SlideShare ist ein Scribd-Unternehmen logo

Implementação de sgsi [impressão]

Shield Consulting
Shield Consulting

Palestra sobre a implementação de um SGSI e alguns desafios mapeados.

Technologie
1 von 50
Downloaden Sie, um offline zu lesen
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
www.shieldsaas.com 2 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
IMPLEMENTAÇÃO DE SGSI 3 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
 Processos da gestão de SI  Tecnologias específicas  Formação de equipe de SI  Segurança de rede  Questões normativas  Gestão de projetos  Startup de área de SI  Ataques e defesas 4 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
MAS O QUE É UM SGSI? 5 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
Sistema SG Gestão Segurança SI Informação 6 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
A organização deve estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto das atividades de negócio globais da organização e os riscos que ela enfrenta. ABNT NBR ISO/IEC 27001 7 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
• Fase 1 – “Quick scan” • Fase 3 – Implantação inicial das ações definidas • Fase 2 – Identificação de “gaps” e planos de ação Planejamento Execução (Plan) (Do) Acompanha- Validação mento (Check) (Act) • Fase 5 – Implantação • Fase 4 – Validação das de processos de ações implantadas manutenção 8 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
• Fase 1 – “Quick scan” • Fase 3 – Implantação inicial das ações definidas • Fase 2 – Identificação de “gaps” e planos de ação Planejamento Execução (Plan) (Do) Acompanha- Validação mento (Check) (Act) • Fase 5 – Implantação • Fase 4 – Validação das de processos de ações implantadas manutenção 9 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
• Fase 1 – “Quick scan” inicial • Fase 2 – Identificação de “gaps” e planos de ação Estabelecer a política, objetivos, processos e procedimentos do SGSI, relevantes para a gestão de riscos e a melhoria da segurança da informação para produzir resultados de acordo com as políticas e objetivos globais de uma organização. 10 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
• Fase 1 – “Quick scan” inicial • Fase 2 – Identificação de “gaps” e planos de ação •Mapear as áreas e responsáveis; •Reunião de identificação dos processos críticos; •Absorver cultura; •Fechar escopo de atuação; •Definir grupo multidisciplinar; 11 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
• Fase 1 – “Quick scan” inicial • Fase 2 – Identificação de “gaps” e planos de ação •Analisar e avaliar os riscos operacionais e de ambiente; •Identificar controles e avaliar sua efetividade; •Avaliar documentação; •Avaliar maturidade em SI; •Definir planos de atuação. 12 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
• Fase 3 – Implantação das ações definidas Implementar e operar a política, controles, processos e procedimentos do SGSI. 13 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
• Fase 3 – Implantação das ações definidas •Elaborar cronograma de implantação de controles e procedimentos; •Executar subprojetos de segurança; •Elaborar documentação normativa de suporte aos subprocessos; •Validar documentação elaborada; e •Identificar potenciais controles. 14 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
Avaliar e, quando aplicável, medir o desempenho de um processo frente à política, objetivos e experiência prática do SGSI e apresentar os resultados para a análise crítica pela direção. • Validar controles identificados; • Fazer todos os processos de auditoria (execução, validação, emissão de relatórios); • Fase 4 – Validação das • Executar avaliação de maturidade e ações implantadas comparar com a avaliação inicial; • Apresentar avaliação dos controles. 15 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
• Validar controles identificados; • Executar processo de auditoria de validação das atividades e subprojetos; • Emitir relatório de auditoria; • Apresentar resultado de auditoria; • Executar avaliação de maturidade e comparar com o resultado obtido na Fase 2; e • Apresentar avaliação dos controles. Executar as ações corretivas e preventivas, com base nos resultados • Fase 5 – Implantação de processos de da auditoria interna do SGSI e da manutenção análise crítica pela direção ou outra informação pertinente, para alcançar a melhoria contínua do SGSI. 16 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
17 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
MAS ESSAS ATIVIDADES SÃO...COMUNS 18 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
O QUE DIFERENCIA? 19 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
20 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
21 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
Processo 1 Processo 3 Processo 2 Processo n 22 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
Processo 1 Processo 3 Processo 2 Processo n 23 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
Negócio Controles Processos/procedimentos nos seus objetivos e no que o suporta 24 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
Presidência Financeiro RH TI Produto Marketing SI 25 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
Presidência Financeiro RH TI SI Produto Marketing 26 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
27 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
OK! MAS ESTAMOS FALANDO DE SEGURANÇA DA INFORMAÇÃO 28 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
Segurança da informação Disponibilidade Integridade 29 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
• Inerente ao ativo Vulnerabilidade • Relacionado à fragilidades • Normalmente externo ao ativo Ameaça • Normalmente requer um agente • Grau de exposição de um ativo a Risco uma ameaça • Dá suporte aos gestores 30 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
31 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
Reter ou aceitar Uma forma de tratamento de risco na qual a alta administração decide realizar a atividade, assumindo as responsabilidades caso ocorra o risco identificado 04/IN01/DSIC/GSIPR 34 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
Transferir ou Reter ou aceitar compartilhar Uma forma de tratamento de risco na qual a alta administração decide realizar a atividade, compartilhando com outra entidade o ônus associado a um risco 04/IN01/DSIC/GSIPR 35 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
Transferir ou Reter ou aceitar compartilhar Processo e implementação de ações de segurança da informação e comunicações para evitar, reduzir, reter ou transferir um risco 04/IN01/DSIC/GSIPR Tratar ou mitigar 36 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
Transferir ou Reter ou aceitar compartilhar Uma forma de tratamento de risco na qual a alta administração decide realizar a atividade, adotando ações para reduzir a probabilidade, as consequências negativas, ou ambas, associadas a um risco 04/IN01/DSIC/GSIPR Reduzir ou evitar Tratar ou mitigar 37 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
Transferir ou Reter ou aceitar compartilhar 04/IN01/DSIC/GSIPR Reduzir ou evitar Tratar ou mitigar 38 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
MAS A DEFINIÇÃO DE RISCOS É COMPLEXA... 39 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
O QUE PODE SER USADO COMO GUIA? 40 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
BS25999 ISO/IEC27005 Decretos e leis Basiléia II SUSEP CVM Basiléia II SOXBasiléia II SOX Decretos e leis BS25999 SUSEP ISO/IEC27005 BS25999 BS25999 BS25999 CVMDecretos e leis Basiléia II ISO/IEC27005 SOX Resoluções Normativas ISO31000 SOX ISO31000 Basiléia II Resoluções BS25999 CVMDecretos e leis Normativas SUSEP CVMDecretos e leis BS25999 Decretos e leis BS25999 Resoluções Normativas SOX CVM ISO31000 ISO31000 CVM SOX Decretos e leis ISO31000 Resoluções Normativas ISO31000 Resoluções Normativas CVM Resoluções NormativasBasiléia II SUSEP ISO/IEC27005 ISO/IEC27005 SOX SUSEP Basiléia II Resoluções Normativas Decretos e leis SOX ISO/IEC27005 ISO/IEC27005 ISO31000 CVM SUSEP ISO31000 ISO/IEC27005 SUSEP Basiléia II SUSEP Resoluções Normativas 41 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
 Leis OBRIGATÓRIAS PARA TODOS!  Normas  Resoluções OBRIGATÓRIAS POR NICHO  Regulamentações  Boas práticas de mercado 42 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
43 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
E QUEM FAZ ISSO TUDO? 44 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
CISO Estratégico Arquiteto de SI Tático Arquiteto de SI ISO ISM Operacional Analistas e especialistas 45 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
CISO ISO ISM Estratégico Tático Analistas e especialistas Operacional Analistas e especialistas 46 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
BEM, VAMOS RESUMIR... 47 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
Obter suporte Identificar o estado Traçar objetivos executivo atual alcançáveis Usar embasamento Aplicar pontos de Subdividir em normativo adequado validação periódica projetos curtos Considerar a Revise Considerar o Risco estrutura da periodicamente o para o negócio organização como que você vem ponto de força fazendo 48 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
Obter suporte Identificar o estado Traçar objetivos executivo atual alcançáveis Usar embasamento Aplicar pontos de Subdividir em normativo adequado validação periódica projetos curtos Considerar a Revise Considerar o Risco estrutura da periodicamente o para o negócio organização como que você vem ponto de força fazendo 49 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
Obrigado comercial@ShieldSaaS.com web: www.ShieldSaaS.com | twitter: @ShieldSaaS 50 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.

Empfohlen

GCS - Aula 10 - GCS x ISO
GCS - Aula 10 - GCS x ISOGCS - Aula 10 - GCS x ISO
GCS - Aula 10 - GCS x ISOMisael Santos
 
NBR ISO/IEC 27001
NBR ISO/IEC 27001NBR ISO/IEC 27001
NBR ISO/IEC 27001Amanda Luz
 
Elo Group Evoluindo De Uma GestãO Tradicional De Riscos Para Grc
Elo Group Evoluindo De Uma GestãO Tradicional De Riscos Para GrcElo Group Evoluindo De Uma GestãO Tradicional De Riscos Para Grc
Elo Group Evoluindo De Uma GestãO Tradicional De Riscos Para GrcEloGroup
 
Elo Group Modernizando A AplicaçãO De Matrizes De Risco Orientado A Grc
Elo Group Modernizando A AplicaçãO De Matrizes De Risco Orientado A GrcElo Group Modernizando A AplicaçãO De Matrizes De Risco Orientado A Grc
Elo Group Modernizando A AplicaçãO De Matrizes De Risco Orientado A GrcEloGroup
 
Nbr iso 27001 2006 - gestão de segurança da informação
Nbr iso 27001 2006 - gestão de segurança da informaçãoNbr iso 27001 2006 - gestão de segurança da informação
Nbr iso 27001 2006 - gestão de segurança da informaçãoDilamar Hoffmann
 
Palestra Jeferson D'Addario Governança de Riscos
Palestra Jeferson D'Addario Governança de RiscosPalestra Jeferson D'Addario Governança de Riscos
Palestra Jeferson D'Addario Governança de RiscosDaryus Strategic Risk Consulting
 
Estudo de caso iso 27005
Estudo de caso iso 27005Estudo de caso iso 27005
Estudo de caso iso 27005Didimax
 
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009Giovani Sant'Anna
 

Empfohlen

GCS - Aula 10 - GCS x ISO
GCS - Aula 10 - GCS x ISOGCS - Aula 10 - GCS x ISO
GCS - Aula 10 - GCS x ISOMisael Santos
 
NBR ISO/IEC 27001
NBR ISO/IEC 27001NBR ISO/IEC 27001
NBR ISO/IEC 27001Amanda Luz
 
Elo Group Evoluindo De Uma GestãO Tradicional De Riscos Para Grc
Elo Group Evoluindo De Uma GestãO Tradicional De Riscos Para GrcElo Group Evoluindo De Uma GestãO Tradicional De Riscos Para Grc
Elo Group Evoluindo De Uma GestãO Tradicional De Riscos Para GrcEloGroup
 
Elo Group Modernizando A AplicaçãO De Matrizes De Risco Orientado A Grc
Elo Group Modernizando A AplicaçãO De Matrizes De Risco Orientado A GrcElo Group Modernizando A AplicaçãO De Matrizes De Risco Orientado A Grc
Elo Group Modernizando A AplicaçãO De Matrizes De Risco Orientado A GrcEloGroup
 
Nbr iso 27001 2006 - gestão de segurança da informação
Nbr iso 27001 2006 - gestão de segurança da informaçãoNbr iso 27001 2006 - gestão de segurança da informação
Nbr iso 27001 2006 - gestão de segurança da informaçãoDilamar Hoffmann
 
Palestra Jeferson D'Addario Governança de Riscos
Palestra Jeferson D'Addario Governança de RiscosPalestra Jeferson D'Addario Governança de Riscos
Palestra Jeferson D'Addario Governança de RiscosDaryus Strategic Risk Consulting
 
Estudo de caso iso 27005
Estudo de caso iso 27005Estudo de caso iso 27005
Estudo de caso iso 27005Didimax
 
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009Giovani Sant'Anna
 
Enterprise Information Security Mgmt - OverView
Enterprise Information Security Mgmt - OverViewEnterprise Information Security Mgmt - OverView
Enterprise Information Security Mgmt - OverViewJairo Willian Pereira
 
Gestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de NegóciosGestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de NegóciosAlvaro Gulliver
 
1. Abordagens Ágeis
1. Abordagens Ágeis1. Abordagens Ágeis
1. Abordagens ÁgeisSaulo Arruda
 
Planejamento do processo_de_software_halan
Planejamento do processo_de_software_halanPlanejamento do processo_de_software_halan
Planejamento do processo_de_software_halanHalan Ridolphi
 
MASP: Um processo racional para garantir o nível de proteção das aplicações w...
MASP: Um processo racional para garantir o nível de proteção das aplicações w...MASP: Um processo racional para garantir o nível de proteção das aplicações w...
MASP: Um processo racional para garantir o nível de proteção das aplicações w...Conviso Application Security
 
Inspeção Integrada_CMA - set_2016-1.pdf
Inspeção Integrada_CMA - set_2016-1.pdfInspeção Integrada_CMA - set_2016-1.pdf
Inspeção Integrada_CMA - set_2016-1.pdfCarla Aparecida
 
Como implementar um SGSI eficiente na empresa
Como implementar um SGSI eficiente na empresaComo implementar um SGSI eficiente na empresa
Como implementar um SGSI eficiente na empresaESET Brasil
 
ISO 27001 - Template do Projeto - Principais Marcos e suas Entregas
ISO 27001 - Template do Projeto - Principais Marcos e suas EntregasISO 27001 - Template do Projeto - Principais Marcos e suas Entregas
ISO 27001 - Template do Projeto - Principais Marcos e suas EntregasCompanyWeb
 
[ACTOR] Strongstep ITMARK
[ACTOR] Strongstep ITMARK[ACTOR] Strongstep ITMARK
[ACTOR] Strongstep ITMARKStrongstep - Innovation in software quality
 
Shield 2013
Shield 2013Shield 2013
Shield 2013Shield Consulting
 
Entendendo o Ciclo de Desenvolvimento Seguro
Entendendo o Ciclo de Desenvolvimento SeguroEntendendo o Ciclo de Desenvolvimento Seguro
Entendendo o Ciclo de Desenvolvimento SeguroKleitor Franklint Correa Araujo
 
Seminario iso 27000 pronto
Seminario iso 27000 prontoSeminario iso 27000 pronto
Seminario iso 27000 prontoAngélica Mancini
 
ISO 27001 4
ISO 27001 4ISO 27001 4
ISO 27001 4jcfarit
 
DevSecOps - Segurança em um pipeline contínuo
DevSecOps - Segurança em um pipeline contínuoDevSecOps - Segurança em um pipeline contínuo
DevSecOps - Segurança em um pipeline contínuoEndrigo Antonini
 
(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades WebKeySupport Consultoria e Informática Ltda
 
(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades WebEduardo Lanna
 
Catalogo parte2
Catalogo parte2Catalogo parte2
Catalogo parte2Catia Marques
 
Gestão integrada gsidsicabin 24jun2016
Gestão integrada gsidsicabin 24jun2016Gestão integrada gsidsicabin 24jun2016
Gestão integrada gsidsicabin 24jun2016João Rufino de Sales
 
Implementação sig
Implementação sigImplementação sig
Implementação sigFrancisco Jorge
 
Táktica - Programa de Certificação Lean - Bronze
Táktica - Programa de Certificação Lean - BronzeTáktica - Programa de Certificação Lean - Bronze
Táktica - Programa de Certificação Lean - BronzeSTAUFEN.Táktica Consultoria em Lean
 

Weitere ähnliche Inhalte

Ähnlich wie Implementação de sgsi [impressão]

Enterprise Information Security Mgmt - OverView
Enterprise Information Security Mgmt - OverViewEnterprise Information Security Mgmt - OverView
Enterprise Information Security Mgmt - OverViewJairo Willian Pereira
 
Gestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de NegóciosGestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de NegóciosAlvaro Gulliver
 
1. Abordagens Ágeis
1. Abordagens Ágeis1. Abordagens Ágeis
1. Abordagens ÁgeisSaulo Arruda
 
Planejamento do processo_de_software_halan
Planejamento do processo_de_software_halanPlanejamento do processo_de_software_halan
Planejamento do processo_de_software_halanHalan Ridolphi
 
MASP: Um processo racional para garantir o nível de proteção das aplicações w...
MASP: Um processo racional para garantir o nível de proteção das aplicações w...MASP: Um processo racional para garantir o nível de proteção das aplicações w...
MASP: Um processo racional para garantir o nível de proteção das aplicações w...Conviso Application Security
 
Inspeção Integrada_CMA - set_2016-1.pdf
Inspeção Integrada_CMA - set_2016-1.pdfInspeção Integrada_CMA - set_2016-1.pdf
Inspeção Integrada_CMA - set_2016-1.pdfCarla Aparecida
 
Como implementar um SGSI eficiente na empresa
Como implementar um SGSI eficiente na empresaComo implementar um SGSI eficiente na empresa
Como implementar um SGSI eficiente na empresaESET Brasil
 
ISO 27001 - Template do Projeto - Principais Marcos e suas Entregas
ISO 27001 - Template do Projeto - Principais Marcos e suas EntregasISO 27001 - Template do Projeto - Principais Marcos e suas Entregas
ISO 27001 - Template do Projeto - Principais Marcos e suas EntregasCompanyWeb
 
ISO 27001 4
ISO 27001 4ISO 27001 4
ISO 27001 4jcfarit
 
DevSecOps - Segurança em um pipeline contínuo
DevSecOps - Segurança em um pipeline contínuoDevSecOps - Segurança em um pipeline contínuo
DevSecOps - Segurança em um pipeline contínuoEndrigo Antonini
 
(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades WebEduardo Lanna
 
Gestão integrada gsidsicabin 24jun2016
Gestão integrada gsidsicabin 24jun2016Gestão integrada gsidsicabin 24jun2016
Gestão integrada gsidsicabin 24jun2016João Rufino de Sales
 

Ähnlich wie Implementação de sgsi [impressão] (20)

Enterprise Information Security Mgmt - OverView
Enterprise Information Security Mgmt - OverViewEnterprise Information Security Mgmt - OverView
Enterprise Information Security Mgmt - OverView
 
Gestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de NegóciosGestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de Negócios
 
1. Abordagens Ágeis
1. Abordagens Ágeis1. Abordagens Ágeis
1. Abordagens Ágeis
 
Planejamento do processo_de_software_halan
Planejamento do processo_de_software_halanPlanejamento do processo_de_software_halan
Planejamento do processo_de_software_halan
 
MASP: Um processo racional para garantir o nível de proteção das aplicações w...
MASP: Um processo racional para garantir o nível de proteção das aplicações w...MASP: Um processo racional para garantir o nível de proteção das aplicações w...
MASP: Um processo racional para garantir o nível de proteção das aplicações w...
 
Inspeção Integrada_CMA - set_2016-1.pdf
Inspeção Integrada_CMA - set_2016-1.pdfInspeção Integrada_CMA - set_2016-1.pdf
Inspeção Integrada_CMA - set_2016-1.pdf
 
Como implementar um SGSI eficiente na empresa
Como implementar um SGSI eficiente na empresaComo implementar um SGSI eficiente na empresa
Como implementar um SGSI eficiente na empresa
 
ISO 27001 - Template do Projeto - Principais Marcos e suas Entregas
ISO 27001 - Template do Projeto - Principais Marcos e suas EntregasISO 27001 - Template do Projeto - Principais Marcos e suas Entregas
ISO 27001 - Template do Projeto - Principais Marcos e suas Entregas
 
[ACTOR] Strongstep ITMARK
[ACTOR] Strongstep ITMARK[ACTOR] Strongstep ITMARK
[ACTOR] Strongstep ITMARK
 
Shield 2013
Shield 2013Shield 2013
Shield 2013
 
Entendendo o Ciclo de Desenvolvimento Seguro
Entendendo o Ciclo de Desenvolvimento SeguroEntendendo o Ciclo de Desenvolvimento Seguro
Entendendo o Ciclo de Desenvolvimento Seguro
 
Seminario iso 27000 pronto
Seminario iso 27000 prontoSeminario iso 27000 pronto
Seminario iso 27000 pronto
 
ISO 27001 4
ISO 27001 4ISO 27001 4
ISO 27001 4
 
DevSecOps - Segurança em um pipeline contínuo
DevSecOps - Segurança em um pipeline contínuoDevSecOps - Segurança em um pipeline contínuo
DevSecOps - Segurança em um pipeline contínuo
 
(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web
 
(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web
 
Catalogo parte2
Catalogo parte2Catalogo parte2
Catalogo parte2
 
Gestão integrada gsidsicabin 24jun2016
Gestão integrada gsidsicabin 24jun2016Gestão integrada gsidsicabin 24jun2016
Gestão integrada gsidsicabin 24jun2016
 
Implementação sig
Implementação sigImplementação sig
Implementação sig
 
Táktica - Programa de Certificação Lean - Bronze
Táktica - Programa de Certificação Lean - BronzeTáktica - Programa de Certificação Lean - Bronze
Táktica - Programa de Certificação Lean - Bronze
 

Implementação de sgsi [impressão]

  • 1. Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  • 2. www.shieldsaas.com 2 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  • 3. IMPLEMENTAÇÃO DE SGSI 3 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  • 4. Processos da gestão de SI  Tecnologias específicas  Formação de equipe de SI  Segurança de rede  Questões normativas  Gestão de projetos  Startup de área de SI  Ataques e defesas 4 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  • 5. MAS O QUE É UM SGSI? 5 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  • 6. Sistema SG Gestão Segurança SI Informação 6 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  • 7. A organização deve estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto das atividades de negócio globais da organização e os riscos que ela enfrenta. ABNT NBR ISO/IEC 27001 7 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  • 8. • Fase 1 – “Quick scan” • Fase 3 – Implantação inicial das ações definidas • Fase 2 – Identificação de “gaps” e planos de ação Planejamento Execução (Plan) (Do) Acompanha- Validação mento (Check) (Act) • Fase 5 – Implantação • Fase 4 – Validação das de processos de ações implantadas manutenção 8 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  • 9. • Fase 1 – “Quick scan” • Fase 3 – Implantação inicial das ações definidas • Fase 2 – Identificação de “gaps” e planos de ação Planejamento Execução (Plan) (Do) Acompanha- Validação mento (Check) (Act) • Fase 5 – Implantação • Fase 4 – Validação das de processos de ações implantadas manutenção 9 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  • 10. • Fase 1 – “Quick scan” inicial • Fase 2 – Identificação de “gaps” e planos de ação Estabelecer a política, objetivos, processos e procedimentos do SGSI, relevantes para a gestão de riscos e a melhoria da segurança da informação para produzir resultados de acordo com as políticas e objetivos globais de uma organização. 10 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  • 11. • Fase 1 – “Quick scan” inicial • Fase 2 – Identificação de “gaps” e planos de ação •Mapear as áreas e responsáveis; •Reunião de identificação dos processos críticos; •Absorver cultura; •Fechar escopo de atuação; •Definir grupo multidisciplinar; 11 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  • 12. • Fase 1 – “Quick scan” inicial • Fase 2 – Identificação de “gaps” e planos de ação •Analisar e avaliar os riscos operacionais e de ambiente; •Identificar controles e avaliar sua efetividade; •Avaliar documentação; •Avaliar maturidade em SI; •Definir planos de atuação. 12 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  • 13. • Fase 3 – Implantação das ações definidas Implementar e operar a política, controles, processos e procedimentos do SGSI. 13 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  • 14. • Fase 3 – Implantação das ações definidas •Elaborar cronograma de implantação de controles e procedimentos; •Executar subprojetos de segurança; •Elaborar documentação normativa de suporte aos subprocessos; •Validar documentação elaborada; e •Identificar potenciais controles. 14 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  • 15. Avaliar e, quando aplicável, medir o desempenho de um processo frente à política, objetivos e experiência prática do SGSI e apresentar os resultados para a análise crítica pela direção. • Validar controles identificados; • Fazer todos os processos de auditoria (execução, validação, emissão de relatórios); • Fase 4 – Validação das • Executar avaliação de maturidade e ações implantadas comparar com a avaliação inicial; • Apresentar avaliação dos controles. 15 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  • 16. • Validar controles identificados; • Executar processo de auditoria de validação das atividades e subprojetos; • Emitir relatório de auditoria; • Apresentar resultado de auditoria; • Executar avaliação de maturidade e comparar com o resultado obtido na Fase 2; e • Apresentar avaliação dos controles. Executar as ações corretivas e preventivas, com base nos resultados • Fase 5 – Implantação de processos de da auditoria interna do SGSI e da manutenção análise crítica pela direção ou outra informação pertinente, para alcançar a melhoria contínua do SGSI. 16 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  • 17. 17 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  • 18. MAS ESSAS ATIVIDADES SÃO...COMUNS 18 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  • 19. O QUE DIFERENCIA? 19 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  • 20. 20 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  • 21. 21 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  • 22. Processo 1 Processo 3 Processo 2 Processo n 22 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  • 23. Processo 1 Processo 3 Processo 2 Processo n 23 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  • 24. Negócio Controles Processos/procedimentos nos seus objetivos e no que o suporta 24 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  • 25. Presidência Financeiro RH TI Produto Marketing SI 25 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  • 26. Presidência Financeiro RH TI SI Produto Marketing 26 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  • 27. 27 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  • 28. OK! MAS ESTAMOS FALANDO DE SEGURANÇA DA INFORMAÇÃO 28 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  • 29. Segurança da informação Disponibilidade Integridade 29 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  • 30. • Inerente ao ativo Vulnerabilidade • Relacionado à fragilidades • Normalmente externo ao ativo Ameaça • Normalmente requer um agente • Grau de exposição de um ativo a Risco uma ameaça • Dá suporte aos gestores 30 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  • 31. 31 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  • 32.
  • 33.
  • 34. Reter ou aceitar Uma forma de tratamento de risco na qual a alta administração decide realizar a atividade, assumindo as responsabilidades caso ocorra o risco identificado 04/IN01/DSIC/GSIPR 34 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  • 35. Transferir ou Reter ou aceitar compartilhar Uma forma de tratamento de risco na qual a alta administração decide realizar a atividade, compartilhando com outra entidade o ônus associado a um risco 04/IN01/DSIC/GSIPR 35 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  • 36. Transferir ou Reter ou aceitar compartilhar Processo e implementação de ações de segurança da informação e comunicações para evitar, reduzir, reter ou transferir um risco 04/IN01/DSIC/GSIPR Tratar ou mitigar 36 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  • 37. Transferir ou Reter ou aceitar compartilhar Uma forma de tratamento de risco na qual a alta administração decide realizar a atividade, adotando ações para reduzir a probabilidade, as consequências negativas, ou ambas, associadas a um risco 04/IN01/DSIC/GSIPR Reduzir ou evitar Tratar ou mitigar 37 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  • 38. Transferir ou Reter ou aceitar compartilhar 04/IN01/DSIC/GSIPR Reduzir ou evitar Tratar ou mitigar 38 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  • 39. MAS A DEFINIÇÃO DE RISCOS É COMPLEXA... 39 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  • 40. O QUE PODE SER USADO COMO GUIA? 40 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  • 41. BS25999 ISO/IEC27005 Decretos e leis Basiléia II SUSEP CVM Basiléia II SOXBasiléia II SOX Decretos e leis BS25999 SUSEP ISO/IEC27005 BS25999 BS25999 BS25999 CVMDecretos e leis Basiléia II ISO/IEC27005 SOX Resoluções Normativas ISO31000 SOX ISO31000 Basiléia II Resoluções BS25999 CVMDecretos e leis Normativas SUSEP CVMDecretos e leis BS25999 Decretos e leis BS25999 Resoluções Normativas SOX CVM ISO31000 ISO31000 CVM SOX Decretos e leis ISO31000 Resoluções Normativas ISO31000 Resoluções Normativas CVM Resoluções NormativasBasiléia II SUSEP ISO/IEC27005 ISO/IEC27005 SOX SUSEP Basiléia II Resoluções Normativas Decretos e leis SOX ISO/IEC27005 ISO/IEC27005 ISO31000 CVM SUSEP ISO31000 ISO/IEC27005 SUSEP Basiléia II SUSEP Resoluções Normativas 41 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  • 42. Leis OBRIGATÓRIAS PARA TODOS!  Normas  Resoluções OBRIGATÓRIAS POR NICHO  Regulamentações  Boas práticas de mercado 42 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  • 43. 43 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  • 44. E QUEM FAZ ISSO TUDO? 44 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  • 45. CISO Estratégico Arquiteto de SI Tático Arquiteto de SI ISO ISM Operacional Analistas e especialistas 45 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  • 46. CISO ISO ISM Estratégico Tático Analistas e especialistas Operacional Analistas e especialistas 46 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  • 47. BEM, VAMOS RESUMIR... 47 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  • 48. Obter suporte Identificar o estado Traçar objetivos executivo atual alcançáveis Usar embasamento Aplicar pontos de Subdividir em normativo adequado validação periódica projetos curtos Considerar a Revise Considerar o Risco estrutura da periodicamente o para o negócio organização como que você vem ponto de força fazendo 48 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  • 49. Obter suporte Identificar o estado Traçar objetivos executivo atual alcançáveis Usar embasamento Aplicar pontos de Subdividir em normativo adequado validação periódica projetos curtos Considerar a Revise Considerar o Risco estrutura da periodicamente o para o negócio organização como que você vem ponto de força fazendo 49 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
  • 50. Obrigado comercial@ShieldSaaS.com web: www.ShieldSaaS.com | twitter: @ShieldSaaS 50 Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.