Bem-vindo ao Circuito de Palestras EXIN 2014
Conheça o novo Portfólio EXIN:
Claudio Dodt, ISMAS, CISSP, CISA, ISO 27001 Lead Auditor
Business Continuity & Security Senior Consultant
Sócio-Gerente
cl...
AGENDA
 DARYUS
 A norma ISO 27001
 Uma visão holística
 O processo de Gestão de Riscos de
Segurança da Informação
 Co...
•O Strategic Risk Consulting não está apenas no nome, é fato.
•Nascemos em 2006 com o objetivo de popularizar as práticas ...
Nossas unidades
• Continuidade de Negócios
• Segurança da Informação
• Gestão de Processos de Negócios
• Governança, Risco e Conformidade
...
Objetivo: Esta norma foi preparada para fornecer os
requisitos para estabelecer, implementar, manter e melhorar
continuame...
Objetivo: Esta norma foi preparada para fornecer os
requisitos para estabelecer, implementar, manter e melhorar
continuame...
Uma visão holística
Essa é a visão da ISO 27001
O processo de Gestão de Riscos de SegInfo
DEFINIÇÃO DO CONTEXTO
ANÁLISE / AVALIAÇÃO DE RISCOS
ANÁLISE DE RISCOS
IDENTIFICA...
Plano para identificar a ação de gestão apropriada,
recursos, responsabilidades e prioridades para a gestão
dos riscos de ...
PLANO DE
TRATAMENTO DE
RISCOS
Resultado da Avaliação de
Riscos
Tratamento do Risco
Opções de Tratamento
Reter
Risco Residu...
Opções de Tratamento
Reter
Reduzir
Evitar
Transferir
Aplicação de um controle para que o Risco seja reavaliado como aceitá...
Como vemos SegInfo?
Confidencialidade
Integridade Disponibilidade
Segurança
da
Informação
Pessoas Processos Tecnologia
Miopia do Iceberg
Tecnologia
Tecnologia é...
...a mera ponta...
...do iceberg.
Tecnologia
Processos
Pessoas
Miopia do Iceberg
• Investimento inteligente
• Padrões Testados
• Visão Estratégica
• Formali...
• Suporte completo a biblioteca de riscos e
controles da ISO 27001;
• Mapeamento de Ativos de Informação;
• Identificação ...
ActPlan Do Check
Análise/Avaliação
de Gap/Riscos
Plano de
Tratamento dos
riscos
Avaliação e
Tratamento de
riscos
Treinamen...
Dashboard  Sumário da Gestão de Riscos
Práticas com o RealISMS
Matriz de Risco com 5 níveis
Nível de Risco por:
Dashboard  Sumário da Gestão de Riscos
Muito Baixo Baixo Médio Alto Muit...
Práticas com o RealISMS
Gestão dos Riscos
Área Processo Ativo Risco Controle
Práticas com o RealISMS
Área Processo Ativo Risco Controle
Práticas com o RealISMS
Área Processo Ativo Risco Controle
Práticas com o RealISMS
Área Processo Ativo Risco Controle
Práticas com o RealISMS
Área Processo Ativo Risco Controle
Práticas com o RealISMS
Risco Potencial
25
Muito Alto
Área Processo Ativo Risco Controle
Práticas com o RealISMS
Uma das
opções é
reduzir o nível
de Risco com
Controles de
Segurança
Área Processo Ativo Risco Controle
Práticas com o Rea...
Risco Potencial
25
Muito Alto
Risco Residual
14
Alto
3
Muito Baixo
Área Processo Ativo Risco Controle
Práticas com o RealI...
Risco Reduzido
Práticas com o RealISMS
Controles de
Segurança
diretamente
alinhados as
melhores práticas,
criando o RTP
Plano de Tratamento
de Riscos
Visão Geral...
Relatórios Detalhados
Práticas com o RealISMS
Vamos iniciar a sessão de PERGUNTAS. Utilize a
ferramenta do chat (para digitar) ou do hands on (para
pedir acesso e pergu...
Calendário Cursos
ISFS - ISO 27002 Foundation - Segurança da Informação: conceitos e
fundamentos
São Paulo - 16 a 17/04/20...
Claudio Dodt, ISMAS, CISSP
Business Continuity & Security Senior Consultant
claudio.dodt@daryus.com.br
http://www.daryus.c...
ACESSO AO MATERIAL
• Vamos Vamos disponibilizar o link com Cópia desta apresentação
+ Certificado de Participação para tod...
Práticas de Gestão de Risco da ISO 270012013 com o RealISMS
Próximos SlideShares
Carregando em…5
×

Práticas de Gestão de Risco da ISO 270012013 com o RealISMS

576 visualizações

Publicada em

Publicada em: Educação
0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
576
No SlideShare
0
A partir de incorporações
0
Número de incorporações
2
Ações
Compartilhamentos
0
Downloads
29
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Práticas de Gestão de Risco da ISO 270012013 com o RealISMS

  1. 1. Bem-vindo ao Circuito de Palestras EXIN 2014 Conheça o novo Portfólio EXIN:
  2. 2. Claudio Dodt, ISMAS, CISSP, CISA, ISO 27001 Lead Auditor Business Continuity & Security Senior Consultant Sócio-Gerente claudio.dodt@daryus.com.br www.daryus.com.br claudiododt.com www.twitter.com/daryusbr www.twitter.com/cdodt www.facebook.com/claudiododtcom Iluminando mentes, capacitando profissionais e protegendo negócios. Segurança da Informação: Práticas de Gestão de Risco da ISO 27001:2013 com o RealISMS.
  3. 3. AGENDA  DARYUS  A norma ISO 27001  Uma visão holística  O processo de Gestão de Riscos de Segurança da Informação  Como vemos Segurança da Informação?  Práticas com o RealISMS  Perguntas
  4. 4. •O Strategic Risk Consulting não está apenas no nome, é fato. •Nascemos em 2006 com o objetivo de popularizar as práticas de gestão de riscos pervasivas aos processos de gestão empresarial. •Entendemos que práticas de segurança, continuidade, riscos, conformidade e governança de TIC são partes fundamentais da gestão moderna e não complementos. •A capacitação contínua das pessoas, a revisão continua dos processos, controles para mitigar riscos e as certificações nas normas ISO são fatores de sucesso e amadurecimento empresarial que acreditamos. • DARYUS = Uma consultoria, uma escola de negócios e duas empresas de tecnologias que agregam valor, reduzem custos e minimizam riscos. Quem somos:
  5. 5. Nossas unidades
  6. 6. • Continuidade de Negócios • Segurança da Informação • Gestão de Processos de Negócios • Governança, Risco e Conformidade Nossos serviços:
  7. 7. Objetivo: Esta norma foi preparada para fornecer os requisitos para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gestão de Segurança da Informação. Objetivo: Prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI). A norma ISO 27001 27001:2005  A 27000 é a principal família de normas de Segurança da Informação aceitas internacionalmente;  Aplicável a qualquer organização, independentemente de tamanho ou segmento;  Base para uma certificação, mas pode ser usada mesmo sem esse objetivo.
  8. 8. Objetivo: Esta norma foi preparada para fornecer os requisitos para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gestão de Segurança da Informação. A norma ISO 27001  Atualizada em 25 de Setembro de 2013;  Update foi baseado na experiência de usuários que buscavam certificação;  Objetivo principal é simplificar a abordagem e proporcionar melhorias na gestão de riscos.  É possível baixar gratuitamente a ISO 27000:2012 (vocabulário) aqui: http://dary.us/1adqpM1 (em inglês) 27001:2013
  9. 9. Uma visão holística Essa é a visão da ISO 27001
  10. 10. O processo de Gestão de Riscos de SegInfo DEFINIÇÃO DO CONTEXTO ANÁLISE / AVALIAÇÃO DE RISCOS ANÁLISE DE RISCOS IDENTIFICAÇÃO DE RISCOS ESTIMATIVA DE RISCOS AVALIAÇÃO DE RISCOS PONTO DE DECISÃO 1 Avaliação Satisfatória Não TRATAMENTO DO RISCO ACEITAÇÃO DO RISCO Sim Sim PONTO DE DECISÃO 2 Tratamento Satisfatório MONITORAMENTOEANÁLISECRÍTICADERISCOS COMUNICAÇÃODORISCO Não Processo de Gestão de Riscos ISO 27005:2011 •O objetivo é reduzir o risco a um nível aceitável e não extinguir o risco. Processo do SGSI Processo de gestão de riscos de SI Planejar • Definição do contexto • Análise/avaliação de riscos • Definição do plano de tratamento do risco • Aceitação do risco Executar • Implementação do plano de tratamento do risco Verificar • Monitoramento contínuo e análise crítica de riscos Agir • Manter e melhorar o processo de Gestão de Riscos de Segurança da Informação
  11. 11. Plano para identificar a ação de gestão apropriada, recursos, responsabilidades e prioridades para a gestão dos riscos de segurança PLANO DE TRATAMENTO DE RISCOS  Todos os controles planejados devem ser incluídos em um Plano de Tratamento de Riscos.  O objetivo do tratamento de riscos não é a eliminação completa e sim diminuir o nível de risco para um patamar tido como aceitável.  Controles que não são justificáveis do ponto de vista do negócio não devem ser implementados. O processo de Gestão de Riscos de SegInfo
  12. 12. PLANO DE TRATAMENTO DE RISCOS Resultado da Avaliação de Riscos Tratamento do Risco Opções de Tratamento Reter Risco Residual Reduzir Evitar Transferir O processo de Gestão de Riscos de SegInfo
  13. 13. Opções de Tratamento Reter Reduzir Evitar Transferir Aplicação de um controle para que o Risco seja reavaliado como aceitável. Caso o Risco atenda os critérios para aceitação o mesmo poderá ser retido. O Risco pode ser evitado através da eliminação da atividade ou processo de negócio ou de uma mudança significativa no ambiente (e.g. mudar um Datacenter de localidade) O Risco pode ser transferido para uma outra entidade (e.g. Contratação de um seguro, terceirizar). É importante lembrar que não se pode transferir completamente a responsabilidade pela segurança da informação. O processo de Gestão de Riscos de SegInfo
  14. 14. Como vemos SegInfo? Confidencialidade Integridade Disponibilidade Segurança da Informação Pessoas Processos Tecnologia
  15. 15. Miopia do Iceberg Tecnologia Tecnologia é... ...a mera ponta... ...do iceberg.
  16. 16. Tecnologia Processos Pessoas Miopia do Iceberg • Investimento inteligente • Padrões Testados • Visão Estratégica • Formalização • Seleção • Capacitação • Reciclagem • Conscientização
  17. 17. • Suporte completo a biblioteca de riscos e controles da ISO 27001; • Mapeamento de Ativos de Informação; • Identificação e Tratamento de Riscos; • Controle de Documentos, Normas, Procedimentos; • Gestão de Incidentes de Segurança. Práticas com o RealISMS real ISMS
  18. 18. ActPlan Do Check Análise/Avaliação de Gap/Riscos Plano de Tratamento dos riscos Avaliação e Tratamento de riscos Treinamento e conscientização Definição do escopo Auditorias internas Métricas e indicadores do SGSI Identificação de não- conformidades Tratamento de não- conformidades Apoio na auditoria de 3ª. parte Declaração de aplicabilidade Metodologia DARYUS para Atendimento aos requisitos da ISO 27001real ISMS Práticas com o RealISMS
  19. 19. Dashboard  Sumário da Gestão de Riscos Práticas com o RealISMS
  20. 20. Matriz de Risco com 5 níveis Nível de Risco por: Dashboard  Sumário da Gestão de Riscos Muito Baixo Baixo Médio Alto Muito Alto Área Processo Ativo Práticas com o RealISMS
  21. 21. Práticas com o RealISMS
  22. 22. Gestão dos Riscos Área Processo Ativo Risco Controle Práticas com o RealISMS
  23. 23. Área Processo Ativo Risco Controle Práticas com o RealISMS
  24. 24. Área Processo Ativo Risco Controle Práticas com o RealISMS
  25. 25. Área Processo Ativo Risco Controle Práticas com o RealISMS
  26. 26. Área Processo Ativo Risco Controle Práticas com o RealISMS
  27. 27. Risco Potencial 25 Muito Alto Área Processo Ativo Risco Controle Práticas com o RealISMS
  28. 28. Uma das opções é reduzir o nível de Risco com Controles de Segurança Área Processo Ativo Risco Controle Práticas com o RealISMS
  29. 29. Risco Potencial 25 Muito Alto Risco Residual 14 Alto 3 Muito Baixo Área Processo Ativo Risco Controle Práticas com o RealISMS
  30. 30. Risco Reduzido Práticas com o RealISMS
  31. 31. Controles de Segurança diretamente alinhados as melhores práticas, criando o RTP Plano de Tratamento de Riscos Visão Geral dos Controles Práticas com o RealISMS
  32. 32. Relatórios Detalhados Práticas com o RealISMS
  33. 33. Vamos iniciar a sessão de PERGUNTAS. Utilize a ferramenta do chat (para digitar) ou do hands on (para pedir acesso e perguntar diretamente ao palestrante. Perguntas?
  34. 34. Calendário Cursos ISFS - ISO 27002 Foundation - Segurança da Informação: conceitos e fundamentos São Paulo - 16 a 17/04/2014 – diurno Brasília - 06 a 07/05/2014 – diurno Fortaleza - 22 a 25/04/2014 – noturno ISMAS - ISO 27002 Advanced - Segurança da Informação: gerenciamento avançado São Paulo - 21 a 23/05/2014 – diurno Brasília - 21 a 23/05/2014 – diurno Fortaleza - 21 a 23/05/2014 – diurno ITIL ® Foundation - Gerenciamento de Serviços de TI Fortaleza - 12 a 16/05/2014 – diurno * Válido até 15/05/2014
  35. 35. Claudio Dodt, ISMAS, CISSP Business Continuity & Security Senior Consultant claudio.dodt@daryus.com.br http://www.daryus.com.br http://claudiododt.com http://www.facebook.com/claudiododtcom http://www.linkedin.com/profile/view?id=15394059 Obrigado!
  36. 36. ACESSO AO MATERIAL • Vamos Vamos disponibilizar o link com Cópia desta apresentação + Certificado de Participação para todos que responderem nossa pesquisa de satisfação e nos ajudarem a aprimorar nossas futuras ações (acesso imediato ao de desconectar da sessão ao final da apresentação). • Você também pode acessar nosso canal do YouTube e Slide Share para ter acesso a todas as apresentações realizadas em 2012 e 2013. • Mais Informações? Milena Andrade Regional Manager Milena.andrade@exin.com www.exin.com

×