“COMO GARANTIR A SEGURANÇA DA INFORMAÇÃO NOS NEGÓCIOS, ADOTANDO A ISO 27001”

Prof. Giovani F. de Sant’Anna MSc, MBA, MCSO, Security+, BS 7799 Lead Auditor

E-mail: gfsantanna@gmail.com 2009

UNIVERSIDADE PRESBITERIANA MACKENZIE

1

• Segurança da Informação • Estratégia Corporativa • Riscos • Gestão de Segurança da Informação • Empresas Certificadas ISO 27001 no Mundo • Perguntas

Agenda

Segurança da Informação e

Riscos

2

“Segurança é um processo, não um produto.” (Bruce Schneier)

Livro: Secrets & Lies

3

1a Geração Portões, Armas, Guardas

Ger

enci

amen

to

Tempo

2a Geração Segurança Reativa

3a Geração Segurança habilitando

os negócios

4a Geração Gerenciamento Proativo e

Auditabilidade

Evolução da Segurança

4

Estratégia Corporativa

5

Princípio das Mudanças

6

Sistema de Gestão de Tecnologia e Segurança da Informação

Medição dos Controles

Aplicação dos Controles

ITIL

Novo Código Civil

Cobit

ISO/IEC 17799:2005

Cobit x Sarbanes

GoodPriv@cy

Melhores Práticas

7

Transparência - Eqüidade - Prestação de Contas - Responsabilidade Corporativa

Sóci

os

Con

selh

o de

A

dmin

istr

ação

Dire

toria

Ex

ecut

iva

Aud

itoria

Práticas

Pilares da Governança Corporativa

Princípios Básicos

C

onse

lho

Fisc

al

Governança – Princípios, Pilares e Práticas

8

Tecnologia

•1

•2 •3

Processos

Pessoas

A segurança da informação deve considerar 3 fatores críticos de sucesso e influenciadores dos critérios de proteção.

Fatores críticos de Sucesso

9

•Segurança não é somente um problema de tecnologia...

•...é a gestão inteligente da informação em todos os ambientes!

Quebrando o paradigma

10

11

RISCOS

12

RISCOS

•Vulnerabilidades

•Integridade •Confidencialidade •Disponibilidade

•Ativos

Riscos

•Medidas de Segurança

•Impactos no negócio

•aumenta •diminui

•aumenta •aumenta

•aumenta •Ameaças

•sujeitos

•permitem •limitados

•causam

•protege

•perdas

•Segurança é uma questão de gestão e não somente técnica!

Ciclo de vida da Segurança

13

Categoria dos Riscos

14

15

Gestão de Segurança da

Informação

16

Governança Corporativa,SI e Riscos...

17

Infr

a es

trut

uta

Equi

pam

ento

s

Org

aniz

acio

nal

Aces

so à

info

rmaç

ão

Cópi

as d

e se

gura

nça

Cont

inui

dade

do

negó

cio

Ambi

ente

inte

r co

nexã

o

Negócio da organização

Segurança da Informação

Dimensões da Segurança da Informação

Abrangência da ISO 27001 – Sistema Gestão SI

18

NBR ISO / IEC 27002 (ISO 17799:2005)

Código de Prática para Gestão de Segurança da Informação

19

NBR ISO/IEC 17799:2005

134

Controles

20

NBR ISO/IEC 17799:2005

• Política de Segurança da Informação • Organizando a Segurança da Informação • Gestão de Ativos • Classificação da Informação • Segurança nos Recursos Humanos • Segurança Física e do Ambiente • Gerenciamento das Operações e Comunicações • Controle de Acessos • Aquisição, Desenvolvimento e Manut. De Sistemas de Informação • Gestão de Incidentes de Segurança da Informação • Gestão da Continuidade dos Negócios • Conformidade

Gerenciamento de Riscos

Gestão de Incidentes de

Segurança

17 Novos Controles foram

Introduzidos

21

Faz recomendações claras sobre a guarda de mídias de dados de backups

(capítulo 8.4.1) “Convém que as mídias sejam

controladas e fisicamente protegidas”

“Convém que seja dado às cópias de segurança um nível adequado de proteção

física e ambiental” (3 cópias)

Norma Técnica da NBR ISO IEC 17799

22

Norma Técnica da BS EN 1047-1:1997

23

Norma Técnica da BS EN 1047-1:1997

24

Sistema de Gestão em

Segurança da Informação (SGSI)

ou

Information Security Management System (ISMS)

25

ISO/IEC 27001:2006 Sistema de Gestão de Segurança da Informação

26

ISO/IEC 27001:2006

27

Sistema Gestão de Segurança da Informação - SGSI

• É o resultado da aplicação planejada de objetivos, diretrizes, políticas, procedimentos, modelos e outras medidas administrativas que, de forma conjunta, define como são reduzidos os riscos para a segurança da informação.

– Para as empresas implantarem a norma, para constituir um

SGSI, elas consideram o seguintes pontos:

• Os ativos que estão sendo protegidos; • O gerenciamento de riscos; e • Os objetivos de controles e controles implementados.

28

A ISO 27002 e a ISO 27001

• A ISO 27002 define as melhores práticas para a gestão da segurança da informação. • A ISO 27001 considera: segurança física, técnica, procedimental e em pessoas. • Sem um Sistema de Gestão da Segurança da Informação formal, existe um grande risco da segurança ser quebrada. • A segurança da informação é um processo de gestão, não é um processo tecnológico. • A ISO 27001 é a única norma internacional que pode ser auditada por uma terceira parte.

29

Visão Geral ISO 27001

• Incorpora um processo de escalonamento de risco e valorização de ativos. • O grau em que o sistema é formal e contém processos estruturados irá facilitar a replicação do sistema de um local para outro. • O investimento no compromisso da direção e em treinamento dos funcionários reduz a probabilidade de ameaças bem sucedidas. • A infra-estrutura (sistemas de gestão e processos) pode ser desenvolvida centralmente e então desdobrada globalmente. • Controles adicionais podem ser incorporados ao SGSI se assim for desejado.

30

• Governança Corporativa

• Melhoria da eficácia da Segurança da Informação

• Diferencial de mercado

• Atender os requisitos de partes interessadas e dos clientes

• Única norma com aceitação global

• Redução potencial no valor do seguro

• Focada nas responsabilidades dos funcionários

• A norma cobre TI bem como a organização, pessoal e instalações

• Conformidade com as legislações

Por que adotar a ABNT NBR ISO/IEC ISO 27001 ?

31

Dificuldades para Implementar um SGSI

• Dificuldade na definição do escopo.

• Dificuldade para desenvolver uma abordagem sistemática simples e clara para a Gestão de Risco. • Mesmo existindo Planos de Continuidade de Negócio, raramente eles são testados de alguma forma. • Designação da área de TI como responsável por desenvolver o projeto. • Falta de visão e “mente aberta” ao estabelecer os parâmetros dos controles identificados na Norma. • Falta de ação para identificar e usar controles fora da norma. • Limitação de orçamento.

32

Benefícios da Implementação da ISO 27001

• Reduz o risco de responsabilidade pela não implementação ou determinação de políticas e procedimentos. • Oportunidade de identificar e corrigir pontos fracos. • A alta direção assume a responsabilidade pela segurança da informação. • Permite revisão independente do sistema de gestão da segurança da Informação. • Oferece confiança aos parceiros comerciais, partes interessadas, e clientes. Melhor conscientização sobre segurança. • Combina recursos com outros Sistemas de Gestão. • Mecanismo para se medir o sucesso do sistema.

33

Estrutura da Norma NBR ISO/IEC 27001:2006

34

Responsabilidade da Direção / Entendendo comprometimento

Para o bife a cavalo dar certo, a galinha apenas botou o ovo, já a vaca deu a VIDA. É muito fácil ser galinha, o difícil é ser a vaca ?

A Alta Direção precisa estar comprometida, precisa dar sua carne e seu sangue

E o cavalo ? Não fez nada e levou a fama

35

Abordagem do Processo

36

Abordagem do Processo

37

Abordagem do Processo Modelo PDCA - Aplicado ao SGSI

38

Compatibilidade com outros Sistemas de Gestão

Possível adaptação a sistemas já existentes na organização 43

A norma ISO 27001: • Cobre todos os tipos de organizações, • Especifica requisitos para estabelecer, implementar, operar, monitorar,analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negócios globais da organização. •Especifica requisitos para a implementação de controles de segurança personalizados para as necessidades individuais de organizações ou suas partes.

Objetivo Geral

44

Aplicação

Qualquer Produtos/Serviços

Qualquer Tamanho Qualquer Tipo

45

Empresas Certificadas ISO 27001 No Mundo

Diferencial Competitivo

46

Região Número de CertificadosAustralia 5Austria 2Brazil 2China 5Egypt 1

Finland 8Germany 8Greece 2

Hong Kong 7Hungary 3Iceland 1India 13

Ireland 3Italy 11

Japan 34Korea 11

Malaysia 1Mexico 1Norway 7

Singapore 9Spain 1

Sweden 4Switzerland 1

Taiwan 4UAE 1UK 91USA 3

TOTAL 239

Em 2000:

Registros de Certificações

47

Em Junho de 2004: Japan 365 USA 9 Argentina 1 UK

139 Ireland 8 Egypt 1

India 34 China 6 Macau 1 Germany 24 Sweden 4 Malaysia 1 Korea 23 Austria 3 Netherlands 1 Taiwan 20 Brazil

3 Poland

1

Italy 18 Iceland 3 Qatar 1 Hong Kong 15 Mexico 3 Saudi Arabia 1 Singapore 11 Switzerland 3 Slovenia 1 Australia 10 Belgium 2 South Africa 1 Finland 10 Denmark 2 Spain 1 Hungary 9 Greece 2 Relative Total 749

Norway 9 UAE 2 Absolute Total 744

Registros de Certificações

48

Em Novembro de 2006

Registros de Certificações

49

Em Novembro de 2006

Registros de Certificações

50

fonte: http://www.iso27001certificates.com/

Registros de Certificações

Em Março de 2007

51

fonte: http://www.iso27001certificates.com/

Registros de Certificações Em Março de 2007

52

Em Maio de 2009

Registros de Certificações

53

Financeiro Governo Telecom Comércio e Indústria Serviços

Algumas Empresas Certificadas fonte: http://www.iso27001certificates.com/ Em MAIO de 2009

54

55

OBRIGADO