SlideShare uma empresa Scribd logo
PESI - Plano Estratégico de
Segurança da Informação
Sergio Manoel
Gerente de Projetos
sergio.manoel@modulo.com
 Novos Desafios
 Governança de Segurança da Informação
 PESI - Plano Estratégico de Segurança da
Informação
 Automação com o Módulo Risk Manager
Agenda
3
As pessoas (colaboradores, gestores, clientes,
fornecedores, ...) são conectadas por email, redes sociais,
smartphones e tablets.
Conhecer e entender os desafios da Segurança da
Informação.
Falta de Governança,
Gestão e Monitoramento !!!
Novos Desafios
Sistemas Internos
Internet
Redes
Sociais
BIG DATA
Mobilidade
Nuvem
Internet
das coisas
3
Visão de
Governança
Governança
Corporativa
Governança de TI
Governança de SI
Gestão de TI
Gestão de SI
•Transparência
•Equidade
•Prestação de Contas
•Responsabilidade
• Cobit 5
• ABNT NBR ISO/IEC 38500
• ABNT NBR ISO/IEC 27014
•Família da ISO 27000
•Normas e regulamentos
Governança de
Segurança da
Informação
O que é?
5
É uma solução direcionada às organizações que
precisam ter um sistema pelo qual as ações de
Segurança da Informação são dirigidas e
controladas.
Fonte Livro
GSI: como criar
oportunidades para o
seu negócio
Página: 25
Governança de
Segurança da
Informação
Resultados Esperados
6
Alinhar os Objetivos de Segurança da Informação com
os objetivos estratégicos de negócio.
Maior visibilidade da Alta Direção sobre a situação da
Segurança da Informação.
Uma abordagem ágil para a tomada de decisões sobre os
riscos do negócio e de Segurança da Informação (SI).
Investimentos eficientes e eficazes em Segurança da
Informação.
Conformidade com requisitos externos (legais,
regulamentares ou contratuais).
Fonte Livro
GSI: como criar
oportunidades para o
seu negócio
Página: 17
PESI
Plano
Estratégico de
Segurança da
Informação
7
Como disse o filósofo romano Sêneca: “Enquanto o homem
não souber para que ponto quer ir, nenhum vento será
vento certo”.
8
As organizações que têm um desempenho superior às
demais em se tratando de Segurança da Informação,
sustentável e de longo prazo, requerem um pensamento e
um planejamento estratégicos.
Um pensamento estratégico consiste em elaborar uma
visão para o futuro da organização e executar um projeto
claro e conciso para colocar essa visão em prática com
sucesso.
“Pensar antes de agir.”
PESI
Plano
Estratégico de
Segurança da
Informação
9
Contempla as recomendações e ações a serem
implementadas a curto, médio e longo prazos, além do
nível de capacidade dos processos e controles de segurança
da informação, seu nível de criticidade e priorização.
Onde estamos?
Onde é que queremos ir?
Como é que vamos chegar lá?
PESI
Plano
Estratégico de
Segurança da
Informação
Por que
um PESI?
10
Elevar o nível de
capacidade dos
processos de Segurança
da Informação.
Retorno sobre os
investimentos em SI.
Aplicar melhores práticas
de mercado, tais como:
ISO´s 27001/002/004/005/
014, CobiT 5, 22301, PCI,
entre outras.
Gerenciar um
planejamento
estratégico, tático e
operacional.
Conquistar maior
credibilidade do
mercado e diferencial
competitivo, bem como
alinhar SI aos objetivos
estratégicos do negócio.
Plano Estratégico de Segurança da Informação
Componentes
do Plano
Estratégico de
Segurança da
Informação
11
FASE I - DIAGNÓSTICO DE SEGURANÇA DA INFORMAÇÃO
FASE III – POSICIONAMENTO ESTRATÉGICO DE SI
FASE IV– PLANO ESTRATÉGICO DE SI
Plano de ação Ações de Segurança da
Informação
Estimativas de
Investimento
outros
FASE II – REQUISITOS DE SI X NEGÓCIO
Entrevista com a
Alta Direção
Visão e Missão de SI
Teste de Invasão
PAINEL DE GOVERNANÇA
Implantação do PESI
Análise e
Avaliação de
Riscos
Análise da
Gestão
ISO 27002
Análise da
Governança
ISO 27014
Análise de SWOT Mapeamento de
Processos Críticos
Objetivos de SI Objetivos de SI
Alinhados ao Negócio
Produtos do Plano Estratégico de Segurança da Informação:Produtos
12
Relatório das
Análises de Riscos -
RAR
Relatório do Teste de
Invasão
Workshop de
Organização e
Planejamento - ROP
Fase I Fase IIIFase II
Relatório da Extração
dos Requisitos da
entrevista com a Alta
Direção
Fase IV
Relatório de Visão e
Missão de SI
Relatório dos
Objetivos de SI
Relatório da Análise
de SWOT
Alinhamento dos
Objetivos de SI com
o Negócio
Plano de Ação,
Indicadores e Metas
Relatório
Operacional de
Riscos - ROR
Relatório de Análise
da Capacidade e
Conformidade da
Gestão de SI
Relatório de Análise
da Capacidade e
Conformidade do
Modelo da GSI
Relatório do
Mapeamento de Áreas e
Componentes de
Negócio Críticos
Ações de SI
Estimativa de
Investimento
Plano Estratégico de
SI
Apresentação
Executiva
1 - Implantar a Governança
de Segurança da
Informação
2 - Proteger a
infraestrutura crítica contra
ataques cibernéticos
3 - Garantir a continuidade
de negócio dos processos
críticos
4 - Educar, treinar e
conscientizar o capital
humano em Segurança da
Informação
Objetivos de
Segurança da
Informação
Fonte Livro
GSI: como criar
oportunidades para o
seu negócio
Página: 88
13
Objetivos de
Segurança da
Informação
Objetivos Estratégicos Objetivos de Segurança da Informação
Identificar e buscar a perfeição nos
processos de trabalho, agregando
valor ao produto final.
1 2 3 4
Proteger os produtos contra
vazamento de informações. 1 2 4
Aperfeiçoamento e adequação aos
processos de apoio aos funcionários. 1 4
Aprimoramento do apoio logístico. 1 3 4
Fonte Livro
GSI: como criar oportunidades
para o seu negócio
Página: 90
Objetivos de
Segurança da
Informação
Objetivo: Educar, treinar e conscientizar o capital humano em SI
Indicadores
genéricos:
 Quantidade de campanhas de conscientização realizadas
 Quantidade de pessoas capacitadas em Segurança da Informação
 Quantidade de treinamentos realizados
 Treinar 20% dos funcionários por ano em Segurança da Informação
 Pesquisa de satisfação dos funcionários treinados deve ser superior a 80%
de bom ou ótimo
Ação:
Estabelecer programa de educação, conscientização e
aculturamento sobre Segurança da Informação, onde todos os
funcionários da organização e demais prestadores de serviço
contratados recebam, quando pertinente, treinamento
apropriado e regular de acordo com a Política de Segurança da
Informação. Esta ação deverá ser concluída, em curto prazo,
mediante coordenação do Escritório de Segurança da
Informação e apoio da área de marketing e recursos humanos.
Fonte Livro
GSI: como criar oportunidades
para o seu negócio
Página: 93
ÁREA:
Capacidade
Atual
Capacidade
Proposta
Escritório de SI 1 3
Desenvolvimento de
Sistemas
2 3
Controle de Acesso 3 4
Segurança Física 3 4
Continuidade de
Negócios
2 3
Incidentes 2 3
Mudanças 3 4
Capacidade Capacidade Atual: 2 - Capacidade Proposta: 3
Fonte Livro
GSI: como criar
oportunidades para o
seu negócio
Marcador de página
Estimativa
de
Investimentos
Implantação do
PESI com o Risk
Manager
Módulo Risk Manager TM
18
Software Módulo
Risk Manager
19
... Bases de conhecimento das
normativas e boas práticas de
mercado – FOCO ENTREVISTAS.
Ganho de produtividade
com a automatização das
análises de risco e impacto
Recomendações e
workflow para tratamento
dos riscos identificados Conscientização da
organização quanto à
cultura de continuidade
de negócio
Interface web
(simplicidade na edição,
manutenção e atualização
dos testes e documentos)
Preparação da organização
para enfrentar situações
adversas e administrar
crises
Visualização dos resultados de
forma gráfica e em uma única
plataforma
Garante a conformidade com as normas
vigentes embutidas no software como bases de
conhecimento e interface com o Qualys
Convergência com
outros standards (COBIT,
ISO/IEC27002, etc)
Painel dos Projetos em Execução
classificados pelo nível de Urgência,
Severidade e Relevância
Classificação dos projetos em críticos,
prioritários, entre outros
Plano estratégico de segurança da informação
Obrigado!
Sergio Manoel
Gerente de Projetos
sergio.manoel@modulo.com

Mais conteúdo relacionado

Mais procurados

Aula 1 - Introdução a Segurança da Informação
Aula 1 - Introdução a Segurança da InformaçãoAula 1 - Introdução a Segurança da Informação
Aula 1 - Introdução a Segurança da Informação
Carlos Henrique Martins da Silva
 
Apresentação - ISO 27001
Apresentação - ISO 27001Apresentação - ISO 27001
Apresentação - ISO 27001
William Martins
 
Conscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da InformaçãoConscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da Informação
Jean Israel B. Feijó
 
Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)
Carlos Henrique Martins da Silva
 
Lei Geral de Proteção de Dados (LGPD)
Lei Geral de Proteção de Dados (LGPD) Lei Geral de Proteção de Dados (LGPD)
Lei Geral de Proteção de Dados (LGPD)
Ed Oliveira
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
Samantha Nunes
 
Seminario seguranca da informacao
Seminario seguranca da informacaoSeminario seguranca da informacao
Seminario seguranca da informacao
Mariana Gonçalves Spanghero
 
AULA 9 - INTRODUÇÃO À CIBERSEGURANÇA
AULA 9 - INTRODUÇÃO À CIBERSEGURANÇAAULA 9 - INTRODUÇÃO À CIBERSEGURANÇA
AULA 9 - INTRODUÇÃO À CIBERSEGURANÇA
MaraLuizaGonalvesFre
 
Introdução à Segurança da Informação
Introdução à Segurança da InformaçãoIntrodução à Segurança da Informação
Introdução à Segurança da Informação
Daniel de Sousa Luz
 
LGPD Lei Geral de Proteção de Dados Pessoais
LGPD Lei Geral de Proteção de Dados PessoaisLGPD Lei Geral de Proteção de Dados Pessoais
LGPD Lei Geral de Proteção de Dados Pessoais
Douglas Siviotti
 
Quick Guide to ISO/IEC 27701 - The Newest Privacy Information Standard
Quick Guide to ISO/IEC 27701 - The Newest Privacy Information StandardQuick Guide to ISO/IEC 27701 - The Newest Privacy Information Standard
Quick Guide to ISO/IEC 27701 - The Newest Privacy Information Standard
PECB
 
Conceitos básicos de segurança da informação
Conceitos básicos de segurança da informaçãoConceitos básicos de segurança da informação
Conceitos básicos de segurança da informação
Carlos De Carvalho
 
Big data
Big dataBig data
Big data
Tiago Marques
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da Informação
Efrain Saavedra
 
Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002
Cleber Fonseca
 
Boas Práticas em Segurança da Informação
Boas Práticas em Segurança da InformaçãoBoas Práticas em Segurança da Informação
Boas Práticas em Segurança da Informação
Rodrigo Bueno Santa Maria, BS, MBA
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsi
Rafael Maia
 
Iso 27002-2013
Iso 27002-2013Iso 27002-2013
Iso 27002-2013
Fabio Martins
 
Sistema de Informação Gerencial
Sistema de Informação GerencialSistema de Informação Gerencial
Sistema de Informação Gerencial
Loham Silva
 
Aula - Sistemas de Informação Gerencial
Aula - Sistemas de Informação GerencialAula - Sistemas de Informação Gerencial
Aula - Sistemas de Informação Gerencial
Anderson Simão
 

Mais procurados (20)

Aula 1 - Introdução a Segurança da Informação
Aula 1 - Introdução a Segurança da InformaçãoAula 1 - Introdução a Segurança da Informação
Aula 1 - Introdução a Segurança da Informação
 
Apresentação - ISO 27001
Apresentação - ISO 27001Apresentação - ISO 27001
Apresentação - ISO 27001
 
Conscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da InformaçãoConscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da Informação
 
Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)
 
Lei Geral de Proteção de Dados (LGPD)
Lei Geral de Proteção de Dados (LGPD) Lei Geral de Proteção de Dados (LGPD)
Lei Geral de Proteção de Dados (LGPD)
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
 
Seminario seguranca da informacao
Seminario seguranca da informacaoSeminario seguranca da informacao
Seminario seguranca da informacao
 
AULA 9 - INTRODUÇÃO À CIBERSEGURANÇA
AULA 9 - INTRODUÇÃO À CIBERSEGURANÇAAULA 9 - INTRODUÇÃO À CIBERSEGURANÇA
AULA 9 - INTRODUÇÃO À CIBERSEGURANÇA
 
Introdução à Segurança da Informação
Introdução à Segurança da InformaçãoIntrodução à Segurança da Informação
Introdução à Segurança da Informação
 
LGPD Lei Geral de Proteção de Dados Pessoais
LGPD Lei Geral de Proteção de Dados PessoaisLGPD Lei Geral de Proteção de Dados Pessoais
LGPD Lei Geral de Proteção de Dados Pessoais
 
Quick Guide to ISO/IEC 27701 - The Newest Privacy Information Standard
Quick Guide to ISO/IEC 27701 - The Newest Privacy Information StandardQuick Guide to ISO/IEC 27701 - The Newest Privacy Information Standard
Quick Guide to ISO/IEC 27701 - The Newest Privacy Information Standard
 
Conceitos básicos de segurança da informação
Conceitos básicos de segurança da informaçãoConceitos básicos de segurança da informação
Conceitos básicos de segurança da informação
 
Big data
Big dataBig data
Big data
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da Informação
 
Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002
 
Boas Práticas em Segurança da Informação
Boas Práticas em Segurança da InformaçãoBoas Práticas em Segurança da Informação
Boas Práticas em Segurança da Informação
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsi
 
Iso 27002-2013
Iso 27002-2013Iso 27002-2013
Iso 27002-2013
 
Sistema de Informação Gerencial
Sistema de Informação GerencialSistema de Informação Gerencial
Sistema de Informação Gerencial
 
Aula - Sistemas de Informação Gerencial
Aula - Sistemas de Informação GerencialAula - Sistemas de Informação Gerencial
Aula - Sistemas de Informação Gerencial
 

Destaque

Soluções de Segurança da Informação para o mundo corporativo (para cada probl...
Soluções de Segurança da Informação para o mundo corporativo (para cada probl...Soluções de Segurança da Informação para o mundo corporativo (para cada probl...
Soluções de Segurança da Informação para o mundo corporativo (para cada probl...
Clavis Segurança da Informação
 
O mercado é como soltar pipas
O mercado é como soltar pipasO mercado é como soltar pipas
O mercado é como soltar pipas
Luanildo Silva
 
Governança de TI e Segurança da Informação
Governança de TI e Segurança da InformaçãoGovernança de TI e Segurança da Informação
Governança de TI e Segurança da Informação
TI Infnet
 
Aulão beneficente
Aulão beneficenteAulão beneficente
Aulão beneficente
Vanessa Lins
 
PDCA MASP
PDCA MASPPDCA MASP
Identificar as partes interessadas (Stakeholders)
Identificar as partes interessadas (Stakeholders)Identificar as partes interessadas (Stakeholders)
Identificar as partes interessadas (Stakeholders)
Luanildo Silva
 
MASP - Metodologia para Análise e Solução de Problemas
MASP - Metodologia para Análise e Solução de ProblemasMASP - Metodologia para Análise e Solução de Problemas
MASP - Metodologia para Análise e Solução de Problemas
eugeniorocha
 
PDCA
PDCAPDCA
Apresentação pdca
Apresentação pdcaApresentação pdca
Apresentação pdca
emc5714
 

Destaque (9)

Soluções de Segurança da Informação para o mundo corporativo (para cada probl...
Soluções de Segurança da Informação para o mundo corporativo (para cada probl...Soluções de Segurança da Informação para o mundo corporativo (para cada probl...
Soluções de Segurança da Informação para o mundo corporativo (para cada probl...
 
O mercado é como soltar pipas
O mercado é como soltar pipasO mercado é como soltar pipas
O mercado é como soltar pipas
 
Governança de TI e Segurança da Informação
Governança de TI e Segurança da InformaçãoGovernança de TI e Segurança da Informação
Governança de TI e Segurança da Informação
 
Aulão beneficente
Aulão beneficenteAulão beneficente
Aulão beneficente
 
PDCA MASP
PDCA MASPPDCA MASP
PDCA MASP
 
Identificar as partes interessadas (Stakeholders)
Identificar as partes interessadas (Stakeholders)Identificar as partes interessadas (Stakeholders)
Identificar as partes interessadas (Stakeholders)
 
MASP - Metodologia para Análise e Solução de Problemas
MASP - Metodologia para Análise e Solução de ProblemasMASP - Metodologia para Análise e Solução de Problemas
MASP - Metodologia para Análise e Solução de Problemas
 
PDCA
PDCAPDCA
PDCA
 
Apresentação pdca
Apresentação pdcaApresentação pdca
Apresentação pdca
 

Semelhante a Plano estratégico de segurança da informação

Business Intelligence
Business IntelligenceBusiness Intelligence
Business Intelligence
nesi
 
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Luzia Dourado
 
Política e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticosPolítica e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticos
Bruno Oliveira
 
LGPD - Governança de Dados - BRAVO DPO
LGPD - Governança de Dados - BRAVO DPO LGPD - Governança de Dados - BRAVO DPO
LGPD - Governança de Dados - BRAVO DPO
Marcelo Silva - CRISC, COBIT, ITIL
 
Cobit 5 - APO13 - Gestão da Segurança da Informação
Cobit  5 - APO13 - Gestão da Segurança da InformaçãoCobit  5 - APO13 - Gestão da Segurança da Informação
Cobit 5 - APO13 - Gestão da Segurança da Informação
Fabiano Da Ventura
 
Processo Ic
Processo IcProcesso Ic
Portfolio em grupo ads - 6. semestre enviar
Portfolio em grupo  ads - 6. semestre enviarPortfolio em grupo  ads - 6. semestre enviar
Portfolio em grupo ads - 6. semestre enviar
edinaldo lopes da cr lopes
 
Modelo elaboracao tcc_monografia_2016
Modelo elaboracao tcc_monografia_2016Modelo elaboracao tcc_monografia_2016
Modelo elaboracao tcc_monografia_2016
edinaldo lopes da cr lopes
 
Dataísmo a religião do século XXI e Arquitetura Corporativa.pdf
Dataísmo a religião do século XXI e Arquitetura Corporativa.pdfDataísmo a religião do século XXI e Arquitetura Corporativa.pdf
Dataísmo a religião do século XXI e Arquitetura Corporativa.pdf
Thiago Rocha
 
Rischio - Segurança da Informação
Rischio - Segurança da InformaçãoRischio - Segurança da Informação
Rischio - Segurança da Informação
Allan Piter Pressi
 
Destrave o poder do conhecimento através dos dados com Wiseminer
Destrave o poder do conhecimento através dos dados com WiseminerDestrave o poder do conhecimento através dos dados com Wiseminer
Destrave o poder do conhecimento através dos dados com Wiseminer
Leonardo Couto
 
CONFERENZA - temas, ementas e programas para treinamentos corporativos 2017
CONFERENZA - temas, ementas e programas para treinamentos corporativos 2017CONFERENZA - temas, ementas e programas para treinamentos corporativos 2017
CONFERENZA - temas, ementas e programas para treinamentos corporativos 2017
Gilberto C Porto
 
Wiseminer Data Preparation & Analytics
Wiseminer Data Preparation & AnalyticsWiseminer Data Preparation & Analytics
Wiseminer Data Preparation & Analytics
Leonardo Couto
 
4h Consulting
4h Consulting4h Consulting
4h Consulting
fourhandsconsulting
 
Simulado cobit41
Simulado cobit41Simulado cobit41
Simulado cobit41
Roginho Correa
 
Apresentação infinity acies
Apresentação infinity   aciesApresentação infinity   acies
Apresentação infinity acies
ALEstrategico
 
Apresentação GRS-CONSULTORIA
Apresentação GRS-CONSULTORIAApresentação GRS-CONSULTORIA
Apresentação GRS-CONSULTORIA
Renato Sona Gonçalves
 
Folder sk3 2014
Folder sk3 2014Folder sk3 2014
Folder sk3 2014
Marco Antonio De Paula
 
Tendências em Segurança da Informação - 2012
Tendências em Segurança da Informação - 2012Tendências em Segurança da Informação - 2012
Tendências em Segurança da Informação - 2012
Edson Aguilera-Fernandes
 
Cobit
CobitCobit
Cobit
TI Infnet
 

Semelhante a Plano estratégico de segurança da informação (20)

Business Intelligence
Business IntelligenceBusiness Intelligence
Business Intelligence
 
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
 
Política e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticosPolítica e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticos
 
LGPD - Governança de Dados - BRAVO DPO
LGPD - Governança de Dados - BRAVO DPO LGPD - Governança de Dados - BRAVO DPO
LGPD - Governança de Dados - BRAVO DPO
 
Cobit 5 - APO13 - Gestão da Segurança da Informação
Cobit  5 - APO13 - Gestão da Segurança da InformaçãoCobit  5 - APO13 - Gestão da Segurança da Informação
Cobit 5 - APO13 - Gestão da Segurança da Informação
 
Processo Ic
Processo IcProcesso Ic
Processo Ic
 
Portfolio em grupo ads - 6. semestre enviar
Portfolio em grupo  ads - 6. semestre enviarPortfolio em grupo  ads - 6. semestre enviar
Portfolio em grupo ads - 6. semestre enviar
 
Modelo elaboracao tcc_monografia_2016
Modelo elaboracao tcc_monografia_2016Modelo elaboracao tcc_monografia_2016
Modelo elaboracao tcc_monografia_2016
 
Dataísmo a religião do século XXI e Arquitetura Corporativa.pdf
Dataísmo a religião do século XXI e Arquitetura Corporativa.pdfDataísmo a religião do século XXI e Arquitetura Corporativa.pdf
Dataísmo a religião do século XXI e Arquitetura Corporativa.pdf
 
Rischio - Segurança da Informação
Rischio - Segurança da InformaçãoRischio - Segurança da Informação
Rischio - Segurança da Informação
 
Destrave o poder do conhecimento através dos dados com Wiseminer
Destrave o poder do conhecimento através dos dados com WiseminerDestrave o poder do conhecimento através dos dados com Wiseminer
Destrave o poder do conhecimento através dos dados com Wiseminer
 
CONFERENZA - temas, ementas e programas para treinamentos corporativos 2017
CONFERENZA - temas, ementas e programas para treinamentos corporativos 2017CONFERENZA - temas, ementas e programas para treinamentos corporativos 2017
CONFERENZA - temas, ementas e programas para treinamentos corporativos 2017
 
Wiseminer Data Preparation & Analytics
Wiseminer Data Preparation & AnalyticsWiseminer Data Preparation & Analytics
Wiseminer Data Preparation & Analytics
 
4h Consulting
4h Consulting4h Consulting
4h Consulting
 
Simulado cobit41
Simulado cobit41Simulado cobit41
Simulado cobit41
 
Apresentação infinity acies
Apresentação infinity   aciesApresentação infinity   acies
Apresentação infinity acies
 
Apresentação GRS-CONSULTORIA
Apresentação GRS-CONSULTORIAApresentação GRS-CONSULTORIA
Apresentação GRS-CONSULTORIA
 
Folder sk3 2014
Folder sk3 2014Folder sk3 2014
Folder sk3 2014
 
Tendências em Segurança da Informação - 2012
Tendências em Segurança da Informação - 2012Tendências em Segurança da Informação - 2012
Tendências em Segurança da Informação - 2012
 
Cobit
CobitCobit
Cobit
 

Mais de Módulo Security Solutions

II Conferência do Cyber Manifesto
II Conferência do Cyber ManifestoII Conferência do Cyber Manifesto
II Conferência do Cyber Manifesto
Módulo Security Solutions
 
Análise de vulnerabilidades em ativos de ti
Análise de vulnerabilidades em ativos de tiAnálise de vulnerabilidades em ativos de ti
Análise de vulnerabilidades em ativos de ti
Módulo Security Solutions
 
Desafios e Resultados da Operação do CGIR
Desafios e Resultados da Operação do CGIRDesafios e Resultados da Operação do CGIR
Desafios e Resultados da Operação do CGIR
Módulo Security Solutions
 
Ciberespionagem
Ciberespionagem Ciberespionagem
Ciberespionagem
Módulo Security Solutions
 
Case CGIR JMJ
Case CGIR JMJCase CGIR JMJ
Segurança e Privacidade das Informações na Era das Redes Sociais
Segurança e Privacidade das Informações na Era das Redes SociaisSegurança e Privacidade das Informações na Era das Redes Sociais
Segurança e Privacidade das Informações na Era das Redes Sociais
Módulo Security Solutions
 
Modulo Security - Cidades Inteligentes - Palestra do CONIP SP 2013
Modulo Security - Cidades Inteligentes - Palestra do CONIP SP 2013Modulo Security - Cidades Inteligentes - Palestra do CONIP SP 2013
Modulo Security - Cidades Inteligentes - Palestra do CONIP SP 2013
Módulo Security Solutions
 

Mais de Módulo Security Solutions (7)

II Conferência do Cyber Manifesto
II Conferência do Cyber ManifestoII Conferência do Cyber Manifesto
II Conferência do Cyber Manifesto
 
Análise de vulnerabilidades em ativos de ti
Análise de vulnerabilidades em ativos de tiAnálise de vulnerabilidades em ativos de ti
Análise de vulnerabilidades em ativos de ti
 
Desafios e Resultados da Operação do CGIR
Desafios e Resultados da Operação do CGIRDesafios e Resultados da Operação do CGIR
Desafios e Resultados da Operação do CGIR
 
Ciberespionagem
Ciberespionagem Ciberespionagem
Ciberespionagem
 
Case CGIR JMJ
Case CGIR JMJCase CGIR JMJ
Case CGIR JMJ
 
Segurança e Privacidade das Informações na Era das Redes Sociais
Segurança e Privacidade das Informações na Era das Redes SociaisSegurança e Privacidade das Informações na Era das Redes Sociais
Segurança e Privacidade das Informações na Era das Redes Sociais
 
Modulo Security - Cidades Inteligentes - Palestra do CONIP SP 2013
Modulo Security - Cidades Inteligentes - Palestra do CONIP SP 2013Modulo Security - Cidades Inteligentes - Palestra do CONIP SP 2013
Modulo Security - Cidades Inteligentes - Palestra do CONIP SP 2013
 

Último

Subindo uma aplicação WordPress em docker na AWS
Subindo uma aplicação WordPress em docker na AWSSubindo uma aplicação WordPress em docker na AWS
Subindo uma aplicação WordPress em docker na AWS
Ismael Ash
 
INTELIGÊNCIA ARTIFICIAL + COMPUTAÇÃO QUÂNTICA = MAIOR REVOLUÇÃO TECNOLÓGICA D...
INTELIGÊNCIA ARTIFICIAL + COMPUTAÇÃO QUÂNTICA = MAIOR REVOLUÇÃO TECNOLÓGICA D...INTELIGÊNCIA ARTIFICIAL + COMPUTAÇÃO QUÂNTICA = MAIOR REVOLUÇÃO TECNOLÓGICA D...
INTELIGÊNCIA ARTIFICIAL + COMPUTAÇÃO QUÂNTICA = MAIOR REVOLUÇÃO TECNOLÓGICA D...
Faga1939
 
Eletiva_O-mundo-conectado-Ensino-Médio.docx.pdf
Eletiva_O-mundo-conectado-Ensino-Médio.docx.pdfEletiva_O-mundo-conectado-Ensino-Médio.docx.pdf
Eletiva_O-mundo-conectado-Ensino-Médio.docx.pdf
barbosajucy47
 
ExpoGestão 2024 - Desvendando um mundo em ebulição
ExpoGestão 2024 - Desvendando um mundo em ebuliçãoExpoGestão 2024 - Desvendando um mundo em ebulição
ExpoGestão 2024 - Desvendando um mundo em ebulição
ExpoGestão
 
Ferramentas que irão te ajudar a entrar no mundo de DevOps/CLoud
Ferramentas que irão te ajudar a entrar no mundo de   DevOps/CLoudFerramentas que irão te ajudar a entrar no mundo de   DevOps/CLoud
Ferramentas que irão te ajudar a entrar no mundo de DevOps/CLoud
Ismael Ash
 
Segurança da Informação - Onde estou e para onde eu vou.pptx
Segurança da Informação - Onde estou e para onde eu vou.pptxSegurança da Informação - Onde estou e para onde eu vou.pptx
Segurança da Informação - Onde estou e para onde eu vou.pptx
Divina Vitorino
 
se38_layout_erro_xxxxxxxxxxxxxxxxxx.docx
se38_layout_erro_xxxxxxxxxxxxxxxxxx.docxse38_layout_erro_xxxxxxxxxxxxxxxxxx.docx
se38_layout_erro_xxxxxxxxxxxxxxxxxx.docx
ronaldos10
 

Último (7)

Subindo uma aplicação WordPress em docker na AWS
Subindo uma aplicação WordPress em docker na AWSSubindo uma aplicação WordPress em docker na AWS
Subindo uma aplicação WordPress em docker na AWS
 
INTELIGÊNCIA ARTIFICIAL + COMPUTAÇÃO QUÂNTICA = MAIOR REVOLUÇÃO TECNOLÓGICA D...
INTELIGÊNCIA ARTIFICIAL + COMPUTAÇÃO QUÂNTICA = MAIOR REVOLUÇÃO TECNOLÓGICA D...INTELIGÊNCIA ARTIFICIAL + COMPUTAÇÃO QUÂNTICA = MAIOR REVOLUÇÃO TECNOLÓGICA D...
INTELIGÊNCIA ARTIFICIAL + COMPUTAÇÃO QUÂNTICA = MAIOR REVOLUÇÃO TECNOLÓGICA D...
 
Eletiva_O-mundo-conectado-Ensino-Médio.docx.pdf
Eletiva_O-mundo-conectado-Ensino-Médio.docx.pdfEletiva_O-mundo-conectado-Ensino-Médio.docx.pdf
Eletiva_O-mundo-conectado-Ensino-Médio.docx.pdf
 
ExpoGestão 2024 - Desvendando um mundo em ebulição
ExpoGestão 2024 - Desvendando um mundo em ebuliçãoExpoGestão 2024 - Desvendando um mundo em ebulição
ExpoGestão 2024 - Desvendando um mundo em ebulição
 
Ferramentas que irão te ajudar a entrar no mundo de DevOps/CLoud
Ferramentas que irão te ajudar a entrar no mundo de   DevOps/CLoudFerramentas que irão te ajudar a entrar no mundo de   DevOps/CLoud
Ferramentas que irão te ajudar a entrar no mundo de DevOps/CLoud
 
Segurança da Informação - Onde estou e para onde eu vou.pptx
Segurança da Informação - Onde estou e para onde eu vou.pptxSegurança da Informação - Onde estou e para onde eu vou.pptx
Segurança da Informação - Onde estou e para onde eu vou.pptx
 
se38_layout_erro_xxxxxxxxxxxxxxxxxx.docx
se38_layout_erro_xxxxxxxxxxxxxxxxxx.docxse38_layout_erro_xxxxxxxxxxxxxxxxxx.docx
se38_layout_erro_xxxxxxxxxxxxxxxxxx.docx
 

Plano estratégico de segurança da informação

  • 1. PESI - Plano Estratégico de Segurança da Informação Sergio Manoel Gerente de Projetos sergio.manoel@modulo.com
  • 2.  Novos Desafios  Governança de Segurança da Informação  PESI - Plano Estratégico de Segurança da Informação  Automação com o Módulo Risk Manager Agenda
  • 3. 3 As pessoas (colaboradores, gestores, clientes, fornecedores, ...) são conectadas por email, redes sociais, smartphones e tablets. Conhecer e entender os desafios da Segurança da Informação. Falta de Governança, Gestão e Monitoramento !!! Novos Desafios Sistemas Internos Internet Redes Sociais BIG DATA Mobilidade Nuvem Internet das coisas 3
  • 4. Visão de Governança Governança Corporativa Governança de TI Governança de SI Gestão de TI Gestão de SI •Transparência •Equidade •Prestação de Contas •Responsabilidade • Cobit 5 • ABNT NBR ISO/IEC 38500 • ABNT NBR ISO/IEC 27014 •Família da ISO 27000 •Normas e regulamentos
  • 5. Governança de Segurança da Informação O que é? 5 É uma solução direcionada às organizações que precisam ter um sistema pelo qual as ações de Segurança da Informação são dirigidas e controladas. Fonte Livro GSI: como criar oportunidades para o seu negócio Página: 25
  • 6. Governança de Segurança da Informação Resultados Esperados 6 Alinhar os Objetivos de Segurança da Informação com os objetivos estratégicos de negócio. Maior visibilidade da Alta Direção sobre a situação da Segurança da Informação. Uma abordagem ágil para a tomada de decisões sobre os riscos do negócio e de Segurança da Informação (SI). Investimentos eficientes e eficazes em Segurança da Informação. Conformidade com requisitos externos (legais, regulamentares ou contratuais). Fonte Livro GSI: como criar oportunidades para o seu negócio Página: 17
  • 7. PESI Plano Estratégico de Segurança da Informação 7 Como disse o filósofo romano Sêneca: “Enquanto o homem não souber para que ponto quer ir, nenhum vento será vento certo”.
  • 8. 8 As organizações que têm um desempenho superior às demais em se tratando de Segurança da Informação, sustentável e de longo prazo, requerem um pensamento e um planejamento estratégicos. Um pensamento estratégico consiste em elaborar uma visão para o futuro da organização e executar um projeto claro e conciso para colocar essa visão em prática com sucesso. “Pensar antes de agir.” PESI Plano Estratégico de Segurança da Informação
  • 9. 9 Contempla as recomendações e ações a serem implementadas a curto, médio e longo prazos, além do nível de capacidade dos processos e controles de segurança da informação, seu nível de criticidade e priorização. Onde estamos? Onde é que queremos ir? Como é que vamos chegar lá? PESI Plano Estratégico de Segurança da Informação
  • 10. Por que um PESI? 10 Elevar o nível de capacidade dos processos de Segurança da Informação. Retorno sobre os investimentos em SI. Aplicar melhores práticas de mercado, tais como: ISO´s 27001/002/004/005/ 014, CobiT 5, 22301, PCI, entre outras. Gerenciar um planejamento estratégico, tático e operacional. Conquistar maior credibilidade do mercado e diferencial competitivo, bem como alinhar SI aos objetivos estratégicos do negócio. Plano Estratégico de Segurança da Informação
  • 11. Componentes do Plano Estratégico de Segurança da Informação 11 FASE I - DIAGNÓSTICO DE SEGURANÇA DA INFORMAÇÃO FASE III – POSICIONAMENTO ESTRATÉGICO DE SI FASE IV– PLANO ESTRATÉGICO DE SI Plano de ação Ações de Segurança da Informação Estimativas de Investimento outros FASE II – REQUISITOS DE SI X NEGÓCIO Entrevista com a Alta Direção Visão e Missão de SI Teste de Invasão PAINEL DE GOVERNANÇA Implantação do PESI Análise e Avaliação de Riscos Análise da Gestão ISO 27002 Análise da Governança ISO 27014 Análise de SWOT Mapeamento de Processos Críticos Objetivos de SI Objetivos de SI Alinhados ao Negócio
  • 12. Produtos do Plano Estratégico de Segurança da Informação:Produtos 12 Relatório das Análises de Riscos - RAR Relatório do Teste de Invasão Workshop de Organização e Planejamento - ROP Fase I Fase IIIFase II Relatório da Extração dos Requisitos da entrevista com a Alta Direção Fase IV Relatório de Visão e Missão de SI Relatório dos Objetivos de SI Relatório da Análise de SWOT Alinhamento dos Objetivos de SI com o Negócio Plano de Ação, Indicadores e Metas Relatório Operacional de Riscos - ROR Relatório de Análise da Capacidade e Conformidade da Gestão de SI Relatório de Análise da Capacidade e Conformidade do Modelo da GSI Relatório do Mapeamento de Áreas e Componentes de Negócio Críticos Ações de SI Estimativa de Investimento Plano Estratégico de SI Apresentação Executiva
  • 13. 1 - Implantar a Governança de Segurança da Informação 2 - Proteger a infraestrutura crítica contra ataques cibernéticos 3 - Garantir a continuidade de negócio dos processos críticos 4 - Educar, treinar e conscientizar o capital humano em Segurança da Informação Objetivos de Segurança da Informação Fonte Livro GSI: como criar oportunidades para o seu negócio Página: 88 13
  • 14. Objetivos de Segurança da Informação Objetivos Estratégicos Objetivos de Segurança da Informação Identificar e buscar a perfeição nos processos de trabalho, agregando valor ao produto final. 1 2 3 4 Proteger os produtos contra vazamento de informações. 1 2 4 Aperfeiçoamento e adequação aos processos de apoio aos funcionários. 1 4 Aprimoramento do apoio logístico. 1 3 4 Fonte Livro GSI: como criar oportunidades para o seu negócio Página: 90
  • 15. Objetivos de Segurança da Informação Objetivo: Educar, treinar e conscientizar o capital humano em SI Indicadores genéricos:  Quantidade de campanhas de conscientização realizadas  Quantidade de pessoas capacitadas em Segurança da Informação  Quantidade de treinamentos realizados  Treinar 20% dos funcionários por ano em Segurança da Informação  Pesquisa de satisfação dos funcionários treinados deve ser superior a 80% de bom ou ótimo Ação: Estabelecer programa de educação, conscientização e aculturamento sobre Segurança da Informação, onde todos os funcionários da organização e demais prestadores de serviço contratados recebam, quando pertinente, treinamento apropriado e regular de acordo com a Política de Segurança da Informação. Esta ação deverá ser concluída, em curto prazo, mediante coordenação do Escritório de Segurança da Informação e apoio da área de marketing e recursos humanos. Fonte Livro GSI: como criar oportunidades para o seu negócio Página: 93
  • 16. ÁREA: Capacidade Atual Capacidade Proposta Escritório de SI 1 3 Desenvolvimento de Sistemas 2 3 Controle de Acesso 3 4 Segurança Física 3 4 Continuidade de Negócios 2 3 Incidentes 2 3 Mudanças 3 4 Capacidade Capacidade Atual: 2 - Capacidade Proposta: 3 Fonte Livro GSI: como criar oportunidades para o seu negócio Marcador de página
  • 18. Implantação do PESI com o Risk Manager Módulo Risk Manager TM 18
  • 19. Software Módulo Risk Manager 19 ... Bases de conhecimento das normativas e boas práticas de mercado – FOCO ENTREVISTAS. Ganho de produtividade com a automatização das análises de risco e impacto Recomendações e workflow para tratamento dos riscos identificados Conscientização da organização quanto à cultura de continuidade de negócio Interface web (simplicidade na edição, manutenção e atualização dos testes e documentos) Preparação da organização para enfrentar situações adversas e administrar crises Visualização dos resultados de forma gráfica e em uma única plataforma Garante a conformidade com as normas vigentes embutidas no software como bases de conhecimento e interface com o Qualys Convergência com outros standards (COBIT, ISO/IEC27002, etc)
  • 20. Painel dos Projetos em Execução classificados pelo nível de Urgência, Severidade e Relevância
  • 21. Classificação dos projetos em críticos, prioritários, entre outros
  • 23. Obrigado! Sergio Manoel Gerente de Projetos sergio.manoel@modulo.com