T.I. (GSTI) • Visão e missão estratégicas: –Governança Corporativa: • Governança de TI • Governança de SI sábado, 14 de maio de 2011
  213. 213. 4a parte: ImplantandoPós-Graduação em Gestão da Segurança de T.I. (GSTI) políticas de SI sábado, 14 de maio de 2011
  214. 214. Políticas de SIPós-Graduação em Gestão da Segurança de T.I. (GSTI) • Informações são ativos • Envolvimento da alta gestão • Responsabilidade formal dos colaboradores • Estabelecimento de padrões sábado, 14 de maio de 2011
  215. 215. Políticas de SI:Pós-Graduação em Gestão da Segurança de T.I. (GSTI) Características • Simples • Compreensíveis • Homologadas e assinadas pela alta gestão • Estruturada para implantação em fases • Alinhadas com o negócio • Orientadas aos riscos • Flexíveis • Protetoras de ativos (Pareto) • Positivas (não apenas proibitivas) sábado, 14 de maio de 2011
  216. 216. Visão geral da metodologiaPós-Graduação em Gestão da Segurança de T.I. (GSTI) sábado, 14 de maio de 2011
  217. 217. Etapas para oPós-Graduação em Gestão da Segurança de T.I. (GSTI) desenvolvimento • Fase I - Levantamento de informações –Obtenção dos padrões e normas atuais –Entendimento do uso da TI nos processos –Obtenção de informações sobre o negócio –Obtenção de informações sobre ambiente de TI sábado, 14 de maio de 2011
  218. 218. Etapas para oPós-Graduação em Gestão da Segurança de T.I. (GSTI) desenvolvimento • Fase II - Desenvolvimento do Conteúdo e Normas – Gerenciamento da politica de segurança –Atribuição de regras e responsabilidades –Critérios para classificação de informações –Procedimentos de SI sábado, 14 de maio de 2011
  219. 219. Fase II: DesenvolvimentoPós-Graduação em Gestão da Segurança de T.I. (GSTI) de políticas e normas: • Gerenciamento da politica de segurança –Definição da SI –Objetivos –CFS –Gerenciamento da versão –Referências a outras políticas sábado, 14 de maio de 2011
  220. 220. Fase II: DesenvolvimentoPós-Graduação em Gestão da Segurança de T.I. (GSTI) de políticas e normas: • Atribuição de regras e responsabilidades: –Comitê de SI –Proprietário das informações –Área de SI –Usuários de informações –RH –Auditoria sábado, 14 de maio de 2011
  221. 221. Fase II: DesenvolvimentoPós-Graduação em Gestão da Segurança de T.I. (GSTI) de políticas e normas: • Critérios de classificação das informações: –Introdução –Classificação –Níveis de classificação –Reclassificação –Armazenamento e descarte –Armazenamento e saídas sábado, 14 de maio de 2011
  222. 222. Fase II: DesenvolvimentoPós-Graduação em Gestão da Segurança de T.I. (GSTI) de políticas e normas: • Procedimentos de SI: –Classificação e tratamento da informação –Notificação e gerenciamento de incidentes –Processo disciplinar –Aquisição e uso de hardware e software –Proteção contra software malicioso –Segurança e tratamento de mídias –Uso de internet –Uso de e-mail –Uso de recursos de TI sábado, 14 de maio de 2011
  223. 223. Fase II: DesenvolvimentoPós-Graduação em Gestão da Segurança de T.I. (GSTI) de políticas e normas: • Procedimentos de SI: –Backup –Manutenção e teste de equipamentos –Coleta e registro de falhas –Gerenciamento e controle de rede –Monitoramento do uso e acesso aos sistemas –Uso de controles de criptografia –Controle de mudanças –Inventário de ativos de informação –Controle de acesso físico sábado, 14 de maio de 2011
  224. 224. Fase II: DesenvolvimentoPós-Graduação em Gestão da Segurança de T.I. (GSTI) de políticas e normas: • Procedimentos de SI: –Segurança física –Supervisão de visitantes e prestadores de serviços sábado, 14 de maio de 2011
  225. 225. Etapas para oPós-Graduação em Gestão da Segurança de T.I. (GSTI) desenvolvimento • Fase III - Elaboração de Procedimentos de SI –Pesquisa sobre melhores práticas –Desenvolvimento de procedimentos e padrões –Formalização dos procedimentos sábado, 14 de maio de 2011
  226. 226. Etapas para oPós-Graduação em Gestão da Segurança de T.I. (GSTI) desenvolvimento • Fase IV - Revisão, aprovação e implantação –Revisão e aprovação –Implantação • Preparação de material de divulgação • Divulgação das responsabilidades • Palestras executivas • Palestras e treinamentos operacionais sábado, 14 de maio de 2011
  227. 227. Etapas para o desenvolvimentoPós-Graduação em Gestão da Segurança de T.I. (GSTI) sábado, 14 de maio de 2011
  228. 228. 3o Trabalho - parte II Elaborar um plano de implantação de política de segurança e o manual se segurança da informação. (30 pontos). Entrega final em: 28.05 1. Reavaliar o Diagnóstico & lacunas, considerando as metas de negócio. 2. Através da análise de risco, estabelecer as metas de TI (relativas à segurança). 3. Definir estratégia para cada lacuna, estabelecendo metas de processos e metas de atividades. 4. Definir resumo do projeto, contendo: problema, solução, custo, beneficios, macro-cronograma 5. Elaborar um plano de implantação de política de segurança e o manual se segurança da informação.sábado, 14 de maio de 2011

×