Governança de TI e Segurança da Informação

5.415 visualizações

Publicada em

Palestra apresentada na Semana da Gestão e Governança da TI.

Evento realizado pelo Instituto Infnet entre os dias 25/10/2010 e 29/10/2010.

Publicada em: Educação, Tecnologia, Negócios
1 comentário
8 gostaram
Estatísticas
Notas
Sem downloads
Visualizações
Visualizações totais
5.415
No SlideShare
0
A partir de incorporações
0
Número de incorporações
2
Ações
Compartilhamentos
0
Downloads
276
Comentários
1
Gostaram
8
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Governança de TI e Segurança da Informação

  1. 1. Governança de TI e Segurança da Informação Luís Segadas - CISSP, CISA
  2. 2. Objetivo Apresentar o papel da segurança da informação no contexto de governança de TI, com destaque para o processo de gestão de riscos e os benefícios trazidos pela sua implementação.
  3. 3. Governança e Segurança Governança e Segurança são duas faces da mesma moeda. Devem se preocupar com Pessoas, Processos e Tecnologias.
  4. 4. Governança - Por que? Alinhar objetivos de TI com o negócio Automatizar, padronizar e unificar processos de TI Otimizar o uso dos recursos Gerenciar riscos apropriadamente Facilitar auditoria Conformidade com partes externas Fonte: Cobit.
  5. 5. Segurança - Por que? Proteger os ativos, o negócio e a reputação Alinhar o que proteger com o negócio Gerenciar riscos Mais facilidades, mais ameaças As ameaças são cada vez mais digitais Informação está em várias mídias Aspectos legais e regulatórios Fonte: ISO 27000.
  6. 6. Um pouco sobre a ISO 27000 Normas ISO (No Brasil são editadas pela ABNT) ABNT NBR ISO IEC (Número):(Ano de criação ou última revisão) 27001:2006 - Gestão de Segurança da Informação 27002:2005 - Requisitos (antiga 17799) 27005:2008 - Gestão de Riscos de TI 27004:2010 - Métricas.
  7. 7. Mapa: Cobit e ISO 27000 Cobit Information Criteria Effectiveness, efficiency, confidentiality, integrity, availability, compliance, reliability Resources Application, information, infrastructure, people ISO 27000
  8. 8. Mapa: Cobit e ISO 27002 Process and Domains 1 2 3 4 5 6 7 8 9 10 11 12 13 Plan and Organize Acquire and Implement Deliver and Support Monitor and Evaluate Process and Domains 1 2 3 4 5 6 7 8 9 10 11 12 13 Plan and Organize Acquire and Implement Deliver and Support Monitor and Evaluate Process and Domains 1 2 3 4 5 6 7 8 9 10 11 12 13 Plan and Organize Acquire and Implement Deliver and Support Monitor and Evaluate Process and Domains 1 2 3 4 5 6 7 8 9 10 11 12 13 Plan and Organize Acquire and Implement Deliver and Support Monitor and Evaluate Process and Domains 1 2 3 4 5 6 7 8 9 10 11 12 13 Plan and Organize Acquire and Implement Deliver and Support Monitor and Evaluate Não existe processo do Cobit Menos de 15 requerimentos foram mapeados Entre 15 e 29 requerimentos foram mapeados Mais de 30 foram mapeados Legenda
  9. 9. ISACA - Information Systems Audit and Control Association
  10. 10. ISACA - Information Systems Audit and Control Association
  11. 11. ISACA - Information Systems Audit and Control Association
  12. 12. ISO 27001 e 27002 5. Política de Segurança 6. Segurança organizacional 7. Gestão de ativos 8. Segurança em RH 9. Segurança física e de ambiente 10. Gerenciamento de operações e comunicação 11. Controle de acesso 12. Aquisição, desenvolvimento e manutenção de sistemas 13. Gestão de incidentes 14. Gestão de continuidade de negócios 15. Conformidade.
  13. 13. ISO 27005 Específica de Gestão de Riscos em TI Excelente framework e base de conhecimento.
  14. 14. Vantagens de gerir riscos Conhecimento das vulnerabilidades Tratar o risco como um direcionador da estratégia Adoção das melhores práticas
  15. 15. Ciclo de vida da informação Manuseio Transporte Armazenamento Descarte
  16. 16. Barreiras da segurança (5D) Desestimular Dificultar Detectar Deter Diagnosticar
  17. 17. Conclusão Integração entre governança e segurança Visão holística de segurança da informação, considera pessoas, processos e tecnologias Gestão de riscos como direcionador de estratégias.
  18. 18. Fonte Cobit 4.1 Cobit Mapping - Mapping of ISOIEC 17799:2005 with Cobit 4.0 ABNT NBR ISO/IEC 27001:2006 ABNT NBR ISO/IEC 27002:2005 ABNT NBR ISO/IEC 27005:2008
  19. 19. Links úteis www.isaca.org www.abnt.org.br www.iso.org www.isc2.org www.iso27001certificates.com
  20. 20. FIM Luís Segadas (CISSP, CISA) luis.segadas@prof.infnet.edu.br lgsegadas@gmail.com

×