A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

© Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez 1 1 www.vanzolini.org.br – Tel.: (11) 3814-7366 Av. Paulista 967, 5 Andar – Bela Vista -

Apresentações semelhantes


Apresentação em tema: "© Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez 1 1 www.vanzolini.org.br – Tel.: (11) 3814-7366 Av. Paulista 967, 5 Andar – Bela Vista -"— Transcrição da apresentação:

1

2 © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez 1 1 – Tel.: (11) Av. Paulista 967, 5 Andar – Bela Vista - SP

3 © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez 2 ESCOLA POLITÉCNICA INTERNATIONAL CERTIFICATION NETWORK FUNDAÇÃO CARLOS ALBERTO VANZOLINI

4 © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez 3 Instituída em 1967, mantida e gerida pelos professores do Departamento de Engenharia de Produção da Escola Politécnica da Universidade de São Paulo (USP); Entidade sem Fins Lucrativos. Melhoria da qualidade de vida da sociedade com a realização de projetos e promoção de cursos. Missão * Manual do Colaborador FCAV Disseminação de conhecimento em Engenharia de Produção e Administração Industrial. Objetivos

5 © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez 4 Área de atuação Área de atuação Cursos de Especialização Cursos de Média Duração Cursos Abertos Educação à Distância Educação Tipos de Certificação Acordos Operacionais Reconhecimento Nacional Reconhecimento Mundial Certificação

6 © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez Realizado um programa junto ao governo da Inglaterra PARTNERSHIP 1997 Histórico FCAV

7 © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez 6 O que é Informação ? Informação – é um ativo que, como qualquer outro ativo importante, é essencial para os negócios de uma organização e conseqüentemente necessita ser adequadamente protegido; Ativo – qualquer coisa que tenha valor para a organização (R$ ou US$). NBR ISO/IEC 17799:2005

8 © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez 7 Informação do Formato do Processamento dos Dados do Ariane 5 Em 1996, o foguete lançador de satélite Ariane 5 teve que ser intencionalmente explodido alguns segundos após o seu lançamento em Kourou, Guiana Francesa. Após 36,7 segundos, o sistema de direção tentou converter um dos dados (velocidade lateral do foguete) de um formato de 64- bits para um de 16-bits, causando um erro de overflow. O sistema desligou, e o sistema redundante, idêntico, passou a funcionar. Alguns milissegundos depois, o mesmo erro de overflow ocorreu. Custo de desenvolvimento do Ariane 5: US$ 8 bilhões. Custo dos 4 satélites a bordo: US$ 500 milhões.

9 © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez 8 O que é Segurança da Informação ? Segurança da Informação é a proteção da Informação de diversos tipos de ameaças para garantir a continuidade dos negócios, minimizar os danos aos negócios e maximizar o retorno dos investimentos e as oportunidades de negócio. NBR ISO/IEC 17799:2005

10 © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez 9 é um padrão estabelecido internacionalmente que abrange requisitos para o gerenciamento da proteção e privacidade dos dados nas organizações (Data Protection and Privacy - DPP) NBR ISO/IEC Sistema de Gestão da Segurança da Informação - SGSI NBR ISO/IEC Sistema de Gestão de Serviço de Tecnologia da Informação - SGSTI Falando de Boas Práticas em Sistemas de Gestão

11 © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez 10 Proteção de Dados Pessoais a nível Mundial Na rede IQNet com a certificação 57 organizações certificadas No Brasil para a –Bradesco –Associação Comercial de São Paulo –Itaú Legislação envolvida: União Européia- Diretiva 95/46/CE sobre Privacidade de Dados na União Européia; USA – Gramm-Leach-Bliley Act; Argentina Brasil aprotection/ Lapso de Segurança na TJX Inc. Em 2005 foi registrada a perda de dados de cartões de credito e de débito de 40 milhões de clientes. Custo estimado desta falha : US$ 1 bilhão- (Boston Globe - USA); publicidades negativas nestes casos de vazamento de informação.

12 © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez 11 Focos do ® Conscientização responsável nas áreas de proteção de dados Minimizar riscos na proteção de dados, promovendo: – Melhoria contínua na proteção dos dados e na segurança da informação – Vantagens competitivas e preservação da boa imagem – Garantia da qualidade nos serviços de manuseio e uso das informações de natureza particular e pessoal Construir e fortalecer a confiança mútua junto a clientes, consumidores

13 © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez 12 Requisitos de Controles para o Regulamento GoodPrivacy Controles de Admissão Controles de Acesso Controles de Dados durante a Transmissão Controles de Acesso ao Usuário Controles de Entrada Controles de Pedidos Controles de Disponibilidad e Controles de Separação Outros Controles

14 © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez 13 Qual é o Objetivo da NBR ISO/IEC 27001:2006? O objetivo básico da norma é ajudar a estabelecer e manter um sistema de gestão da segurança da informação buscando a melhoria contínua.

15 © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez 14 Aceitação Mundial da ISO/IEC No mundo (Junho de 2008): 4629 organizações certificadas ( 2653 emitidos no Japão) No Brasil para a ISO/IEC –Atos Origin –Fucapi –Modulo –Prodesp –Tivit Crescimento da Certificação BS 7799, antes da ISO/IEC 27001:05

16 © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez 15

17 © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez 16 Legislação Envolvida a Nível Mundial Brasil: Instrução Normativa SRF nº 682, de 4 de outubro de 2006DOU de Dispõe sobre a auditoria de sistemas informatizados de controle aduaneiro, estabelecidos para os recintos alfandegados e para os beneficiários de regimes aduaneiros especiais.

18 © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez 17 Legislação Envolvida a Nível Mundial Japão: implementar diretrizes visando obter os objetivos ate 2009: Governo Central – melhorar as normas de segurança da informação para o melhor nível mundial – decisão feita em 13/12/2005 por ISPC; Governo Local – promover auditorias de segurança da informação e sistemas de trocas de informação com governos locais; Infraestrutura Critica – trabalhar para reduzir as falhas de infraestrutura critica de TI o mais perto possível de zero; Negócios - melhorar as medidas de segurança da informação nos negócios para o melhor nível mundial ate FY 2009; Indivíduos - trabalhar para reduzir o numero de indivíduos que sentem-se inseguros usando TI o mais perto possível de zero.

19 © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez 18

20 © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez 19

21 © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez 20

22 © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez 21 Objetivos dos Controles para o Sistema de Gestão conforme a ISO/IEC Anexo A Política de Segurança Segurança Física e do Ambiente Gestão das Operações e Comunicaçõe s Organizand o a Segurança da Informação Gestão dos Ativos Aquisição, Desenvolvimento Manutenção Gestão da Continuidade do Negocio Gestão de Incidentes Segurança em Recursos Humanos Conformidad e Controle de Acessos

23 © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez 22 AVALIAÇÃO DE RISCO ATIVOS DE INFORMAÇÃO AtivoLocalizaçãoAmeaçaVulnerabilidadesImpactoProbabilidade Nivel de RISCO Banco de Dados do Cliente vendas funcionário com má intenção senha conhecida por todos perda de informação médiaalto Manual de Gestão da Segurança da Informação TI funcionário com má intenção documento disponível para todos perda de informação baixabaixo Formulário para impressão do material do cliente estoqueerro humano estoque desorganizado, sem controle perda imagem perda financeira médiamedio imprimir informações de um cliente em formulário de outro cliente baixo

24 © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez 23 DECLARAÇÃO DE APLICABILIDADE NBR ISO/IEC ANEXO A Cláusulas Objetivos de Controle Controles APLICABILIDADEDocumento JUSTIFICATIVA (CASO DE NÃO APLICABILIDADE) 7 - Gestão de ativos 7.1- Responsabilidad e pelos ativos Inventário dos ativos SIMD2 - Diretriz de Classificação da Informação NA Proprietário dos ativos SIM Uso aceitável dos ativos SIM 7.2-Classificação da informação Recomendações para classificaçã o SIM Rótulos e tratamento da informação NÃONAAs informações descartadas são cortadas por guilhotinas

25 © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez 24 Benefícios de um Sistema de Gestão de Segurança da Informação através do item Formalização de um inventário dos ativos da Organização – Descoberta dos ativos com seu valor e risco Formalização de um plano de análise e tratamento de risco – Isto visa assegurar a sobrevivência da mesma e a sistematização da Análise dos Riscos envolvidos com perdas/ vazamentos de informações sensíveis - Democratização dos Riscos na Organização Formalização da Declaração de Aplicabilidade – Manter a memória do Planejamento da Aplicação dos Controles do SGSI

26 © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez 25 Benefícios de um Sistema de Gestão de Segurança da Informação Desenvolvimento da conscientização das pessoas Monitoramento e aperfeiçoamento contínuo da Gestão da Segurança da Informação Declaração de conformidade por terceira parte conferindo maior credibilidade na comunicação externa Construção de confiança nas relações com as partes interessadas e parceiros do negócio Prevenir perdas relacionadas a segurança da informação (no Brasil em 2005 se estimam em R$ 300 milhões, as fraudes pela Internet – Fonte Livro Implantando a Governança de TI – Aragon/Ferraz) Criar e alavancar novas oportunidades de negócio por gerar confiança, segurança e privacidade

27 © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez 26 Definir o escopo do sistema Definir a política do sistema Definir a abordagem da análise Identificar as interfaces envolvidas Identificar, analisar e documentar: ISO 27 – Riscos envolvidos; ISO 20 - SLAs envolvidos Implementar e gerenciar: ISO 27 – Declaração de Aplicabilidade e Plano de Gestão de Riscos; ISO 20 - o SIP (service improvement activities plan) Definir regras de tratamento, monitoração e controle Implementação do SG

28 © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez 27 Ciclo de Planejamento & Controle da Gestão do SG Política do Sistema de Gestão (Política Corporativa) Critérios para classificação dos riscos e da avaliação dos controles e objetivos relevantes Identificação, analise, avaliação, opções para o tratamento dos riscos considerados impactantes para o Sistema de Gestão Seleção dos objetivos e controles para o tratamento dos riscos Identificação dos requisitos legais e outros requisitos críticos Definição dos Focos -ISO 27 – Declaracao de Aplicabilidade; -ISO 20 SLAs e dos níveis de serviço de suporte e do SPI Avaliação dos temas relevantes para o SG Análise Crítica pela Direção P D C A Objetivos & Indicadores ……… Resultados Monitoramento & medição Auditorias internas Não-Conformidades (Incidentes) Ações corretivas e preventivas

29 © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez 28 Etapas do Processo para Certificação Informação para a Organização Registro para A Certificação Definição das Datas Auditoria de Avaliação da Conformidade Diliberação da Certificação Emissão do Certificado Auditorias anuais de supervisão Renovação a cada 3 anos

30 © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez 29 Fundação Carlos Alberto Vanzolini Departamento de Certificação Rua Camburiú n São Paulo, SP OCS PABX : FAX : O autor autoriza a utilização didática de todo o material contido nesta apresentação, desde que informada a fonte e mantidas as referências. A utilização comercial, inclusive cursos in company company, depende de autorização escrita do autor. A lei do direito autoral pune a reprodução de obra intelectual, por qualquer meio, no todo ou em parte, sem autorização do autor ou de quem o represente (art. 184). Cumprir a lei é um dever de cidadania, respeite o direito do autor. Associação Brasileira de Direitos Reprográficos -

31 © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez 30 Ativos de Informação (Banco de Dados, Formulários, Planilhas); Ativos Físicos (Hardware, Equipamentos de Energia, Links de Comunicação); Ativos de Software ( Aplicativos, Antivírus, Ambientes); Ativos Intangíveis ( Imagem, Procedimentos); Colaboradores envolvidos. Exemplos de Ativos na Avaliação de Riscos

32 © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez 31 Gestão de Mudanças; Segurança em Processos de Desenvolvimento e de Suporte; Gestão de Incidentes de Segurança da Informação; Gestão de Vulnerabilidade Técnica; Gestão da Continuidade do Negócio; Conformidade ( Requisitos Legais, Normas e Políticas de Segurança); Exemplos de Controles Típicos Aplicáveis

33 © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez 32 Benefícios de um Sistema de Gestão de Serviços de TI Criar e alavancar novas oportunidades de negócio por gerar confiança, segurança e privacidade Melhor qualidade no serviço, com um suporte mais confiável. Segurança e confiança da continuidade dos serviços de TI, aumentando a habilidade para restaurar os serviços quando houver necessidade. Visão mais clara da capacidade atual. Fornecimento de informações gerenciais para acompanhamento de desempenho, possibilitando traçar melhorias. Equipe de TI mais motivada: sabendo a carga de trabalho é possível gerenciar melhor as expectativas. Maior satisfação para os clientes e usuários, entregando o serviço com mais qualidade e rapidez. (Em alguns casos) Redução de custos: a partir do melhor planejamento e controle dos processos internos é possível otimizar os custos operacionais. Maior agilidade e segurança para realizar as mudanças propostas pelo negócio. Com processos definidos e controlados é mais fácil implementar várias mudanças simultaneamente. Declaração de conformidade por terceira parte conferindo maior credibilidade na comunicação externa Construção de confiança nas relações com as partes interessadas e parceiros do negócio Prevenir perdas relacionadas a Gestão de serviços de TI

34 © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez 33 Estude a norma, defina os objetivos, entenda os custos e benefícios e obtenha o aval da Direção; Defina o escopo. O que está dentro e o que está fora incluindo áreas, equipamentos; Defina a política formal do SG; Defina a sistemática de funcionamento dos Planos; Analise os riscos para a segurança da informação e os correspondentes objetivos de controle; Faça um diagnostico da situação atual e monte o plano de implementação; Implemente o plano, prepare e exercite planos de contingência; Realize auditorias e análises críticas da administração; GUIA para a Certificação

35 © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez 34 Fatores Críticos de Sucesso Política de Segurança, objetivos e atividades que reflitam os objetivos de negócio; Um enfoque para a implementação dos objetivos que seja consistente com a cultura organizacional; Comprometimento e apoio visível da direção; Um bom entendimento dos requisitos de definidos nos controles e planos; Divulgação e medição eficiente das definições e dos controles; Proporcionar educação e treinamento adequados; Estabelecer um processo de gestão de incidentes e dos problemas do serviço.


Carregar ppt "© Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez 1 1 www.vanzolini.org.br – Tel.: (11) 3814-7366 Av. Paulista 967, 5 Andar – Bela Vista -"

Apresentações semelhantes


Anúncios Google