desafios e benefícios na implementação de modelos de ... · iso/iec 27002:2005 código de boas...
TRANSCRIPT
“Desafios e benefícios na implementação de
modelos de segurança da informação”
“ Tecnologias de Informação - A Segurança da Certificação”ISEGI – UNIVERSIDADE NOVA LISBOA
Lisboa, 24 de Outubro de 2008
Agenda
Porquê adoptar um modelo de Segurança da Informação
Objectivos de um SGSI (*)
Benefícios de um SGSI
Desafios na implementação de um SGSI
A Sinfic
2
(*) SGSI – Sistema de Gestão
de Segurança da Informação
Porquê adoptar um modelo de segurança da
informação?
Por requisitos de Clientes / Estado / Accionistas
Requisitos contratuais, legais, de gestão
Para demonstração a parceiros
Do compromisso na Segurança da InformaçãoDo compromisso na Segurança da Informação
Como ferramenta de Marketing
Como vantagem competitiva face à concorrência
Como ferramenta interna de gestão
Para controlo e confiança
Informação – a base do negócio!
Estados (defesa nacional)
Bancos (valor patrimonial de clientes)
Software houses (código fonte)
Saúde (registos clínicos)
Modelos financeiros (estratégias de negócio)
Autoridades policiais (registo de infracções)
...
Além das pessoas…
Normas internacionais em
Segurança da Informação
ISO 27002:2005
Código de Boas Práticas
para Gestão da
Segurança da
ISO 27002:2005
Código de Boas Práticas
para Gestão da
Segurança da
ISO 27001:2005
Requisitos para um
Sistema de Gestão de
ISO 27001:2005
Requisitos para um
Sistema de Gestão de Segurança da
Informação
(ISO 17799:2005)
Segurança da
Informação
(ISO 17799:2005)
Sistema de Gestão de
Segurança da
Informação
Sistema de Gestão de
Segurança da
Informação
ISO 27001
‘Informação é um activo que, como outros importantes activos de negócio, tem valor para a organização e consequentemente necessita de ser adequadamente protegida’
IT03/Issue6-S/Jan2007(Português) 7
ISO/IEC 27002:2005
Código de boas práticas para a gestão da segurança da informação
Para utilização como documento de referência
Possui um conjunto compreensivo de controlos de segurança
As melhores práticas de segurança actuais, em utilização
Possui 11 secções de controlo
Não é utilizado para análise (auditoria) e/ou certificação
IT03/Issue6-S/Jan2007(Português) 8
Não é utilizado para análise (auditoria) e/ou certificação
ex ISO/IEC 17799:2005
ISO/IEC 27001:2005
Especificação para Sistemas de Gestão de Segurança da Informação
Especifica os requisitos para o estabelecimento, implementação e documentação de um Sistema de Gestão de Segurança da Informação (ISMS *)
Especifica os requisitos para os controlos de segurança a serem implementados de acordo com as necessidades individuais das
IT03/Issue6-S/Jan2007(Português) 9
implementados de acordo com as necessidades individuais das organizações
(*) ISMS - Information Security Management System
Os três componentes básicos da Segurança da
Informação
Confidencialidade
Integridade
Disponibilidade CIACIAConfidentiality
Integrity
Availability
Confidencialidade
Garantir de que a informação apenas se encontra disponível para quem está autorizado a acedê-la
11
Disponibilidade / Acessibilidade
Garantir que as pessoas autorizadas a aceder à informação podem fazê-lo sempre que necessário e em tempo útil.
13
FUNDAMENTAL:
Segurança com flexibilidade operacional
Para algumas organizações, a disponibilidade pode ser mais importante que
a confidencialidade…
Negócio
Informação
Física(Faxes, contratos,
relatórios, manuais, ...)
Informação
Acústica(conversações
telefónicas, em público,
em reuniões, ...)
Informação
Lógica(registos electrónicos)
Desastres Naturais(Inundação, relâmpago,
tremor de terra, ...)
Falhas Técnicas(falha de comunicações,
falta de energia,
falha de equipamento, ...)
ISO
/IEC
IS
O/IE
C 2
7001:2
005
27001:2
005
Negócio
Informação
Intelectual(conhecimento)
Informação
Visual(Vídeo, fotografia,
video-conferência, ...)
Falhas Humanas(erros de manutenção,
erros de utilizadores,
falta de pessoal, ...)
Questões Sociais(greves,
atentados,
política, legislação...)
27001:2
005
27001:2
005
Benefícios de implantação de um modelo de
segurança da informação
Auxilia o aumento, contínuo, da qualidade da organização;
Proporciona capacidade de demonstração de elevada e apropriada base de segurança;
Estabelece e cimenta confiança mútua entre locais da organização e com entidades externas; da organização e com entidades externas;
Incrementa a habilidade para gerir e sobreviver a um desastre;
A adopção da 27001 possibilita endereçar a estrutura de um SGSI de uma forma prática, com custos eficazes, de forma realista e compreensiva;
Benefícios de implantação de um modelo de
segurança da informação
Conhecimento sobre a própria organização, seus processos, activos e dependências
Conhecimento e valorização dos seus activos, no contexto do negócio
Identificação de forças e fraquezas da organização, Identificação de forças e fraquezas da organização, face ao ambiente global que a rodeia
Conhecimento do RISCO a que a organização está exposta (ou não)!!!
Cria a maturidade para gerir, no tempo, de forma eficaz a capacidade de sobrevivência da organização
Abordagem por processos
Actividades chave
MétricasAlteração?
Responsabilidade
Actividades chaveInputs
Outputs
(Entregáveis)
Recursos Critérios Registos
Abordagem por processos
Dept. A Dept. BActividades chaveInputs
MétricasAlteração?
Responsabilidade
Outputs de Informação
• Auditoria
• Revisão
• Verificação
• Validação
• Medidas de produto
• Medidas do processo
Outputs
(Entregáveis)
Recursos Critérios Registos
• Pessoas
• Ambiente
• Equipamento
• Ferramentas
• Comunicações
• Serviços
• Outros
• Legislação
• Regulamentação
• Clientes
• Organização
Políticas
Normas
Procedimentos
• Recibos
• Ordens de Clientes
• Ordens de Vendas
Inputs de Informação
Deptº X
Deptº B Deptº CInputs OutputsDeptº A
Key activities
Inputs
(S.o.R.)
MeasureChange
?
Ownership
Key activities
Inputs
(S.o.R.)
MeasureChange
?
Ownership
Key activities
Inputs
(S.o.R.)
MeasureChange
?
Ownership
Detalhe de Processos Críticos da Organização
Outputs
(Deliverables)
Key activities
Resources Criteria Records
• Information inputs
• Information outputs
• Information Records
• Resources
- People
- Environment
- Equipment
- Tools
-Communications
-Services
- Other
• Legislation
• Regulation
• Customer
• Corporate
- Policies
- Standards
- Procedures
• Build Docket
• Receipts
• Customer Orders
• Sales invoice
Outputs
(Deliverables)
Key activities
Inputs
(S.o.R.)
MeasureChange
?
Resources Criteria Records
Ownership
• Information inputs
• Information outputs
• Information Records
• Resources
- People
- Environment
- Equipment
- Tools
-Communications
-Services
- Other
• Legislation
• Regulation
• Customer
• Corporate
- Policies
- Standards
- Procedures
• Build Docket
• Receipts
• Customer Orders
• Sales Invoice
Outputs
(Deliverables)
Key activities
Resources Criteria Records
• Information inputs
• Information outputs
• Information Records
• Resources
- People
- Environment
- Equipment
- Tools
-Communications
- Services
- Other
• Legislation
• Regulation
• Customer
• Corporate
- Policies
- Standards
- Procedures
• Build Docket
• Receipts
• Customer Orders
• Sales Invoice
Outputs
(Deliverables)
Key activities
Resources Criteria Records
• Information inputs
• Information outputs
• Information Records
• Resources
- People
- Environment
- Equipment
- Tools
-Communications
-Services
- Other
• Legislation
• Regulation
• Customer
• Corporate
- Policies
- Standards
- Procedures
• Build Docket
• Receipts
• Customer
•Customer Orders
• Sales Invoice
Activos…
Para a ISO 27001, como ‘activos’ não se incluem necessariamente todosaqueles que habitualmente se consideram como tendo “valor” para a organizaçãoorganização
IT03/Issue6-S/Jan2007(Português) 21
A organização tem que identificar quais os activos que podem materialmente afectar a entrega de seus produtos e/ou serviços, em caso de ausência ou degradação.
Utilização de modelo de gestão do risco
• Fonte do risco: item ou actividade que possui um potencial para a consequência.
Fonte do risco
Evento Consequência
• Fonte do risco: item ou actividade que possui um potencial para a consequência.
• Evento: ocorrência de um conjunto de circunstancias particulares.
• Consequência: resultado de um evento.
“Risco é a combinação da probabilidade de um evento e das suas consequências”
ISO IEC Guide 73:2002: Risk Management – Vocabulary
Adopção de modelo para Gestão de Riscos
Comunicar e Consultar
Diagnosticar
Esta
bele
cer
Conte
xto
Identificar
Ris
cos
Analis
ar
Ris
cos
Avalia
r
Ris
cos
Mitig
ar
Ris
cos
Contr
ola
r
Ris
cos
Monitorar e Rever
Esta
bele
cer
Conte
xto
Identificar
Ris
cos
Analis
ar
Ris
cos
Avalia
r
Ris
cos
Mitig
ar
Ris
cos
Contr
ola
r
Ris
cos
Riscos
Fonte: ISO 31000 - Risk management - Guidelines on principles and implementation of risk management
RiscoRisco
Relevância (1-5)Relacionadocom negócio
Probabilidade (1-5)
Impacto (1-5)
Risco = P x S x I
Relacionadocom controlos
Identificação das origens do Risco… nos activos
Objectivos ou
Processos de
negócio
Sistemas
25
Pessoas
Tecnologia
Ambientes fisicos
Processos
Gestão do risco e Gestão da conformidade
Ao gerir conformidades
(medindo & optimizando)
mitiga-se o risco…
Ao gerir conformidades
(medindo & optimizando)
mitiga-se o risco…
Paulo Coelho Gestão do Risco
Desafios na implementação de um modelo de
segurança da informação
A experiência vivida demonstra que os seguintes factores são habitualmente críticos para o sucesso na implementação de segurança da informação na organização:
IT03/Issue6-S/Jan2007(Português) 27
Desafios na implementação de um modelo de
segurança da informação
Os gestores de topo têm que ser vistos como empenhados (Responsabilidade nos processos)
É essencial que a Administração e Directores de 1ª linha demonstrem o seu empenho (através de decisões
para gestão do risco, por exemplo)
Estou empenhado!
para gestão do risco, por exemplo)
Desafios na implementação de um modelo de
segurança da informação
Política de Segurança, objectivos e actividades que espelhem os objectivos de negócio;
Uma aproximação à implementação de segurança que seja consistente com a cultura da organização;
Suporte e empenhamento visível da gestão de topo;
Desafios na implementação de um modelo de
segurança da informação
Um perfeito entendimento e conhecimento sobre requisitos de segurança, análise e gestão de riscos;
Marketing efectivo para todos os colaboradores da organização;
Distribuição do conceito de segurança da informação, políticas de segurança, normas e regulamentos a todos os colaboradores e contratados;políticas de segurança, normas e regulamentos a todos os colaboradores e contratados;
Desafios na implementação de um modelo de
segurança da informação
Providenciar treino e sensibilização de forma adequada e eficaz;
Um compreensivo e balanceado sistema de medição, utilizado para avaliar a eficácia da gestão de segurança da informação na resposta a sugestões de melhoria.
Desafios na implementação de um modelo de
segurança da informação
Documentação
Evidência de acçõesExecutadas para o estabelecer da metodologia de gestão
Sumário da metodologia de gestãoSumário da metodologia de gestãoIncluindo políticas, objectivos de controlo, controlos implementados e sumário desses controlos.
Desafios na implementação de um modelo de
segurança da informação
ProcedimentosPara implementar os controlos, descrevendo responsabilidades e acções
Para a gestão e operação do ISMS, descrevendo responsabilidades e acções
Para auditar e rever internamente o ISMSPara auditar e rever internamente o ISMS
A norma identifica 8 controlos como –
‘….. princípios guia que possibilitam um bom
começo para a implementação da segurança da
Controlos Chave
informação.’
‘Estes são baseados ou em requisitos legais
considerados essenciais ou em boas práticas
comuns para a protecção da informação.’
Controlos com implicações legais
Direitos de Propriedade Intelectual
Salvaguarda de Registos da Organização
Protecção e Privacidade de Dados
Controlos de Boas Práticas
Documento “Política de Segurança da Informação”
Atribuição de responsabilidades em matéria de Segurança da Informação
Formação, sensibilização e treino em Formação, sensibilização e treino em Segurança da Informação
Procedimento para registo de incidentes de segurança
Modelo de gestão para a continuidade de negócio
Ganhar as pessoas!
� As organizações são as pessoas:São as pessoas que formam, gerem, mantém vivas e em constante evolução as organizações
São também as pessoas que necessitam de informação para suportar as suas decisões quer a nível pessoal, quer a nível organizacionala nível pessoal, quer a nível organizacional
São as pessoas que sabem como criar, processar, armazenar, destruir, comunicar, proteger, etc. a informação de que necessitam
Mas são também as pessoas que a podem colocar em risco as próprias organizações a que pertencem!
O elemento humano !!!
O sucesso de um sistema de gestão de segurança da informação depende do envolvimento e motivação dos colaboradores das diferentes áreas ou departamentos da organização!
Princípios de excelência
BS
25999
BS
ISO
/IEC
20000-
BS ISO/IEC
27001
??
27000 27004
ISO IECNP
BS
BS
25999
BS
ISO
/IEC
20000-
BS ISO/IEC
27001
??
27000 27004
ISO IECNP
BS
25999-2
BS
ISO
/IEC
-1BS ISO/IEC
17799
NP/EN BS ISO
9001
BS
25999-1
BS
ISO
/IEC
20000-2
27000
27003
27004
27005…
TRNZ
BS ISO
15489BS ISO/IEC TR
13335
25999-2
BS
ISO
/IEC
-1BS ISO/IEC
17799
NP/EN BS ISO
9001
BS
25999-1
BS
ISO
/IEC
20000-2
27000
27003
27004
27005…
TRNZ
BS ISO
15489BS ISO/IEC TR
13335
Se a Se a informaçãoinformaçãonãonão estáestásegurasegura,,
o o futurofuturo estáestá Informaçãoo o futurofuturo estáestáemem riscorisco! !
Pessoas
INTEGRIDADEINTEGRIDADE
Informação
Contexto empresarial baseado na
FORÇA E CAPACIDADE EMPREENDEDORA
CNSFORMAÇÃO, CONSULTORIA DE GESTÃO, ORDENAMENTO DO TERRITÓRIO ESTUDOS,
SINFICSTRATEGIC IT CONSULTANCY CORPORATE PERFORMANCE MANAGEMENTSYSTEMS DEVELOPMENT & INTEGRATIONIT OUTSOURCING & MANAGEMENT
SINFIC SA (sociedade direito Português)SINFIC SARL (sociedade direito Angolano)SINFIC LDA (sociedade direito Moçambicano)
3 paísesAngola,
Moçambique,
Portugal
30 cidadesLisboa, Porto, Aveiro,
Marinha Grande, Agueda, Castelo
Branco, Coimbra,
Ponte de Lima, Pombal, Faro,
Setúbal, Vila da Feira, Loulé, Leiria,
Alcobaça, Casal de Cambra, Porto
Alto, Funchal, Luanda, Lobito,
Benguela, Huila, Ondigiva,
Grandola, Kahama, Xangongo,
Maputo
INOVASistemas de Gestão da Qualidade.DiagnósticosReengenhariaModernização Administrativa
Devido à sua estrutura a SINFIC assegura uma gestão de competências
orientada à excelência e uma capacidade de resposta completa
Business and Process Modeling Enterprise Customer
Relationship Management
Information Systems Architecture
Infrastructure and Networking
Enterprise Resource Planning
Maintenance Management
Knowledge Management
Software System Quality
Architecture Integration
Document Management
Internet Development
Orientação a
referênciais:ISO 9001
CMM e CMMiISO 27001
Planos de Desenvolvimento Estratégico
Sistemas de Informaçao Geográfica
Geografia, Topografia e cadastro
Gestão Integrada do Território
Planeamento do Território
A SINFIC assenta o seu modelo de gestão numa rede de unidades
estratégicas de negócio autónomas, especializadas em
competências específicas: quer tecnológicas, quer de serviços.
Acreditamos que esta é a melhor forma de responder às
exigências dos mercados, dos clientes, dos parceiros e
colaboradores.
Internet Development
Software Engineering
Content Management
Change Management
Information Security
Business Intelligence
Data warehousing
Corporate Portals
Data Quality
Web Design
Data Mining
E-Business
E-Learning
Capacidade Técnica reconhecida:IBM Premium partner
MSFT Gold PartnerOracle Certified Partner
CA PartnerESRI
SAP Business PartnerSAP Service Center
Fujitsu…
ISO 27001BS 25999
COSOCOBIT
ITILTOGAF,
…
Planeamento do Território
Planos Directores
Planos de Urbanismo
Planos de Promenor
Parcerias
O conjunto de alianças com os leaders mundiais trouxeram à SINFIC a capacidade de apresentar e implementar as e implementar as melhores soluções do Mercado
SINFIC S.A.
Estrada da Ponte, nº2
Quinta Grande – Alfragide
2610-141 Amadora
Portugal
SINFIC S.A.R.L.
Rua Ndunduma, 189
Miramar
Luanda
Angola
SINFIC Lda.
Av. Olof Palme, nº 358-1º
Maputo
Moçambique
“ Tecnologias de Informação - A Segurança da Certificação”ISEGI – UNIVERSIDADE NOVA LISBOA
Lisboa, 24 de Outubro de 2008
Tel: (+351) 21 010 39 00Fax: (+351) 21 010 39 99
Tel: (+244) 222 399 690Fax: (+244) 222 399 689
Tel: (+258) 21 328 182Fax: (+258) 21 328 182
www.sinfic.com e-mail: [email protected]
Fernando Fevereiro Mendes