Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
1 gostou1,934 visualizações
O documento discute a adoção da norma ISO 27001 para garantir a segurança da informação nos negócios. Ele explica que a ISO 27001 estabelece os requisitos para um Sistema de Gestão de Segurança da Informação efetivo que considera fatores como governança, riscos, controles e gestão de incidentes. Além disso, destaca os benefícios da certificação, como redução de riscos, conformidade legal e confiança de parceiros. Por fim, fornece estatísticas sobre o crescimento no número de empresas certificadas global
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
- 1. “COMO GARANTIR A SEGURANÇA DA INFORMAÇÃO NOS NEGÓCIOS, ADOTANDO A ISO 27001” Prof. Giovani F. de Sant’Anna MSc, MBA, MCSO, Security+, BS 7799 Lead Auditor E-mail: [email protected] 2009 UNIVERSIDADE PRESBITERIANA MACKENZIE
- 2. 1 • Segurança da Informação • Estratégia Corporativa • Riscos • Gestão de Segurança da Informação • Empresas Certificadas ISO 27001 no Mundo • Perguntas Agenda
- 4. “Segurança é um processo, não um produto.” (Bruce Schneier) Livro: Secrets & Lies 3
- 5. 1a Geração Portões, Armas, Guardas Gerenciamento Tempo 2a Geração Segurança Reativa 3a Geração Segurança habilitando os negócios 4a Geração Gerenciamento Proativo e Auditabilidade Evolução da Segurança 4
- 8. Sistema de Gestão de Tecnologia e Segurança da Informação Medição dos Controles Aplicação dos Controles ITIL Novo Código Civil Cobit ISO/IEC 17799:2005 Cobit x Sarbanes GoodPriv@cy Melhores Práticas 7
- 9. Transparência - Eqüidade - Prestação de Contas - Responsabilidade Corporativa Sócios Conselhode Administração Diretoria Executiva Auditoria Práticas Pilares da Governança Corporativa Princípios Básicos ConselhoFiscal Governança – Princípios, Pilares e Práticas 8
- 10. Tecnologia •1 •2 •3 Processos Pessoas A segurança da informação deve considerar 3 fatores críticos de sucesso e influenciadores dos critérios de proteção. Fatores críticos de Sucesso 9
- 11. •Segurança não é somente um problema de tecnologia... •...é a gestão inteligente da informação em todos os ambientes! Quebrando o paradigma 10
- 12. 11 RISCOS
- 13. 12 RISCOS
- 14. •Vulnerabilidades •Integridade •Confidencialidade •Disponibilidade •Ativos Riscos •Medidas de Segurança •Impactos no negócio •aumenta•diminui •aumenta •aumenta •aumenta •Ameaças •sujeitos •permitem•limitados •causam •protege •perdas •Segurança é uma questão de gestão e não somente técnica! Ciclo de vida da Segurança 13
- 17. 16 Governança Corporativa,SI e Riscos...
- 18. 17 Infraestrututa Equipamentos Organizacional Acessoàinformação Cópiasdesegurança Continuidadedonegócio Ambienteinterconexão Negócio da organização Segurança da Informação Dimensões da Segurança da Informação
- 19. Abrangência da ISO 27001 – Sistema Gestão SI 18
- 20. NBR ISO / IEC 27002 (ISO 17799:2005) Código de Prática para Gestão de Segurança da Informação 19
- 22. NBR ISO/IEC 17799:2005 • Política de Segurança da Informação • Organizando a Segurança da Informação • Gestão de Ativos • Classificação da Informação • Segurança nos Recursos Humanos • Segurança Física e do Ambiente • Gerenciamento das Operações e Comunicações • Controle de Acessos • Aquisição, Desenvolvimento e Manut. De Sistemas de Informação • Gestão de Incidentes de Segurança da Informação • Gestão da Continuidade dos Negócios • Conformidade Gerenciamento de Riscos Gestão de Incidentes de Segurança 17 Novos Controles foram Introduzidos 21
- 23. Faz recomendações claras sobre a guarda de mídias de dados de backups (capítulo 8.4.1) “Convém que as mídias sejam controladas e fisicamente protegidas” “Convém que seja dado às cópias de segurança um nível adequado de proteção física e ambiental” (3 cópias) Norma Técnica da NBR ISO IEC 17799 22
- 24. Norma Técnica da BS EN 1047-1:1997 23
- 25. Norma Técnica da BS EN 1047-1:1997 24
- 26. Sistema de Gestão em Segurança da Informação (SGSI) ou Information Security Management System (ISMS) 25
- 27. ISO/IEC 27001:2006 Sistema de Gestão de Segurança da Informação 26
- 29. Sistema Gestão de Segurança da Informação - SGSI • É o resultado da aplicação planejada de objetivos, diretrizes, políticas, procedimentos, modelos e outras medidas administrativas que, de forma conjunta, define como são reduzidos os riscos para a segurança da informação. – Para as empresas implantarem a norma, para constituir um SGSI, elas consideram o seguintes pontos: • Os ativos que estão sendo protegidos; • O gerenciamento de riscos; e • Os objetivos de controles e controles implementados. 28
- 30. A ISO 27002 e a ISO 27001 • A ISO 27002 define as melhores práticas para a gestão da segurança da informação. • A ISO 27001 considera: segurança física, técnica, procedimental e em pessoas. • Sem um Sistema de Gestão da Segurança da Informação formal, existe um grande risco da segurança ser quebrada. • A segurança da informação é um processo de gestão, não é um processo tecnológico. • A ISO 27001 é a única norma internacional que pode ser auditada por uma terceira parte. 29
- 31. Visão Geral ISO 27001 • Incorpora um processo de escalonamento de risco e valorização de ativos. • O grau em que o sistema é formal e contém processos estruturados irá facilitar a replicação do sistema de um local para outro. • O investimento no compromisso da direção e em treinamento dos funcionários reduz a probabilidade de ameaças bem sucedidas. • A infra-estrutura (sistemas de gestão e processos) pode ser desenvolvida centralmente e então desdobrada globalmente. • Controles adicionais podem ser incorporados ao SGSI se assim for desejado. 30
- 32. • Governança Corporativa • Melhoria da eficácia da Segurança da Informação • Diferencial de mercado • Atender os requisitos de partes interessadas e dos clientes • Única norma com aceitação global • Redução potencial no valor do seguro • Focada nas responsabilidades dos funcionários • A norma cobre TI bem como a organização, pessoal e instalações • Conformidade com as legislações Por que adotar a ABNT NBR ISO/IEC ISO 27001 ? 31
- 33. Dificuldades para Implementar um SGSI • Dificuldade na definição do escopo. • Dificuldade para desenvolver uma abordagem sistemática simples e clara para a Gestão de Risco. • Mesmo existindo Planos de Continuidade de Negócio, raramente eles são testados de alguma forma. • Designação da área de TI como responsável por desenvolver o projeto. • Falta de visão e “mente aberta” ao estabelecer os parâmetros dos controles identificados na Norma. • Falta de ação para identificar e usar controles fora da norma. • Limitação de orçamento. 32
- 34. Benefícios da Implementação da ISO 27001 • Reduz o risco de responsabilidade pela não implementação ou determinação de políticas e procedimentos. • Oportunidade de identificar e corrigir pontos fracos. • A alta direção assume a responsabilidade pela segurança da informação. • Permite revisão independente do sistema de gestão da segurança da Informação. • Oferece confiança aos parceiros comerciais, partes interessadas, e clientes. Melhor conscientização sobre segurança. • Combina recursos com outros Sistemas de Gestão. • Mecanismo para se medir o sucesso do sistema. 33
- 35. Estrutura da Norma NBR ISO/IEC 27001:2006 34
- 36. Responsabilidade da Direção / Entendendo comprometimento Para o bife a cavalo dar certo, a galinha apenas botou o ovo, já a vaca deu a VIDA. É muito fácil ser galinha, o difícil é ser a vaca ? A Alta Direção precisa estar comprometida, precisa dar sua carne e seu sangue E o cavalo ? Não fez nada e levou a fama 35
- 39. Abordagem do Processo Modelo PDCA - Aplicado ao SGSI 38
- 40. Compatibilidade com outros Sistemas de Gestão Possível adaptação a sistemas já existentes na organização 43
- 41. A norma ISO 27001: • Cobre todos os tipos de organizações, • Especifica requisitos para estabelecer, implementar, operar, monitorar,analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negócios globais da organização. •Especifica requisitos para a implementação de controles de segurança personalizados para as necessidades individuais de organizações ou suas partes. Objetivo Geral 44
- 43. Empresas Certificadas ISO 27001 No Mundo Diferencial Competitivo 46
- 44. Região Número de Certificados Australia 5 Austria 2 Brazil 2 China 5 Egypt 1 Finland 8 Germany 8 Greece 2 Hong Kong 7 Hungary 3 Iceland 1 India 13 Ireland 3 Italy 11 Japan 34 Korea 11 Malaysia 1 Mexico 1 Norway 7 Singapore 9 Spain 1 Sweden 4 Switzerland 1 Taiwan 4 UAE 1 UK 91 USA 3 TOTAL 239 Em 2000: Registros de Certificações 47
- 45. Em Junho de 2004: Japan 365 USA 9 Argentina 1 UK 139 Ireland 8 Egypt 1 India 34 China 6 Macau 1 Germany 24 Sweden 4 Malaysia 1 Korea 23 Austria 3 Netherlands 1 Taiwan 20 Brazil 3 Poland 1 Italy 18 Iceland 3 Qatar 1 Hong Kong 15 Mexico 3 Saudi Arabia 1 Singapore 11 Switzerland 3 Slovenia 1 Australia 10 Belgium 2 South Africa 1 Finland 10 Denmark 2 Spain 1 Hungary 9 Greece 2 Relative Total 749 Norway 9 UAE 2 Absolute Total 744 Registros de Certificações 48
- 46. Em Novembro de 2006 Registros de Certificações 49
- 47. Em Novembro de 2006 Registros de Certificações 50
- 48. fonte: http://www.iso27001certificates.com/ Registros de Certificações Em Março de 2007 51
- 49. fonte: http://www.iso27001certificates.com/ Registros de Certificações Em Março de 2007 52
- 50. Em Maio de 2009 Registros de Certificações 53
- 51. Financeiro Governo Telecom Comércio e IndústriaServiços Algumas Empresas Certificadas fonte: http://www.iso27001certificates.com/ Em MAIO de 2009 54
- 52. 55 OBRIGADO