1. Segurança da Informação e Governança de TI -
Como os principais frameworks de TI se
interagem?
Prof. Rodrigo Costa dos Santos, PhD, PMP, MCSO
COPPE/UFRJ / Universidade de Coimbra
prof.rodrigo.santos@gmail.com
2. 2
Rodrigo Costa dos Santos, PhD, PMP®, MCSO®
• Pós-Doutor em Computação (UC – Univ. de Coimbra - Portugal)
• Doutor em Engenharia de Sistemas e Computação (COPPE/UFRJ)
• Mestrado em Administração - Apoio à Decisão (IBMEC-RJ)
• Pós-Graduação em Análise e Projetos de Sistemas (PUC-Rio)
• Bacharel em Análise de Sistemas
• Certificado PMP (Project Management Professional)
• Certificado MCSO (Modulo Certified Security Officer)
• Coordenador de Segurança da Informação da Eletrobras
• Professor e Tutor-online FGV, Instituto INFNET, UCAM e UNISUAM
4. 4
Informação é todo o conjunto de dados devidamente ordenados e
organizados de forma a terem significado.
Principal ativo intangível de uma empresa.
Sociedade Industrial X Conhecimento.
➢ Metade das exportações dos EUA são de produtos intangíveis
➢ Caso Google x Motorola 4
8. 8
Guerra Cibernética
8
A Guerra Cibernética é uma modalidade de guerra onde a conflitualidade não
ocorre com armas físicas, mas através da confrontação com meios eletrônicos e
informáticos no chamado ciberespaço.
Míssil Tomahawk
Custo: ~ U$ 2 milhões x 70
~U$ 140 milhões
EUA lançam cerca de 70
mísseis contra Síria
Vírus Stuxnet (2011)
Custo do vírus:
~ U$ 50 milhões
10. 10
Antes da Informática, o profissional produzia e mantinha sua
própria informação dentro da sua área.
A Informação era descentralizada.
...
Área de negócio 1 Área de negócio 2 ...
10
11. 11
Com o advento da Informática: o profissional produz a
informação e a área de TI custodia.
A Informação passa ser centralizada.
Proprietário da
Informação TI – Custodiante
da informação
Segurança da
Informação
C
o
n
f
i
d
e
n
c
i
a
l
i
d
a
d
e
I
n
t
e
g
r
i
d
a
d
e
D
i
s
p
o
n
i
b
i
l
i
d
a
d
e
11
12. 12
Digital
• Sistemas
• Arquivos
• E-mail
Papel
• Resolução
• Carta
• Contratos
Tácita
• Ser humano
Meios de Armazenamento da Informação
12
13. 13
Segurança da Informação É a proteção da informação
contra vários tipos de ameaças para garantir a
continuidade do negócio, minimizar riscos, maximizar o
retorno sobre os investimentos e as oportunidade de
negócios”
[Fonte: ISO 27002]
Segurança da Informação é prática de preservar e
proteger a informação gerada, adquirida, processada,
transmitida e armazenada pela organização, dos diversos
tipos de ameaça.
13
17. 17
Cobit 5 - Princípio 5 Distinguir a governança de gestão
Governança
A governança garante que as necessidades, as condições
e as opções das partes interessadas sejam avaliadas a fim
de determinar os objetivos corporativos acordados e
equilibrados; define a direção por meio de priorização e
tomada de decisão; e provê monitoramento de
desempenho e conformidade com relação aos objetivos
estabelecidos.
18. 18
Gestão
A gestão consiste em planejar, construir, executar e
monitorar atividades alinhadas com a direção estratégica
estabelecida pela governança para atingir os objetivos
corporativos.
Cobit 5 - Princípio 5 Distinguir a governança de gestão
19. 19
Cobit 5 - Princípio 5 Distinguir a governança de gestão
20. 20
Cobit 5 - Princípio 5 Distinguir a governança de gestão
24. 24
• ITIL (Information Technology Infrastructure Library) é de
propriedade da AXELOS (desde 2014).
• Um conjunto de Melhores Práticas que orientam o
Gerenciamento de Serviço de TI.
▫ Importante: ITIL não é Metodologia! ITIL não é software!
• Não se implementa o ITIL. Os processos para
Gerenciamento de Serviços de TI é que são
implementados e/ou aperfeiçoados, baseados nas
melhores práticas do ITIL.
O que é ITIL?
24
25. 25
• Conjunto de melhores práticas para Gestão de Serviços
de TI, que podem ser usadas como fonte de inspiração
de onde se deseja chegar.
• Biblioteca composta por livros principais que apresentam
as melhores práticas para Gerenciamento dos Serviços
de TI.
• Permite estabelecer alinhamento entre o Negócio e TI.
• Fundamentado em Processos.
• É a base para a nova Certificação de Qualidade para
Serviços em TI - ISO 20000 (BS 15000).
O que é ITIL?
25
26. 26
Biblioteca ITIL
5 Livros
Consiste de uma série de publicações que fornecem
recomendações para provisão da Qualidade dos Serviços
de TI e dos Processos e recursos necessários para
suportá-los.
26
27. 27
5 processos 8 processos 7 processos 5 processos 1 processo
Estratégia Desenho Transição Operação Melhoria Contínua
27
• Gerenciamento
Estratégico
• Portfólio de
Serviços
• Gerenciamento
Financeiro
• Gerenciamento
da Demanda
• Relacionamento
com o Negócio
• Planejamento e
Suporte da
Transição
• Mudanças
• Configuração e
Ativos
• Validação e
Testes
• Liberação e
Implantação
• Avaliação de
Mudanças
• Conhecimento
• Coordenação do
Desenho
• Catálogo de
Serviço
• Nível de Serviço
• Disponibilidade
• Capacidade
• Continuidade
• Segurança da
Informação
• Fornecedor
• Incidentes
• Cumprimento
de Requisição
• Problemas
• Acesso
• Eventos
34. 35
CCMI-DEV
O CMMI (Capability Maturity Model Integration) for Development
(CMMI-DEV), voltado ao processo de desenvolvimento de produtos e
serviços.
35. 36
The Top 10 Most Critical Web
Application Security Risks
37. 38
O que é a ISO 27002?
Diretrizes para práticas de gestão de segurança da
informação e normas de segurança da informação para as
organizações, incluindo a seleção, a implementação e o
gerenciamento de controles, levando em consideração os
ambientes de risco da segurança da informação da
organização. Código de prática para controles de
segurança da informação .
Norma ISO 27002
38. 39
A quem se aplica?
Esta Norma é projetada para ser usada por organizações
que pretendam:
a) selecionar controles dentro do processo de
implementação de um sistema de gestão da segurança
da informação baseado na ABNT NBR ISO/IEC 27001;
b) implementar controles de segurança da informação
comumente aceitos;
c) desenvolver seus próprios princípios de gestão da
segurança da informação.
Norma ISO 27002
39. 40
Norma ISO/IEC 27002
Esta Norma contém 14 seções de controles
de segurança da informação de um total de
35 objetivos de controles e 114 controles.
40. 41
ISO
27002:2013
5 Políticas de segurança da informação
6 Organização da segurança da informação
7 Segurança em recursos humanos
8 Gestão de ativos
9 Controle de acesso
10 Criptografia
11 Segurança física e do ambiente
12 Segurança nas operações
13 Segurança nas comunicações
14 Aquisição, desenvolvimento e manutenção de sistemas
15 Relacionamento na cadeia de suprimento
16 Gestão de incidentes de segurança da informação
17 Aspectos da SI na gestão da continuidade do negócio
18 Conformidade
14 seções
42. 43
Introdução
A Política de Segurança da Informação é sempre um dos primeiros
passos para se implantar um sistema de gestão de segurança da
informação (ISO 27001, 2013).
Porém só a PSI não é o bastante,
pois o fator humano deve ser
considerado.
Nesse sentido, as campanhas de conscientização são as
ferramentas mais apropriadas para engajar as pessoas e garantir
que estas recebam treinamento, educação e conscientização
apropriados em consonância com as políticas e procedimentos
organizacionais.
46. 47
Programação da Campanha
1.Vídeo com os empregados na Intranet
(Público Operacional)
▪ Bloqueio do computador na ausência da estação de trabalho
▪ Impressão de documentos confidenciais
▪ Conversas em elevadores, corredores, táxis e locais públicos
▪ Login e senha são pessoais e intransferíveis
47. 48
2.Cinema com Pipoca Temático
(Público operacional)
O filme escolhido foi Duro de Matar 4.0
3. Jogo Virtual on-line na Intranet
(Público operacional)
Programação da Campanha
48. 49
4. Dicas no Jornal Diário enviado
por e-mail (Público tático e operacional)
“Segurança da Informação
O Departamento de Tecnologia da Informação recomenda que,
ao imprimir um documento confidencial, o colaborador busque-o
imediatamente na impressora. Deixar para buscá-lo depois
possibilita que alguém tenha acesso a ele antes de você.”
Programação da Campanha
49. 50
5. Palestras de Conscientização com o
Gen. General Marconi - DSIC e
Dra. Patrícia Peck (Público estratégico e Tático)
O General demonstrou a evolução das Políticas de Segurança da
Informação e Comunicação através de uma linha do tempo; alguns
ataques ocorridos no Brasil e como se proteger.
A Dra. Patrícia falou sobre uso e postura nas redes sociais, termos de uso destas redes,
BYOD - Bring Your Own Device – (dispositivos móveis no ambiente de trabalho), riscos
digitais, Lei Carolina Dieckmann, liberdade de expressão, vazamento de informações,
direitos autorais.
Programação da Campanha
50. 51
6. Cartilha de Segurança na internet do Cert.br
(Público tático e operacional)
Programação da Campanha
51. 52
7.Vitrine de ideias inovadoras no
Sistema de Inovação para melhorar a segurança da
informação da empresa (todos os públicos)
Programação da Campanha
52. 53
Resultados
Após realização das atividades, foi enviada via intranet aos 78
colaboradores participantes das palestras uma pesquisa de
satisfação, onde 27 responderam, ou seja, 34% do universo.
Como metodologia de medição foi utilizada a Escala de Likert,
com opções que variam entre: Não se aplica, Discordo
plenamente, Discordo, Concordo, Concordo plenamente .
53. 54
Os principais resultados apontam que:
A campanha atingiu a expectativa dos colaboradores
4%
52%
44%
A Semana de Segurança da Informação atingiu a expetativa
Não se aplica
Discordo plenamente
Discordo
Concordo
Concordo plenamente
Resultados
54. 55
Que os temas tratados foram relevantes ao cotidiano da
empresa
7%
93%
Otema Segurança da Informação é relevante para Eletrobras
Não se aplica
Discordo plenamente
Discordo
Concordo
Concordo plenamente
Resultados
55. 56
Ações que chamaram mais atenção
Ranking
Palestras 1º
Vídeo com os empregados 2º
Jogo virtual 3º
Dicas no NE 4º
Cartilha de Segurança do Cert 5º
Cinema com Pipoca 6º
Vitrine de ideias inovadoras 7º
Resultados
56. 57
Referente ao palestrante General Marconi Reis
33%
67%
Demonstrou domínio do conteúdo ministrado
Não se aplica
Discordo
plenamente
Discordo
Concordo
Concordo
plenamente
8%
59%
33%
Demonstrou clareza na transmissão do conteúdo
Não se aplica
Discordo
plenamente
Discordo
Concordo
Concordo
plenamente
3%
13%
59%
25%
Desenvolveu as atividades no tempo adequado
Não se aplica
Discordo
plenamente
Discordo
Concordo
Concordo
plenamente
Resultados
57. 58
Referente à palestrante Dra. Patrícia Peck
100%
Demonstrou domínio do conteúdo ministrado
Não se aplica
Discordo
plenamente
Discordo
Concordo
Concordo
plenamente
4%
96%
Demonstrou clareza na transmissão do conteúdo
Não se aplica
Discordo
plenamente
Discordo
Concordo
Concordo
plenamente
4% 4%
92%
Desenvolveu as atividades no tempo adequado
Não se aplica
Discordo
plenamente
Discordo
Concordo
Concordo
plenamente
Resultados
58. 59
Referente à metodologia utilizada
42%
58%
Osrecursos didáticos eram adequados
Não se aplica
Discordo plenamente
Discordo
Concordo
Concordo plenamente
33%
67%
A organização do evento satisfez minhas expectativas
Não se aplica
Discordo plenamente
Discordo
Concordo
Concordo plenamente
4%
37%
59%
Asinstalações físicas eram adequadas
Não se aplica
Discordo plenamente
Discordo
Concordo
Concordo plenamente
Resultados
59. 60
Os colaboradores contribuíram com sugestões de tema
para próximas campanhas
16%
4%
15%
15%
4%
14%
21%
11%
Temas relacionados à Segurança
Hackers
GuerraCibernética
Criptografia
Redes Sociais
Senhas
Certificação Digital
Mobilidade
Segurançada Informação na
áreade TI
Resultados