1 - O documento apresenta o Plano Estratégico de Segurança da Informação (PESI) de uma organização, incluindo os novos desafios, a importância da governança e os objetivos de segurança da informação.
2 - O PESI é composto por quatro fases que incluem diagnóstico, requisitos, posicionamento estratégico e plano estratégico, com o objetivo de elevar a capacidade dos processos de segurança.
3 - O software Módulo Risk Manager pode auxiliar na implantação do PESI automatizando an
Modulo Security - Cidades Inteligentes - Palestra do CONIP SP 2013
Plano estratégico de segurança da informação
1. PESI - Plano Estratégico de
Segurança da Informação
Sergio Manoel
Gerente de Projetos
sergio.manoel@modulo.com
2. Novos Desafios
Governança de Segurança da Informação
PESI - Plano Estratégico de Segurança da
Informação
Automação com o Módulo Risk Manager
Agenda
3. 3
As pessoas (colaboradores, gestores, clientes,
fornecedores, ...) são conectadas por email, redes sociais,
smartphones e tablets.
Conhecer e entender os desafios da Segurança da
Informação.
Falta de Governança,
Gestão e Monitoramento !!!
Novos Desafios
Sistemas Internos
Internet
Redes
Sociais
BIG DATA
Mobilidade
Nuvem
Internet
das coisas
3
4. Visão de
Governança
Governança
Corporativa
Governança de TI
Governança de SI
Gestão de TI
Gestão de SI
•Transparência
•Equidade
•Prestação de Contas
•Responsabilidade
• Cobit 5
• ABNT NBR ISO/IEC 38500
• ABNT NBR ISO/IEC 27014
•Família da ISO 27000
•Normas e regulamentos
5. Governança de
Segurança da
Informação
O que é?
5
É uma solução direcionada às organizações que
precisam ter um sistema pelo qual as ações de
Segurança da Informação são dirigidas e
controladas.
Fonte Livro
GSI: como criar
oportunidades para o
seu negócio
Página: 25
6. Governança de
Segurança da
Informação
Resultados Esperados
6
Alinhar os Objetivos de Segurança da Informação com
os objetivos estratégicos de negócio.
Maior visibilidade da Alta Direção sobre a situação da
Segurança da Informação.
Uma abordagem ágil para a tomada de decisões sobre os
riscos do negócio e de Segurança da Informação (SI).
Investimentos eficientes e eficazes em Segurança da
Informação.
Conformidade com requisitos externos (legais,
regulamentares ou contratuais).
Fonte Livro
GSI: como criar
oportunidades para o
seu negócio
Página: 17
8. 8
As organizações que têm um desempenho superior às
demais em se tratando de Segurança da Informação,
sustentável e de longo prazo, requerem um pensamento e
um planejamento estratégicos.
Um pensamento estratégico consiste em elaborar uma
visão para o futuro da organização e executar um projeto
claro e conciso para colocar essa visão em prática com
sucesso.
“Pensar antes de agir.”
PESI
Plano
Estratégico de
Segurança da
Informação
9. 9
Contempla as recomendações e ações a serem
implementadas a curto, médio e longo prazos, além do
nível de capacidade dos processos e controles de segurança
da informação, seu nível de criticidade e priorização.
Onde estamos?
Onde é que queremos ir?
Como é que vamos chegar lá?
PESI
Plano
Estratégico de
Segurança da
Informação
10. Por que
um PESI?
10
Elevar o nível de
capacidade dos
processos de Segurança
da Informação.
Retorno sobre os
investimentos em SI.
Aplicar melhores práticas
de mercado, tais como:
ISO´s 27001/002/004/005/
014, CobiT 5, 22301, PCI,
entre outras.
Gerenciar um
planejamento
estratégico, tático e
operacional.
Conquistar maior
credibilidade do
mercado e diferencial
competitivo, bem como
alinhar SI aos objetivos
estratégicos do negócio.
Plano Estratégico de Segurança da Informação
11. Componentes
do Plano
Estratégico de
Segurança da
Informação
11
FASE I - DIAGNÓSTICO DE SEGURANÇA DA INFORMAÇÃO
FASE III – POSICIONAMENTO ESTRATÉGICO DE SI
FASE IV– PLANO ESTRATÉGICO DE SI
Plano de ação Ações de Segurança da
Informação
Estimativas de
Investimento
outros
FASE II – REQUISITOS DE SI X NEGÓCIO
Entrevista com a
Alta Direção
Visão e Missão de SI
Teste de Invasão
PAINEL DE GOVERNANÇA
Implantação do PESI
Análise e
Avaliação de
Riscos
Análise da
Gestão
ISO 27002
Análise da
Governança
ISO 27014
Análise de SWOT Mapeamento de
Processos Críticos
Objetivos de SI Objetivos de SI
Alinhados ao Negócio
12. Produtos do Plano Estratégico de Segurança da Informação:Produtos
12
Relatório das
Análises de Riscos -
RAR
Relatório do Teste de
Invasão
Workshop de
Organização e
Planejamento - ROP
Fase I Fase IIIFase II
Relatório da Extração
dos Requisitos da
entrevista com a Alta
Direção
Fase IV
Relatório de Visão e
Missão de SI
Relatório dos
Objetivos de SI
Relatório da Análise
de SWOT
Alinhamento dos
Objetivos de SI com
o Negócio
Plano de Ação,
Indicadores e Metas
Relatório
Operacional de
Riscos - ROR
Relatório de Análise
da Capacidade e
Conformidade da
Gestão de SI
Relatório de Análise
da Capacidade e
Conformidade do
Modelo da GSI
Relatório do
Mapeamento de Áreas e
Componentes de
Negócio Críticos
Ações de SI
Estimativa de
Investimento
Plano Estratégico de
SI
Apresentação
Executiva
13. 1 - Implantar a Governança
de Segurança da
Informação
2 - Proteger a
infraestrutura crítica contra
ataques cibernéticos
3 - Garantir a continuidade
de negócio dos processos
críticos
4 - Educar, treinar e
conscientizar o capital
humano em Segurança da
Informação
Objetivos de
Segurança da
Informação
Fonte Livro
GSI: como criar
oportunidades para o
seu negócio
Página: 88
13
14. Objetivos de
Segurança da
Informação
Objetivos Estratégicos Objetivos de Segurança da Informação
Identificar e buscar a perfeição nos
processos de trabalho, agregando
valor ao produto final.
1 2 3 4
Proteger os produtos contra
vazamento de informações. 1 2 4
Aperfeiçoamento e adequação aos
processos de apoio aos funcionários. 1 4
Aprimoramento do apoio logístico. 1 3 4
Fonte Livro
GSI: como criar oportunidades
para o seu negócio
Página: 90
15. Objetivos de
Segurança da
Informação
Objetivo: Educar, treinar e conscientizar o capital humano em SI
Indicadores
genéricos:
Quantidade de campanhas de conscientização realizadas
Quantidade de pessoas capacitadas em Segurança da Informação
Quantidade de treinamentos realizados
Treinar 20% dos funcionários por ano em Segurança da Informação
Pesquisa de satisfação dos funcionários treinados deve ser superior a 80%
de bom ou ótimo
Ação:
Estabelecer programa de educação, conscientização e
aculturamento sobre Segurança da Informação, onde todos os
funcionários da organização e demais prestadores de serviço
contratados recebam, quando pertinente, treinamento
apropriado e regular de acordo com a Política de Segurança da
Informação. Esta ação deverá ser concluída, em curto prazo,
mediante coordenação do Escritório de Segurança da
Informação e apoio da área de marketing e recursos humanos.
Fonte Livro
GSI: como criar oportunidades
para o seu negócio
Página: 93
16. ÁREA:
Capacidade
Atual
Capacidade
Proposta
Escritório de SI 1 3
Desenvolvimento de
Sistemas
2 3
Controle de Acesso 3 4
Segurança Física 3 4
Continuidade de
Negócios
2 3
Incidentes 2 3
Mudanças 3 4
Capacidade Capacidade Atual: 2 - Capacidade Proposta: 3
Fonte Livro
GSI: como criar
oportunidades para o
seu negócio
Marcador de página
19. Software Módulo
Risk Manager
19
... Bases de conhecimento das
normativas e boas práticas de
mercado – FOCO ENTREVISTAS.
Ganho de produtividade
com a automatização das
análises de risco e impacto
Recomendações e
workflow para tratamento
dos riscos identificados Conscientização da
organização quanto à
cultura de continuidade
de negócio
Interface web
(simplicidade na edição,
manutenção e atualização
dos testes e documentos)
Preparação da organização
para enfrentar situações
adversas e administrar
crises
Visualização dos resultados de
forma gráfica e em uma única
plataforma
Garante a conformidade com as normas
vigentes embutidas no software como bases de
conhecimento e interface com o Qualys
Convergência com
outros standards (COBIT,
ISO/IEC27002, etc)
20. Painel dos Projetos em Execução
classificados pelo nível de Urgência,
Severidade e Relevância