Demonstrando como o processo de gerenciamento de segurança da informação(SI) do framework de gerenciamento de serviços de TI, ITIL, pode ser utilizado como melhor prática, somando a outras, de segurança cibernética.
4. Rafael Maia
Profissional/Esdutantil
Estudante independente de
GRC(Governança, Risco e Compliance)
ITSM and Security Evangelist
Diretor de Marketing – SUCESU CEARÁ
Professor Universitário
Instrutor Oficial – EXIN pela HSI
Institute
Perito em Computação Forense e
Diretor Financeiro – APECOF
Formação
FIC
Superior de Formação Específica
em Projetos e Implementação de
Redes de Computadores
Tecnólogo em Redes de
Computadores
FATENE
MBA em Gerência de Redes de
Computadores e Telecomunicações
Certificações
ITIL PPO INTERMEDIATE – EXIN
ITIL RCV INTERMEDIATE – EXIN
ITIL SO INTERMEDIATE – EXIN
ITIL OSA INTERMEDIATE – EXIN
ITIL Foundation V2/V3 – EXIN
ISO 20000 Foundation – EXIN
ISO 27002 Foundation – EXIN
MTA Security Fundamentals - MS
Green IT Citizien – EXIN
29/04/2016 4
5. Objetivo
Demonstrar como o processo de
gerenciamento de segurança da
informação(SI) do framework de
gerenciamento de serviços de TI, ITIL,
pode ser utilizado como melhor
prática, somando a outras, de
segurança cibernética.
29/04/2016 5
7. Introdução
O que é informação?
04/05/2016 7
“Informação é um ativo que, como
qualquer outro ativo, importante
para os negócios, tem valor para a
organização e consequentemente
necessita ser adequadamente
protegida.” – ISO 27002
8. Introdução
Diferença entre dados e Informação
04/05/2016 8
• Dados com significado após serem
processados por TI são informações que
podem ser:
Impressa ou escrita em papel
Armazenada Eletronicamente
Transmitida pelo correio ou por meios
Eletrônicos
Vídeos ou Áudio
Verbalizada
9. Introdução
Existe SI antes do ITIL?
04/05/2016 9
• Sim.
É a Preservação da confidencialidade, integridade
e disponibilidade da informação; adicionalmente,
outras propriedades, tais como autenticidade,
responsabilidade, não repúdio e confiabilidade,
podem também estar envolvidas – ISO 27001
É a proteção da informação de vários tipos de
ameaças para garantir a continuidade do negócio,
minimizar o risco ao negócio, maximizar o retorno
sobre os investimentos(ROI) e as oportunidades
de negócio. – ISO 27002
13. Desenvolvimento
O que é ITIL?
04/05/2016 13
Information Technology
Infrastructure Library
É um framework que descreve as
melhores práticas em gerenciamento de
serviços de TI
• Fornece uma estrutura para a Gestão e
Controle dos serviços de TI
• Centra-se na medição e melhoria contínua
da qualidade dos serviços de TI entregues
15. Desenvolvimento
Estágios do Ciclo de Vida do Serviço
04/05/2016 15
Estratégia do Serviço
• Estratégia de Serv. de TI
• Financeiro
• Portfólio
• Demanda
• Relacionamento de Negócio
Desenho do Serviço
• Coordenação de Desenho
• Catálogo
• Nível de Serviço
• Disponibilidade
• Capacidade
• Continuidade
• Segurança da Informação
• Fornecedor
Transição do Serviço
• Planejamento de Suporte de Transição
• Mudança
• Configuração e Ativo
• Liberação e Implantação
• Serviço de validação e teste
• Avaliação da Mudança
• Conhecimento
Operação do Serviço
• Eventos
• Incidentes
• Cumprimento de Requisição
• Problemas
• Acesso
Melhoria Continuada
• processo de melhoria em 7 passos
16. Desenvolvimento
Segurança Cibernética através da "ITIL
Security"
04/05/2016 16
O que é SI?
A segurança da informação é um processo de
gestão dentro da estrutura de governança
corporativa, que fornece a direção
estratégica para as atividades de segurança
e garante que os objetivos sejam
alcançados.
17. Desenvolvimento
Segurança Cibernética através da "ITIL
Security"
04/05/2016 17
O que é Governança Corporativa?
• É o conjunto de responsabilidades e práticas
exercidas pelo conselho de administração e gestão
executiva.
18. Desenvolvimento
Segurança Cibernética através da "ITIL
Security"
04/05/2016 18
O que SI garante?
• Os riscos de SI sejam devidamente geridos; e
• Os recursos de informação da empresa são utilizados
de forma responsável.
O que o gerenciamento de SI oferece?
• Um foco para todos os aspectos de segurança da TI; e
• Gerencia todas as atividades de segurança da TI.
19. Desenvolvimento
Segurança Cibernética através da "ITIL
Security"
04/05/2016 19
Propósito
• Alinhar a segurança de TI com a segurança do
negócio e assegurar que a confidencialidade,
integridade e disponibilidade dos ativos,
informações, dados da organização e de serviços de
TI sempre correspondam às necessidades de negócio
acordadas.
20. Desenvolvimento
Segurança Cibernética através da "ITIL
Security"
04/05/2016 20
Objetivo
• Proteger os interesses daqueles que
dependem das informações e os
sistemas e comunicações que
proporcionam a informação, dos danos
resultante de falhas de CID
21. Desenvolvimento
Segurança Cibernética através da "ITIL
Security"
04/05/2016 21
Quando é cumprido esse objetivo?
1. A informação é absorvida ou divulgadas somente
para aqueles que têm o direito de saber
2. A informação é completa, precisa e protegidos
contra modificações não autorizadas
3. A informação está disponível e utilizável quando
necessário, e os sistemas que fornecem pode
apropriadamente resistência a ataques e
recuperar ou prevenir falhas
4. As transações comerciais, bem como o intercâmbio
de informações entre as empresas, ou com
parceiros, possam ser confiáveis
22. Desenvolvimento
Segurança Cibernética através da "ITIL
Security"
04/05/2016 22
Escopo
• Operação de negócios atual e seus requisitos de
segurança;
• Planos e requisitos de negócios futuros;
• Requisitos legais e regulamentares;
• Obrigações e responsabilidades em
matéria de segurança contidas no ANS´s;e
• A gestão dos riscos de TI e
do negócio.
• Política e planos de segurança do negócio;
23. Desenvolvimento
Segurança Cibernética através da "ITIL
Security"
04/05/2016 23
SGSI
• Um sistema formal para estabelecer política e
objetivos.
Um SGSI consiste em:
• Uma política de segurança da informação principal
e políticas de segurança específicas que tratam
cada aspecto da estratégia, controle e regulação;
• Um conjunto de controles de segurança para apoiar
a política;
• A gestão de riscos de segurança; e
• Processos de monitoramento para garantir a conformidade
e fornecer feedback sobre a eficácia.
24. Desenvolvimento
Segurança Cibernética através da "ITIL
Security"
04/05/2016 24
Políticas
• Uma política global de segurança da informação.
• Uso e abuso dos ativos de TI política;
• Uma política de controle de acesso;
• Uma política de controle de senha;
• Uma política de e-mail;
• Uma política de internet;
• Uma política antivírus;
• Uma política de classificação da informação;
• A política de classificação de documentos;
• A política de acesso remoto;
• A política relativa ao acesso fornecedor de serviços de TI, a
informação e os componentes;
• A política de violação de direitos autorais de material eletrônico; e
• Uma política de alienação de bens.
25. Desenvolvimento
Segurança Cibernética através da "ITIL
Security"
04/05/2016 25
Políticas
• Uma política global de segurança da informação.
• Uso e abuso dos ativos de TI política;
• Uma política de controle de acesso;
• Uma política de controle de senha;
• Uma política de e-mail;
• Uma política de internet;
• Uma política antivírus;
• Uma política de classificação da informação;
• A política de classificação de documentos;
• A política de acesso remoto;
• A política relativa ao acesso fornecedor de serviços de TI, a
informação e os componentes;
• A política de violação de direitos autorais de material eletrônico; e
• Uma política de alienação de bens.
26. Desenvolvimento
Segurança Cibernética através da "ITIL
Security"
04/05/2016 26
SGSI
• Elementos de UM SGSI:
• 4P´s – Pessoal, Processos, Produtos e Parceiros
Na figura 3, no próximo slide, mostra uma
abordagem que é amplamente utilizada e é
baseada no aconselhamento e orientação
descrita em muitas fontes, incluindo
ISO/IEC 27001.
28. Desenvolvimento
Segurança Cibernética através da "ITIL
Security"
04/05/2016 28
Atividades
• Produção e manutenção de uma política global e
de apoio específicas
• Comunicação, implementação e execução das
políticas de segurança
• Prestação de aconselhamento e orientação
• Avaliação e classificação de todos os ativos de
informação e documentação
• Implementação, análise, revisão e melhoria do
conjunto de controles de segurança e avaliação
de riscos e respostas, incluindo:
• Avaliação do impacto
• Implementação de medidas proativas
29. Desenvolvimento
Segurança Cibernética através da "ITIL
Security"
04/05/2016 29
Atividades
• Monitoramento e gerenciamento de todas
as violações de segurança e incidentes de
segurança
• Monitoramento e gerenciamento de todas as
análises de segurança, relatórios e redução dos
volumes e do impacto de falhas de segurança e
incidentes violações e de segurança
• Programação e realização de revisões de
segurança, auditorias e testes de penetração
30. Desenvolvimento
Segurança Cibernética através da "ITIL
Security"
04/05/2016 30
O Gestor de SI
• Deve garantir que as pessoas, produtos,
processos e parceiros estão alinhado e que está
em vigor a política geral desenvolvida e bem
publicada; e
• Se responsabilizar pela segurança na
arquitetura, autenticação, autorização,
administração e recuperação dos ativos de TI
31. Desenvolvimento
Segurança Cibernética através da "ITIL
Security"
04/05/2016 31
Gatilhos
• Novas ou alteradas diretrizes de governança
corporativa;
• Novas ou alteradas políticas de segurança
empresarial;
• Novos ou alterados diretrizes e processos de
gerenciamento de risco corporativo;
• Novas ou alteradas necessidades de negócio ou
novas mudanças de serviços;
• Novos ou alterados requerimentos dentro
dos acordos como CA´s, ANS´s, ANO´s ou
contratos;
• Análise e revisão dos negócios e planos
e estratégias e modelos de TI.
32. Desenvolvimento
Segurança Cibernética através da "ITIL
Security"
04/05/2016 32
Inputs
• Governança Corporativa;
• Informação do Negócio;
• Informações de TI;
• Informações de Serviços
• Processos de avaliação de risco e relatórios;
• Os detalhes de todos os eventos de segurança e
violações;
• De Mudanças;
• SGC; e
• Detalhes de acessos de parceiros e fornecedores.
INPUT
33. Desenvolvimento
Segurança Cibernética através da "ITIL Security"
04/05/2016 33
OutPuts
• Um SGSI;
• Processos de avaliação de risco
de segurança revistos e relatórios;
• Um conjunto de controles de segurança;
• As auditorias de segurança e relatórios de
auditoria;
• Programações de teste e planos de segurança;
• Um conjunto de classificações de segurança e um
conjunto de ativos de informação classificados; e
• Políticas, processos e procedimentos de gestão de
parceiros e fornecedores e seu acesso a serviços e
informações.
OUTPUT
34. Desenvolvimento
Segurança Cibernética através da "ITIL Security"
04/05/2016 34
Interfaces
• Gerenciamento de nível de serviço;
• Gerenciamento de Acesso;
• Gerenciamento de Mudança;
• Gerenciamentos de Incidente e Problema;
• Gerenciamento de Continuidade de Serviços de TI;
• Gerenciamento de Configuração e Ativo;
• Gerenciamento de Disponibilidade;
• Gerenciamento de Capacidade;
• Gerenciamento Financeiro para Serviços
de TI; e
• Gerenciamento de Fornecedores Parceiros.
35. Desenvolvimento
Segurança Cibernética através da "ITIL Security"
04/05/2016 35
Fatores Críticos de Sucesso(FCS) e Indicadores(ID)
• FCS O negócio está protegido contra violações de segurança?
• ID Diminuição do percentual de violações de segurança
relatado para o servicedesk
• FCS A determinação de uma política é clara e consensual, integrada
com as necessidades do negócio?
• ID Diminuição do número de não-conformidades do processo de
gestão de segurança da informação com a política e processo
de segurança empresarial.
• FCS Há um mecanismo para a melhoria?
• ID O número de melhorias sugeridas aos procedimentos e
controles de segurança
• FCS A segurança da informação é uma parte integral de
todos os serviços de TI e todos os processos de SGSI?
• ID Aumento do número de serviços e processos em conformidades com
os procedimentos e controles de segurança
36. Desenvolvimento
Segurança Cibernética através da "ITIL Security"
04/05/2016 36
Desafios
• Garantir que haja um apoio adequado da empresa,
segurança empresarial e da gestão sênior; e
• A percepção do negócio é que a segurança é uma
responsabilidade de TI.
37. Desenvolvimento
Segurança Cibernética através da "ITIL Security"
04/05/2016 37
Riscos
• Aumentar requisitos de disponibilidade e
robustez;
• Crescente potencial do uso indevido
e abuso de sistemas de informação que afetam os
valores de privacidade e ética; e
• Perigos externos de hackers crackers ou
hacktivista ou criminoso cibernético, levando a
ataques de negação de serviços e vírus, a
extorsão, espionagem industrial e vazamento de
informações organizacionais ou dados privados.
38. Desenvolvimento
Segurança Cibernética através da "ITIL Security"
04/05/2016 38
Valor para o Negócio
• Garante que uma política de segurança da
informação está mantida e executada atendendo as
necessidades da política de segurança da empresa
e as exigências de governança corporativa
• Aumenta a consciência da necessidade de
segurança em todos os serviços de TI e
ativos em toda a organização; e
• Garante que a política é adequada
para as necessidades da organização.
39. Desenvolvimento
Segurança Cibernética através da "ITIL Security"
04/05/2016 39
Valor para o Negócio
• Gerencia todos os aspectos de TI e segurança da
informação em todas as áreas de TI e atividades
de gerenciamento de serviços;
• Garantia dos processos de negócio através da
aplicação de controles de segurança
apropriados em todas as áreas de TI e de
gestão de riscos de TI; e
• Alinhamento com os processos de
negócios e gerenciamento de riscos
corporativos e diretrizes.
40. CONCLUSÃO
04/05/2016 40
Todos os processos dentro da
organização devem incluir considerações
de segurança da informação,
fortalecendo a segurança cibernética. E
o processo de Gerenciamento de
Segurança da Informação, a “ITIL
Security”, pode auxiliar nessa missão.