A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Segurança da Informação para a Governança de TI

PublicouBernardo Alexandre Alterado mais de 10 anos atrás

Apresentações semelhantes

Apresentação em tema: "Segurança da Informação para a Governança de TI"— Transcrição da apresentação:

1 Segurança da Informação para a Governança de TI
Coordenação-Geral de Segurança da Informação – DSR/SLTI

2 Agenda Governança de TI O SGSI O SGSI e a Governança de TI A SI na APF
O que é? Objetivos ABNT 38500:2009 O SGSI Conceitos e definições Objetivos Normas Princípios e Diretrizes O SGSI e a Governança de TI A SI na APF

3 Governança de TI O que é? Objetivos
A Norma ABNT NBR ISO/IEC 38500:2009

4 Governança Corporativa
Gov. TI: O que é? Governança Corporativa Sistema pelo qual as organizações são dirigidas e controladas, envolvendo os relacionamentos entre Acionistas/Cotistas, Conselho de Administração, Diretoria, Auditoria Independente e Conselho Fiscal. (adaptado do Relatório Cadbury 1992 e OECD 1999)

5 Governança Corporativa de TI Governança ≠ Gerenciamento
Gov. TI: O que é? Governança Corporativa de TI Parte do Sistema Governança Corporativa Sistema pelo qual o uso atual e futuro da TI é dirigido e controlado Significa avaliar e direcionar o uso da TI para dar suporte à organização e monitorar seu uso para realizar os planos. Inclui a estratégica e as políticas de uso da TI dentro da organização Governança ≠ Gerenciamento

6 Governança de TI Objetivos O que é?
A Norma ABNT NBR ISO/IEC 38500:2009

7 Promover o uso eficaz, eficiente e
Objetivos da Gov. de TI Promover o uso eficaz, eficiente e aceitável da TI A maioria das organizações usa a TI como uma ferramenta fundamental do negócio e poucas podem funcionar eficazmente sem ela As despesas com a TI podem representar uma porção significativa dos gastos de recursos financeiros e humanos

8 Promover o uso eficaz, eficiente e
Objetivos da Gov. de TI Promover o uso eficaz, eficiente e aceitável da TI Frequentemente o retorno desse investimento não é totalmente obtido, com grandes efeitos adversos A principal razão para esses resultados negativos é a ênfase nos aspectos técnico, financeiro e de programação das atividades de TI, ao invés do uso da TI no contexto geral do negócio

9 Objetivos da Gov. de TI A Governança de TI busca
alinhar os objetivos da TI com os objetivos estratégicos e a finalidade da organização assegurar a conformidade da TI com as leis e regulamentos definir com clareza as responsabilidades e obrigatoriedades assegurar a continuidade e sustentabilidade do negócio reduzir os custos da organização obter uma alocação eficiente de recursos

10 Governança de TI A Norma ABNT NBR ISO/IEC 38500:2009 O que é?
Objetivos A Norma ABNT NBR ISO/IEC 38500:2009

11 A Norma ABNT 38500 Estabelece os princípios para o uso eficaz, eficiente e aceitável da TI e um modelo para a governança de TI A norma assegura às organizações que seguem os princípios que os riscos serão melhor avaliados e as oportunidades serão melhor aproveitadas As organizações que usam as orientações fornecidas nessa norma têm maior probabilidade de cumprir com suas obrigações

12 A Norma ABNT 38500 Princípios
Expressam o comportamento preferido para orientar a tomada de decisão. Referem-se ao que convém acontecer, mas não descreve como, quando ou por quem os princípios seriam implementados

13 A Norma ABNT 38500 Princípios Responsabilidade Estratégia Aquisição
Desempenho Conformidade Comportamento Humano

14 A Norma ABTN 38500 Modelo

15 Sistema de Gestão da SIC
Conceitos e definições Objetivos Normas Princípios e diretrizes

16 Conceitos e Definições
Informação, ativo de informação, disponibilidade, integridade, confidencialidade, autenticidade, segurança da informação, sistema de gestão de segurança da informação.

17 Conceitos e Definições
Informação – É o resultado do processamento, manipulação e organização de dados, de tal forma que represente uma modificação (quantitativa ou qualitativa) no conhecimento do sistema (pessoa, animal ou máquina) que a recebe. A informação é um ativo econômico e estratégico

18 Conceitos e Definições
Tipos de Informação Impressa ou escrita em papel Armazenada eletronicamente Verbal Internas da organização De clientes e fornecedores De parceiros

19 Conceitos e Definições
Ativo de informação – Meios de armazenamento, transmissão e processamento, os sistemas de informação, bem como os locais onde se encontram esses meios e as pessoas que a eles têm acesso (Portaria Nº45 – 8/09/ GSIPR)

20 Conceitos e Definições
D I C A Disponibilidade – Propriedade de estar acessível e utilizável sob demanda por uma entidade autorizada (ISO ) Integridade – Propriedade de salvaguarda da exatidão e completeza de ativos (ISO ) Confidencialidade – Propriedades de que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não autorizados (ISO ) Autenticidade – Propriedades de que a informação foi produzida, expedida, modificada ou destruída por uma determinada pessoas física, ou por um determinado sistema, órgão ou entidade (IN01 GSIPR)

21 Conceitos e Definições
Segurança da informação – Preservação da disponibilidade, integridade e confidencialidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas (ABNT NBR ISO/IEC :2006)

22 Conceitos e Definições
Sistema de Gestão de Segurança da Informação SGSI – A parte do sistema global, baseado na abordagem de riscos do negócio, para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a segurança da informação (ABNT NBR ISO/IEC :2006)

23 Sistema de Gestão da SIC
Conceitos e definições Objetivos Normas Princípios e diretrizes

24 Objetivos da SIC Preservar: Informação Organização DICA Missão
Continuidade do Negócio Conformidade Legal Imagem Credibilidade

25 Objetivos da SIC Evitar e Minimizar Riscos Descontinuidades Desastres
Vulnerabilidades Prejuízos Vazamento de informação sensível, sigilosa ou crítica Incidentes Descontinuidades Desastres Crises Roubo de informações Não conformidades legais

26 Sistema de Gestão da SIC
Conceitos e definições Objetivos Normas Princípios e diretrizes

27 Normas de SI para a APF O GSIPR, por meio do DSIC, é o órgão responsável por editar normas de SIC para a APF. Quais as principais normas emanadas pelo GSIPR? IN 01 (18/06/2008) - Disciplina a Gestão de Segurança da Informação e Comunicações na Administração Pública Federal, direta e indireta, e dá outras providências. NC 01 (15/10/2008) – Disciplina a Atividade de Normatização. NC 02 (14/10/2008) – Metodologia de Gestão de SIC.

28 Normas de SI para a APF O GSIPR, por meio do DSIC, é o órgão responsável por editar normas de SIC para a APF. Quais as principais normas emanadas pelo GSIPR? NC 03 (03/07/2009) – Define diretrizes para a Elaboração da PoSIC. NC 04 (17/08/2009) – Define diretrizes para o processo de GRSIC NC05 (17/08/2009) – Disciplina a criação de ETIRs.

29 Normas de SI para a APF O GSIPR, por meio do DSIC, é o órgão responsável por editar normas de SIC para a APF. Quais as principais normas emanadas pelo GSIPR? NC06 (23/11/2009) – Estabelece diretrizes para a GCN nos aspectos de SIC. NC07 (07/05/2010) – Estabelece diretrizes para Implementação de Controles de Acesso. NC08 (24/08/2010) – Estabelece diretrizes para GIRC. NC09 (22/11/2010) – Diretrizes de uso de recursos criptográficos.

30 Normas de SI para a APF Além dos normativos do GSIPR, há ainda decretos e normas da ABNT que orientam as ações de SIC na APF. D3505 (13/06/2000) – Institui a PoSIC nos órgãos e entidades da APF. D4553 (27/12/2002) – Dispõe sobre diretrizes e métodos para classificação da informação. ABNT NBR ISO/IEC :2006 – Define requisitos para SGSI. ABNT NBR ISO/IEC :2006 – Código de práticas para a gestão de SIC (GUIA DE MELHORES PRÁTICAS)!!!!

31 Normas de SI para a APF Além dos normativos do GSIPR, há ainda decretos e normas da ABNT que orientam as ações de SIC na APF. ABNT NBR ISO/IEC :2010 – Estabelece diretrizes para o desenvolvimento e uso de métricas e medições dos controles de SI. ABNT NBR ISO/IEC :2008 – Fornece diretrizes para o processo de gestão de riscos de SI. ABNT NBR ISO/IEC :2011 – Diretrizes para implantação do SGSI.

32 Sistema de Gestão da SIC
Conceitos e definições Objetivos Normas Princípios e diretrizes

33 Princípios e Diretrizes de SI
A SI é responsabilidade da alta direção da organização Não é responsabilidade apenas do gestor de TI Mas precisa de uma arquitetura que sustente a SI Delegar atribuições é fundamental (Gestor de SIC, proprietário da informação, custodiante da informação, etc)

34 Princípios e Diretrizes de SI
A SI é responsabilidade da alta direção da organização Evidências do comprometimento da alta direção: PoSIC Plano e objetivos de SIC Papéis e responsabilidades Comunicar a importância da SIC Assegurar os recurso$ necessários para as ações de SIC Definir critérios e níveis de risco aceitáveis Garantir auditorias do SGSI Um dos maiores desafios

35 Princípios e Diretrizes de SI
PoSIC, objetivos e atividades de SIC que reflitam os objetivos do negócio Alinhamento entre a SIC e objetivos estratégicos, estrutura e finalidade da instituição A Gestão de SIC deve suportar a tomada de decisão na organização PoSIC – primeiro passo Nada acontece sem a PoSIC PoSIC sem processos, atividades, estrutura, recurso$, normas, não é muito útil

36 Princípios e Diretrizes de SI
Treinamento e conscientização Muitas vezes, as pessoas são o elo fraco da corrente O sucesso do programa de SI depende do bom entendimento dos requisitos de SI, da análise/avaliação de riscos e da gestão de riscos da divulgação eficiente das ações

37 Princípios e Diretrizes de SI
Implementação de um sistema de medição “O que não é medido, não é gerenciado” Não é necessário criar métricas complexas, o básico já é suficiente A norma pode auxiliar

38 O SGSI e a Governança de TI

39 Modelo de Gov. TI e as Informações
SGSI e Gov. TI Modelo de Gov. TI e as Informações Informações

40 A SIC na APF

41 Certificação Digital nos Sistemas Estruturantes da APF
A SIC na APF Certificação Digital nos Sistemas Estruturantes da APF Certificado Digital Documento eletrônico que se destina a registrar de forma única, exclusiva e intransferível a relação entre uma chave de criptografia e uma PJ, PF, máquina ou aplicação

42 Certificação Digital nos Sistemas Estruturantes da APF
A SIC na APF Certificação Digital nos Sistemas Estruturantes da APF Certificado Digital Tem por finalidade garantir a identidade das partes envolvidas em uma transação e proteger as informações sob a guarda do estado Possui validade jurídica Permite Agilidade Redução de custos

43 Certificação Digital nos Sistemas Estruturantes da APF
A SIC na APF Certificação Digital nos Sistemas Estruturantes da APF Certificado Digital Permite GED Economia de recursos naturais Segurança APF Cidadão

44 Certificação Digital nos Sistemas Estruturantes da APF
A SIC na APF Certificação Digital nos Sistemas Estruturantes da APF Sistemas Estruturantes (30) SIAPE SIASG COMPRASNET SIDOR SIAPA SIORG SCDP SICONV

45 Certificação Digital nos Sistemas Estruturantes da APF
A SIC na APF Certificação Digital nos Sistemas Estruturantes da APF Desafios Emissão presencial Servidores distribuídos em todo o território nacional Treinamento dos multiplicadores Pagamento dos CDs 120 redes do Governo Manuais de usuário

46 Certificação Digital nos Sistemas Estruturantes da APF
A SIC na APF Certificação Digital nos Sistemas Estruturantes da APF

47 Certificação Digital nos Sistemas Estruturantes da APF
A SIC na APF Certificação Digital nos Sistemas Estruturantes da APF

48 A SIC na APF Infovia Brasília O que é?
Infraestrutura de rede ótica metropolitana de comunicações, construída para fornecer, aos órgãos do Governo Federal situados em Brasília, um conjunto de serviços e funcionalidades em ambiente seguro, de alta performance e de alta disponibilidade

49 A SIC na APF Infovia Brasília Objetivos
Proporcionar uma significativa redução dos custos de comunicação e um ambiente capaz de servir de suporte à implementação das políticas públicas de Governo

50 A SIC na APF Infovia Brasília SIC na Infovia Garantir a DICA por meio
Gestão de Ativos de Informação Gestão de Riscos Segurança Física Gestão de operações e comunicações Controle de Acesso Tratamento de Incidentes Gestão de Continuidade

51 A SIC na APF e-PING O que é?
Arquitetura que define um conjunto mínimo de premissas, políticas e especificações técnicas que regulamentam a utilização da Tecnologia de Informação e Comunicação (TIC) no governo federal, estabelecendo as condições de interação com os demais Poderes e esferas de governo e com a sociedade em geral.

52 A SIC na APF e-PING GT Segurança
Este segmento trata dos aspectos de segurança de TIC que o governo federal deve considerar. São tratados os padrões para: Segurança de IP Segurança de Correio Eletrônico Criptografia Desenvolvimento de Sistemas Serviços de Rede Coleta e arquivamento de evidências

53 A SIC na APF e-PING Situação atual dos padrões e-PING

54 A SIC na APF e-PING Situação atual dos padrões e-PING

55 A SIC na APF NSIC – Núcleo de SIC do SISP
O NSIC é um Fórum de Discussão dos Desafios da SIC para o SISP

56 NSIC – Núcleo de SIC do SISP
A SIC na APF NSIC – Núcleo de SIC do SISP Instituído pela Resolução SLTI nº 5, de 21 de dezembro de 2011. Objetivo principais realizar estudos sobre SIC elaborar e implementar normas de SIC divulgar, implementar e monitorar boas práticas propor capacitação de servidores em SIC

57 NSIC – Núcleo de SIC do SISP
A SIC na APF NSIC – Núcleo de SIC do SISP Característica assessoramento técnico e consultivo manifesta-se por recomendações à Comissão de Coordenação do SISP Composição representantes do SISP outros órgãos ou entidades públicos e privados especialistas e consultores em SIC

58 Obrigado!

Carregar ppt "Segurança da Informação para a Governança de TI"

Apresentações semelhantes

Técnicas e Projeto de Sistemas André Mesquita Rincon Processo de Software Técnico Subsequente – Módulo III.

Técnicas e Projeto de Sistemas André Mesquita Rincon Processo de Software Técnico Subsequente – Módulo III.
Política Nacional de Meio Ambiente

Política Nacional de Meio Ambiente
Uso de álcool e drogas no ambiente de trabalho

Uso de álcool e drogas no ambiente de trabalho
Críticas sobre Extreme Programming Francisco Hillesheim.

Críticas sobre Extreme Programming Francisco Hillesheim.
Treinamento GP3 USP – GEFIM Abril de 2004 Alcides Pietro, PMP.

Treinamento GP3 USP – GEFIM Abril de 2004 Alcides Pietro, PMP.
Ministério do Planejamento, Orçamento e Gestão

Ministério do Planejamento, Orçamento e Gestão
Aplicações da informática na administração e assistência

Aplicações da informática na administração e assistência
Cecilia Rocha Ryerson University, Canada Seminário: Políticas Públicas e SAN CERESAN,Universidade Federal Fluminense (UFF) Niterói, 07/10/2010.

Cecilia Rocha Ryerson University, Canada Seminário: Políticas Públicas e SAN CERESAN,Universidade Federal Fluminense (UFF) Niterói, 07/10/2010.
Balanced Scorecard (BSC)

Balanced Scorecard (BSC)
NBR ISO 10002 Gestão da Qualidade – Satisfação do Cliente – Diretrizes para o tratamento de reclamações nas organizações.

NBR ISO Gestão da Qualidade – Satisfação do Cliente – Diretrizes para o tratamento de reclamações nas organizações.
Sistemas de Gestão Integrados (SIGs)

Sistemas de Gestão Integrados (SIGs)
Planejamento do PROJETO LABGAP IV Conceitos e teorias de Planejamento - Introdução Estruturas dos Planos do Projeto (PMI e Metzger) Plano de Organização.

Planejamento do PROJETO LABGAP IV Conceitos e teorias de Planejamento - Introdução Estruturas dos Planos do Projeto (PMI e Metzger) Plano de Organização.
PROGRAMA.

PROGRAMA.
Governo do Estado do Tocantins Secretaria da Educação e Cultura

Governo do Estado do Tocantins Secretaria da Educação e Cultura
SECRETARIA DA EDUCAÇÃO E CULTURA x Fechar Avançar Secretaria da Educação e Cultura Maria Auxiliadora Seabra Rezende Governo do Estado do Tocantins Marcelo.

SECRETARIA DA EDUCAÇÃO E CULTURA x Fechar Avançar Secretaria da Educação e Cultura Maria Auxiliadora Seabra Rezende Governo do Estado do Tocantins Marcelo.
MINISTÉRIO DO PLANEJAMENTO Secretaria de Logística e Tecnologia da Informação – SLTI Uso do Portal de Compras Governamentais pelos Municípios Alexandre.

MINISTÉRIO DO PLANEJAMENTO Secretaria de Logística e Tecnologia da Informação – SLTI Uso do Portal de Compras Governamentais pelos Municípios Alexandre.
Implantação do Sistema MRP II

Implantação do Sistema MRP II
O Fluxo de Testes © Alexandre Vasconcelos

O Fluxo de Testes © Alexandre Vasconcelos
PROGRAMA DE ERGONOMIA.

PROGRAMA DE ERGONOMIA.
Gestão Orientada para Resultado

Gestão Orientada para Resultado

Apresentações semelhantes

Anúncios Google