A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Programa de Fortalecimento em Segurança da Informação nas Organizações Usuárias A RNP promovendo a cultura de segurança VII Workshop de TIC das IFES João.

Apresentações semelhantes


Apresentação em tema: "Programa de Fortalecimento em Segurança da Informação nas Organizações Usuárias A RNP promovendo a cultura de segurança VII Workshop de TIC das IFES João."— Transcrição da apresentação:

1 Programa de Fortalecimento em Segurança da Informação nas Organizações Usuárias A RNP promovendo a cultura de segurança VII Workshop de TIC das IFES João Pessoa, PB – 28 de maio de 2013 Liliana Solha CAIS/RNP

2 Agenda 1 MotivaçãoObjetivosEstratégia de execuçãoOnde estamos?

3 Motivação CAIS – Centro de Atendimento a Incidentes de Segurança Missão O CAIS atua na detecção, resolução e prevenção de incidentes de segurança na rede acadêmica brasileira, além de elaborar, promover e disseminar boas práticas de segurança da informação. Fonte: 1

4 Motivação (cont) Acordão / 2008 – TCU Plenário Deficiências 57% NÃO tinham carreira específica para TI 59% NÃO tinham planejamento estratégico em vigor 64% NÃO tinham política de segurança da informação 75% NÃO faziam análise de riscos de TI 80% NÃO faziam classificação da informação 88% NÃO tinham plano de continuidade de negócios Fonte: TCU 1

5 Motivação (cont) Instrução Normativa GSI/PR nº 1, de 13 de junho de Disciplina a Gestão de Segurança da Informação e Comunicações na Administração Pública Federal, Art. 1º Aprovar orientações para Gestão de Segurança da Informação e Comunicações que deverão ser implementadas pelos órgãos e entidades da Administração Pública Federal, direta e indireta. [...] (Papéis e responsabilidades) Art. 5º Aos demais órgãos e entidades da Administração Pública Federal, direta e indireta, em seu âmbito de atuação, compete: I - coordenar as ações de segurança da informação e comunicações; II - aplicar as ações corretivas e disciplinares cabíveis nos casos de quebra de segurança; III - propor programa orçamentário específico para as ações de segurança da informação e comunicações; IV - nomear Gestor de Segurança da Informação e Comunicações; V - instituir e implementar equipe de tratamento e resposta a incidentes em redes computacionais; VI - instituir Comitê de Segurança da Informação e Comunicações; VII - aprovar Política de Segurança da Informação e Comunicações e demais normas de segurança da informação e comunicações; VIII - remeter os resultados consolidados dos trabalhos de auditoria de Gestão de Segurança da Informação e Comunicações para o GSI. 1

6 Motivação (cont) Instrução Normativa GSI/PR nº 1, de 13 de junho de Disciplina a Gestão de Segurança da Informação e Comunicações na Administração Pública Federal, Art. 1º Aprovar orientações para Gestão de Segurança da Informação e Comunicações que deverão ser implementadas pelos órgãos e entidades da Administração Pública Federal, direta e indireta. [...] (Papéis e responsabilidades) Art. 7º Ao Gestor de Segurança da Informação e Comunicações, de que trata o inciso IV do art. 5º, no âmbito de suas atribuições, incumbe: I - promover cultura de segurança da informação e comunicações; II - acompanhar as investigações e as avaliações dos danos decorrentes de quebras de segurança; III - propor recursos necessários às ações de segurança da informação e comunicações; IV - coordenar o Comitê de Segurança da Informação e Comunicações e a equipe de tratamento e resposta a incidentes em redes computacionais; V - realizar e acompanhar estudos de novas tecnologias, quanto a possíveis impactos na segurança da informação e comunicações; VI - manter contato direto com o DSIC para o trato de assuntos relativos à segurança da informação e comunicações; VII - propor normas relativas à segurança da informação e comunicações. 1

7 Motivação (cont) Acordão / 2010 – TCU Plenário Acordão / 2012 – TCU Plenário Deficiências 55% NÃO possuem política corporativa de segurança da informação 83% NÃO classificam a informação para o negócio 84% NÃO gerenciam os incidentes de segurança da informação 90% NÃO analisam os riscos aos quais a informação está submetida Fonte: TCU 1

8 Motivação (cont) Acordão / 2010 x Acordão / 2012 Comparativo Fonte: TCU 1

9 Motivação (cont) RNP: 2ª Pesquisa de Segurança na Rede Acadêmica Brasileira Planejamento de Segurança da Informação 1

10 Motivação (cont) RNP: 2ª Pesquisa de Segurança na Rede Acadêmica Brasileira Sistema de Gestão de Segurança da Informação (SGSI) 1

11 Motivação (cont) RNP: 2ª Pesquisa de Segurança na Rede Acadêmica Brasileira Política de Segurança 1

12 Motivação (cont) RNP: 2ª Pesquisa de Segurança na Rede Acadêmica Brasileira Gestão de riscos 1

13 Motivação (cont) RNP: 2ª Pesquisa de Segurança na Rede Acadêmica Brasileira Inventário e mapeamento de ativos 1

14 Motivação (cont) RNP: 2ª Pesquisa de Segurança na Rede Acadêmica Brasileira Avaliações de conformidade 1

15 Motivação (cont) RNP: 2ª Pesquisa de Segurança na Rede Acadêmica Brasileira Equipe de Resposta a Incidentes de Segurança 1

16 Motivação (cont) RNP: 2ª Pesquisa de Segurança na Rede Acadêmica Brasileira Dificuldades principais para implementar SI 1

17 1 MotivaçãoObjetivosEstratégia de execuçãoOnde estamos?

18 Objetivos Desenvolver ações que: Estimulem a adoção de normas e boas práticas de mercado; Viabilizem e assegurem a disponibilidade, integridade, confidencialidade e autenticidade das informações. Promovam a cultura de segurança da informação; visando fortalecer a segurança nas organizações usuárias, reduzindo consequentemente os riscos e vulnerabilidades às que elas estão expostas. 1

19 Principais benefícios Fortalecimento da segurança das organizações conectadas à rede Ipê; Apoio no processo de atendimento a requisitos legais do DSIC/PR; Atendimento às recomendações apontadas nas fiscalizações de TI nas instituições da APF conduzidas pelo TCU. Firmar a RNP como agente disseminador da cultura de segurança no pais; 1

20 Estratégia de execução Programa fortemente baseado na Instrução Normativa GSI Nº 1 do DSIC/GSI/PR, que disciplina a Gestão de Segurança da Informação e Comunicações na Administração Pública Federal. 18 normas complementares (Metodologia do SGSI, Política de Segurança, Equipe de Resposta a Incidentes de Segurança, Gestão de Riscos, Gestão de Continuidade do Negócio, Gestão da Mudança,, Avaliação de Conformidade, Uso de dispositivos Móveis, Redes Sociais, Computação em Nuvem, etc). 18 normas complementares Programa plurianual desenvolvido em fases. 1

21 Estratégia de execução (cont.) Etapas: - Planejamento - Piloto - Implantação Escopo: Organizações Usuárias (IFES, IFETs, UPs) Parcerias com DSIC/GSI, Sefti (TCU), outros (Andifes, FORTI, UPs) Grupos de trabalho (piloto) x SIGs temáticos (Implantação) Fase piloto: - Modelos diferenciados, templates, cartilha, criação de página no site CAIS, formatação do curso, repositório, lista de discussão, reuniões presenciais/virtuais, modelagem do serviço, etc. 1

22 Estratégia de execução (cont.) Resultados das ações medidos através de índices de conformidade. Valores iniciais obtidos da 2ª Pesquisa de Segurança na Rede Acadêmica – RNP (2012) Foco da capacitação: hands-on. Treinamento em parceria com ESR (novo curso!) Treinamentos coincidentes com eventos chave Ampla divulgação (palestras apresentando cases de sucesso) Priorização 2013 (dependência orçamentária): Política de Segurança (Piloto) Comitê de Segurança (Piloto) Equipe de Resposta a Incidentes de Segurança (ETIR) 1

23 Onde estamos? Aguardando liberação de recursos Na fase de planejamento Conhecendo as reais necessidades das OUs O que deu certo? O que não funcionou? Identificando potenciais OUs participantes do Piloto Identificando outros stakeholders. Afirmando o compromisso da RNP em Segurança da Informação. 1

24 Obrigada! Liliana Solha


Carregar ppt "Programa de Fortalecimento em Segurança da Informação nas Organizações Usuárias A RNP promovendo a cultura de segurança VII Workshop de TIC das IFES João."

Apresentações semelhantes


Anúncios Google