© fundação carlos alberto vanzolini – airton carlos gonzalez 1 1 – tel.: (11) 3814-7366 av....

1• © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez

1

www.vanzolini.org.br – Tel.: (11) 3814-7366Av. Paulista 967, 5 Andar – Bela Vista - SP


ESCOLA POLITÉCNICA

INTERNATIONAL CERTIFICATION NETWORK

FUNDAÇÃO CARLOS ALBERTO VANZOLINI


Instituída em 1967, mantida e gerida pelos professores do Departamento de Engenharia de Produção da Escola Politécnica da Universidade de São Paulo (USP);

Entidade sem Fins Lucrativos.

Melhoria da qualidade de vida da sociedade com a realização de projetos e promoção de cursos.

MissãoMissão

Disseminação de conhecimento em Engenharia

de Produção e Administração Industrial.

ObjetivosObjetivos


Área de atuaçãoÁrea de atuação

Cursos de Especialização

Cursos de Média Duração

Cursos Abertos

Educação à Distância

EducaçãoTipos de Certificação

Acordos Operacionais

Reconhecimento Nacional

Reconhecimento Mundial

Certificação


1967 1988

Realizado um programa junto ao

governo da Inglaterra

1990 2004

PARTNERSHIP

1997

Histórico FCAV


O que é Informação ?

• Informação – é um ativo que, como qualquer outro ativo importante, é essencial para os negócios de uma organização e conseqüentemente necessita ser adequadamente protegido;

• Ativo – qualquer coisa que tenha valor para a organização (R$ ou US$).

NBR ISO/IEC 17799:2005


• Informação do Formato do Processamento dos Dados do Ariane 5

http://resources.zdnet.co.uk/articles/0,1000001991,39290976,00.htm

• Em 1996, o foguete lançador de satélite Ariane 5 teve que ser intencionalmente explodido alguns segundos após o seu lançamento em Kourou, Guiana Francesa.

• Após 36,7 segundos, o sistema de direção tentou converter um dos dados (velocidade lateral do foguete) de um formato de 64-bits para um de 16-bits, causando um erro de overflow. O sistema desligou, e o sistema redundante, idêntico, passou a funcionar.

• Alguns milissegundos depois, o mesmo erro de overflow ocorreu.• Custo de desenvolvimento do Ariane 5: US$ 8 bilhões.• Custo dos 4 satélites a bordo: US$ 500 milhões.


O que é Segurança da Informação ?

“Segurança da Informação é a proteção da Informação de diversos tipos de ameaças para garantir a continuidade dos negócios, minimizar os danos aos negócios e maximizar o retorno dos investimentos e as oportunidades de negócio.” NBR ISO/IEC 17799:2005


•GoodPriv@cy: é um padrão estabelecido internacionalmente que abrange requisitos para o gerenciamento da proteção e privacidade dos dados nas organizações (Data Protection and Privacy - DPP)

•NBR ISO/IEC 27001Sistema de Gestão da Segurança da Informação - SGSI

•NBR ISO/IEC 20000-1Sistema de Gestão de Serviço de Tecnologia da Informação - SGSTI

Falando de Boas Práticas em Sistemas de Gestão


Proteção de Dados Pessoais a nível Mundial • Na rede IQNet com a

certificação GoodPriv@cy:57 organizações certificadas

• No Brasil para a GoodPriv@cy

– Bradesco– Associação Comercial de São Paulo– Itaú

www.iqnet-certification.com

• Legislação envolvida:

União Européia- Diretiva 95/46/CE sobre Privacidade de Dados na União Européia;

USA – 1999 - Gramm-Leach-Bliley Act;

Argentina- 2000http://www.protecciondedatos.com.ar/Brasil - 2005http://ce.desenvolvimento.gov.br/dataprotection/

Lapso de Segurança na TJX Inc.Em 2005 foi registrada a perda de dados

de cartões de credito e de débito de 40 milhões de clientes.

Custo estimado desta falha :• US$ 1 bilhão- (Boston Globe - USA);• publicidades negativas nestes casos

de vazamento de informação.


Focos do GoodPriv@cy®

• Conscientização responsável nas áreas de proteção de dados

• Minimizar riscos na proteção de dados, promovendo:–Melhoria contínua na proteção dos dados e na segurança da informação

–Vantagens competitivas e preservação da boa imagem

–Garantia da qualidade nos serviços de manuseio e uso das informações de natureza particular e pessoal

• Construir e fortalecer a confiança mútua junto a clientes, consumidores


Requisitos de Controles para o Regulamento GoodPrivacy

Controles de

Admissão

Controles de Acesso

Controles de Dados

durante a Transmissão

Controles de Acesso ao Usuário

Controles de Entrada

Controles de Pedidos

Controles de Disponibilidad

e

Controles de

Separação

Outros Controles


Qual é o Objetivo da NBR ISO/IEC 27001:2006?

• O objetivo básico da norma é ajudar a estabelecer e manter um sistema de gestão da segurança da informação buscando a melhoria contínua.


Aceitação Mundial da ISO/IEC 27001

• No mundo (Junho de 2008):

4629 organizações certificadas

(2653 emitidos no Japão)

• No Brasil para a ISO/IEC 27001

– Atos Origin– Fucapi– Modulo– Prodesp– Tivit

www.xisec.comwww.iso27001certificates.com/

Crescimento da Certificação BS 7799, antes da ISO/IEC 27001:05


Legislação Envolvida a Nível Mundial

• Brasil:

Instrução Normativa SRF nº 682, de 4 de outubro de 2006DOU de 5.10.2006

Dispõe sobre a auditoria de sistemas informatizados de controle aduaneiro, estabelecidos para os recintos alfandegados e para os beneficiários de regimes aduaneiros especiais.

http://www.receita.fazenda.gov.br/Legislacao/Ins/2006/in6822006.htm


Legislação Envolvida a Nível Mundial

• Japão: implementar diretrizes visando obter os objetivos ate 2009:

• Governo Central – melhorar as normas de segurança da informação para o melhor nível mundial – decisão feita em 13/12/2005 por ISPC;

• Governo Local – promover auditorias de segurança da informação e sistemas de trocas de informação com governos locais;

• Infraestrutura Critica – trabalhar para reduzir as falhas de infraestrutura critica de TI o mais perto possível de zero;

• Negócios - melhorar as medidas de segurança da informação nos negócios para o melhor nível mundial ate FY 2009;

• Indivíduos - trabalhar para reduzir o numero de indivíduos que sentem-se inseguros usando TI o mais perto possível de zero.


ISMS in ASIA.pdf


overview_eng.pdf


Objetivos dos Controles para o Sistema de Gestão conforme a ISO/IEC 27001- Anexo A

Política

de Segurança

Segurança Física e do Ambiente

Gestão das Operações e Comunicaçõe

s

Organizando a

Segurança da

Informação

Gestão dos Ativos

Aquisição, Desenvolvimento

Manutenção

Gestão da Continuidade do Negocio

Gestão de Incidentes

Segurança em Recursos Humanos

Conformidade

Controle de

Acessos


AVALIAÇÃO DE RISCOATIVOS DE

INFORMAÇÃO

Ativo Localização Ameaça Vulnerabilidades Impacto ProbabilidadeNivel

de RISCO

Banco de Dados do Cliente

vendasfuncionário com

má intençãosenha conhecida por

todosperda de

informaçãomédia alto

Manual de Gestão da Segurança da Informação

TIfuncionário com

má intenção

documento disponível para

todos

perda de informação

baixa baixo

Formulário para impressão do material do

clienteestoque erro humano

estoque desorganizado, sem

controle

perda imagem

perda financeira

média medio

imprimir informações de um

cliente em formulário de outro

cliente

baixo baixo


DECLARAÇÃO DE APLICABILIDADE

NBR ISO/IEC 27001 - ANEXO A

Cláusulas Objetivos de Controle Controles

APLICABILIDADE Documento JUSTIFICATIVA (CASO DE NÃO

APLICABILIDADE)

7 - Gestão de

ativos

7.1-Responsabilidade

pelos ativos

7.1.1Inventário dos

ativos SIM D2 - Diretriz de

Classificação da

Informação

NA

7.1.2Proprietário dos

ativos

SIM

7.1.3Uso aceitável dos

ativos

SIM

7.2-Classificação da informação

7.2.1

Recomendações para classificação

SIM

7.2.2

Rótulos e tratamento da informação

NÃO NA As informações descartadas são

cortadas por guilhotinas


Benefícios de um Sistema deGestão de Segurança da Informação

através do item 4.2.1• Formalização de um inventário dos ativos da Organização

– Descoberta dos ativos com seu valor e risco• Formalização de um plano de análise e tratamento de risco

– Isto visa assegurar a sobrevivência da mesma e a sistematização da Análise dos Riscos envolvidos com perdas/ vazamentos de informações sensíveis - Democratização dos Riscos na Organização

• Formalização da “Declaração de Aplicabilidade” – Manter a memória do Planejamento da Aplicação dos Controles do SGSI


Benefícios de um Sistema deGestão de Segurança da Informação

• Desenvolvimento da conscientização das pessoas

• Monitoramento e aperfeiçoamento contínuo da Gestão da Segurança da Informação

• Declaração de conformidade por terceira parte conferindo maior credibilidade na comunicação externa

• Construção de confiança nas relações com as partes interessadas e parceiros do negócio

• Prevenir perdas relacionadas a segurança da informação (no Brasil em 2005 se estimam em R$ 300 milhões, as fraudes pela Internet – Fonte Livro Implantando a Governança de TI – Aragon/Ferraz)

• Criar e alavancar novas oportunidades de negócio por gerar confiança, segurança e privacidade


• Definir o escopo do sistema• Definir a política do sistema• Definir a abordagem da análise• Identificar as interfaces envolvidas• Identificar, analisar e documentar: ISO 27 – Riscos envolvidos; ISO 20 - SLA’s envolvidos

• Implementar e gerenciar: ISO 27 – Declaração de Aplicabilidade e Plano de Gestão de Riscos; ISO 20 - o SIP (service improvement activities plan)

• Definir regras de tratamento, monitoração e controle

Implementação do SG


Ciclo de Planejamento & Controleda Gestão do SG

Política do Sistema de Gestão (Política Corporativa)

Critérios para classificação dos riscos e da avaliação dos controles e objetivos

relevantes

Identificação, analise, avaliação, opções para o

tratamento dos riscos considerados impactantes para o Sistema de Gestão

Seleção dos objetivos e controles

para o tratamento dos riscos

Identificação dos requisitos legais e outros requisitos

críticos

Definição dos Focos-ISO 27 – Declaracao

de Aplicabilidade;-ISO 20 SLAs e dos níveis de serviço de

suporte e do SPI

Avaliação dos temas relevantes

para o SG

Análise Crítica pela Direção

P

DC

AObjetivos & Indicadores• ………• ………

Resultados• Monitoramento & medição• Auditorias internas• Não-Conformidades (Incidentes)

• Ações corretivas e preventivas


Etapas do Processo para CertificaçãoInformação paraa Organização

Registro paraA Certificação

Definição dasDatas

Auditoria deAvaliação da Conformidade

Diliberação daCertificação

Emissão do Certificado

Auditorias anuais de supervisão

Renovaçãoa cada 3 anos


Fundação Carlos Alberto Vanzolini Departamento de Certificação

Rua Camburiú n- 255 05058- 020 - São Paulo, SP

OCS- 0001 PABX : ++ 55 11 3836-6566 FAX : ++ 55 11 3832-2070

http://www.vanzolini.org.br

[email protected]

O autor autoriza a utilização didática de todo o material contido nesta apresentação, desde que informada a fonte e O autor autoriza a utilização didática de todo o material contido nesta apresentação, desde que informada a fonte e mantidas as referências. A utilização comercial, inclusive cursos mantidas as referências. A utilização comercial, inclusive cursos in companyin company , depende de autorização escrita do autor. , depende de autorização escrita do autor.

A lei do direito autoral pune a reprodução de obra intelectual, por qualquer meio, no todo ou em parte, sem autorização A lei do direito autoral pune a reprodução de obra intelectual, por qualquer meio, no todo ou em parte, sem autorização do autor ou de quem o represente (art. 184). Cumprir a lei é um dever de cidadania, do autor ou de quem o represente (art. 184). Cumprir a lei é um dever de cidadania,

respeite o direito do autor. Associação Brasileira de Direitos Reprográficos - www.abdr.org.brrespeite o direito do autor. Associação Brasileira de Direitos Reprográficos - www.abdr.org.br


• Ativos de Informação (Banco de Dados, Formulários, Planilhas);

• Ativos Físicos (Hardware, Equipamentos de Energia, Links de Comunicação);

• Ativos de Software ( Aplicativos, Antivírus, Ambientes);

• Ativos Intangíveis ( Imagem, Procedimentos);• Colaboradores envolvidos.

Exemplos de Ativos na Avaliação de Riscos


• Gestão de Mudanças;• Segurança em Processos de

Desenvolvimento e de Suporte;• Gestão de Incidentes de Segurança da

Informação;• Gestão de Vulnerabilidade Técnica;• Gestão da Continuidade do Negócio;• Conformidade ( Requisitos Legais, Normas e

Políticas de Segurança);

Exemplos de Controles Típicos Aplicáveis


Benefícios de um Sistema deGestão de Serviços de TI

• Criar e alavancar novas oportunidades de negócio por gerar confiança, segurança e privacidade

• Melhor qualidade no serviço, com um suporte mais confiável. • Segurança e confiança da continuidade dos serviços de TI, aumentando a habilidade para restaurar

os serviços quando houver necessidade. • Visão mais clara da capacidade atual. • Fornecimento de informações gerenciais para acompanhamento de desempenho, possibilitando

traçar melhorias. • Equipe de TI mais motivada: sabendo a carga de trabalho é possível gerenciar melhor as

expectativas. • Maior satisfação para os clientes e usuários, entregando o serviço com mais qualidade e rapidez. • (Em alguns casos) Redução de custos: a partir do melhor planejamento e controle dos processos

internos é possível otimizar os custos operacionais. • Maior agilidade e segurança para realizar as mudanças propostas pelo negócio. Com processos

definidos e controlados é mais fácil implementar várias mudanças simultaneamente. • Declaração de conformidade por terceira parte conferindo maior credibilidade na comunicação

externa• Construção de confiança nas relações com as partes interessadas e parceiros do negócio • Prevenir perdas relacionadas a Gestão de serviços de TI


• Estude a norma, defina os objetivos, entenda os custos e benefícios e obtenha o aval da Direção;

• Defina o escopo. O que está dentro e o que está fora incluindo áreas, equipamentos;

• Defina a política formal do SG;• Defina a sistemática de funcionamento dos Planos;• Analise os riscos para a segurança da informação e os

correspondentes objetivos de controle;• Faça um diagnostico da situação atual e monte o plano de

implementação;• Implemente o plano, prepare e exercite planos de contingência;• Realize auditorias e análises críticas da administração;

GUIA para a Certificação


Fatores Críticos de Sucesso

• Política de Segurança, objetivos e atividades que reflitam os objetivos de

negócio;

• Um enfoque para a implementação dos objetivos que seja consistente

com a cultura organizacional;

• Comprometimento e apoio visível da direção;

• Um bom entendimento dos requisitos de definidos nos controles e

planos;

• Divulgação e medição eficiente das definições e dos controles;

• Proporcionar educação e treinamento adequados;

• Estabelecer um processo de gestão de incidentes e dos problemas do

serviço.

© fundação carlos alberto vanzolini – airton carlos gonzalez 1 1 – tel.: (11) 3814-7366 av....

Documents