Plano estratégico de segurança da informação

1.741 visualizações

Publicada em

Gerente de projetos da Módulo Security, autor do livro Governança de Segurança da Informação: Como Criar Oportunidades para o Seu Negócio, apresenta o plano estratégico de segurança da informação.

Publicada em: Tecnologia
0 comentários
8 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

Sem downloads
Visualizações
Visualizações totais
1.741
No SlideShare
0
A partir de incorporações
0
Número de incorporações
8
Ações
Compartilhamentos
0
Downloads
0
Comentários
0
Gostaram
8
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Plano estratégico de segurança da informação

  1. 1. PESI - Plano Estratégico de Segurança da Informação Sergio Manoel Gerente de Projetos sergio.manoel@modulo.com
  2. 2.  Novos Desafios  Governança de Segurança da Informação  PESI - Plano Estratégico de Segurança da Informação  Automação com o Módulo Risk Manager Agenda
  3. 3. 3 As pessoas (colaboradores, gestores, clientes, fornecedores, ...) são conectadas por email, redes sociais, smartphones e tablets. Conhecer e entender os desafios da Segurança da Informação. Falta de Governança, Gestão e Monitoramento !!! Novos Desafios Sistemas Internos Internet Redes Sociais BIG DATA Mobilidade Nuvem Internet das coisas 3
  4. 4. Visão de Governança Governança Corporativa Governança de TI Governança de SI Gestão de TI Gestão de SI •Transparência •Equidade •Prestação de Contas •Responsabilidade • Cobit 5 • ABNT NBR ISO/IEC 38500 • ABNT NBR ISO/IEC 27014 •Família da ISO 27000 •Normas e regulamentos
  5. 5. Governança de Segurança da Informação O que é? 5 É uma solução direcionada às organizações que precisam ter um sistema pelo qual as ações de Segurança da Informação são dirigidas e controladas. Fonte Livro GSI: como criar oportunidades para o seu negócio Página: 25
  6. 6. Governança de Segurança da Informação Resultados Esperados 6 Alinhar os Objetivos de Segurança da Informação com os objetivos estratégicos de negócio. Maior visibilidade da Alta Direção sobre a situação da Segurança da Informação. Uma abordagem ágil para a tomada de decisões sobre os riscos do negócio e de Segurança da Informação (SI). Investimentos eficientes e eficazes em Segurança da Informação. Conformidade com requisitos externos (legais, regulamentares ou contratuais). Fonte Livro GSI: como criar oportunidades para o seu negócio Página: 17
  7. 7. PESI Plano Estratégico de Segurança da Informação 7 Como disse o filósofo romano Sêneca: “Enquanto o homem não souber para que ponto quer ir, nenhum vento será vento certo”.
  8. 8. 8 As organizações que têm um desempenho superior às demais em se tratando de Segurança da Informação, sustentável e de longo prazo, requerem um pensamento e um planejamento estratégicos. Um pensamento estratégico consiste em elaborar uma visão para o futuro da organização e executar um projeto claro e conciso para colocar essa visão em prática com sucesso. “Pensar antes de agir.” PESI Plano Estratégico de Segurança da Informação
  9. 9. 9 Contempla as recomendações e ações a serem implementadas a curto, médio e longo prazos, além do nível de capacidade dos processos e controles de segurança da informação, seu nível de criticidade e priorização. Onde estamos? Onde é que queremos ir? Como é que vamos chegar lá? PESI Plano Estratégico de Segurança da Informação
  10. 10. Por que um PESI? 10 Elevar o nível de capacidade dos processos de Segurança da Informação. Retorno sobre os investimentos em SI. Aplicar melhores práticas de mercado, tais como: ISO´s 27001/002/004/005/ 014, CobiT 5, 22301, PCI, entre outras. Gerenciar um planejamento estratégico, tático e operacional. Conquistar maior credibilidade do mercado e diferencial competitivo, bem como alinhar SI aos objetivos estratégicos do negócio. Plano Estratégico de Segurança da Informação
  11. 11. Componentes do Plano Estratégico de Segurança da Informação 11 FASE I - DIAGNÓSTICO DE SEGURANÇA DA INFORMAÇÃO FASE III – POSICIONAMENTO ESTRATÉGICO DE SI FASE IV– PLANO ESTRATÉGICO DE SI Plano de ação Ações de Segurança da Informação Estimativas de Investimento outros FASE II – REQUISITOS DE SI X NEGÓCIO Entrevista com a Alta Direção Visão e Missão de SI Teste de Invasão PAINEL DE GOVERNANÇA Implantação do PESI Análise e Avaliação de Riscos Análise da Gestão ISO 27002 Análise da Governança ISO 27014 Análise de SWOT Mapeamento de Processos Críticos Objetivos de SI Objetivos de SI Alinhados ao Negócio
  12. 12. Produtos do Plano Estratégico de Segurança da Informação:Produtos 12 Relatório das Análises de Riscos - RAR Relatório do Teste de Invasão Workshop de Organização e Planejamento - ROP Fase I Fase IIIFase II Relatório da Extração dos Requisitos da entrevista com a Alta Direção Fase IV Relatório de Visão e Missão de SI Relatório dos Objetivos de SI Relatório da Análise de SWOT Alinhamento dos Objetivos de SI com o Negócio Plano de Ação, Indicadores e Metas Relatório Operacional de Riscos - ROR Relatório de Análise da Capacidade e Conformidade da Gestão de SI Relatório de Análise da Capacidade e Conformidade do Modelo da GSI Relatório do Mapeamento de Áreas e Componentes de Negócio Críticos Ações de SI Estimativa de Investimento Plano Estratégico de SI Apresentação Executiva
  13. 13. 1 - Implantar a Governança de Segurança da Informação 2 - Proteger a infraestrutura crítica contra ataques cibernéticos 3 - Garantir a continuidade de negócio dos processos críticos 4 - Educar, treinar e conscientizar o capital humano em Segurança da Informação Objetivos de Segurança da Informação Fonte Livro GSI: como criar oportunidades para o seu negócio Página: 88 13
  14. 14. Objetivos de Segurança da Informação Objetivos Estratégicos Objetivos de Segurança da Informação Identificar e buscar a perfeição nos processos de trabalho, agregando valor ao produto final. 1 2 3 4 Proteger os produtos contra vazamento de informações. 1 2 4 Aperfeiçoamento e adequação aos processos de apoio aos funcionários. 1 4 Aprimoramento do apoio logístico. 1 3 4 Fonte Livro GSI: como criar oportunidades para o seu negócio Página: 90
  15. 15. Objetivos de Segurança da Informação Objetivo: Educar, treinar e conscientizar o capital humano em SI Indicadores genéricos:  Quantidade de campanhas de conscientização realizadas  Quantidade de pessoas capacitadas em Segurança da Informação  Quantidade de treinamentos realizados  Treinar 20% dos funcionários por ano em Segurança da Informação  Pesquisa de satisfação dos funcionários treinados deve ser superior a 80% de bom ou ótimo Ação: Estabelecer programa de educação, conscientização e aculturamento sobre Segurança da Informação, onde todos os funcionários da organização e demais prestadores de serviço contratados recebam, quando pertinente, treinamento apropriado e regular de acordo com a Política de Segurança da Informação. Esta ação deverá ser concluída, em curto prazo, mediante coordenação do Escritório de Segurança da Informação e apoio da área de marketing e recursos humanos. Fonte Livro GSI: como criar oportunidades para o seu negócio Página: 93
  16. 16. ÁREA: Capacidade Atual Capacidade Proposta Escritório de SI 1 3 Desenvolvimento de Sistemas 2 3 Controle de Acesso 3 4 Segurança Física 3 4 Continuidade de Negócios 2 3 Incidentes 2 3 Mudanças 3 4 Capacidade Capacidade Atual: 2 - Capacidade Proposta: 3 Fonte Livro GSI: como criar oportunidades para o seu negócio Marcador de página
  17. 17. Estimativa de Investimentos
  18. 18. Implantação do PESI com o Risk Manager Módulo Risk Manager TM 18
  19. 19. Software Módulo Risk Manager 19 ... Bases de conhecimento das normativas e boas práticas de mercado – FOCO ENTREVISTAS. Ganho de produtividade com a automatização das análises de risco e impacto Recomendações e workflow para tratamento dos riscos identificados Conscientização da organização quanto à cultura de continuidade de negócio Interface web (simplicidade na edição, manutenção e atualização dos testes e documentos) Preparação da organização para enfrentar situações adversas e administrar crises Visualização dos resultados de forma gráfica e em uma única plataforma Garante a conformidade com as normas vigentes embutidas no software como bases de conhecimento e interface com o Qualys Convergência com outros standards (COBIT, ISO/IEC27002, etc)
  20. 20. Painel dos Projetos em Execução classificados pelo nível de Urgência, Severidade e Relevância
  21. 21. Classificação dos projetos em críticos, prioritários, entre outros
  22. 22. Obrigado! Sergio Manoel Gerente de Projetos sergio.manoel@modulo.com

×