daryus segurança da informação: práticas de gestão de risco da iso 27001:2013 com o realisms

Claudio Dodt, ISMAS, CISSP, CISA, ISO 27001 Lead Auditor

Business Continuity & Security Senior Consultant

Sócio-Gerente

claudio.dodt@daryus.com.br www.daryus.com.br claudiododt.com

www.twitter.com/daryusbr www.twitter.com/cdodt www.facebook.com/claudiododtcom

Iluminando mentes,

capacitando profissionais

e protegendo negócios.

Segurança da Informação:

Práticas de Gestão de Risco da ISO

27001:2013 com o RealISMS.

Bem-vindo ao Circuito de Palestras EXIN 2014 Conheça o novo Portfólio EXIN:

AGENDA

DARYUS

A norma ISO 27001

Uma visão holística

O processo de Gestão de Riscos de

Segurança da Informação

Como vemos Segurança da Informação?

Práticas com o RealISMS

Perguntas

•O Strategic Risk Consulting não está apenas no nome, é fato.

•Nascemos em 2006 com o objetivo de popularizar as práticas de gestão de riscos

pervasivas aos processos de gestão empresarial.

•Entendemos que práticas de segurança, continuidade, riscos, conformidade e

governança de TIC são partes fundamentais da gestão moderna e não

complementos.

•A capacitação contínua das pessoas, a revisão continua dos processos, controles

para mitigar riscos e as certificações nas normas ISO são fatores de sucesso e

amadurecimento empresarial que acreditamos.

• DARYUS = Uma consultoria, uma escola de negócios e duas empresas de

tecnologias que agregam valor, reduzem custos e minimizam riscos.

Quem somos:

Nossas unidades

• Continuidade de Negócios

• Segurança da Informação

• Gestão de Processos de Negócios

• Governança, Risco e Conformidade

Nossos serviços:

Objetivo: Esta norma foi preparada para fornecer os

requisitos para estabelecer, implementar, manter e melhorar

continuamente um Sistema de Gestão de Segurança da

Informação.

Objetivo: Prover um modelo para estabelecer, implementar,

operar, monitorar, analisar criticamente, manter e melhorar

um Sistema de Gestão de Segurança da Informação

(SGSI).

A norma ISO 27001

27001:2005

A 27000 é a principal família de normas de Segurança da Informação aceitas

internacionalmente;

Aplicável a qualquer organização, independentemente de tamanho ou

segmento;

Base para uma certificação, mas pode ser usada mesmo sem esse objetivo.

Objetivo: Esta norma foi preparada para fornecer os

requisitos para estabelecer, implementar, manter e melhorar

continuamente um Sistema de Gestão de Segurança da

Informação.

A norma ISO 27001

Atualizada em 25 de Setembro de 2013;

Update foi baseado na experiência de usuários que buscavam certificação;

Objetivo principal é simplificar a abordagem e proporcionar melhorias na

gestão de riscos.

É possível baixar gratuitamente a ISO 27000:2012 (vocabulário) aqui:

http://dary.us/1adqpM1 (em inglês)

27001:2013

Uma visão holística

Essa é a visão da ISO 27001

O processo de Gestão de Riscos de SegInfo

DEFINIÇÃO DO CONTEXTO

ANÁLISE / AVALIAÇÃO DE RISCOS

ANÁLISE DE RISCOS

IDENTIFICAÇÃO DE RISCOS

ESTIMATIVA DE RISCOS

AVALIAÇÃO DE RISCOS

PONTO DE DECISÃO 1

Avaliação Satisfatória Não

TRATAMENTO DO RISCO

ACEITAÇÃO DO RISCO

Sim

Sim

PONTO DE DECISÃO 2

Tratamento Satisfatório

MO

NIT

OR

AM

EN

TO

E A

NÁ

LIS

E C

RÍT

ICA

DE

RIS

CO

S

CO

MU

NIC

AÇ

ÃO

DO

RIS

CO

Não

Processo de Gestão de Riscos ISO 27005:2011

•O objetivo é reduzir o risco a um

nível aceitável e não extinguir o

risco.

Processo

do SGSI

Processo de gestão de riscos de SI

Planejar • Definição do contexto

• Análise/avaliação de riscos

• Definição do plano de tratamento do risco

• Aceitação do risco

Executar • Implementação do plano de tratamento do

risco

Verificar • Monitoramento contínuo e análise crítica de

riscos

Agir • Manter e melhorar o processo de Gestão

de Riscos de Segurança da Informação

Plano para identificar a ação de gestão apropriada,

recursos, responsabilidades e prioridades para a gestão

dos riscos de segurança

PLANO DE

TRATAMENTO DE

RISCOS

Todos os controles planejados devem ser incluídos em um

Plano de Tratamento de Riscos.

O objetivo do tratamento de riscos não é a eliminação completa

e sim diminuir o nível de risco para um patamar tido como

aceitável.

Controles que não são justificáveis do ponto de vista do negócio

não devem ser implementados.

O processo de Gestão de Riscos de SegInfo

PLANO DE

TRATAMENTO DE

RISCOS

Resultado da Avaliação de

Riscos

Tratamento do Risco

Opções de Tratamento

Reter

Risco Residual

Reduzir Evitar Transferir

O processo de Gestão de Riscos de SegInfo

Opções de Tratamento

Reter

Reduzir

Evitar

Transferir

Aplicação de um controle para que o Risco seja reavaliado como aceitável.

Caso o Risco atenda os critérios para aceitação o mesmo poderá ser retido.

O Risco pode ser evitado através da eliminação da atividade ou processo de

negócio ou de uma mudança significativa no ambiente (e.g. mudar um

Datacenter de localidade)

O Risco pode ser transferido para uma outra entidade (e.g. Contratação de um

seguro, terceirizar). É importante lembrar que não se pode transferir

completamente a responsabilidade pela segurança da informação.

O processo de Gestão de Riscos de SegInfo

Como vemos SegInfo?

Confidencialidade

Integridade Disponibilidade

Segurança da

Informação

Pessoas Processos Tecnologia

Miopia do Iceberg

Tecnologia

Tecnologia é...

...a mera ponta...

...do iceberg.

Tecnologia

Processos

Pessoas

Miopia do Iceberg

• Investimento inteligente

• Padrões Testados

• Visão Estratégica

• Formalização

• Seleção

• Capacitação

• Reciclagem

• Conscientização

• Suporte completo a biblioteca de riscos e

controles da ISO 27001;

• Mapeamento de Ativos de Informação;

• Identificação e Tratamento de Riscos;

• Controle de Documentos, Normas,

Procedimentos;

• Gestão de Incidentes de Segurança.

Práticas com o RealISMS

real ISMS

Act Plan Do Check

Análise/Avaliação

de Gap/Riscos

Plano de

Tratamento dos

riscos

Avaliação e

Tratamento de

riscos

Treinamento e

conscientização

Definição do

escopo

Auditorias

internas

Métricas e

indicadores do

SGSI

Identificação de não-

conformidades

Tratamento de

não-

conformidades

Apoio na

auditoria de 3ª.

parte

Declaração de

aplicabilidade

Metodologia DARYUS para Atendimento aos

requisitos da ISO 27001 real ISMS

Práticas com o RealISMS

Dashboard Sumário da Gestão de Riscos

Práticas com o RealISMS

Matriz de Risco com 5 níveis

Nível de Risco por:

Dashboard Sumário da Gestão de Riscos

Muito Baixo Baixo Médio Alto Muito Alto

Área

Processo

Ativo

Práticas com o RealISMS

Práticas com o RealISMS

Gestão dos Riscos

Área Processo Ativo Risco Controle

Práticas com o RealISMS

Área Processo Ativo Risco Controle

Práticas com o RealISMS

Área Processo Ativo Risco Controle

Práticas com o RealISMS

Área Processo Ativo Risco Controle

Práticas com o RealISMS

Área Processo Ativo Risco Controle

Práticas com o RealISMS

Risco Potencial

25 Muito Alto

Área Processo Ativo Risco Controle

Práticas com o RealISMS

Uma das

opções é

reduzir o nível

de Risco com

Controles de

Segurança

Área Processo Ativo Risco Controle

Práticas com o RealISMS

Risco Potencial

25 Muito Alto

Risco Residual

14 Alto

3 Muito Baixo

Área Processo Ativo Risco Controle

Práticas com o RealISMS

Risco Reduzido

Práticas com o RealISMS

Controles de

Segurança

diretamente

alinhados as

melhores práticas,

criando o RTP

Plano de Tratamento

de Riscos

Visão Geral dos Controles

Práticas com o RealISMS

Relatórios Detalhados

Práticas com o RealISMS

Vamos iniciar a sessão de PERGUNTAS. Utilize a

ferramenta do chat (para digitar) ou do hands on (para

pedir acesso e perguntar diretamente ao palestrante.

Perguntas?

Calendário Cursos

ISFS - ISO 27002 Foundation - Segurança da Informação: conceitos e

fundamentos

São Paulo - 16 a 17/04/2014 – diurno

Brasília - 06 a 07/05/2014 – diurno

Fortaleza - 22 a 25/04/2014 – noturno

ISMAS - ISO 27002 Advanced - Segurança da Informação: gerenciamento

avançado

São Paulo - 21 a 23/05/2014 – diurno

Brasília - 21 a 23/05/2014 – diurno

Fortaleza - 21 a 23/05/2014 – diurno

ITIL ® Foundation - Gerenciamento de Serviços de TI

Fortaleza - 12 a 16/05/2014 – diurno

* Válido até 15/05/2014

Claudio Dodt, ISMAS, CISSP Business Continuity & Security Senior Consultant

claudio.dodt@daryus.com.br

http://www.daryus.com.br

http://claudiododt.com

http://www.facebook.com/claudiododtcom

http://www.linkedin.com/profile/view?id=15394059

Obrigado!

ACESSO AO MATERIAL

• Vamos Vamos disponibilizar o link com Cópia desta apresentação

+ Certificado de Participação para todos que responderem

nossa pesquisa de satisfação e nos ajudarem a aprimorar nossas

futuras ações (acesso imediato ao de desconectar da sessão ao final

da apresentação).

• Você também pode acessar nosso canal do YouTube e Slide Share

para ter acesso a todas as apresentações realizadas em 2012 e 2013.

• Mais Informações?

Milena Andrade

Regional Manager

Milena.andrade@exin.com

www.exin.com