Resumo Trabalho Governança
description
Transcript of Resumo Trabalho Governança
O que pode ser feito para implementar com sucesso Segurana da Informao e Governana?Para que este processo possa acontea algumas recomendaes so feitas pelas entidades regulamentadoras. Um dos pontos mais importantes neste processo centralizar o risco operacional, pois segurana em TI tem um papel muito importante na maioria dos processos.
Devemos avaliar que TI responsvel pela implantao dos processos, porm ela no responsvel pela criao das regras.
Vale lembrar que as diretrizes da OCDE (Organizao cooperao desenvolvimento econmico) so concebidas como referencia, as quais podem ajudar os pases e as empresas na construo de um quadro em segurana e sistemas de informao.
Importante mencionar que existem diretrizes para que este processo acontea.
So elas:
Aumentar a conscientizao dos riscos para auto-avaliao dos sistemas de informao
Oferecer um quadro geral de ajuda no desenvolvimento e na implementao de medidas eficazes, prticas e procedimentos para a segurana dos sistemas de informao e incentivar a cooperao entre os setores pblicos e privados.
Promover a confiana nas informaes dos sistemas na sua aplicao e utilizao.
Facilitar o desenvolvimento nacional e internacional, utilizao e segurana dos sistemas de informao, leis, cdigos de conduta, medidas tcnicas, prticas de gesto e dos utilizadores, e educao pblica / atividades de sensibilizao. Alm das diretrizes podemos contar com o processo de maturidade, o qual tambm tem suas divises em cinco nveis.
Primeiro nvel de maturidade valor zero (Inexistente)
No ocorre avaliao dos riscos para os processos e as decises empresariais. A organizao no considera os impactos associados s empresas de segurana e vulnerabilidades com o desenvolvimento de projeto incerto. A gesto de riscos no foi identificada como relevante para a aquisio de solues TI e entrega de servios TI.
As Empresas no reconhecem a necessidade de TI na segurana informao.Responsabilidades, no so atribudas para garantir a Segurana. Medidas de apoio gesto de segurana de TI no so implementadas.
No h nenhuma compreenso dos riscos, vulnerabilidades e ameaas a TI. Servio de continuidade no considerado como ponto de ateno. Primeiro nvel de maturidade valor um (Inicial / Ad-Hoc) A organizao considera os riscos de forma ad hoc, sem seguir definio processos ou polticas. Informal avaliao de risco em projetos, conforme determinado por cada projeto.
A organizao reconhece a necessidade de segurana de TI, mas Segurana depende da conscincia individual. IT segurana abordado em uma base e no reativa medida. Responsabilidades para servio contnuo so informais, com autoridade limitada. Gesto est relacionada com consciente e riscos relacionados com a necessidade de servio contnuo.
Segundo nvel de maturidade valor Dois (Repetitivo e intuitivo)
Existe um entendimento de que os riscos emergentes so importantes e precisam ser considerados. Existem algumas abordagens para avaliao dos riscos, mas o processo ainda imaturo e desenvolvimento.
Responsabilidades e responsabilizao em segurana de TI so atribudas a uma TI coordenadas por Segurana, sem gesto de autoridade. Segurana sensibilizao fragmentada e limitada.
Responsabilidade pelo servio contnuo atribuda. As abordagens para servio contnuo so fragmentadas. Relatrios de disponibilidade dos sistemas so incompletas quando no proporcionam impacto nas empresas.
Terceiro nvel de maturidade valor Trs (Processo Definido)
Uma organizao no nvel de gesto de riscos define poltica quando e como realizar avaliaes de riscos. Risco segue um processo de avaliao definido que documentado e disponibilizado para todos os funcionrios por meio de treinamento.
Segurana consciente existe e promovida pelo gerenciamento. Segurana e sensibilizao foram normalizadas e formalizadas. IT procedimentos de segurana so definidos e se encaixam em uma estrutura de polticas de segurana e procedimentos. Um plano de segurana existe, conduo anlise de risco e solues de segurana.
Gesto comunica constantemente a necessidade de servio contnuo. Componentes de alta disponibilidade de sistema de redundncia esto sendo aplicados e fragmentados. Um inventrio de sistemas crticos e componentes rigorosamente mantido.
Quarto nvel de maturidade valor Quatro (Dirigido e Mensurvel)
A avaliao de risco um procedimento padro, portanto excees devem seguir o procedimento notado pela gesto de IT. Quadros superiores e gesto de IT determinaram os nveis de risco que a organizao ir tolerar e quais sero as medidas padro para risco/retorno.
Responsabilidades de segurana de TI so claramente atribudas, geridas e executadas. Polticas e prticas de segurana so concludas com base especficas de segurana. Identificao do usurio, autenticao e autorizao, esto normalizadas. Certificao de segurana pessoal estabelecida. Teste padro de Intruso um processo formalizado conduzindo as melhorias. Anlise custo / benefcio, apoiando a implementao de medidas de segurana, cada vez mais utilizadas. Responsabilidades e normas para o servio contnuo so executadas. Sistema redundncia prticas, incluindo a utilizao de highavailability componentes, so constantemente utilizados.
Quinto nvel de maturidade valor Cinco (Otimizado)
Avaliao de risco tem-se desenvolvido at a fase de estruturao, e organizado na escala do processo aplicado, seguido regularmente o processo.
TI e Segurana tem responsabilidade conjuntas nas empresas de TI e a gesto est integrada com empresas de segurana com objetivos empresariais. TI requisitos de Segurana esto claramente definidas, otimizados e includos em verificaes no plano de Segurana. Funes de segurana esto integradas com pedidos na fase de concepo e os usurios finais so cada vez mais responsveis pela gesto da segurana. TI fornece informao de segurana alerta de mudana e de risco emergentes, utilizando controle em sistemas crticos nos ativos. Avaliaes peridicas de segurana garantem a eficcia implementao do plano de segurana. Informaes sobre novas ameaas e vulnerabilidades sistematicamente so recolhidos e analisados, e os controles so adequados atenuantes e prontamente comunicados e implementados.
servio contnuo plano empresarial e plano de continuidade integrado esto alinhados e rotineiramente mantidos. Buy-in para o contnuo servio precisa ser garantido a partir de grandes vendedores e fornecedores.