Baixado 97 vezes
Carregado porCláudio Dodt
Gestão de Serviços de TI e Segurança da Informação: Usando as práticas da ISO 27001:2013
O documento apresenta conceitos e tendências em segurança da informação, destacando a necessidade de uma abordagem holística que considere pessoas, processos e tecnologia. Também discute a importância da gestão de serviços de TI alinhada com padrões como ISO 27001 para entregar valor aos negócios de forma segura.
Gestão de Serviços de TI e Segurança da Informação: Usando as práticas da ISO 27001:2013
- 1. Claudio Dodt, ISMAS,CISSP, CISA, CRISC, ISO 27001 Lead Auditor Business Continuity & Security Senior Consultant claudio.dodt@daryus.com.br www.daryus.com.br claudiododt.com www.twitter.com/daryusbr www.twitter.com/cdodt www.facebook.com/claudiododtcom Iluminando mentes, capacitando profissionais e protegendo negócios. Gestão de Serviços de TI e Segurança da Informação: Usando as práticas da ISO 27001:2013
- 2. © Copyright 2014.DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Segurança da Informação: Como era? Segurança da Informação: Quebrando paradigmas
- 3. © Copyright 2014.DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Segurança da Informação: Quebrando paradigmas Informação Perímetro Corporativo Informações dentro do perímetro
- 4. © Copyright 2014.DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Segurança da Informação: Quebrando paradigmas Ameaças fora... AMEAÇAS
- 5. © Copyright 2014.DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Segurança da Informação: Quebrando paradigmas Segurança da Informação: Cenário HOJE
- 6. © Copyright 2014.DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Segurança da Informação: Quebrando paradigmas Você realmente sabe onde estão seus dados corporativos?
- 7. © Copyright 2014.DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Segurança da Informação: Quebrando paradigmas Ameaças? Por todo lado! Vazamentos Fraude Sabotagem
- 8. © Copyright 2014.DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Segurança da Informação: Comportamento e Consumerização Homem Vitruviano - Leonardo da Vinci - 1490
- 9. © Copyright 2014.DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Segurança da Informação: Comportamento e Consumerização Wearables! Tecnologias Vestíveis! Estamos preparados?
- 10. © Copyright 2014.DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 •Wireless do desfibrilador desativado. •Medo de ciberterroristas. Dick Cheney Segurança da Informação: Tecnologia e Comportamento – Tendencias
- 11. © Copyright 2014.DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 •Wireless do desfibrilador desativado. •Medo de ciberterroristas. Dick Cheney Se considerarmos um ciclo de adoção parecido ao de smartphones e tablets... Aproximadamente 171 milhões de dispositivos devem estar nas mãos dos consumidores por volta de 2016. Segurança da Informação: Tecnologia e Comportamento – Tendencias
- 12. © Copyright 2014.DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Segurança da Informação: Novos paradigmas O que mudou realmente?
- 13. © Copyright 2014.DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Segurança da Informação: Novos paradigmas 54% das organizações reportaram aumento nas ameaças externas. Ernst & Young: “Global Information Security Survey 2013” 81% das grandes organizações sofreram falhas de segurança no último ano. Department for Business Innovation & Skills: “2014 Information Security Breaches Survey” Somente 33% das vitimas descobriram as falhas de segurança internamente. Mandiant: “2014 Threat Report: M-Trends - Beyond the Breach” 75% dos ataques exploraram vulnerabilidades conhecidas publicamente e solucionáveis com atualizações periódicas CyberEdgeGroup: “2014 CyberthreatDefense Report”
- 14. © Copyright 2014.DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Segurança da Informação: Novos paradigmas http://dary.us/PNSIResult
- 15. © Copyright 2014.DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Segurança da Informação: Novos paradigmas http://dary.us/PNSIResult Das instituições respondentes: •64% NÃO possui Gestão de Segurança •38% NÃO fazem Investimentos em Segurança •64% NÃO fazem Gestão de Incidentes •50% dos incidentes Não são tecnologia
- 16. © Copyright 2014.DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Segurança da Informação: Caso Target •Segunda maior rede de varejo nos USA. •Teve uma falha de segurança crítica no final de 2013 •Origem: fornecedor de sistemas de climatização. •40M de cartões de crédito e outras 70M de informações privadas foram roubadas. •Prejuízo estimado: 61M •CEO demitido em Maio de 2014.
- 17. © Copyright 2014.DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Segurança da Informação: Caso Target SEGURANÇA DA INFORMAÇÃO é gerenciada com base em LIDERANÇA ou CRISE... ...na ausência da LIDERANÇA, só nos resta a CRISE.
- 18. © Copyright 2014.DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Segurança da Informação: Boas práticas Algumas coisas não mudaram!
- 19. © Copyright 2014.DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Segurança da Informação: Visão Holística Segurança da Informação Políticas Essa é a visão da ISO 27001 Essa é a visão da ITIL
- 20. © Copyright 2014.DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Segurança da Informação: Ainda somos míopes Confidencialidade Integridade Disponibilidade Segurança da Informação Pessoas Processos Tecnologia Tecnologia
- 21. © Copyright 2014.DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Segurança da Informação: Ainda somos míopes Confidencialidade Integridade Disponibilidade Segurança da Informação Pessoas Processos Tecnologia Tecnologia O QUE ACONTECE COM A MELHOR TECNOLOGIA NAS MÃOS DE QUEM NÃO ESTÁ PREPARADO?
- 22. © Copyright 2014.DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Segurança da Informação: Ainda somos míopes Confidencialidade Integridade Disponibilidade Segurança da Informação Pessoas Processos Tecnologia Tecnologia O QUE ACONTECE COM A MELHOR TECNOLOGIA NAS MÃOS DE QUEM NÃO ESTÁ PREPARADO?
- 23. © Copyright 2014.DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Segurança da Informação: Ainda somos míopes Tecnologia Tecnologia é... ...a mera ponta... ...do iceberg.
- 24. © Copyright 2014.DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Segurança da Informação: Ainda somos míopes Tecnologia Processos •Investimento inteligente •Padrões Testados •Visão Estratégica •Formalização •Seleção •Capacitação •Reciclagem •Conscientização Pessoas
- 25. © Copyright 2014.DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Segurança da Informação: Gerenciando serviços de Segurança Na ITIL SERVIÇO é um meio de entregar VALOR aos CLIENTES A ISO 27001 apresenta Requisitos para um Sistema de Gestão de Segurança da Informação Qual a combinação de ambas? IT Service Management Processos
- 26. © Copyright 2014.DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Segurança da Informação: Gerenciando serviços de Segurança Na ITIL SERVIÇO é um meio de entregar VALOR aos CLIENTES A ISO 27001 apresenta Requisitos para um Sistema de Gestão de Segurança da Informação Qual a combinação de ambas? IT Service Management Processos Entregar VALOR ao CLIENTE através da boa GESTÃO DE SERVIÇOS DE SEGURANÇA DA INFORMAÇÃO!
- 27. © Copyright 2014.DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 IT Service Management Processos Como o serviço é construído! Segurança a Cereja do Bolo! Segurança da Informação: Gerenciando serviços de Segurança
- 28. © Copyright 2014.DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 IT Service Management Processos Segurança a Cereja do Bolo! Segurança da Informação: Gerenciando serviços de Segurança •É preciso pensar em segurança desde a base! •Essa forma é mais barata e eficiente!
- 29. © Copyright 2014.DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 IT Service Management Processos Entregar Valor ao Negócio Motivadores Objetivos Corporativos Objetivos de Segurança Segurança da Informação: Gerenciando serviços de Segurança
- 30. © Copyright 2014.DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 IT Service Management Processos Entregar Valor ao Negócio Segurança da Informação: Gerenciando serviços de Segurança Segurança da Informação não é um objetivo em si... ...mas um meio para garantir que os objetivos do negócio sejam atingidos.
- 31. © Copyright 2014.DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 IT Service Management Processos 1. Princípios, Políticas e Frameworks 2. Processos 3. Estruturas Organizacionais 4. Cultura, Ética, Comportamento 5. Informação 6. Serviços, Infraestrutura e Aplicações A 7. Pessoas, Habilidades e Competências a COMO FAZER? Segurança da Informação: Gerenciando serviços de Segurança
- 32. © Copyright 2014.DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 IT Service Management Processos AbordagemHolística 1. Princípios, Políticas e Frameworks 2. Processos 3. Estruturas Organizacionais 4. Cultura, Ética, Comportamento 5. Informação 6. Serviços, Infraestrutura e Aplicações A 7. Pessoas, Habilidades e Competências a Segurança da Informação: Gerenciando serviços de Segurança
- 33. © Copyright 2014.DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 IT Service Management Processos ITIL 27001:2013 Transição do Serviço Gerenciamento de Fornecedores A.15 - Relacionamento na Cadeia de Suprimento Gerenciamento de Disponibilidade A.17.2.1 - Disponibilidade dos recursos de info Gerenciamento de Capacidade A.12.1.3 - Gestão de capacidade Gerenciamento de Continuidade de Serv. de TI A.17 - Aspectos da SegInfo na Gestão da Cont Gerenciamento de Segurança da Informação Todo o Anexo A Anexo A Segurança da Informação: Gerenciando serviços de Segurança
- 34. © Copyright 2014.DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 IT Service Management Processos ITIL 27001:2013 Desenho do Serviço Gerenciamento de Config. Ativos de Serviço A.8 - Gestão de Ativos Gerenciamento de Mudanças A.12.1.2 - Gestão de mudanças Gerenciamento de Liberação e Implantação A.14 - Aquisição, Desenv e Manut de Sistemas Validação e Teste de Serviço A.14.3 - Dados para teste Anexo A Segurança da Informação: Gerenciando serviços de Segurança
- 35. © Copyright 2014.DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 IT Service Management Processos ITIL 27001:2013 Operação do Serviço Gerenciamento de Eventos A.12.4 - Registros e monitoramento Gerenciamento de Incidentes A.16 - Gestão de Incidentes de SegInfo Gerenciamento de Acesso A.9 - Controle de Acesso Anexo A Segurança da Informação: Gerenciando serviços de Segurança
- 36. © Copyright 2014.DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 1.Identificação 2.Registro 3.Classificação 4.Priorização 5.Diagnostico inicial 6.Escalamento 7.Investigação e diagnóstico 8.Resolução e recuperação 9.Encerramento ! Gerenciamento de Incidentes ! Segurança da Informação: Gerenciando serviços de Segurança
- 37. © Copyright 2014.DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Incidente de SI Identificador único; Categorização / Urgência / Impacto / Priorização; Data/Hora do registro do incidente; Contatos da pessoa/equipe que efetuou o registro; Método de notificação (e.g. telefone, email); Detalhes do usuário (e.g. nome, setor, telefone, local); Método de contato com o usuário (e.g. telefone, email); Descrição dos sintomas do incidente; Status do incidente; Ativos afetados / Problemas / Erros conhecidos relacionados ao incidente; Responsável pelo incidente (e.g. analista / equipe); Atividades executadas para solucionar o incidente; Data/Hora de solução; Categoria / Data/Hora do encerramento. Segurança da Informação: Gerenciando serviços de Segurança
- 38. © Copyright 2014.DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Incidente de SI Incidentes de SI normalmente requerem algumas considerações adicionais: Implicações Legais / Crime Se o incidente foi cometido de forma deliberada por um agente interno ou externo a organização isso pode indicar um crime. Aspectos legais devem ser observados (e.g. cadeia de custódia de evidências) e é indicado que o departamento ou assessoria jurídica esteja envolvida. Ampla análise e estimativa de dados Um incidente de SI pode facilmente se propagar do ponto onde foi inicialmente identificado (e.g. um vírus ou um cracker). Normalmente na gestão de incidentes o objetivo é retomar o serviço o quanto antes. Para incidentes de segurança é necessário uma maior análise para identificar a totalidade do impacto e garantir a contenção da ameaça. Evitar danos desnecessários Um incidente de SI está muito mais propenso a causar dados adicionais (e.g. após a aplicação de uma solução ineficiente). Um cuidado maior é necessário visto que um atacante pode ter se antecipado a ações da equipe de segurança. Limitar divulgação de informações Incidentes de SI podem afetar a imagem ou reputação da organização. É necessário que todos os envolvidos trabalhem com base no princípio da necessidade de conhecer (need-to-know) controlando informações sobre a solução aplicada e possíveis modificações na infraestrutura de segurança. Segurança da Informação: Gerenciando serviços de Segurança
- 39. © Copyright 2014.DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Serviços de Segurança de TI Desafios Falta de VISÃO ESTRATÉGICA Dificuldade no ALINHAMENTO COM O NEGÓCIO Traduzindo: CULTURA. Segurança da Informação: Gerenciando serviços de Segurança
- 40. © Copyright 2014.DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Liderança Centralizada Escalabilidade e Agilidade Planejamento Abrangente Gestão de Riscos Serviços de Segurança de TI Segurança da Informação: Gerenciando serviços de Segurança
- 41. © Copyright 2014.DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Liderança Centralizada Escalabilidade e Agilidade Planejamento Abrangente Gestão de Riscos VISÃO HOLÍSTICA. Serviços de Segurança de TI Segurança da Informação: Gerenciando serviços de Segurança
- 42. © Copyright 2014.DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539 Claudio Dodt, ISMAS, CISSP, CISA Business Continuity & Security Senior Consultant claudio.dodt@daryus.com.br http://www.daryus.com.br http://claudiododt.com http://www.facebook.com/claudiododtcom http://br.linkein/claudiododt http://pt.slideshare.net/claudiododt