SlideShare uma empresa Scribd logo
1 de 35
UNIVERSIDADE CATÓLICA DE BRASÍLIA

                PRÓ-REITORIA DE GRADUAÇÃO
             TRABALHO DE CONCLUSÃO DE CURSO




TECNOLOGIA EM SEGURANÇA DA INFORMAÇÃO


                   Apresentação:
   “GESTÃO DE RISCOS E CONTINUIDADE DE NEGÓCIOS”

           Autor: Álvaro Gulliver Brandão de Lima

      Orientador: MSc. Marco Antonio de Oliveira Araújo


                     BRASÍLIA / 2011
OBJETIVOS


                                              PCN            AIN

                                  Análise e          PAC
                                  Gestão de
                Fundamentos e     Riscos
                Estrutura de um
                SGSI

   Evolução da Segurança
   da Informação (SI)                         Contingenciar e minimizar
                                                paradas e danos aos
                                               processos de negócio.
INTRODUÇÃO


   Entender os fundamentos sobre os
    impactos, ameaças e vulnerabilidades que
    afetam a continuidade dos negócios;

   Compreender a GR através de uma visão
    executiva para minimizar paradas e
    interrupção nos negócios e criar um plano de
    continuidade de negócios;
CONTEXTO HISTÓRICO
      Pré-                      Pós-
                             computação
                                                        Pós-Internet
   computação
• Surgimento dos          • Confiança em             • Ampliação dos
  hieróglifos egípcios.     sistemas de                mercados globais;
                            informação para
• Transporte oficial de     realizar controles e     • Potencialidade de
  informações romano,       transações                 problemas jurídicos e
  Correio.                  eletrônicas                criminais, pirataria e
                            financeiras através de     até mesmo
                            protocolos de              terrorismo.
• Cifra de César            segurança e senhas
                            de acesso para
                            autenticação que
                            utilizam sistemas de
                            criptografia de
                            extrema segurança.
                                                              Fonte: Ramos et al. (2008)
FUNDAMENTOS DE SEGURANÇA
         Integridade
         • Uma informação íntegra é uma informação que se
           mantêm original, que não sofra alteração indevida e não
           autorizada.




         Confidencialidade
         • É o grau de sigilo atribuído ao seu conteúdo visando à
           limitação de seu acesso e uso restrito às pessoas
           autorizadas.




         Disponibilidade
         • Garantir a segurança na disponibilidade das informações é
           permitir que a mesma esteja sempre ao alcance quando
           necessária para seus usuários e destinatários.
DEFINIÇÕES

                         Ativo


             Proteçã
                                    Ameaça
                o

                       Segurança
                            da
                       Informação


                                    Incident
             Riscos
                                        e


                       Vulnerabil
                        idades
RISCO
   É a probabilidade de ocorrência de um evento;
       Avaliação;
       Cenário;
       Controle.

   Conforme Ramos et al. (2008), existem quatro atividades
    ligadas à forma como se entende o risco. Classificam-se
    como:

       Avaliação do risco;
       Tratamento de risco;
       Aceitação do risco;
       Comunicação do risco.
DEFINIÇÕES RELACIONADAS À ISO 27K1 E 27K2


    Norma             Gestão             Prioriza

                                          Classificação da
                                            Informação

                      Gestão de Ativos

                                            Elaboração do
    ISO/IEC 27001 e                      inventário de ativos
         27002

                                                  Ex:
                       Segurança de      Físico, ambiente, hu
                         Recursos        mano, operações e
                                                outros.
ESTRUTURA DO SGSI CONFORME ISO/IEC 27K1

      • PLAN                               • ACT

                             Manutençã
               Estabelecer       oe
                 o SGSI      melhoria do
                               SGSI



                             Monitora e
               Implementa
                             faz análise
               a operação
                               crítica

      • DO                                 • CHECK
PLANEJAMENTO E IMPLEMENTAÇÃO DO SGSI

   De acordo com a cláusula 4.2.1 da ISO/IEC 27001:2005, planejar
    é estabelecer a política, objetivos processos e procedimentos do
    SGSI, que sejam relevantes para a gestão de riscos e melhoria
    da segurança da informação que atendam as políticas globais de
    uma determinada organização. Podem-se dividir os objetivos
    desta cláusula em:

   Definição do escopo;

   Elaboração da política de segurança da informação;

   Realização da análise/avaliação de riscos e elaboração do plano
    de tratamento dos riscos.
DEFINIÇÃO DO ESCOPO
   De acordo com Bastos e Caubit (2009), escopo é
    “[...] o perímetro de abrangência que define os ativos
    a serem contemplados no SGSI, sejam eles
    sistemas, dispositivos físicos, processos ou ações do
    pessoal envolvido [...]”;

   A norma ISO/IEC 27001 orienta que o escopo deve
    considerar características do negócio, sua
    localização, ativos tangíveis e intangíveis. É
    recomendável que o escopo seja relevante para a
    organização, ou seja, compatível com os interesses e
    objetivos.
ELABORAÇÃO DA POLÍTICA DE SI
   A política de segurança da informação é um
    documento que contem as premissas e
    diretrizes orientando de forma clara a
    implementação da SGSI;

   A política de ser apoiada nos requisitos
    legais, regulatórios e contratuais do negócio.
    Servirá como base para estabelecer a
    estratégia e o contexto para gestão de
    riscos, bem como critérios de estruturação e
    avaliação de riscos.
RISCOS NOS NEGÓCIOS

   Conforme pesquisa realizada pelo Cert.br, o
    número total de notificações de incidentes no
    segundo trimestre de 2011 foi um pouco
    superior a 127 mil, o que corresponde a um
    aumento de 40% em relação ao trimestre
    anterior e de 287% em relação ao mesmo
    trimestre de 2010.
INCIDENTES REPORTADOS PELO CERT.BR
ABORDAGEM PARA ANÁLISE DE RISCOS

   Escolher uma metodologia que será utilizada
    e que melhor se adequar à organização;

   A objetividade é um dos critérios
    fundamentais para a escolha da metodologia
    de forma que proporcione a imparcialidade
    das análises e avaliações realizadas;
SEGURANÇA COMO INVESTIMENTO

   O ROI é uma medida de desempenho
    utilizado para avaliar a eficiência de um
    investimento (WIKIPEDIA);

   É vista como um centro de custo e o melhor
    a ser feito é tentar habilitar a empresa a
    assumir os riscos do negócio.
FOCO DA ANÁLISE DE RISCOS

                  Tecnológico




                  Humano


         Físico                 Processual
FASES DA ANÁLISE DE RISCOS


Identificar os   Relevância   Definição da
 processos          dos         equipe
 de negócio      processos     envolvida

                          Análise
         Entrevista a
                        técnica de
          usuários
                        segurança
ANÁLISE TÉCNICA DE SEGURANÇA
   Segundo Ramos et al. (2009) dentre os mais
    conhecidos dos ativos tecnológicos
    analisados tecnicamente, podem-se listar os
    seguintes:

     Análise de estações de trabalho;
     Análise de servidores;
     Análise de equipamentos e conectividade;
     Análise de links;
     Análise de banco de dados.
PERFIL DO RISCO
   Listar os ativos mais críticos da organização é
    primordial;

   Conforme Wheeler (2011), ao traçar o perfil de
    risco, o foco é medir a sua sensibilidade;

   A melhor maneira de criar o perfil é realizando
    um simples questionário que utiliza uma série
    de questões orientadas para medir o impacto
    potencial.
TIPOS DE ANÁLISE

   Análise Qualitativa;

   Análise Quantitativa;

   Análise Semi-quantitativa.
AVALIAÇÃO DE RISCOS

                     Danos e                     Quanto maior
                     prejuízos                         a
                   financeiros                   tolerabilidade




        Porém haverá
            maior                                          Mais riscos
        suscetibilidade                                   serão aceitos
           a riscos



                                      Menos
                                 recursos para
                                   tratamento
                                      serão
                                  necessários
TRATAMENTO DOS RISCOS

   Tentativa de evitar o risco;

   Compartilhar o risco;

   Reter o risco.
PLANO DE TRATAMENTO DE RISCOS

   Plano de Tratamento conterá uma descrição
    prática, uma seqüencia de prioridade,
    recursos necessários, atribuições, prazos e
    informações importantes para medir o
    desempenho dos tratamento de riscos;

   Risco residual.
MONITORAÇÃO E REVISÃO

   A monitoração deve ser contínua;

   A mudança nos ativos e sua relevância ao
    processo de negócio devem sempre
    ocasionar uma Análise de Risco.
PLANEJAMENTO DA CONTINUIDADE DO NEGÓCIO

   Envolve avaliar uma variedade de riscos aos
    processos organizacionais;

   Criação de políticas, planos e procedimentos
    para minimizar o impacto desses riscos
    sobre a organização.
PROCESO DO PCN

                  Aprovação e
                 implementação




                 Planejamento de
                   continuidade



                  Avaliação do
                  impacto nos
                    negócios




                   Escopo do
                     projeto e
                  planejamento
ESTRATÉGIAS DE CONTINUIDADE DE NEGÓCIOS

   Segundo Ramos et al. (2008, p. 158),
    existem três modelos a serem abordados:

     Ativo / Backup;
     Ativo / Ativo;

     Localidade alternativa.
AVALIAÇÃO DO IMPACTO NOS NEGÓCIOS (AIN)

   Identificar as prioridades;

   Desenvolver e implementar um plano de
    resposta (PAC).
PLANOS PARA GCN


   Segundo a norma ISO/IEC 27002:2006, são planos de de
    contitnuidade de negócios:

   Plano de Administração de crise;

   Plano de Respostas a Incidentes;

   Plano de Continuidade Operacional;

   Plano de Recuperação de Desastres;

   Plano de Retorno à Normalidade.
ESTRATÉGIAS DE RECUPERAÇÃO

   Segundo Ramos et al. (2008, p. 165) ao
    realizar uma Análise de Impacto no Negócio
    (AIN) identifica-se o Temo Máximo de
    Parada (TMP) dos diversos processos
    inerentes as atividades da organização.
EXEMPLOS DE ESTRATÉGIAS
   Usuários;

   Instalações;

   Logística;

   Dados;

   Operações.
PROCESSO DE OCORRÊNCIA DE CRISE

   Caso um incidente aconteça e a sensibilidade
    ao risco for alta, ou seja, de grande magnitude,
    devemos imediatamente recorrer ao PAC.

   A principal atividade é definir procedimentos de
    emergência e avaliar os danos causados. O
    tempo estimado de parada será primordial para
    saber se o PCN deve ser acionado e caso este
    tempo seja maior que o TMP, deve-se preceder
    com os planos.
CONCLUSÃO

   Uma das preocupações atuais da sociedade,
    dentro do cenário empresarial é
    desempenhar suas operações com
    segurança evitando que desastres
    interrompam suas atividades e
    conseqüentemente sua competitividade, e
    até mesmo sua existência no mercado.
REFERÊNCIAS
Sites

Core business. In: WIKIPÉDIA: a enciclopédia livre. Wikimedia, 2006. Disponível em:
< http://pt.wikipedia.org/w/index.php?title=Core_business&oldid=21866238>. Acesso em: 29 set. 2011

Caesar cipher. In: WIKIPÉDIA: a enciclopédia livre. Wikimedia, 2006. Disponível em: <http://en.wikipedia.org/w/index.php?title=Caesar_cipher&oldid=451372028>. Acesso em: 8 set. 2011

Segurança da Informação. In: WIKIPÉDIA: a enciclopédia livre. Wikimedia, 2006. disponível em:
      <http://pt.wikipedia.org/w/index.php?title=Seguran%C3%A7a_da_informa%C3%A7%C3%A3o&oldid=26560462>. Acesso em: 30 ago. 2011

Retorno sobre Investimento. In: WIKIPÉDIA: a enciclopédia livre. Wikimedia, 2006. Disponível em
       <http://pt.wikipedia.org/w/index.php?title=Retorno_sobre_investimento&oldid=26567227>. Acesso em: 22 set. 2011

LAGO, Davi Guimarães; GUIMARÃES, Ênio Benfica. Segurança da Informação e sua história. Disponível em
      <http://www.viajus.com.br/viajus.php?pagina=artigos&id=2202&idAreaSel=20&seeArt=yes>. Acesso em: 22 set. 2011

Ciclo PDCA. In: WIKIPÉDIA: a enciclopédia livre. Wikimedia, 2006. Disponível em <http://pt.wikipedia.org/w/index.php?title=Ciclo_PDCA&oldid=26122983>. Acesso em: 27 out. 2011.

Livros

BASTOS, Alberto; CAUBIT, Rosângela. Gestão da Segurança da Informação - uma visão prática. Porto Alegre: Zouk, 2009

SÊMOLA, Marcos. Gestão da Segurança da Informação: uma visão executiva. Rio de Janeiro: Elsevier, 2003.

WHEELER, Evan. Security Risk Management - Building and Information Security Risk Management Program from the Ground up. Massachusetts: Elsevier, 2011.

Normas

ABNT NBR ISO/IEC 27001:2006. Tecnologia da Informação – Técnicas de Segurança – Sistema de Gestão de Segurança da Informação – Requisitos. Rio de Janeiro: ABNT, 2006

ABNT NBR ISO/IEC 27002:2007. Tecnologia da Informação – Técnicas de Segurança – Códigos para a Gestão da Segurança da Informação. Rio de Janeiro: ABNT, 2007

Mais conteúdo relacionado

Mais procurados

Practical Enterprise Security Architecture
Practical Enterprise Security Architecture  Practical Enterprise Security Architecture
Practical Enterprise Security Architecture Priyanka Aash
 
Cobit itil and iso 27001 mapping
Cobit itil and iso 27001 mappingCobit itil and iso 27001 mapping
Cobit itil and iso 27001 mappingMuhammad Aslam
 
Business Impact Analysis - The Most Important Step during BCMS Implementation
Business Impact Analysis - The Most Important Step during BCMS ImplementationBusiness Impact Analysis - The Most Important Step during BCMS Implementation
Business Impact Analysis - The Most Important Step during BCMS ImplementationPECB
 
Economically driven Cyber Risk Management
Economically driven Cyber Risk ManagementEconomically driven Cyber Risk Management
Economically driven Cyber Risk ManagementOsama Salah
 
O que é a ciência de dados (data science). Discussão do conceito
O que é a ciência de dados (data science). Discussão do conceitoO que é a ciência de dados (data science). Discussão do conceito
O que é a ciência de dados (data science). Discussão do conceitoLuis Borges Gouveia
 
Enterprise Security Architecture
Enterprise Security ArchitectureEnterprise Security Architecture
Enterprise Security ArchitecturePriyanka Aash
 
2022 APIsecure_Monitoring your APIs for Attacks Using SIEM versus XDR
2022 APIsecure_Monitoring your APIs for Attacks Using SIEM versus XDR2022 APIsecure_Monitoring your APIs for Attacks Using SIEM versus XDR
2022 APIsecure_Monitoring your APIs for Attacks Using SIEM versus XDRAPIsecure_ Official
 
Enterprise Security Architecture
Enterprise Security ArchitectureEnterprise Security Architecture
Enterprise Security ArchitectureKris Kimmerle
 
Security operations center-SOC Presentation-مرکز عملیات امنیت
Security operations center-SOC Presentation-مرکز عملیات امنیتSecurity operations center-SOC Presentation-مرکز عملیات امنیت
Security operations center-SOC Presentation-مرکز عملیات امنیتReZa AdineH
 
Introduction: CISSP Certification
Introduction: CISSP CertificationIntroduction: CISSP Certification
Introduction: CISSP CertificationSam Bowne
 
Conceptual security architecture
Conceptual security architectureConceptual security architecture
Conceptual security architectureMubashirAslam5
 
Sécurité de l’information et gouvernance
Sécurité de l’information et gouvernanceSécurité de l’information et gouvernance
Sécurité de l’information et gouvernancePECB
 
Challenges of Vulnerability Management
 Challenges of Vulnerability Management Challenges of Vulnerability Management
Challenges of Vulnerability ManagementRahul Neel Mani
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da InformaçãoMarco Mendes
 
IT Governance - Capability Assessment using COBIT 5
IT Governance - Capability Assessment using COBIT 5IT Governance - Capability Assessment using COBIT 5
IT Governance - Capability Assessment using COBIT 5Eryk Budi Pratama
 
How to implement NIST cybersecurity standards in my organization
How to implement NIST cybersecurity standards in my organizationHow to implement NIST cybersecurity standards in my organization
How to implement NIST cybersecurity standards in my organizationExigent Technologies LLC
 

Mais procurados (20)

Practical Enterprise Security Architecture
Practical Enterprise Security Architecture  Practical Enterprise Security Architecture
Practical Enterprise Security Architecture
 
Cobit itil and iso 27001 mapping
Cobit itil and iso 27001 mappingCobit itil and iso 27001 mapping
Cobit itil and iso 27001 mapping
 
Business Impact Analysis - The Most Important Step during BCMS Implementation
Business Impact Analysis - The Most Important Step during BCMS ImplementationBusiness Impact Analysis - The Most Important Step during BCMS Implementation
Business Impact Analysis - The Most Important Step during BCMS Implementation
 
Awareness iso 22301 danang suryo
Awareness iso 22301 danang suryoAwareness iso 22301 danang suryo
Awareness iso 22301 danang suryo
 
Economically driven Cyber Risk Management
Economically driven Cyber Risk ManagementEconomically driven Cyber Risk Management
Economically driven Cyber Risk Management
 
O que é a ciência de dados (data science). Discussão do conceito
O que é a ciência de dados (data science). Discussão do conceitoO que é a ciência de dados (data science). Discussão do conceito
O que é a ciência de dados (data science). Discussão do conceito
 
Enterprise Security Architecture
Enterprise Security ArchitectureEnterprise Security Architecture
Enterprise Security Architecture
 
2022 APIsecure_Monitoring your APIs for Attacks Using SIEM versus XDR
2022 APIsecure_Monitoring your APIs for Attacks Using SIEM versus XDR2022 APIsecure_Monitoring your APIs for Attacks Using SIEM versus XDR
2022 APIsecure_Monitoring your APIs for Attacks Using SIEM versus XDR
 
Enterprise Security Architecture
Enterprise Security ArchitectureEnterprise Security Architecture
Enterprise Security Architecture
 
Security operations center-SOC Presentation-مرکز عملیات امنیت
Security operations center-SOC Presentation-مرکز عملیات امنیتSecurity operations center-SOC Presentation-مرکز عملیات امنیت
Security operations center-SOC Presentation-مرکز عملیات امنیت
 
CISSP Chapter 1 BCP
CISSP Chapter 1 BCPCISSP Chapter 1 BCP
CISSP Chapter 1 BCP
 
Introduction: CISSP Certification
Introduction: CISSP CertificationIntroduction: CISSP Certification
Introduction: CISSP Certification
 
Conceptual security architecture
Conceptual security architectureConceptual security architecture
Conceptual security architecture
 
Sécurité de l’information et gouvernance
Sécurité de l’information et gouvernanceSécurité de l’information et gouvernance
Sécurité de l’information et gouvernance
 
Challenges of Vulnerability Management
 Challenges of Vulnerability Management Challenges of Vulnerability Management
Challenges of Vulnerability Management
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da Informação
 
IT Governance - Capability Assessment using COBIT 5
IT Governance - Capability Assessment using COBIT 5IT Governance - Capability Assessment using COBIT 5
IT Governance - Capability Assessment using COBIT 5
 
How to implement NIST cybersecurity standards in my organization
How to implement NIST cybersecurity standards in my organizationHow to implement NIST cybersecurity standards in my organization
How to implement NIST cybersecurity standards in my organization
 
Chapter 1 Security Framework
Chapter 1   Security FrameworkChapter 1   Security Framework
Chapter 1 Security Framework
 
Gestão Estratégica da TI - Apresentação
Gestão Estratégica da TI - ApresentaçãoGestão Estratégica da TI - Apresentação
Gestão Estratégica da TI - Apresentação
 

Destaque

Exemplo de plano de continuidade de ti
Exemplo de plano de continuidade de tiExemplo de plano de continuidade de ti
Exemplo de plano de continuidade de tiFernando Palma
 
Soluções Oracle Para Segurança e Continuidade de Negócios
Soluções Oracle Para Segurança e Continuidade de NegóciosSoluções Oracle Para Segurança e Continuidade de Negócios
Soluções Oracle Para Segurança e Continuidade de NegóciosRegis Araujo
 
Apresentação tema 9 Segurança das Informações e Continuidade dos negócios
Apresentação tema 9 Segurança das Informações e Continuidade dos negóciosApresentação tema 9 Segurança das Informações e Continuidade dos negócios
Apresentação tema 9 Segurança das Informações e Continuidade dos negóciosSanger Dias
 
Segurança das informações e continuidade dos negócios
Segurança das informações e continuidade dos negóciosSegurança das informações e continuidade dos negócios
Segurança das informações e continuidade dos negóciosandersonmpan
 
Análise de Negócios e Gerenciamento de Projetos: Uma parceria para o sucesso ...
Análise de Negócios e Gerenciamento de Projetos: Uma parceria para o sucesso ...Análise de Negócios e Gerenciamento de Projetos: Uma parceria para o sucesso ...
Análise de Negócios e Gerenciamento de Projetos: Uma parceria para o sucesso ...Rodrigo Neves, MSc, PMP, PMI-PBA
 
Apresentação Gerência de Riscos (PMBOK)
Apresentação Gerência de Riscos (PMBOK)Apresentação Gerência de Riscos (PMBOK)
Apresentação Gerência de Riscos (PMBOK)geraldoao
 
Plano de Continuidade de Negócios
Plano de Continuidade de NegóciosPlano de Continuidade de Negócios
Plano de Continuidade de NegóciosCIMCORP
 
Plano de Continuidade de Negócios - PCN
Plano de Continuidade de Negócios - PCNPlano de Continuidade de Negócios - PCN
Plano de Continuidade de Negócios - PCNFernando Pessoal
 
Templates Modelagem de Negócios
Templates Modelagem de NegóciosTemplates Modelagem de Negócios
Templates Modelagem de NegóciosAdilson Chicória
 
Exemplo de política de segurança
Exemplo de política de segurançaExemplo de política de segurança
Exemplo de política de segurançaFernando Palma
 
Apostila gerenciamento de_crises
Apostila gerenciamento de_crisesApostila gerenciamento de_crises
Apostila gerenciamento de_crisesLouene Saríah
 

Destaque (17)

Exemplo de plano de continuidade de ti
Exemplo de plano de continuidade de tiExemplo de plano de continuidade de ti
Exemplo de plano de continuidade de ti
 
Trabalho Segurança da Informação -
Trabalho Segurança da Informação - Trabalho Segurança da Informação -
Trabalho Segurança da Informação -
 
Soluções Oracle Para Segurança e Continuidade de Negócios
Soluções Oracle Para Segurança e Continuidade de NegóciosSoluções Oracle Para Segurança e Continuidade de Negócios
Soluções Oracle Para Segurança e Continuidade de Negócios
 
Apresentação tema 9 Segurança das Informações e Continuidade dos negócios
Apresentação tema 9 Segurança das Informações e Continuidade dos negóciosApresentação tema 9 Segurança das Informações e Continuidade dos negócios
Apresentação tema 9 Segurança das Informações e Continuidade dos negócios
 
Segurança das informações e continuidade dos negócios
Segurança das informações e continuidade dos negóciosSegurança das informações e continuidade dos negócios
Segurança das informações e continuidade dos negócios
 
Análise de Negócios e Gerenciamento de Projetos: Uma parceria para o sucesso ...
Análise de Negócios e Gerenciamento de Projetos: Uma parceria para o sucesso ...Análise de Negócios e Gerenciamento de Projetos: Uma parceria para o sucesso ...
Análise de Negócios e Gerenciamento de Projetos: Uma parceria para o sucesso ...
 
Apresentação Gerência de Riscos (PMBOK)
Apresentação Gerência de Riscos (PMBOK)Apresentação Gerência de Riscos (PMBOK)
Apresentação Gerência de Riscos (PMBOK)
 
Gerenciamento de Crises
Gerenciamento de Crises Gerenciamento de Crises
Gerenciamento de Crises
 
Plano de Continuidade de Negócios
Plano de Continuidade de NegóciosPlano de Continuidade de Negócios
Plano de Continuidade de Negócios
 
Plano de Continuidade de Negócios - PCN
Plano de Continuidade de Negócios - PCNPlano de Continuidade de Negócios - PCN
Plano de Continuidade de Negócios - PCN
 
Segurança da Informação Aplicada a Negócios
Segurança da Informação Aplicada a NegóciosSegurança da Informação Aplicada a Negócios
Segurança da Informação Aplicada a Negócios
 
Templates Modelagem de Negócios
Templates Modelagem de NegóciosTemplates Modelagem de Negócios
Templates Modelagem de Negócios
 
Aula 4 - Plano de Continuidade de Negócios (PCN)
Aula 4 - Plano de Continuidade de Negócios (PCN)Aula 4 - Plano de Continuidade de Negócios (PCN)
Aula 4 - Plano de Continuidade de Negócios (PCN)
 
Continuidade do Negócio
Continuidade do NegócioContinuidade do Negócio
Continuidade do Negócio
 
Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)
 
Exemplo de política de segurança
Exemplo de política de segurançaExemplo de política de segurança
Exemplo de política de segurança
 
Apostila gerenciamento de_crises
Apostila gerenciamento de_crisesApostila gerenciamento de_crises
Apostila gerenciamento de_crises
 

Semelhante a Gestão de Riscos e Continuidade de Negócios

ISO 27001 -3
ISO 27001 -3 ISO 27001 -3
ISO 27001 -3 jcfarit
 
Governança de segurança da informação - Overview
Governança de segurança da informação - OverviewGovernança de segurança da informação - Overview
Governança de segurança da informação - OverviewData Security
 
Segurança da Informação com Windows Server
Segurança da Informação com Windows ServerSegurança da Informação com Windows Server
Segurança da Informação com Windows ServerGuilherme Lima
 
Enterprise Information Security Mgmt - OverView
Enterprise Information Security Mgmt - OverViewEnterprise Information Security Mgmt - OverView
Enterprise Information Security Mgmt - OverViewJairo Willian Pereira
 
Aula 101217070257-phpapp02
Aula 101217070257-phpapp02Aula 101217070257-phpapp02
Aula 101217070257-phpapp02asbgrodrigo
 
Perfil corporativo web
Perfil corporativo webPerfil corporativo web
Perfil corporativo web72security
 
Information Security Training Based on ISO27001
Information Security Training Based on ISO27001Information Security Training Based on ISO27001
Information Security Training Based on ISO27001Jairo Willian Pereira
 
Saude governance rg
Saude governance rgSaude governance rg
Saude governance rgRui Gomes
 
NBR ISO/IEC 27001
NBR ISO/IEC 27001NBR ISO/IEC 27001
NBR ISO/IEC 27001Amanda Luz
 
Um método de gestão de riscos empregando a norma AS-NZS4360
Um método de gestão de riscos empregando a norma AS-NZS4360Um método de gestão de riscos empregando a norma AS-NZS4360
Um método de gestão de riscos empregando a norma AS-NZS4360Tadeu Marcos Fortes Leite
 
Seguranca da Informaçao - Security Information
Seguranca da Informaçao - Security InformationSeguranca da Informaçao - Security Information
Seguranca da Informaçao - Security InformationDenilson Barbosa ®
 
Governança de TI e Segurança da Informação
Governança de TI e Segurança da InformaçãoGovernança de TI e Segurança da Informação
Governança de TI e Segurança da InformaçãoTI Infnet
 
Segurança da informação em ambientes corporativos
Segurança da informação em ambientes corporativosSegurança da informação em ambientes corporativos
Segurança da informação em ambientes corporativosrcmenezes
 
Risco aplicado à Privacidade e Proteção de dados
Risco aplicado à Privacidade e Proteção de dadosRisco aplicado à Privacidade e Proteção de dados
Risco aplicado à Privacidade e Proteção de dadosAlexandre Prata
 
Política e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticosPolítica e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticosBruno Oliveira
 
Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...IsmaelFernandoRiboli
 

Semelhante a Gestão de Riscos e Continuidade de Negócios (20)

ISO 27001 -3
ISO 27001 -3 ISO 27001 -3
ISO 27001 -3
 
Governança de segurança da informação - Overview
Governança de segurança da informação - OverviewGovernança de segurança da informação - Overview
Governança de segurança da informação - Overview
 
Segurança da Informação com Windows Server
Segurança da Informação com Windows ServerSegurança da Informação com Windows Server
Segurança da Informação com Windows Server
 
Enterprise Information Security Mgmt - OverView
Enterprise Information Security Mgmt - OverViewEnterprise Information Security Mgmt - OverView
Enterprise Information Security Mgmt - OverView
 
Aula 101217070257-phpapp02
Aula 101217070257-phpapp02Aula 101217070257-phpapp02
Aula 101217070257-phpapp02
 
Perfil corporativo web
Perfil corporativo webPerfil corporativo web
Perfil corporativo web
 
Information Security Training Based on ISO27001
Information Security Training Based on ISO27001Information Security Training Based on ISO27001
Information Security Training Based on ISO27001
 
Saude governance rg
Saude governance rgSaude governance rg
Saude governance rg
 
NBR ISO/IEC 27001
NBR ISO/IEC 27001NBR ISO/IEC 27001
NBR ISO/IEC 27001
 
Um método de gestão de riscos empregando a norma AS-NZS4360
Um método de gestão de riscos empregando a norma AS-NZS4360Um método de gestão de riscos empregando a norma AS-NZS4360
Um método de gestão de riscos empregando a norma AS-NZS4360
 
Aula03
Aula03Aula03
Aula03
 
Seguranca da Informaçao - Security Information
Seguranca da Informaçao - Security InformationSeguranca da Informaçao - Security Information
Seguranca da Informaçao - Security Information
 
Palestra Jeferson D'Addario Governança de Riscos
Palestra Jeferson D'Addario Governança de RiscosPalestra Jeferson D'Addario Governança de Riscos
Palestra Jeferson D'Addario Governança de Riscos
 
Governança de TI e Segurança da Informação
Governança de TI e Segurança da InformaçãoGovernança de TI e Segurança da Informação
Governança de TI e Segurança da Informação
 
Apresentacao clsi 2 (para enviar)
Apresentacao clsi 2 (para enviar)Apresentacao clsi 2 (para enviar)
Apresentacao clsi 2 (para enviar)
 
Segurança da informação em ambientes corporativos
Segurança da informação em ambientes corporativosSegurança da informação em ambientes corporativos
Segurança da informação em ambientes corporativos
 
Seminario iso 27000 pronto
Seminario iso 27000 prontoSeminario iso 27000 pronto
Seminario iso 27000 pronto
 
Risco aplicado à Privacidade e Proteção de dados
Risco aplicado à Privacidade e Proteção de dadosRisco aplicado à Privacidade e Proteção de dados
Risco aplicado à Privacidade e Proteção de dados
 
Política e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticosPolítica e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticos
 
Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...
 

Gestão de Riscos e Continuidade de Negócios

  • 1. UNIVERSIDADE CATÓLICA DE BRASÍLIA PRÓ-REITORIA DE GRADUAÇÃO TRABALHO DE CONCLUSÃO DE CURSO TECNOLOGIA EM SEGURANÇA DA INFORMAÇÃO Apresentação: “GESTÃO DE RISCOS E CONTINUIDADE DE NEGÓCIOS” Autor: Álvaro Gulliver Brandão de Lima Orientador: MSc. Marco Antonio de Oliveira Araújo BRASÍLIA / 2011
  • 2. OBJETIVOS PCN AIN Análise e PAC Gestão de Fundamentos e Riscos Estrutura de um SGSI Evolução da Segurança da Informação (SI) Contingenciar e minimizar paradas e danos aos processos de negócio.
  • 3. INTRODUÇÃO  Entender os fundamentos sobre os impactos, ameaças e vulnerabilidades que afetam a continuidade dos negócios;  Compreender a GR através de uma visão executiva para minimizar paradas e interrupção nos negócios e criar um plano de continuidade de negócios;
  • 4. CONTEXTO HISTÓRICO Pré- Pós- computação Pós-Internet computação • Surgimento dos • Confiança em • Ampliação dos hieróglifos egípcios. sistemas de mercados globais; informação para • Transporte oficial de realizar controles e • Potencialidade de informações romano, transações problemas jurídicos e Correio. eletrônicas criminais, pirataria e financeiras através de até mesmo protocolos de terrorismo. • Cifra de César segurança e senhas de acesso para autenticação que utilizam sistemas de criptografia de extrema segurança. Fonte: Ramos et al. (2008)
  • 5. FUNDAMENTOS DE SEGURANÇA Integridade • Uma informação íntegra é uma informação que se mantêm original, que não sofra alteração indevida e não autorizada. Confidencialidade • É o grau de sigilo atribuído ao seu conteúdo visando à limitação de seu acesso e uso restrito às pessoas autorizadas. Disponibilidade • Garantir a segurança na disponibilidade das informações é permitir que a mesma esteja sempre ao alcance quando necessária para seus usuários e destinatários.
  • 6. DEFINIÇÕES Ativo Proteçã Ameaça o Segurança da Informação Incident Riscos e Vulnerabil idades
  • 7. RISCO  É a probabilidade de ocorrência de um evento;  Avaliação;  Cenário;  Controle.  Conforme Ramos et al. (2008), existem quatro atividades ligadas à forma como se entende o risco. Classificam-se como:  Avaliação do risco;  Tratamento de risco;  Aceitação do risco;  Comunicação do risco.
  • 8. DEFINIÇÕES RELACIONADAS À ISO 27K1 E 27K2 Norma Gestão Prioriza Classificação da Informação Gestão de Ativos Elaboração do ISO/IEC 27001 e inventário de ativos 27002 Ex: Segurança de Físico, ambiente, hu Recursos mano, operações e outros.
  • 9. ESTRUTURA DO SGSI CONFORME ISO/IEC 27K1 • PLAN • ACT Manutençã Estabelecer oe o SGSI melhoria do SGSI Monitora e Implementa faz análise a operação crítica • DO • CHECK
  • 10. PLANEJAMENTO E IMPLEMENTAÇÃO DO SGSI  De acordo com a cláusula 4.2.1 da ISO/IEC 27001:2005, planejar é estabelecer a política, objetivos processos e procedimentos do SGSI, que sejam relevantes para a gestão de riscos e melhoria da segurança da informação que atendam as políticas globais de uma determinada organização. Podem-se dividir os objetivos desta cláusula em:  Definição do escopo;  Elaboração da política de segurança da informação;  Realização da análise/avaliação de riscos e elaboração do plano de tratamento dos riscos.
  • 11. DEFINIÇÃO DO ESCOPO  De acordo com Bastos e Caubit (2009), escopo é “[...] o perímetro de abrangência que define os ativos a serem contemplados no SGSI, sejam eles sistemas, dispositivos físicos, processos ou ações do pessoal envolvido [...]”;  A norma ISO/IEC 27001 orienta que o escopo deve considerar características do negócio, sua localização, ativos tangíveis e intangíveis. É recomendável que o escopo seja relevante para a organização, ou seja, compatível com os interesses e objetivos.
  • 12. ELABORAÇÃO DA POLÍTICA DE SI  A política de segurança da informação é um documento que contem as premissas e diretrizes orientando de forma clara a implementação da SGSI;  A política de ser apoiada nos requisitos legais, regulatórios e contratuais do negócio. Servirá como base para estabelecer a estratégia e o contexto para gestão de riscos, bem como critérios de estruturação e avaliação de riscos.
  • 13. RISCOS NOS NEGÓCIOS  Conforme pesquisa realizada pelo Cert.br, o número total de notificações de incidentes no segundo trimestre de 2011 foi um pouco superior a 127 mil, o que corresponde a um aumento de 40% em relação ao trimestre anterior e de 287% em relação ao mesmo trimestre de 2010.
  • 15. ABORDAGEM PARA ANÁLISE DE RISCOS  Escolher uma metodologia que será utilizada e que melhor se adequar à organização;  A objetividade é um dos critérios fundamentais para a escolha da metodologia de forma que proporcione a imparcialidade das análises e avaliações realizadas;
  • 16. SEGURANÇA COMO INVESTIMENTO  O ROI é uma medida de desempenho utilizado para avaliar a eficiência de um investimento (WIKIPEDIA);  É vista como um centro de custo e o melhor a ser feito é tentar habilitar a empresa a assumir os riscos do negócio.
  • 17. FOCO DA ANÁLISE DE RISCOS Tecnológico Humano Físico Processual
  • 18. FASES DA ANÁLISE DE RISCOS Identificar os Relevância Definição da processos dos equipe de negócio processos envolvida Análise Entrevista a técnica de usuários segurança
  • 19. ANÁLISE TÉCNICA DE SEGURANÇA  Segundo Ramos et al. (2009) dentre os mais conhecidos dos ativos tecnológicos analisados tecnicamente, podem-se listar os seguintes:  Análise de estações de trabalho;  Análise de servidores;  Análise de equipamentos e conectividade;  Análise de links;  Análise de banco de dados.
  • 20. PERFIL DO RISCO  Listar os ativos mais críticos da organização é primordial;  Conforme Wheeler (2011), ao traçar o perfil de risco, o foco é medir a sua sensibilidade;  A melhor maneira de criar o perfil é realizando um simples questionário que utiliza uma série de questões orientadas para medir o impacto potencial.
  • 21. TIPOS DE ANÁLISE  Análise Qualitativa;  Análise Quantitativa;  Análise Semi-quantitativa.
  • 22. AVALIAÇÃO DE RISCOS Danos e Quanto maior prejuízos a financeiros tolerabilidade Porém haverá maior Mais riscos suscetibilidade serão aceitos a riscos Menos recursos para tratamento serão necessários
  • 23. TRATAMENTO DOS RISCOS  Tentativa de evitar o risco;  Compartilhar o risco;  Reter o risco.
  • 24. PLANO DE TRATAMENTO DE RISCOS  Plano de Tratamento conterá uma descrição prática, uma seqüencia de prioridade, recursos necessários, atribuições, prazos e informações importantes para medir o desempenho dos tratamento de riscos;  Risco residual.
  • 25. MONITORAÇÃO E REVISÃO  A monitoração deve ser contínua;  A mudança nos ativos e sua relevância ao processo de negócio devem sempre ocasionar uma Análise de Risco.
  • 26. PLANEJAMENTO DA CONTINUIDADE DO NEGÓCIO  Envolve avaliar uma variedade de riscos aos processos organizacionais;  Criação de políticas, planos e procedimentos para minimizar o impacto desses riscos sobre a organização.
  • 27. PROCESO DO PCN Aprovação e implementação Planejamento de continuidade Avaliação do impacto nos negócios Escopo do projeto e planejamento
  • 28. ESTRATÉGIAS DE CONTINUIDADE DE NEGÓCIOS  Segundo Ramos et al. (2008, p. 158), existem três modelos a serem abordados:  Ativo / Backup;  Ativo / Ativo;  Localidade alternativa.
  • 29. AVALIAÇÃO DO IMPACTO NOS NEGÓCIOS (AIN)  Identificar as prioridades;  Desenvolver e implementar um plano de resposta (PAC).
  • 30. PLANOS PARA GCN  Segundo a norma ISO/IEC 27002:2006, são planos de de contitnuidade de negócios:  Plano de Administração de crise;  Plano de Respostas a Incidentes;  Plano de Continuidade Operacional;  Plano de Recuperação de Desastres;  Plano de Retorno à Normalidade.
  • 31. ESTRATÉGIAS DE RECUPERAÇÃO  Segundo Ramos et al. (2008, p. 165) ao realizar uma Análise de Impacto no Negócio (AIN) identifica-se o Temo Máximo de Parada (TMP) dos diversos processos inerentes as atividades da organização.
  • 32. EXEMPLOS DE ESTRATÉGIAS  Usuários;  Instalações;  Logística;  Dados;  Operações.
  • 33. PROCESSO DE OCORRÊNCIA DE CRISE  Caso um incidente aconteça e a sensibilidade ao risco for alta, ou seja, de grande magnitude, devemos imediatamente recorrer ao PAC.  A principal atividade é definir procedimentos de emergência e avaliar os danos causados. O tempo estimado de parada será primordial para saber se o PCN deve ser acionado e caso este tempo seja maior que o TMP, deve-se preceder com os planos.
  • 34. CONCLUSÃO  Uma das preocupações atuais da sociedade, dentro do cenário empresarial é desempenhar suas operações com segurança evitando que desastres interrompam suas atividades e conseqüentemente sua competitividade, e até mesmo sua existência no mercado.
  • 35. REFERÊNCIAS Sites Core business. In: WIKIPÉDIA: a enciclopédia livre. Wikimedia, 2006. Disponível em: < http://pt.wikipedia.org/w/index.php?title=Core_business&oldid=21866238>. Acesso em: 29 set. 2011 Caesar cipher. In: WIKIPÉDIA: a enciclopédia livre. Wikimedia, 2006. Disponível em: <http://en.wikipedia.org/w/index.php?title=Caesar_cipher&oldid=451372028>. Acesso em: 8 set. 2011 Segurança da Informação. In: WIKIPÉDIA: a enciclopédia livre. Wikimedia, 2006. disponível em: <http://pt.wikipedia.org/w/index.php?title=Seguran%C3%A7a_da_informa%C3%A7%C3%A3o&oldid=26560462>. Acesso em: 30 ago. 2011 Retorno sobre Investimento. In: WIKIPÉDIA: a enciclopédia livre. Wikimedia, 2006. Disponível em <http://pt.wikipedia.org/w/index.php?title=Retorno_sobre_investimento&oldid=26567227>. Acesso em: 22 set. 2011 LAGO, Davi Guimarães; GUIMARÃES, Ênio Benfica. Segurança da Informação e sua história. Disponível em <http://www.viajus.com.br/viajus.php?pagina=artigos&id=2202&idAreaSel=20&seeArt=yes>. Acesso em: 22 set. 2011 Ciclo PDCA. In: WIKIPÉDIA: a enciclopédia livre. Wikimedia, 2006. Disponível em <http://pt.wikipedia.org/w/index.php?title=Ciclo_PDCA&oldid=26122983>. Acesso em: 27 out. 2011. Livros BASTOS, Alberto; CAUBIT, Rosângela. Gestão da Segurança da Informação - uma visão prática. Porto Alegre: Zouk, 2009 SÊMOLA, Marcos. Gestão da Segurança da Informação: uma visão executiva. Rio de Janeiro: Elsevier, 2003. WHEELER, Evan. Security Risk Management - Building and Information Security Risk Management Program from the Ground up. Massachusetts: Elsevier, 2011. Normas ABNT NBR ISO/IEC 27001:2006. Tecnologia da Informação – Técnicas de Segurança – Sistema de Gestão de Segurança da Informação – Requisitos. Rio de Janeiro: ABNT, 2006 ABNT NBR ISO/IEC 27002:2007. Tecnologia da Informação – Técnicas de Segurança – Códigos para a Gestão da Segurança da Informação. Rio de Janeiro: ABNT, 2007