SlideShare uma empresa Scribd logo
Pós-Graduação 2009
        Gestão Corporativa em
       Segurança da Informação



                                Jairo Willian Pereira
Sec+, Net+, MCSO, ITIL, LPIC, MCSA & MCSE Certified
                                  jairo.pereira@gmail.com
Cronograma

Semana                                     Teoria                                       Prática
         Conceituação Básica SI
  1                                                                                      E01
         Conceitos de Gestão de Risco

         Histórico do Surgimento das Normas de Segurança                                 E02
  2
         Sarbanes Oxley
         ISO/EIC 15408 (CC)
  3                                                                                      E03
         ITIL

         Família 2700x (BS-7799)                                                         E04
  4
         COBIT
         Planejamento Corporativo de Segurança da Informação
  5                                                                                      P01
         Primeira Avaliação - Dissertativa

         Apresentação Trabalhos:
              BS 25999 – Gestão de Contiuidade de Negócios                               T01
  6           RFC 2196 – Gestão de Resposta à Incidentes de Seguranca
              Legislação Brasileira                                                      T02
              COSO - Committee of Sponsoring Organizations of the Treadway Commission



                                               2                                               CON – A5
Índice Gestão

1.    Por que?
2.    Implementando gestão
3.    Contexto para Risk Management
4.    Plano estratégico
5.    Finalizando...
6.    Considerações finais
7.    Cartoon
8.    HomeWork
9.    Links
10.   Dúvidas

                3                     CON – A5
Por que?


 NBR ISO/IEC 17799:2005 (27002):



“Convém que uma estrutura de gerenciamento
   seja estabelecida para iniciar e controlar a
  implementação da segurança da informação
            dentro da organização.”




                      4                    CON – A5
Por que?


 Uma necessidade complexo existe

     •   Um negócio;
     •   Um escopo;
     •   Uma “metodologia”;
     •   Ferramentas ou facilitadores;
     •   Responsáveis (recursos);
     •   Objetivos;
     •   Monitoramente e métricas;
     •   Adequações (plano de ação);
     •   Revalidações circular.

                        5                    CON – A5
Por que?


 Ameaças     Agentes
                          Vulnerabilidades




Controles                      Ativos
              Riscos a
             Segurança




Medidas de                Valor dos Ativos e
Segurança                Impactos Potenciais



                6                       CON – A5
Por que?


 Problema Segurança > organização!

•   Convém que ameaças sejam eleminidas;
•   Que agentes de ameaças possam ser contidos;
•   Vulnerabilidades sejam administradas;
•   Impactos possam ser minimizados.



                   {Organização}

                         7                        CON – A5
Por que?


 Riscos são eternos companheiros  RM

• Mitigar;                            • Transferir;
      Contra-medidas - tratamento;         Uso de terceiros;

• Aceitar;                            • Contenção;
      Conviver com problema;               custo x benefício ruim! [X]




                                 8                               CON – A5
Por que?


 Ambiente Legal       “dura lex, sed lex”




                   9                 CON – A5
Como? Seqüência Implementação




         10              CON – A5
Como? Seqüência Implementação


 Quanto aos processos...

• Devem ser corretamente definidos – evitar lacunas!

     Coleta e consolidação de índices e indicadores;
     Controle e acompanhamento do projeto;
     Condições ambientais (contexto da gestão de riscos)
     Comunicação e Consulta
     Reportes de incidentes, etc.


                           11                         CON – A5
Como? Seqüência Implementação


 As responsabilidades, devem ser...

• ...corretamente atribuídas e divulgadas!

     Claras;
     Documentadas;
     Compartilhadas & informadas oficialmente;
     Ter envolvimento de todos (todos são responsáveis);
     Top-Down  propagação/implementação hierárquica.


                           12                        CON – A5
Como? Seqüência Implementação


 Funções x Responsáveis


 Conselhos/Direção   E        Administração Geral



 Comitês             T              Planejamento



 Fóruns                                 Operação
                     O

                         13                   CON – A5
Como? Seqüência Implementação



P
O
S
I
Ç
Ã
O

             14              CON – A5
Metodologia - prover aprendizado


 Política de Segurança?




                      15               CON – A5
Metodologia - prover aprendizado


 Política x Direção + Declaração


 Uma política deve ser desenvolvida, seguindo preceitos
   da NBR ISO/IEC 17799. Este documento tem o objetivo
     de prover uma diretriz, que declare formalmente os
 princípios e valores quanto ao tratamento das informações.


 O endosso deve ser feito pelo representante de maior
 cargo hierárquico, comunicando da sua adesão às normas,
     procedimentos e das responsabilidades de todos
    quanto a sua implementação, respeito e manutenção.

                           16                         CON – A5
Metodologia - prover aprendizado




         17                 CON – A5
Por que?


 Análise de Risco x Gestão Conhecimento


•   Aproxima Segurança e Gestão de Negócio
•   Apóia efetivamente a Gestão de Segurança
•   Análise de Risco ≠ Análise de Vulnerabilidades
•   Permite melhor conhecimento do “ambiente”
•   Base para operações de “Continuidade do Negócio”




                         18                     CON – A5
Por que?


 Conhecendo o ambiente...




                   19            CON – A5
Por que?


 Metodologia de Apoio


•   Norma AS/NZS 4360:2004
      Gestão de Riscos (referencial)

    ISO/IEC Guide 51 – Aspec./Voc. iSec
    ISO/IEC Guide 73 – Vocabulário RM
    ISO 3534-1 - Estatística, Símbolos…
    ISO 9000 – Qualidade
    ISO 15489 - Gestão de registros
    ...


                              20              CON – A5
Contexto para RM


 Estabelecendo o contexto




 O estabelecimento de contexto, é essencial para observar que
    stakeholders e objetivos sejam considerados no modelo.
                             21                          CON – A5
Contexto para RM


 Desenvolvendo “critérios de riscos”

                                                                                 Impacto
  #       Ativo          Vulnerabilidade                Ameaça
                                                                         P   I      E      TOTAL

        Servidor         Sem atualização          Invasão do Servidor,
        WEB DMZ            de patches               Buffer Overflow

         HUB rede     Mal uso equipamento,             Sniffing,
       almoxarifado     indisponibilidade           Furto de dados

        Senhas de                                 Invasão do sistema,
                      Senhas compartilhadas
         usuários                                 Sequestro de sessão

       Roteador de     IOS desatualizado e              Invasão,
          borda             com bug                indisponibilidade



 Processo - O que pode acontecer, quando, onde e por quê!
   (brainstorms, checklist, históricos, análise de cenários...)

                                             22                                            CON – A5
Contexto para RM




23               CON – A5
Contexto para RM




24               CON – A5
Contexto para RM


 Análise de Risco, variáveis e considerações

● fontes de riscos        ● conseqüências          ● probabilidade

Objetivo RA: verificar eventuais falhas de seguranças que
   se concretizem em vulnerabilidades que possam vir a
   ser utilizadas por agentes de ameaças e causar
   impacto à organização. Sua RA pode ser:

•   Qualitativa – adjetivos para descrever a magnitude dos riscos
•   Semiquantitativa - atribui-se valores às escalas qualitativas
•   Quantitativa – utiliza valores numéricos (precisão e completeza)
                                25                             CON – A5
Contexto para RM


 Avaliação de Risco e variáveis


 Tem por finalidade a tomada de decisão, baseada
nos resultados da análise de riscos, sobre quais riscos
  precisam ser tratados, bem como a sua prioridade.


  Os parâmetros utilizados para aceitar ou não os
   riscos devem ser os critérios definidos quando
        do estabelecimento do contexto inicial.


                         26                         CON – A5
Contexto para RM


  Tratamento de Riscos

A definição das possibilidades de tratar as vulnerabilidades existentes
        de modo a minimizar riscos que a organização está exposta.

Planos de ações com controles necessários são definidos, sendo que
    para vulnerabilidades não eliminadas ou residuais, devemos:
   procurar alternativas para minimizar a probabilidade/conseqüências.




                                 27                             CON – A5
Contexto para RM


 Monitoração e Análise Crítica

 A monitoração e a análise critica têm por objetivo assegurar
     que o plano se mantenha pertinente e adequado às
                 necessidades da organização.

● Fatores diversos podem alterar probabilidade e/ou a conseqüência;
● Análise de indicadores e índices - medir o desempenho da gestão
● Aprendizado com ocorrências e outros históricos




                                28                            CON – A5
Plano Estratégico


 Outros aspectos importantes

   A correta identificação de processos de negócio da
    organização deve permitir a compreensão de como estes
interagem com os sistemas de informação e a infra-estrutura,
 possibilitando o planejamento correto das ações de segurança.




                             29                         CON – A5
Plano Estratégico


 Plano Estratégico

      A gestão da SI deve possuir uma visão de longo prazo,
          porém não se descuidando do curto e médio prazo.

●   É fundamental a elaboração de um Plano Estratégico para que
    a organização se prepare com relação à recursos necessários:
          • Aquisição de equipamentos
          • Programas de treinamento, divulgação e conscientização
          • Análise de riscos corporativas e específicas para ambientes
          • Elaboração de um BCP/PCN
          • Testes de invasão, DRP e engenharia social
          • etc.

                                 30                              CON – A5
Plano Estratégico


 Inventário dos ativos

“O correto levantamento do inventário dos ativos de
  informação é imprescindível ao sucesso da gestão
    de riscos! Conhecer para poder se proteger!”

“A Administração torna-se muito mais fácil quando existe
      uma base única e atualizada para referência”

                    CI x CMDB

                          31                       CON – A5
Plano Estratégico


 Inventário dos ativos - Manual




                     32               CON – A5
Plano Estratégico


 Inventário dos ativos – Automático OS




                    33                    CON – A5
Plano Estratégico


 Inventário dos ativos – Automático COM




                   34                 CON – A5
Plano Estratégico


 Índices e indicadores

    Forma de avaliar o sucesso das atividades desenvolvidas

•     Nível de Riscos                       - RMF            Indicadores Nivel Up/Down

•     Índice de Compliance                  - ScoreCard
                                                                   Node01      99,99
•     Sistemas em funcionamento             - SLA / SLO            Node01      99,99


•
                                                                   Node01      99,99
      Eventos mais críticos                 - Mapping              Node01      99,99


•     Incidentes reportados (usuários)      - SrvCalls       O referido ativo, encontra-se

•
                                                                         dentro do SLA
      Solicitações/Incidentes automáticos   - Threshold                  proposto
                                                                         inicialmente pelo

•     Turnover de recursos                  - FPR                        cliente.



•     Disponibilidade de CI´s               - Traps&Alarms

    “Metas devem ser definidas e revistas de forma constante!”
                                    35                                         CON – A5
Plano Estratégico


 Índices e indicadores




  “    Em Deus eu acredito,
          todos os outros
      precisam mostrar dados        ”
                   William Edwards Deming

                    36                      CON – A5
Plano Estratégico


 Relacionamento externo

  É importante que sua organização se relacione com
      outras entidades e autoridades competentes.

           •   Corpo de Bombeiros
           •   Defesa Civil
           •   Policia Civil, Militar e Federal
           •   Entidades de classe
           •   Eventos de segurança, sociais, etc.


                          37                         CON – A5
Plano Estratégico


 Qual o problema? Tecnológico?




  E as pessoas?

   Exemplos...



                   38               CON – A5
Plano Estratégico


 Qual o problema? Conscientização/cultura?




                    39                 CON – A5
Plano Estratégico


 Exempli gratia  Engenharia Social

 Engenharia social, é o termo utilizado para qualificar o tipo
 de intrusão não técnica, que coloca ênfase na interação
 humana e, frequentemente, envolve a habilidade de enganar
  pessoas, objetivando violar procedimentos de segurança.




                             40                         CON – A5
Plano Estratégico


 E.g.  Engenharia Social


Marcelo Contti enrolou atores, empresários, jornalistas e
promotores do carnaval do Recife/PE (Recifolia, 2001).
Viveu dias de empresário, torrando R$ 100 mil dos “amigos”,
beijando bocas de “chiques e famosas” e incorporando personagens
sedutores, porém trambiqueiros do cinema.

Passando-se pelo filho do dono da Gol Linhas Aéreas - Henrique
Constantino, pulou três dias de carnaval com João Paulo Diniz,
Álvaro Garnero, e dos atores Cristiano Rangel e Ricardo Macchi.
Posou para fotos ao lado das modelos Marinara e Feiticeira,
e ainda ousou dar entrevistas para o programa Flash,
apresentado por Amaury Júnior.                               [!]
                              41                           CON – A5
Plano Estratégico


                             Visão Holística ■




Controles:
Devem ser aplicados em todos os ciclos e níveis
                      42                     CON – A5
Plano Estratégico


 Integrar as ações




Importância 




                      43               CON – A5
Plano Estratégico – Finalizando…


 Informação, quem manda afinal?




                   44                CON – A5
Plano Estratégico – Finalizando…


 Erros mais comuns


•   Ferramentas de segurança isoladamente (IDS, firewall…);
•   Segurança com valor maior que o NEGÓCIO;
•   Não participação das diversas áreas da organização;
•   Decisões sem prévia análise/avaliação de riscos;
•   Enfoque somente em TI;
•   Subordinação à área de TI;
•   Abrangência maior que necessidade.


                            45                         CON – A5
Plano Estratégico - Finalizando…


 FCS (Fatores Críticos de Sucesso)




                    46                CON – A5
Plano Estratégico - Finalizando…


 Consolidando estratégicamente DIC




                           Dado, informação & conhecimento
Plano Estratégico - Finalizando…


 Consolidando estratégicamente DIC

                                 A cobertura
Plano Estratégico - Finalizando…


 Consolidando estratégicamente DIC




                                      SWOT
                   49                 CON – A5
Plano Estratégico - Finalizando…


 Consolidando estratégicamente DIC




                                   5F (Porter)
                   50                 CON – A5
Plano Estratégico - Finalizando…


 Consolidando estratégicamente DIC




                                   Matriz BCG
                   51                 CON – A5
Plano Estratégico - Finalizando…


 Considerações finais


● Diretrizes                                             HORIZONTE

● Atividades identificadas, organizadas e documentadas   PROCESSO

● Áreas de atuação definidas                             RESPONSÁVEIS

● Coordenação centralizada                               SINERGIA

● Ações com base em Análise de Riscos                    EMBASAMENTO

● Métricas/frameworks de avaliação e acompanhamento      PADRÃO




                                52                             CON – A5
Homework


Futurologia...




     53              CON – A5
Homework


Pesquisar ISO-38500 e S.M.A.R.T.




     !
           Em função da data de produção do documento
                (2009), é altamente recomendado que seja
         consultado os novos frameworks e ferramentas de
             gestão corporativa de Segurança baseado em
                GRC (Governança, Risco e Conformidade).




                 54                                   CON – A5
Cartoon




                                 “Only the paranoid survive.”
                                                   Andy Grove


"A maioria enxerga o problema, a minoria entende as causas e
                      raros são os que conhecem o remédio.“
                                                         JWP

                          55                               CON – A5
Links


http://www.bsi-global.com/
http://www.modulo.com.br
http://www.iso.org
http://www.isaca.org/cobit.htm
http://www.abnt.org.br
http://www.itsmf.com.br
http://www.itil-officialsite.com
http://www.ietf.com
http://www.drii.org


                         56         CON – A5
Dúvidas ?




57        CON – A5
Fim




58   CON – A1
Pós-Graduação 2009
          Avaliação dissertativa



                                Jairo Willian Pereira
Sec+, Net+, MCSO, ITIL, LPIC, MCSA & MCSE Certified
                                  jairo.pereira@gmail.com

Mais conteúdo relacionado

Mais procurados

Curso Plano de Continuidade dos Negócios - Overview
Curso Plano de Continuidade dos Negócios  - OverviewCurso Plano de Continuidade dos Negócios  - Overview
Curso Plano de Continuidade dos Negócios - Overview
Data Security
 
ISO 31000:2018 vs COSO ERM:2017
ISO 31000:2018 vs COSO ERM:2017ISO 31000:2018 vs COSO ERM:2017
ISO 31000:2018 vs COSO ERM:2017
Eduardo Poggi
 
Gerenciamento de riscos de segurança da informação - MOD02
Gerenciamento de riscos de segurança da informação - MOD02Gerenciamento de riscos de segurança da informação - MOD02
Gerenciamento de riscos de segurança da informação - MOD02
Fernando Palma
 
Normas da família ISO 27000
Normas da família ISO 27000Normas da família ISO 27000
Normas da família ISO 27000
Fernando Palma
 
Edicao 47
Edicao 47Edicao 47
Edicao 47
keducabral
 
Requisitos da continuidade (dos negócios) na segurança da informação
Requisitos da continuidade(dos negócios)na segurança da informaçãoRequisitos da continuidade(dos negócios)na segurança da informação
Requisitos da continuidade (dos negócios) na segurança da informação
Sidney Modenesi, MBCI
 
Análise de Risco
Análise de RiscoAnálise de Risco
Análise de Risco
Luiz Ignacio Neumann
 
Gestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de NegóciosGestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de Negócios
Alvaro Gulliver
 
Elo Group Criando Valor Com A GestãO De Riscos (Sucesu)
Elo Group   Criando Valor Com A GestãO De Riscos (Sucesu)Elo Group   Criando Valor Com A GestãO De Riscos (Sucesu)
Elo Group Criando Valor Com A GestãO De Riscos (Sucesu)
EloGroup
 
AnáLise De Risco Parada 2011
AnáLise De Risco    Parada 2011AnáLise De Risco    Parada 2011
AnáLise De Risco Parada 2011
Luiz Ignacio Neumann
 
Aula 7 gestão de riscos
Aula 7   gestão de riscosAula 7   gestão de riscos
Aula 7 gestão de riscos
Daniel Moura
 
Material Oficial Completo do Curso ITMP - EXIN
Material Oficial Completo do Curso ITMP - EXINMaterial Oficial Completo do Curso ITMP - EXIN
Material Oficial Completo do Curso ITMP - EXIN
Adriano Martins Antonio
 
Palestra sobre Gestão de Continuidade de Negócios
Palestra sobre Gestão de Continuidade de NegóciosPalestra sobre Gestão de Continuidade de Negócios
Palestra sobre Gestão de Continuidade de Negócios
GLM Consultoria
 
MATERA MVAR - Gestão de Controles Internos e Riscos Operacionais - Modelo FUNCEF
MATERA MVAR - Gestão de Controles Internos e Riscos Operacionais - Modelo FUNCEFMATERA MVAR - Gestão de Controles Internos e Riscos Operacionais - Modelo FUNCEF
MATERA MVAR - Gestão de Controles Internos e Riscos Operacionais - Modelo FUNCEF
MVAR Solucoes e Servicos
 
Planejamento de segurança em t.i.
Planejamento de segurança em t.i.Planejamento de segurança em t.i.
Planejamento de segurança em t.i.
Ricardo Satin, MSc, ITIL, CSM, PMP
 
Implantando ou aperfeiçoando o DRP alinhado às necessidades do negócio
Implantando ou aperfeiçoando o DRP alinhado às necessidades do negócioImplantando ou aperfeiçoando o DRP alinhado às necessidades do negócio
Implantando ou aperfeiçoando o DRP alinhado às necessidades do negócio
Sidney Modenesi, MBCI
 
Webinar Processo de Subscrição de Riscos em Seguros
Webinar Processo de Subscrição de Riscos em SegurosWebinar Processo de Subscrição de Riscos em Seguros
Webinar Processo de Subscrição de Riscos em Seguros
Escola Nacional de Seguros
 
Modulo Metaframework
Modulo MetaframeworkModulo Metaframework
Modulo Metaframework
Eduardo Poggi
 
Simulado ISO 27002 exin 01 - Segurança da Informação
Simulado ISO 27002 exin 01 - Segurança da InformaçãoSimulado ISO 27002 exin 01 - Segurança da Informação
Simulado ISO 27002 exin 01 - Segurança da Informação
Fernando Palma
 
A Continuidade de Negócios - Seu Seguro para Incidentes de Segurança e de Tec...
A Continuidade de Negócios - Seu Seguro para Incidentes de Segurança e de Tec...A Continuidade de Negócios - Seu Seguro para Incidentes de Segurança e de Tec...
A Continuidade de Negócios - Seu Seguro para Incidentes de Segurança e de Tec...
Sidney Modenesi, MBCI
 

Mais procurados (20)

Curso Plano de Continuidade dos Negócios - Overview
Curso Plano de Continuidade dos Negócios  - OverviewCurso Plano de Continuidade dos Negócios  - Overview
Curso Plano de Continuidade dos Negócios - Overview
 
ISO 31000:2018 vs COSO ERM:2017
ISO 31000:2018 vs COSO ERM:2017ISO 31000:2018 vs COSO ERM:2017
ISO 31000:2018 vs COSO ERM:2017
 
Gerenciamento de riscos de segurança da informação - MOD02
Gerenciamento de riscos de segurança da informação - MOD02Gerenciamento de riscos de segurança da informação - MOD02
Gerenciamento de riscos de segurança da informação - MOD02
 
Normas da família ISO 27000
Normas da família ISO 27000Normas da família ISO 27000
Normas da família ISO 27000
 
Edicao 47
Edicao 47Edicao 47
Edicao 47
 
Requisitos da continuidade (dos negócios) na segurança da informação
Requisitos da continuidade(dos negócios)na segurança da informaçãoRequisitos da continuidade(dos negócios)na segurança da informação
Requisitos da continuidade (dos negócios) na segurança da informação
 
Análise de Risco
Análise de RiscoAnálise de Risco
Análise de Risco
 
Gestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de NegóciosGestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de Negócios
 
Elo Group Criando Valor Com A GestãO De Riscos (Sucesu)
Elo Group   Criando Valor Com A GestãO De Riscos (Sucesu)Elo Group   Criando Valor Com A GestãO De Riscos (Sucesu)
Elo Group Criando Valor Com A GestãO De Riscos (Sucesu)
 
AnáLise De Risco Parada 2011
AnáLise De Risco    Parada 2011AnáLise De Risco    Parada 2011
AnáLise De Risco Parada 2011
 
Aula 7 gestão de riscos
Aula 7   gestão de riscosAula 7   gestão de riscos
Aula 7 gestão de riscos
 
Material Oficial Completo do Curso ITMP - EXIN
Material Oficial Completo do Curso ITMP - EXINMaterial Oficial Completo do Curso ITMP - EXIN
Material Oficial Completo do Curso ITMP - EXIN
 
Palestra sobre Gestão de Continuidade de Negócios
Palestra sobre Gestão de Continuidade de NegóciosPalestra sobre Gestão de Continuidade de Negócios
Palestra sobre Gestão de Continuidade de Negócios
 
MATERA MVAR - Gestão de Controles Internos e Riscos Operacionais - Modelo FUNCEF
MATERA MVAR - Gestão de Controles Internos e Riscos Operacionais - Modelo FUNCEFMATERA MVAR - Gestão de Controles Internos e Riscos Operacionais - Modelo FUNCEF
MATERA MVAR - Gestão de Controles Internos e Riscos Operacionais - Modelo FUNCEF
 
Planejamento de segurança em t.i.
Planejamento de segurança em t.i.Planejamento de segurança em t.i.
Planejamento de segurança em t.i.
 
Implantando ou aperfeiçoando o DRP alinhado às necessidades do negócio
Implantando ou aperfeiçoando o DRP alinhado às necessidades do negócioImplantando ou aperfeiçoando o DRP alinhado às necessidades do negócio
Implantando ou aperfeiçoando o DRP alinhado às necessidades do negócio
 
Webinar Processo de Subscrição de Riscos em Seguros
Webinar Processo de Subscrição de Riscos em SegurosWebinar Processo de Subscrição de Riscos em Seguros
Webinar Processo de Subscrição de Riscos em Seguros
 
Modulo Metaframework
Modulo MetaframeworkModulo Metaframework
Modulo Metaframework
 
Simulado ISO 27002 exin 01 - Segurança da Informação
Simulado ISO 27002 exin 01 - Segurança da InformaçãoSimulado ISO 27002 exin 01 - Segurança da Informação
Simulado ISO 27002 exin 01 - Segurança da Informação
 
A Continuidade de Negócios - Seu Seguro para Incidentes de Segurança e de Tec...
A Continuidade de Negócios - Seu Seguro para Incidentes de Segurança e de Tec...A Continuidade de Negócios - Seu Seguro para Incidentes de Segurança e de Tec...
A Continuidade de Negócios - Seu Seguro para Incidentes de Segurança e de Tec...
 

Semelhante a Enterprise Information Security Mgmt - OverView

Saude governance rg
Saude governance rgSaude governance rg
Saude governance rg
Rui Gomes
 
ITIL Module - OverView
ITIL Module - OverViewITIL Module - OverView
ITIL Module - OverView
Jairo Willian Pereira
 
Gerenciamento de Riscos em Projetos - Sao Paulo
Gerenciamento de Riscos em Projetos - Sao PauloGerenciamento de Riscos em Projetos - Sao Paulo
Gerenciamento de Riscos em Projetos - Sao Paulo
Grupo Treinar
 
Gerenciamento de Riscos
Gerenciamento de RiscosGerenciamento de Riscos
Gerenciamento de Riscos
Iris Nunes, PMP®, PSM I
 
GRC - Palestra Gf 12nov2009
GRC - Palestra Gf 12nov2009GRC - Palestra Gf 12nov2009
Política e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticosPolítica e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticos
Bruno Oliveira
 
Catalogo parte2
Catalogo parte2Catalogo parte2
Catalogo parte2
Catia Marques
 
Governança de segurança da informação - Overview
Governança de segurança da informação - OverviewGovernança de segurança da informação - Overview
Governança de segurança da informação - Overview
Data Security
 
CObIT Module - OverView
CObIT Module - OverViewCObIT Module - OverView
CObIT Module - OverView
Jairo Willian Pereira
 
Gestão Eficaz da GRC - Governança, Risco e Conformidade | Três Linhas de Defesa
Gestão Eficaz da GRC - Governança, Risco e Conformidade | Três Linhas de DefesaGestão Eficaz da GRC - Governança, Risco e Conformidade | Três Linhas de Defesa
Gestão Eficaz da GRC - Governança, Risco e Conformidade | Três Linhas de Defesa
CompanyWeb
 
Governança de TI e Segurança da Informação
Governança de TI e Segurança da InformaçãoGovernança de TI e Segurança da Informação
Governança de TI e Segurança da Informação
TI Infnet
 
Modulo 1 PGR
Modulo 1 PGRModulo 1 PGR
Modulo 1 PGR
Lucy Jesus
 
Si segurança e privacidade (1Sem2014)
Si   segurança e privacidade (1Sem2014)Si   segurança e privacidade (1Sem2014)
Si segurança e privacidade (1Sem2014)
Pedro Garcia
 
Risco - um fator estratégico
Risco - um fator estratégicoRisco - um fator estratégico
Risco - um fator estratégico
Shield Consulting
 
A Arquitetura Corporativa se encontra com o Gerenciamento de Riscos & Segurança
A Arquitetura Corporativa se encontra com o Gerenciamento de Riscos & SegurançaA Arquitetura Corporativa se encontra com o Gerenciamento de Riscos & Segurança
A Arquitetura Corporativa se encontra com o Gerenciamento de Riscos & Segurança
Centus Consultoria
 
WannaCry 3.0
WannaCry 3.0WannaCry 3.0
WannaCry 3.0
Sidney Modenesi, MBCI
 
ISO 27001 -3
ISO 27001 -3 ISO 27001 -3
ISO 27001 -3
jcfarit
 
Por dentro do risk it
Por dentro do risk itPor dentro do risk it
Por dentro do risk it
anestesiologiaonline
 
CV Giuliano Caranante
CV Giuliano CarananteCV Giuliano Caranante
CV Giuliano Caranante
multipel
 
Software overview portuguese
Software overview portugueseSoftware overview portuguese
Software overview portuguese
Lilian Schaffer
 

Semelhante a Enterprise Information Security Mgmt - OverView (20)

Saude governance rg
Saude governance rgSaude governance rg
Saude governance rg
 
ITIL Module - OverView
ITIL Module - OverViewITIL Module - OverView
ITIL Module - OverView
 
Gerenciamento de Riscos em Projetos - Sao Paulo
Gerenciamento de Riscos em Projetos - Sao PauloGerenciamento de Riscos em Projetos - Sao Paulo
Gerenciamento de Riscos em Projetos - Sao Paulo
 
Gerenciamento de Riscos
Gerenciamento de RiscosGerenciamento de Riscos
Gerenciamento de Riscos
 
GRC - Palestra Gf 12nov2009
GRC - Palestra Gf 12nov2009GRC - Palestra Gf 12nov2009
GRC - Palestra Gf 12nov2009
 
Política e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticosPolítica e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticos
 
Catalogo parte2
Catalogo parte2Catalogo parte2
Catalogo parte2
 
Governança de segurança da informação - Overview
Governança de segurança da informação - OverviewGovernança de segurança da informação - Overview
Governança de segurança da informação - Overview
 
CObIT Module - OverView
CObIT Module - OverViewCObIT Module - OverView
CObIT Module - OverView
 
Gestão Eficaz da GRC - Governança, Risco e Conformidade | Três Linhas de Defesa
Gestão Eficaz da GRC - Governança, Risco e Conformidade | Três Linhas de DefesaGestão Eficaz da GRC - Governança, Risco e Conformidade | Três Linhas de Defesa
Gestão Eficaz da GRC - Governança, Risco e Conformidade | Três Linhas de Defesa
 
Governança de TI e Segurança da Informação
Governança de TI e Segurança da InformaçãoGovernança de TI e Segurança da Informação
Governança de TI e Segurança da Informação
 
Modulo 1 PGR
Modulo 1 PGRModulo 1 PGR
Modulo 1 PGR
 
Si segurança e privacidade (1Sem2014)
Si   segurança e privacidade (1Sem2014)Si   segurança e privacidade (1Sem2014)
Si segurança e privacidade (1Sem2014)
 
Risco - um fator estratégico
Risco - um fator estratégicoRisco - um fator estratégico
Risco - um fator estratégico
 
A Arquitetura Corporativa se encontra com o Gerenciamento de Riscos & Segurança
A Arquitetura Corporativa se encontra com o Gerenciamento de Riscos & SegurançaA Arquitetura Corporativa se encontra com o Gerenciamento de Riscos & Segurança
A Arquitetura Corporativa se encontra com o Gerenciamento de Riscos & Segurança
 
WannaCry 3.0
WannaCry 3.0WannaCry 3.0
WannaCry 3.0
 
ISO 27001 -3
ISO 27001 -3 ISO 27001 -3
ISO 27001 -3
 
Por dentro do risk it
Por dentro do risk itPor dentro do risk it
Por dentro do risk it
 
CV Giuliano Caranante
CV Giuliano CarananteCV Giuliano Caranante
CV Giuliano Caranante
 
Software overview portuguese
Software overview portugueseSoftware overview portuguese
Software overview portuguese
 

Mais de Jairo Willian Pereira

Information Security Training Based on ISO27001
Information Security Training Based on ISO27001Information Security Training Based on ISO27001
Information Security Training Based on ISO27001
Jairo Willian Pereira
 
Hardening Unix
Hardening UnixHardening Unix
Hardening Unix
Jairo Willian Pereira
 
ISO15408, Common Criteria 2.x - Overview
ISO15408, Common Criteria 2.x - OverviewISO15408, Common Criteria 2.x - Overview
ISO15408, Common Criteria 2.x - Overview
Jairo Willian Pereira
 
The History of Security Standards and Norms - OverView
The History of Security Standards and Norms - OverViewThe History of Security Standards and Norms - OverView
The History of Security Standards and Norms - OverView
Jairo Willian Pereira
 
SOX, Sarbanes Oxley - Overview
SOX, Sarbanes Oxley - OverviewSOX, Sarbanes Oxley - Overview
SOX, Sarbanes Oxley - Overview
Jairo Willian Pereira
 
Brazilian Legislation - OverView
Brazilian Legislation - OverViewBrazilian Legislation - OverView
Brazilian Legislation - OverView
Jairo Willian Pereira
 

Mais de Jairo Willian Pereira (6)

Information Security Training Based on ISO27001
Information Security Training Based on ISO27001Information Security Training Based on ISO27001
Information Security Training Based on ISO27001
 
Hardening Unix
Hardening UnixHardening Unix
Hardening Unix
 
ISO15408, Common Criteria 2.x - Overview
ISO15408, Common Criteria 2.x - OverviewISO15408, Common Criteria 2.x - Overview
ISO15408, Common Criteria 2.x - Overview
 
The History of Security Standards and Norms - OverView
The History of Security Standards and Norms - OverViewThe History of Security Standards and Norms - OverView
The History of Security Standards and Norms - OverView
 
SOX, Sarbanes Oxley - Overview
SOX, Sarbanes Oxley - OverviewSOX, Sarbanes Oxley - Overview
SOX, Sarbanes Oxley - Overview
 
Brazilian Legislation - OverView
Brazilian Legislation - OverViewBrazilian Legislation - OverView
Brazilian Legislation - OverView
 

Enterprise Information Security Mgmt - OverView

  • 1. Pós-Graduação 2009 Gestão Corporativa em Segurança da Informação Jairo Willian Pereira Sec+, Net+, MCSO, ITIL, LPIC, MCSA & MCSE Certified jairo.pereira@gmail.com
  • 2. Cronograma Semana Teoria Prática Conceituação Básica SI 1 E01 Conceitos de Gestão de Risco Histórico do Surgimento das Normas de Segurança E02 2 Sarbanes Oxley ISO/EIC 15408 (CC) 3 E03 ITIL Família 2700x (BS-7799) E04 4 COBIT Planejamento Corporativo de Segurança da Informação 5 P01 Primeira Avaliação - Dissertativa Apresentação Trabalhos: BS 25999 – Gestão de Contiuidade de Negócios T01 6 RFC 2196 – Gestão de Resposta à Incidentes de Seguranca Legislação Brasileira T02 COSO - Committee of Sponsoring Organizations of the Treadway Commission 2 CON – A5
  • 3. Índice Gestão 1. Por que? 2. Implementando gestão 3. Contexto para Risk Management 4. Plano estratégico 5. Finalizando... 6. Considerações finais 7. Cartoon 8. HomeWork 9. Links 10. Dúvidas 3 CON – A5
  • 4. Por que?  NBR ISO/IEC 17799:2005 (27002): “Convém que uma estrutura de gerenciamento seja estabelecida para iniciar e controlar a implementação da segurança da informação dentro da organização.” 4 CON – A5
  • 5. Por que?  Uma necessidade complexo existe • Um negócio; • Um escopo; • Uma “metodologia”; • Ferramentas ou facilitadores; • Responsáveis (recursos); • Objetivos; • Monitoramente e métricas; • Adequações (plano de ação); • Revalidações circular. 5 CON – A5
  • 6. Por que? Ameaças Agentes Vulnerabilidades Controles Ativos Riscos a Segurança Medidas de Valor dos Ativos e Segurança Impactos Potenciais 6 CON – A5
  • 7. Por que?  Problema Segurança > organização! • Convém que ameaças sejam eleminidas; • Que agentes de ameaças possam ser contidos; • Vulnerabilidades sejam administradas; • Impactos possam ser minimizados. {Organização} 7 CON – A5
  • 8. Por que?  Riscos são eternos companheiros  RM • Mitigar; • Transferir;  Contra-medidas - tratamento;  Uso de terceiros; • Aceitar; • Contenção;  Conviver com problema;  custo x benefício ruim! [X] 8 CON – A5
  • 9. Por que?  Ambiente Legal “dura lex, sed lex” 9 CON – A5
  • 11. Como? Seqüência Implementação  Quanto aos processos... • Devem ser corretamente definidos – evitar lacunas!  Coleta e consolidação de índices e indicadores;  Controle e acompanhamento do projeto;  Condições ambientais (contexto da gestão de riscos)  Comunicação e Consulta  Reportes de incidentes, etc. 11 CON – A5
  • 12. Como? Seqüência Implementação  As responsabilidades, devem ser... • ...corretamente atribuídas e divulgadas!  Claras;  Documentadas;  Compartilhadas & informadas oficialmente;  Ter envolvimento de todos (todos são responsáveis);  Top-Down  propagação/implementação hierárquica. 12 CON – A5
  • 13. Como? Seqüência Implementação  Funções x Responsáveis Conselhos/Direção E Administração Geral Comitês T Planejamento Fóruns Operação O 13 CON – A5
  • 15. Metodologia - prover aprendizado  Política de Segurança? 15 CON – A5
  • 16. Metodologia - prover aprendizado  Política x Direção + Declaração Uma política deve ser desenvolvida, seguindo preceitos da NBR ISO/IEC 17799. Este documento tem o objetivo de prover uma diretriz, que declare formalmente os princípios e valores quanto ao tratamento das informações. O endosso deve ser feito pelo representante de maior cargo hierárquico, comunicando da sua adesão às normas, procedimentos e das responsabilidades de todos quanto a sua implementação, respeito e manutenção. 16 CON – A5
  • 17. Metodologia - prover aprendizado 17 CON – A5
  • 18. Por que?  Análise de Risco x Gestão Conhecimento • Aproxima Segurança e Gestão de Negócio • Apóia efetivamente a Gestão de Segurança • Análise de Risco ≠ Análise de Vulnerabilidades • Permite melhor conhecimento do “ambiente” • Base para operações de “Continuidade do Negócio” 18 CON – A5
  • 19. Por que?  Conhecendo o ambiente... 19 CON – A5
  • 20. Por que?  Metodologia de Apoio • Norma AS/NZS 4360:2004 Gestão de Riscos (referencial) ISO/IEC Guide 51 – Aspec./Voc. iSec ISO/IEC Guide 73 – Vocabulário RM ISO 3534-1 - Estatística, Símbolos… ISO 9000 – Qualidade ISO 15489 - Gestão de registros ... 20 CON – A5
  • 21. Contexto para RM  Estabelecendo o contexto O estabelecimento de contexto, é essencial para observar que stakeholders e objetivos sejam considerados no modelo. 21 CON – A5
  • 22. Contexto para RM  Desenvolvendo “critérios de riscos” Impacto # Ativo Vulnerabilidade Ameaça P I E TOTAL Servidor Sem atualização Invasão do Servidor, WEB DMZ de patches Buffer Overflow HUB rede Mal uso equipamento, Sniffing, almoxarifado indisponibilidade Furto de dados Senhas de Invasão do sistema, Senhas compartilhadas usuários Sequestro de sessão Roteador de IOS desatualizado e Invasão, borda com bug indisponibilidade Processo - O que pode acontecer, quando, onde e por quê! (brainstorms, checklist, históricos, análise de cenários...) 22 CON – A5
  • 23. Contexto para RM 23 CON – A5
  • 24. Contexto para RM 24 CON – A5
  • 25. Contexto para RM  Análise de Risco, variáveis e considerações ● fontes de riscos ● conseqüências ● probabilidade Objetivo RA: verificar eventuais falhas de seguranças que se concretizem em vulnerabilidades que possam vir a ser utilizadas por agentes de ameaças e causar impacto à organização. Sua RA pode ser: • Qualitativa – adjetivos para descrever a magnitude dos riscos • Semiquantitativa - atribui-se valores às escalas qualitativas • Quantitativa – utiliza valores numéricos (precisão e completeza) 25 CON – A5
  • 26. Contexto para RM  Avaliação de Risco e variáveis Tem por finalidade a tomada de decisão, baseada nos resultados da análise de riscos, sobre quais riscos precisam ser tratados, bem como a sua prioridade. Os parâmetros utilizados para aceitar ou não os riscos devem ser os critérios definidos quando do estabelecimento do contexto inicial. 26 CON – A5
  • 27. Contexto para RM  Tratamento de Riscos A definição das possibilidades de tratar as vulnerabilidades existentes de modo a minimizar riscos que a organização está exposta. Planos de ações com controles necessários são definidos, sendo que para vulnerabilidades não eliminadas ou residuais, devemos:  procurar alternativas para minimizar a probabilidade/conseqüências. 27 CON – A5
  • 28. Contexto para RM  Monitoração e Análise Crítica A monitoração e a análise critica têm por objetivo assegurar que o plano se mantenha pertinente e adequado às necessidades da organização. ● Fatores diversos podem alterar probabilidade e/ou a conseqüência; ● Análise de indicadores e índices - medir o desempenho da gestão ● Aprendizado com ocorrências e outros históricos 28 CON – A5
  • 29. Plano Estratégico  Outros aspectos importantes A correta identificação de processos de negócio da organização deve permitir a compreensão de como estes interagem com os sistemas de informação e a infra-estrutura, possibilitando o planejamento correto das ações de segurança. 29 CON – A5
  • 30. Plano Estratégico  Plano Estratégico A gestão da SI deve possuir uma visão de longo prazo, porém não se descuidando do curto e médio prazo. ● É fundamental a elaboração de um Plano Estratégico para que a organização se prepare com relação à recursos necessários: • Aquisição de equipamentos • Programas de treinamento, divulgação e conscientização • Análise de riscos corporativas e específicas para ambientes • Elaboração de um BCP/PCN • Testes de invasão, DRP e engenharia social • etc. 30 CON – A5
  • 31. Plano Estratégico  Inventário dos ativos “O correto levantamento do inventário dos ativos de informação é imprescindível ao sucesso da gestão de riscos! Conhecer para poder se proteger!” “A Administração torna-se muito mais fácil quando existe uma base única e atualizada para referência” CI x CMDB 31 CON – A5
  • 32. Plano Estratégico  Inventário dos ativos - Manual 32 CON – A5
  • 33. Plano Estratégico  Inventário dos ativos – Automático OS 33 CON – A5
  • 34. Plano Estratégico  Inventário dos ativos – Automático COM 34 CON – A5
  • 35. Plano Estratégico  Índices e indicadores Forma de avaliar o sucesso das atividades desenvolvidas • Nível de Riscos - RMF Indicadores Nivel Up/Down • Índice de Compliance - ScoreCard Node01 99,99 • Sistemas em funcionamento - SLA / SLO Node01 99,99 • Node01 99,99 Eventos mais críticos - Mapping Node01 99,99 • Incidentes reportados (usuários) - SrvCalls O referido ativo, encontra-se • dentro do SLA Solicitações/Incidentes automáticos - Threshold proposto inicialmente pelo • Turnover de recursos - FPR cliente. • Disponibilidade de CI´s - Traps&Alarms “Metas devem ser definidas e revistas de forma constante!” 35 CON – A5
  • 36. Plano Estratégico  Índices e indicadores “ Em Deus eu acredito, todos os outros precisam mostrar dados ” William Edwards Deming 36 CON – A5
  • 37. Plano Estratégico  Relacionamento externo É importante que sua organização se relacione com outras entidades e autoridades competentes. • Corpo de Bombeiros • Defesa Civil • Policia Civil, Militar e Federal • Entidades de classe • Eventos de segurança, sociais, etc. 37 CON – A5
  • 38. Plano Estratégico  Qual o problema? Tecnológico? E as pessoas? Exemplos... 38 CON – A5
  • 39. Plano Estratégico  Qual o problema? Conscientização/cultura? 39 CON – A5
  • 40. Plano Estratégico  Exempli gratia  Engenharia Social Engenharia social, é o termo utilizado para qualificar o tipo de intrusão não técnica, que coloca ênfase na interação humana e, frequentemente, envolve a habilidade de enganar pessoas, objetivando violar procedimentos de segurança. 40 CON – A5
  • 41. Plano Estratégico  E.g.  Engenharia Social Marcelo Contti enrolou atores, empresários, jornalistas e promotores do carnaval do Recife/PE (Recifolia, 2001). Viveu dias de empresário, torrando R$ 100 mil dos “amigos”, beijando bocas de “chiques e famosas” e incorporando personagens sedutores, porém trambiqueiros do cinema. Passando-se pelo filho do dono da Gol Linhas Aéreas - Henrique Constantino, pulou três dias de carnaval com João Paulo Diniz, Álvaro Garnero, e dos atores Cristiano Rangel e Ricardo Macchi. Posou para fotos ao lado das modelos Marinara e Feiticeira, e ainda ousou dar entrevistas para o programa Flash, apresentado por Amaury Júnior. [!] 41 CON – A5
  • 42. Plano Estratégico Visão Holística ■ Controles: Devem ser aplicados em todos os ciclos e níveis 42 CON – A5
  • 43. Plano Estratégico  Integrar as ações Importância  43 CON – A5
  • 44. Plano Estratégico – Finalizando…  Informação, quem manda afinal? 44 CON – A5
  • 45. Plano Estratégico – Finalizando…  Erros mais comuns • Ferramentas de segurança isoladamente (IDS, firewall…); • Segurança com valor maior que o NEGÓCIO; • Não participação das diversas áreas da organização; • Decisões sem prévia análise/avaliação de riscos; • Enfoque somente em TI; • Subordinação à área de TI; • Abrangência maior que necessidade. 45 CON – A5
  • 46. Plano Estratégico - Finalizando…  FCS (Fatores Críticos de Sucesso) 46 CON – A5
  • 47. Plano Estratégico - Finalizando…  Consolidando estratégicamente DIC Dado, informação & conhecimento
  • 48. Plano Estratégico - Finalizando…  Consolidando estratégicamente DIC A cobertura
  • 49. Plano Estratégico - Finalizando…  Consolidando estratégicamente DIC SWOT 49 CON – A5
  • 50. Plano Estratégico - Finalizando…  Consolidando estratégicamente DIC 5F (Porter) 50 CON – A5
  • 51. Plano Estratégico - Finalizando…  Consolidando estratégicamente DIC Matriz BCG 51 CON – A5
  • 52. Plano Estratégico - Finalizando…  Considerações finais ● Diretrizes HORIZONTE ● Atividades identificadas, organizadas e documentadas PROCESSO ● Áreas de atuação definidas RESPONSÁVEIS ● Coordenação centralizada SINERGIA ● Ações com base em Análise de Riscos EMBASAMENTO ● Métricas/frameworks de avaliação e acompanhamento PADRÃO 52 CON – A5
  • 53. Homework Futurologia... 53 CON – A5
  • 54. Homework Pesquisar ISO-38500 e S.M.A.R.T. !  Em função da data de produção do documento (2009), é altamente recomendado que seja consultado os novos frameworks e ferramentas de gestão corporativa de Segurança baseado em GRC (Governança, Risco e Conformidade). 54 CON – A5
  • 55. Cartoon “Only the paranoid survive.” Andy Grove "A maioria enxerga o problema, a minoria entende as causas e raros são os que conhecem o remédio.“ JWP 55 CON – A5
  • 57. Dúvidas ? 57 CON – A5
  • 58. Fim 58 CON – A1
  • 59. Pós-Graduação 2009 Avaliação dissertativa Jairo Willian Pereira Sec+, Net+, MCSO, ITIL, LPIC, MCSA & MCSE Certified jairo.pereira@gmail.com