96642208 Conceitos de Seguranca Da Informacao

7/30/2019 96642208 Conceitos de Seguranca Da Informacao

1/80

Campanha da Poltica

Antonio [email protected]

de Segurana daInformao


2/80

Um Caso Real

Gesto de Riscos, Implementao

de Controles, Correo, Plano deContingncia, Workflow, Gesto,

Auditoria,


3/80


4/80


5/80


6/80


7/80


8/80


9/80


10/80


11/80


12/80


13/80

Evoluo das Fronteiras

13


14/80

Tangibilidade da Segurana Lgica difcil conscientizar o usurio!

Antes do Incndio Durante o Incndio Aps o Incndio

14

Antes da Fraude Durante a Fraude Aps a Fraude


15/80

Por que Proteger a Informao

Proteo Pessoal - Em casa e no trabalho

Responsabilidade Civil e Pessoal Leis, Regulamentaes, Normas

Proteo da Informao da Organizao

Confidencialidade Sigilo, Privacidade, Inteligncia competitiva, Espionagem

Integridade

Fraudes, Compliance, Conduta Disponibilidade

Performance, Contingncia


16/80

Risco de Incndio - Disponibilidade


17/80

Risco de Fraudes - Integridade


18/80

Risco de Vazamento de Informaes- Confidencialidade


19/80

Proteger o Que?

Documentos

Informaes da organizao Informa es essoais

Informaes custodiadas Transaes de valores

Projetos, Planos


20/80

Spam Inundao Multas e Aes FraudeIndisponibilidade Vrus,

S ware

Ameaas ao Negcio

Sabotagem Vazamentode Informaes

IncndioFalsa IdentidadeErros Cdigo Malicioso

em Sistemas


21/80

Ciclo da Informao

UsoCriao

Transporte

ArmazenamentoDescarte


22/80

Roubo de Informaes

Agente infiltrado Celular c/ filmadora

Lixo Invases ngen ar a oc a Grampo Troca de empresa de funcionrios

Fornecedores Agncias de Publicidade, Escritrios de Advocacia Ingenuidade


23/80

Os Desafios de Segurana estoCrescendo

As aes de segurana precisam estar integradas com a

legislao e regulamentao

A segurana da informao no s em computadores

Est aumentando o valor financeiro da informao

As tecnologias de ataque esto se integrando Crimes so alm-fronteiras

O ambiente Corporativo est cada vez mais complexo

O crime organizado tem aumentado sua atividade nomeio eletrnico


24/80

Segurana da Informaono dia-a-dia


25/80

Segurana de Equipamentos


26/80

Descarte


27/80

Equipamento Moderno deEspionagem


28/80

Exclusivo para voc


29/80

Portal dos Anjos ...


30/80

Seu nome no SPC


31/80

Negcio Corporativo


32/80

Riscos mais comuns

Compartilhamento de senha

Vazamento de informao Papel, Conversas, e-mail, ...

Privacidade

Programas maliciosos

Acesso indevido Fsico e lgico

Engenharia Social


33/80

F X Confiana

Santo Isidoro de Sevilha NBR ISO 27001


34/80

Informalidade Aes Hericas

Apagar incndios Baseada em Talentos Conflito de atribuies

SGSI 27001 Processos documentados

Foco na preveno Requisitos definidos Responsabilidades estabelecidas

Por que adotar a ISO 27001...

Falta de Controle Solues desintegradas nfase em tecnologia

Indicadores Otimizao de Investimentos nfase em gesto

Processo de Maturidade

Gesto da Segurana


35/80

Barreiras da Segurana

Processos

Gesto desegurana

Autorizao egesto de acesso

Segurana emnvel de aplicao

Cultura, Legislao,Poltica de Seg.

Diagnosticar

e eg c o

Ameaas

Firewall

ICP

Criptografia

Autenticao

Sistemas de

deteco deintrusos

Anti-vrus

Desafios em Segurana: Conscientizar os usurios


36/80

Desafios em Segurana: Conscientizar os usurios

36

Desafios em Segurana: Convencer os executivos


37/80

Falta de conscincia dos executivos

Falta de conscincia dos usurios

Falta de oramento

Falta de profissionais capacitados

Falta de ferramenta no mercado

33%

29%

23%

Desafios em Segurana: Convencer os executivos



Falta de oramento


33%

29%

23%

10%



Falta de oramento


33%

29%

23%

10%

37

Custo de implantao

Falta de prioridade

10%

2%

1%

1%

Fa ta e erramenta no merca o

Custo de implantao

Falta de prioridade

1%

1%

Fa ta e erramenta no merca o

Custo de implantao

Falta de prioridade

1%

1%


38/80

Posicionamento

38


39/80

Referncias

39

Segurana da Informao


40/80

Segurana da Informaoe Gesto de Riscos

Gesto de Riscos


Gesto de Riscos em TI

S d L t


41/80

Sopa de Letras

ISO/IEC 27001COBIT 4.0

ANS RN 114

SOXPCI-DSS

BASEL II

eSCM

ISO Guide 73

COSO

COBIT 4.1

ISO/IEC TR 13335

ITIL

CD ISO 31000

:

NBR ISO/IEC 17799

BC 3380

AS/NZS 4360 BS 7799ISO 3WD 25700

NIST 800-53

BITS

BC 2553ISO 15408

HIPAA FISMA

ISO/IEC 27005

CMM

PAS 56:2003

L i R l t


42/80

Leis e Regulamentaes

Cdigo Civil Cdigo Penal Instituies Financeiras

Banco Central (3380, 2817, 2554, ...), Susep 249..., CGPC 13 Basilia II PCI/DSS, BITS, PQO/BM&F, Anbid

CVM (358, ...), Sarbanes Oxley Governo

Decretos 4553, 3505, TCU

Receita e Fazenda Receita Federal, Nota Fiscal Eletrnica Sade

Hippa, Resolues CFM

Frameworks


43/80

Frameworks

Segurana da Informao ISO 27002 (17799), ISO 27001

Gesto de TI

Cobit, Itil, ISO 20000 Gesto da Continuidade do Negcio

BS 25999

Gesto de Riscos ISO Guia 73, AS/NZS 4360, ISO 31000

Avaliao de Fornecedores eSCM

Desenvolvimento de Sistemas CMMi, ISO 15408 Gesto de Projetos

PMBok


44/80

ALGUNSALGUNSCASECASE

Casos Relatados


45/80

Casos Relatados


46/80


47/80


48/80


49/80


50/80


51/80


52/80


53/80

Caso MduloLivro Paul Dinsmore


54/80

Livro Paul Dinsmore

Quadro 2: Caso Mdulo - principais marcos e outros eventos relevantes

Projeto Ano Marco

" "

O objetivo do primeiro projeto era tornar a Mdulo a primeira empresa da Amrica

Latina certificada na norma britnica BS 7799 Parte 2, verso 1999.2002 O primeiro projeto concludo com sucesso, e a Mdulo certificada na norma BS

7799 Parte 2 verso 1999.

P2 2003 A atualizao da BS 7799 em 2002 (ver Tabela 1) gera para a Mdulo a necessidadede recertificao. iniciado um novo projeto para cumprir este objetivo, concludocom sucesso em agosto de 2003. A Mdulo obtm o selo BS7799 verso 2002.

P3 2004 Em 2004, a Mdulo executa mais um pequeno projeto de preparao para uma novaauditoria, necessria para manuteno da certificao. O projeto concludo comsucesso em Junho de 2004.

P4 2005 A atualizao da BS 7799-2:2002 para ISO/IEC 27001:2005 gera a necessidade demais uma recertificao. Um novo projeto iniciado com este propsito, e emnovembro de 2005 seu objetivo atingido, tornando a Mdulo a primeira empresa desegurana da informao do mundo a obter a certificao ISO 27001.


55/80


56/80

Projeto no Governo do

Estado de Mato Grosso

Anlise de RiscosMuncipio de Cuiab


57/80

Muncipio de Cuiab

Resultados Alcanados:

Objetivo: Analisar 400 propriedades atravs do Sistema de Animais rea: Municpio de Cuiab

de 2096 propriedades

1170 tm bovinos e bubalinos 20% das propriedades do Municpio de Cuiab Regies do Pedra 90 (Assentamentos Rurais, Pequenas, Mdias e

Grande Propriedades) Emisso de Relatrios:

RAR Relatrio de Anlise de Riscos

ROR Relatrio Operacional de Riscos RARs por Setor do Municpio de Cuiab Mapas Georeferenciados

Resultado Geral da Anlise Risco por Setor Risco por amostragem

Viso - Georeferenciada


58/80


59/80


60/80

Automao

Centro de OperaesJo os Pan-Americanos Rio 2007

Fernando [email protected]


61/80

PAN 2007


62/80


63/80


64/80


65/80

Escritrio de Gesto de RiscosDurante os Jogos


66/80

g

Escritrio de Gesto de Riscos e Crises instalado paraoperao imediata;

Controle integrado dos riscos, facilitando a gesto deincidentes e crises;

Facilidade na tomada de decises em eventos de altacomplexidade;

Preveno de incidentes, perdas e ocorrncias, com

reduo de custos associados.


67/80


68/80


69/80


70/80


71/80


72/80


73/80


74/80


75/80


76/80

Escritrio de Gesto de RiscosAps os Jogos


77/80

Modelo de Gesto de Riscos e Crises para o Estado,incluindo:

Ferramenta de gesto de riscos instalada e customizada; Bases de conhecimento de Gesto de Riscos e Crises.

Infra-estrutura fsica e tecnolgica suficiente para entrar emoperao imediatamente;

Pessoal qualificado;

Escalabilidade.

Escritrio de Gesto de RiscosAplicaes


78/80

Painel de Controle das Aes de Governo

Gesto de Projetos

Painel de Controle de Riscos, Incidentes e Crises

Aplicaes Imediatas

Segurana Pblica Educao

Sade

Transportes

Paineis de Controle


79/80

Secretarias

Ocorrncias,

Crises, IncidentesIndicadores Projetos Feedback

Painis

de Controle

WorkflowWorkflowAlertasApoioApoio gestogestoGesto de riscosGestoGesto de crisesde crises


80/80

Campanha da Poltica de

Antonio [email protected]


Documents

96642208 Conceitos de Seguranca Da Informacao