SlideShare uma empresa Scribd logo
1 de 62
Baixar para ler offline
Projeto em Segurança da
Informação
Adaptado de um case de diagnóstico em gestão de S.I.
por Fernando Palma e Marcelo Gaspar
www.portalgsti.com.br
Objetivos
Abordar os benefícios e objetivos da gestão da
Segurança da Informação na prática
Apresentar o planejamento do projeto de Segurança
da Informação
www.portalgsti.com.br
Agenda
Equipe do projeto
Segurança da Informação (S.I.) – overview
Incidentes comuns em Segurança da Informação
Segurança da Informação na Prática
O projeto da <<confidencial>>
Introdução
Escopo e Andamento
Agenda
Equipe do projeto
Segurança da Informação (S.I.) – overview
Incidentes comuns em Segurança da Informação
Segurança da Informação da Prática
O projeto da <<confidencial>>
Introdução
Escopo e Andamento
Agenda
Equipe do projeto
Segurança da Informação – overview
Incidentes comuns em Segurança da Informação
Segurança da Informação na Prática
O projeto da <<confidencial>>
Introdução
Escopo e Andamento
No mundo
Ataques
Incidentes em Segurança da Informação – no mundo
Vazamento de informações
www.estado.com.br
Vazamento de informações
Deixou vazar a informação..
www.computerworld.com.br
Perda / indisponibilidade da informação
No Brasil
Ataques
Incidentes em Segurança da Informação – no Brasil
Globo.com – Junho 2011
Ataques
Ataques
Malwares (software malicioso)
Incidentes em Segurança da Informação – no Brasil
Globo.com
Vazamento de Informações
www.estado.com.br
Vazamento de Informações
www.globo.com
Vazamento de Informações
Perda / indisponibilidade da informação
Perda / indisponibilidade da informação
Vazamento de Informações
Incidentes em Segurança da Informação – Saúde
Indisponibilidade da informação
Ataques
Ataques
www.idgnow.com.br
Agenda
Equipe do projeto
Segurança da Informação (S.I.) – overview
Incidentes comuns em Segurança da Informação
Segurança da Informação na Prática
O projeto da <<confidencial>>
Introdução
Escopo e Andamento
Segurança da Informação na prática
Segurança da Informação
É a proteção da informação contra
diversos tipos de ameaças
Obtida a partir de um conjunto de controles
O que é?
Como?
Qual o
objetivo?
Garantir a
Continuidade
ao Negócio
Minimizar o
risco ao
negócio
Maximizar
Retorno
sobre
investiment
os
Oportunida
des de
negócio
Pilares da Segurança da Informação
Segurança da Informação – Pilares da S.I.
Confidencialidade
Integridade
Disponibilidade
Somente pessoas autorizadas terão acesso às
informações.
As informações manipuladas devem manter
todas as características originais estabelecidas
pelo proprietário da informação.
A informação deve estar disponível, sempre
que necessário, quando requisitada por
pessoas autorizadas.
Ainda: Autenticidade e Não Repúdio
Segurança da Informação – Pilares da S.I.
Confidencialidade
Integridade
Disponibilidade
a) Informações de prontuários do paciente devem ser
visualizadas apenas pelo médico responsável.
b) Informações sobre as Reuniões Estratégicas são
limitadas aos participantes.
Exemplos
Nível de integridade das informações de: a)Relatórios
de glosa b) Informações do paciente
c) Indicação de OPME padronizada não padronizada
c) Medicamentos prescritos para pacientes UTI
Nível de disponibilidade de: a) Relatório financeiro no
fim do mês b) Prontuário do paciente c) Documentos
dos profissionais no RH (carteira de trabalho,
diploma) d) informações pessoais sobre visitantes. e)
informações do controle de estoque
Impacto de incidentes de segurança: exemplos
Segurança da Informação – casos reais incidentes de S.I.
Confidencialidade
Integridade
Disponibilidade
Impacto na falta de...
Da informação
“A direção do hospital divulgou uma nota neste sábado dizendo que o sumiço
das informações foi constatado na madrugada de quinta-feira, quando seria
feito um back-up dos dados dos servidores.”
“A decisão regional acrescentou que a enfermeira fez uso das cópias dos
prontuários nas duas ações, tanto na plúrima quanto na individual, ou seja,
violou segredo profissional em duas oportunidades, e que o fato de não ter
recebido punições disciplinares anteriores não impediria a aplicação da justa
causa.” http://www.tst.jus.br/
Confidencialidade
Integridade
Segurança da Informação –impactos gerais de incidentes de S.I.
Confidencialidade
Integridade
Disponibilidade
Impacto na...
Da informação
Processos Judiciais Perdas financeiras
Exposição Não conformidade
Perda de vida
humana
Perdas financeiras
Tomada de decisão
errada
Impacto na saúde do
paciente
Impacto na imagem
da empresa
Perda de vida
humana
Perdas financeiras
Tomada de decisão
errada
Não conformidade
Baixa performance ou até indisponibilidade
dos processos de negócio: atendimento,
internação, ambulatorial.
Do que devemos proteger?
Segurança da Informação - ameaças
Ameaças físicas
Incêndio
Enchentes
Acesso indevido de pessoas
Problemas elétricos
Ameaças Tecnológicas
Vírus
Bugs de Software
Indisponibilidade de rede
Ameaças Humanas
Sabotagem
Fraude
Negligência
“Um grande erro nas organizações é pressupor que pessoas sensatas
fazem coisas sensatas.” (Mintzberg, 2010)
Ameaças são mais comuns do que imaginamos...
Conclusão: adoção de controles como forma de
gerenciar os riscos
Segurança da Informação na prática
Segurança da Informação
É a proteção da informação contra
diversos tipos de ameaças
Obtida a partir de um conjunto de controles
O que é?
Como?
Qual o
objetivo?
Garantir a
Continuidade
ao Negócio
Minimizar o
risco ao
negócio
Maximizar
Retorno
sobre
investiment
os
Oportunida
des de
negócio
Segurança da Informação – controles
Controles
O que são?
Como?
Políticas
Procedimentos/
Normas
Processos
Estruturas
organizacionais
Práticas
Devem ser
ImplementadosEstabelecidos
Monitorados
Avaliados criticamente
Melhorados
Segurança da Informação - controles
Controles
Procedimentos/
Normas
Processos
Estruturas
organizacionais
Práticas
Políticas
Exemplos:
Política de mesa limpa
Política de acesso ao centro cirúrgico
Política de Licenciamento de Software
Uma política define um resultado esperado. São intenções e diretrizes
formalmente expressas pela direção
Segurança da Informação - controles
Controles
Procedimentos/
Normas
Processos
Estruturas
organizacionais
Práticas
Políticas
Normas estabelecem obrigações e procedimentos definidos de acordo com as
diretrizes da Política. O procedimento instrumentaliza o disposto nas normas.
Norma de controle de acesso a instituição: catraca,
identificação de visitantes
Procedimento de identificação de visitantes: cadastro de
nome, RG, departamento a visitar, etc.
Procedimentos para contabilidade e balanço
Segurança da Informação - controles
Controles
Procedimentos/
Normas
Processos
Estruturas
organizacionais
Práticas
Políticas
Processo de Gestão da Continuidade de Negócio.
Adaptações em processos. Ex: internação de pacientes
Processo de análise contínua de riscos de SI
Segurança da Informação - controles
Controles
Procedimentos/
Normas
Processos
Estruturas
organizacionais
Práticas
Políticas
Escritório de Segurança da Informação
Comitê de Segurança da Informação
Departamento de segurança coorporativa
Funções e papeis
Segurança da Informação - controles
Controles
Procedimentos/
Normas
Processos
Estruturas
organizacionais
Práticas
Políticas
Conscientização e capacitação em S.I. para todos profissionais
Documentação da política da Segurança da Informação (faz
parte do escopo deste projeto).
Ações cotidianas ou ocasionais
Agenda
Equipe do projeto
Segurança da Informação (S.I.) – overview
Incidentes comuns em Segurança da Informação
Segurança da Informação na Prática
O projeto da <<confidencial>>
Introdução
Escopo e Andamento
Escopo da norma ISO 27002
Introdução ao projeto - metodologia
Seção Alguns controles
1) Política de segurança da
informação
(...) “documento da política de segurança da informação”(...)
“Convém que a política de segurança da informação seja
analisada criticamente”
2) Organizando a S.I. (...) ” Convém que a direção apoie ativamente a segurança
da informação” (...) “Convém que sejam mantidos acordos
de confidencialidade” (...)
3) Gestão de Ativos (...)” Convém que a organização identifique todos os ativos
e documente a importância destes ativos.” (...)
4) Segurança em recursos
humanos
(...) ”Convém que exista um processo disciplinar para os
funcionários que tenham cometido uma violações.”
5) Segurança Física e do Ambiente (...)
6) Gerenciamento de operações (...)
7) Controle de Acesso (...)
8) Aquisição, desenvolvimento e
manutenção de sistemas
(...)
9) Gestão de Incidentes de SI (...)
10) Gestão de Continuidade (...)
11) Conformidade (...)
Introdução ao projeto - metodologia
Exemplos de controles aplicáveis
Controle de acessos:
• Implantação de catracas / identificação de colaboradores e
visitantes.
• Identificar autores de possíveis incidentes, assim como
mitigá-los
Segurança em Recursos Humanos:
• Na contratação: Solicitar antecedentes criminais para áreas
que necessitem. Solicitar comprovação por diploma para
cargos de nível superior
• Possíveis impactos: incidentes intencionais ou por
imprudência.
Agenda
Equipe do projeto
Segurança da Informação (S.I.) – overview
Incidentes comuns em Segurança da Informação
Segurança da Informação na Prática
O projeto da <<confidencial>>
Introdução
Escopo e Andamento
Escopo do Projeto
Diagnóstico e Plano de ação
em Segurança da Informação
Planejamento
do Projeto
Avaliação da
Situação atual
Elaboração do
Plano de Ação
Elaboração da
Política de
Segurança da
Informação
Já executado
A executar
Escopo do Projeto
Diagnóstico e Plano de ação
em Segurança da Informação
Planejamento
do Projeto
Avaliação da
Situação atual
Elaboração do
Plano de Ação
Elaboração da
Política de
Segurança da
Informação
Escopo do Projeto
Planejamento
Conduzir reuniões de planejamento
Estudo inicial da organização
Levantamento de histórico
Elaboração do plano global do
projeto
Visitas preliminares
Conduzir palestras iniciais
Responsável(eis): gestor do projeto com apoio do líder do comitê gestor do
projeto
Datas previstas: 29/07 a 09/08
Entrega prevista
Plano Global do Projeto
Escopo do trabalho
Cronograma
Riscos previstos
Detalhes sobre as entregas
Plano que está sendo apresentado
neste instante
Escopo do Projeto
Diagnóstico e Plano de ação
em Segurança da Informação
Planejamento
do Projeto
Avaliação da
Situação atual
Elaboração do
Plano de Ação
Elaboração da
Política de
Segurança da
Informação
Processo de Análise da Situação atual
1) Análise
preliminar
2) Entrevistas
3) Visitas
técnicas
4) Análise de
dados e
elaboração
de relatórios
Fase de Planejamento
Fase de Diagnóstico
Plano de Ação
Escopo do Projeto
Política de Segurança
da Informação
Processo de Análise da Situação atual
Escopo do projeto – análise preliminar e entrevistas
1) Análise
preliminar
Fase de Planejamento
Visita inicial
Responsável(eis): consultor <<confidencial>> gestor do projeto e consultor em
segurança com o apoio do líder do comitê gestor (cliente)
Datas previstas:
Fase de diagnóstico
2) Entrevistas
Entrevistas
com
coordenadores
Detecção de
riscos de SI
Fase de diagnóstico
3) Visitas
técnicas
Escopo do projeto – Visitas técnicas
Colher de evidencias
necessárias para
diagnósticos realizados
Obter informações que
contribuam com a análise
de impacto para
controles não
identificados;
Análise dos riscos de SI
Responsável(eis): consultor <<confidencial>> de S.I. com o apoio do líder do
comitê gestor (cliente)
Datas previstas:
Fase de diagnóstico
4) Análise de
dados e
elaboração
de relatórios
Escopo do projeto – Relatórios de diagnóstico
Entrega prevista
Relatório de Análise da Situação Atual
Controles avaliados;
Ameaças e consequentes riscos
Avaliação dos processos relacionados
recurso humanos e responsabilidades
Lista, classificação e prioridade dos riscos
Recomendações.
Data prevista:
Apresentação
prevista:
Escopo do Projeto
Diagnóstico e Plano de ação
em Segurança da Informação
Planejamento
do Projeto
Avaliação da
Situação atual
Elaboração do
Plano de Ação
Elaboração da
Política de
Segurança da
Informação
Entrega prevista
Política de Segurança
Objetivos, aplicações,
princípios
Responsabilidades
Gestão de recursos
Humanos, Segurança
Física, gerenciamento
de operações, controle
de acesso, gestão de
incidentes,
conformidade, entre
outros itens.
Escopo do projeto – Plano de Ação
Entrega prevista
Plano de Ação
Lista e detalhamento das
recomendações
Categorização das
recomendações
Recomendações a curto,
médio e longo prazo
Responsabilidades,
esforços, instrumentos
Estrutura e ambiente
previstos
Data prevista:
Provisão apresentação:
Elaboração
do Plano de
Ação
Elaboração
da Política
de S.I.
Data prevista:
Previsão apresentação:
Agenda
Equipe do projeto
Segurança da Informação (S.I.) – overview
Incidentes comuns em Segurança da Informação
Segurança da Informação na Prática
O projeto
Introdução
Escopo e Andamento
Fim

Mais conteúdo relacionado

Mais procurados

Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoSamantha Nunes
 
Gestão do Conhecimento
Gestão do ConhecimentoGestão do Conhecimento
Gestão do ConhecimentoHudson Augusto
 
Sistema de informação gerencial
Sistema de informação gerencialSistema de informação gerencial
Sistema de informação gerencialDenilson Sousa
 
Segurança da Informação - Aula 9 - Introdução a Auditoria de Sistemas
Segurança da Informação - Aula 9 - Introdução a Auditoria de SistemasSegurança da Informação - Aula 9 - Introdução a Auditoria de Sistemas
Segurança da Informação - Aula 9 - Introdução a Auditoria de SistemasCleber Fonseca
 
Comportamento Organizacional
Comportamento OrganizacionalComportamento Organizacional
Comportamento OrganizacionalRui Loureiro
 
Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002Cleber Fonseca
 
Lei Geral de Proteção de Dados (LGPD)
Lei Geral de Proteção de Dados (LGPD) Lei Geral de Proteção de Dados (LGPD)
Lei Geral de Proteção de Dados (LGPD) Ed Oliveira
 
Treinamento Compliance e Ética
Treinamento Compliance e ÉticaTreinamento Compliance e Ética
Treinamento Compliance e ÉticaSérgio Martins
 
O que é Business Intelligence (BI)
O que é Business Intelligence (BI)O que é Business Intelligence (BI)
O que é Business Intelligence (BI)Marco Garcia
 
Aula - Sistemas de Informação Gerencial
Aula - Sistemas de Informação GerencialAula - Sistemas de Informação Gerencial
Aula - Sistemas de Informação GerencialAnderson Simão
 
MASP - Metodologia para Análise e Solução de Problemas
MASP - Metodologia para Análise e Solução de ProblemasMASP - Metodologia para Análise e Solução de Problemas
MASP - Metodologia para Análise e Solução de Problemaseugeniorocha
 
Elaboração de Planejamento Estratégico e Ferramentas de Implementação
Elaboração de Planejamento Estratégico e Ferramentas de ImplementaçãoElaboração de Planejamento Estratégico e Ferramentas de Implementação
Elaboração de Planejamento Estratégico e Ferramentas de ImplementaçãoMichel Freller
 
Mapeamento e Modelagem de Processos de Negócio com BPMN
Mapeamento e Modelagem de Processos de Negócio com BPMNMapeamento e Modelagem de Processos de Negócio com BPMN
Mapeamento e Modelagem de Processos de Negócio com BPMNRildo (@rildosan) Santos
 
03+aula+rh+treinamento+e+desenvolvimento+pessoal
03+aula+rh+treinamento+e+desenvolvimento+pessoal03+aula+rh+treinamento+e+desenvolvimento+pessoal
03+aula+rh+treinamento+e+desenvolvimento+pessoalTaluana Maron
 
Certificacao iso 27001
Certificacao iso 27001Certificacao iso 27001
Certificacao iso 27001Andre Verdugal
 

Mais procurados (20)

Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
 
Gestão do Conhecimento
Gestão do ConhecimentoGestão do Conhecimento
Gestão do Conhecimento
 
Gerenciamento dos Riscos em Projetos
Gerenciamento dos Riscos em ProjetosGerenciamento dos Riscos em Projetos
Gerenciamento dos Riscos em Projetos
 
ITIL 4
ITIL 4ITIL 4
ITIL 4
 
Sistema de informação gerencial
Sistema de informação gerencialSistema de informação gerencial
Sistema de informação gerencial
 
Segurança da Informação - Aula 9 - Introdução a Auditoria de Sistemas
Segurança da Informação - Aula 9 - Introdução a Auditoria de SistemasSegurança da Informação - Aula 9 - Introdução a Auditoria de Sistemas
Segurança da Informação - Aula 9 - Introdução a Auditoria de Sistemas
 
Comportamento Organizacional
Comportamento OrganizacionalComportamento Organizacional
Comportamento Organizacional
 
Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002
 
Lei Geral de Proteção de Dados (LGPD)
Lei Geral de Proteção de Dados (LGPD) Lei Geral de Proteção de Dados (LGPD)
Lei Geral de Proteção de Dados (LGPD)
 
Logística 4.0: oportunidades e desafios
Logística 4.0: oportunidades e desafiosLogística 4.0: oportunidades e desafios
Logística 4.0: oportunidades e desafios
 
Treinamento Compliance e Ética
Treinamento Compliance e ÉticaTreinamento Compliance e Ética
Treinamento Compliance e Ética
 
O que é Business Intelligence (BI)
O que é Business Intelligence (BI)O que é Business Intelligence (BI)
O que é Business Intelligence (BI)
 
Aula - Sistemas de Informação Gerencial
Aula - Sistemas de Informação GerencialAula - Sistemas de Informação Gerencial
Aula - Sistemas de Informação Gerencial
 
Planejamento Estratégico: Conceitos, Ferramentas e Aplicações
Planejamento Estratégico: Conceitos, Ferramentas e AplicaçõesPlanejamento Estratégico: Conceitos, Ferramentas e Aplicações
Planejamento Estratégico: Conceitos, Ferramentas e Aplicações
 
MASP - Metodologia para Análise e Solução de Problemas
MASP - Metodologia para Análise e Solução de ProblemasMASP - Metodologia para Análise e Solução de Problemas
MASP - Metodologia para Análise e Solução de Problemas
 
Elaboração de Planejamento Estratégico e Ferramentas de Implementação
Elaboração de Planejamento Estratégico e Ferramentas de ImplementaçãoElaboração de Planejamento Estratégico e Ferramentas de Implementação
Elaboração de Planejamento Estratégico e Ferramentas de Implementação
 
Mapeamento e Modelagem de Processos de Negócio com BPMN
Mapeamento e Modelagem de Processos de Negócio com BPMNMapeamento e Modelagem de Processos de Negócio com BPMN
Mapeamento e Modelagem de Processos de Negócio com BPMN
 
03+aula+rh+treinamento+e+desenvolvimento+pessoal
03+aula+rh+treinamento+e+desenvolvimento+pessoal03+aula+rh+treinamento+e+desenvolvimento+pessoal
03+aula+rh+treinamento+e+desenvolvimento+pessoal
 
CHA - Conhecimento, Habilidade e Atitude.
CHA - Conhecimento, Habilidade e Atitude.CHA - Conhecimento, Habilidade e Atitude.
CHA - Conhecimento, Habilidade e Atitude.
 
Certificacao iso 27001
Certificacao iso 27001Certificacao iso 27001
Certificacao iso 27001
 

Destaque

Exemplo de política de segurança
Exemplo de política de segurançaExemplo de política de segurança
Exemplo de política de segurançaFernando Palma
 
Guia de boas práticas em gestão da segurança da informação
Guia de boas práticas em gestão da segurança da informaçãoGuia de boas práticas em gestão da segurança da informação
Guia de boas práticas em gestão da segurança da informaçãoFernando Palma
 
Politica De Seguranca
Politica De SegurancaPolitica De Seguranca
Politica De SegurancaRaul Libório
 
Fundamentos de Segurança da Informação
Fundamentos de Segurança da InformaçãoFundamentos de Segurança da Informação
Fundamentos de Segurança da InformaçãoIlan Chamovitz
 
Segurança da Informação Aplicada
Segurança da Informação AplicadaSegurança da Informação Aplicada
Segurança da Informação AplicadaEduardo Neves
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da InformaçãoMarco Mendes
 
Ebook Gestão de segurança da informação e comunicações
Ebook Gestão de segurança da informação e comunicaçõesEbook Gestão de segurança da informação e comunicações
Ebook Gestão de segurança da informação e comunicaçõesFernando Palma
 
Seguranca da Informação - Conceitos
Seguranca da Informação - ConceitosSeguranca da Informação - Conceitos
Seguranca da Informação - ConceitosLuiz Arthur
 
ÉTICA E SEGURANÇA NA INTERNET
ÉTICA E SEGURANÇA NA INTERNETÉTICA E SEGURANÇA NA INTERNET
ÉTICA E SEGURANÇA NA INTERNETAndrea Bruzaca
 
Política de Segurança
Política de SegurançaPolítica de Segurança
Política de Segurançatrindade7
 
Segurança da informação - Aula 01
Segurança da informação  - Aula 01Segurança da informação  - Aula 01
Segurança da informação - Aula 01profandreson
 
A História da Segurança da Informação
A História da Segurança da InformaçãoA História da Segurança da Informação
A História da Segurança da InformaçãoAndré Santos
 

Destaque (20)

Exemplo de política de segurança
Exemplo de política de segurançaExemplo de política de segurança
Exemplo de política de segurança
 
Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)
 
Guia de boas práticas em gestão da segurança da informação
Guia de boas práticas em gestão da segurança da informaçãoGuia de boas práticas em gestão da segurança da informação
Guia de boas práticas em gestão da segurança da informação
 
Aula 1 - Introdução a Segurança da Informação
Aula 1 - Introdução a Segurança da InformaçãoAula 1 - Introdução a Segurança da Informação
Aula 1 - Introdução a Segurança da Informação
 
Politica De Seguranca
Politica De SegurancaPolitica De Seguranca
Politica De Seguranca
 
Fundamentos de Segurança da Informação
Fundamentos de Segurança da InformaçãoFundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
 
Segurança da Informação Aplicada a Negócios
Segurança da Informação Aplicada a NegóciosSegurança da Informação Aplicada a Negócios
Segurança da Informação Aplicada a Negócios
 
Segurança da Informação Aplicada
Segurança da Informação AplicadaSegurança da Informação Aplicada
Segurança da Informação Aplicada
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da Informação
 
Ebook Gestão de segurança da informação e comunicações
Ebook Gestão de segurança da informação e comunicaçõesEbook Gestão de segurança da informação e comunicações
Ebook Gestão de segurança da informação e comunicações
 
Palestra - Segurança da Informação
Palestra - Segurança da InformaçãoPalestra - Segurança da Informação
Palestra - Segurança da Informação
 
Seguranca da Informação - Conceitos
Seguranca da Informação - ConceitosSeguranca da Informação - Conceitos
Seguranca da Informação - Conceitos
 
Invasão e Segurança
Invasão e SegurançaInvasão e Segurança
Invasão e Segurança
 
Seminario seguranca da informacao
Seminario seguranca da informacaoSeminario seguranca da informacao
Seminario seguranca da informacao
 
ÉTICA E SEGURANÇA NA INTERNET
ÉTICA E SEGURANÇA NA INTERNETÉTICA E SEGURANÇA NA INTERNET
ÉTICA E SEGURANÇA NA INTERNET
 
Aula 2 - Gestão de Riscos
Aula 2 - Gestão de RiscosAula 2 - Gestão de Riscos
Aula 2 - Gestão de Riscos
 
Política de Segurança
Política de SegurançaPolítica de Segurança
Política de Segurança
 
Segurança da informação - Aula 01
Segurança da informação  - Aula 01Segurança da informação  - Aula 01
Segurança da informação - Aula 01
 
Aula 4 - Plano de Continuidade de Negócios (PCN)
Aula 4 - Plano de Continuidade de Negócios (PCN)Aula 4 - Plano de Continuidade de Negócios (PCN)
Aula 4 - Plano de Continuidade de Negócios (PCN)
 
A História da Segurança da Informação
A História da Segurança da InformaçãoA História da Segurança da Informação
A História da Segurança da Informação
 

Semelhante a Projeto SI Gestão Riscos

Segurança da Informação com Windows Server
Segurança da Informação com Windows ServerSegurança da Informação com Windows Server
Segurança da Informação com Windows ServerGuilherme Lima
 
Gestao da politica de segurança e operação da informacao
Gestao da politica de segurança e operação da informacaoGestao da politica de segurança e operação da informacao
Gestao da politica de segurança e operação da informacaoRui Gomes
 
Segurança da informação (2)
Segurança da informação (2)Segurança da informação (2)
Segurança da informação (2)israellfelipe
 
Aula 101217070257-phpapp02
Aula 101217070257-phpapp02Aula 101217070257-phpapp02
Aula 101217070257-phpapp02asbgrodrigo
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da InformaçãoFabrício Basto
 
Plano estratégico de segurança da informação
Plano estratégico de segurança da informação Plano estratégico de segurança da informação
Plano estratégico de segurança da informação Módulo Security Solutions
 
Controles de segurança da informação
Controles de segurança da informaçãoControles de segurança da informação
Controles de segurança da informaçãoThiago Branquinho
 
A INTELIGÊNCIA CIBERNÉTICA COMO FATOR DECISIVO NA GESTÃO DE RISCOS DE SEGURAN...
A INTELIGÊNCIA CIBERNÉTICA COMO FATOR DECISIVO NA GESTÃO DE RISCOS DE SEGURAN...A INTELIGÊNCIA CIBERNÉTICA COMO FATOR DECISIVO NA GESTÃO DE RISCOS DE SEGURAN...
A INTELIGÊNCIA CIBERNÉTICA COMO FATOR DECISIVO NA GESTÃO DE RISCOS DE SEGURAN...Luiz Henrique F. Cardoso
 
ISO 27001 -3
ISO 27001 -3 ISO 27001 -3
ISO 27001 -3 jcfarit
 
Tcc vulnerabilidade humana – recomendação para conscientização do aspecto hu...
Tcc  vulnerabilidade humana – recomendação para conscientização do aspecto hu...Tcc  vulnerabilidade humana – recomendação para conscientização do aspecto hu...
Tcc vulnerabilidade humana – recomendação para conscientização do aspecto hu...Eduardo da Silva
 
Tcc vulnerabilidade humana – recomendação para conscientização do aspecto hu...
Tcc  vulnerabilidade humana – recomendação para conscientização do aspecto hu...Tcc  vulnerabilidade humana – recomendação para conscientização do aspecto hu...
Tcc vulnerabilidade humana – recomendação para conscientização do aspecto hu...Eduardo da Silva
 
Política e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticosPolítica e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticosBruno Oliveira
 
Information Security Training Based on ISO27001
Information Security Training Based on ISO27001Information Security Training Based on ISO27001
Information Security Training Based on ISO27001Jairo Willian Pereira
 

Semelhante a Projeto SI Gestão Riscos (20)

Segurança da Informação com Windows Server
Segurança da Informação com Windows ServerSegurança da Informação com Windows Server
Segurança da Informação com Windows Server
 
Gestao da politica de segurança e operação da informacao
Gestao da politica de segurança e operação da informacaoGestao da politica de segurança e operação da informacao
Gestao da politica de segurança e operação da informacao
 
Segurança da Informação Corporativa
Segurança da Informação CorporativaSegurança da Informação Corporativa
Segurança da Informação Corporativa
 
Segurança da informação (2)
Segurança da informação (2)Segurança da informação (2)
Segurança da informação (2)
 
Gestãorisco
GestãoriscoGestãorisco
Gestãorisco
 
Aula 101217070257-phpapp02
Aula 101217070257-phpapp02Aula 101217070257-phpapp02
Aula 101217070257-phpapp02
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da Informação
 
Auditoria de sistemas de informação
Auditoria de sistemas de informaçãoAuditoria de sistemas de informação
Auditoria de sistemas de informação
 
Plano estratégico de segurança da informação
Plano estratégico de segurança da informação Plano estratégico de segurança da informação
Plano estratégico de segurança da informação
 
Controles de segurança da informação
Controles de segurança da informaçãoControles de segurança da informação
Controles de segurança da informação
 
A INTELIGÊNCIA CIBERNÉTICA COMO FATOR DECISIVO NA GESTÃO DE RISCOS DE SEGURAN...
A INTELIGÊNCIA CIBERNÉTICA COMO FATOR DECISIVO NA GESTÃO DE RISCOS DE SEGURAN...A INTELIGÊNCIA CIBERNÉTICA COMO FATOR DECISIVO NA GESTÃO DE RISCOS DE SEGURAN...
A INTELIGÊNCIA CIBERNÉTICA COMO FATOR DECISIVO NA GESTÃO DE RISCOS DE SEGURAN...
 
Apresentacao clsi 2 (para enviar)
Apresentacao clsi 2 (para enviar)Apresentacao clsi 2 (para enviar)
Apresentacao clsi 2 (para enviar)
 
Segurança da Informação e Governança em TI
Segurança da Informação e Governança em TISegurança da Informação e Governança em TI
Segurança da Informação e Governança em TI
 
ISO 27001 -3
ISO 27001 -3 ISO 27001 -3
ISO 27001 -3
 
Tcc vulnerabilidade humana – recomendação para conscientização do aspecto hu...
Tcc  vulnerabilidade humana – recomendação para conscientização do aspecto hu...Tcc  vulnerabilidade humana – recomendação para conscientização do aspecto hu...
Tcc vulnerabilidade humana – recomendação para conscientização do aspecto hu...
 
Tcc vulnerabilidade humana – recomendação para conscientização do aspecto hu...
Tcc  vulnerabilidade humana – recomendação para conscientização do aspecto hu...Tcc  vulnerabilidade humana – recomendação para conscientização do aspecto hu...
Tcc vulnerabilidade humana – recomendação para conscientização do aspecto hu...
 
Monografia Heraldo
Monografia HeraldoMonografia Heraldo
Monografia Heraldo
 
Política e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticosPolítica e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticos
 
Information Security Training Based on ISO27001
Information Security Training Based on ISO27001Information Security Training Based on ISO27001
Information Security Training Based on ISO27001
 
Boas Praticas da Seg.Infor..pdf
Boas Praticas da Seg.Infor..pdfBoas Praticas da Seg.Infor..pdf
Boas Praticas da Seg.Infor..pdf
 

Mais de Fernando Palma

CRM Gerenciamento Do Relacionamento Com Clientes | Prof. Francisco Alves | C...
CRM Gerenciamento Do Relacionamento Com Clientes | Prof. Francisco Alves |  C...CRM Gerenciamento Do Relacionamento Com Clientes | Prof. Francisco Alves |  C...
CRM Gerenciamento Do Relacionamento Com Clientes | Prof. Francisco Alves | C...Fernando Palma
 
Formação em ciência de dados
Formação em ciência de dadosFormação em ciência de dados
Formação em ciência de dadosFernando Palma
 
Apostila de Introdução ao Arduino
Apostila de Introdução ao ArduinoApostila de Introdução ao Arduino
Apostila de Introdução ao ArduinoFernando Palma
 
Apostila Arduino Basico
Apostila Arduino BasicoApostila Arduino Basico
Apostila Arduino BasicoFernando Palma
 
Cartilha Segurança na Internet - CERT.br
Cartilha Segurança na Internet - CERT.brCartilha Segurança na Internet - CERT.br
Cartilha Segurança na Internet - CERT.brFernando Palma
 
Ebook Apache Server: Guia Introdutório
Ebook Apache Server: Guia IntrodutórioEbook Apache Server: Guia Introdutório
Ebook Apache Server: Guia IntrodutórioFernando Palma
 
Apostila Zend Framework
Apostila Zend FrameworkApostila Zend Framework
Apostila Zend FrameworkFernando Palma
 
Ebook Governança de TI na Prática
Ebook Governança de TI na PráticaEbook Governança de TI na Prática
Ebook Governança de TI na PráticaFernando Palma
 
Simulado ITIL Foundation - Questões Comentadas
Simulado ITIL Foundation - Questões ComentadasSimulado ITIL Foundation - Questões Comentadas
Simulado ITIL Foundation - Questões ComentadasFernando Palma
 
Introdução à Aprendizagem de Máquina
Introdução à Aprendizagem de MáquinaIntrodução à Aprendizagem de Máquina
Introdução à Aprendizagem de MáquinaFernando Palma
 
PDTI - Plano Diretor de Tecnologia da Informação (modelo)
PDTI - Plano Diretor de Tecnologia da Informação (modelo)PDTI - Plano Diretor de Tecnologia da Informação (modelo)
PDTI - Plano Diretor de Tecnologia da Informação (modelo)Fernando Palma
 
Guia Salarial 2017 Robert Half Brasil
Guia Salarial 2017 Robert Half BrasilGuia Salarial 2017 Robert Half Brasil
Guia Salarial 2017 Robert Half BrasilFernando Palma
 
Gerenciamento na nuvem e System Center
Gerenciamento na nuvem e System CenterGerenciamento na nuvem e System Center
Gerenciamento na nuvem e System CenterFernando Palma
 
SAN: Storage Area Network
SAN: Storage Area NetworkSAN: Storage Area Network
SAN: Storage Area NetworkFernando Palma
 
Ebook ITIL Na Prática
Ebook ITIL Na PráticaEbook ITIL Na Prática
Ebook ITIL Na PráticaFernando Palma
 
Exemplo de Plano Estratégico de TI - MEC
Exemplo de Plano Estratégico de TI - MECExemplo de Plano Estratégico de TI - MEC
Exemplo de Plano Estratégico de TI - MECFernando Palma
 
Apostila Tutorial CakePHP
Apostila Tutorial CakePHPApostila Tutorial CakePHP
Apostila Tutorial CakePHPFernando Palma
 

Mais de Fernando Palma (20)

CRM Gerenciamento Do Relacionamento Com Clientes | Prof. Francisco Alves | C...
CRM Gerenciamento Do Relacionamento Com Clientes | Prof. Francisco Alves |  C...CRM Gerenciamento Do Relacionamento Com Clientes | Prof. Francisco Alves |  C...
CRM Gerenciamento Do Relacionamento Com Clientes | Prof. Francisco Alves | C...
 
Formação em ciência de dados
Formação em ciência de dadosFormação em ciência de dados
Formação em ciência de dados
 
Apostila de Introdução ao Arduino
Apostila de Introdução ao ArduinoApostila de Introdução ao Arduino
Apostila de Introdução ao Arduino
 
Apostila Arduino Basico
Apostila Arduino BasicoApostila Arduino Basico
Apostila Arduino Basico
 
Cartilha Segurança na Internet - CERT.br
Cartilha Segurança na Internet - CERT.brCartilha Segurança na Internet - CERT.br
Cartilha Segurança na Internet - CERT.br
 
Ebook Apache Server: Guia Introdutório
Ebook Apache Server: Guia IntrodutórioEbook Apache Server: Guia Introdutório
Ebook Apache Server: Guia Introdutório
 
Apostila Zend Framework
Apostila Zend FrameworkApostila Zend Framework
Apostila Zend Framework
 
Hacker Ético
Hacker ÉticoHacker Ético
Hacker Ético
 
Ebook Governança de TI na Prática
Ebook Governança de TI na PráticaEbook Governança de TI na Prática
Ebook Governança de TI na Prática
 
Simulado ITIL Foundation - Questões Comentadas
Simulado ITIL Foundation - Questões ComentadasSimulado ITIL Foundation - Questões Comentadas
Simulado ITIL Foundation - Questões Comentadas
 
Introdução à Aprendizagem de Máquina
Introdução à Aprendizagem de MáquinaIntrodução à Aprendizagem de Máquina
Introdução à Aprendizagem de Máquina
 
PDTI - Plano Diretor de Tecnologia da Informação (modelo)
PDTI - Plano Diretor de Tecnologia da Informação (modelo)PDTI - Plano Diretor de Tecnologia da Informação (modelo)
PDTI - Plano Diretor de Tecnologia da Informação (modelo)
 
Guia Salarial 2017 Robert Half Brasil
Guia Salarial 2017 Robert Half BrasilGuia Salarial 2017 Robert Half Brasil
Guia Salarial 2017 Robert Half Brasil
 
Tutorial memcached
Tutorial memcachedTutorial memcached
Tutorial memcached
 
Gerenciamento na nuvem e System Center
Gerenciamento na nuvem e System CenterGerenciamento na nuvem e System Center
Gerenciamento na nuvem e System Center
 
SAN: Storage Area Network
SAN: Storage Area NetworkSAN: Storage Area Network
SAN: Storage Area Network
 
Linguagem ABAP
Linguagem ABAPLinguagem ABAP
Linguagem ABAP
 
Ebook ITIL Na Prática
Ebook ITIL Na PráticaEbook ITIL Na Prática
Ebook ITIL Na Prática
 
Exemplo de Plano Estratégico de TI - MEC
Exemplo de Plano Estratégico de TI - MECExemplo de Plano Estratégico de TI - MEC
Exemplo de Plano Estratégico de TI - MEC
 
Apostila Tutorial CakePHP
Apostila Tutorial CakePHPApostila Tutorial CakePHP
Apostila Tutorial CakePHP
 

Projeto SI Gestão Riscos

  • 1. Projeto em Segurança da Informação Adaptado de um case de diagnóstico em gestão de S.I. por Fernando Palma e Marcelo Gaspar www.portalgsti.com.br
  • 2. Objetivos Abordar os benefícios e objetivos da gestão da Segurança da Informação na prática Apresentar o planejamento do projeto de Segurança da Informação www.portalgsti.com.br
  • 3. Agenda Equipe do projeto Segurança da Informação (S.I.) – overview Incidentes comuns em Segurança da Informação Segurança da Informação na Prática O projeto da <<confidencial>> Introdução Escopo e Andamento
  • 4. Agenda Equipe do projeto Segurança da Informação (S.I.) – overview Incidentes comuns em Segurança da Informação Segurança da Informação da Prática O projeto da <<confidencial>> Introdução Escopo e Andamento
  • 5. Agenda Equipe do projeto Segurança da Informação – overview Incidentes comuns em Segurança da Informação Segurança da Informação na Prática O projeto da <<confidencial>> Introdução Escopo e Andamento
  • 7. Ataques Incidentes em Segurança da Informação – no mundo
  • 9. Vazamento de informações Deixou vazar a informação..
  • 12. Ataques Incidentes em Segurança da Informação – no Brasil Globo.com – Junho 2011
  • 15. Malwares (software malicioso) Incidentes em Segurança da Informação – no Brasil Globo.com
  • 19. Perda / indisponibilidade da informação
  • 20. Perda / indisponibilidade da informação
  • 21. Vazamento de Informações Incidentes em Segurança da Informação – Saúde
  • 25. Agenda Equipe do projeto Segurança da Informação (S.I.) – overview Incidentes comuns em Segurança da Informação Segurança da Informação na Prática O projeto da <<confidencial>> Introdução Escopo e Andamento
  • 26. Segurança da Informação na prática Segurança da Informação É a proteção da informação contra diversos tipos de ameaças Obtida a partir de um conjunto de controles O que é? Como? Qual o objetivo? Garantir a Continuidade ao Negócio Minimizar o risco ao negócio Maximizar Retorno sobre investiment os Oportunida des de negócio
  • 27. Pilares da Segurança da Informação
  • 28. Segurança da Informação – Pilares da S.I. Confidencialidade Integridade Disponibilidade Somente pessoas autorizadas terão acesso às informações. As informações manipuladas devem manter todas as características originais estabelecidas pelo proprietário da informação. A informação deve estar disponível, sempre que necessário, quando requisitada por pessoas autorizadas. Ainda: Autenticidade e Não Repúdio
  • 29. Segurança da Informação – Pilares da S.I. Confidencialidade Integridade Disponibilidade a) Informações de prontuários do paciente devem ser visualizadas apenas pelo médico responsável. b) Informações sobre as Reuniões Estratégicas são limitadas aos participantes. Exemplos Nível de integridade das informações de: a)Relatórios de glosa b) Informações do paciente c) Indicação de OPME padronizada não padronizada c) Medicamentos prescritos para pacientes UTI Nível de disponibilidade de: a) Relatório financeiro no fim do mês b) Prontuário do paciente c) Documentos dos profissionais no RH (carteira de trabalho, diploma) d) informações pessoais sobre visitantes. e) informações do controle de estoque
  • 30. Impacto de incidentes de segurança: exemplos
  • 31. Segurança da Informação – casos reais incidentes de S.I. Confidencialidade Integridade Disponibilidade Impacto na falta de... Da informação “A direção do hospital divulgou uma nota neste sábado dizendo que o sumiço das informações foi constatado na madrugada de quinta-feira, quando seria feito um back-up dos dados dos servidores.”
  • 32. “A decisão regional acrescentou que a enfermeira fez uso das cópias dos prontuários nas duas ações, tanto na plúrima quanto na individual, ou seja, violou segredo profissional em duas oportunidades, e que o fato de não ter recebido punições disciplinares anteriores não impediria a aplicação da justa causa.” http://www.tst.jus.br/ Confidencialidade
  • 34. Segurança da Informação –impactos gerais de incidentes de S.I. Confidencialidade Integridade Disponibilidade Impacto na... Da informação Processos Judiciais Perdas financeiras Exposição Não conformidade Perda de vida humana Perdas financeiras Tomada de decisão errada Impacto na saúde do paciente Impacto na imagem da empresa Perda de vida humana Perdas financeiras Tomada de decisão errada Não conformidade Baixa performance ou até indisponibilidade dos processos de negócio: atendimento, internação, ambulatorial.
  • 35. Do que devemos proteger?
  • 36. Segurança da Informação - ameaças Ameaças físicas Incêndio Enchentes Acesso indevido de pessoas Problemas elétricos Ameaças Tecnológicas Vírus Bugs de Software Indisponibilidade de rede Ameaças Humanas Sabotagem Fraude Negligência
  • 37. “Um grande erro nas organizações é pressupor que pessoas sensatas fazem coisas sensatas.” (Mintzberg, 2010) Ameaças são mais comuns do que imaginamos...
  • 38. Conclusão: adoção de controles como forma de gerenciar os riscos
  • 39. Segurança da Informação na prática Segurança da Informação É a proteção da informação contra diversos tipos de ameaças Obtida a partir de um conjunto de controles O que é? Como? Qual o objetivo? Garantir a Continuidade ao Negócio Minimizar o risco ao negócio Maximizar Retorno sobre investiment os Oportunida des de negócio
  • 40. Segurança da Informação – controles Controles O que são? Como? Políticas Procedimentos/ Normas Processos Estruturas organizacionais Práticas Devem ser ImplementadosEstabelecidos Monitorados Avaliados criticamente Melhorados
  • 41. Segurança da Informação - controles Controles Procedimentos/ Normas Processos Estruturas organizacionais Práticas Políticas Exemplos: Política de mesa limpa Política de acesso ao centro cirúrgico Política de Licenciamento de Software Uma política define um resultado esperado. São intenções e diretrizes formalmente expressas pela direção
  • 42. Segurança da Informação - controles Controles Procedimentos/ Normas Processos Estruturas organizacionais Práticas Políticas Normas estabelecem obrigações e procedimentos definidos de acordo com as diretrizes da Política. O procedimento instrumentaliza o disposto nas normas. Norma de controle de acesso a instituição: catraca, identificação de visitantes Procedimento de identificação de visitantes: cadastro de nome, RG, departamento a visitar, etc. Procedimentos para contabilidade e balanço
  • 43. Segurança da Informação - controles Controles Procedimentos/ Normas Processos Estruturas organizacionais Práticas Políticas Processo de Gestão da Continuidade de Negócio. Adaptações em processos. Ex: internação de pacientes Processo de análise contínua de riscos de SI
  • 44. Segurança da Informação - controles Controles Procedimentos/ Normas Processos Estruturas organizacionais Práticas Políticas Escritório de Segurança da Informação Comitê de Segurança da Informação Departamento de segurança coorporativa Funções e papeis
  • 45. Segurança da Informação - controles Controles Procedimentos/ Normas Processos Estruturas organizacionais Práticas Políticas Conscientização e capacitação em S.I. para todos profissionais Documentação da política da Segurança da Informação (faz parte do escopo deste projeto). Ações cotidianas ou ocasionais
  • 46. Agenda Equipe do projeto Segurança da Informação (S.I.) – overview Incidentes comuns em Segurança da Informação Segurança da Informação na Prática O projeto da <<confidencial>> Introdução Escopo e Andamento
  • 47. Escopo da norma ISO 27002
  • 48. Introdução ao projeto - metodologia Seção Alguns controles 1) Política de segurança da informação (...) “documento da política de segurança da informação”(...) “Convém que a política de segurança da informação seja analisada criticamente” 2) Organizando a S.I. (...) ” Convém que a direção apoie ativamente a segurança da informação” (...) “Convém que sejam mantidos acordos de confidencialidade” (...) 3) Gestão de Ativos (...)” Convém que a organização identifique todos os ativos e documente a importância destes ativos.” (...) 4) Segurança em recursos humanos (...) ”Convém que exista um processo disciplinar para os funcionários que tenham cometido uma violações.” 5) Segurança Física e do Ambiente (...) 6) Gerenciamento de operações (...) 7) Controle de Acesso (...) 8) Aquisição, desenvolvimento e manutenção de sistemas (...) 9) Gestão de Incidentes de SI (...) 10) Gestão de Continuidade (...) 11) Conformidade (...)
  • 49. Introdução ao projeto - metodologia Exemplos de controles aplicáveis Controle de acessos: • Implantação de catracas / identificação de colaboradores e visitantes. • Identificar autores de possíveis incidentes, assim como mitigá-los Segurança em Recursos Humanos: • Na contratação: Solicitar antecedentes criminais para áreas que necessitem. Solicitar comprovação por diploma para cargos de nível superior • Possíveis impactos: incidentes intencionais ou por imprudência.
  • 50. Agenda Equipe do projeto Segurança da Informação (S.I.) – overview Incidentes comuns em Segurança da Informação Segurança da Informação na Prática O projeto da <<confidencial>> Introdução Escopo e Andamento
  • 51. Escopo do Projeto Diagnóstico e Plano de ação em Segurança da Informação Planejamento do Projeto Avaliação da Situação atual Elaboração do Plano de Ação Elaboração da Política de Segurança da Informação Já executado A executar
  • 52. Escopo do Projeto Diagnóstico e Plano de ação em Segurança da Informação Planejamento do Projeto Avaliação da Situação atual Elaboração do Plano de Ação Elaboração da Política de Segurança da Informação
  • 53. Escopo do Projeto Planejamento Conduzir reuniões de planejamento Estudo inicial da organização Levantamento de histórico Elaboração do plano global do projeto Visitas preliminares Conduzir palestras iniciais Responsável(eis): gestor do projeto com apoio do líder do comitê gestor do projeto Datas previstas: 29/07 a 09/08 Entrega prevista Plano Global do Projeto Escopo do trabalho Cronograma Riscos previstos Detalhes sobre as entregas Plano que está sendo apresentado neste instante
  • 54. Escopo do Projeto Diagnóstico e Plano de ação em Segurança da Informação Planejamento do Projeto Avaliação da Situação atual Elaboração do Plano de Ação Elaboração da Política de Segurança da Informação Processo de Análise da Situação atual
  • 55. 1) Análise preliminar 2) Entrevistas 3) Visitas técnicas 4) Análise de dados e elaboração de relatórios Fase de Planejamento Fase de Diagnóstico Plano de Ação Escopo do Projeto Política de Segurança da Informação Processo de Análise da Situação atual
  • 56. Escopo do projeto – análise preliminar e entrevistas 1) Análise preliminar Fase de Planejamento Visita inicial Responsável(eis): consultor <<confidencial>> gestor do projeto e consultor em segurança com o apoio do líder do comitê gestor (cliente) Datas previstas: Fase de diagnóstico 2) Entrevistas Entrevistas com coordenadores Detecção de riscos de SI
  • 57. Fase de diagnóstico 3) Visitas técnicas Escopo do projeto – Visitas técnicas Colher de evidencias necessárias para diagnósticos realizados Obter informações que contribuam com a análise de impacto para controles não identificados; Análise dos riscos de SI Responsável(eis): consultor <<confidencial>> de S.I. com o apoio do líder do comitê gestor (cliente) Datas previstas:
  • 58. Fase de diagnóstico 4) Análise de dados e elaboração de relatórios Escopo do projeto – Relatórios de diagnóstico Entrega prevista Relatório de Análise da Situação Atual Controles avaliados; Ameaças e consequentes riscos Avaliação dos processos relacionados recurso humanos e responsabilidades Lista, classificação e prioridade dos riscos Recomendações. Data prevista: Apresentação prevista:
  • 59. Escopo do Projeto Diagnóstico e Plano de ação em Segurança da Informação Planejamento do Projeto Avaliação da Situação atual Elaboração do Plano de Ação Elaboração da Política de Segurança da Informação
  • 60. Entrega prevista Política de Segurança Objetivos, aplicações, princípios Responsabilidades Gestão de recursos Humanos, Segurança Física, gerenciamento de operações, controle de acesso, gestão de incidentes, conformidade, entre outros itens. Escopo do projeto – Plano de Ação Entrega prevista Plano de Ação Lista e detalhamento das recomendações Categorização das recomendações Recomendações a curto, médio e longo prazo Responsabilidades, esforços, instrumentos Estrutura e ambiente previstos Data prevista: Provisão apresentação: Elaboração do Plano de Ação Elaboração da Política de S.I. Data prevista: Previsão apresentação:
  • 61. Agenda Equipe do projeto Segurança da Informação (S.I.) – overview Incidentes comuns em Segurança da Informação Segurança da Informação na Prática O projeto Introdução Escopo e Andamento
  • 62. Fim