Gestão de Serviços de TI e Segurança da Informação: Usando as práticas da ISO 27001:2013

Claudio Dodt, ISMAS, CISSP, CISA, CRISC, ISO 27001 Lead Auditor

Business Continuity & Security Senior Consultant

[email protected] www.daryus.com.br claudiododt.com

www.twitter.com/daryusbr www.twitter.com/cdodt www.facebook.com/claudiododtcom

Iluminando mentes,

capacitando profissionais

e protegendo negócios.

Gestão de Serviços de TI e

Segurança da Informação: Usando

as práticas da ISO 27001:2013

© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539

Segurança da

Informação:

Como era?

Segurança da Informação:

Quebrando paradigmas




Informação Perímetro

Corporativo

Informações dentro

do perímetro




Ameaças fora...

AM

EA

ÇA

S




Segurança da

Informação:

Cenário HOJE




Você realmente sabe onde estão

seus dados corporativos?




Ameaças?

Por todo lado!

Vazamentos

Fraude Sabotagem



Comportamento e Consumerização

Homem Vitruviano - Leonardo da Vinci - 1490



Comportamento e Consumerização

Wearables! Tecnologias

Vestíveis!

Estamos preparados?


• Wireless do desfibrilador

desativado.

• Medo de ciberterroristas.

Dick Cheney

Segurança da Informação: Tecnologia

e Comportamento – Tendencias


• Wireless do desfibrilador

desativado.

• Medo de ciberterroristas.

Dick Cheney

Se considerarmos um ciclo de adoção

parecido ao de smartphones e tablets...

Aproximadamente 171 milhões de

dispositivos devem estar nas mãos dos

consumidores por volta de 2016.

Segurança da Informação: Tecnologia

e Comportamento – Tendencias


Segurança da Informação: Novos

paradigmas

O que mudou

realmente?



paradigmas

54% das organizações reportaram aumento nas ameaças

externas. Ernst & Young: “Global Information Security Survey 2013”

81% das grandes organizações sofreram falhas de

segurança no último ano. Department for Business Innovation & Skills: “2014 Information Security Breaches Survey”

Somente 33% das vitimas descobriram as falhas de

segurança internamente. Mandiant: “2014 Threat Report: M-Trends - Beyond the Breach”

75% dos ataques exploraram vulnerabilidades

conhecidas publicamente e solucionáveis com

atualizações periódicas CyberEdgeGroup: “2014 CyberthreatDefense Report”



paradigmas

http://dary.us/PNSIResult



paradigmas

http://dary.us/PNSIResult

Das instituições respondentes:

• 64% NÃO possui Gestão de Segurança

• 38% NÃO fazem Investimentos em Segurança

• 64% NÃO fazem Gestão de Incidentes

• 50% dos incidentes Não são tecnologia


Segurança da Informação: Caso

Target

• Segunda maior rede de varejo

nos USA.

• Teve uma falha de segurança

crítica no final de 2013

• Origem: fornecedor de

sistemas de climatização.

• 40M de cartões de crédito e

outras 70M de informações

privadas foram roubadas.

• Prejuízo estimado: 61M

• CEO demitido em Maio de 2014.


Segurança da Informação: Caso

Target

SEGURANÇA DA INFORMAÇÃO é gerenciada com base em

LIDERANÇA ou CRISE...

...na ausência da LIDERANÇA,

só nos resta a CRISE.


Segurança da Informação: Boas

práticas

Algumas coisas

não mudaram!


Segurança da Informação: Visão

Holística

Segurança

da

Informação

Políticas

Essa é a visão da ISO 27001

Essa é a visão da ITIL


Segurança da Informação: Ainda somos

míopes

Confidencialidade

Integridade Disponibilidade

Segurança da

Informação

Pessoas Processos Tecnologia

Tecnologia


Segurança da Informação: Ainda somos

míopes

Confidencialidade

Integridade Disponibilidade

Segurança da

Informação

Pessoas Processos Tecnologia

Tecnologia O QUE ACONTECE COM A

MELHOR TECNOLOGIA

NAS MÃOS DE QUEM NÃO

ESTÁ PREPARADO?


Segurança da Informação: Ainda

somos míopes

Tecnologia

Tecnologia é...

...a mera ponta...

...do iceberg.


Segurança da Informação: Ainda

somos míopes

Tecnologia

Processos

• Investimento inteligente

• Padrões Testados

• Visão Estratégica

• Formalização

• Seleção

• Capacitação

• Reciclagem

• Conscientização

Pessoas



Gerenciando serviços de Segurança

Na ITIL SERVIÇO é um meio de entregar

VALOR aos CLIENTES

A ISO 27001 apresenta Requisitos para um

Sistema de Gestão de Segurança da

Informação

Qual a combinação de ambas?

IT Service Management Processos




Na ITIL SERVIÇO é um meio de entregar

VALOR aos CLIENTES

A ISO 27001 apresenta Requisitos para um

Sistema de Gestão de Segurança da

Informação

Qual a combinação de ambas?


Entregar VALOR ao CLIENTE através

da boa GESTÃO DE SERVIÇOS DE

SEGURANÇA DA INFORMAÇÃO!



Como o serviço é construído!

Segurança a Cereja do Bolo!





Segurança a Cereja do Bolo!



• É preciso pensar em

segurança desde a base!

• Essa forma é mais barata e eficiente!



Entregar

Valor ao

Negócio

Motivadores

Objetivos

Corporativos

Objetivos de

Segurança





Entregar

Valor ao

Negócio



Segurança da Informação

não é um objetivo em si...

...mas um meio para

garantir que os objetivos

do negócio sejam

atingidos.



1. Princípios, Políticas e Frameworks

2. Processos 3. Estruturas

Organizacionais

4. Cultura, Ética,

Comportamento

5. Informação

6. Serviços,

Infraestrutura e

Aplicações A

7. Pessoas,

Habilidades e

Competências a

COMO

FAZER?





Abordagem

Holística

1. Princípios, Políticas e Frameworks

2. Processos 3. Estruturas

Organizacionais

4. Cultura, Ética,

Comportamento

5. Informação

6. Serviços,

Infraestrutura e

Aplicações A

7. Pessoas,

Habilidades e

Competências a





ITIL 27001:2013 Transição do Serviço

Gerenciamento de Fornecedores A.15 - Relacionamento na Cadeia de Suprimento

Gerenciamento de Disponibilidade A.17.2.1 - Disponibilidade dos recursos de info

Gerenciamento de Capacidade A.12.1.3 - Gestão de capacidade

Gerenciamento de Continuidade de Serv. de TI A.17 - Aspectos da SegInfo na Gestão da Cont

Gerenciamento de Segurança da Informação Todo o Anexo A

Anexo A





ITIL 27001:2013 Desenho do Serviço

Gerenciamento de Config. Ativos de Serviço A.8 - Gestão de Ativos

Gerenciamento de Mudanças A.12.1.2 - Gestão de mudanças

Gerenciamento de Liberação e Implantação A.14 - Aquisição, Desenv e Manut de Sistemas

Validação e Teste de Serviço A.14.3 - Dados para teste

Anexo A





ITIL 27001:2013 Operação do Serviço

Gerenciamento de Eventos A.12.4 - Registros e monitoramento

Gerenciamento de Incidentes A.16 - Gestão de Incidentes de SegInfo

Gerenciamento de Acesso A.9 - Controle de Acesso

Anexo A




1.Identificação

2.Registro

3.Classificação

4.Priorização

5.Diagnostico inicial

6.Escalamento

7.Investigação e diagnóstico

8.Resolução e recuperação

9.Encerramento

!

Gerenciamento de Incidentes

!




Incidente de SI

Identificador único;

Categorização / Urgência / Impacto / Priorização;

Data/Hora do registro do incidente;

Contatos da pessoa/equipe que efetuou o registro;

Método de notificação (e.g. telefone, email);

Detalhes do usuário (e.g. nome, setor, telefone, local);

Método de contato com o usuário (e.g. telefone, email);

Descrição dos sintomas do incidente;

Status do incidente;

Ativos afetados / Problemas / Erros conhecidos

relacionados ao incidente;

Responsável pelo incidente (e.g. analista / equipe);

Atividades executadas para solucionar o incidente;

Data/Hora de solução;

Categoria / Data/Hora do encerramento.




Incidente de SI Incidentes de SI normalmente requerem algumas

considerações adicionais:

Implicações Legais / Crime Se o incidente foi cometido de forma deliberada por um agente interno ou externo a organização

isso pode indicar um crime. Aspectos legais devem ser observados (e.g. cadeia de custódia de

evidências) e é indicado que o departamento ou assessoria jurídica esteja envolvida.

Ampla análise e estimativa de dados Um incidente de SI pode facilmente se propagar do ponto onde foi inicialmente identificado (e.g. um

vírus ou um cracker). Normalmente na gestão de incidentes o objetivo é retomar o serviço o quanto

antes. Para incidentes de segurança é necessário uma maior análise para identificar a totalidade do

impacto e garantir a contenção da ameaça.

Evitar danos desnecessários Um incidente de SI está muito mais propenso a causar dados adicionais (e.g. após a aplicação de

uma solução ineficiente). Um cuidado maior é necessário visto que um atacante pode ter se

antecipado a ações da equipe de segurança.

Limitar divulgação de informações Incidentes de SI podem afetar a imagem ou reputação da organização. É necessário que todos os

envolvidos trabalhem com base no princípio da necessidade de conhecer (need-to-know)

controlando informações sobre a solução aplicada e possíveis modificações na infraestrutura de

segurança.




Serviços de Segurança de TI

Desafios

Falta de VISÃO ESTRATÉGICA

Dificuldade no ALINHAMENTO COM

O NEGÓCIO

Traduzindo: CULTURA.




Liderança Centralizada

Escalabilidade e Agilidade

Planejamento Abrangente

Gestão de Riscos





Liderança Centralizada

Escalabilidade e Agilidade

Planejamento Abrangente

Gestão de Riscos

VISÃO HOLÍSTICA.





Claudio Dodt, ISMAS, CISSP, CISA Business Continuity & Security Senior Consultant

[email protected]

http://www.daryus.com.br

http://claudiododt.com

http://www.facebook.com/claudiododtcom

http://br.linkein/claudiododt

http://pt.slideshare.net/claudiododt

Gestão de Serviços de TI e Segurança da Informação: Usando as práticas da ISO 27001:2013

Technology

Transcript of Gestão de Serviços de TI e Segurança da Informação: Usando as práticas da ISO 27001:2013