www. vanzolini. org. br – Tel. : (11) 3814-7366 Av www.vanzolini.org.br – Tel.: (11) 3814-7366 Av. Paulista 967, 5 Andar – Bela Vista - SP 1

ESCOLA POLITÉCNICA FUNDAÇÃO CARLOS ALBERTO VANZOLINI INTERNATIONAL CERTIFICATION NETWORK

Instituída em 1967, mantida e gerida pelos professores do Departamento de Engenharia de Produção da Escola Politécnica da Universidade de São Paulo (USP); Entidade sem Fins Lucrativos. Melhoria da qualidade de vida da sociedade com a realização de projetos e promoção de cursos. Missão Disseminação de conhecimento em Engenharia de Produção e Administração Industrial. Objetivos * Manual do Colaborador FCAV - 2004

Área de atuação Certificação Educação Tipos de Certificação Cursos de Especialização Cursos de Média Duração Cursos Abertos Educação à Distância Educação Tipos de Certificação Acordos Operacionais Reconhecimento Nacional Reconhecimento Mundial Certificação

Realizado um programa junto ao governo da Inglaterra Histórico FCAV 1988 Realizado um programa junto ao governo da Inglaterra 1990 PARTNERSHIP 1997 2004 1967

O que é Informação ? Informação – é um ativo que, como qualquer outro ativo importante, é essencial para os negócios de uma organização e conseqüentemente necessita ser adequadamente protegido; Ativo – qualquer coisa que tenha valor para a organização (R$ ou US$). NBR ISO/IEC 17799:2005

Alguns milissegundos depois, o mesmo erro de overflow ocorreu. Informação do Formato do Processamento dos Dados do Ariane 5 Em 1996, o foguete lançador de satélite Ariane 5 teve que ser intencionalmente explodido alguns segundos após o seu lançamento em Kourou, Guiana Francesa. Após 36,7 segundos, o sistema de direção tentou converter um dos dados (velocidade lateral do foguete) de um formato de 64-bits para um de 16-bits, causando um erro de overflow. O sistema desligou, e o sistema redundante, idêntico, passou a funcionar. Alguns milissegundos depois, o mesmo erro de overflow ocorreu. Custo de desenvolvimento do Ariane 5: US$ 8 bilhões. Custo dos 4 satélites a bordo: US$ 500 milhões. http://resources.zdnet.co.uk/articles/0,1000001991,39290976,00.htm

O que é Segurança da Informação ? “Segurança da Informação é a proteção da Informação de diversos tipos de ameaças para garantir a continuidade dos negócios, minimizar os danos aos negócios e maximizar o retorno dos investimentos e as oportunidades de negócio.” NBR ISO/IEC 17799:2005

Falando de Boas Práticas em Sistemas de Gestão GoodPriv@cy: é um padrão estabelecido internacionalmente que abrange requisitos para o gerenciamento da proteção e privacidade dos dados nas organizações (Data Protection and Privacy - DPP) NBR ISO/IEC 27001 Sistema de Gestão da Segurança da Informação - SGSI NBR ISO/IEC 20000-1 Sistema de Gestão de Serviço de Tecnologia da Informação - SGSTI

Proteção de Dados Pessoais a nível Mundial Na rede IQNet com a certificação GoodPriv@cy: 57 organizações certificadas No Brasil para a GoodPriv@cy Bradesco Associação Comercial de São Paulo Itaú www.iqnet-certification.com Legislação envolvida: União Européia- Diretiva 95/46/CE sobre Privacidade de Dados na União Européia; USA – 1999 - Gramm-Leach-Bliley Act; Argentina- 2000 http://www.protecciondedatos.com.ar/ Brasil - 2005 http://ce.desenvolvimento.gov.br/dataprotection/ Lapso de Segurança na TJX Inc. Em 2005 foi registrada a perda de dados de cartões de credito e de débito de 40 milhões de clientes. Custo estimado desta falha : US$ 1 bilhão- (Boston Globe - USA); publicidades negativas nestes casos de vazamento de informação.

Focos do GoodPriv@cy® Conscientização responsável nas áreas de proteção de dados Minimizar riscos na proteção de dados, promovendo: Melhoria contínua na proteção dos dados e na segurança da informação Vantagens competitivas e preservação da boa imagem Garantia da qualidade nos serviços de manuseio e uso das informações de natureza particular e pessoal Construir e fortalecer a confiança mútua junto a clientes, consumidores

Requisitos de Controles para o Regulamento GoodPrivacy Controles de Admissão Controles de Disponibilidade Controles de Dados durante a Transmissão Controles de Entrada Controles de Pedidos Controles de Acesso Controles de Separação Controles de Acesso ao Usuário Outros Controles

Qual é o Objetivo da NBR ISO/IEC 27001:2006? O objetivo básico da norma é ajudar a estabelecer e manter um sistema de gestão da segurança da informação buscando a melhoria contínua. O BS7799 proporciona condições para o gerenciamento da segurança de informação. Compreende dez áreas e 127 controles do padrão ISO 17799, esta referencia se aplica as etapas de desenvolvimento, implementação e manutenção de um sistema de segurança de informação. Organizações que solicitam o certificado, são avaliadas de acordo com este documento. 41) A organização que baseia o seu ISMS estipulados no BS 7799 pode obter o certificado de um orgão autorizado. Assim, a organização mostra aos seus sócios que o seu sistema está em concordância com o padrão e responde as necessidades das medidas de segurança determinados pêlos seus próprios requisitos. É importante entender que a companhia que obtém o certificado é considerada estar em concordância com o ISO 17799 e certificado BS7799-2. O BS 7799-2 já é largamente usado em muitos países como documento de referencia para a certificação de gerenciamento de segurança de informação. este países incluem a Inglaterra, Austrália, Noruega, Brasil e Japão.

Aceitação Mundial da ISO/IEC 27001 Crescimento da Certificação BS 7799, antes da ISO/IEC 27001:05 No mundo (Junho de 2008): 4629 organizações certificadas (2653 emitidos no Japão) No Brasil para a ISO/IEC 27001 Atos Origin Fucapi Modulo Prodesp Tivit www.xisec.com www.iso27001certificates.com/

Legislação Envolvida a Nível Mundial Brasil: Instrução Normativa SRF nº 682, de 4 de outubro de 2006DOU de 5.10.2006 Dispõe sobre a auditoria de sistemas informatizados de controle aduaneiro, estabelecidos para os recintos alfandegados e para os beneficiários de regimes aduaneiros especiais. http://www.receita.fazenda.gov.br/Legislacao/Ins/2006/in6822006.htm

Legislação Envolvida a Nível Mundial Japão: implementar diretrizes visando obter os objetivos ate 2009: Governo Central – melhorar as normas de segurança da informação para o melhor nível mundial – decisão feita em 13/12/2005 por ISPC; Governo Local – promover auditorias de segurança da informação e sistemas de trocas de informação com governos locais; Infraestrutura Critica – trabalhar para reduzir as falhas de infraestrutura critica de TI o mais perto possível de zero; Negócios - melhorar as medidas de segurança da informação nos negócios para o melhor nível mundial ate FY 2009; Indivíduos - trabalhar para reduzir o numero de indivíduos que sentem-se inseguros usando TI o mais perto possível de zero.

Objetivos dos Controles para o Sistema de Gestão conforme a ISO/IEC 27001- Anexo A Gestão dos Ativos Política de Segurança Gestão da Continuidade do Negocio Gestão das Operações e Comunicações Controle de Acessos Segurança em Recursos Humanos Aquisição, Desenvolvimento Manutenção Organizando a Segurança da Informação Gestão de Incidentes Segurança Física e do Ambiente Conformidade

AVALIAÇÃO DE RISCO ATIVOS DE INFORMAÇÃO Ativo Localização Ameaça Vulnerabilidades Impacto Probabilidade Nivel de RISCO Banco de Dados do Cliente vendas funcionário com má intenção senha conhecida por todos perda de informação média alto Manual de Gestão da Segurança da Informação TI documento disponível para baixa baixo Formulário para impressão do material do cliente estoque erro humano desorganizado, sem controle perda imagem perda financeira medio imprimir informações de um cliente em formulário de outro cliente

DECLARAÇÃO DE APLICABILIDADE NBR ISO/IEC 27001 - ANEXO A Cláusulas Objetivos de Controle Controles APLICABILIDADE Documento JUSTIFICATIVA (CASO DE NÃO APLICABILIDADE) 7 - Gestão de ativos 7.1- Responsabilidade pelos ativos 7.1.1 Inventário dos ativos SIM D2 - Diretriz de Classificação da Informação NA 7.1.2 Proprietário dos ativos 7.1.3 Uso aceitável dos ativos 7.2-Classificação da informação 7.2.1 Recomendações para classificação   7.2.2 Rótulos e tratamento da informação NÃO As informações descartadas são cortadas por guilhotinas

Benefícios de um Sistema de Gestão de Segurança da Informação através do item 4.2.1 Formalização de um inventário dos ativos da Organização – Descoberta dos ativos com seu valor e risco Formalização de um plano de análise e tratamento de risco – Isto visa assegurar a sobrevivência da mesma e a sistematização da Análise dos Riscos envolvidos com perdas/ vazamentos de informações sensíveis - Democratização dos Riscos na Organização Formalização da “Declaração de Aplicabilidade” – Manter a memória do Planejamento da Aplicação dos Controles do SGSI

Benefícios de um Sistema de Gestão de Segurança da Informação Desenvolvimento da conscientização das pessoas Monitoramento e aperfeiçoamento contínuo da Gestão da Segurança da Informação Declaração de conformidade por terceira parte conferindo maior credibilidade na comunicação externa Construção de confiança nas relações com as partes interessadas e parceiros do negócio Prevenir perdas relacionadas a segurança da informação (no Brasil em 2005 se estimam em R$ 300 milhões, as fraudes pela Internet – Fonte Livro Implantando a Governança de TI – Aragon/Ferraz) Criar e alavancar novas oportunidades de negócio por gerar confiança, segurança e privacidade

Implementação do SG Definir o escopo do sistema Definir a política do sistema Definir a abordagem da análise Identificar as interfaces envolvidas Identificar, analisar e documentar: ISO 27 – Riscos envolvidos; ISO 20 - SLA’s envolvidos Implementar e gerenciar: ISO 27 – Declaração de Aplicabilidade e Plano de Gestão de Riscos; ISO 20 - o SIP (service improvement activities plan) Definir regras de tratamento, monitoração e controle

Ciclo de Planejamento & Controle da Gestão do SG Política do Sistema de Gestão (Política Corporativa) Identificação dos requisitos legais e outros requisitos críticos Critérios para classificação dos riscos e da avaliação dos controles e objetivos relevantes Análise Crítica pela Direção P D C A Identificação, analise, avaliação, opções para o tratamento dos riscos considerados impactantes para o Sistema de Gestão Objetivos & Indicadores ……… Resultados Monitoramento & medição Auditorias internas Não-Conformidades (Incidentes) Ações corretivas e preventivas Avaliação dos temas relevantes para o SG Seleção dos objetivos e controles para o tratamento dos riscos Definição dos Focos ISO 27 – Declaracao de Aplicabilidade; ISO 20 SLAs e dos níveis de serviço de suporte e do SPI

Etapas do Processo para Certificação Informação para a Organização Registro para A Certificação Definição das Datas Auditoria de Avaliação da Conformidade Diliberação da Certificação Emissão do Certificado Auditorias anuais de supervisão Renovação a cada 3 anos

Fundação Carlos Alberto Vanzolini Departamento de Certificação Rua Camburiú n- 255 05058- 020 - São Paulo, SP OCS- 0001 PABX : ++ 55 11 3836-6566 FAX : ++ 55 11 3832-2070 http://www.vanzolini.org.br airton@vanzolini.org.br O autor autoriza a utilização didática de todo o material contido nesta apresentação, desde que informada a fonte e mantidas as referências. A utilização comercial, inclusive cursos in company , depende de autorização escrita do autor. A lei do direito autoral pune a reprodução de obra intelectual, por qualquer meio, no todo ou em parte, sem autorização do autor ou de quem o represente (art. 184). Cumprir a lei é um dever de cidadania, respeite o direito do autor. Associação Brasileira de Direitos Reprográficos - www.abdr.org.br

Exemplos de Ativos na Avaliação de Riscos Ativos de Informação (Banco de Dados, Formulários, Planilhas); Ativos Físicos (Hardware, Equipamentos de Energia, Links de Comunicação); Ativos de Software ( Aplicativos, Antivírus, Ambientes); Ativos Intangíveis ( Imagem, Procedimentos); Colaboradores envolvidos.

Exemplos de Controles Típicos Aplicáveis Gestão de Mudanças; Segurança em Processos de Desenvolvimento e de Suporte; Gestão de Incidentes de Segurança da Informação; Gestão de Vulnerabilidade Técnica; Gestão da Continuidade do Negócio; Conformidade ( Requisitos Legais, Normas e Políticas de Segurança);

Benefícios de um Sistema de Gestão de Serviços de TI Criar e alavancar novas oportunidades de negócio por gerar confiança, segurança e privacidade Melhor qualidade no serviço, com um suporte mais confiável. Segurança e confiança da continuidade dos serviços de TI, aumentando a habilidade para restaurar os serviços quando houver necessidade. Visão mais clara da capacidade atual. Fornecimento de informações gerenciais para acompanhamento de desempenho, possibilitando traçar melhorias. Equipe de TI mais motivada: sabendo a carga de trabalho é possível gerenciar melhor as expectativas. Maior satisfação para os clientes e usuários, entregando o serviço com mais qualidade e rapidez. (Em alguns casos) Redução de custos: a partir do melhor planejamento e controle dos processos internos é possível otimizar os custos operacionais. Maior agilidade e segurança para realizar as mudanças propostas pelo negócio. Com processos definidos e controlados é mais fácil implementar várias mudanças simultaneamente. Declaração de conformidade por terceira parte conferindo maior credibilidade na comunicação externa Construção de confiança nas relações com as partes interessadas e parceiros do negócio Prevenir perdas relacionadas a Gestão de serviços de TI

GUIA para a Certificação Estude a norma, defina os objetivos, entenda os custos e benefícios e obtenha o aval da Direção; Defina o escopo. O que está dentro e o que está fora incluindo áreas, equipamentos; Defina a política formal do SG; Defina a sistemática de funcionamento dos Planos; Analise os riscos para a segurança da informação e os correspondentes objetivos de controle; Faça um diagnostico da situação atual e monte o plano de implementação; Implemente o plano, prepare e exercite planos de contingência; Realize auditorias e análises críticas da administração;

Fatores Críticos de Sucesso Política de Segurança, objetivos e atividades que reflitam os objetivos de negócio; Um enfoque para a implementação dos objetivos que seja consistente com a cultura organizacional; Comprometimento e apoio visível da direção; Um bom entendimento dos requisitos de definidos nos controles e planos; Divulgação e medição eficiente das definições e dos controles; Proporcionar educação e treinamento adequados; Estabelecer um processo de gestão de incidentes e dos problemas do serviço.