ITIL Security - Uma Visão de Segurança por Processos

ITIL Security - Uma Visão de Segurança por Processos

• 1.
  ITIL Security -Uma visão de Segurança por Processos Rafael Maia 1
• 2.
  2
• 3.
  Rafael Maia • Profissional ▫Estudante independente de GRC ▫ ITSM and Security Evangelist ▫ Professor ▫ Diretor de Marketing – SUCESU CEARÁ ▫ Diretor Financeiro – APECOF ▫ Instrutor Oficial – EXIN pela HSI Institute • Formação ▫ FIC  Superior de Formação Específica em Projetos e Implementação de Redes de Computadores  Tecnólogo em Redes de Computadores ▫ FATENE  MBA em Gerência de Redes de Computadores e Telecomunicações • Certificações  ITIL PPO INTERMEDIATE – EXIN  ITIL OSA INTERMEDIATE – EXIN  ITIL SO INTERMEDIATE – EXIN ITIL RCV INTERMEDIATE – EXIN  ITIL Foundation V2/V3 – EXIN  ISO 20000 Foundation – EXIN  ISO 27002 Foundation – EXIN  MTA Security Fundamentals - MS  Green IT Citizien – EXIN 3
• 4.
  Objetivo • Demonstrar comoo processo de gerenciamento de segurança da informação(SI) da(o) ITIL, pode ser utilizado como melhor prática, somando a outras, para trazer SI às organizações. 4
• 5.
  Agenda • Introdução • Desenvolvimento •Conclusão • Referências 5
• 6.
  Introdução • O queé informação? “Informação é um ativo que, como qualquer outro ativo importante para os negócios, tem valor para a organização e consequentemente necessita ser adequadamente protegida.” – ISO 27002 “Informação é um ativo que, como qualquer outro ativo importante para os negócios, tem valor para a organização e consequentemente necessita ser adequadamente protegida.” – ISO 27002 6 Onde está essa informação?
• 7.
  Introdução 7
• 8.
  Existe SI antesdo ITIL? • Sim. ▫ Confidencialidade ▫ Integridade ▫ Disponibilidade ▫ Autenticidade ▫ Não repúdio 8
• 9.
  9
• 10.
  Desenvolvimento • O queé o ITIL? ▫ Information Technology Infrastructure Library 10
• 11.
  Introdução Estágios do Ciclode Vida do Serviço 11
• 12.
  Introdução Estágios do Ciclode Vida do Serviço • Estratégia do Serviço – Estratégia de Serv. de TI – Financeiro – Portfólio – Demanda – Relacionamento de Negócio • Desenho do Serviço – Coordenação de Desenho – Catálogo – Nível de Serviço – Disponibilidade – Capacidade – Continuidade – Segurança da Informação – Fornecedor • Transição do Serviço – Planejamento de Suporte de Transição – Gerenciamento de Mudança – Gerenciamento de Configuração e Ativo – Liberação e Implantação – Serviço de validação e teste – Avaliação da Mudança – Conhecimento • Operação do Serviço – Eventos – Incidentes – Cumprimento de Requisição – Problemas – Acesso • Melhoria de Serviço Continuada – processo de melhoria em 7 passos 12
• 13.
  Desenvolvimento • Segurança dainformação segundo ao ITIL ▫ O que é SI? 13
• 14.
  Desenvolvimento • Segurança dainformação segundo ao ITIL ▫ O que o gerenciamento de SI oferece e o que ele garante? 14
• 15.
  Desenvolvimento • Segurança dainformação segundo ao ITIL ▫ Propósito 15
• 16.
  Desenvolvimento • Segurança dainformação segundo ao ITIL ▫ Objetivo 16
• 17.
  • Segurança dainformação segundo ao ITIL ▫ Quando é cumprido esse objetivo? NÃO-REPÚDIO SEGURANÇA DA INFORMAÇÃO Desenvolvimento CONFIDENCIALIDADE INTEGRIDADE DISPONIBILIDADE AUTENTICIDADE
• 18.
  Desenvolvimento • Segurança dainformação segundo ao ITIL 18
• 19.
  Desenvolvimento • Segurança dainformação segundo ao ITIL ▫ SGSI  Um sistema formal para estabelecer política e objetivos. ▫ Um SGSI consiste em: 19
• 20.
  Desenvolvimento • Segurança dainformação segundo ao ITIL ▫ Quais são as políticas?  Uma política global de segurança da informação  Uso e abuso dos ativos de TI política  Uma política de controle de acesso  Uma política de controle de senha  Uma política de e-mail  Uma política de internet  Uma política antivírus  Uma política de classificação da informação  A política de classificação de documentos  A política de acesso remoto  A política relativa ao acesso fornecedor de serviços de TI, a informação e os componentes  A política de violação de direitos autorais de material eletrônico  Uma política de alienação de bens 20
• 21.
  Desenvolvimento • Segurança dainformação segundo ao ITIL ▫ Quais são os elementos do SGSI? 21
• 22.
  Desenvolvimento • Segurança dainformação segundo ao ITIL ▫ Atividades  Produção e manutenção da PSI  Comunicação, implementação e execução  Prestação de aconselhamento e orientação  Avaliação e classificação  Monitoramento e gerenciamento  Programação e realização de revisões de segurança PSIPSI 22
• 23.
  Desenvolvimento 23 ▫ O Gestorde SI
• 24.
  Desenvolvimento INPUT 24 OUTPUT • Segurança dainformação segundo ao ITIL ▫ Inputs  Informação do Negócio  Informações de TI  Informações de Serviços ▫ Outpus  Um SGSI;  Processos de avaliação de risco de segurança revistos e relatórios;  Um conjunto de controles de segurança;  As auditorias de segurança e relatórios de auditoria  Programações de teste e planos de segurança;
• 25.
  Desenvolvimento • Segurança dainformação segundo ao ITIL ▫ Interfaces  Gerenciamento de nível de serviço  Gerenciamento de Acesso  Gerenciamento de Mudança  Gerenciamentos de Incidente e Problema  Gerenciamento de Continuidade de Serviços de TI  Gerenciamento de Configuração e Ativo  Gerenciamento de Disponibilidade  Gerenciamento de Capacidade  Gerenciamento Financeiro para Serviços de TI  Gerenciamento de Fornecedores 25
• 26.
  Desenvolvimento • Segurança dainformação segundo ao ITIL ▫ Fatores Críticos de Sucesso e Indicadores 1. O negócio está protegido? • Diminuiu o número registro de incidentes de segurança no service desk? 2. Há uma política clara e consensual, integrada com as necessidades do negócio? • Diminuiu o número de não-conformidades do processo de gestão de SI com a política de segurança empresarial? 3. Existe um mecanismo para a melhoria? • Aumentou o número de melhorias sugeridas aos procedimentos e controles de segurança? 4. A segurança da informação é uma parte integral de todos os serviços de TI? • Aumentou o número de serviços e processos conformidade com os procedimentos e controles de segurança? 26
• 27.
  Desenvolvimento • Segurança dainformação segundo ao ITIL ▫ Desafios #INFORMAÇÃO Security I´m a user 27
• 28.
  Desenvolvimento • Segurança dainformação segundo ao ITIL ▫ Riscos 28
• 29.
  GARANTIAGARANTIA GERÊNCIAGERÊNCIAGERÊNCIAGERÊNCIA ALINHAMENTOALINHAMENTO • Segurança dainformação segundo ao ITIL ▫ Valor para o Negócio Desenvolvimento CONCIÊNCIACONCIÊNCIA ADEQUADAADEQUADAORGANIZAÇÃOORGANIZAÇÃO 29
• 30.
  Conclusão • Todos osprocessos dentro da organização deve incluir considerações de segurança. E o processo de Gerenciamento de Segurança da Informação segundo o ITIL pode auxiliar nessa missão. 30
• 31.
  Referências • Processo deGerenciamento de Segurança da Informação ITIL 2011 • ISO 27001 e ISO 27002 31
• 32.
  Como está asua percepção? 26/05/2016 32
• 34.
  Obrigado! Prof. Rafael Maia [email protected] [email protected] br.linkedin.com/in/rafaelmaia/ @rafael7maia facebook.com/rafael7maia 85-9.99.39-38.73