Gestao de servicos de Ti | Andracom

1.232 visualizações

Publicada em

É executado análises de riscos, durante e depois do processo de tercerização e definidos como um rigoroso critério de avaliação.

Publicada em: Tecnologia
  • Seja o primeiro a comentar

Gestao de servicos de Ti | Andracom

  1. 1. Gestão de Serviço de TI
  2. 2. Gestão de Serviços Benefícios da Gestão de Serviços•  Atualização constante das plataformas, revisão e interpretação de eventos buscando a melhoria contínua;•  Recomendações Técnicas e de Infra-Estrutura visando melhor desempenho da rede;•  Melhores práticas em Segurança da Informação (ISO e ABNT);•  Economia de até 58% nos custos de gerenciamento de segurança de informação;•  Protege continuamente os seus negócios, dados da empresa e a reputação;•  Evita ataques e danos antes que eles prejudiquem e interrompam as operações do seu negócio;
  3. 3. Gestão de Serviços•  Projetado para melhorar o tempo de produtividade e o desempenho do sistema sem um alto investimento em tecnologia e recursos.•  Relatórios de Gestão Mensais, com indicadores e informações detalhadas trazendo visibilidade e controle da segurança;•  Topologia e implementação das políticas e configurações do ambiente monitorado;•  Análise e busca constante das vulnerabilidades;•  SLA (Acordo de Nível de Serviço) definido em detalhes para cada serviço executado;•  ROI (Retorno de Investimento);•  Apresentação Anual dos Serviços Prestados.
  4. 4. Gestão de Serviços Governança, Risco, Conformidade e Cultura (GRC-C)Governança   Conformidade  Definir  e  avaliar  obje.vos,  metas  e  performances   Incen.va/exige  o  cumprimento  Validar  a  estratégia  de  negócio  e  o  modelo  para   das  normas,  leis  e  polí.cas  alcançar  os  obje.vos   existentes     Detecta  a  não-­‐conformidade  e   responde  em  conformidade  Risco   Cultura   Estabelece  clima  organizacional  e  Iden.fica,  avalia  e  trata  os  potenciais   valores  pessoais  que  promovem  obstáculos  para  se  alcançar  os  obje.vos   confiança,  integridade  e  Iden.fica  e  trata  violações  mandatórias  ou   rastreabilidade.  voluntárias  de  limites  
  5. 5. Evolução da Abordagem GRC Governar  e  Gerenciar   • Automa.zar  controles  e  monitoramento     • Intersecção  entre  múl.plos  regulamentos  legais  de • Decisões  baseadas  em  Risco   rida • Inves.mento  em  Conformidade  com  padrões  de  Matu Governança   • Abordagem  integrada  à  GRC   Reduzir  Custo   • Associar  controle  à  múl.plos  regulamentos   legais     • O.mizar  controles   • Associar  controles  e  risco   • Associar  custo  de  projeto  e  correções   011 Estar  em  Conformidade   8 .. . 2 200 • Foco  somente  em  leis   ... 3 200 • Muitos  controles   • Esforço  manual   As  Is   • Controle  manual   Fonte:  Computer  Associates  
  6. 6. Meta-FrameworkPessoas, Processos, Tecnologia e EstratégiasAs organizações estão optando cada vez mais pelas boas práticas de GovernançaCorporativa. Um aspecto significativo é a inclusão da segurança da informaçãocomo parte do risco operacional. Nossa   s olução:   E P75   -­‐   S oAware   p ara   d iagnósFco   e   a valiação   d o   n ível   d e   m aturidade   d a   s egurança   da   i nformação.   Mapeia  a  situação  atual  da  organização  (nível   1 de  maturidade);       Compara  com  a  situação  das  melhores   2 organizações  (benchmarking);     Estabelece  e  monitora  passo  a  passo  as   3 melhorias  dos  processos  rumo  à  estratégia  da   organização  (plano  de  crescimento);     Compara  com  regulamentações  e  padrões   4 internacionais  (auditoria).  
  7. 7. PDCA do GRCGovernançaGRC Framework
  8. 8. Governança Governança Corporativa   É   um   conjunto   de   responsabilidades   e   prá.cas,   exercido   pelo   Comitê   Dire.vo   ou   Execu.vo,   com  o  obje.vo  e:   •  Prover  direcionamento  estratégico;   •  Garan.r  que  os  objeFvos  são  alcançados;   •  Verificar  que  os  recursos  corporaFvos  são  u.lizados  de  forma  responsável  e   transparente;  Fonte:  Adaptação  do  CoBiT  
  9. 9. PDCA do GRC RiscoGRC Framework
  10. 10. RiscoRisco, é a medida para um fator de incerteza Falha de Hardware Falha na Transmissão Falha Humana Desastre Natural Incerto 3% Falha de Software 9% 30% 11% 24% 23%Evento: Fato de origem voluntária ou não que apresenta risco de dano. Tambémdenominado "Fator de Risco"
  11. 11. Risco Dano:  Conseqüência  nociva  acarretada  por  um  Evento.     Impacto  de  resultado  prejudicial.  Jus.fica  a  Con.ngência.  Avaliação:  considera  a  pior  situação,  no  pior  momento,  no  cenário  mais  pessimista    Cenário:  consistente  com  a  realidade  da  Organização    Controle:  deveria  ser  proa.vo,  predi.vo  e  corre.vo  
  12. 12. RiscoRisco x ImpactoFatores de Risco são aleatórios e imprevisíveis, comparando-se ao efeito de umaonda, cuja intensidade e dano estarão vinculados ao cenário de ocorrênciaquando se concretiza;Impactos são previsíveis, de acordo com o conhecimento do ambiente onde semanifestam e vinculados aos Eventos que se concretizaram, podendo sercontidos através de medidas de mitigação, independente do cenário;
  13. 13. RiscoConceitos—  BIA (Business Impact Analysis): é a Análise de Impacto nos Negócios, acarretada pela indisponibilidade de um Processo (atividade) ou Componente (recurso por ele utilizado);—  Disaster Recovery Plan (DRP): Plano de Recuperação de Desastres. É a documentação das atividades necessárias para restauração ou substituição dos recursos (Componentes) utilizados pelos Processos de Negócios;—  Business Continuity Plan (BCP): Plano de Continuidade de Negócios. É o conjunto de procedimentos documentados pelo DRP e pelo Plano de Continuidade de Operações, monitorado por um Plano de Gerenciamento de Crises (PRD) que facilita sua gestão e atualização.
  14. 14. PDCA do GRCPlano de Continuidade GRC Framework
  15. 15. Plano de Continuidade do Negócio Plano de Recuperação de Desastres Plano de Contingência Operacional Plano de Continuidade de Negócio = PRD+PCO
  16. 16. PDCA do GRCConformidade GRC Framework
  17. 17. ConformidadeO mundo de Leis, Regulamentos, Normas e Normalidades Companies ACT PIPEDA DPA BDSG KonTraG RIP Basel II IAS Sarbanes-Oxley HIPAA LOPD EUPDCA SB 1398 Japan Privacy OSHACA AB 1950 SOX, FICS, Basel II NERCCA SB 1386 FERC Reg. 357 Homeland Security BACEN Basiléia II Ato Bancario CVM ISO CLERP 9 Lei 3494/2000 AS4360 Lei 321/2004 PA&PAA Lei de Proteção dos King II RPT Dados Pessoais Nov/2000
  18. 18. ConformidadeO Brasil de Leis, Decretos, Portarias, Resoluções...Código CivilCódigo PenalInstituições Financeiras e outras ü  Banco Central (3380, 2817, 2554, ...), ü  Susep 249..., CGPC 13 ü  Basiléia II ü  PCI/DSS, BITS, PQO/BM&F, Anbid ü  ISO (ABNT)Mercado de Capitais ü  CVM (358, ...)Governo ü  Decretos 4553, 3505, ü  TCUReceita e Fazenda ü  Receita Federal, Nota Fiscal EletrônicaSaúde ü  Hippa, Resoluções CFM
  19. 19. Conformidade A Avaliação da Conformidade é um exame sistemático do grau de atendimento por parte de um produto, processo ou serviço a requisitos especificados.Fonte:  ABNT  
  20. 20. Conformidade Aplicação da Conformidade A Avaliação da Conformidade pode ser aplicada voluntária ou compulsoriamente. —  Voluntária: quando partes de uma decisão de um fornecedor ou mais; —  Compulsória: quando um organismo regulamentador emite um instrumento legal, e se destina, prioritariamente, à defesa do consumidor, instituição, investidores ou a sociedade em geral.Fonte:  ABNT  
  21. 21. Conformidade Mecanismo de Avaliação A Avaliação da Conformidade possui diferentes mecanismos para verificar a conformidade de um produto, processo ou serviço em relação aos critérios estabelecidos por normas e regulamentos técnicos. Os praticados no Brasil são os seguintes: —  certificação; —  declaração da conformidade pelo fornecedor; —  inspeção; —  ensaio; —  etiquetagem.Fonte:  ABNT  
  22. 22. Conformidade Controle de acesso dos usuários —  Registro do usuário: ID única para cada usuário. —  Gerenciamento de privilégios: aqui entra o controle de acesso baseado em papéis. —  Gerenciamento de senhas: administração segura de senhas. Controle de Acesso às Aplicações —  Registro de Eventos: Trilha de auditoria registrando exceções e outros eventos de segurança devem ser armazenados por um tempo adequado. —  Monitoração do Uso do Sistema: Os procedimentos do monitoração do uso do sistema devem ser estabelecidos. —  Sincronização dos Relógios: Para garantir a exatidão dos registros de auditoria.Fonte:  ABNT  
  23. 23. PDCA do GRC CulturaGRC Framework
  24. 24. CulturaEngenharia Social ou CulturaCompreende a inaptidão dos indivíduos manterem-se atualizados com diversasquestões pertinentes a tecnologia da informação, além de não estaremconscientes do valor da informação que eles possuem e, portanto, não terempreocupação em proteger essa informação conscientemente.É importante salientar que, a engenharia social (Cultura) é aplicada em diversossetores da segurança da informação independente de sistemas computacionais,software e ou plataforma utilizada, o elemento mais vulnerável de qualquersistema de segurança da informação é o ser humano, o qual possui traçoscomportamentais e psicológicos que o torna suscetível a ataques de engenhariasocial.
  25. 25. Cultura Engenharia Social•  Estabelece  clima  organizacional  e  valores  pessoais  que  promovem  confiança,   integridade  e  rastreabilidade;  •  Engenharia social compreende a inaptidão dos indivíduos manterem-se atualizados com diversas questões pertinentes a tecnologia da informação;•  Além de não estarem conscientes do valor da informação que eles possuem e, portanto, não terem preocupação em proteger essa informação conscientemente;•  É importante salientar que, a engenharia social é aplicada em diversos setores da segurança da informação independente de sistemas computacionais, software e ou plataforma utilizada, o elemento mais vulnerável de qualquer sistema de segurança da informação é o ser humano, o qual possui traços comportamentais e psicológicos que o torna suscetível a ataques de engenharia social.  
  26. 26. CulturaDentre essas características, pode-se destacar:—  Vaidade pessoal e/ou profissional O ser humano costuma ser mais receptivo a avaliação positiva e favorável aos seus objetivos, aceitando basicamente argumentos favoráveis a sua avaliação pessoal ou profissional ligada diretamente ao benefício próprio ou coletivo de forma demonstrativa.—  Autoconfiança O ser humano busca transmitir em diálogos individuais ou coletivos o ato de fazer algo bem, coletivamente ou individualmente, buscando transmitir segurança, conhecimento, saber e eficiência, buscando criar uma estrutura base para o início de uma comunicação ou ação favorável a uma organização ou individuo.—  Formação profissional O ser humano busca valorizar sua formação e suas habilidades adquiridas nesta faculdade, buscando o controle em uma comunicação, execução ou apresentação seja ela profissional ou pessoal buscando o reconhecimento pessoal inconscientemente em primeiro plano.—  Vontade de ser útil  O ser humano, comumente, procura agir com cortesia, bem como ajudar outros quando necessário.—  Busca por novas amizades O ser humano costuma se agradar e sentir-se bem quando elogiado, ficando mais vulnerável e aberto a dar informações.—  Propagação de responsabilidade Trata-se da situação na qual o ser humano considera que ele não é o único responsável por um conjunto de atividades.—  Persuasão Compreende quase uma arte a capacidade de persuadir pessoas, onde se busca obter respostas específicas. Isto é possível porque as pessoas possuem características comportamentais que as tornam vulneráveis a manipulação.
  27. 27. Gestão de Serviços Internet DMZ Router Auth Firewall Server App/data Server App/data App/data Server Server App/data Server L2 Switch ProbeLSS ProbeLSS Router Router w/ WCCP Auth ServerBranch Office App/data Router Server Branch Office Branch Office Router Router ProbeLSS App/data ProbeLSS Server ProbeLSS L2 Switch L2 Switch App/data Server L4 Switch
  28. 28. Gestão de Serviços

×