“ Desafios e benefícios na implementação de

modelos de segurança da informação”

Aveiro, 19 de Março de 2009

Agenda

• Porquê adoptar um modelo de Segurança da Informação

• Objectivo de um SGSI (*)

2

• Benefícios de um SGSI

• Desafios na implementação de um SGSI

• A Sinfic

(*) SGSI – Sistema de Gestão de Segurança da Informação

Porquê adoptar um modelo de segurança da informação?

• Por requisitos de Clientes / Estado / Accionistas • Requisitos contratuais, legais, de gestão

• Para demonstração a parceiros • Do compromisso na Segurança da Informação

3

• Do compromisso na Segurança da Informação

• Como ferramenta de Marketing• Como vantagem competitiva face à concorrência

• Como ferramenta interna de gestão • Para controlo e confiança

Informação – a base do negócio!

Estados (defesa nacional)Bancos (valor patrimonial de clientes)Software houses (código fonte)Saúde (registos clínicos)

4

Saúde (registos clínicos)Modelos financeiros (estratégias de negócio)Autoridades policiais (registo de infracções)...

Além das pessoas…Objectivo : Proteger o Negócio!!!

Normas internacionais em Segurança da Informação

ISO 27002:2005Código de Boas

Práticas para Gestão da

ISO 27002:2005Código de Boas

Práticas para Gestão da

ISO 27001:2005

Requisitos para um

ISO 27001:2005

Requisitos para um

5

Gestão da Segurança da

Informação

(ex ISO 17799:2005)

Gestão da Segurança da

Informação

(ex ISO 17799:2005)

Requisitos para um Sistema de Gestão de Segurança da

Informação

Requisitos para um Sistema de Gestão de Segurança da

Informação

ISO/IEC 27002:2005

Código de boas práticas para a gestão da segurança da informação

• Para utilização como documento de referência• Possui um conjunto compreensivo de controlos de segurança• As melhores práticas de segurança actuais, em utilização

6

• Possui 11 secções de controlo• Não é utilizado para análise (auditoria) e/ou certificação

(ex ISO/IEC 17799:2005)

ISO 27001:2005

‘Informação é um activo que, como outros importantes activos de negócio, tem valor para a organização e consequentemente necessita de ser adequadamente protegida’

7

Especificação para Sistemas de Gestão de Segurança da Informação• Especifica os requisitos para o estabelecimento, implementação e

documentação de um Sistema de Gestão de Segurança da Informação (ISMS *)

• Especifica os requisitos para os controlos de segurança a serem implementados de acordo com as necessidades individuais das organizações

Os três componentes básicos da Segurança da Informação

• Confidencialidade

• Integridade

8

• Disponibilidade

CIAConfidentialityIntegrity

Availability

Confidencialidade

Garantir de que a informação apenas se encontra disponível para quem está autorizado a acedê-la

9

Integridade

Salvaguardar a exactidão da informação e dos seus métodos de processamento

10

Disponibilidade / Acessibilidade

Garantir que as pessoas autorizadas a aceder à informação podem fazê-lo sempre que necessário e em tempo útil.

11

Negócio

Informação Física

(Faxes, contratos, relatórios, manuais, ...)

Informação Acústica

(conversações telefónicas, em público,

em reuniões, ...)

Informação Lógica

(registos electrónicos)

Desastres Naturais(Inundação, relâmpago,

tremor de terra, ...)

Falhas Técnicas(falha de comunicações,

falta de energia, falha de equipamento, ...)

ISO

/IEC

270

01:2

005

ISO

/IEC

270

01:2

005

12

Negócio

Informação Intelectual(conhecimento)

Informação Visual

(Vídeo, fotografia, video-conferência, ...)

Falhas Humanas(erros de manutenção,erros de utilizadores,falta de pessoal, ...)

Questões Sociais(greves,

atentados, política, legislação...)

ISO

/IEC

270

01:2

005

ISO

/IEC

270

01:2

005

Benefícios de implantação de um modelo de segurança da informação

Auxilia o aumento, contínuo, da qualidade da organização;Proporciona capacidade de demonstração de elevada e apropriada base de segurança;Estabelece e cimenta confiança mútua entre locais

13

Estabelece e cimenta confiança mútua entre locais da organização e com entidades externas ; Incrementa a habilidade para gerir e sobreviver a u m desastre;

A adopção da 27001 possibilita endereçar a estrutura de um SGSI de uma forma prática, com custos eficazes, de forma realista e compreensiva;

Benefícios de implantação de um modelo de segurança da informação

Conhecimento sobre a própria organização , seus processos, activos e dependências

Conhecimento e valoração dos seus activos , no contexto do negócio

14

Identificação de forças e fraquezas da organização, face ao ambiente global que a rodeia

Conhecimento do RISCO a que a organização está exposta (ou não)!!!

Cria a maturidade para gerir, no tempo, de forma eficaz a capacidade de sobrevivência da organização

Adopção de modelo para Gestão de Riscos

Comunicar e Consultar

Diagnosticar

Est

abel

ecer

Con

text

o

Iden

tific

arR

isco

s

Ana

lisar

Ris

cos

Ava

liar

Ris

cos

Miti

gar

Ris

cos

Con

trol

arR

isco

s

15

Monitorar e Rever

Est

abel

ecer

Con

text

o

Iden

tific

arR

isco

s

Ana

lisar

Ris

cos

Ava

liar

Ris

cos

Miti

gar

Ris

cos

Con

trol

arR

isco

s

Riscos

Fonte: ISO 31000 - Risk management - Guidelines on principles and implementation of risk management

Gestão do Risco e Gestão da conformidade

Ao gerir conformidades (medindo & optimizando)

mitiga-se o risco…

Ao gerir conformidades (medindo & optimizando)

mitiga-se o risco…

16Paulo Coelho Gestão do Risco

Desafios na implementação de um modelo de segurança da informação

Os gestores de topo têm que ser vistos como empenhados (Responsabilidade nos processos)

É essencial que a Administração e Directores de 1ª linha demonstrem o seu empenho

17

Estou empenhado!

demonstrem o seu empenho (através de decisões para gestão do risco, por exemplo)

Desafios na implementação de um modelo de segurança da informação

Política de Segurança , objectivos e actividades que espelhem os objectivos de negócio ;

Uma aproximação à implementação de segurança que seja consistente com a cultura da organização;

18

seja consistente com a cultura da organização;

Suporte e empenhamento visível da gestão de topo;

Desafios na implementação de um modelo de segurança da informação

Um perfeito entendimento e conhecimento sobre requisitos de segurança, análise e gestão de riscos ;Marketing efectivo para todos os colaboradores da organização;Distribuição do conceito de segurança da informação ,

19

Distribuição do conceito de segurança da informação , políticas de segurança, normas e regulamentos a todos os colaboradores e contratados;

Desafios na implementação de um modelo de segurança da informação

Providenciar treino e sensibilização de forma adequada e eficaz;Um compreensivo e balanceado sistema de medição, utilizado para avaliar a eficácia da gestão de segurança da informação na resposta a sugestões de

20

segurança da informação na resposta a sugestões de melhoria.

Desafios na implementação de um modelo de segurança da informação• Documentação

• Evidência de acções• Executadas para o estabelecer da metodologia de gestão

21

• Sumário da metodologia de gestão• Incluindo políticas, objectivos de controlo, controlos

implementados e sumário desses controlos.

Desafios na implementação de um modelo de segurança da informação• Procedimentos

• Para implementar os controlos, descrevendo responsabilidades e acções

• Para a gestão e operação do ISMS, descrevendo responsabilidades e acções

22

responsabilidades e acções

• Para auditar e rever internamente o ISMS

Ganhar as pessoas!As organizações são as pessoas:

• São as pessoas que sabem como criar, processar, armazenar, destruir, comunicar, proteger, etc. a informação de que

23

proteger, etc. a informação de que necessitam

• Mas são também as pessoas que a podem colocar em risco as próprias organizações a que pertencem!

O elemento humano !!!

•O sucesso de um sistema de gestão de segurança da informação depende do envolvimento e motivação dos colaboradores das diferentes áreas ou departamentos da

24

das diferentes áreas ou departamentos da organização!

Certificação ISO 27001 no mundo

25Fonte : http://www.iso27001certificates.com/

Quem somos…

26

Contexto empresarial baseado na FORÇA E CAPACIDADE EMPREENDEDORA

CNSFORMAÇÃO, CONSULTORIA DE GESTÃO, ORDENAMENTO DO TERRITÓRIO ESTUDOS,

27

SINFICSTRATEGIC IT CONSULTANCY CORPORATE PERFORMANCE MANAGEMENTSYSTEMS DEVELOPMENT & INTEGRATIONIT OUTSOURCING & MANAGEMENTSINFIC SA (sociedade direito Português)SINFIC SARL (sociedade direito Angolano)SINFIC LDA (sociedade direito Moçambicano)

3 paísesAngola,

Moçambique, Portugal

30 cidadesLisboa, Porto, Aveiro,

Marinha Grande, Agueda, Castelo Branco, Coimbra,

Ponte de Lima, Pombal, Faro, Setúbal, Vila da Feira, Loulé,

Leiria, Alcobaça, Casal de Cambra, Porto Alto, Funchal,

Luanda, Lobito, Benguela, Huila, Ondigiva, Grandola,

Kahama, Xangongo, Maputo

INOVASistemas de Gestão da Qualidade.DiagnósticosReengenhariaModernização Administrativa

Devido à sua estrutura a SINFIC assegura uma gestão de competências orientada à excelência e uma capacidade de resposta completa

Business and Process Modeling Enterprise Customer

Relationship Management

Information Systems Architecture

Infrastructure and Networking

Enterprise Resource Planning

Maintenance Management

Knowledge Management

Software System Quality

Architecture Integration

Document Management

Internet Development

Orientação a referênciais:

ISO 9001CMM e CMMi

ISO 27001

Planos de Desenvolvimento Estratégico

Sistemas de Informaçao Geográfica

Geografia, Topografia e cadastro

Gestão Integrada do Território

Planeamento do Território

28

A SINFIC assenta o seu modelo de gestão numa rede deunidades estratégicas de negócio autónomas,especializadas em competências específicas: quertecnológicas, quer de serviços.

Acreditamos que esta é a melhor forma de responder àsexigências dos mercados, dos clientes, dos parceiros ecolaboradores.

Internet Development

Software Engineering

Content Management

Change Management

Information Security

Business Intelligence

Data warehousing

Corporate Portals

Data Quality

Web Design

Data Mining

E-Business

E-Learning

Capacidade Técnica reconhecida:IBM Premium partner

MSFT Gold PartnerOracle Certified Partner

CA PartnerESRI

SAP Business PartnerSAP Service Center

Fujitsu…

ISO 27001BS 25999

COSOCOBIT

ITILTOGAF,

…

Planeamento do Território

Planos Directores

Planos de Urbanismo

Planos de Promenor

Parcerias

• O conjunto de alianças com os leaders mundiais trouxeram à SINFIC a capacidade

29

de apresentar e implementar as melhores soluções do Mercado

SINFIC S.A.Estrada da Ponte, nº2Quinta Grande – Alfragide2610-141 AmadoraPortugal

SINFIC S.A.R.L.Rua Ndunduma, 189MiramarLuandaAngola

SINFIC Lda.Av. Olof Palme, nº 358-1ºMaputo

Moçambique

30

Tel: (+351) 21 010 39 00Fax: (+351) 21 010 39 99

Tel: (+244) 222 399 690Fax: (+244) 222 399 689

Tel: (+258) 21 328 182Fax: (+258) 21 328 182

www.sinfic.com e-mail: info@sinfic.com

Fernando Fevereiro Mendesffmendes@sinfic.com

31

Obrigado