SlideShare uma empresa Scribd logo
“COMO GARANTIR A SEGURANÇA DA INFORMAÇÃO
NOS NEGÓCIOS, ADOTANDO A ISO 27001”
Prof. Giovani F. de Sant’Anna MSc, MBA, MCSO, Security+, BS 7799 Lead Auditor
E-mail: gfsantanna@gmail.com
2009
UNIVERSIDADE PRESBITERIANA MACKENZIE
1
• Segurança da Informação
• Estratégia Corporativa
• Riscos
• Gestão de Segurança da Informação
• Empresas Certificadas ISO 27001 no Mundo
• Perguntas
Agenda
Segurança da Informação
e
Riscos
2
 “Segurança é um processo, não um produto.”
(Bruce Schneier)
Livro: Secrets & Lies
3
1a Geração
Portões, Armas, Guardas
Gerenciamento
Tempo
2a Geração
Segurança Reativa
3a Geração
Segurança habilitando
os negócios
4a Geração
Gerenciamento Proativo e
Auditabilidade
Evolução da Segurança
4
Estratégia Corporativa
5
Princípio das Mudanças
6
Sistema de Gestão de
Tecnologia e Segurança da
Informação
Medição
dos
Controles
Aplicação
dos
Controles
ITIL
Novo
Código Civil
Cobit
ISO/IEC 17799:2005
Cobit x Sarbanes
GoodPriv@cy
Melhores Práticas
7
Transparência - Eqüidade - Prestação de Contas -
Responsabilidade Corporativa
Sócios
Conselhode
Administração
Diretoria
Executiva
Auditoria
Práticas
Pilares da
Governança
Corporativa
Princípios
Básicos
ConselhoFiscal
Governança – Princípios, Pilares e Práticas
8
Tecnologia
•1
•2
•3
Processos
Pessoas
A segurança da informação deve considerar 3 fatores críticos de
sucesso e influenciadores dos critérios de proteção.
Fatores críticos de Sucesso
9
•Segurança não é somente
um problema de tecnologia...
•...é a gestão inteligente da
informação em todos os
ambientes!
Quebrando o paradigma
10
11
RISCOS
12
RISCOS
•Vulnerabilidades
•Integridade
•Confidencialidade
•Disponibilidade
•Ativos
Riscos
•Medidas de
Segurança
•Impactos no
negócio
•aumenta•diminui
•aumenta
•aumenta
•aumenta
•Ameaças
•sujeitos
•permitem•limitados
•causam
•protege
•perdas
•Segurança é uma questão de gestão e não somente técnica!
Ciclo de vida da Segurança
13
Categoria dos Riscos
14
15
Gestão de Segurança
da
Informação
16
Governança Corporativa,SI e Riscos...
17
Infraestrututa
Equipamentos
Organizacional
Acessoàinformação
Cópiasdesegurança
Continuidadedonegócio
Ambienteinterconexão
Negócio da organização
Segurança da Informação
Dimensões da Segurança da Informação
Abrangência da ISO 27001 – Sistema Gestão SI
18
NBR ISO / IEC 27002 (ISO 17799:2005)
Código de Prática para Gestão de Segurança da Informação
19
NBR ISO/IEC 17799:2005
134
Controles
20
NBR ISO/IEC 17799:2005
• Política de Segurança da Informação
• Organizando a Segurança da Informação
• Gestão de Ativos
• Classificação da Informação
• Segurança nos Recursos Humanos
• Segurança Física e do Ambiente
• Gerenciamento das Operações e Comunicações
• Controle de Acessos
• Aquisição, Desenvolvimento e Manut. De Sistemas de Informação
• Gestão de Incidentes de Segurança da Informação
• Gestão da Continuidade dos Negócios
• Conformidade
Gerenciamento
de Riscos
Gestão de
Incidentes de
Segurança
17 Novos
Controles foram
Introduzidos
21
Faz recomendações claras sobre
a guarda de mídias de dados de backups
(capítulo 8.4.1)
“Convém que as mídias sejam
controladas e fisicamente protegidas”
“Convém que seja dado às cópias de
segurança um nível adequado de proteção
física e ambiental”
(3 cópias)
Norma Técnica da NBR ISO IEC 17799
22
Norma Técnica da BS EN 1047-1:1997
23
Norma Técnica da BS EN 1047-1:1997
24
Sistema de Gestão
em
Segurança da Informação (SGSI)
ou
Information Security Management
System (ISMS)
25
ISO/IEC 27001:2006
Sistema de Gestão de Segurança da Informação
26
ISO/IEC 27001:2006
27
Sistema Gestão de Segurança da Informação -
SGSI
• É o resultado da aplicação planejada de objetivos,
diretrizes, políticas, procedimentos, modelos e outras
medidas administrativas que, de forma conjunta, define
como são reduzidos os riscos para a segurança da
informação.
– Para as empresas implantarem a norma, para constituir um
SGSI, elas consideram o seguintes pontos:
• Os ativos que estão sendo protegidos;
• O gerenciamento de riscos; e
• Os objetivos de controles e controles implementados.
28
A ISO 27002 e a ISO 27001
• A ISO 27002 define as melhores práticas para a
gestão da segurança da informação.
• A ISO 27001 considera: segurança física,
técnica, procedimental e em pessoas.
• Sem um Sistema de Gestão da Segurança da
Informação formal, existe um grande risco da
segurança ser quebrada.
• A segurança da informação é um processo de
gestão, não é um processo tecnológico.
• A ISO 27001 é a única norma internacional que pode ser
auditada por uma terceira parte.
29
Visão Geral ISO 27001
• Incorpora um processo de escalonamento
de risco e valorização de ativos.
• O grau em que o sistema é formal e contém
processos estruturados irá facilitar a
replicação do sistema de um local para outro.
• O investimento no compromisso da direção
e em treinamento dos funcionários reduz a
probabilidade de ameaças bem sucedidas.
• A infra-estrutura (sistemas de gestão e
processos) pode ser desenvolvida
centralmente e então desdobrada
globalmente.
• Controles adicionais podem ser
incorporados ao SGSI se assim for desejado.
30
• Governança Corporativa
• Melhoria da eficácia da Segurança da Informação
• Diferencial de mercado
• Atender os requisitos de partes interessadas e dos clientes
• Única norma com aceitação global
• Redução potencial no valor do seguro
• Focada nas responsabilidades dos funcionários
• A norma cobre TI bem como a organização, pessoal e instalações
• Conformidade com as legislações
Por que adotar a ABNT NBR ISO/IEC ISO 27001 ?
31
Dificuldades para Implementar um SGSI
• Dificuldade na definição do escopo.
• Dificuldade para desenvolver uma abordagem
sistemática simples e clara para a Gestão de Risco.
• Mesmo existindo Planos de Continuidade de
Negócio, raramente eles são testados de alguma forma.
• Designação da área de TI como responsável por
desenvolver o projeto.
• Falta de visão e “mente aberta” ao estabelecer
os parâmetros dos controles identificados na Norma.
• Falta de ação para identificar e usar controles
fora da norma.
• Limitação de orçamento.
32
Benefícios da Implementação da ISO 27001
• Reduz o risco de responsabilidade pela não implementação ou determinação
de políticas e procedimentos.
• Oportunidade de identificar e corrigir pontos fracos.
• A alta direção assume a responsabilidade pela segurança da informação.
• Permite revisão independente do sistema de gestão da segurança da
Informação.
• Oferece confiança aos parceiros comerciais, partes interessadas, e clientes.
Melhor conscientização sobre segurança.
• Combina recursos com outros Sistemas de Gestão.
• Mecanismo para se medir o sucesso do sistema.
33
Estrutura da Norma NBR ISO/IEC 27001:2006
34
Responsabilidade da Direção / Entendendo comprometimento
Para o bife a cavalo dar certo, a galinha
apenas botou o ovo, já a vaca deu a VIDA.
É muito fácil ser galinha, o difícil é
ser a vaca ?
A Alta Direção precisa estar comprometida,
precisa dar sua carne e seu sangue
E o cavalo ?
Não fez nada e levou a fama
35
Abordagem do Processo
36
Abordagem do Processo
Abordagem do Processo
Modelo PDCA - Aplicado ao SGSI
38
Compatibilidade com outros Sistemas de Gestão
Possível adaptação a sistemas já
existentes na organização
43
A norma ISO 27001:
• Cobre todos os tipos de organizações,
• Especifica requisitos para estabelecer, implementar,
operar, monitorar,analisar criticamente, manter e
melhorar um SGSI documentado dentro do
contexto dos riscos de negócios globais da
organização.
•Especifica requisitos para a implementação de
controles de segurança personalizados para as
necessidades individuais de organizações ou suas
partes.
Objetivo Geral
44
Aplicação
Qualquer Produtos/Serviços
Qualquer Tamanho
Qualquer Tipo
45
Empresas Certificadas ISO 27001
No Mundo
Diferencial Competitivo
46
Região Número de Certificados
Australia 5
Austria 2
Brazil 2
China 5
Egypt 1
Finland 8
Germany 8
Greece 2
Hong Kong 7
Hungary 3
Iceland 1
India 13
Ireland 3
Italy 11
Japan 34
Korea 11
Malaysia 1
Mexico 1
Norway 7
Singapore 9
Spain 1
Sweden 4
Switzerland 1
Taiwan 4
UAE 1
UK  91
USA 3
TOTAL 239
Em 2000:
Registros de Certificações
47
Em Junho de 2004:
Japan 365 USA 9 Argentina 1
UK 139 Ireland 8 Egypt 1
India 34 China 6 Macau 1
Germany 24 Sweden 4 Malaysia 1
Korea 23 Austria 3 Netherlands 1
Taiwan 20 Brazil 3 Poland 1
Italy 18 Iceland 3 Qatar 1
Hong Kong 15 Mexico 3 Saudi Arabia 1
Singapore 11 Switzerland 3 Slovenia 1
Australia 10 Belgium 2 South Africa 1
Finland 10 Denmark 2 Spain 1
Hungary 9 Greece 2 Relative Total 749
Norway 9 UAE 2 Absolute Total 744
Registros de Certificações
48
Em Novembro de 2006
Registros de Certificações
49
Em Novembro de 2006
Registros de Certificações
50
fonte: http://www.iso27001certificates.com/
Registros de Certificações
Em Março de 2007
51
fonte: http://www.iso27001certificates.com/
Registros de Certificações
Em Março de 2007
52
Em Maio de 2009
Registros de Certificações
53
Financeiro Governo Telecom Comércio e IndústriaServiços
Algumas Empresas Certificadas
fonte: http://www.iso27001certificates.com/
Em MAIO de 2009
54
55
OBRIGADO

Mais conteúdo relacionado

Mais procurados

Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsi
Rafael Maia
 
Especificações da ISO para gestão de Segurança da Informação
Especificações da ISO para gestão de Segurança da InformaçãoEspecificações da ISO para gestão de Segurança da Informação
Especificações da ISO para gestão de Segurança da Informação
Laís Berlatto
 
Resumo ISO 27002
Resumo ISO 27002Resumo ISO 27002
Resumo ISO 27002
Fernando Palma
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
jcfarit
 
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Darly Goes
 
Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002
Cleber Fonseca
 
Apresentação - ISO 27001
Apresentação - ISO 27001Apresentação - ISO 27001
Apresentação - ISO 27001
William Martins
 
Iso iec-27001
Iso iec-27001Iso iec-27001
Iso iec-27001
marcos.santosrs
 
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...
Marcelo Veloso
 
Certificacao iso 27001
Certificacao iso 27001Certificacao iso 27001
Certificacao iso 27001
Andre Verdugal
 
Gestão de segurança da informação para concursos questões cespe 01
Gestão de segurança da informação para concursos   questões cespe 01Gestão de segurança da informação para concursos   questões cespe 01
Gestão de segurança da informação para concursos questões cespe 01
Fernando Palma
 
Seminario iso 27000 pronto
Seminario iso 27000 prontoSeminario iso 27000 pronto
Seminario iso 27000 pronto
Angélica Mancini
 
Gestão de segurança da informação para concursos-questões CESPE 04
Gestão de segurança da informação para concursos-questões CESPE 04Gestão de segurança da informação para concursos-questões CESPE 04
Gestão de segurança da informação para concursos-questões CESPE 04
Fernando Palma
 
Aulão beneficente
Aulão beneficenteAulão beneficente
Aulão beneficente
Vanessa Lins
 
ISO 27001 4
ISO 27001 4ISO 27001 4
ISO 27001 4
jcfarit
 
ITIL Security - Uma Visão de Segurança por Processos
ITIL Security - Uma Visão de Segurança por ProcessosITIL Security - Uma Visão de Segurança por Processos
ITIL Security - Uma Visão de Segurança por Processos
Rafael Maia
 
Estudo de caso iso 27005
Estudo de caso iso 27005Estudo de caso iso 27005
Estudo de caso iso 27005
Didimax
 
Implementação do SGSI - Eng. Abraao Sakelo - BPC
Implementação do SGSI - Eng. Abraao Sakelo - BPCImplementação do SGSI - Eng. Abraao Sakelo - BPC
Implementação do SGSI - Eng. Abraao Sakelo - BPC
Abraão Sakelo
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
jcfarit
 
Governança de TI e Segurança da Informação
Governança de TI e Segurança da InformaçãoGovernança de TI e Segurança da Informação
Governança de TI e Segurança da Informação
TI Infnet
 

Mais procurados (20)

Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsi
 
Especificações da ISO para gestão de Segurança da Informação
Especificações da ISO para gestão de Segurança da InformaçãoEspecificações da ISO para gestão de Segurança da Informação
Especificações da ISO para gestão de Segurança da Informação
 
Resumo ISO 27002
Resumo ISO 27002Resumo ISO 27002
Resumo ISO 27002
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
 
Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002
 
Apresentação - ISO 27001
Apresentação - ISO 27001Apresentação - ISO 27001
Apresentação - ISO 27001
 
Iso iec-27001
Iso iec-27001Iso iec-27001
Iso iec-27001
 
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...
 
Certificacao iso 27001
Certificacao iso 27001Certificacao iso 27001
Certificacao iso 27001
 
Gestão de segurança da informação para concursos questões cespe 01
Gestão de segurança da informação para concursos   questões cespe 01Gestão de segurança da informação para concursos   questões cespe 01
Gestão de segurança da informação para concursos questões cespe 01
 
Seminario iso 27000 pronto
Seminario iso 27000 prontoSeminario iso 27000 pronto
Seminario iso 27000 pronto
 
Gestão de segurança da informação para concursos-questões CESPE 04
Gestão de segurança da informação para concursos-questões CESPE 04Gestão de segurança da informação para concursos-questões CESPE 04
Gestão de segurança da informação para concursos-questões CESPE 04
 
Aulão beneficente
Aulão beneficenteAulão beneficente
Aulão beneficente
 
ISO 27001 4
ISO 27001 4ISO 27001 4
ISO 27001 4
 
ITIL Security - Uma Visão de Segurança por Processos
ITIL Security - Uma Visão de Segurança por ProcessosITIL Security - Uma Visão de Segurança por Processos
ITIL Security - Uma Visão de Segurança por Processos
 
Estudo de caso iso 27005
Estudo de caso iso 27005Estudo de caso iso 27005
Estudo de caso iso 27005
 
Implementação do SGSI - Eng. Abraao Sakelo - BPC
Implementação do SGSI - Eng. Abraao Sakelo - BPCImplementação do SGSI - Eng. Abraao Sakelo - BPC
Implementação do SGSI - Eng. Abraao Sakelo - BPC
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Governança de TI e Segurança da Informação
Governança de TI e Segurança da InformaçãoGovernança de TI e Segurança da Informação
Governança de TI e Segurança da Informação
 

Semelhante a Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009

NBR ISO/IEC 27001
NBR ISO/IEC 27001NBR ISO/IEC 27001
NBR ISO/IEC 27001
Amanda Luz
 
Auditoria e Segurança em TI
Auditoria e Segurança em TIAuditoria e Segurança em TI
Auditoria e Segurança em TI
Wagner Silva
 
Catalogo parte2
Catalogo parte2Catalogo parte2
Catalogo parte2
Catia Marques
 
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05   segurança e auditoria de sistemas - organizando a segurançaMemória de aula 05   segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Paulo Garcia
 
Segurança da informação - Parte 2
Segurança da informação - Parte 2Segurança da informação - Parte 2
Segurança da informação - Parte 2
Fabrício Basto
 
Política e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticosPolítica e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticos
Bruno Oliveira
 
Normas de Segurança da Informação - Família ISO/IEC 27000
Normas de Segurança da Informação - Família ISO/IEC 27000Normas de Segurança da Informação - Família ISO/IEC 27000
Normas de Segurança da Informação - Família ISO/IEC 27000
Kleber Silva
 
PECB Webinar: ISO 22301 Iteration with other standards and good practices
PECB Webinar: ISO 22301 Iteration with other standards and good practicesPECB Webinar: ISO 22301 Iteration with other standards and good practices
PECB Webinar: ISO 22301 Iteration with other standards and good practices
PECB
 
ISO 22301 and its iteration with other standards and good practices
ISO 22301 and its iteration with other standards and good practicesISO 22301 and its iteration with other standards and good practices
ISO 22301 and its iteration with other standards and good practices
Sidney Modenesi, MBCI
 
Resumo ISO 27002 para Concurso
Resumo ISO 27002 para ConcursoResumo ISO 27002 para Concurso
Resumo ISO 27002 para Concurso
luanrjesus
 
Normas da família ISO 27000
Normas da família ISO 27000Normas da família ISO 27000
Normas da família ISO 27000
Fernando Palma
 
ISO 27001 -3
ISO 27001 -3 ISO 27001 -3
ISO 27001 -3
jcfarit
 
Nbr iso 27001 2006 - gestão de segurança da informação
Nbr iso 27001 2006 - gestão de segurança da informaçãoNbr iso 27001 2006 - gestão de segurança da informação
Nbr iso 27001 2006 - gestão de segurança da informação
Dilamar Hoffmann
 
Nbr iso iec 27001-2006
Nbr iso iec 27001-2006Nbr iso iec 27001-2006
Nbr iso iec 27001-2006
J Flávia Sales
 
27001 consulta publica
27001 consulta publica27001 consulta publica
27001 consulta publica
Osanam Giordane da Costa Junior
 
Kickoff-ISO 27001 motivos e como implementar
Kickoff-ISO 27001 motivos e como implementarKickoff-ISO 27001 motivos e como implementar
Kickoff-ISO 27001 motivos e como implementar
Arthur Tofolo Washington
 
Rischio - Segurança da Informação
Rischio - Segurança da InformaçãoRischio - Segurança da Informação
Rischio - Segurança da Informação
Allan Piter Pressi
 
Segurança da Informação e Governança em TI
Segurança da Informação e Governança em TISegurança da Informação e Governança em TI
Segurança da Informação e Governança em TI
Congresso Catarinense de Ciências da Computação
 
ISO IEC 27001 - 2013
ISO IEC 27001 - 2013ISO IEC 27001 - 2013
ISO IEC 27001 - 2013
Felipe Prado
 
Como implementar um SGSI eficiente na empresa
Como implementar um SGSI eficiente na empresaComo implementar um SGSI eficiente na empresa
Como implementar um SGSI eficiente na empresa
ESET Brasil
 

Semelhante a Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009 (20)

NBR ISO/IEC 27001
NBR ISO/IEC 27001NBR ISO/IEC 27001
NBR ISO/IEC 27001
 
Auditoria e Segurança em TI
Auditoria e Segurança em TIAuditoria e Segurança em TI
Auditoria e Segurança em TI
 
Catalogo parte2
Catalogo parte2Catalogo parte2
Catalogo parte2
 
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05   segurança e auditoria de sistemas - organizando a segurançaMemória de aula 05   segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
 
Segurança da informação - Parte 2
Segurança da informação - Parte 2Segurança da informação - Parte 2
Segurança da informação - Parte 2
 
Política e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticosPolítica e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticos
 
Normas de Segurança da Informação - Família ISO/IEC 27000
Normas de Segurança da Informação - Família ISO/IEC 27000Normas de Segurança da Informação - Família ISO/IEC 27000
Normas de Segurança da Informação - Família ISO/IEC 27000
 
PECB Webinar: ISO 22301 Iteration with other standards and good practices
PECB Webinar: ISO 22301 Iteration with other standards and good practicesPECB Webinar: ISO 22301 Iteration with other standards and good practices
PECB Webinar: ISO 22301 Iteration with other standards and good practices
 
ISO 22301 and its iteration with other standards and good practices
ISO 22301 and its iteration with other standards and good practicesISO 22301 and its iteration with other standards and good practices
ISO 22301 and its iteration with other standards and good practices
 
Resumo ISO 27002 para Concurso
Resumo ISO 27002 para ConcursoResumo ISO 27002 para Concurso
Resumo ISO 27002 para Concurso
 
Normas da família ISO 27000
Normas da família ISO 27000Normas da família ISO 27000
Normas da família ISO 27000
 
ISO 27001 -3
ISO 27001 -3 ISO 27001 -3
ISO 27001 -3
 
Nbr iso 27001 2006 - gestão de segurança da informação
Nbr iso 27001 2006 - gestão de segurança da informaçãoNbr iso 27001 2006 - gestão de segurança da informação
Nbr iso 27001 2006 - gestão de segurança da informação
 
Nbr iso iec 27001-2006
Nbr iso iec 27001-2006Nbr iso iec 27001-2006
Nbr iso iec 27001-2006
 
27001 consulta publica
27001 consulta publica27001 consulta publica
27001 consulta publica
 
Kickoff-ISO 27001 motivos e como implementar
Kickoff-ISO 27001 motivos e como implementarKickoff-ISO 27001 motivos e como implementar
Kickoff-ISO 27001 motivos e como implementar
 
Rischio - Segurança da Informação
Rischio - Segurança da InformaçãoRischio - Segurança da Informação
Rischio - Segurança da Informação
 
Segurança da Informação e Governança em TI
Segurança da Informação e Governança em TISegurança da Informação e Governança em TI
Segurança da Informação e Governança em TI
 
ISO IEC 27001 - 2013
ISO IEC 27001 - 2013ISO IEC 27001 - 2013
ISO IEC 27001 - 2013
 
Como implementar um SGSI eficiente na empresa
Como implementar um SGSI eficiente na empresaComo implementar um SGSI eficiente na empresa
Como implementar um SGSI eficiente na empresa
 

Último

Segurança Digital Pessoal e Boas Práticas
Segurança Digital Pessoal e Boas PráticasSegurança Digital Pessoal e Boas Práticas
Segurança Digital Pessoal e Boas Práticas
Danilo Pinotti
 
Escola Virtual - Fundação Bradesco - ITIL - Gabriel Faustino.pdf
Escola Virtual - Fundação Bradesco - ITIL - Gabriel Faustino.pdfEscola Virtual - Fundação Bradesco - ITIL - Gabriel Faustino.pdf
Escola Virtual - Fundação Bradesco - ITIL - Gabriel Faustino.pdf
Gabriel de Mattos Faustino
 
PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...
PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...
PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...
Faga1939
 
Manual-de-Credenciamento ANATER 2023.pdf
Manual-de-Credenciamento ANATER 2023.pdfManual-de-Credenciamento ANATER 2023.pdf
Manual-de-Credenciamento ANATER 2023.pdf
WELITONNOGUEIRA3
 
Logica de Progamacao - Aula (1) (1).pptx
Logica de Progamacao - Aula (1) (1).pptxLogica de Progamacao - Aula (1) (1).pptx
Logica de Progamacao - Aula (1) (1).pptx
Momento da Informática
 
TOO - TÉCNICAS DE ORIENTAÇÃO A OBJETOS aula 1.pdf
TOO - TÉCNICAS DE ORIENTAÇÃO A OBJETOS aula 1.pdfTOO - TÉCNICAS DE ORIENTAÇÃO A OBJETOS aula 1.pdf
TOO - TÉCNICAS DE ORIENTAÇÃO A OBJETOS aula 1.pdf
Momento da Informática
 
História da Rádio- 1936-1970 século XIX .2.pptx
História da Rádio- 1936-1970 século XIX   .2.pptxHistória da Rádio- 1936-1970 século XIX   .2.pptx
História da Rádio- 1936-1970 século XIX .2.pptx
TomasSousa7
 

Último (7)

Segurança Digital Pessoal e Boas Práticas
Segurança Digital Pessoal e Boas PráticasSegurança Digital Pessoal e Boas Práticas
Segurança Digital Pessoal e Boas Práticas
 
Escola Virtual - Fundação Bradesco - ITIL - Gabriel Faustino.pdf
Escola Virtual - Fundação Bradesco - ITIL - Gabriel Faustino.pdfEscola Virtual - Fundação Bradesco - ITIL - Gabriel Faustino.pdf
Escola Virtual - Fundação Bradesco - ITIL - Gabriel Faustino.pdf
 
PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...
PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...
PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...
 
Manual-de-Credenciamento ANATER 2023.pdf
Manual-de-Credenciamento ANATER 2023.pdfManual-de-Credenciamento ANATER 2023.pdf
Manual-de-Credenciamento ANATER 2023.pdf
 
Logica de Progamacao - Aula (1) (1).pptx
Logica de Progamacao - Aula (1) (1).pptxLogica de Progamacao - Aula (1) (1).pptx
Logica de Progamacao - Aula (1) (1).pptx
 
TOO - TÉCNICAS DE ORIENTAÇÃO A OBJETOS aula 1.pdf
TOO - TÉCNICAS DE ORIENTAÇÃO A OBJETOS aula 1.pdfTOO - TÉCNICAS DE ORIENTAÇÃO A OBJETOS aula 1.pdf
TOO - TÉCNICAS DE ORIENTAÇÃO A OBJETOS aula 1.pdf
 
História da Rádio- 1936-1970 século XIX .2.pptx
História da Rádio- 1936-1970 século XIX   .2.pptxHistória da Rádio- 1936-1970 século XIX   .2.pptx
História da Rádio- 1936-1970 século XIX .2.pptx
 

Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009

  • 1. “COMO GARANTIR A SEGURANÇA DA INFORMAÇÃO NOS NEGÓCIOS, ADOTANDO A ISO 27001” Prof. Giovani F. de Sant’Anna MSc, MBA, MCSO, Security+, BS 7799 Lead Auditor E-mail: gfsantanna@gmail.com 2009 UNIVERSIDADE PRESBITERIANA MACKENZIE
  • 2. 1 • Segurança da Informação • Estratégia Corporativa • Riscos • Gestão de Segurança da Informação • Empresas Certificadas ISO 27001 no Mundo • Perguntas Agenda
  • 4.  “Segurança é um processo, não um produto.” (Bruce Schneier) Livro: Secrets & Lies 3
  • 5. 1a Geração Portões, Armas, Guardas Gerenciamento Tempo 2a Geração Segurança Reativa 3a Geração Segurança habilitando os negócios 4a Geração Gerenciamento Proativo e Auditabilidade Evolução da Segurança 4
  • 8. Sistema de Gestão de Tecnologia e Segurança da Informação Medição dos Controles Aplicação dos Controles ITIL Novo Código Civil Cobit ISO/IEC 17799:2005 Cobit x Sarbanes GoodPriv@cy Melhores Práticas 7
  • 9. Transparência - Eqüidade - Prestação de Contas - Responsabilidade Corporativa Sócios Conselhode Administração Diretoria Executiva Auditoria Práticas Pilares da Governança Corporativa Princípios Básicos ConselhoFiscal Governança – Princípios, Pilares e Práticas 8
  • 10. Tecnologia •1 •2 •3 Processos Pessoas A segurança da informação deve considerar 3 fatores críticos de sucesso e influenciadores dos critérios de proteção. Fatores críticos de Sucesso 9
  • 11. •Segurança não é somente um problema de tecnologia... •...é a gestão inteligente da informação em todos os ambientes! Quebrando o paradigma 10
  • 19. Abrangência da ISO 27001 – Sistema Gestão SI 18
  • 20. NBR ISO / IEC 27002 (ISO 17799:2005) Código de Prática para Gestão de Segurança da Informação 19
  • 22. NBR ISO/IEC 17799:2005 • Política de Segurança da Informação • Organizando a Segurança da Informação • Gestão de Ativos • Classificação da Informação • Segurança nos Recursos Humanos • Segurança Física e do Ambiente • Gerenciamento das Operações e Comunicações • Controle de Acessos • Aquisição, Desenvolvimento e Manut. De Sistemas de Informação • Gestão de Incidentes de Segurança da Informação • Gestão da Continuidade dos Negócios • Conformidade Gerenciamento de Riscos Gestão de Incidentes de Segurança 17 Novos Controles foram Introduzidos 21
  • 23. Faz recomendações claras sobre a guarda de mídias de dados de backups (capítulo 8.4.1) “Convém que as mídias sejam controladas e fisicamente protegidas” “Convém que seja dado às cópias de segurança um nível adequado de proteção física e ambiental” (3 cópias) Norma Técnica da NBR ISO IEC 17799 22
  • 24. Norma Técnica da BS EN 1047-1:1997 23
  • 25. Norma Técnica da BS EN 1047-1:1997 24
  • 26. Sistema de Gestão em Segurança da Informação (SGSI) ou Information Security Management System (ISMS) 25
  • 27. ISO/IEC 27001:2006 Sistema de Gestão de Segurança da Informação 26
  • 29. Sistema Gestão de Segurança da Informação - SGSI • É o resultado da aplicação planejada de objetivos, diretrizes, políticas, procedimentos, modelos e outras medidas administrativas que, de forma conjunta, define como são reduzidos os riscos para a segurança da informação. – Para as empresas implantarem a norma, para constituir um SGSI, elas consideram o seguintes pontos: • Os ativos que estão sendo protegidos; • O gerenciamento de riscos; e • Os objetivos de controles e controles implementados. 28
  • 30. A ISO 27002 e a ISO 27001 • A ISO 27002 define as melhores práticas para a gestão da segurança da informação. • A ISO 27001 considera: segurança física, técnica, procedimental e em pessoas. • Sem um Sistema de Gestão da Segurança da Informação formal, existe um grande risco da segurança ser quebrada. • A segurança da informação é um processo de gestão, não é um processo tecnológico. • A ISO 27001 é a única norma internacional que pode ser auditada por uma terceira parte. 29
  • 31. Visão Geral ISO 27001 • Incorpora um processo de escalonamento de risco e valorização de ativos. • O grau em que o sistema é formal e contém processos estruturados irá facilitar a replicação do sistema de um local para outro. • O investimento no compromisso da direção e em treinamento dos funcionários reduz a probabilidade de ameaças bem sucedidas. • A infra-estrutura (sistemas de gestão e processos) pode ser desenvolvida centralmente e então desdobrada globalmente. • Controles adicionais podem ser incorporados ao SGSI se assim for desejado. 30
  • 32. • Governança Corporativa • Melhoria da eficácia da Segurança da Informação • Diferencial de mercado • Atender os requisitos de partes interessadas e dos clientes • Única norma com aceitação global • Redução potencial no valor do seguro • Focada nas responsabilidades dos funcionários • A norma cobre TI bem como a organização, pessoal e instalações • Conformidade com as legislações Por que adotar a ABNT NBR ISO/IEC ISO 27001 ? 31
  • 33. Dificuldades para Implementar um SGSI • Dificuldade na definição do escopo. • Dificuldade para desenvolver uma abordagem sistemática simples e clara para a Gestão de Risco. • Mesmo existindo Planos de Continuidade de Negócio, raramente eles são testados de alguma forma. • Designação da área de TI como responsável por desenvolver o projeto. • Falta de visão e “mente aberta” ao estabelecer os parâmetros dos controles identificados na Norma. • Falta de ação para identificar e usar controles fora da norma. • Limitação de orçamento. 32
  • 34. Benefícios da Implementação da ISO 27001 • Reduz o risco de responsabilidade pela não implementação ou determinação de políticas e procedimentos. • Oportunidade de identificar e corrigir pontos fracos. • A alta direção assume a responsabilidade pela segurança da informação. • Permite revisão independente do sistema de gestão da segurança da Informação. • Oferece confiança aos parceiros comerciais, partes interessadas, e clientes. Melhor conscientização sobre segurança. • Combina recursos com outros Sistemas de Gestão. • Mecanismo para se medir o sucesso do sistema. 33
  • 35. Estrutura da Norma NBR ISO/IEC 27001:2006 34
  • 36. Responsabilidade da Direção / Entendendo comprometimento Para o bife a cavalo dar certo, a galinha apenas botou o ovo, já a vaca deu a VIDA. É muito fácil ser galinha, o difícil é ser a vaca ? A Alta Direção precisa estar comprometida, precisa dar sua carne e seu sangue E o cavalo ? Não fez nada e levou a fama 35
  • 39. Abordagem do Processo Modelo PDCA - Aplicado ao SGSI 38
  • 40. Compatibilidade com outros Sistemas de Gestão Possível adaptação a sistemas já existentes na organização 43
  • 41. A norma ISO 27001: • Cobre todos os tipos de organizações, • Especifica requisitos para estabelecer, implementar, operar, monitorar,analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negócios globais da organização. •Especifica requisitos para a implementação de controles de segurança personalizados para as necessidades individuais de organizações ou suas partes. Objetivo Geral 44
  • 43. Empresas Certificadas ISO 27001 No Mundo Diferencial Competitivo 46
  • 44. Região Número de Certificados Australia 5 Austria 2 Brazil 2 China 5 Egypt 1 Finland 8 Germany 8 Greece 2 Hong Kong 7 Hungary 3 Iceland 1 India 13 Ireland 3 Italy 11 Japan 34 Korea 11 Malaysia 1 Mexico 1 Norway 7 Singapore 9 Spain 1 Sweden 4 Switzerland 1 Taiwan 4 UAE 1 UK  91 USA 3 TOTAL 239 Em 2000: Registros de Certificações 47
  • 45. Em Junho de 2004: Japan 365 USA 9 Argentina 1 UK 139 Ireland 8 Egypt 1 India 34 China 6 Macau 1 Germany 24 Sweden 4 Malaysia 1 Korea 23 Austria 3 Netherlands 1 Taiwan 20 Brazil 3 Poland 1 Italy 18 Iceland 3 Qatar 1 Hong Kong 15 Mexico 3 Saudi Arabia 1 Singapore 11 Switzerland 3 Slovenia 1 Australia 10 Belgium 2 South Africa 1 Finland 10 Denmark 2 Spain 1 Hungary 9 Greece 2 Relative Total 749 Norway 9 UAE 2 Absolute Total 744 Registros de Certificações 48
  • 46. Em Novembro de 2006 Registros de Certificações 49
  • 47. Em Novembro de 2006 Registros de Certificações 50
  • 48. fonte: http://www.iso27001certificates.com/ Registros de Certificações Em Março de 2007 51
  • 49. fonte: http://www.iso27001certificates.com/ Registros de Certificações Em Março de 2007 52
  • 50. Em Maio de 2009 Registros de Certificações 53
  • 51. Financeiro Governo Telecom Comércio e IndústriaServiços Algumas Empresas Certificadas fonte: http://www.iso27001certificates.com/ Em MAIO de 2009 54