Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
-
Upload
giovani-santanna -
Category
Technology
-
view
613 -
download
3
description
Transcript of Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
“COMO GARANTIR A SEGURANÇA DA INFORMAÇÃO NOS NEGÓCIOS, ADOTANDO A ISO 27001”
Prof. Giovani F. de Sant’Anna MSc, MBA, MCSO, Security+, BS 7799 Lead Auditor
E-mail: [email protected] 2009
UNIVERSIDADE PRESBITERIANA MACKENZIE
1
• Segurança da Informação • Estratégia Corporativa • Riscos • Gestão de Segurança da Informação • Empresas Certificadas ISO 27001 no Mundo • Perguntas
Agenda
Segurança da Informação e
Riscos
2
“Segurança é um processo, não um produto.” (Bruce Schneier)
Livro: Secrets & Lies
3
1a Geração Portões, Armas, Guardas
Ger
enci
amen
to
Tempo
2a Geração Segurança Reativa
3a Geração Segurança habilitando
os negócios
4a Geração Gerenciamento Proativo e
Auditabilidade
Evolução da Segurança
4
Estratégia Corporativa
5
Princípio das Mudanças
6
Sistema de Gestão de Tecnologia e Segurança da Informação
Medição dos Controles
Aplicação dos Controles
ITIL
Novo Código Civil
Cobit
ISO/IEC 17799:2005
Cobit x Sarbanes
GoodPriv@cy
Melhores Práticas
7
Transparência - Eqüidade - Prestação de Contas - Responsabilidade Corporativa
Sóci
os
Con
selh
o de
A
dmin
istr
ação
Dire
toria
Ex
ecut
iva
Aud
itoria
Práticas
Pilares da Governança Corporativa
Princípios Básicos
C
onse
lho
Fisc
al
Governança – Princípios, Pilares e Práticas
8
Tecnologia
•1
•2 •3
Processos
Pessoas
A segurança da informação deve considerar 3 fatores críticos de sucesso e influenciadores dos critérios de proteção.
Fatores críticos de Sucesso
9
•Segurança não é somente um problema de tecnologia...
•...é a gestão inteligente da informação em todos os ambientes!
Quebrando o paradigma
10
11
RISCOS
12
RISCOS
•Vulnerabilidades
•Integridade •Confidencialidade •Disponibilidade
•Ativos
Riscos
•Medidas de Segurança
•Impactos no negócio
•aumenta •diminui
•aumenta •aumenta
•aumenta •Ameaças
•sujeitos
•permitem •limitados
•causam
•protege
•perdas
•Segurança é uma questão de gestão e não somente técnica!
Ciclo de vida da Segurança
13
Categoria dos Riscos
14
15
Gestão de Segurança da
Informação
16
Governança Corporativa,SI e Riscos...
17
Infr
a es
trut
uta
Equi
pam
ento
s
Org
aniz
acio
nal
Aces
so à
info
rmaç
ão
Cópi
as d
e se
gura
nça
Cont
inui
dade
do
negó
cio
Ambi
ente
inte
r co
nexã
o
Negócio da organização
Segurança da Informação
Dimensões da Segurança da Informação
Abrangência da ISO 27001 – Sistema Gestão SI
18
NBR ISO / IEC 27002 (ISO 17799:2005)
Código de Prática para Gestão de Segurança da Informação
19
NBR ISO/IEC 17799:2005
134
Controles
20
NBR ISO/IEC 17799:2005
• Política de Segurança da Informação • Organizando a Segurança da Informação • Gestão de Ativos • Classificação da Informação • Segurança nos Recursos Humanos • Segurança Física e do Ambiente • Gerenciamento das Operações e Comunicações • Controle de Acessos • Aquisição, Desenvolvimento e Manut. De Sistemas de Informação • Gestão de Incidentes de Segurança da Informação • Gestão da Continuidade dos Negócios • Conformidade
Gerenciamento de Riscos
Gestão de Incidentes de
Segurança
17 Novos Controles foram
Introduzidos
21
Faz recomendações claras sobre a guarda de mídias de dados de backups
(capítulo 8.4.1) “Convém que as mídias sejam
controladas e fisicamente protegidas”
“Convém que seja dado às cópias de segurança um nível adequado de proteção
física e ambiental” (3 cópias)
Norma Técnica da NBR ISO IEC 17799
22
Norma Técnica da BS EN 1047-1:1997
23
Norma Técnica da BS EN 1047-1:1997
24
Sistema de Gestão em
Segurança da Informação (SGSI)
ou
Information Security Management System (ISMS)
25
ISO/IEC 27001:2006 Sistema de Gestão de Segurança da Informação
26
ISO/IEC 27001:2006
27
Sistema Gestão de Segurança da Informação - SGSI
• É o resultado da aplicação planejada de objetivos, diretrizes, políticas, procedimentos, modelos e outras medidas administrativas que, de forma conjunta, define como são reduzidos os riscos para a segurança da informação.
– Para as empresas implantarem a norma, para constituir um
SGSI, elas consideram o seguintes pontos:
• Os ativos que estão sendo protegidos; • O gerenciamento de riscos; e • Os objetivos de controles e controles implementados.
28
A ISO 27002 e a ISO 27001
• A ISO 27002 define as melhores práticas para a gestão da segurança da informação. • A ISO 27001 considera: segurança física, técnica, procedimental e em pessoas. • Sem um Sistema de Gestão da Segurança da Informação formal, existe um grande risco da segurança ser quebrada. • A segurança da informação é um processo de gestão, não é um processo tecnológico. • A ISO 27001 é a única norma internacional que pode ser auditada por uma terceira parte.
29
Visão Geral ISO 27001
• Incorpora um processo de escalonamento de risco e valorização de ativos. • O grau em que o sistema é formal e contém processos estruturados irá facilitar a replicação do sistema de um local para outro. • O investimento no compromisso da direção e em treinamento dos funcionários reduz a probabilidade de ameaças bem sucedidas. • A infra-estrutura (sistemas de gestão e processos) pode ser desenvolvida centralmente e então desdobrada globalmente. • Controles adicionais podem ser incorporados ao SGSI se assim for desejado.
30
• Governança Corporativa
• Melhoria da eficácia da Segurança da Informação
• Diferencial de mercado
• Atender os requisitos de partes interessadas e dos clientes
• Única norma com aceitação global
• Redução potencial no valor do seguro
• Focada nas responsabilidades dos funcionários
• A norma cobre TI bem como a organização, pessoal e instalações
• Conformidade com as legislações
Por que adotar a ABNT NBR ISO/IEC ISO 27001 ?
31
Dificuldades para Implementar um SGSI
• Dificuldade na definição do escopo.
• Dificuldade para desenvolver uma abordagem sistemática simples e clara para a Gestão de Risco. • Mesmo existindo Planos de Continuidade de Negócio, raramente eles são testados de alguma forma. • Designação da área de TI como responsável por desenvolver o projeto. • Falta de visão e “mente aberta” ao estabelecer os parâmetros dos controles identificados na Norma. • Falta de ação para identificar e usar controles fora da norma. • Limitação de orçamento.
32
Benefícios da Implementação da ISO 27001
• Reduz o risco de responsabilidade pela não implementação ou determinação de políticas e procedimentos. • Oportunidade de identificar e corrigir pontos fracos. • A alta direção assume a responsabilidade pela segurança da informação. • Permite revisão independente do sistema de gestão da segurança da Informação. • Oferece confiança aos parceiros comerciais, partes interessadas, e clientes. Melhor conscientização sobre segurança. • Combina recursos com outros Sistemas de Gestão. • Mecanismo para se medir o sucesso do sistema.
33
Estrutura da Norma NBR ISO/IEC 27001:2006
34
Responsabilidade da Direção / Entendendo comprometimento
Para o bife a cavalo dar certo, a galinha apenas botou o ovo, já a vaca deu a VIDA. É muito fácil ser galinha, o difícil é ser a vaca ?
A Alta Direção precisa estar comprometida, precisa dar sua carne e seu sangue
E o cavalo ? Não fez nada e levou a fama
35
Abordagem do Processo
36
Abordagem do Processo
37
Abordagem do Processo Modelo PDCA - Aplicado ao SGSI
38
Compatibilidade com outros Sistemas de Gestão
Possível adaptação a sistemas já existentes na organização 43
A norma ISO 27001: • Cobre todos os tipos de organizações, • Especifica requisitos para estabelecer, implementar, operar, monitorar,analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negócios globais da organização. •Especifica requisitos para a implementação de controles de segurança personalizados para as necessidades individuais de organizações ou suas partes.
Objetivo Geral
44
Aplicação
Qualquer Produtos/Serviços
Qualquer Tamanho Qualquer Tipo
45
Empresas Certificadas ISO 27001 No Mundo
Diferencial Competitivo
46
Região Número de CertificadosAustralia 5Austria 2Brazil 2China 5Egypt 1
Finland 8Germany 8Greece 2
Hong Kong 7Hungary 3Iceland 1India 13
Ireland 3Italy 11
Japan 34Korea 11
Malaysia 1Mexico 1Norway 7
Singapore 9Spain 1
Sweden 4Switzerland 1
Taiwan 4UAE 1UK 91USA 3
TOTAL 239
Em 2000:
Registros de Certificações
47
Em Junho de 2004: Japan 365 USA 9 Argentina 1 UK
139 Ireland 8 Egypt 1
India 34 China 6 Macau 1 Germany 24 Sweden 4 Malaysia 1 Korea 23 Austria 3 Netherlands 1 Taiwan 20 Brazil
3 Poland
1
Italy 18 Iceland 3 Qatar 1 Hong Kong 15 Mexico 3 Saudi Arabia 1 Singapore 11 Switzerland 3 Slovenia 1 Australia 10 Belgium 2 South Africa 1 Finland 10 Denmark 2 Spain 1 Hungary 9 Greece 2 Relative Total 749
Norway 9 UAE 2 Absolute Total 744
Registros de Certificações
48
Em Novembro de 2006
Registros de Certificações
49
Em Novembro de 2006
Registros de Certificações
50
fonte: http://www.iso27001certificates.com/
Registros de Certificações
Em Março de 2007
51
fonte: http://www.iso27001certificates.com/
Registros de Certificações Em Março de 2007
52
Em Maio de 2009
Registros de Certificações
53
Financeiro Governo Telecom Comércio e Indústria Serviços
Algumas Empresas Certificadas fonte: http://www.iso27001certificates.com/ Em MAIO de 2009
54
55
OBRIGADO