Upload
internet
View
103
Download
0
Embed Size (px)
Citation preview
1• © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez
1
www.vanzolini.org.br – Tel.: (11) 3814-7366Av. Paulista 967, 5 Andar – Bela Vista - SP
2• © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez
ESCOLA POLITÉCNICA
INTERNATIONAL CERTIFICATION NETWORK
FUNDAÇÃO CARLOS ALBERTO VANZOLINI
3• © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez
Instituída em 1967, mantida e gerida pelos professores do Departamento de Engenharia de Produção da Escola Politécnica da Universidade de São Paulo (USP);
Entidade sem Fins Lucrativos.
Melhoria da qualidade de vida da sociedade com a realização de projetos e promoção de cursos.
MissãoMissão
Disseminação de conhecimento em Engenharia
de Produção e Administração Industrial.
ObjetivosObjetivos
4• © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez
Área de atuaçãoÁrea de atuação
Cursos de Especialização
Cursos de Média Duração
Cursos Abertos
Educação à Distância
EducaçãoTipos de Certificação
Acordos Operacionais
Reconhecimento Nacional
Reconhecimento Mundial
Certificação
5• © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez
1967 1988
Realizado um programa junto ao
governo da Inglaterra
1990 2004
PARTNERSHIP
1997
Histórico FCAV
6• © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez
O que é Informação ?
• Informação – é um ativo que, como qualquer outro ativo importante, é essencial para os negócios de uma organização e conseqüentemente necessita ser adequadamente protegido;
• Ativo – qualquer coisa que tenha valor para a organização (R$ ou US$).
NBR ISO/IEC 17799:2005
7• © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez
• Informação do Formato do Processamento dos Dados do Ariane 5
http://resources.zdnet.co.uk/articles/0,1000001991,39290976,00.htm
• Em 1996, o foguete lançador de satélite Ariane 5 teve que ser intencionalmente explodido alguns segundos após o seu lançamento em Kourou, Guiana Francesa.
• Após 36,7 segundos, o sistema de direção tentou converter um dos dados (velocidade lateral do foguete) de um formato de 64-bits para um de 16-bits, causando um erro de overflow. O sistema desligou, e o sistema redundante, idêntico, passou a funcionar.
• Alguns milissegundos depois, o mesmo erro de overflow ocorreu.• Custo de desenvolvimento do Ariane 5: US$ 8 bilhões.• Custo dos 4 satélites a bordo: US$ 500 milhões.
8• © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez
O que é Segurança da Informação ?
“Segurança da Informação é a proteção da Informação de diversos tipos de ameaças para garantir a continuidade dos negócios, minimizar os danos aos negócios e maximizar o retorno dos investimentos e as oportunidades de negócio.” NBR ISO/IEC 17799:2005
9• © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez
•GoodPriv@cy: é um padrão estabelecido internacionalmente que abrange requisitos para o gerenciamento da proteção e privacidade dos dados nas organizações (Data Protection and Privacy - DPP)
•NBR ISO/IEC 27001Sistema de Gestão da Segurança da Informação - SGSI
•NBR ISO/IEC 20000-1Sistema de Gestão de Serviço de Tecnologia da Informação - SGSTI
Falando de Boas Práticas em Sistemas de Gestão
10• © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez
Proteção de Dados Pessoais a nível Mundial • Na rede IQNet com a
certificação GoodPriv@cy:57 organizações certificadas
• No Brasil para a GoodPriv@cy
– Bradesco– Associação Comercial de São Paulo– Itaú
www.iqnet-certification.com
• Legislação envolvida:
União Européia- Diretiva 95/46/CE sobre Privacidade de Dados na União Européia;
USA – 1999 - Gramm-Leach-Bliley Act;
Argentina- 2000http://www.protecciondedatos.com.ar/Brasil - 2005http://ce.desenvolvimento.gov.br/dataprotection/
Lapso de Segurança na TJX Inc.Em 2005 foi registrada a perda de dados
de cartões de credito e de débito de 40 milhões de clientes.
Custo estimado desta falha :• US$ 1 bilhão- (Boston Globe - USA);• publicidades negativas nestes casos
de vazamento de informação.
11• © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez
Focos do GoodPriv@cy®
• Conscientização responsável nas áreas de proteção de dados
• Minimizar riscos na proteção de dados, promovendo:–Melhoria contínua na proteção dos dados e na segurança da informação
–Vantagens competitivas e preservação da boa imagem
–Garantia da qualidade nos serviços de manuseio e uso das informações de natureza particular e pessoal
• Construir e fortalecer a confiança mútua junto a clientes, consumidores
12• © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez
Requisitos de Controles para o Regulamento GoodPrivacy
Controles de
Admissão
Controles de Acesso
Controles de Dados
durante a Transmissão
Controles de Acesso ao Usuário
Controles de Entrada
Controles de Pedidos
Controles de Disponibilidad
e
Controles de
Separação
Outros Controles
13• © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez
Qual é o Objetivo da NBR ISO/IEC 27001:2006?
• O objetivo básico da norma é ajudar a estabelecer e manter um sistema de gestão da segurança da informação buscando a melhoria contínua.
14• © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez
Aceitação Mundial da ISO/IEC 27001
• No mundo (Junho de 2008):
4629 organizações certificadas
(2653 emitidos no Japão)
• No Brasil para a ISO/IEC 27001
– Atos Origin– Fucapi– Modulo– Prodesp– Tivit
www.xisec.comwww.iso27001certificates.com/
Crescimento da Certificação BS 7799, antes da ISO/IEC 27001:05
15• © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez
16• © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez
Legislação Envolvida a Nível Mundial
• Brasil:
Instrução Normativa SRF nº 682, de 4 de outubro de 2006DOU de 5.10.2006
Dispõe sobre a auditoria de sistemas informatizados de controle aduaneiro, estabelecidos para os recintos alfandegados e para os beneficiários de regimes aduaneiros especiais.
http://www.receita.fazenda.gov.br/Legislacao/Ins/2006/in6822006.htm
17• © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez
Legislação Envolvida a Nível Mundial
• Japão: implementar diretrizes visando obter os objetivos ate 2009:
• Governo Central – melhorar as normas de segurança da informação para o melhor nível mundial – decisão feita em 13/12/2005 por ISPC;
• Governo Local – promover auditorias de segurança da informação e sistemas de trocas de informação com governos locais;
• Infraestrutura Critica – trabalhar para reduzir as falhas de infraestrutura critica de TI o mais perto possível de zero;
• Negócios - melhorar as medidas de segurança da informação nos negócios para o melhor nível mundial ate FY 2009;
• Indivíduos - trabalhar para reduzir o numero de indivíduos que sentem-se inseguros usando TI o mais perto possível de zero.
18• © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez
19• © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez
ISMS in ASIA.pdf
20• © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez
overview_eng.pdf
21• © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez
Objetivos dos Controles para o Sistema de Gestão conforme a ISO/IEC 27001- Anexo A
Política
de Segurança
Segurança Física e do Ambiente
Gestão das Operações e Comunicaçõe
s
Organizando a
Segurança da
Informação
Gestão dos Ativos
Aquisição, Desenvolvimento
Manutenção
Gestão da Continuidade do Negocio
Gestão de Incidentes
Segurança em Recursos Humanos
Conformidade
Controle de
Acessos
22• © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez
AVALIAÇÃO DE RISCOATIVOS DE
INFORMAÇÃO
Ativo Localização Ameaça Vulnerabilidades Impacto ProbabilidadeNivel
de RISCO
Banco de Dados do Cliente
vendasfuncionário com
má intençãosenha conhecida por
todosperda de
informaçãomédia alto
Manual de Gestão da Segurança da Informação
TIfuncionário com
má intenção
documento disponível para
todos
perda de informação
baixa baixo
Formulário para impressão do material do
clienteestoque erro humano
estoque desorganizado, sem
controle
perda imagem
perda financeira
média medio
imprimir informações de um
cliente em formulário de outro
cliente
baixo baixo
23• © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez
DECLARAÇÃO DE APLICABILIDADE
NBR ISO/IEC 27001 - ANEXO A
Cláusulas Objetivos de Controle Controles
APLICABILIDADE Documento JUSTIFICATIVA (CASO DE NÃO
APLICABILIDADE)
7 - Gestão de
ativos
7.1-Responsabilidade
pelos ativos
7.1.1Inventário dos
ativos SIM D2 - Diretriz de
Classificação da
Informação
NA
7.1.2Proprietário dos
ativos
SIM
7.1.3Uso aceitável dos
ativos
SIM
7.2-Classificação da informação
7.2.1
Recomendações para classificação
SIM
7.2.2
Rótulos e tratamento da informação
NÃO NA As informações descartadas são
cortadas por guilhotinas
24• © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez
Benefícios de um Sistema deGestão de Segurança da Informação
através do item 4.2.1• Formalização de um inventário dos ativos da Organização
– Descoberta dos ativos com seu valor e risco• Formalização de um plano de análise e tratamento de risco
– Isto visa assegurar a sobrevivência da mesma e a sistematização da Análise dos Riscos envolvidos com perdas/ vazamentos de informações sensíveis - Democratização dos Riscos na Organização
• Formalização da “Declaração de Aplicabilidade” – Manter a memória do Planejamento da Aplicação dos Controles do SGSI
25• © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez
Benefícios de um Sistema deGestão de Segurança da Informação
• Desenvolvimento da conscientização das pessoas
• Monitoramento e aperfeiçoamento contínuo da Gestão da Segurança da Informação
• Declaração de conformidade por terceira parte conferindo maior credibilidade na comunicação externa
• Construção de confiança nas relações com as partes interessadas e parceiros do negócio
• Prevenir perdas relacionadas a segurança da informação (no Brasil em 2005 se estimam em R$ 300 milhões, as fraudes pela Internet – Fonte Livro Implantando a Governança de TI – Aragon/Ferraz)
• Criar e alavancar novas oportunidades de negócio por gerar confiança, segurança e privacidade
26• © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez
• Definir o escopo do sistema• Definir a política do sistema• Definir a abordagem da análise• Identificar as interfaces envolvidas• Identificar, analisar e documentar: ISO 27 – Riscos envolvidos; ISO 20 - SLA’s envolvidos
• Implementar e gerenciar: ISO 27 – Declaração de Aplicabilidade e Plano de Gestão de Riscos; ISO 20 - o SIP (service improvement activities plan)
• Definir regras de tratamento, monitoração e controle
Implementação do SG
27• © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez
Ciclo de Planejamento & Controleda Gestão do SG
Política do Sistema de Gestão (Política Corporativa)
Critérios para classificação dos riscos e da avaliação dos controles e objetivos
relevantes
Identificação, analise, avaliação, opções para o
tratamento dos riscos considerados impactantes para o Sistema de Gestão
Seleção dos objetivos e controles
para o tratamento dos riscos
Identificação dos requisitos legais e outros requisitos
críticos
Definição dos Focos-ISO 27 – Declaracao
de Aplicabilidade;-ISO 20 SLAs e dos níveis de serviço de
suporte e do SPI
Avaliação dos temas relevantes
para o SG
Análise Crítica pela Direção
P
DC
AObjetivos & Indicadores• ………• ………
Resultados• Monitoramento & medição• Auditorias internas• Não-Conformidades (Incidentes)
• Ações corretivas e preventivas
28• © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez
Etapas do Processo para CertificaçãoInformação paraa Organização
Registro paraA Certificação
Definição dasDatas
Auditoria deAvaliação da Conformidade
Diliberação daCertificação
Emissão do Certificado
Auditorias anuais de supervisão
Renovaçãoa cada 3 anos
29• © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez
Fundação Carlos Alberto Vanzolini Departamento de Certificação
Rua Camburiú n- 255 05058- 020 - São Paulo, SP
OCS- 0001 PABX : ++ 55 11 3836-6566 FAX : ++ 55 11 3832-2070
http://www.vanzolini.org.br
O autor autoriza a utilização didática de todo o material contido nesta apresentação, desde que informada a fonte e O autor autoriza a utilização didática de todo o material contido nesta apresentação, desde que informada a fonte e mantidas as referências. A utilização comercial, inclusive cursos mantidas as referências. A utilização comercial, inclusive cursos in companyin company , depende de autorização escrita do autor. , depende de autorização escrita do autor.
A lei do direito autoral pune a reprodução de obra intelectual, por qualquer meio, no todo ou em parte, sem autorização A lei do direito autoral pune a reprodução de obra intelectual, por qualquer meio, no todo ou em parte, sem autorização do autor ou de quem o represente (art. 184). Cumprir a lei é um dever de cidadania, do autor ou de quem o represente (art. 184). Cumprir a lei é um dever de cidadania,
respeite o direito do autor. Associação Brasileira de Direitos Reprográficos - www.abdr.org.brrespeite o direito do autor. Associação Brasileira de Direitos Reprográficos - www.abdr.org.br
30• © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez
• Ativos de Informação (Banco de Dados, Formulários, Planilhas);
• Ativos Físicos (Hardware, Equipamentos de Energia, Links de Comunicação);
• Ativos de Software ( Aplicativos, Antivírus, Ambientes);
• Ativos Intangíveis ( Imagem, Procedimentos);• Colaboradores envolvidos.
Exemplos de Ativos na Avaliação de Riscos
31• © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez
• Gestão de Mudanças;• Segurança em Processos de
Desenvolvimento e de Suporte;• Gestão de Incidentes de Segurança da
Informação;• Gestão de Vulnerabilidade Técnica;• Gestão da Continuidade do Negócio;• Conformidade ( Requisitos Legais, Normas e
Políticas de Segurança);
Exemplos de Controles Típicos Aplicáveis
32• © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez
Benefícios de um Sistema deGestão de Serviços de TI
• Criar e alavancar novas oportunidades de negócio por gerar confiança, segurança e privacidade
• Melhor qualidade no serviço, com um suporte mais confiável. • Segurança e confiança da continuidade dos serviços de TI, aumentando a habilidade para restaurar
os serviços quando houver necessidade. • Visão mais clara da capacidade atual. • Fornecimento de informações gerenciais para acompanhamento de desempenho, possibilitando
traçar melhorias. • Equipe de TI mais motivada: sabendo a carga de trabalho é possível gerenciar melhor as
expectativas. • Maior satisfação para os clientes e usuários, entregando o serviço com mais qualidade e rapidez. • (Em alguns casos) Redução de custos: a partir do melhor planejamento e controle dos processos
internos é possível otimizar os custos operacionais. • Maior agilidade e segurança para realizar as mudanças propostas pelo negócio. Com processos
definidos e controlados é mais fácil implementar várias mudanças simultaneamente. • Declaração de conformidade por terceira parte conferindo maior credibilidade na comunicação
externa• Construção de confiança nas relações com as partes interessadas e parceiros do negócio • Prevenir perdas relacionadas a Gestão de serviços de TI
33• © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez
• Estude a norma, defina os objetivos, entenda os custos e benefícios e obtenha o aval da Direção;
• Defina o escopo. O que está dentro e o que está fora incluindo áreas, equipamentos;
• Defina a política formal do SG;• Defina a sistemática de funcionamento dos Planos;• Analise os riscos para a segurança da informação e os
correspondentes objetivos de controle;• Faça um diagnostico da situação atual e monte o plano de
implementação;• Implemente o plano, prepare e exercite planos de contingência;• Realize auditorias e análises críticas da administração;
GUIA para a Certificação
34• © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez
Fatores Críticos de Sucesso
• Política de Segurança, objetivos e atividades que reflitam os objetivos de
negócio;
• Um enfoque para a implementação dos objetivos que seja consistente
com a cultura organizacional;
• Comprometimento e apoio visível da direção;
• Um bom entendimento dos requisitos de definidos nos controles e
planos;
• Divulgação e medição eficiente das definições e dos controles;
• Proporcionar educação e treinamento adequados;
• Estabelecer um processo de gestão de incidentes e dos problemas do
serviço.