SlideShare uma empresa Scribd logo

Gestão de Serviços de TI e Segurança da Informação: Usando as práticas da ISO 27001:2013

Cláudio Dodt
Cláudio Dodt

O documento apresenta conceitos e tendências em segurança da informação, destacando a necessidade de uma abordagem holística que considere pessoas, processos e tecnologia. Também discute a importância da gestão de serviços de TI alinhada com padrões como ISO 27001 para entregar valor aos negócios de forma segura.

Tecnologia
1 de 42
Baixar para ler offline
Claudio Dodt, ISMAS, CISSP, CISA, CRISC, ISO 27001 Lead Auditor Business Continuity & Security Senior Consultant claudio.dodt@daryus.com.br www.daryus.com.br claudiododt.com www.twitter.com/daryusbr www.twitter.com/cdodt www.facebook.com/claudiododtcom Iluminando mentes, capacitando profissionais e protegendo negócios. Gestão de Serviços de TI e Segurança da Informação: Usando as práticas da ISO 27001:2013
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Segurança da Informação: Como era? Segurança da Informação: Quebrando paradigmas
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Segurança da Informação: Quebrando paradigmas Informação Perímetro Corporativo Informações dentro do perímetro
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Segurança da Informação: Quebrando paradigmas Ameaças fora... AMEAÇAS
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Segurança da Informação: Quebrando paradigmas Segurança da Informação: Cenário HOJE
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Segurança da Informação: Quebrando paradigmas Você realmente sabe onde estão seus dados corporativos?
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Segurança da Informação: Quebrando paradigmas Ameaças? Por todo lado! Vazamentos Fraude Sabotagem
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Segurança da Informação: Comportamento e Consumerização Homem Vitruviano - Leonardo da Vinci - 1490
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Segurança da Informação: Comportamento e Consumerização Wearables! Tecnologias Vestíveis! Estamos preparados?
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 •Wireless do desfibrilador desativado. •Medo de ciberterroristas. Dick Cheney Segurança da Informação: Tecnologia e Comportamento – Tendencias
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 •Wireless do desfibrilador desativado. •Medo de ciberterroristas. Dick Cheney Se considerarmos um ciclo de adoção parecido ao de smartphones e tablets... Aproximadamente 171 milhões de dispositivos devem estar nas mãos dos consumidores por volta de 2016. Segurança da Informação: Tecnologia e Comportamento – Tendencias
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Segurança da Informação: Novos paradigmas O que mudou realmente?
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Segurança da Informação: Novos paradigmas 54% das organizações reportaram aumento nas ameaças externas. Ernst & Young: “Global Information Security Survey 2013” 81% das grandes organizações sofreram falhas de segurança no último ano. Department for Business Innovation & Skills: “2014 Information Security Breaches Survey” Somente 33% das vitimas descobriram as falhas de segurança internamente. Mandiant: “2014 Threat Report: M-Trends - Beyond the Breach” 75% dos ataques exploraram vulnerabilidades conhecidas publicamente e solucionáveis com atualizações periódicas CyberEdgeGroup: “2014 CyberthreatDefense Report”
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Segurança da Informação: Novos paradigmas http://dary.us/PNSIResult
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Segurança da Informação: Novos paradigmas http://dary.us/PNSIResult Das instituições respondentes: •64% NÃO possui Gestão de Segurança •38% NÃO fazem Investimentos em Segurança •64% NÃO fazem Gestão de Incidentes •50% dos incidentes Não são tecnologia
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Segurança da Informação: Caso Target •Segunda maior rede de varejo nos USA. •Teve uma falha de segurança crítica no final de 2013 •Origem: fornecedor de sistemas de climatização. •40M de cartões de crédito e outras 70M de informações privadas foram roubadas. •Prejuízo estimado: 61M •CEO demitido em Maio de 2014.
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Segurança da Informação: Caso Target SEGURANÇA DA INFORMAÇÃO é gerenciada com base em LIDERANÇA ou CRISE... ...na ausência da LIDERANÇA, só nos resta a CRISE.
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Segurança da Informação: Boas práticas Algumas coisas não mudaram!
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Segurança da Informação: Visão Holística Segurança da Informação Políticas Essa é a visão da ISO 27001 Essa é a visão da ITIL
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Segurança da Informação: Ainda somos míopes Confidencialidade Integridade Disponibilidade Segurança da Informação Pessoas Processos Tecnologia Tecnologia
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Segurança da Informação: Ainda somos míopes Confidencialidade Integridade Disponibilidade Segurança da Informação Pessoas Processos Tecnologia Tecnologia O QUE ACONTECE COM A MELHOR TECNOLOGIA NAS MÃOS DE QUEM NÃO ESTÁ PREPARADO?
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Segurança da Informação: Ainda somos míopes Confidencialidade Integridade Disponibilidade Segurança da Informação Pessoas Processos Tecnologia Tecnologia O QUE ACONTECE COM A MELHOR TECNOLOGIA NAS MÃOS DE QUEM NÃO ESTÁ PREPARADO?
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Segurança da Informação: Ainda somos míopes Tecnologia Tecnologia é... ...a mera ponta... ...do iceberg.
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Segurança da Informação: Ainda somos míopes Tecnologia Processos •Investimento inteligente •Padrões Testados •Visão Estratégica •Formalização •Seleção •Capacitação •Reciclagem •Conscientização Pessoas
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Segurança da Informação: Gerenciando serviços de Segurança Na ITIL SERVIÇO é um meio de entregar VALOR aos CLIENTES A ISO 27001 apresenta Requisitos para um Sistema de Gestão de Segurança da Informação Qual a combinação de ambas? IT Service Management Processos
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Segurança da Informação: Gerenciando serviços de Segurança Na ITIL SERVIÇO é um meio de entregar VALOR aos CLIENTES A ISO 27001 apresenta Requisitos para um Sistema de Gestão de Segurança da Informação Qual a combinação de ambas? IT Service Management Processos Entregar VALOR ao CLIENTE através da boa GESTÃO DE SERVIÇOS DE SEGURANÇA DA INFORMAÇÃO!
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 IT Service Management Processos Como o serviço é construído! Segurança a Cereja do Bolo! Segurança da Informação: Gerenciando serviços de Segurança
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 IT Service Management Processos Segurança a Cereja do Bolo! Segurança da Informação: Gerenciando serviços de Segurança •É preciso pensar em segurança desde a base! •Essa forma é mais barata e eficiente!
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 IT Service Management Processos Entregar Valor ao Negócio Motivadores Objetivos Corporativos Objetivos de Segurança Segurança da Informação: Gerenciando serviços de Segurança
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 IT Service Management Processos Entregar Valor ao Negócio Segurança da Informação: Gerenciando serviços de Segurança Segurança da Informação não é um objetivo em si... ...mas um meio para garantir que os objetivos do negócio sejam atingidos.
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 IT Service Management Processos 1. Princípios, Políticas e Frameworks 2. Processos 3. Estruturas Organizacionais 4. Cultura, Ética, Comportamento 5. Informação 6. Serviços, Infraestrutura e Aplicações A 7. Pessoas, Habilidades e Competências a COMO FAZER? Segurança da Informação: Gerenciando serviços de Segurança
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 IT Service Management Processos AbordagemHolística 1. Princípios, Políticas e Frameworks 2. Processos 3. Estruturas Organizacionais 4. Cultura, Ética, Comportamento 5. Informação 6. Serviços, Infraestrutura e Aplicações A 7. Pessoas, Habilidades e Competências a Segurança da Informação: Gerenciando serviços de Segurança
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 IT Service Management Processos ITIL 27001:2013 Transição do Serviço Gerenciamento de Fornecedores A.15 - Relacionamento na Cadeia de Suprimento Gerenciamento de Disponibilidade A.17.2.1 - Disponibilidade dos recursos de info Gerenciamento de Capacidade A.12.1.3 - Gestão de capacidade Gerenciamento de Continuidade de Serv. de TI A.17 - Aspectos da SegInfo na Gestão da Cont Gerenciamento de Segurança da Informação Todo o Anexo A Anexo A Segurança da Informação: Gerenciando serviços de Segurança
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 IT Service Management Processos ITIL 27001:2013 Desenho do Serviço Gerenciamento de Config. Ativos de Serviço A.8 - Gestão de Ativos Gerenciamento de Mudanças A.12.1.2 - Gestão de mudanças Gerenciamento de Liberação e Implantação A.14 - Aquisição, Desenv e Manut de Sistemas Validação e Teste de Serviço A.14.3 - Dados para teste Anexo A Segurança da Informação: Gerenciando serviços de Segurança
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 IT Service Management Processos ITIL 27001:2013 Operação do Serviço Gerenciamento de Eventos A.12.4 - Registros e monitoramento Gerenciamento de Incidentes A.16 - Gestão de Incidentes de SegInfo Gerenciamento de Acesso A.9 - Controle de Acesso Anexo A Segurança da Informação: Gerenciando serviços de Segurança
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 1.Identificação 2.Registro 3.Classificação 4.Priorização 5.Diagnostico inicial 6.Escalamento 7.Investigação e diagnóstico 8.Resolução e recuperação 9.Encerramento ! Gerenciamento de Incidentes ! Segurança da Informação: Gerenciando serviços de Segurança
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Incidente de SI Identificador único; Categorização / Urgência / Impacto / Priorização; Data/Hora do registro do incidente; Contatos da pessoa/equipe que efetuou o registro; Método de notificação (e.g. telefone, email); Detalhes do usuário (e.g. nome, setor, telefone, local); Método de contato com o usuário (e.g. telefone, email); Descrição dos sintomas do incidente; Status do incidente; Ativos afetados / Problemas / Erros conhecidos relacionados ao incidente; Responsável pelo incidente (e.g. analista / equipe); Atividades executadas para solucionar o incidente; Data/Hora de solução; Categoria / Data/Hora do encerramento. Segurança da Informação: Gerenciando serviços de Segurança
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Incidente de SI Incidentes de SI normalmente requerem algumas considerações adicionais: Implicações Legais / Crime Se o incidente foi cometido de forma deliberada por um agente interno ou externo a organização isso pode indicar um crime. Aspectos legais devem ser observados (e.g. cadeia de custódia de evidências) e é indicado que o departamento ou assessoria jurídica esteja envolvida. Ampla análise e estimativa de dados Um incidente de SI pode facilmente se propagar do ponto onde foi inicialmente identificado (e.g. um vírus ou um cracker). Normalmente na gestão de incidentes o objetivo é retomar o serviço o quanto antes. Para incidentes de segurança é necessário uma maior análise para identificar a totalidade do impacto e garantir a contenção da ameaça. Evitar danos desnecessários Um incidente de SI está muito mais propenso a causar dados adicionais (e.g. após a aplicação de uma solução ineficiente). Um cuidado maior é necessário visto que um atacante pode ter se antecipado a ações da equipe de segurança. Limitar divulgação de informações Incidentes de SI podem afetar a imagem ou reputação da organização. É necessário que todos os envolvidos trabalhem com base no princípio da necessidade de conhecer (need-to-know) controlando informações sobre a solução aplicada e possíveis modificações na infraestrutura de segurança. Segurança da Informação: Gerenciando serviços de Segurança
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Serviços de Segurança de TI Desafios Falta de VISÃO ESTRATÉGICA Dificuldade no ALINHAMENTO COM O NEGÓCIO Traduzindo: CULTURA. Segurança da Informação: Gerenciando serviços de Segurança
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Liderança Centralizada Escalabilidade e Agilidade Planejamento Abrangente Gestão de Riscos Serviços de Segurança de TI Segurança da Informação: Gerenciando serviços de Segurança
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Liderança Centralizada Escalabilidade e Agilidade Planejamento Abrangente Gestão de Riscos VISÃO HOLÍSTICA. Serviços de Segurança de TI Segurança da Informação: Gerenciando serviços de Segurança
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Claudio Dodt, ISMAS, CISSP, CISA Business Continuity & Security Senior Consultant claudio.dodt@daryus.com.br http://www.daryus.com.br http://claudiododt.com http://www.facebook.com/claudiododtcom http://br.linkein/claudiododt http://pt.slideshare.net/claudiododt

Recomendados

DARYUS Inovação com Segurança da Informação: Desafios de uma gestão flexível ...
DARYUS Inovação com Segurança da Informação: Desafios de uma gestão flexível ...DARYUS Inovação com Segurança da Informação: Desafios de uma gestão flexível ...
DARYUS Inovação com Segurança da Informação: Desafios de uma gestão flexível ...Cláudio Dodt
 
Conscientização na prática: Como tornar o fator humano um dos mais efetivos c...
Conscientização na prática: Como tornar o fator humano um dos mais efetivos c...Conscientização na prática: Como tornar o fator humano um dos mais efetivos c...
Conscientização na prática: Como tornar o fator humano um dos mais efetivos c...Cláudio Dodt
 
DARYUS Segurança da Informação: Perspectivas no Brasil para 2014 e além
DARYUS Segurança da Informação: Perspectivas no Brasil para 2014 e alémDARYUS Segurança da Informação: Perspectivas no Brasil para 2014 e além
DARYUS Segurança da Informação: Perspectivas no Brasil para 2014 e alémCláudio Dodt
 
DARYUS - Pesquisa Nacional de Segurança da Informação 2014
DARYUS - Pesquisa Nacional de Segurança da Informação 2014DARYUS - Pesquisa Nacional de Segurança da Informação 2014
DARYUS - Pesquisa Nacional de Segurança da Informação 2014Cláudio Dodt
 
Apresentação - Deserv
Apresentação - DeservApresentação - Deserv
Apresentação - DeservDeServ - Tecnologia e Servços
 
Palestra de Marcos Assi GRM 2011
Palestra de Marcos Assi GRM 2011Palestra de Marcos Assi GRM 2011
Palestra de Marcos Assi GRM 2011MASSI Consultoria e Treinamento
 
Palestra sobre Cybersecurity para o Evento NEXT 2019
Palestra sobre Cybersecurity para o Evento NEXT 2019Palestra sobre Cybersecurity para o Evento NEXT 2019
Palestra sobre Cybersecurity para o Evento NEXT 2019PhishX
 
Apresentação - DeServ - Tecnologia e Serviços
Apresentação - DeServ - Tecnologia e ServiçosApresentação - DeServ - Tecnologia e Serviços
Apresentação - DeServ - Tecnologia e ServiçosDeServ - Tecnologia e Servços
 

Recomendados

DARYUS Inovação com Segurança da Informação: Desafios de uma gestão flexível ...
DARYUS Inovação com Segurança da Informação: Desafios de uma gestão flexível ...DARYUS Inovação com Segurança da Informação: Desafios de uma gestão flexível ...
DARYUS Inovação com Segurança da Informação: Desafios de uma gestão flexível ...Cláudio Dodt
 
Conscientização na prática: Como tornar o fator humano um dos mais efetivos c...
Conscientização na prática: Como tornar o fator humano um dos mais efetivos c...Conscientização na prática: Como tornar o fator humano um dos mais efetivos c...
Conscientização na prática: Como tornar o fator humano um dos mais efetivos c...Cláudio Dodt
 
DARYUS Segurança da Informação: Perspectivas no Brasil para 2014 e além
DARYUS Segurança da Informação: Perspectivas no Brasil para 2014 e alémDARYUS Segurança da Informação: Perspectivas no Brasil para 2014 e além
DARYUS Segurança da Informação: Perspectivas no Brasil para 2014 e alémCláudio Dodt
 
DARYUS - Pesquisa Nacional de Segurança da Informação 2014
DARYUS - Pesquisa Nacional de Segurança da Informação 2014DARYUS - Pesquisa Nacional de Segurança da Informação 2014
DARYUS - Pesquisa Nacional de Segurança da Informação 2014Cláudio Dodt
 
Apresentação - Deserv
Apresentação - DeservApresentação - Deserv
Apresentação - DeservDeServ - Tecnologia e Servços
 
Palestra de Marcos Assi GRM 2011
Palestra de Marcos Assi GRM 2011Palestra de Marcos Assi GRM 2011
Palestra de Marcos Assi GRM 2011MASSI Consultoria e Treinamento
 
Palestra sobre Cybersecurity para o Evento NEXT 2019
Palestra sobre Cybersecurity para o Evento NEXT 2019Palestra sobre Cybersecurity para o Evento NEXT 2019
Palestra sobre Cybersecurity para o Evento NEXT 2019PhishX
 
Apresentação - DeServ - Tecnologia e Serviços
Apresentação - DeServ - Tecnologia e ServiçosApresentação - DeServ - Tecnologia e Serviços
Apresentação - DeServ - Tecnologia e ServiçosDeServ - Tecnologia e Servços
 
IT2S Group
IT2S GroupIT2S Group
IT2S GroupGustavo Sana
 
Eleicao A Nata Dos Profissionais De Seguranca Da Informacao 2008
Eleicao A Nata Dos Profissionais De Seguranca Da Informacao 2008Eleicao A Nata Dos Profissionais De Seguranca Da Informacao 2008
Eleicao A Nata Dos Profissionais De Seguranca Da Informacao 2008André Santos
 
cEYE | Apresentação do Produto
cEYE | Apresentação do ProdutocEYE | Apresentação do Produto
cEYE | Apresentação do Produtoriciericasadey
 
Segurança da Informação em BYOD
Segurança da Informação em BYODSegurança da Informação em BYOD
Segurança da Informação em BYODMicrosoft
 
Symantec -Executive Report - edicao 1
Symantec -Executive Report - edicao 1Symantec -Executive Report - edicao 1
Symantec -Executive Report - edicao 1Symantec Brasil
 
CONARH Dados Colaboradores AEcheverria IBGC
CONARH Dados Colaboradores AEcheverria IBGCCONARH Dados Colaboradores AEcheverria IBGC
CONARH Dados Colaboradores AEcheverria IBGCAndré Echeverria
 
Seguranca da informacao - ISSA
Seguranca da informacao - ISSASeguranca da informacao - ISSA
Seguranca da informacao - ISSARoney Médice
 
DARYUS BYOD – Como lidar com riscos estratégicos de dispositivos pessoais
DARYUS BYOD – Como lidar com riscos estratégicos de dispositivos pessoaisDARYUS BYOD – Como lidar com riscos estratégicos de dispositivos pessoais
DARYUS BYOD – Como lidar com riscos estratégicos de dispositivos pessoaisCláudio Dodt
 
Unbroken Apresentação Institucional 2018
Unbroken Apresentação Institucional 2018Unbroken Apresentação Institucional 2018
Unbroken Apresentação Institucional 2018Fernando Dulinski
 
Segurança da informação10 dezembro
Segurança da informação10 dezembroSegurança da informação10 dezembro
Segurança da informação10 dezembroTiago Jose
 
VI congresso fecomercio de crimes eletrônicos 04082014 - apresentação de af...
VI congresso fecomercio de crimes eletrônicos 04082014 - apresentação de af...VI congresso fecomercio de crimes eletrônicos 04082014 - apresentação de af...
VI congresso fecomercio de crimes eletrônicos 04082014 - apresentação de af...FecomercioSP
 
Projeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoProjeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoFernando Palma
 
Hardware, software e “peopleware”_ dilemas da segurança da informação - Infor...
Hardware, software e “peopleware”_ dilemas da segurança da informação - Infor...Hardware, software e “peopleware”_ dilemas da segurança da informação - Infor...
Hardware, software e “peopleware”_ dilemas da segurança da informação - Infor...bestwinc
 
Palestra - Segurança da Informação
Palestra - Segurança da InformaçãoPalestra - Segurança da Informação
Palestra - Segurança da InformaçãoJoão Carlos da Silva Junior
 
Tendências do Byod nas Organizações - Apresentação
Tendências do Byod nas Organizações - ApresentaçãoTendências do Byod nas Organizações - Apresentação
Tendências do Byod nas Organizações - ApresentaçãoMaico Pitol
 
Apostila01 - segurança de redes
Apostila01 - segurança de redesApostila01 - segurança de redes
Apostila01 - segurança de redesCarlos Veiga
 
Palestra - Segurança da informação: proteção ou transtorno?
Palestra - Segurança da informação: proteção ou transtorno?Palestra - Segurança da informação: proteção ou transtorno?
Palestra - Segurança da informação: proteção ou transtorno?Edkallenn Lima
 
Indyxa - E-book: Guia básico sobre segurança da informação
Indyxa - E-book: Guia básico sobre segurança da informaçãoIndyxa - E-book: Guia básico sobre segurança da informação
Indyxa - E-book: Guia básico sobre segurança da informaçãoIndyxa
 
Aula 1 - Introdução a Segurança da Informação
Aula 1 - Introdução a Segurança da InformaçãoAula 1 - Introdução a Segurança da Informação
Aula 1 - Introdução a Segurança da InformaçãoCarlos Henrique Martins da Silva
 
Segurança da Informação Corporativa
Segurança da Informação CorporativaSegurança da Informação Corporativa
Segurança da Informação CorporativaMarcelo de Freitas Lopes
 
Auditoria de sistemas de informação
Auditoria de sistemas de informaçãoAuditoria de sistemas de informação
Auditoria de sistemas de informaçãoRodrigo Gomes da Silva
 
Eleição "A Nata dos Profissionais de Segurança da Informação"
Eleição "A Nata dos Profissionais de Segurança da Informação"Eleição "A Nata dos Profissionais de Segurança da Informação"
Eleição "A Nata dos Profissionais de Segurança da Informação"Paulo Pagliusi, PhD, CISM
 

Mais conteúdo relacionado

Mais procurados

Eleicao A Nata Dos Profissionais De Seguranca Da Informacao 2008
Eleicao A Nata Dos Profissionais De Seguranca Da Informacao 2008Eleicao A Nata Dos Profissionais De Seguranca Da Informacao 2008
Eleicao A Nata Dos Profissionais De Seguranca Da Informacao 2008André Santos
 
cEYE | Apresentação do Produto
cEYE | Apresentação do ProdutocEYE | Apresentação do Produto
cEYE | Apresentação do Produtoriciericasadey
 
Segurança da Informação em BYOD
Segurança da Informação em BYODSegurança da Informação em BYOD
Segurança da Informação em BYODMicrosoft
 
Symantec -Executive Report - edicao 1
Symantec -Executive Report - edicao 1Symantec -Executive Report - edicao 1
Symantec -Executive Report - edicao 1Symantec Brasil
 
CONARH Dados Colaboradores AEcheverria IBGC
CONARH Dados Colaboradores AEcheverria IBGCCONARH Dados Colaboradores AEcheverria IBGC
CONARH Dados Colaboradores AEcheverria IBGCAndré Echeverria
 
Seguranca da informacao - ISSA
Seguranca da informacao - ISSASeguranca da informacao - ISSA
Seguranca da informacao - ISSARoney Médice
 
DARYUS BYOD – Como lidar com riscos estratégicos de dispositivos pessoais
DARYUS BYOD – Como lidar com riscos estratégicos de dispositivos pessoaisDARYUS BYOD – Como lidar com riscos estratégicos de dispositivos pessoais
DARYUS BYOD – Como lidar com riscos estratégicos de dispositivos pessoaisCláudio Dodt
 
Unbroken Apresentação Institucional 2018
Unbroken Apresentação Institucional 2018Unbroken Apresentação Institucional 2018
Unbroken Apresentação Institucional 2018Fernando Dulinski
 
Segurança da informação10 dezembro
Segurança da informação10 dezembroSegurança da informação10 dezembro
Segurança da informação10 dezembroTiago Jose
 
VI congresso fecomercio de crimes eletrônicos 04082014 - apresentação de af...
VI congresso fecomercio de crimes eletrônicos 04082014 - apresentação de af...VI congresso fecomercio de crimes eletrônicos 04082014 - apresentação de af...
VI congresso fecomercio de crimes eletrônicos 04082014 - apresentação de af...FecomercioSP
 
Projeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoProjeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoFernando Palma
 
Hardware, software e “peopleware”_ dilemas da segurança da informação - Infor...
Hardware, software e “peopleware”_ dilemas da segurança da informação - Infor...Hardware, software e “peopleware”_ dilemas da segurança da informação - Infor...
Hardware, software e “peopleware”_ dilemas da segurança da informação - Infor...bestwinc
 
Tendências do Byod nas Organizações - Apresentação
Tendências do Byod nas Organizações - ApresentaçãoTendências do Byod nas Organizações - Apresentação
Tendências do Byod nas Organizações - ApresentaçãoMaico Pitol
 
Apostila01 - segurança de redes
Apostila01 - segurança de redesApostila01 - segurança de redes
Apostila01 - segurança de redesCarlos Veiga
 
Palestra - Segurança da informação: proteção ou transtorno?
Palestra - Segurança da informação: proteção ou transtorno?Palestra - Segurança da informação: proteção ou transtorno?
Palestra - Segurança da informação: proteção ou transtorno?Edkallenn Lima
 
Indyxa - E-book: Guia básico sobre segurança da informação
Indyxa - E-book: Guia básico sobre segurança da informaçãoIndyxa - E-book: Guia básico sobre segurança da informação
Indyxa - E-book: Guia básico sobre segurança da informaçãoIndyxa
 

Mais procurados (20)

IT2S Group
IT2S GroupIT2S Group
IT2S Group
 
Eleicao A Nata Dos Profissionais De Seguranca Da Informacao 2008
Eleicao A Nata Dos Profissionais De Seguranca Da Informacao 2008Eleicao A Nata Dos Profissionais De Seguranca Da Informacao 2008
Eleicao A Nata Dos Profissionais De Seguranca Da Informacao 2008
 
cEYE | Apresentação do Produto
cEYE | Apresentação do ProdutocEYE | Apresentação do Produto
cEYE | Apresentação do Produto
 
Segurança da Informação em BYOD
Segurança da Informação em BYODSegurança da Informação em BYOD
Segurança da Informação em BYOD
 
Symantec -Executive Report - edicao 1
Symantec -Executive Report - edicao 1Symantec -Executive Report - edicao 1
Symantec -Executive Report - edicao 1
 
CONARH Dados Colaboradores AEcheverria IBGC
CONARH Dados Colaboradores AEcheverria IBGCCONARH Dados Colaboradores AEcheverria IBGC
CONARH Dados Colaboradores AEcheverria IBGC
 
Seguranca da informacao - ISSA
Seguranca da informacao - ISSASeguranca da informacao - ISSA
Seguranca da informacao - ISSA
 
DARYUS BYOD – Como lidar com riscos estratégicos de dispositivos pessoais
DARYUS BYOD – Como lidar com riscos estratégicos de dispositivos pessoaisDARYUS BYOD – Como lidar com riscos estratégicos de dispositivos pessoais
DARYUS BYOD – Como lidar com riscos estratégicos de dispositivos pessoais
 
Unbroken Apresentação Institucional 2018
Unbroken Apresentação Institucional 2018Unbroken Apresentação Institucional 2018
Unbroken Apresentação Institucional 2018
 
Segurança da informação10 dezembro
Segurança da informação10 dezembroSegurança da informação10 dezembro
Segurança da informação10 dezembro
 
VI congresso fecomercio de crimes eletrônicos 04082014 - apresentação de af...
VI congresso fecomercio de crimes eletrônicos 04082014 - apresentação de af...VI congresso fecomercio de crimes eletrônicos 04082014 - apresentação de af...
VI congresso fecomercio de crimes eletrônicos 04082014 - apresentação de af...
 
Projeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoProjeto em Seguranca da Informação
Projeto em Seguranca da Informação
 
Hardware, software e “peopleware”_ dilemas da segurança da informação - Infor...
Hardware, software e “peopleware”_ dilemas da segurança da informação - Infor...Hardware, software e “peopleware”_ dilemas da segurança da informação - Infor...
Hardware, software e “peopleware”_ dilemas da segurança da informação - Infor...
 
Palestra - Segurança da Informação
Palestra - Segurança da InformaçãoPalestra - Segurança da Informação
Palestra - Segurança da Informação
 
Tendências do Byod nas Organizações - Apresentação
Tendências do Byod nas Organizações - ApresentaçãoTendências do Byod nas Organizações - Apresentação
Tendências do Byod nas Organizações - Apresentação
 
Apostila01 - segurança de redes
Apostila01 - segurança de redesApostila01 - segurança de redes
Apostila01 - segurança de redes
 
Palestra - Segurança da informação: proteção ou transtorno?
Palestra - Segurança da informação: proteção ou transtorno?Palestra - Segurança da informação: proteção ou transtorno?
Palestra - Segurança da informação: proteção ou transtorno?
 
Indyxa - E-book: Guia básico sobre segurança da informação
Indyxa - E-book: Guia básico sobre segurança da informaçãoIndyxa - E-book: Guia básico sobre segurança da informação
Indyxa - E-book: Guia básico sobre segurança da informação
 
Aula 1 - Introdução a Segurança da Informação
Aula 1 - Introdução a Segurança da InformaçãoAula 1 - Introdução a Segurança da Informação
Aula 1 - Introdução a Segurança da Informação
 
Segurança da Informação Corporativa
Segurança da Informação CorporativaSegurança da Informação Corporativa
Segurança da Informação Corporativa
 

Semelhante a Gestão de Serviços de TI e Segurança da Informação: Usando as práticas da ISO 27001:2013

Eleição "A Nata dos Profissionais de Segurança da Informação"
Eleição "A Nata dos Profissionais de Segurança da Informação"Eleição "A Nata dos Profissionais de Segurança da Informação"
Eleição "A Nata dos Profissionais de Segurança da Informação"Paulo Pagliusi, PhD, CISM
 
Protegendo as informações e a base de dados
Protegendo as informações e a base de dadosProtegendo as informações e a base de dados
Protegendo as informações e a base de dadosZipCode
 
CAPACITAÇÃO SGSI
CAPACITAÇÃO SGSICAPACITAÇÃO SGSI
CAPACITAÇÃO SGSIMenis_IKE
 
Impacto da Mobilidade nas Organizações
Impacto da Mobilidade nas OrganizaçõesImpacto da Mobilidade nas Organizações
Impacto da Mobilidade nas OrganizaçõesRômulo Andrade
 
GRM 2014 - Unbounded Security:Aonde foi parar meu perímetro corporativo e com...
GRM 2014 - Unbounded Security:Aonde foi parar meu perímetro corporativo e com...GRM 2014 - Unbounded Security:Aonde foi parar meu perímetro corporativo e com...
GRM 2014 - Unbounded Security:Aonde foi parar meu perímetro corporativo e com...Cláudio Dodt
 
Requisitos da continuidade (dos negócios) na segurança da informação
Requisitos da continuidade (dos negócios) na segurança da informaçãoRequisitos da continuidade (dos negócios) na segurança da informação
Requisitos da continuidade (dos negócios) na segurança da informaçãoSidney Modenesi, MBCI
 
Daryus 27001 2013_r1
Daryus 27001 2013_r1Daryus 27001 2013_r1
Daryus 27001 2013_r1hs1982
 
Amelotti Tecnologia e Sistemas - Apresentação institucional
Amelotti Tecnologia e Sistemas - Apresentação institucionalAmelotti Tecnologia e Sistemas - Apresentação institucional
Amelotti Tecnologia e Sistemas - Apresentação institucionalLuiz Amelotti
 
Gestão Da Informação
Gestão Da InformaçãoGestão Da Informação
Gestão Da InformaçãoFelipe Goulart
 
in Seguranca da Informação - Desafio para novos gestores
in Seguranca da Informação - Desafio para novos gestoresin Seguranca da Informação - Desafio para novos gestores
in Seguranca da Informação - Desafio para novos gestoresRodrigo Jorge
 
Palestra - Marcos Assi GRM 2011
Palestra - Marcos Assi GRM 2011Palestra - Marcos Assi GRM 2011
Palestra - Marcos Assi GRM 2011Marcos_assi
 
Modelo Tecnologia - Consultoria & Auditoria em Segurança da Informação
Modelo Tecnologia - Consultoria & Auditoria em Segurança da InformaçãoModelo Tecnologia - Consultoria & Auditoria em Segurança da Informação
Modelo Tecnologia - Consultoria & Auditoria em Segurança da InformaçãoEd Oliveira
 
Segurança, ética e privacidade da informação
Segurança, ética e privacidade da informaçãoSegurança, ética e privacidade da informação
Segurança, ética e privacidade da informaçãoDaiana de Ávila
 
[IN]Segurança em Hospitais
[IN]Segurança em Hospitais[IN]Segurança em Hospitais
[IN]Segurança em HospitaisArthur Paixão
 
Projeto i (ver. 1.1)
Projeto i (ver. 1.1)Projeto i (ver. 1.1)
Projeto i (ver. 1.1)Carla Dias
 

Semelhante a Gestão de Serviços de TI e Segurança da Informação: Usando as práticas da ISO 27001:2013 (20)

Auditoria de sistemas de informação
Auditoria de sistemas de informaçãoAuditoria de sistemas de informação
Auditoria de sistemas de informação
 
Eleição "A Nata dos Profissionais de Segurança da Informação"
Eleição "A Nata dos Profissionais de Segurança da Informação"Eleição "A Nata dos Profissionais de Segurança da Informação"
Eleição "A Nata dos Profissionais de Segurança da Informação"
 
Protegendo as informações e a base de dados
Protegendo as informações e a base de dadosProtegendo as informações e a base de dados
Protegendo as informações e a base de dados
 
CAPACITAÇÃO SGSI
CAPACITAÇÃO SGSICAPACITAÇÃO SGSI
CAPACITAÇÃO SGSI
 
Impacto da Mobilidade nas Organizações
Impacto da Mobilidade nas OrganizaçõesImpacto da Mobilidade nas Organizações
Impacto da Mobilidade nas Organizações
 
GRM 2014 - Unbounded Security:Aonde foi parar meu perímetro corporativo e com...
GRM 2014 - Unbounded Security:Aonde foi parar meu perímetro corporativo e com...GRM 2014 - Unbounded Security:Aonde foi parar meu perímetro corporativo e com...
GRM 2014 - Unbounded Security:Aonde foi parar meu perímetro corporativo e com...
 
Requisitos da continuidade (dos negócios) na segurança da informação
Requisitos da continuidade (dos negócios) na segurança da informaçãoRequisitos da continuidade (dos negócios) na segurança da informação
Requisitos da continuidade (dos negócios) na segurança da informação
 
Daryus 27001 2013_r1
Daryus 27001 2013_r1Daryus 27001 2013_r1
Daryus 27001 2013_r1
 
Amelotti Tecnologia e Sistemas - Apresentação institucional
Amelotti Tecnologia e Sistemas - Apresentação institucionalAmelotti Tecnologia e Sistemas - Apresentação institucional
Amelotti Tecnologia e Sistemas - Apresentação institucional
 
Gestão Da Informação
Gestão Da InformaçãoGestão Da Informação
Gestão Da Informação
 
Segurança da Informação e Governança em TI
Segurança da Informação e Governança em TISegurança da Informação e Governança em TI
Segurança da Informação e Governança em TI
 
in Seguranca da Informação - Desafio para novos gestores
in Seguranca da Informação - Desafio para novos gestoresin Seguranca da Informação - Desafio para novos gestores
in Seguranca da Informação - Desafio para novos gestores
 
Palestra - Marcos Assi GRM 2011
Palestra - Marcos Assi GRM 2011Palestra - Marcos Assi GRM 2011
Palestra - Marcos Assi GRM 2011
 
Modelo Tecnologia - Consultoria & Auditoria em Segurança da Informação
Modelo Tecnologia - Consultoria & Auditoria em Segurança da InformaçãoModelo Tecnologia - Consultoria & Auditoria em Segurança da Informação
Modelo Tecnologia - Consultoria & Auditoria em Segurança da Informação
 
Abin aula 01-1
Abin aula 01-1Abin aula 01-1
Abin aula 01-1
 
Segurança, ética e privacidade da informação
Segurança, ética e privacidade da informaçãoSegurança, ética e privacidade da informação
Segurança, ética e privacidade da informação
 
Conceitos TI
Conceitos TIConceitos TI
Conceitos TI
 
[IN]Segurança em Hospitais
[IN]Segurança em Hospitais[IN]Segurança em Hospitais
[IN]Segurança em Hospitais
 
Gestãorisco
GestãoriscoGestãorisco
Gestãorisco
 
Projeto i (ver. 1.1)
Projeto i (ver. 1.1)Projeto i (ver. 1.1)
Projeto i (ver. 1.1)
 

Gestão de Serviços de TI e Segurança da Informação: Usando as práticas da ISO 27001:2013

  • 1. Claudio Dodt, ISMAS, CISSP, CISA, CRISC, ISO 27001 Lead Auditor Business Continuity & Security Senior Consultant claudio.dodt@daryus.com.br www.daryus.com.br claudiododt.com www.twitter.com/daryusbr www.twitter.com/cdodt www.facebook.com/claudiododtcom Iluminando mentes, capacitando profissionais e protegendo negócios. Gestão de Serviços de TI e Segurança da Informação: Usando as práticas da ISO 27001:2013
  • 2. © Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Segurança da Informação: Como era? Segurança da Informação: Quebrando paradigmas
  • 3. © Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Segurança da Informação: Quebrando paradigmas Informação Perímetro Corporativo Informações dentro do perímetro
  • 4. © Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Segurança da Informação: Quebrando paradigmas Ameaças fora... AMEAÇAS
  • 5. © Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Segurança da Informação: Quebrando paradigmas Segurança da Informação: Cenário HOJE
  • 6. © Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Segurança da Informação: Quebrando paradigmas Você realmente sabe onde estão seus dados corporativos?
  • 7. © Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Segurança da Informação: Quebrando paradigmas Ameaças? Por todo lado! Vazamentos Fraude Sabotagem
  • 8. © Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Segurança da Informação: Comportamento e Consumerização Homem Vitruviano - Leonardo da Vinci - 1490
  • 9. © Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Segurança da Informação: Comportamento e Consumerização Wearables! Tecnologias Vestíveis! Estamos preparados?
  • 10. © Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 •Wireless do desfibrilador desativado. •Medo de ciberterroristas. Dick Cheney Segurança da Informação: Tecnologia e Comportamento – Tendencias
  • 11. © Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 •Wireless do desfibrilador desativado. •Medo de ciberterroristas. Dick Cheney Se considerarmos um ciclo de adoção parecido ao de smartphones e tablets... Aproximadamente 171 milhões de dispositivos devem estar nas mãos dos consumidores por volta de 2016. Segurança da Informação: Tecnologia e Comportamento – Tendencias
  • 12. © Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Segurança da Informação: Novos paradigmas O que mudou realmente?
  • 13. © Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Segurança da Informação: Novos paradigmas 54% das organizações reportaram aumento nas ameaças externas. Ernst & Young: “Global Information Security Survey 2013” 81% das grandes organizações sofreram falhas de segurança no último ano. Department for Business Innovation & Skills: “2014 Information Security Breaches Survey” Somente 33% das vitimas descobriram as falhas de segurança internamente. Mandiant: “2014 Threat Report: M-Trends - Beyond the Breach” 75% dos ataques exploraram vulnerabilidades conhecidas publicamente e solucionáveis com atualizações periódicas CyberEdgeGroup: “2014 CyberthreatDefense Report”
  • 14. © Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Segurança da Informação: Novos paradigmas http://dary.us/PNSIResult
  • 15. © Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Segurança da Informação: Novos paradigmas http://dary.us/PNSIResult Das instituições respondentes: •64% NÃO possui Gestão de Segurança •38% NÃO fazem Investimentos em Segurança •64% NÃO fazem Gestão de Incidentes •50% dos incidentes Não são tecnologia
  • 16. © Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Segurança da Informação: Caso Target •Segunda maior rede de varejo nos USA. •Teve uma falha de segurança crítica no final de 2013 •Origem: fornecedor de sistemas de climatização. •40M de cartões de crédito e outras 70M de informações privadas foram roubadas. •Prejuízo estimado: 61M •CEO demitido em Maio de 2014.
  • 17. © Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Segurança da Informação: Caso Target SEGURANÇA DA INFORMAÇÃO é gerenciada com base em LIDERANÇA ou CRISE... ...na ausência da LIDERANÇA, só nos resta a CRISE.
  • 18. © Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Segurança da Informação: Boas práticas Algumas coisas não mudaram!
  • 19. © Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Segurança da Informação: Visão Holística Segurança da Informação Políticas Essa é a visão da ISO 27001 Essa é a visão da ITIL
  • 20. © Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Segurança da Informação: Ainda somos míopes Confidencialidade Integridade Disponibilidade Segurança da Informação Pessoas Processos Tecnologia Tecnologia
  • 21. © Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Segurança da Informação: Ainda somos míopes Confidencialidade Integridade Disponibilidade Segurança da Informação Pessoas Processos Tecnologia Tecnologia O QUE ACONTECE COM A MELHOR TECNOLOGIA NAS MÃOS DE QUEM NÃO ESTÁ PREPARADO?
  • 22. © Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Segurança da Informação: Ainda somos míopes Confidencialidade Integridade Disponibilidade Segurança da Informação Pessoas Processos Tecnologia Tecnologia O QUE ACONTECE COM A MELHOR TECNOLOGIA NAS MÃOS DE QUEM NÃO ESTÁ PREPARADO?
  • 23. © Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Segurança da Informação: Ainda somos míopes Tecnologia Tecnologia é... ...a mera ponta... ...do iceberg.
  • 24. © Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Segurança da Informação: Ainda somos míopes Tecnologia Processos •Investimento inteligente •Padrões Testados •Visão Estratégica •Formalização •Seleção •Capacitação •Reciclagem •Conscientização Pessoas
  • 25. © Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Segurança da Informação: Gerenciando serviços de Segurança Na ITIL SERVIÇO é um meio de entregar VALOR aos CLIENTES A ISO 27001 apresenta Requisitos para um Sistema de Gestão de Segurança da Informação Qual a combinação de ambas? IT Service Management Processos
  • 26. © Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Segurança da Informação: Gerenciando serviços de Segurança Na ITIL SERVIÇO é um meio de entregar VALOR aos CLIENTES A ISO 27001 apresenta Requisitos para um Sistema de Gestão de Segurança da Informação Qual a combinação de ambas? IT Service Management Processos Entregar VALOR ao CLIENTE através da boa GESTÃO DE SERVIÇOS DE SEGURANÇA DA INFORMAÇÃO!
  • 27. © Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 IT Service Management Processos Como o serviço é construído! Segurança a Cereja do Bolo! Segurança da Informação: Gerenciando serviços de Segurança
  • 28. © Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 IT Service Management Processos Segurança a Cereja do Bolo! Segurança da Informação: Gerenciando serviços de Segurança •É preciso pensar em segurança desde a base! •Essa forma é mais barata e eficiente!
  • 29. © Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 IT Service Management Processos Entregar Valor ao Negócio Motivadores Objetivos Corporativos Objetivos de Segurança Segurança da Informação: Gerenciando serviços de Segurança
  • 30. © Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 IT Service Management Processos Entregar Valor ao Negócio Segurança da Informação: Gerenciando serviços de Segurança Segurança da Informação não é um objetivo em si... ...mas um meio para garantir que os objetivos do negócio sejam atingidos.
  • 31. © Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 IT Service Management Processos 1. Princípios, Políticas e Frameworks 2. Processos 3. Estruturas Organizacionais 4. Cultura, Ética, Comportamento 5. Informação 6. Serviços, Infraestrutura e Aplicações A 7. Pessoas, Habilidades e Competências a COMO FAZER? Segurança da Informação: Gerenciando serviços de Segurança
  • 32. © Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 IT Service Management Processos AbordagemHolística 1. Princípios, Políticas e Frameworks 2. Processos 3. Estruturas Organizacionais 4. Cultura, Ética, Comportamento 5. Informação 6. Serviços, Infraestrutura e Aplicações A 7. Pessoas, Habilidades e Competências a Segurança da Informação: Gerenciando serviços de Segurança
  • 33. © Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 IT Service Management Processos ITIL 27001:2013 Transição do Serviço Gerenciamento de Fornecedores A.15 - Relacionamento na Cadeia de Suprimento Gerenciamento de Disponibilidade A.17.2.1 - Disponibilidade dos recursos de info Gerenciamento de Capacidade A.12.1.3 - Gestão de capacidade Gerenciamento de Continuidade de Serv. de TI A.17 - Aspectos da SegInfo na Gestão da Cont Gerenciamento de Segurança da Informação Todo o Anexo A Anexo A Segurança da Informação: Gerenciando serviços de Segurança
  • 34. © Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 IT Service Management Processos ITIL 27001:2013 Desenho do Serviço Gerenciamento de Config. Ativos de Serviço A.8 - Gestão de Ativos Gerenciamento de Mudanças A.12.1.2 - Gestão de mudanças Gerenciamento de Liberação e Implantação A.14 - Aquisição, Desenv e Manut de Sistemas Validação e Teste de Serviço A.14.3 - Dados para teste Anexo A Segurança da Informação: Gerenciando serviços de Segurança
  • 35. © Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 IT Service Management Processos ITIL 27001:2013 Operação do Serviço Gerenciamento de Eventos A.12.4 - Registros e monitoramento Gerenciamento de Incidentes A.16 - Gestão de Incidentes de SegInfo Gerenciamento de Acesso A.9 - Controle de Acesso Anexo A Segurança da Informação: Gerenciando serviços de Segurança
  • 36. © Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 1.Identificação 2.Registro 3.Classificação 4.Priorização 5.Diagnostico inicial 6.Escalamento 7.Investigação e diagnóstico 8.Resolução e recuperação 9.Encerramento ! Gerenciamento de Incidentes ! Segurança da Informação: Gerenciando serviços de Segurança
  • 37. © Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Incidente de SI Identificador único; Categorização / Urgência / Impacto / Priorização; Data/Hora do registro do incidente; Contatos da pessoa/equipe que efetuou o registro; Método de notificação (e.g. telefone, email); Detalhes do usuário (e.g. nome, setor, telefone, local); Método de contato com o usuário (e.g. telefone, email); Descrição dos sintomas do incidente; Status do incidente; Ativos afetados / Problemas / Erros conhecidos relacionados ao incidente; Responsável pelo incidente (e.g. analista / equipe); Atividades executadas para solucionar o incidente; Data/Hora de solução; Categoria / Data/Hora do encerramento. Segurança da Informação: Gerenciando serviços de Segurança
  • 38. © Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Incidente de SI Incidentes de SI normalmente requerem algumas considerações adicionais: Implicações Legais / Crime Se o incidente foi cometido de forma deliberada por um agente interno ou externo a organização isso pode indicar um crime. Aspectos legais devem ser observados (e.g. cadeia de custódia de evidências) e é indicado que o departamento ou assessoria jurídica esteja envolvida. Ampla análise e estimativa de dados Um incidente de SI pode facilmente se propagar do ponto onde foi inicialmente identificado (e.g. um vírus ou um cracker). Normalmente na gestão de incidentes o objetivo é retomar o serviço o quanto antes. Para incidentes de segurança é necessário uma maior análise para identificar a totalidade do impacto e garantir a contenção da ameaça. Evitar danos desnecessários Um incidente de SI está muito mais propenso a causar dados adicionais (e.g. após a aplicação de uma solução ineficiente). Um cuidado maior é necessário visto que um atacante pode ter se antecipado a ações da equipe de segurança. Limitar divulgação de informações Incidentes de SI podem afetar a imagem ou reputação da organização. É necessário que todos os envolvidos trabalhem com base no princípio da necessidade de conhecer (need-to-know) controlando informações sobre a solução aplicada e possíveis modificações na infraestrutura de segurança. Segurança da Informação: Gerenciando serviços de Segurança
  • 39. © Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Serviços de Segurança de TI Desafios Falta de VISÃO ESTRATÉGICA Dificuldade no ALINHAMENTO COM O NEGÓCIO Traduzindo: CULTURA. Segurança da Informação: Gerenciando serviços de Segurança
  • 40. © Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Liderança Centralizada Escalabilidade e Agilidade Planejamento Abrangente Gestão de Riscos Serviços de Segurança de TI Segurança da Informação: Gerenciando serviços de Segurança
  • 41. © Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Liderança Centralizada Escalabilidade e Agilidade Planejamento Abrangente Gestão de Riscos VISÃO HOLÍSTICA. Serviços de Segurança de TI Segurança da Informação: Gerenciando serviços de Segurança
  • 42. © Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Claudio Dodt, ISMAS, CISSP, CISA Business Continuity & Security Senior Consultant claudio.dodt@daryus.com.br http://www.daryus.com.br http://claudiododt.com http://www.facebook.com/claudiododtcom http://br.linkein/claudiododt http://pt.slideshare.net/claudiododt