Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
www.shieldsaas.com                                                                                 2Copyright © 2011 Shiel...
IMPLEMENTAÇÃO DE SGSI                                                                                          3         C...
   Processos da gestão de SI                                    Tecnologias específicas   Formação de equipe de SI     ...
MAS O QUE É UM SGSI?                                                                                         5        Copy...
SistemaSG   Gestão     SegurançaSI   Informação                                                                           ...
A organização deve estabelecer, implementar, operar,monitorar, analisar criticamente, manter e melhorar umSGSI documentado...
• Fase 1 – “Quick scan”                                                                                 • Fase 3 – Implant...
• Fase 1 – “Quick scan”                                                                                 • Fase 3 – Implant...
• Fase 1 – “Quick scan”  inicial• Fase 2 – Identificação  de “gaps” e planos de  ação                 Estabelecer a políti...
• Fase 1 – “Quick scan”  inicial• Fase 2 – Identificação  de “gaps” e planos de  ação                 •Mapear as áreas e r...
• Fase 1 – “Quick scan”  inicial• Fase 2 – Identificação  de “gaps” e planos de  ação                 •Analisar e avaliar ...
• Fase 3 – Implantação                                                                                      das ações defi...
• Fase 3 – Implantação                                                                                               das a...
Avaliar e, quando aplicável, medir o  desempenho de um processo frente à política,      objetivos e experiência prática do...
• Validar controles identificados;                         • Executar processo de auditoria de validação                  ...
17Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
MAS ESSAS ATIVIDADES SÃO...COMUNS                                                                                         ...
O QUE DIFERENCIA?                                                                                          19         Copy...
20Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
21Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
Processo 1                                               Processo 3             Processo 2                                ...
Processo 1                                               Processo 3             Processo 2                                ...
Negócio   Controles                 Processos/procedimentosnos seus objetivos                                             ...
PresidênciaFinanceiro     RH                                TI                         Produto           Marketing        ...
PresidênciaFinanceiro   RH                         TI                         SI                     Produto   Marketing  ...
27Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
OK! MAS ESTAMOS FALANDO DESEGURANÇA DA INFORMAÇÃO                                                                         ...
Segurança da informação                                                          Disponibilidade                    Integr...
• Inerente ao ativoVulnerabilidade              • Relacionado à fragilidades                             • Normalmente ext...
31Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
Reter ou aceitar                Uma forma de tratamento                de risco na qual a alta                administraçã...
Transferir ouReter ou aceitar                                                                                        compa...
Transferir ouReter ou aceitar                                                                                        compa...
Transferir ouReter ou aceitar                                                                                        compa...
Transferir ouReter ou aceitar                                                                                        compa...
MAS A DEFINIÇÃO DE RISCOS É COMPLEXA...                                                                                   ...
O QUE PODE SER USADO COMO GUIA?                                                                                          4...
BS25999                 ISO/IEC27005                  Decretos e leis Basiléia II   SUSEP                            CVM B...
   Leis                    OBRIGATÓRIAS PARA TODOS!   Normas   Resoluções                                     OBRIGATÓR...
43Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
E QUEM FAZ ISSO TUDO?                                                                                          44         ...
CISO                          EstratégicoArquiteto de SI             Tático                                           Arqu...
CISO                     ISO                      ISM                Estratégico                  Tático                  ...
BEM, VAMOS RESUMIR...                                                                                          47         ...
Obter suporte                           Identificar o estado                                        Traçar objetivos   exe...
Obter suporte                           Identificar o estado                                        Traçar objetivos   exe...
Obrigado         comercial@ShieldSaaS.comweb: www.ShieldSaaS.com | twitter: @ShieldSaaS                                   ...
Implementação de sgsi [impressão]
Implementação de sgsi [impressão]
Próximos SlideShares
Carregando em…5
×

Implementação de sgsi [impressão]

2.172 visualizações

Publicada em

Palestra sobre a implementação de um SGSI e alguns desafios mapeados.

Publicada em: Tecnologia
0 comentários
1 gostou
Estatísticas
Notas
  • Seja o primeiro a comentar

Sem downloads
Visualizações
Visualizações totais
2.172
No SlideShare
0
A partir de incorporações
0
Número de incorporações
131
Ações
Compartilhamentos
0
Downloads
73
Comentários
0
Gostaram
1
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Implementação de sgsi [impressão]

  1. 1. Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  2. 2. www.shieldsaas.com 2Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  3. 3. IMPLEMENTAÇÃO DE SGSI 3 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  4. 4.  Processos da gestão de SI  Tecnologias específicas Formação de equipe de SI  Segurança de rede Questões normativas  Gestão de projetos Startup de área de SI  Ataques e defesas 4 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  5. 5. MAS O QUE É UM SGSI? 5 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  6. 6. SistemaSG Gestão SegurançaSI Informação 6 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  7. 7. A organização deve estabelecer, implementar, operar,monitorar, analisar criticamente, manter e melhorar umSGSI documentado dentro do contexto das atividades denegócio globais da organização e os riscos que ela enfrenta. ABNT NBR ISO/IEC 27001 7 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  8. 8. • Fase 1 – “Quick scan” • Fase 3 – Implantação inicial das ações definidas• Fase 2 – Identificação de “gaps” e planos de ação Planejamento Execução (Plan) (Do) Acompanha- Validação mento (Check) (Act)• Fase 5 – Implantação • Fase 4 – Validação das de processos de ações implantadas manutenção 8 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  9. 9. • Fase 1 – “Quick scan” • Fase 3 – Implantação inicial das ações definidas• Fase 2 – Identificação de “gaps” e planos de ação Planejamento Execução (Plan) (Do) Acompanha- Validação mento (Check) (Act)• Fase 5 – Implantação • Fase 4 – Validação das de processos de ações implantadas manutenção 9 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  10. 10. • Fase 1 – “Quick scan” inicial• Fase 2 – Identificação de “gaps” e planos de ação Estabelecer a política, objetivos, processos e procedimentos do SGSI, relevantes para a gestão de riscos e a melhoria da segurança da informação para produzir resultados de acordo com as políticas e objetivos globais de uma organização. 10 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  11. 11. • Fase 1 – “Quick scan” inicial• Fase 2 – Identificação de “gaps” e planos de ação •Mapear as áreas e responsáveis; •Reunião de identificação dos processos críticos; •Absorver cultura; •Fechar escopo de atuação; •Definir grupo multidisciplinar; 11 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  12. 12. • Fase 1 – “Quick scan” inicial• Fase 2 – Identificação de “gaps” e planos de ação •Analisar e avaliar os riscos operacionais e de ambiente; •Identificar controles e avaliar sua efetividade; •Avaliar documentação; •Avaliar maturidade em SI; •Definir planos de atuação. 12 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  13. 13. • Fase 3 – Implantação das ações definidasImplementar e operar a política, controles, processos e procedimentos do SGSI. 13 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  14. 14. • Fase 3 – Implantação das ações definidas•Elaborar cronograma de implantação de controles e procedimentos;•Executar subprojetos de segurança;•Elaborar documentação normativa de suporte aos subprocessos;•Validar documentação elaborada; e•Identificar potenciais controles. 14 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  15. 15. Avaliar e, quando aplicável, medir o desempenho de um processo frente à política, objetivos e experiência prática do SGSI e apresentar os resultados para a análise crítica pela direção.• Validar controles identificados;• Fazer todos os processos de auditoria (execução, validação, emissão de relatórios); • Fase 4 – Validação das• Executar avaliação de maturidade e ações implantadas comparar com a avaliação inicial;• Apresentar avaliação dos controles. 15 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  16. 16. • Validar controles identificados; • Executar processo de auditoria de validação das atividades e subprojetos; • Emitir relatório de auditoria; • Apresentar resultado de auditoria; • Executar avaliação de maturidade e comparar com o resultado obtido na Fase 2; e • Apresentar avaliação dos controles. Executar as ações corretivas e preventivas, com base nos resultados• Fase 5 – Implantação de processos de da auditoria interna do SGSI e da manutenção análise crítica pela direção ou outra informação pertinente, para alcançar a melhoria contínua do SGSI. 16 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  17. 17. 17Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  18. 18. MAS ESSAS ATIVIDADES SÃO...COMUNS 18 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  19. 19. O QUE DIFERENCIA? 19 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  20. 20. 20Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  21. 21. 21Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  22. 22. Processo 1 Processo 3 Processo 2 Processo n 22 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  23. 23. Processo 1 Processo 3 Processo 2 Processo n 23 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  24. 24. Negócio Controles Processos/procedimentosnos seus objetivos e no que o suporta 24 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  25. 25. PresidênciaFinanceiro RH TI Produto Marketing SI 25 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  26. 26. PresidênciaFinanceiro RH TI SI Produto Marketing 26 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  27. 27. 27Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  28. 28. OK! MAS ESTAMOS FALANDO DESEGURANÇA DA INFORMAÇÃO 28 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  29. 29. Segurança da informação Disponibilidade Integridade 29 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  30. 30. • Inerente ao ativoVulnerabilidade • Relacionado à fragilidades • Normalmente externo ao ativo Ameaça • Normalmente requer um agente • Grau de exposição de um ativo a Risco uma ameaça • Dá suporte aos gestores 30 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  31. 31. 31Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  32. 32. Reter ou aceitar Uma forma de tratamento de risco na qual a alta administração decide realizar a atividade, assumindo as responsabilidades caso ocorra o risco identificado 04/IN01/DSIC/GSIPR 34 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  33. 33. Transferir ouReter ou aceitar compartilhar Uma forma de tratamento de risco na qual a alta administração decide realizar a atividade, compartilhando com outra entidade o ônus associado a um risco 04/IN01/DSIC/GSIPR 35 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  34. 34. Transferir ouReter ou aceitar compartilhar Processo e implementação de ações de segurança da informação e comunicações para evitar, reduzir, reter ou transferir um risco 04/IN01/DSIC/GSIPR Tratar ou mitigar 36 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  35. 35. Transferir ouReter ou aceitar compartilhar Uma forma de tratamento de risco na qual a alta administração decide realizar a atividade, adotando ações para reduzir a probabilidade, as consequências negativas, ou ambas, associadas a um risco 04/IN01/DSIC/GSIPRReduzir ou evitar Tratar ou mitigar 37 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  36. 36. Transferir ouReter ou aceitar compartilhar 04/IN01/DSIC/GSIPRReduzir ou evitar Tratar ou mitigar 38 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  37. 37. MAS A DEFINIÇÃO DE RISCOS É COMPLEXA... 39 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  38. 38. O QUE PODE SER USADO COMO GUIA? 40 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  39. 39. BS25999 ISO/IEC27005 Decretos e leis Basiléia II SUSEP CVM Basiléia II SOXBasiléia II SOX Decretos e leis BS25999 SUSEP ISO/IEC27005 BS25999 BS25999BS25999 CVMDecretos e leis Basiléia II ISO/IEC27005 SOX Resoluções Normativas ISO31000 SOX ISO31000 Basiléia II Resoluções BS25999 CVMDecretos e leis Normativas SUSEP CVMDecretos e leis BS25999 Decretos e leis BS25999 Resoluções Normativas SOX CVM ISO31000 ISO31000 CVM SOX Decretos e leis ISO31000 Resoluções Normativas ISO31000Resoluções Normativas CVM Resoluções NormativasBasiléia II SUSEPISO/IEC27005 ISO/IEC27005 SOX SUSEP Basiléia II Resoluções Normativas Decretos e leis SOX ISO/IEC27005 ISO/IEC27005 ISO31000 CVM SUSEP ISO31000 ISO/IEC27005 SUSEP Basiléia II SUSEP Resoluções Normativas 41 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  40. 40.  Leis OBRIGATÓRIAS PARA TODOS! Normas Resoluções OBRIGATÓRIAS POR NICHO Regulamentações Boas práticas de mercado 42 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  41. 41. 43Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  42. 42. E QUEM FAZ ISSO TUDO? 44 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  43. 43. CISO EstratégicoArquiteto de SI Tático Arquiteto de SI ISO ISM Operacional Analistas e especialistas 45 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  44. 44. CISO ISO ISM Estratégico Tático Analistas e especialistas Operacional Analistas e especialistas 46Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  45. 45. BEM, VAMOS RESUMIR... 47 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  46. 46. Obter suporte Identificar o estado Traçar objetivos executivo atual alcançáveisUsar embasamento Aplicar pontos de Subdividir emnormativo adequado validação periódica projetos curtos Considerar a ReviseConsiderar o Risco estrutura da periodicamente o para o negócio organização como que você vem ponto de força fazendo 48 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  47. 47. Obter suporte Identificar o estado Traçar objetivos executivo atual alcançáveisUsar embasamento Aplicar pontos de Subdividir emnormativo adequado validação periódica projetos curtos Considerar a ReviseConsiderar o Risco estrutura da periodicamente o para o negócio organização como que você vem ponto de força fazendo 49 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  48. 48. Obrigado comercial@ShieldSaaS.comweb: www.ShieldSaaS.com | twitter: @ShieldSaaS 50 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.

×