O documento discute a adoção da norma ISO 27001 para garantir a segurança da informação nos negócios. Ele explica que a ISO 27001 estabelece os requisitos para um Sistema de Gestão de Segurança da Informação efetivo que considera fatores como governança, riscos, controles e gestão de incidentes. Além disso, destaca os benefícios da certificação, como redução de riscos, conformidade legal e confiança de parceiros. Por fim, fornece estatísticas sobre o crescimento no número de empresas certificadas global
Webex posicionando as principais diferenças entre as normas ISO/IEC 27002:2005 para a ISO/IEC 27002:2011.
Palestra feita pela PMG Academy, patrocinada pela EXIN
Webex posicionando as principais diferenças entre as normas ISO/IEC 27002:2005 para a ISO/IEC 27002:2011.
Palestra feita pela PMG Academy, patrocinada pela EXIN
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...Marcelo Veloso
O trabalho apresenta os conceitos de duas normas internacionais que tratam do gerenciamento de riscos, e uma análise comparativa para verificar o nível de aderência da norma específica para gerenciamento de riscos de segurança da informação com a norma genérica de gerenciamento de riscos.
ITIL Security - Uma Visão de Segurança por ProcessosRafael Maia
Demonstrar como o processo de gerenciamento de segurança da informação(SI) da(o) ITIL, pode ser utilizado como melhor prática, somando a outras, para trazer SI às organizações.
Apresentação realizado no Sábado com TIC Masters da Sucesu Ceará
Auditoria e Segurança em Tecnologia da Informação - Slides referentes à participação em Estágio Docência no Mestrado em Administração da UFS na disciplina 'Gestão de TI'
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...Marcelo Veloso
O trabalho apresenta os conceitos de duas normas internacionais que tratam do gerenciamento de riscos, e uma análise comparativa para verificar o nível de aderência da norma específica para gerenciamento de riscos de segurança da informação com a norma genérica de gerenciamento de riscos.
ITIL Security - Uma Visão de Segurança por ProcessosRafael Maia
Demonstrar como o processo de gerenciamento de segurança da informação(SI) da(o) ITIL, pode ser utilizado como melhor prática, somando a outras, para trazer SI às organizações.
Apresentação realizado no Sábado com TIC Masters da Sucesu Ceará
Auditoria e Segurança em Tecnologia da Informação - Slides referentes à participação em Estágio Docência no Mestrado em Administração da UFS na disciplina 'Gestão de TI'
Normas de Segurança da Informação - Família ISO/IEC 27000Kleber Silva
Resumo sobre as principais normas de Segurança da Informação - Familia ISO/IEC 27000, atualizado em 2019.
Aula ministrada em 12 Nov 19 no curso de Gestão de TI da Faculdade FECAF, em Taboão da Serra-SP. Disciplina: Segurança da Informação.
Prof. Kleber Silva (kleber.silva@pro.fecaf.com.br)
PECB Webinar: ISO 22301 Iteration with other standards and good practicesPECB
The webinar covers:
In this webinar we will hear how the iteration of other standards and good practices can enhance the deployment of ISO 22301 and vice versa. In addition, the impacts in not having this iteration will be covered as well.
Presenter:
This session was presented by PECB Partner and Trainer Mr. Sidney R. Modenesi, MBCI. He has more than 30 years’ experience in Business Continuity and a strong background in ICT.
Link of the recorded session published on YouTube: https://youtu.be/R9_O7UAY58E
ISO 22301 and its iteration with other standards and good practicesSidney Modenesi, MBCI
In this webinar I will cover in a high level perspective the ISO 22301 evolution and the main iterations between ISO 22301 with other relevant standards and good practices.
Potentially we may have iterations with other ISO, BS and local standards in your country or good practices I may not be aware of.
I highly appreciate your feedback to improve and update this presentation.
Thank you.
Vídeo desta palestra aqui: https://www.youtube.com/watch?v=oWQnvuDsd5c
Palestra virtual: Conheça mais de 40 normas da família ISO 27000.
Mais sobre normas ISO 2700 e segurança da informação: http://goo.gl/KNwVmZ
Como implementar um SGSI eficiente na empresaESET Brasil
Muitas empresas não sabem como implementar um SGSI ou acreditam que é um esforço excessivo. Este infográfico mostra os elementos essenciais que devem ser considerados.
Semelhante a Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009 (20)
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
1. “COMO GARANTIR A SEGURANÇA DA INFORMAÇÃO
NOS NEGÓCIOS, ADOTANDO A ISO 27001”
Prof. Giovani F. de Sant’Anna MSc, MBA, MCSO, Security+, BS 7799 Lead Auditor
E-mail: gfsantanna@gmail.com
2009
UNIVERSIDADE PRESBITERIANA MACKENZIE
2. 1
• Segurança da Informação
• Estratégia Corporativa
• Riscos
• Gestão de Segurança da Informação
• Empresas Certificadas ISO 27001 no Mundo
• Perguntas
Agenda
8. Sistema de Gestão de
Tecnologia e Segurança da
Informação
Medição
dos
Controles
Aplicação
dos
Controles
ITIL
Novo
Código Civil
Cobit
ISO/IEC 17799:2005
Cobit x Sarbanes
GoodPriv@cy
Melhores Práticas
7
22. NBR ISO/IEC 17799:2005
• Política de Segurança da Informação
• Organizando a Segurança da Informação
• Gestão de Ativos
• Classificação da Informação
• Segurança nos Recursos Humanos
• Segurança Física e do Ambiente
• Gerenciamento das Operações e Comunicações
• Controle de Acessos
• Aquisição, Desenvolvimento e Manut. De Sistemas de Informação
• Gestão de Incidentes de Segurança da Informação
• Gestão da Continuidade dos Negócios
• Conformidade
Gerenciamento
de Riscos
Gestão de
Incidentes de
Segurança
17 Novos
Controles foram
Introduzidos
21
23. Faz recomendações claras sobre
a guarda de mídias de dados de backups
(capítulo 8.4.1)
“Convém que as mídias sejam
controladas e fisicamente protegidas”
“Convém que seja dado às cópias de
segurança um nível adequado de proteção
física e ambiental”
(3 cópias)
Norma Técnica da NBR ISO IEC 17799
22
29. Sistema Gestão de Segurança da Informação -
SGSI
• É o resultado da aplicação planejada de objetivos,
diretrizes, políticas, procedimentos, modelos e outras
medidas administrativas que, de forma conjunta, define
como são reduzidos os riscos para a segurança da
informação.
– Para as empresas implantarem a norma, para constituir um
SGSI, elas consideram o seguintes pontos:
• Os ativos que estão sendo protegidos;
• O gerenciamento de riscos; e
• Os objetivos de controles e controles implementados.
28
30. A ISO 27002 e a ISO 27001
• A ISO 27002 define as melhores práticas para a
gestão da segurança da informação.
• A ISO 27001 considera: segurança física,
técnica, procedimental e em pessoas.
• Sem um Sistema de Gestão da Segurança da
Informação formal, existe um grande risco da
segurança ser quebrada.
• A segurança da informação é um processo de
gestão, não é um processo tecnológico.
• A ISO 27001 é a única norma internacional que pode ser
auditada por uma terceira parte.
29
31. Visão Geral ISO 27001
• Incorpora um processo de escalonamento
de risco e valorização de ativos.
• O grau em que o sistema é formal e contém
processos estruturados irá facilitar a
replicação do sistema de um local para outro.
• O investimento no compromisso da direção
e em treinamento dos funcionários reduz a
probabilidade de ameaças bem sucedidas.
• A infra-estrutura (sistemas de gestão e
processos) pode ser desenvolvida
centralmente e então desdobrada
globalmente.
• Controles adicionais podem ser
incorporados ao SGSI se assim for desejado.
30
32. • Governança Corporativa
• Melhoria da eficácia da Segurança da Informação
• Diferencial de mercado
• Atender os requisitos de partes interessadas e dos clientes
• Única norma com aceitação global
• Redução potencial no valor do seguro
• Focada nas responsabilidades dos funcionários
• A norma cobre TI bem como a organização, pessoal e instalações
• Conformidade com as legislações
Por que adotar a ABNT NBR ISO/IEC ISO 27001 ?
31
33. Dificuldades para Implementar um SGSI
• Dificuldade na definição do escopo.
• Dificuldade para desenvolver uma abordagem
sistemática simples e clara para a Gestão de Risco.
• Mesmo existindo Planos de Continuidade de
Negócio, raramente eles são testados de alguma forma.
• Designação da área de TI como responsável por
desenvolver o projeto.
• Falta de visão e “mente aberta” ao estabelecer
os parâmetros dos controles identificados na Norma.
• Falta de ação para identificar e usar controles
fora da norma.
• Limitação de orçamento.
32
34. Benefícios da Implementação da ISO 27001
• Reduz o risco de responsabilidade pela não implementação ou determinação
de políticas e procedimentos.
• Oportunidade de identificar e corrigir pontos fracos.
• A alta direção assume a responsabilidade pela segurança da informação.
• Permite revisão independente do sistema de gestão da segurança da
Informação.
• Oferece confiança aos parceiros comerciais, partes interessadas, e clientes.
Melhor conscientização sobre segurança.
• Combina recursos com outros Sistemas de Gestão.
• Mecanismo para se medir o sucesso do sistema.
33
36. Responsabilidade da Direção / Entendendo comprometimento
Para o bife a cavalo dar certo, a galinha
apenas botou o ovo, já a vaca deu a VIDA.
É muito fácil ser galinha, o difícil é
ser a vaca ?
A Alta Direção precisa estar comprometida,
precisa dar sua carne e seu sangue
E o cavalo ?
Não fez nada e levou a fama
35
40. Compatibilidade com outros Sistemas de Gestão
Possível adaptação a sistemas já
existentes na organização
43
41. A norma ISO 27001:
• Cobre todos os tipos de organizações,
• Especifica requisitos para estabelecer, implementar,
operar, monitorar,analisar criticamente, manter e
melhorar um SGSI documentado dentro do
contexto dos riscos de negócios globais da
organização.
•Especifica requisitos para a implementação de
controles de segurança personalizados para as
necessidades individuais de organizações ou suas
partes.
Objetivo Geral
44
44. Região Número de Certificados
Australia 5
Austria 2
Brazil 2
China 5
Egypt 1
Finland 8
Germany 8
Greece 2
Hong Kong 7
Hungary 3
Iceland 1
India 13
Ireland 3
Italy 11
Japan 34
Korea 11
Malaysia 1
Mexico 1
Norway 7
Singapore 9
Spain 1
Sweden 4
Switzerland 1
Taiwan 4
UAE 1
UK 91
USA 3
TOTAL 239
Em 2000:
Registros de Certificações
47
45. Em Junho de 2004:
Japan 365 USA 9 Argentina 1
UK 139 Ireland 8 Egypt 1
India 34 China 6 Macau 1
Germany 24 Sweden 4 Malaysia 1
Korea 23 Austria 3 Netherlands 1
Taiwan 20 Brazil 3 Poland 1
Italy 18 Iceland 3 Qatar 1
Hong Kong 15 Mexico 3 Saudi Arabia 1
Singapore 11 Switzerland 3 Slovenia 1
Australia 10 Belgium 2 South Africa 1
Finland 10 Denmark 2 Spain 1
Hungary 9 Greece 2 Relative Total 749
Norway 9 UAE 2 Absolute Total 744
Registros de Certificações
48
51. Financeiro Governo Telecom Comércio e IndústriaServiços
Algumas Empresas Certificadas
fonte: http://www.iso27001certificates.com/
Em MAIO de 2009
54