Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
Jul 07, 2015
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
2
www.shieldsaas.com
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
3
IMPLEMENTAÇÃO DE SGSI
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
4
Processos da gestão de SI
Formação de equipe de SI
Questões normativas
Startup de área de SI
Tecnologias específicas
Segurança de rede
Gestão de projetos
Ataques e defesas
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
5
MAS O QUE É UM SGSI?
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
6
SG
SI
Sistema
Gestão
Segurança
Informação
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
7
A organização deve estabelecer, implementar, operar,
monitorar, analisar criticamente, manter e melhorar um
SGSI documentado dentro do contexto das atividades de
negócio globais da organização e os riscos que ela enfrenta. ABNT NBR ISO/IEC 27001
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
8
• Fase 4 – Validação das ações implantadas
• Fase 5 – Implantação de processos de manutenção
• Fase 3 – Implantação das ações definidas
• Fase 1 – “Quick scan” inicial
• Fase 2 – Identificação de “gaps” e planos de ação
Planejamento
(Plan)
Execução
(Do)
Validação
(Check)
Acompanha-mento
(Act)
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
9
• Fase 4 – Validação das ações implantadas
• Fase 5 – Implantação de processos de manutenção
• Fase 3 – Implantação das ações definidas
• Fase 1 – “Quick scan” inicial
• Fase 2 – Identificação de “gaps” e planos de ação
Planejamento
(Plan)
Execução
(Do)
Validação
(Check)
Acompanha-mento
(Act)
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
10
• Fase 1 – “Quick scan” inicial
• Fase 2 – Identificação de “gaps” e planos de ação
Estabelecer a política, objetivos, processos e
procedimentos do SGSI, relevantes para a gestão
de riscos e a melhoria da segurança da informação
para produzir resultados de acordo com as políticas
e objetivos globais de uma organização.
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
11
• Fase 1 – “Quick scan” inicial
• Fase 2 – Identificação de “gaps” e planos de ação
•Mapear as áreas e responsáveis;
•Reunião de identificação dos processos críticos;
•Absorver cultura;
•Fechar escopo de atuação;
•Definir grupo multidisciplinar;
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
12
• Fase 1 – “Quick scan” inicial
• Fase 2 – Identificação de “gaps” e planos de ação
•Analisar e avaliar os riscos operacionais e de
ambiente;
•Identificar controles e avaliar sua efetividade;
•Avaliar documentação;
•Avaliar maturidade em SI;
•Definir planos de atuação.
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
13
• Fase 3 – Implantação das ações definidas
Implementar e operar a política, controles, processos e
procedimentos do SGSI.
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
14
• Fase 3 – Implantação das ações definidas
•Elaborar cronograma de implantação de controles e
procedimentos;
•Executar subprojetos de segurança;
•Elaborar documentação normativa de suporte aos subprocessos;
•Validar documentação elaborada; e
•Identificar potenciais controles.
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
15
• Fase 4 – Validação das ações implantadas
Avaliar e, quando aplicável, medir o
desempenho de um processo frente à política,
objetivos e experiência prática do SGSI e
apresentar os resultados para a análise crítica
pela direção.
• Validar controles identificados;
• Fazer todos os processos de auditoria
(execução, validação, emissão de
relatórios);
• Executar avaliação de maturidade e
comparar com a avaliação inicial;
• Apresentar avaliação dos controles.
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
16
• Fase 5 – Implantação de processos de manutenção
Executar as ações corretivas e
preventivas, com base nos resultados
da auditoria interna do SGSI e da
análise crítica pela direção ou outra
informação pertinente, para alcançar a
melhoria contínua do SGSI.
• Validar controles identificados;
• Executar processo de auditoria de validação
das atividades e subprojetos;
• Emitir relatório de auditoria;
• Apresentar resultado de auditoria;
• Executar avaliação de maturidade e comparar
com o resultado obtido na Fase 2; e
• Apresentar avaliação dos controles.
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
17
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
18
MAS ESSAS ATIVIDADES SÃO...COMUNS
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
19
O QUE DIFERENCIA?
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
20
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
21
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
22
Processo 1
Processo 2
Processo 3
Processo n
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
23
Processo 1
Processo 2
Processo 3
Processo n
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
24
Negócio
nos seus objetivos e no que o suporta
Controles Processos/procedimentos
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
25
Presidência
Financeiro RH TI
SI
Produto Marketing
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
26
Presidência
Financeiro RH TI SI Produto Marketing
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
27
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
28
OK! MAS ESTAMOS FALANDO DE SEGURANÇA DA INFORMAÇÃO
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
29
Segurança da informação
Inte
grid
ade
Dis
poni
bilid
ade
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
30
• Inerente ao ativo
• Relacionado à fragilidades Vulnerabilidade
• Normalmente externo ao ativo
• Normalmente requer um agente Ameaça
• Grau de exposição de um ativo a uma ameaça
• Dá suporte aos gestores Risco
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
31
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
34
Reter ou aceitar
Uma forma de tratamento
de risco na qual a alta
administração decide
realizar a atividade,
assumindo as
responsabilidades caso
ocorra o risco identificado
04/I
N01
/DS
IC/G
SIP
R
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
35
Reter ou aceitar Transferir ou
compartilhar
Uma forma de tratamento
de risco na qual a alta
administração decide
realizar a atividade,
compartilhando com outra
entidade o ônus
associado a um risco
04/I
N01
/DS
IC/G
SIP
R
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
36
Reter ou aceitar Transferir ou
compartilhar
Tratar ou mitigar
Processo e implementação de
ações de segurança da
informação e comunicações
para evitar, reduzir, reter ou
transferir um risco
04/I
N01
/DS
IC/G
SIP
R
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
37
Reter ou aceitar
Reduzir ou evitar
Transferir ou
compartilhar
Tratar ou mitigar
Uma forma de tratamento de
risco na qual a alta
administração decide realizar a
atividade, adotando ações para
reduzir a probabilidade, as
consequências negativas, ou
ambas, associadas a um risco
04/I
N01
/DS
IC/G
SIP
R
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
38
Reter ou aceitar
Reduzir ou evitar
Transferir ou
compartilhar
Tratar ou mitigar
04/I
N01
/DS
IC/G
SIP
R
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
39
MAS A DEFINIÇÃO DE RISCOS É COMPLEXA...
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
40
O QUE PODE SER USADO COMO GUIA?
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
41
ISO/IEC27005
BS25999
Basiléia II
Resoluções Normativas
Decretos e leis
ISO31000
SOX
CVM
SUSEP
ISO/IEC27005
BS25999
Basiléia II
Resoluções Normativas
Decretos e leis
ISO31000
SOX
CVM
SUSEP
ISO/IEC27005
BS25999
Basiléia II
Resoluções Normativas
Decretos e leis
ISO31000
SOX
CVM SUSEP
ISO/IEC27005
BS25999
Basiléia II
Resoluções Normativas
Decretos e leis
ISO31000
SOX
CVM
SUSEP
ISO/IEC27005
BS25999
Basiléia II
Resoluções Normativas
Decretos e leis
ISO31000
SOX
CVM
SUSEP ISO/IEC27005
BS25999
Basiléia II Resoluções Normativas
Decretos e leis
ISO31000
SOX
CVM
SUSEP
ISO/IEC27005
BS25999
Basiléia II
Resoluções Normativas
Decretos e leis
ISO31000
SOX
CVM
SUSEP
ISO/IEC27005
BS25999
Basiléia II
Resoluções Normativas
Decretos e leis
ISO31000
SOX
CVM
SUSEP
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
42
Leis
Normas
Resoluções
Regulamentações
Boas práticas de mercado
OBRIGATÓRIAS PARA TODOS!
OBRIGATÓRIAS POR NICHO
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
43
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
44
E QUEM FAZ ISSO TUDO?
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
45
Estratégico
CISO
Arquiteto de SI Arquiteto de SI
ISO ISM
Analistas e
especialistas
Tático
Operacional
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
46
Estratégico
CISO
ISO ISM
Analistas e
especialistas
Tático
Operacional
Analistas e
especialistas
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
47
BEM, VAMOS RESUMIR...
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
48
Obter suporte executivo
Identificar o estado atual
Traçar objetivos alcançáveis
Subdividir em projetos curtos
Aplicar pontos de validação periódica
Usar embasamento normativo adequado
Considerar o Risco para o negócio
Considerar a estrutura da
organização como ponto de força
Revise periodicamente o
que você vem fazendo
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
49
Obter suporte executivo
Identificar o estado atual
Traçar objetivos alcançáveis
Subdividir em projetos curtos
Aplicar pontos de validação periódica
Usar embasamento normativo adequado
Considerar o Risco para o negócio
Considerar a estrutura da
organização como ponto de força
Revise periodicamente o
que você vem fazendo
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
50
Obrigado
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
web: www.ShieldSaaS.com | twitter: @ShieldSaaS