Roadsec PRO - Segurança Cibernética Através da ITIL Security

O MAIOR EVENTO DE HACKING, SEGURANÇA
E TECNOLOGIA DO BRASIL DO CONTINENTE

Segurança Cibernética
através da "ITIL Security"
Rafael Maia

MAS QUEM É RAFAEL MAIA?
29/04/2016 3

Rafael Maia
Profissional/Esdutantil
Estudante independente de
GRC(Governança, Risco e Compliance)
ITSM and Security Evangelist
Diretor de Marketing – SUCESU CEARÁ
Professor Universitário
Instrutor Oficial – EXIN pela HSI
Institute
Perito em Computação Forense e
Diretor Financeiro – APECOF
Formação
FIC
Superior de Formação Específica
em Projetos e Implementação de
Redes de Computadores
Tecnólogo em Redes de
Computadores
FATENE
MBA em Gerência de Redes de
Computadores e Telecomunicações
Certificações
ITIL PPO INTERMEDIATE – EXIN
ITIL RCV INTERMEDIATE – EXIN
ITIL SO INTERMEDIATE – EXIN
ITIL OSA INTERMEDIATE – EXIN
ITIL Foundation V2/V3 – EXIN
ISO 20000 Foundation – EXIN
ISO 27002 Foundation – EXIN
MTA Security Fundamentals - MS
Green IT Citizien – EXIN
29/04/2016 4

Objetivo
Demonstrar como o processo de
gerenciamento de segurança da
informação(SI) do framework de
gerenciamento de serviços de TI, ITIL,
pode ser utilizado como melhor
prática, somando a outras, de
segurança cibernética.
29/04/2016 5

Agenda
• Introdução
• Desenvolvimento
• Conclusão
• Referências
29/04/2016 6

Introdução
O que é informação?
04/05/2016 7
“Informação é um ativo que, como
qualquer outro ativo, importante
para os negócios, tem valor para a
organização e consequentemente
necessita ser adequadamente
protegida.” – ISO 27002

Introdução
Diferença entre dados e Informação
04/05/2016 8
• Dados com significado após serem
processados por TI são informações que
podem ser:
 Impressa ou escrita em papel
 Armazenada Eletronicamente
 Transmitida pelo correio ou por meios
Eletrônicos
 Vídeos ou Áudio
 Verbalizada

Introdução
Existe SI antes do ITIL?
04/05/2016 9
• Sim.
 É a Preservação da confidencialidade, integridade
e disponibilidade da informação; adicionalmente,
outras propriedades, tais como autenticidade,
responsabilidade, não repúdio e confiabilidade,
podem também estar envolvidas – ISO 27001
 É a proteção da informação de vários tipos de
ameaças para garantir a continuidade do negócio,
minimizar o risco ao negócio, maximizar o retorno
sobre os investimentos(ROI) e as oportunidades
de negócio. – ISO 27002

Introdução
Outras palavras chaves
04/05/2016 10
 Ameaça
 Impacto/Dano
 Vulnerabilidade
 Ativo
 Risco

Introdução
Relacionando as Palavras
04/05/2016 11

Como está a sua percepção?
04/05/2016 12

Desenvolvimento
O que é ITIL?
04/05/2016 13
 Information Technology
Infrastructure Library
 É um framework que descreve as
melhores práticas em gerenciamento de
serviços de TI
• Fornece uma estrutura para a Gestão e
Controle dos serviços de TI
• Centra-se na medição e melhoria contínua
da qualidade dos serviços de TI entregues

Desenvolvimento
Estágios do Ciclo de Vida do Serviço
04/05/2016 14

Desenvolvimento
Estágios do Ciclo de Vida do Serviço
04/05/2016 15
 Estratégia do Serviço
• Estratégia de Serv. de TI
• Financeiro
• Portfólio
• Demanda
• Relacionamento de Negócio
 Desenho do Serviço
• Coordenação de Desenho
• Catálogo
• Nível de Serviço
• Disponibilidade
• Capacidade
• Continuidade
• Segurança da Informação
• Fornecedor
 Transição do Serviço
• Planejamento de Suporte de Transição
• Mudança
• Configuração e Ativo
• Liberação e Implantação
• Serviço de validação e teste
• Avaliação da Mudança
• Conhecimento
 Operação do Serviço
• Eventos
• Incidentes
• Cumprimento de Requisição
• Problemas
• Acesso
 Melhoria Continuada
• processo de melhoria em 7 passos

Desenvolvimento
Segurança Cibernética através da "ITIL
Security"
04/05/2016 16
 O que é SI?
A segurança da informação é um processo de
gestão dentro da estrutura de governança
corporativa, que fornece a direção
estratégica para as atividades de segurança
e garante que os objetivos sejam
alcançados.

Desenvolvimento
Security"
04/05/2016 17
 O que é Governança Corporativa?
• É o conjunto de responsabilidades e práticas
exercidas pelo conselho de administração e gestão
executiva.

Desenvolvimento
Security"
04/05/2016 18
 O que SI garante?
• Os riscos de SI sejam devidamente geridos; e
• Os recursos de informação da empresa são utilizados
de forma responsável.
 O que o gerenciamento de SI oferece?
• Um foco para todos os aspectos de segurança da TI; e
• Gerencia todas as atividades de segurança da TI.

Desenvolvimento
Security"
04/05/2016 19
 Propósito
• Alinhar a segurança de TI com a segurança do
negócio e assegurar que a confidencialidade,
integridade e disponibilidade dos ativos,
informações, dados da organização e de serviços de
TI sempre correspondam às necessidades de negócio
acordadas.

Desenvolvimento
Security"
04/05/2016 20
 Objetivo
• Proteger os interesses daqueles que
dependem das informações e os
sistemas e comunicações que
proporcionam a informação, dos danos
resultante de falhas de CID

Desenvolvimento
Security"
04/05/2016 21
 Quando é cumprido esse objetivo?
1. A informação é absorvida ou divulgadas somente
para aqueles que têm o direito de saber
2. A informação é completa, precisa e protegidos
contra modificações não autorizadas
3. A informação está disponível e utilizável quando
necessário, e os sistemas que fornecem pode
apropriadamente resistência a ataques e
recuperar ou prevenir falhas
4. As transações comerciais, bem como o intercâmbio
de informações entre as empresas, ou com
parceiros, possam ser confiáveis

Desenvolvimento
Security"
04/05/2016 22
 Escopo
• Operação de negócios atual e seus requisitos de
segurança;
• Planos e requisitos de negócios futuros;
• Requisitos legais e regulamentares;
• Obrigações e responsabilidades em
matéria de segurança contidas no ANS´s;e
• A gestão dos riscos de TI e
do negócio.
• Política e planos de segurança do negócio;

Desenvolvimento
Security"
04/05/2016 23
 SGSI
• Um sistema formal para estabelecer política e
objetivos.
 Um SGSI consiste em:
• Uma política de segurança da informação principal
e políticas de segurança específicas que tratam
cada aspecto da estratégia, controle e regulação;
• Um conjunto de controles de segurança para apoiar
a política;
• A gestão de riscos de segurança; e
• Processos de monitoramento para garantir a conformidade
e fornecer feedback sobre a eficácia.

Desenvolvimento
Security"
04/05/2016 24
 Políticas
• Uma política global de segurança da informação.
• Uso e abuso dos ativos de TI política;
• Uma política de controle de acesso;
• Uma política de controle de senha;
• Uma política de e-mail;
• Uma política de internet;
• Uma política antivírus;
• Uma política de classificação da informação;
• A política de classificação de documentos;
• A política de acesso remoto;
• A política relativa ao acesso fornecedor de serviços de TI, a
informação e os componentes;
• A política de violação de direitos autorais de material eletrônico; e
• Uma política de alienação de bens.

Desenvolvimento
Security"
04/05/2016 25
 Políticas
• Uma política global de segurança da informação.
• Uso e abuso dos ativos de TI política;
• Uma política de controle de acesso;
• Uma política de controle de senha;
• Uma política de e-mail;
• Uma política de internet;
• Uma política antivírus;
• Uma política de classificação da informação;
• A política de classificação de documentos;
• A política de acesso remoto;
• A política relativa ao acesso fornecedor de serviços de TI, a
informação e os componentes;
• A política de violação de direitos autorais de material eletrônico; e
• Uma política de alienação de bens.

Desenvolvimento
Security"
04/05/2016 26
 SGSI
• Elementos de UM SGSI:
• 4P´s – Pessoal, Processos, Produtos e Parceiros
 Na figura 3, no próximo slide, mostra uma
abordagem que é amplamente utilizada e é
baseada no aconselhamento e orientação
descrita em muitas fontes, incluindo
ISO/IEC 27001.

Desenvolvimento
Segurança Cibernética através da "ITIL Security"
04/05/2016 27

Desenvolvimento
Security"
04/05/2016 28
 Atividades
• Produção e manutenção de uma política global e
de apoio específicas
• Comunicação, implementação e execução das
políticas de segurança
• Prestação de aconselhamento e orientação
• Avaliação e classificação de todos os ativos de
informação e documentação
• Implementação, análise, revisão e melhoria do
conjunto de controles de segurança e avaliação
de riscos e respostas, incluindo:
• Avaliação do impacto
• Implementação de medidas proativas

Desenvolvimento
Security"
04/05/2016 29
 Atividades
• Monitoramento e gerenciamento de todas
as violações de segurança e incidentes de
segurança
• Monitoramento e gerenciamento de todas as
análises de segurança, relatórios e redução dos
volumes e do impacto de falhas de segurança e
incidentes violações e de segurança
• Programação e realização de revisões de
segurança, auditorias e testes de penetração

Desenvolvimento
Security"
04/05/2016 30
 O Gestor de SI
• Deve garantir que as pessoas, produtos,
processos e parceiros estão alinhado e que está
em vigor a política geral desenvolvida e bem
publicada; e
• Se responsabilizar pela segurança na
arquitetura, autenticação, autorização,
administração e recuperação dos ativos de TI

Desenvolvimento
Security"
04/05/2016 31
 Gatilhos
• Novas ou alteradas diretrizes de governança
corporativa;
• Novas ou alteradas políticas de segurança
empresarial;
• Novos ou alterados diretrizes e processos de
gerenciamento de risco corporativo;
• Novas ou alteradas necessidades de negócio ou
novas mudanças de serviços;
• Novos ou alterados requerimentos dentro
dos acordos como CA´s, ANS´s, ANO´s ou
contratos;
• Análise e revisão dos negócios e planos
e estratégias e modelos de TI.

Desenvolvimento
Security"
04/05/2016 32
 Inputs
• Governança Corporativa;
• Informação do Negócio;
• Informações de TI;
• Informações de Serviços
• Processos de avaliação de risco e relatórios;
• Os detalhes de todos os eventos de segurança e
violações;
• De Mudanças;
• SGC; e
• Detalhes de acessos de parceiros e fornecedores.
INPUT

Desenvolvimento
04/05/2016 33
 OutPuts
• Um SGSI;
• Processos de avaliação de risco
de segurança revistos e relatórios;
• Um conjunto de controles de segurança;
• As auditorias de segurança e relatórios de
auditoria;
• Programações de teste e planos de segurança;
• Um conjunto de classificações de segurança e um
conjunto de ativos de informação classificados; e
• Políticas, processos e procedimentos de gestão de
parceiros e fornecedores e seu acesso a serviços e
informações.
OUTPUT

Desenvolvimento
04/05/2016 34
 Interfaces
• Gerenciamento de nível de serviço;
• Gerenciamento de Acesso;
• Gerenciamento de Mudança;
• Gerenciamentos de Incidente e Problema;
• Gerenciamento de Continuidade de Serviços de TI;
• Gerenciamento de Configuração e Ativo;
• Gerenciamento de Disponibilidade;
• Gerenciamento de Capacidade;
• Gerenciamento Financeiro para Serviços
de TI; e
• Gerenciamento de Fornecedores Parceiros.

Desenvolvimento
04/05/2016 35
 Fatores Críticos de Sucesso(FCS) e Indicadores(ID)
• FCS O negócio está protegido contra violações de segurança?
• ID Diminuição do percentual de violações de segurança
relatado para o servicedesk
• FCS A determinação de uma política é clara e consensual, integrada
com as necessidades do negócio?
• ID Diminuição do número de não-conformidades do processo de
gestão de segurança da informação com a política e processo
de segurança empresarial.
• FCS Há um mecanismo para a melhoria?
• ID O número de melhorias sugeridas aos procedimentos e
controles de segurança
• FCS A segurança da informação é uma parte integral de
todos os serviços de TI e todos os processos de SGSI?
• ID Aumento do número de serviços e processos em conformidades com
os procedimentos e controles de segurança

Desenvolvimento
04/05/2016 36
 Desafios
• Garantir que haja um apoio adequado da empresa,
segurança empresarial e da gestão sênior; e
• A percepção do negócio é que a segurança é uma
responsabilidade de TI.

Desenvolvimento
04/05/2016 37
 Riscos
• Aumentar requisitos de disponibilidade e
robustez;
• Crescente potencial do uso indevido
e abuso de sistemas de informação que afetam os
valores de privacidade e ética; e
• Perigos externos de hackers crackers ou
hacktivista ou criminoso cibernético, levando a
ataques de negação de serviços e vírus, a
extorsão, espionagem industrial e vazamento de
informações organizacionais ou dados privados.

Desenvolvimento
04/05/2016 38
 Valor para o Negócio
• Garante que uma política de segurança da
informação está mantida e executada atendendo as
necessidades da política de segurança da empresa
e as exigências de governança corporativa
• Aumenta a consciência da necessidade de
segurança em todos os serviços de TI e
ativos em toda a organização; e
• Garante que a política é adequada
para as necessidades da organização.

Desenvolvimento
04/05/2016 39
 Valor para o Negócio
• Gerencia todos os aspectos de TI e segurança da
informação em todas as áreas de TI e atividades
de gerenciamento de serviços;
• Garantia dos processos de negócio através da
aplicação de controles de segurança
apropriados em todas as áreas de TI e de
gestão de riscos de TI; e
• Alinhamento com os processos de
negócios e gerenciamento de riscos
corporativos e diretrizes.

CONCLUSÃO
04/05/2016 40
 Todos os processos dentro da
organização devem incluir considerações
de segurança da informação,
fortalecendo a segurança cibernética. E
o processo de Gerenciamento de
Segurança da Informação, a “ITIL
Security”, pode auxiliar nessa missão.

Referências
04/05/2016 41
 Processo de Gerenciamento de
Segurança da Informação ITIL 2011
 ISO/IEC 27001 e ISO/IEC 27002

#dontstophacking
"...But if you never try
you'll never know
Just what you're
worth..."

Roadsec PRO - Segurança Cibernética Através da ITIL Security

Recomendados

Recomendados

Mais conteúdo relacionado

Mais procurados

Mais procurados (20)

Destaque

Destaque (11)

Semelhante a Roadsec PRO - Segurança Cibernética Através da ITIL Security

Semelhante a Roadsec PRO - Segurança Cibernética Através da ITIL Security (20)

Roadsec PRO - Segurança Cibernética Através da ITIL Security