A Segurança da Informação sob o Ponto de Vista dos Processos dos Negócios A Segurança da...

A Segurança da Informação A Segurança da Informação

sob o Ponto de Vista dos sob o Ponto de Vista dos

Processos dos NegóciosProcessos dos Negócios

A Segurança da Informação A Segurança da Informação

sob o Ponto de Vista dos sob o Ponto de Vista dos

Processos dos NegóciosProcessos dos Negócios

Alinhamento dos benefícios da segurança

com os objetivos do negócio

•Da cadeia de custo para cadeia de valor

•Ser parte integrante da cadeia de valor de produtos e serviços.

•A segurança sob o ponto de vista dos processos de negócios.

•Alinhamento dos benefícios da segurança com os objetivos do negócio.

•Suas especificidades e impactos na gestão dos negócios.

Segurança Segurança EmpresarialEmpresarial

AGENDAAGENDAAGENDAAGENDA

2 Inteligência Empresarial

3

4

1 Introdução

Segurança Empresarial

Estrutura Organizacional e Análise Ambiental

5 Conclusão

Legislação InternacionalLegislação Internacional ISO 17799 – Assuntos AbordadosISO 17799 – Assuntos AbordadosLegislação InternacionalLegislação Internacional

ISO 17799 – Assuntos AbordadosISO 17799 – Assuntos Abordados

Política de Segurança e Segurança Organizacional

Classificação e Controle dos Ativos de Informação

Segurança de Pessoas, Ambiental e Física

Gerenciamento das Operações e Comunicações

Controle de Acesso

Desenvolvimento de Sistemas e Manutenção

Gestão de Continuidade de Negócio

Conformidade


1 Introdução

3

4




5 Conclusão

Dados, Informação e Dados, Informação e ConhecimentoConhecimento

Dados, Informação e Dados, Informação e ConhecimentoConhecimento Para Gates (1999, p.42), dados têm o significado de elementos ou quantidades

conhecidas, que servem de base à resolução de um problema, tais como alimentar um sistema de controle de faturamento e suporte a decisões.

Os dados e as informações conectam-se entre si para formar conhecimento.

Informação pode ser entendida também como um brasileirismo militar que significa conhecimento amplo e bem fundamentado, resultante da análise da combinação de vários informes.

A informação, sob o aspecto do processamento de dados, pode ser entendida como a coleção de fatos ou de outros dados fornecidos à máquina, a fim de objetivar um processamento.

A informação também pode ser vista como um processo cognitivo alimentado por uma série de dados que são analisados e tratados.

InformaçãoInformaçãoInformaçãoInformação

Necessidade

Geração da Informação

Armazenamento e Processamento

Transmissão

Consulta, uso e manipulação

Estes passos são totalmente baseados em sistemas de informação e telecomunicações. Se for analisado pela ótica do século XXI, então ainda pode-se incluir a geração da informação.

Principais componentes de um sistema de inteligênciaFonte: BRETON, Preston P. Le. Administrative Intelligence -

Information Systems. University of Washington, 1969.

InteligênciaInteligênciaInteligênciaInteligência

Números, estatísticas, fatos isolados

Dados organizadosdentro de um contexto

Informação analisada,tratada e interpretada

Dados

Informação

Conhecimento

Ciclo da inteligência

A Importância do A Importância do ConhecimentoConhecimento

Desde os primórdios, grandes líderes e sábios já ressaltavam o valor do conhecimento.

Hoje um dos livros mais lidos em todo o mundo é “A Arte da Guerra”, escrito pelo general e filósofo chinês Sun Tzu, que viveu há 2.500 anos.

“ Se você conhece o inimigo e conhece a si mesmo não precisa temer o resultado de cem batalhas. Se você se conhece mas

não conhece o inimigo, para cada vitória ganha sofrerá também uma derrota. Se você não conhece nem o inimigo nem a si

mesmo, perderá todas as batalhas.”

Sun Tzu

O Conhecimento nas O Conhecimento nas EmpresasEmpresas

Atualmente todas as grandes corporações no mundo criaram estruturas de gestão e proteção do conhecimento.

90% das 500 maiores empresas americanas iniciaram seus programas nos últimos 20 anos.

No total, cerca de mais de 10% das empresas americanas têm um processo formal de gestão da informação.

Na França há um órgão governamental que auxilia as empresas na proteção da sua informação com o objetivo de proteger a indústria nacional.

No Brasil há poucas empresas com programas desenvolvidos, principalmente pela falta de competição em muitos setores e pela escassez de corporações que competem a nível internacional.

Excelência Decisória

Eficácia da

análise

Eficácia da

análiseDisponibilidade

e qualidade dos dados

Disponibilidadee adequação de ferramentas

Decisão

Ferramentas

Decisões Estratégicas Decisões Gerenciais Decisões de Inovação e Conhecimento Decisões Operacionais

Profissionais do

Conhecimento

NívelGerencial

NívelOperacional

NívelEstratégico

ERP: ENTERPRISE RESOURCE PLANNINGERP: ENTERPRISE RESOURCE PLANNING

MRPMRPPlanejamento

de Necessidadesde Material

PlanejamentoLinear

MRP IIMRP IIPlanejamentodos Recursosde Manufatura

PlanejamentoCadeia Fechada

ERPERPPlanejamentodos Recursosde Empresa

PlanejamentoIntegrado de

Toda a Cadeia

1970

1990

1980

MRPMRP

MRPIIMRPII

ERPERP

CLIENTE

Faxe-mail

VRU

Web

Fone

Vendas cross-sell up-sell televendas

Marketing Serviço e suporte ao cliente

Programas de freqüência

Assistência Técnica

GESTÃO DE CONTATO

EDI

CRM – Portfólio de Competências

Balanced ScorecardBalanced Scorecard

Clientes“Para alcançar nossa visão comonossos Clientes deverão nosver ?”

Clientes“Para alcançar nossa visão comonossos Clientes deverão nosver ?”

Processos Internos“Para satisfazer nossos Clientese acionistas, em quais processosde negócio temos que atingir aexcelência?”

Processos Internos“Para satisfazer nossos Clientese acionistas, em quais processosde negócio temos que atingir aexcelência?”

Financeiro“Para ter sucesso financeiro, como devemos ser vistos por nossos acionistas ?”

Financeiro“Para ter sucesso financeiro, como devemos ser vistos por nossos acionistas ?”

Inovação e Aprendizagem“Para alcançar nossa visão como iremos manter nossa capacidade demudar e melhorar continuamente ?”

Inovação e Aprendizagem“Para alcançar nossa visão como iremos manter nossa capacidade demudar e melhorar continuamente ?”

Visão&

Estratégia

Lucro•Receita•Margem

Lucro•Receita•Margem

Fidelidade•Satisfação •Imagem

Fidelidade•Satisfação •Imagem

Qualidade•Solução•Comunicação

Qualidade•Solução•Comunicação

Inovação•Motivação•Conhecimento

Inovação•Motivação•Conhecimento

Ser a melhor opção do Mercado em ...Ser a melhor opção do Mercado em ...

Inteligência x SegurançaSegurançaInteligência x SegurançaSegurança

VALOR

CUSTO

PROCESSOSPRODUTO/SERVIÇO

Imagem

Conhecimento

Informação

Inovação

Controle

Logística

Tecnologia

Metodologia

Imagem

Conhecimento

Informação

Inovação

Controle

Logística

Tecnologia

Metodologia

Inteligência Segurança

Elementos de vantagem competitivaFonte: FLECK, Denise. MBA COPPEAD - Disciplina Estratégia Empresarial. UFRJ: 2001



1

4

3 Segurança Empresarial

Introdução


5 Conclusão

Segurança EmpresarialSegurança EmpresarialSegurança EmpresarialSegurança Empresarial

“A sua proteção é tão forte quanto o risco do seu ponto mais fraco!”

Sistema de GestãoSistema de GestãoSegurança EmpresarialSegurança Empresarial

ObjetivosObjetivos

Sistema de GestãoSistema de GestãoSegurança EmpresarialSegurança Empresarial

ObjetivosObjetivos

•Otimização da Proteção das Otimização da Proteção das Pessoas, do Conhecimento e do Pessoas, do Conhecimento e do Patrimônio;Patrimônio;

•Identificar Riscos de Negócios;Identificar Riscos de Negócios;

•Prevenir Riscos Operacionais e Prevenir Riscos Operacionais e Perdas Financeiras;Perdas Financeiras;

•Assegurar a Boa Imagem;Assegurar a Boa Imagem;

•Reduzir Custos.Reduzir Custos.

Planejamento, Execução e Controle

Planejamento, Execução e Controle

Passos para implementação de um sistema:Passos para implementação de um sistema: Implementação de Implementação de Diretrizes; Políticas; Padrões; Procedimentos Diretrizes; Políticas; Padrões; Procedimentos ee

IndicadoresIndicadores de Segurança; de Segurança; Definição do Escopo do Sistema – ativos contemplados, sejam Definição do Escopo do Sistema – ativos contemplados, sejam

sistemas, dispositivos físicos, processos e atitudes comportamentais;sistemas, dispositivos físicos, processos e atitudes comportamentais; Análise de Risco – identificação de ameaças e vulnerabilidades e Análise de Risco – identificação de ameaças e vulnerabilidades e

possíveis impactos no negóciopossíveis impactos no negócio;; Gestão do Risco – definição do processo de gestão dos riscos e Gestão do Risco – definição do processo de gestão dos riscos e

critérios para definir prioridades e relação custo versus benefício de critérios para definir prioridades e relação custo versus benefício de cada ação recomendada;cada ação recomendada;

Seleção e MonitoraSeleção e Monitoramentomento de Controles e Indicadores de Segurança de Controles e Indicadores de Segurança;; Declaração de Aplicabilidade – justificar quais itens da norma (BS7799 – Declaração de Aplicabilidade – justificar quais itens da norma (BS7799 –

ISO 17799) são aplicáveis e serão contemplados no sistema para evitar ISO 17799) são aplicáveis e serão contemplados no sistema para evitar que se definam controles em excesso ou que se deixe desprotegido que se definam controles em excesso ou que se deixe desprotegido algum ativo importante para a organizaçãoalgum ativo importante para a organização

Avaliação de Avaliação de Vulnerabilidades e Vulnerabilidades e Análise de RiscosAnálise de Riscos

Planejamento

Planejamento

de Métodos de

de Métodos de

Segurança

Segurança

Seleção e Seleção e Implantação de Implantação de

SoluçõesSoluções

Treinamento e

Treinamento e

Capacitação

Capacitação

Monitoração de

Monitoração de

Indicadores de

Indicadores de

Segurança

Segurança

Auditorias, Auditorias,

Contingência, Contingência,

RecuperaçãoRecuperação

Diretrizes; Diretrizes; Políticas; Políticas; Padrões; Padrões;

Procedimentos Procedimentos & Indicadores& Indicadores

Gerenciamento Gerenciamento de Mudançasde Mudanças

Metodologia - PDCAMetodologia - PDCAMetodologia - PDCAMetodologia - PDCA

Descrevem a conduta e posturas adequadas durante o manuseio de equipamentos e informações da empresa, e abrange os seguintes princípios:

Diretrizes de SegurançaDiretrizes de SegurançaDiretrizes de SegurançaDiretrizes de Segurança

Propriedade da Informação;Propriedade da Informação;Identificação;Identificação;Responsabilidade;Responsabilidade;Acesso;Acesso;Sigilo;Sigilo;Proteção dos equipamentos ou Proteção dos equipamentos ou sistemassistemas

Objetiva padronizar comportamentos e Objetiva padronizar comportamentos e ações de colaboradores e prestadores de ações de colaboradores e prestadores de serviço de uma empresa em relação à serviço de uma empresa em relação à segurança, devendo ser divulgada e segurança, devendo ser divulgada e observada por todos.observada por todos.

Política de SegurançaPolítica de SegurançaPolítica de SegurançaPolítica de Segurança

Análise de RiscoAnálise de RiscoAnálise de RiscoAnálise de Risco

Identificação de ameaças e Identificação de ameaças e

vulnerabilidades e possíveis impactos no vulnerabilidades e possíveis impactos no

negócionegócio na: na:

Segurança de PessoalSegurança de Pessoal

Segurança de Prédios e Instalações;

Segurança da Documentação e Material;

Segurança das Comunicações;

Segurança de Tecnologia de Informação.

Programa de Gestão e Programa de Gestão e Proteção do ConhecimentoProteção do Conhecimento


O PGPC é um programa permanente de treinamento, O PGPC é um programa permanente de treinamento, incentivo e monitoramento da informação em incentivo e monitoramento da informação em proveito das atividades da organização.proveito das atividades da organização.

Seus objetivos são:Seus objetivos são: Genéricos Genéricos

proteger as informações da organização;proteger as informações da organização; maximizar a capacidade da organização de captar informações maximizar a capacidade da organização de captar informações

do mercado e analisá-las dentro do contexto competitivo; do mercado e analisá-las dentro do contexto competitivo; Específicos Específicos

criar e consolidar uma cultura de valorização do conhecimento; criar e consolidar uma cultura de valorização do conhecimento; treinar e incentivar os colaboradores a proteger informações de treinar e incentivar os colaboradores a proteger informações de

uso e de interesse da empresa; uso e de interesse da empresa; treinar os colaboradores a lidar com informações do mercado.treinar os colaboradores a lidar com informações do mercado.


Resultado /AvaliaçãoResultado /Avaliação


Resultado /AvaliaçãoResultado /Avaliação

O Plano de Continuidade de Negócios é um programa O Plano de Continuidade de Negócios é um programa permanente que visa a continuidade dos permanente que visa a continuidade dos processosprocessos da da Empresa, buscando minimizar o tempo e os custos de Empresa, buscando minimizar o tempo e os custos de parada, independente dos parada, independente dos eventoseventos (desastres) que (desastres) que ocorram. ocorram.

O mais importanteO mais importante: é entender a dinâmica organizacional : é entender a dinâmica organizacional nas corporações.nas corporações.

Plano de Continuidade de Plano de Continuidade de NegóciosNegócios

Tipos de Eventos Tipos de Eventos (Desastres)(Desastres)

Tipos de Eventos Tipos de Eventos (Desastres)(Desastres)

Enchentes Acesso indevido Distúrbio civil Falha humana Explosão Terrorismo Outros

Atos de Vandalismo Roubo Sabotagem Incêndio Raios

Processo de NegócioContinuidade e Retomada PN

TI NTI Tec Pes Outros

t Componentes

PCO - Plano deContinuidadeOperacional

PRD - Plano deRecuperação

Desastres

PCN=PGC+PCO+PRD



Desa

stre

PGC - Plano deGerenciamento de Crise

Seleção e monitoramento de Seleção e monitoramento de

controles de indicadores de controles de indicadores de

segurança de acordo com a segurança de acordo com a

legislação vigente legislação vigente

(Conformidade dos (Conformidade dos

Sistemas).Sistemas).

Seleção e monitoramento de Seleção e monitoramento de

controles de indicadores de controles de indicadores de

segurança de acordo com a segurança de acordo com a

legislação vigente legislação vigente

(Conformidade dos (Conformidade dos

Sistemas).Sistemas).

Objetivo das SimulaçõesObjetivo das Simulações

Testar a Funcionalidade dos Procedimentos

Capacitar o Pessoal e as Equipes

Identificar os Pontos Obsoletos.

Identificar Falhas

Testar Módulo do Plano

Testar Procedimentos de Resposta

Manter Elevado o Nível de Conscientização do Corpo

Funcional


1 Introdução

3

2

4 Estrutura Organizacional e Análise Ambiental


Inteligência Empresarial

5 Conclusão

PessoalAtivos e Processos

Organização e AmbienteOrganização e AmbienteOrganização e AmbienteOrganização e Ambiente

InformaçãoInformação$$$$

DadosDados$$

ConhecimentoConhecimento$$$$$$

Gestão do Conhecimento

Tecnologia da Informação

CPD

Segurança Física

Segurança da

Informação

Proteção do Conheciment

o

Facilitadores e EntravesFacilitadores e EntravesAnálise AmbientalAnálise AmbientalFacilitadores e EntravesFacilitadores e EntravesAnálise AmbientalAnálise Ambiental

Segurança Segurança EmpresarialEmpresarial

GovernoGoverno

TecnologiaTecnologia

EconomiaEconomia

CulturaCultura

DemografiaDemografia

CenáriosCenários

Pontos FortesPontos FortesPontos FracosPontos FracosOportunidadeOportunidade

AmeçasAmeças

Plano Plano de Açãode Ação

Análise AmbientalAnálise AmbientalAnálise AmbientalAnálise Ambiental

TecnologiaTecnologia::

Até que ponto as tecnologias estão atualizadas?

De que forma as tendências tecnológicas estão afetando o seu negócio e a sua indústria?

GovernoGoverno::

Quais as mudanças regulatórias?

Que incentivos podem surgir?

Quais os riscos políticos da operação?

Legislação!

EconomiaEconomia::

Perspectivas econômicas?

Internas e externas!

Qual é o foco dos acionistas?

E qual é o foco de cada um dos principais executivos?

CulturaCultura::

Quais são as tendências atuais e emergentes com relação a Segurança?

Qual é a cultura interna a esse respeito?

Benchmarking!

DemografiaDemografia::

O tamanho do mercado será afetado por tendências demográficas?

Você conhece os agentes que influenciam o seu negócio?

Renda, local., educação, idade, etc.

Gestão do ConhecimentoGestão do Conhecimento

““Knowledge Management”(KM)Knowledge Management”(KM)

É um processo de elucidação, transformação e difusão de conhecimento através da empresa de forma que ele possa ser compartilhado e re-utilizado

Auxilia organizações a encontrar, selecionar, organizar, disseminar e transferir importantes informações e “expertises”

Transforma dados / informação em conhecimento utilizável que possa ser aplicado por qualquer um, de forma eficaz em qualquer ponto da organização

Exige uma enorme transformação na cultura da organização criando o desejo de “compartilhar”

Inteligência Inteligência Estratégica Estratégica

AntecipativaAntecipativa

Inteligência Inteligência Estratégica Estratégica

AntecipativaAntecipativaAmbiente atual

Os produtos

FornecedoresEMPRESA

(organização)

Os procedimentose tecnologias

Os poderes públicos

O MERCADOconcorrentes

clientes

Os grupos de pressão(agindo sobre o político,o econômico, o social)

Ambiente Previsional

O ambiente da empresa tem diferentes componentes

É o processo informacional através do qual a organização realiza a escuta “antecipativa” dos “sinais fracos”do seu ambiente sócio-econômico com o objetivo criativo de descobrir oportunidades e de reduzir os riscos ligados à incerteza.

Inteligência Estratégica Antecipativa Inteligência Estratégica Antecipativa ou Vigília Estratégicaou Vigília Estratégica

Inteligência Estratégica Antecipativa Inteligência Estratégica Antecipativa ou Vigília Estratégicaou Vigília Estratégica

vigília tecnológica

vigília concorrencial/competitiva

vigília comercial

vigília fornecedores

vigília de regulamentos, normas e leis

vigília de aquisição

vigília dos poderes públicos

vigília política

vigília de parcerias (alianças)

múltiplas facetasmúltiplas facetas

VIGÍLIA ESTRATÉGICA VIGÍLIA ESTRATÉGICA “CLIENTES”“CLIENTES”“Uma abordagem performante dos clientes potenciais”

Objetivos

• antecipar para obter novos negócios

• detectar os clientes potenciais

• encontrar “pontos de entrada” para o contato

• definir ações objetivas e específicas para a aproximação/abordagem do cliente

• dispor de informações “úteis/favoráveis” e antecipativas para se ter sucesso no contato

• suscitar contatos com os clientes potenciais

• apreender as necessidades latentes do cliente potencial

As informações antecipativas são,

na sua maioria,

constituídas de sinais fracos!

As informações antecipativas são,

na sua maioria,

constituídas de sinais fracos!

As empresas duravelmenteAs empresas duravelmentecompetitivas têm umacompetitivas têm uma

Inteligência Estratégica Inteligência Estratégica AntecipativaAntecipativa

organizada e voluntarista.organizada e voluntarista.

As empresas duravelmenteAs empresas duravelmentecompetitivas têm umacompetitivas têm uma

Inteligência Estratégica Inteligência Estratégica AntecipativaAntecipativa

organizada e voluntarista.organizada e voluntarista.

- defensiva (reativa):- defensiva (reativa): antecipar o que poderia nos fragilizar

- ofensiva (criativa): - ofensiva (criativa): abrir novas frentes ou janelas de atividade

consequências da escolha no momento da definição da vigília estratégica

- defensiva (reativa):- defensiva (reativa): antecipar o que poderia nos fragilizar

- ofensiva (criativa): - ofensiva (criativa): abrir novas frentes ou janelas de atividade

consequências da escolha no momento da definição da vigília estratégica

2 finalidades da inteligência estratégica antecipativa

2 finalidades da inteligência estratégica antecipativa

DUAS DEMANDAS FREQUENTESDUAS DEMANDAS FREQUENTES

1- Como fazer evoluir nossa “base de dados clientes” retrospectiva na direção de uma base de dados antecipativa ?

2- Como fazer evoluir nossas informações referentes ao cliente quando se deseja evoluir de uma “estratégia-produto” para uma “estratégia-serviço” ?

Cerca de 70% das informações de vigília estratégicaexistem na sua organização...

mas elas são inutilizáveis devido à falta de uma organização apropriada.

São informações fantasmas !

DIFUSÃO DAS INFORMAÇÕES

àqueles que podem transformá-la em

ação

Visão FinalVisão FinalVisão FinalVisão Final

Consultorias EstratégicasConsultorias Estratégicas

Grupo Segurança da Informação (CSO)Grupo Segurança da Informação (CSO)

OperaçãoOperação ITIT FinançasFinanças

OutsourcingOutsourcing

ComitêComitêSegurançaSegurança


1 Introdução

3

4

5 Conclusão




Fatores Críticos de SucessoFatores Críticos de SucessoFatores Críticos de SucessoFatores Críticos de Sucesso

SEGURANÇASEGURANÇA

Apoio da alta Apoio da alta AdministraçãoAdministração

Conscientização Conscientização de todosde todos

++Ronaldo Pena Ronaldo Pena

www.usp.br/getswww.usp.br/gets

A Segurança da Informação sob o Ponto de Vista dos Processos dos Negócios A Segurança da...

Documents

Transcript of A Segurança da Informação sob o Ponto de Vista dos Processos dos Negócios A Segurança da...