Um Caso Real
Gesto de Riscos, Implementao de Controles, Correo, Plano de Contingncia, Workflow, Gesto, Auditoria,
13
Antes do Incndio
Durante o Incndio
Aps o Incndio
Antes da Fraude
Durante a Fraude
Aps a Fraude
14
Proteger o Que?
Documentos Informaes da organizao Informaes pessoais Informaes custodiadas Transaes de valores Projetos, Planos
Ameaas ao Negcio
Spam
Inundao
Indisponibilidade
Vrus, Spyware
Multas e Aes
Fraude
Incndio
Sabotagem
Erros
Ciclo da Informao
Criao
Uso
Descarte
Armazenamento
Transporte
Roubo de Informaes
Agente infiltrado Celular c/ filmadora Lixo Invases Engenharia Social Grampo Troca de empresa de funcionrios Fornecedores
Agncias de Publicidade, Escritrios de Advocacia
Ingenuidade
Segurana de Equipamentos
Descarte
Negcio Corporativo
Engenharia Social
F X Confiana
Santo Isidoro de Sevilha NBR ISO 27001
SGSI 27001 Processos documentados Foco na preveno Requisitos definidos Responsabilidades estabelecidas Indicadores Otimizao de Investimentos nfase em gesto
Barreiras da Segurana
Autorizao e gesto de acesso Cultura, Legislao, Poltica de Seg. Segurana em nvel de aplicao Gesto de segurana
Processos de Negcio
Ameaas
Diagnosticar
36
Falta de conscincia dos executivos Falta de conscincia dos usurios Falta de oramento Falta de profissionais capacitados
Falta de conscincia dos executivos Falta de conscincia dos usurios Falta de oramento
Falta de profissionais capacitados Falta de ferramenta no mercado Custo de implantao Falta de prioridade
10% 2%
2% 1% 1% 10%
29% 23%
1% 1%
37
Posicionamento
38
Referncias
39
Sopa de Letras
ISO/IEC 27001 PCI-DSS COBIT 4.0 BASEL II SOX eSCM ISO Guide 73 BS 25999:1 2006 CD ISO 31000 CMM BS 7799 PAS 56:2003 FISMA COBIT 4.1 NIST 800-53 ISO/IEC TR 13335 ISO/IEC 27005 ISO 15408 ISO 3WD 25700 AS/NZS 4360 ITIL HIPAA BC 3380 ANS RN 114 COSO BITS
Leis e Regulamentaes
Cdigo Civil Cdigo Penal Instituies Financeiras
Banco Central (3380, 2817, 2554, ...), Susep 249..., CGPC 13 Basilia II PCI/DSS, BITS, PQO/BM&F, Anbid
Mercado de Capitais
CVM (358, ...), Sarbanes Oxley
Governo
Decretos 4553, 3505, TCU
Receita e Fazenda
Receita Federal, Nota Fiscal Eletrnica
Sade
Hippa, Resolues CFM
Frameworks
Segurana da Informao
ISO 27002 (17799), ISO 27001
Gesto de TI
Cobit, Itil, ISO 20000
Gesto de Riscos
ISO Guia 73, AS/NZS 4360, ISO 31000
Avaliao de Fornecedores
eSCM
Desenvolvimento de Sistemas
CMMi, ISO 15408
Gesto de Projetos
PMBok
ALGUNS CASES
Casos Relatados
Ano
2001
Marco
Incio do "Programa de Certificao" O objetivo do primeiro projeto era tornar a Mdulo a primeira empresa da Amrica Latina certificada na norma britnica BS 7799 Parte 2, verso 1999. O primeiro projeto concludo com sucesso, e a Mdulo certificada na norma BS 7799 Parte 2 verso 1999. A atualizao da BS 7799 em 2002 (ver Tabela 1) gera para a Mdulo a necessidade de recertificao. iniciado um novo projeto para cumprir este objetivo, concludo com sucesso em agosto de 2003. A Mdulo obtm o selo BS7799 verso 2002. Em 2004, a Mdulo executa mais um pequeno projeto de preparao para uma nova auditoria, necessria para manuteno da certificao. O projeto concludo com sucesso em Junho de 2004. A atualizao da BS 7799-2:2002 para ISO/IEC 27001:2005 gera a necessidade de mais uma recertificao. Um novo projeto iniciado com este propsito, e em novembro de 2005 seu objetivo atingido, tornando a Mdulo a primeira empresa de segurana da informao do mundo a obter a certificao ISO 27001.
2002 P2 2003
P3
2004
P4
2005
Objetivo: Analisar 400 propriedades atravs do Sistema de Animais rea: Municpio de Cuiab
de 2096 propriedades 1170 tm bovinos e bubalinos 20% das propriedades do Municpio de Cuiab Regies do Pedra 90 (Assentamentos Rurais, Pequenas, Mdias e Grande Propriedades) Emisso de Relatrios: RAR Relatrio de Anlise de Riscos ROR Relatrio Operacional de Riscos RARs por Setor do Municpio de Cuiab Mapas Georeferenciados Resultado Geral da Anlise Risco por Setor Risco por amostragem
Viso - Georeferenciada
PAN 2007
Infra-estrutura fsica e tecnolgica suficiente para entrar em operao imediatamente; Pessoal qualificado; Escalabilidade.
Paineis de Controle
Secretarias
Indicadores
Projetos
Feedback
Painis de Controle