implementação de sgsi [impressão]

www.shieldsaas.com

IMPLEMENTAÇÃO DE SGSI

Processos da gestão de SI

Formação de equipe de SI

Questões normativas

Startup de área de SI

Tecnologias específicas

Segurança de rede

Gestão de projetos

Ataques e defesas

MAS O QUE É UM SGSI?

Sistema

Gestão

Segurança

Informação

A organização deve estabelecer, implementar, operar,

monitorar, analisar criticamente, manter e melhorar um

SGSI documentado dentro do contexto das atividades de

negócio globais da organização e os riscos que ela enfrenta. ABNT NBR ISO/IEC 27001

• Fase 4 – Validação das ações implantadas

• Fase 5 – Implantação de processos de manutenção

• Fase 3 – Implantação das ações definidas

• Fase 1 – “Quick scan” inicial

• Fase 2 – Identificação de “gaps” e planos de ação

Planejamento

(Plan)

Execução

Validação

(Check)

Acompanha-mento

Planejamento

(Plan)

Execução

Validação

(Check)

Acompanha-mento

Estabelecer a política, objetivos, processos e

procedimentos do SGSI, relevantes para a gestão

de riscos e a melhoria da segurança da informação

para produzir resultados de acordo com as políticas

e objetivos globais de uma organização.

•Mapear as áreas e responsáveis;

•Reunião de identificação dos processos críticos;

•Absorver cultura;

•Fechar escopo de atuação;

•Definir grupo multidisciplinar;

•Analisar e avaliar os riscos operacionais e de

ambiente;

•Identificar controles e avaliar sua efetividade;

•Avaliar documentação;

•Avaliar maturidade em SI;

•Definir planos de atuação.

Implementar e operar a política, controles, processos e

procedimentos do SGSI.

•Elaborar cronograma de implantação de controles e

procedimentos;

•Executar subprojetos de segurança;

•Elaborar documentação normativa de suporte aos subprocessos;

•Validar documentação elaborada; e

•Identificar potenciais controles.

Avaliar e, quando aplicável, medir o

desempenho de um processo frente à política,

objetivos e experiência prática do SGSI e

apresentar os resultados para a análise crítica

pela direção.

• Validar controles identificados;

• Fazer todos os processos de auditoria

(execução, validação, emissão de

relatórios);

• Executar avaliação de maturidade e

comparar com a avaliação inicial;

• Apresentar avaliação dos controles.

Executar as ações corretivas e

preventivas, com base nos resultados

da auditoria interna do SGSI e da

análise crítica pela direção ou outra

informação pertinente, para alcançar a

melhoria contínua do SGSI.

• Validar controles identificados;

• Executar processo de auditoria de validação

das atividades e subprojetos;

• Emitir relatório de auditoria;

• Apresentar resultado de auditoria;

• Executar avaliação de maturidade e comparar

com o resultado obtido na Fase 2; e

• Apresentar avaliação dos controles.

MAS ESSAS ATIVIDADES SÃO...COMUNS

O QUE DIFERENCIA?

Processo 1

Processo 2

Processo 3

Processo n

Processo 1

Processo 2

Processo 3

Processo n

Negócio

nos seus objetivos e no que o suporta

Controles Processos/procedimentos

Presidência

Financeiro RH TI

Produto Marketing

Presidência

Financeiro RH TI SI Produto Marketing

OK! MAS ESTAMOS FALANDO DE SEGURANÇA DA INFORMAÇÃO

Segurança da informação

• Inerente ao ativo

• Relacionado à fragilidades Vulnerabilidade

• Normalmente externo ao ativo

• Normalmente requer um agente Ameaça

• Grau de exposição de um ativo a uma ameaça

• Dá suporte aos gestores Risco

Reter ou aceitar

Uma forma de tratamento

de risco na qual a alta

administração decide

realizar a atividade,

assumindo as

responsabilidades caso

ocorra o risco identificado

Reter ou aceitar Transferir ou

Uma forma de tratamento

de risco na qual a alta

administração decide

realizar a atividade,

compartilhando com outra

entidade o ônus

associado a um risco

Reter ou aceitar Transferir ou

Tratar ou mitigar

Processo e implementação de

ações de segurança da

informação e comunicações

para evitar, reduzir, reter ou

transferir um risco

Reter ou aceitar

Reduzir ou evitar

Transferir ou

Tratar ou mitigar

Uma forma de tratamento de

risco na qual a alta

administração decide realizar a

atividade, adotando ações para

reduzir a probabilidade, as

consequências negativas, ou

ambas, associadas a um risco

Reter ou aceitar

Reduzir ou evitar

Transferir ou

Tratar ou mitigar

MAS A DEFINIÇÃO DE RISCOS É COMPLEXA...

O QUE PODE SER USADO COMO GUIA?

ISO/IEC27005

BS25999

Basiléia II

Resoluções Normativas

Decretos e leis

ISO31000

ISO/IEC27005

BS25999

Basiléia II

Decretos e leis

ISO31000

ISO/IEC27005

BS25999

Basiléia II

Decretos e leis

ISO31000

CVM SUSEP

ISO/IEC27005

BS25999

Basiléia II

Decretos e leis

ISO31000

ISO/IEC27005

BS25999

Basiléia II

Decretos e leis

ISO31000

SUSEP ISO/IEC27005

BS25999

Basiléia II Resoluções Normativas

Decretos e leis

ISO31000

ISO/IEC27005

BS25999

Basiléia II

Decretos e leis

ISO31000

ISO/IEC27005

BS25999

Basiléia II

Decretos e leis

ISO31000

Normas

Resoluções

Regulamentações

Boas práticas de mercado

OBRIGATÓRIAS PARA TODOS!

OBRIGATÓRIAS POR NICHO

E QUEM FAZ ISSO TUDO?

Estratégico

Arquiteto de SI Arquiteto de SI

ISO ISM

Analistas e

especialistas

Tático

Operacional

Estratégico

ISO ISM

Analistas e

especialistas

Tático

Operacional

Analistas e

especialistas

BEM, VAMOS RESUMIR...

Obter suporte executivo

Identificar o estado atual

Traçar objetivos alcançáveis

Subdividir em projetos curtos

Aplicar pontos de validação periódica

Usar embasamento normativo adequado

Considerar o Risco para o negócio

Considerar a estrutura da

organização como ponto de força

Revise periodicamente o

que você vem fazendo

Obter suporte executivo

Identificar o estado atual

Traçar objetivos alcançáveis

Subdividir em projetos curtos

Aplicar pontos de validação periódica

Usar embasamento normativo adequado

Considerar o Risco para o negócio

Considerar a estrutura da

organização como ponto de força

Revise periodicamente o

que você vem fazendo

Obrigado

comercial@ShieldSaaS.com

web: www.ShieldSaaS.com | twitter: @ShieldSaaS

implementação de sgsi [impressão]

Technology

impressão brasil

segurança da informação aula 10 – sgsi – iso 27001 e...

iso27001 sgsi

impressÃo - graficos.org.br

jornal impressão

dissertação impressão

segurança da informação aula 10 – sgsi – iso 27001...

turminha2 impressão

princípios da impressão · 2016-03-31 · pré-impressão...

gestão de riscos -...

fortunato antónio andré - repositorium.sdum.uminho.pt ·...

processos de impressão matrizesap_impress_matrizes.pdf ·...

este manual orienta a utilização dos aplicativos sgsi...

desenvolvimento de um sistema de gerenciamento … · a...

impressão grafica

aula impressão

a nova forma de imprimir, inovação para mais inteligentes...

vintage impressão

impressÃo - boletim - trimestre 4...por pilotos. mesmo...

apresentacao impressão