Cobit 5 - APO13 - Gestão da Segurança da Informação

ê

ç

Por

Quê?Gerenciar

?

Estamos interconectados.

É preciso cuidar do que se

vem de fora para dentro na

organização.

É necessário ter segurança

para a informação.

Mesmo assim, gerenciar a

segurança da informação na

organização é uma coisa

desnecessária e pouco aplicável.

Segurançaã

Não basta aplicarÉ preciso:

e

da InformaçãoSegurança

Descrição e Propósito do Processo:

Definir, operar e monitorar um sistema de gestão de Segurança da Informação (SI). Manter o impacto e

ocorrência de incidentes de SI dentro dos níveis aceitáveis de risco da organização.

ç

Onde Atua?

“Não há praticamente uma atividade de TIque não esteja ligada à segurança dainformação. Em COBIT 5 cada processo temum aspecto que impacta ou é impactadopela segurança da informação...”

Fonte: http://www.itgovernance.co.za/3/index.php/all-articles/179-security-management-system

Onde Atua?

Tabela RACI

FunçãoAPO13.01

Estabelecer e manter um ISMS

APO13.02Definir e gerenciar um plano de tratamento

para o risco de SI

APO13.03Monitorar e revisar o

ISMS

CEO C C -

Diretor Financeiro C C

Diretor de Operações C C C

Executivos de Negócios

I C R

Proprietários de Processos de Negócios

C C C

Comitê Executivo Estratégico

I I -

Diretor de Gerenciamento de

ProjetoI I R

Diretor Riscos C C -

RACI

1/3

Tabela RACI

FunçãoAPO13.01



para o risco de SI


ISMS

Diretor da Segurança de Informação

A A A

Diretoria de Arquitetura

C C -

Comitê de Risco da Empresa

C C -

Observância C C C

Auditoria C C C

Diretor da Informação R R R

Arquiteto-Chefe I C R

Chefe de Desenvolvimento

I C R

RACI

2/3

Tabela RACI

FunçãoAPO13.01



para o risco de SI


ISMS

Chefe de Operações deTI

I C R

Chefe de Administração de TI

R R R

Gerente de Serviços I C R

Gerente de Segurança da Informação

R R R

Gerente deContinuidade de

NegóciosC C R

Diretor de Privacidade C C R

RACI

3/3

Principais Características do Processo

APO13.01

Prática Chave Entradas Saídas

Estabelecer e manter umISMS que fornece acessopadrão, formal e contínuoao gerenciamento desegurança da informação

De Descrição Descrição Para

Externo ao COBIT

Acesso de segurança à empresa

Política ISMS Interno

Homologação de escopo ISMS

APO01.02DSS06.03

Atividades: Define um ISMS de acordo com a política da empresa e alinha com a empresa, a organização, sua localização, ativos e tecnologia / Define e comunica à gestão de segurança da informação regras e responsabilidades.


APO13.02


Manter um plano de segurançada informação que descrevecomo o risco de segurança dainformação está sendogerenciada e alinhada com aestratégica e arquitetura daempresa. Assegurando que asrecomendações paraimplementação de melhoria dasegurança estão baseadas noscasos de negócios aprovados eimplementado como uma parteintegral dos serviços e soluçõesde desenvolvimento, então,operados como uma parteintegral da operação denegócios.


APO02.04Encaixe e mudanças

necessárias para realizar a meta

Plano de tratamento de risco da segurança

da informação

Todos os EDMTodos os APOTodos os BAITodos os DSSTodos os MEA

APO03.02

Descrições de domínio da linha

bases e definição de arquitetura Casos de negócios da segurança da informação

APO02.05

APO12.05Propostas de projetos para redução de risco

Atividades: Fornecer entrada para o design e desenvolvimento de práticas de gerenciamento e soluções selecionadas do plano de tratamento de risco de segurança.


APO13.03


Monitorar e revisar o ISMS


DSS02.02

Requisições de serviços e incidentes

priorizados e classificados

Relatório de auditoria ISMS

MEA02.01

Recomendações para melhorias do ISMS

Interno

Atividades: Conduzir auditorias ISMS à intervalos planejados / Armazenar ações e eventos que podem ter um impacto na eficácia ou performance do ISMS.

ê

ç

Cobit 5 - APO13 - Gestão da Segurança da Informação

Technology

Transcript of Cobit 5 - APO13 - Gestão da Segurança da Informação