Upload
internet
View
106
Download
2
Embed Size (px)
Citation preview
A Segurança da Informação A Segurança da Informação
sob o Ponto de Vista dos sob o Ponto de Vista dos
Processos dos NegóciosProcessos dos Negócios
A Segurança da Informação A Segurança da Informação
sob o Ponto de Vista dos sob o Ponto de Vista dos
Processos dos NegóciosProcessos dos Negócios
Alinhamento dos benefícios da segurança
com os objetivos do negócio
•Da cadeia de custo para cadeia de valor
•Ser parte integrante da cadeia de valor de produtos e serviços.
•A segurança sob o ponto de vista dos processos de negócios.
•Alinhamento dos benefícios da segurança com os objetivos do negócio.
•Suas especificidades e impactos na gestão dos negócios.
Segurança Segurança EmpresarialEmpresarial
AGENDAAGENDAAGENDAAGENDA
2 Inteligência Empresarial
3
4
1 Introdução
Segurança Empresarial
Estrutura Organizacional e Análise Ambiental
5 Conclusão
Legislação InternacionalLegislação Internacional ISO 17799 – Assuntos AbordadosISO 17799 – Assuntos AbordadosLegislação InternacionalLegislação Internacional
ISO 17799 – Assuntos AbordadosISO 17799 – Assuntos Abordados
Política de Segurança e Segurança Organizacional
Classificação e Controle dos Ativos de Informação
Segurança de Pessoas, Ambiental e Física
Gerenciamento das Operações e Comunicações
Controle de Acesso
Desenvolvimento de Sistemas e Manutenção
Gestão de Continuidade de Negócio
Conformidade
AGENDAAGENDAAGENDAAGENDA
1 Introdução
3
4
2 Inteligência Empresarial
Segurança Empresarial
Estrutura Organizacional e Análise Ambiental
5 Conclusão
Dados, Informação e Dados, Informação e ConhecimentoConhecimento
Dados, Informação e Dados, Informação e ConhecimentoConhecimento Para Gates (1999, p.42), dados têm o significado de elementos ou quantidades
conhecidas, que servem de base à resolução de um problema, tais como alimentar um sistema de controle de faturamento e suporte a decisões.
Os dados e as informações conectam-se entre si para formar conhecimento.
Informação pode ser entendida também como um brasileirismo militar que significa conhecimento amplo e bem fundamentado, resultante da análise da combinação de vários informes.
A informação, sob o aspecto do processamento de dados, pode ser entendida como a coleção de fatos ou de outros dados fornecidos à máquina, a fim de objetivar um processamento.
A informação também pode ser vista como um processo cognitivo alimentado por uma série de dados que são analisados e tratados.
InformaçãoInformaçãoInformaçãoInformação
Necessidade
Geração da Informação
Armazenamento e Processamento
Transmissão
Consulta, uso e manipulação
Estes passos são totalmente baseados em sistemas de informação e telecomunicações. Se for analisado pela ótica do século XXI, então ainda pode-se incluir a geração da informação.
Principais componentes de um sistema de inteligênciaFonte: BRETON, Preston P. Le. Administrative Intelligence -
Information Systems. University of Washington, 1969.
InteligênciaInteligênciaInteligênciaInteligência
Números, estatísticas, fatos isolados
Dados organizadosdentro de um contexto
Informação analisada,tratada e interpretada
Dados
Informação
Conhecimento
Ciclo da inteligência
A Importância do A Importância do ConhecimentoConhecimento
Desde os primórdios, grandes líderes e sábios já ressaltavam o valor do conhecimento.
Hoje um dos livros mais lidos em todo o mundo é “A Arte da Guerra”, escrito pelo general e filósofo chinês Sun Tzu, que viveu há 2.500 anos.
“ Se você conhece o inimigo e conhece a si mesmo não precisa temer o resultado de cem batalhas. Se você se conhece mas
não conhece o inimigo, para cada vitória ganha sofrerá também uma derrota. Se você não conhece nem o inimigo nem a si
mesmo, perderá todas as batalhas.”
Sun Tzu
O Conhecimento nas O Conhecimento nas EmpresasEmpresas
Atualmente todas as grandes corporações no mundo criaram estruturas de gestão e proteção do conhecimento.
90% das 500 maiores empresas americanas iniciaram seus programas nos últimos 20 anos.
No total, cerca de mais de 10% das empresas americanas têm um processo formal de gestão da informação.
Na França há um órgão governamental que auxilia as empresas na proteção da sua informação com o objetivo de proteger a indústria nacional.
No Brasil há poucas empresas com programas desenvolvidos, principalmente pela falta de competição em muitos setores e pela escassez de corporações que competem a nível internacional.
Excelência Decisória
Eficácia da
análise
Eficácia da
análiseDisponibilidade
e qualidade dos dados
Disponibilidadee adequação de ferramentas
Decisão
Ferramentas
Decisões Estratégicas Decisões Gerenciais Decisões de Inovação e Conhecimento Decisões Operacionais
Profissionais do
Conhecimento
NívelGerencial
NívelOperacional
NívelEstratégico
ERP: ENTERPRISE RESOURCE PLANNINGERP: ENTERPRISE RESOURCE PLANNING
MRPMRPPlanejamento
de Necessidadesde Material
PlanejamentoLinear
MRP IIMRP IIPlanejamentodos Recursosde Manufatura
PlanejamentoCadeia Fechada
ERPERPPlanejamentodos Recursosde Empresa
PlanejamentoIntegrado de
Toda a Cadeia
1970
1990
1980
MRPMRP
MRPIIMRPII
ERPERP
CLIENTE
Faxe-mail
VRU
Web
Fone
Vendas cross-sell up-sell televendas
Marketing Serviço e suporte ao cliente
Programas de freqüência
Assistência Técnica
GESTÃO DE CONTATO
EDI
CRM – Portfólio de Competências
Balanced ScorecardBalanced Scorecard
Clientes“Para alcançar nossa visão comonossos Clientes deverão nosver ?”
Clientes“Para alcançar nossa visão comonossos Clientes deverão nosver ?”
Processos Internos“Para satisfazer nossos Clientese acionistas, em quais processosde negócio temos que atingir aexcelência?”
Processos Internos“Para satisfazer nossos Clientese acionistas, em quais processosde negócio temos que atingir aexcelência?”
Financeiro“Para ter sucesso financeiro, como devemos ser vistos por nossos acionistas ?”
Financeiro“Para ter sucesso financeiro, como devemos ser vistos por nossos acionistas ?”
Inovação e Aprendizagem“Para alcançar nossa visão como iremos manter nossa capacidade demudar e melhorar continuamente ?”
Inovação e Aprendizagem“Para alcançar nossa visão como iremos manter nossa capacidade demudar e melhorar continuamente ?”
Visão&
Estratégia
Lucro•Receita•Margem
Lucro•Receita•Margem
Fidelidade•Satisfação •Imagem
Fidelidade•Satisfação •Imagem
Qualidade•Solução•Comunicação
Qualidade•Solução•Comunicação
Inovação•Motivação•Conhecimento
Inovação•Motivação•Conhecimento
Ser a melhor opção do Mercado em ...Ser a melhor opção do Mercado em ...
Inteligência x SegurançaSegurançaInteligência x SegurançaSegurança
VALOR
CUSTO
PROCESSOSPRODUTO/SERVIÇO
Imagem
Conhecimento
Informação
Inovação
Controle
Logística
Tecnologia
Metodologia
Imagem
Conhecimento
Informação
Inovação
Controle
Logística
Tecnologia
Metodologia
Inteligência Segurança
Elementos de vantagem competitivaFonte: FLECK, Denise. MBA COPPEAD - Disciplina Estratégia Empresarial. UFRJ: 2001
AGENDAAGENDAAGENDAAGENDA
2 Inteligência Empresarial
1
4
3 Segurança Empresarial
Introdução
Estrutura Organizacional e Análise Ambiental
5 Conclusão
Segurança EmpresarialSegurança EmpresarialSegurança EmpresarialSegurança Empresarial
“A sua proteção é tão forte quanto o risco do seu ponto mais fraco!”
Sistema de GestãoSistema de GestãoSegurança EmpresarialSegurança Empresarial
ObjetivosObjetivos
Sistema de GestãoSistema de GestãoSegurança EmpresarialSegurança Empresarial
ObjetivosObjetivos
•Otimização da Proteção das Otimização da Proteção das Pessoas, do Conhecimento e do Pessoas, do Conhecimento e do Patrimônio;Patrimônio;
•Identificar Riscos de Negócios;Identificar Riscos de Negócios;
•Prevenir Riscos Operacionais e Prevenir Riscos Operacionais e Perdas Financeiras;Perdas Financeiras;
•Assegurar a Boa Imagem;Assegurar a Boa Imagem;
•Reduzir Custos.Reduzir Custos.
Planejamento, Execução e Controle
Planejamento, Execução e Controle
Passos para implementação de um sistema:Passos para implementação de um sistema: Implementação de Implementação de Diretrizes; Políticas; Padrões; Procedimentos Diretrizes; Políticas; Padrões; Procedimentos ee
IndicadoresIndicadores de Segurança; de Segurança; Definição do Escopo do Sistema – ativos contemplados, sejam Definição do Escopo do Sistema – ativos contemplados, sejam
sistemas, dispositivos físicos, processos e atitudes comportamentais;sistemas, dispositivos físicos, processos e atitudes comportamentais; Análise de Risco – identificação de ameaças e vulnerabilidades e Análise de Risco – identificação de ameaças e vulnerabilidades e
possíveis impactos no negóciopossíveis impactos no negócio;; Gestão do Risco – definição do processo de gestão dos riscos e Gestão do Risco – definição do processo de gestão dos riscos e
critérios para definir prioridades e relação custo versus benefício de critérios para definir prioridades e relação custo versus benefício de cada ação recomendada;cada ação recomendada;
Seleção e MonitoraSeleção e Monitoramentomento de Controles e Indicadores de Segurança de Controles e Indicadores de Segurança;; Declaração de Aplicabilidade – justificar quais itens da norma (BS7799 – Declaração de Aplicabilidade – justificar quais itens da norma (BS7799 –
ISO 17799) são aplicáveis e serão contemplados no sistema para evitar ISO 17799) são aplicáveis e serão contemplados no sistema para evitar que se definam controles em excesso ou que se deixe desprotegido que se definam controles em excesso ou que se deixe desprotegido algum ativo importante para a organizaçãoalgum ativo importante para a organização
Avaliação de Avaliação de Vulnerabilidades e Vulnerabilidades e Análise de RiscosAnálise de Riscos
Planejamento
Planejamento
de Métodos de
de Métodos de
Segurança
Segurança
Seleção e Seleção e Implantação de Implantação de
SoluçõesSoluções
Treinamento e
Treinamento e
Capacitação
Capacitação
Monitoração de
Monitoração de
Indicadores de
Indicadores de
Segurança
Segurança
Auditorias, Auditorias,
Contingência, Contingência,
RecuperaçãoRecuperação
Diretrizes; Diretrizes; Políticas; Políticas; Padrões; Padrões;
Procedimentos Procedimentos & Indicadores& Indicadores
Gerenciamento Gerenciamento de Mudançasde Mudanças
Metodologia - PDCAMetodologia - PDCAMetodologia - PDCAMetodologia - PDCA
Descrevem a conduta e posturas adequadas durante o manuseio de equipamentos e informações da empresa, e abrange os seguintes princípios:
Diretrizes de SegurançaDiretrizes de SegurançaDiretrizes de SegurançaDiretrizes de Segurança
Propriedade da Informação;Propriedade da Informação;Identificação;Identificação;Responsabilidade;Responsabilidade;Acesso;Acesso;Sigilo;Sigilo;Proteção dos equipamentos ou Proteção dos equipamentos ou sistemassistemas
Objetiva padronizar comportamentos e Objetiva padronizar comportamentos e ações de colaboradores e prestadores de ações de colaboradores e prestadores de serviço de uma empresa em relação à serviço de uma empresa em relação à segurança, devendo ser divulgada e segurança, devendo ser divulgada e observada por todos.observada por todos.
Política de SegurançaPolítica de SegurançaPolítica de SegurançaPolítica de Segurança
Análise de RiscoAnálise de RiscoAnálise de RiscoAnálise de Risco
Identificação de ameaças e Identificação de ameaças e
vulnerabilidades e possíveis impactos no vulnerabilidades e possíveis impactos no
negócionegócio na: na:
Segurança de PessoalSegurança de Pessoal
Segurança de Prédios e Instalações;
Segurança da Documentação e Material;
Segurança das Comunicações;
Segurança de Tecnologia de Informação.
Programa de Gestão e Programa de Gestão e Proteção do ConhecimentoProteção do Conhecimento
Programa de Gestão e Programa de Gestão e Proteção do ConhecimentoProteção do Conhecimento
O PGPC é um programa permanente de treinamento, O PGPC é um programa permanente de treinamento, incentivo e monitoramento da informação em incentivo e monitoramento da informação em proveito das atividades da organização.proveito das atividades da organização.
Seus objetivos são:Seus objetivos são: Genéricos Genéricos
proteger as informações da organização;proteger as informações da organização; maximizar a capacidade da organização de captar informações maximizar a capacidade da organização de captar informações
do mercado e analisá-las dentro do contexto competitivo; do mercado e analisá-las dentro do contexto competitivo; Específicos Específicos
criar e consolidar uma cultura de valorização do conhecimento; criar e consolidar uma cultura de valorização do conhecimento; treinar e incentivar os colaboradores a proteger informações de treinar e incentivar os colaboradores a proteger informações de
uso e de interesse da empresa; uso e de interesse da empresa; treinar os colaboradores a lidar com informações do mercado.treinar os colaboradores a lidar com informações do mercado.
Programa de Gestão e Programa de Gestão e Proteção do ConhecimentoProteção do Conhecimento
Resultado /AvaliaçãoResultado /Avaliação
Programa de Gestão e Programa de Gestão e Proteção do ConhecimentoProteção do Conhecimento
Resultado /AvaliaçãoResultado /Avaliação
O Plano de Continuidade de Negócios é um programa O Plano de Continuidade de Negócios é um programa permanente que visa a continuidade dos permanente que visa a continuidade dos processosprocessos da da Empresa, buscando minimizar o tempo e os custos de Empresa, buscando minimizar o tempo e os custos de parada, independente dos parada, independente dos eventoseventos (desastres) que (desastres) que ocorram. ocorram.
O mais importanteO mais importante: é entender a dinâmica organizacional : é entender a dinâmica organizacional nas corporações.nas corporações.
Plano de Continuidade de Plano de Continuidade de NegóciosNegócios
Tipos de Eventos Tipos de Eventos (Desastres)(Desastres)
Tipos de Eventos Tipos de Eventos (Desastres)(Desastres)
Enchentes Acesso indevido Distúrbio civil Falha humana Explosão Terrorismo Outros
Atos de Vandalismo Roubo Sabotagem Incêndio Raios
Processo de NegócioContinuidade e Retomada PN
TI NTI Tec Pes Outros
t Componentes
PCO - Plano deContinuidadeOperacional
PRD - Plano deRecuperação
Desastres
PCN=PGC+PCO+PRD
Plano de Continuidade de Plano de Continuidade de NegóciosNegócios
Plano de Continuidade de Plano de Continuidade de NegóciosNegócios
Desa
stre
PGC - Plano deGerenciamento de Crise
Seleção e monitoramento de Seleção e monitoramento de
controles de indicadores de controles de indicadores de
segurança de acordo com a segurança de acordo com a
legislação vigente legislação vigente
(Conformidade dos (Conformidade dos
Sistemas).Sistemas).
Seleção e monitoramento de Seleção e monitoramento de
controles de indicadores de controles de indicadores de
segurança de acordo com a segurança de acordo com a
legislação vigente legislação vigente
(Conformidade dos (Conformidade dos
Sistemas).Sistemas).
Objetivo das SimulaçõesObjetivo das Simulações
Testar a Funcionalidade dos Procedimentos
Capacitar o Pessoal e as Equipes
Identificar os Pontos Obsoletos.
Identificar Falhas
Testar Módulo do Plano
Testar Procedimentos de Resposta
Manter Elevado o Nível de Conscientização do Corpo
Funcional
AGENDAAGENDAAGENDAAGENDA
1 Introdução
3
2
4 Estrutura Organizacional e Análise Ambiental
Segurança Empresarial
Inteligência Empresarial
5 Conclusão
PessoalAtivos e Processos
Organização e AmbienteOrganização e AmbienteOrganização e AmbienteOrganização e Ambiente
InformaçãoInformação$$$$
DadosDados$$
ConhecimentoConhecimento$$$$$$
Gestão do Conhecimento
Tecnologia da Informação
CPD
Segurança Física
Segurança da
Informação
Proteção do Conheciment
o
Facilitadores e EntravesFacilitadores e EntravesAnálise AmbientalAnálise AmbientalFacilitadores e EntravesFacilitadores e EntravesAnálise AmbientalAnálise Ambiental
Segurança Segurança EmpresarialEmpresarial
GovernoGoverno
TecnologiaTecnologia
EconomiaEconomia
CulturaCultura
DemografiaDemografia
CenáriosCenários
Pontos FortesPontos FortesPontos FracosPontos FracosOportunidadeOportunidade
AmeçasAmeças
Plano Plano de Açãode Ação
Análise AmbientalAnálise AmbientalAnálise AmbientalAnálise Ambiental
TecnologiaTecnologia::
Até que ponto as tecnologias estão atualizadas?
De que forma as tendências tecnológicas estão afetando o seu negócio e a sua indústria?
GovernoGoverno::
Quais as mudanças regulatórias?
Que incentivos podem surgir?
Quais os riscos políticos da operação?
Legislação!
EconomiaEconomia::
Perspectivas econômicas?
Internas e externas!
Qual é o foco dos acionistas?
E qual é o foco de cada um dos principais executivos?
CulturaCultura::
Quais são as tendências atuais e emergentes com relação a Segurança?
Qual é a cultura interna a esse respeito?
Benchmarking!
DemografiaDemografia::
O tamanho do mercado será afetado por tendências demográficas?
Você conhece os agentes que influenciam o seu negócio?
Renda, local., educação, idade, etc.
Gestão do ConhecimentoGestão do Conhecimento
““Knowledge Management”(KM)Knowledge Management”(KM)
É um processo de elucidação, transformação e difusão de conhecimento através da empresa de forma que ele possa ser compartilhado e re-utilizado
Auxilia organizações a encontrar, selecionar, organizar, disseminar e transferir importantes informações e “expertises”
Transforma dados / informação em conhecimento utilizável que possa ser aplicado por qualquer um, de forma eficaz em qualquer ponto da organização
Exige uma enorme transformação na cultura da organização criando o desejo de “compartilhar”
Inteligência Inteligência Estratégica Estratégica
AntecipativaAntecipativa
Inteligência Inteligência Estratégica Estratégica
AntecipativaAntecipativaAmbiente atual
Os produtos
FornecedoresEMPRESA
(organização)
Os procedimentose tecnologias
Os poderes públicos
O MERCADOconcorrentes
clientes
Os grupos de pressão(agindo sobre o político,o econômico, o social)
Ambiente Previsional
O ambiente da empresa tem diferentes componentes
É o processo informacional através do qual a organização realiza a escuta “antecipativa” dos “sinais fracos”do seu ambiente sócio-econômico com o objetivo criativo de descobrir oportunidades e de reduzir os riscos ligados à incerteza.
Inteligência Estratégica Antecipativa Inteligência Estratégica Antecipativa ou Vigília Estratégicaou Vigília Estratégica
Inteligência Estratégica Antecipativa Inteligência Estratégica Antecipativa ou Vigília Estratégicaou Vigília Estratégica
vigília tecnológica
vigília concorrencial/competitiva
vigília comercial
vigília fornecedores
vigília de regulamentos, normas e leis
vigília de aquisição
vigília dos poderes públicos
vigília política
vigília de parcerias (alianças)
múltiplas facetasmúltiplas facetas
VIGÍLIA ESTRATÉGICA VIGÍLIA ESTRATÉGICA “CLIENTES”“CLIENTES”“Uma abordagem performante dos clientes potenciais”
Objetivos
• antecipar para obter novos negócios
• detectar os clientes potenciais
• encontrar “pontos de entrada” para o contato
• definir ações objetivas e específicas para a aproximação/abordagem do cliente
• dispor de informações “úteis/favoráveis” e antecipativas para se ter sucesso no contato
• suscitar contatos com os clientes potenciais
• apreender as necessidades latentes do cliente potencial
As informações antecipativas são,
na sua maioria,
constituídas de sinais fracos!
As informações antecipativas são,
na sua maioria,
constituídas de sinais fracos!
As empresas duravelmenteAs empresas duravelmentecompetitivas têm umacompetitivas têm uma
Inteligência Estratégica Inteligência Estratégica AntecipativaAntecipativa
organizada e voluntarista.organizada e voluntarista.
As empresas duravelmenteAs empresas duravelmentecompetitivas têm umacompetitivas têm uma
Inteligência Estratégica Inteligência Estratégica AntecipativaAntecipativa
organizada e voluntarista.organizada e voluntarista.
- defensiva (reativa):- defensiva (reativa): antecipar o que poderia nos fragilizar
- ofensiva (criativa): - ofensiva (criativa): abrir novas frentes ou janelas de atividade
consequências da escolha no momento da definição da vigília estratégica
- defensiva (reativa):- defensiva (reativa): antecipar o que poderia nos fragilizar
- ofensiva (criativa): - ofensiva (criativa): abrir novas frentes ou janelas de atividade
consequências da escolha no momento da definição da vigília estratégica
2 finalidades da inteligência estratégica antecipativa
2 finalidades da inteligência estratégica antecipativa
DUAS DEMANDAS FREQUENTESDUAS DEMANDAS FREQUENTES
1- Como fazer evoluir nossa “base de dados clientes” retrospectiva na direção de uma base de dados antecipativa ?
2- Como fazer evoluir nossas informações referentes ao cliente quando se deseja evoluir de uma “estratégia-produto” para uma “estratégia-serviço” ?
Cerca de 70% das informações de vigília estratégicaexistem na sua organização...
mas elas são inutilizáveis devido à falta de uma organização apropriada.
São informações fantasmas !
DIFUSÃO DAS INFORMAÇÕES
àqueles que podem transformá-la em
ação
Visão FinalVisão FinalVisão FinalVisão Final
Consultorias EstratégicasConsultorias Estratégicas
Grupo Segurança da Informação (CSO)Grupo Segurança da Informação (CSO)
OperaçãoOperação ITIT FinançasFinanças
OutsourcingOutsourcing
ComitêComitêSegurançaSegurança
AGENDAAGENDAAGENDAAGENDA
1 Introdução
3
4
5 Conclusão
Segurança Empresarial
Estrutura Organizacional e Análise Ambiental
2 Inteligência Empresarial
Fatores Críticos de SucessoFatores Críticos de SucessoFatores Críticos de SucessoFatores Críticos de Sucesso
SEGURANÇASEGURANÇA
Apoio da alta Apoio da alta AdministraçãoAdministração
Conscientização Conscientização de todosde todos
++Ronaldo Pena Ronaldo Pena
www.usp.br/getswww.usp.br/gets