Anda di halaman 1dari 80

Campanha da Poltica de Segurana da Informao

Antonio Rangel arangel@modulo.com.br

Um Caso Real
Gesto de Riscos, Implementao de Controles, Correo, Plano de Contingncia, Workflow, Gesto, Auditoria,

Evoluo das Fronteiras

13

Tangibilidade da Segurana Lgica


difcil conscientizar o usurio!

Antes do Incndio

Durante o Incndio

Aps o Incndio

Antes da Fraude

Durante a Fraude

Aps a Fraude

14

Por que Proteger a Informao

Proteo Pessoal - Em casa e no trabalho Responsabilidade Civil e Pessoal


Leis, Regulamentaes, Normas

Proteo da Informao da Organizao


Confidencialidade Sigilo, Privacidade, Inteligncia competitiva, Espionagem Integridade Fraudes, Compliance, Conduta Disponibilidade Performance, Contingncia

Risco de Incndio - Disponibilidade

Risco de Fraudes - Integridade

Risco de Vazamento de Informaes - Confidencialidade

Proteger o Que?

Documentos Informaes da organizao Informaes pessoais Informaes custodiadas Transaes de valores Projetos, Planos

Ameaas ao Negcio

Spam

Inundao

Indisponibilidade

Vrus, Spyware

Multas e Aes

Fraude

Incndio

Sabotagem

Erros

Vazamento Cdigo Malicioso Falsa Identidade de Informaes em Sistemas

Ciclo da Informao

Criao

Uso

Descarte

Armazenamento

Transporte

Roubo de Informaes
Agente infiltrado Celular c/ filmadora Lixo Invases Engenharia Social Grampo Troca de empresa de funcionrios Fornecedores
Agncias de Publicidade, Escritrios de Advocacia

Ingenuidade

Os Desafios de Segurana esto Crescendo


As aes de segurana precisam estar integradas com a legislao e regulamentao A segurana da informao no s em computadores Est aumentando o valor financeiro da informao As tecnologias de ataque esto se integrando Crimes so alm-fronteiras O ambiente Corporativo est cada vez mais complexo O crime organizado tem aumentado sua atividade no meio eletrnico

Segurana da Informao no dia-a-dia

Segurana de Equipamentos

Descarte

Equipamento Moderno de Espionagem

Exclusivo para voc

Portal dos Anjos ...

Seu nome no SPC

Negcio Corporativo

Riscos mais comuns


Compartilhamento de senha Vazamento de informao
Papel, Conversas, e-mail, ... Privacidade Fato relevante

Programas maliciosos Acesso indevido


Fsico e lgico

Engenharia Social

F X Confiana
Santo Isidoro de Sevilha NBR ISO 27001

Por que adotar a ISO 27001...


Informalidade Aes Hericas Apagar incndios Baseada em Talentos Conflito de atribuies Falta de Controle Solues desintegradas nfase em tecnologia
Processo de Maturidade Gesto da Segurana

SGSI 27001 Processos documentados Foco na preveno Requisitos definidos Responsabilidades estabelecidas Indicadores Otimizao de Investimentos nfase em gesto

Barreiras da Segurana
Autorizao e gesto de acesso Cultura, Legislao, Poltica de Seg. Segurana em nvel de aplicao Gesto de segurana

Processos de Negcio

Ameaas

Firewall ICP Criptografia Autenticao

Sistemas de deteco de intrusos Anti-vrus

Diagnosticar

Desafios em Segurana: Conscientizar os usurios

36

Desafios em Segurana: Convencer os executivos

Falta de conscincia dos executivos Falta de conscincia dos usurios Falta de oramento Falta de profissionais capacitados
Falta de conscincia dos executivos Falta de conscincia dos usurios Falta de oramento

33% 29% 23%


33%

Falta de profissionais capacitados Falta de ferramenta no mercado Custo de implantao Falta de prioridade

10% 2%
2% 1% 1% 10%

29% 23%

Falta de ferramenta no mercado Custo de implantao Falta de prioridade

1% 1%

37

Posicionamento

38

Referncias

39

Segurana da Informao e Gesto de Riscos

Gesto de Riscos Gesto de Riscos em TI Segurana da Informao

Sopa de Letras
ISO/IEC 27001 PCI-DSS COBIT 4.0 BASEL II SOX eSCM ISO Guide 73 BS 25999:1 2006 CD ISO 31000 CMM BS 7799 PAS 56:2003 FISMA COBIT 4.1 NIST 800-53 ISO/IEC TR 13335 ISO/IEC 27005 ISO 15408 ISO 3WD 25700 AS/NZS 4360 ITIL HIPAA BC 3380 ANS RN 114 COSO BITS

NBR ISO/IEC 17799 BC 2553

Leis e Regulamentaes
Cdigo Civil Cdigo Penal Instituies Financeiras
Banco Central (3380, 2817, 2554, ...), Susep 249..., CGPC 13 Basilia II PCI/DSS, BITS, PQO/BM&F, Anbid

Mercado de Capitais
CVM (358, ...), Sarbanes Oxley

Governo
Decretos 4553, 3505, TCU

Receita e Fazenda
Receita Federal, Nota Fiscal Eletrnica

Sade
Hippa, Resolues CFM

Frameworks
Segurana da Informao
ISO 27002 (17799), ISO 27001

Gesto de TI
Cobit, Itil, ISO 20000

Gesto da Continuidade do Negcio


BS 25999

Gesto de Riscos
ISO Guia 73, AS/NZS 4360, ISO 31000

Avaliao de Fornecedores
eSCM

Desenvolvimento de Sistemas
CMMi, ISO 15408

Gesto de Projetos
PMBok

ALGUNS CASES

Casos Relatados

Caso Mdulo Livro Paul Dinsmore

Quadro 2: Caso Mdulo - principais marcos e outros eventos relevantes Projeto


P1

Ano
2001

Marco
Incio do "Programa de Certificao" O objetivo do primeiro projeto era tornar a Mdulo a primeira empresa da Amrica Latina certificada na norma britnica BS 7799 Parte 2, verso 1999. O primeiro projeto concludo com sucesso, e a Mdulo certificada na norma BS 7799 Parte 2 verso 1999. A atualizao da BS 7799 em 2002 (ver Tabela 1) gera para a Mdulo a necessidade de recertificao. iniciado um novo projeto para cumprir este objetivo, concludo com sucesso em agosto de 2003. A Mdulo obtm o selo BS7799 verso 2002. Em 2004, a Mdulo executa mais um pequeno projeto de preparao para uma nova auditoria, necessria para manuteno da certificao. O projeto concludo com sucesso em Junho de 2004. A atualizao da BS 7799-2:2002 para ISO/IEC 27001:2005 gera a necessidade de mais uma recertificao. Um novo projeto iniciado com este propsito, e em novembro de 2005 seu objetivo atingido, tornando a Mdulo a primeira empresa de segurana da informao do mundo a obter a certificao ISO 27001.

2002 P2 2003

P3

2004

P4

2005

Projeto no Governo do Estado de Mato Grosso

Anlise de Riscos Muncipio de Cuiab


Resultados Alcanados:

Objetivo: Analisar 400 propriedades atravs do Sistema de Animais rea: Municpio de Cuiab
de 2096 propriedades 1170 tm bovinos e bubalinos 20% das propriedades do Municpio de Cuiab Regies do Pedra 90 (Assentamentos Rurais, Pequenas, Mdias e Grande Propriedades) Emisso de Relatrios: RAR Relatrio de Anlise de Riscos ROR Relatrio Operacional de Riscos RARs por Setor do Municpio de Cuiab Mapas Georeferenciados Resultado Geral da Anlise Risco por Setor Risco por amostragem

Viso - Georeferenciada

Automao Centro de Operaes


Jogos Pan-Americanos Rio 2007

Fernando Nery fnery@modulo.com.br www.modulo.com.br

PAN 2007

Escritrio de Gesto de Riscos Durante os Jogos


Escritrio de Gesto de Riscos e Crises instalado para operao imediata; Controle integrado dos riscos, facilitando a gesto de incidentes e crises; Facilidade na tomada de decises em eventos de alta complexidade; Preveno de incidentes, perdas e ocorrncias, com reduo de custos associados.

Escritrio de Gesto de Riscos Aps os Jogos


Modelo de Gesto de Riscos e Crises para o Estado, incluindo:
Ferramenta de gesto de riscos instalada e customizada; Bases de conhecimento de Gesto de Riscos e Crises.

Infra-estrutura fsica e tecnolgica suficiente para entrar em operao imediatamente; Pessoal qualificado; Escalabilidade.

Escritrio de Gesto de Riscos Aplicaes


Painel de Controle das Aes de Governo
Gesto de Projetos

Painel de Controle de Riscos, Incidentes e Crises Aplicaes Imediatas


Segurana Pblica Educao Sade Transportes

Paineis de Controle

Secretarias

Indicadores

Projetos

Ocorrncias, Crises, Incidentes

Feedback

Workflow Alertas Apoio gesto Gesto de riscos Gesto de crises

Painis de Controle

Campanha da Poltica de Segurana da Informao


Antonio Rangel arangel@modulo.com.br

Anda mungkin juga menyukai