“Desafios e benefícios na implementação de

modelos de segurança da informação”

“ Tecnologias de Informação - A Segurança da Certificação”ISEGI – UNIVERSIDADE NOVA LISBOA

Lisboa, 24 de Outubro de 2008

Agenda

Porquê adoptar um modelo de Segurança da Informação

Objectivos de um SGSI (*)

Benefícios de um SGSI

Desafios na implementação de um SGSI

A Sinfic

2

(*) SGSI – Sistema de Gestão

de Segurança da Informação

Porquê adoptar um modelo de segurança da

informação?

Por requisitos de Clientes / Estado / Accionistas

Requisitos contratuais, legais, de gestão

Para demonstração a parceiros

Do compromisso na Segurança da InformaçãoDo compromisso na Segurança da Informação

Como ferramenta de Marketing

Como vantagem competitiva face à concorrência

Como ferramenta interna de gestão

Para controlo e confiança

Objectivos de um Sistema de Gestão de

Segurança da Informação

Proteger o Negócio!!!

4

Informação – a base do negócio!

Estados (defesa nacional)

Bancos (valor patrimonial de clientes)

Software houses (código fonte)

Saúde (registos clínicos)

Modelos financeiros (estratégias de negócio)

Autoridades policiais (registo de infracções)

...

Além das pessoas…

Normas internacionais em

Segurança da Informação

ISO 27002:2005

Código de Boas Práticas

para Gestão da

Segurança da

ISO 27002:2005

Código de Boas Práticas

para Gestão da

Segurança da

ISO 27001:2005

Requisitos para um

Sistema de Gestão de

ISO 27001:2005

Requisitos para um

Sistema de Gestão de Segurança da

Informação

(ISO 17799:2005)

Segurança da

Informação

(ISO 17799:2005)

Sistema de Gestão de

Segurança da

Informação

Sistema de Gestão de

Segurança da

Informação

ISO 27001

‘Informação é um activo que, como outros importantes activos de negócio, tem valor para a organização e consequentemente necessita de ser adequadamente protegida’

IT03/Issue6-S/Jan2007(Português) 7

ISO/IEC 27002:2005

Código de boas práticas para a gestão da segurança da informação

Para utilização como documento de referência

Possui um conjunto compreensivo de controlos de segurança

As melhores práticas de segurança actuais, em utilização

Possui 11 secções de controlo

Não é utilizado para análise (auditoria) e/ou certificação

IT03/Issue6-S/Jan2007(Português) 8

Não é utilizado para análise (auditoria) e/ou certificação

ex ISO/IEC 17799:2005

ISO/IEC 27001:2005

Especificação para Sistemas de Gestão de Segurança da Informação

Especifica os requisitos para o estabelecimento, implementação e documentação de um Sistema de Gestão de Segurança da Informação (ISMS *)

Especifica os requisitos para os controlos de segurança a serem implementados de acordo com as necessidades individuais das

IT03/Issue6-S/Jan2007(Português) 9

implementados de acordo com as necessidades individuais das organizações

(*) ISMS - Information Security Management System

Os três componentes básicos da Segurança da

Informação

Confidencialidade

Integridade

Disponibilidade CIACIAConfidentiality

Integrity

Availability

Confidencialidade

Garantir de que a informação apenas se encontra disponível para quem está autorizado a acedê-la

11

Integridade

Salvaguardar a exactidão da informação e dos seus métodos de processamento

12

Disponibilidade / Acessibilidade

Garantir que as pessoas autorizadas a aceder à informação podem fazê-lo sempre que necessário e em tempo útil.

13

FUNDAMENTAL:

Segurança com flexibilidade operacional

Para algumas organizações, a disponibilidade pode ser mais importante que

a confidencialidade…

Negócio

Informação

Física(Faxes, contratos,

relatórios, manuais, ...)

Informação

Acústica(conversações

telefónicas, em público,

em reuniões, ...)

Informação

Lógica(registos electrónicos)

Desastres Naturais(Inundação, relâmpago,

tremor de terra, ...)

Falhas Técnicas(falha de comunicações,

falta de energia,

falha de equipamento, ...)

ISO

/IEC

IS

O/IE

C 2

7001:2

005

27001:2

005

Negócio

Informação

Intelectual(conhecimento)

Informação

Visual(Vídeo, fotografia,

video-conferência, ...)

Falhas Humanas(erros de manutenção,

erros de utilizadores,

falta de pessoal, ...)

Questões Sociais(greves,

atentados,

política, legislação...)

27001:2

005

27001:2

005

Benefícios de implantação de um modelo de

segurança da informação

Auxilia o aumento, contínuo, da qualidade da organização;

Proporciona capacidade de demonstração de elevada e apropriada base de segurança;

Estabelece e cimenta confiança mútua entre locais da organização e com entidades externas; da organização e com entidades externas;

Incrementa a habilidade para gerir e sobreviver a um desastre;

A adopção da 27001 possibilita endereçar a estrutura de um SGSI de uma forma prática, com custos eficazes, de forma realista e compreensiva;

Benefícios de implantação de um modelo de

segurança da informação

Conhecimento sobre a própria organização, seus processos, activos e dependências

Conhecimento e valorização dos seus activos, no contexto do negócio

Identificação de forças e fraquezas da organização, Identificação de forças e fraquezas da organização, face ao ambiente global que a rodeia

Conhecimento do RISCO a que a organização está exposta (ou não)!!!

Cria a maturidade para gerir, no tempo, de forma eficaz a capacidade de sobrevivência da organização

Abordagem por processos

Actividades chave

MétricasAlteração?

Responsabilidade

Actividades chaveInputs

Outputs

(Entregáveis)

Recursos Critérios Registos

Abordagem por processos

Dept. A Dept. BActividades chaveInputs

MétricasAlteração?

Responsabilidade

Outputs de Informação

• Auditoria

• Revisão

• Verificação

• Validação

• Medidas de produto

• Medidas do processo

Outputs

(Entregáveis)

Recursos Critérios Registos

• Pessoas

• Ambiente

• Equipamento

• Ferramentas

• Comunicações

• Serviços

• Outros

• Legislação

• Regulamentação

• Clientes

• Organização

Políticas

Normas

Procedimentos

• Recibos

• Ordens de Clientes

• Ordens de Vendas

Inputs de Informação

Deptº X

Deptº B Deptº CInputs OutputsDeptº A

Key activities

Inputs

(S.o.R.)

MeasureChange

?

Ownership

Key activities

Inputs

(S.o.R.)

MeasureChange

?

Ownership

Key activities

Inputs

(S.o.R.)

MeasureChange

?

Ownership

Detalhe de Processos Críticos da Organização

Outputs

(Deliverables)

Key activities

Resources Criteria Records

• Information inputs

• Information outputs

• Information Records

• Resources

- People

- Environment

- Equipment

- Tools

-Communications

-Services

- Other

• Legislation

• Regulation

• Customer

• Corporate

- Policies

- Standards

- Procedures

• Build Docket

• Receipts

• Customer Orders

• Sales invoice

Outputs

(Deliverables)

Key activities

Inputs

(S.o.R.)

MeasureChange

?

Resources Criteria Records

Ownership

• Information inputs

• Information outputs

• Information Records

• Resources

- People

- Environment

- Equipment

- Tools

-Communications

-Services

- Other

• Legislation

• Regulation

• Customer

• Corporate

- Policies

- Standards

- Procedures

• Build Docket

• Receipts

• Customer Orders

• Sales Invoice

Outputs

(Deliverables)

Key activities

Resources Criteria Records

• Information inputs

• Information outputs

• Information Records

• Resources

- People

- Environment

- Equipment

- Tools

-Communications

- Services

- Other

• Legislation

• Regulation

• Customer

• Corporate

- Policies

- Standards

- Procedures

• Build Docket

• Receipts

• Customer Orders

• Sales Invoice

Outputs

(Deliverables)

Key activities

Resources Criteria Records

• Information inputs

• Information outputs

• Information Records

• Resources

- People

- Environment

- Equipment

- Tools

-Communications

-Services

- Other

• Legislation

• Regulation

• Customer

• Corporate

- Policies

- Standards

- Procedures

• Build Docket

• Receipts

• Customer

•Customer Orders

• Sales Invoice

Activos…

Para a ISO 27001, como ‘activos’ não se incluem necessariamente todosaqueles que habitualmente se consideram como tendo “valor” para a organizaçãoorganização

IT03/Issue6-S/Jan2007(Português) 21

A organização tem que identificar quais os activos que podem materialmente afectar a entrega de seus produtos e/ou serviços, em caso de ausência ou degradação.

Utilização de modelo de gestão do risco

• Fonte do risco: item ou actividade que possui um potencial para a consequência.

Fonte do risco

Evento Consequência

• Fonte do risco: item ou actividade que possui um potencial para a consequência.

• Evento: ocorrência de um conjunto de circunstancias particulares.

• Consequência: resultado de um evento.

“Risco é a combinação da probabilidade de um evento e das suas consequências”

ISO IEC Guide 73:2002: Risk Management – Vocabulary

Adopção de modelo para Gestão de Riscos

Comunicar e Consultar

Diagnosticar

Esta

bele

cer

Conte

xto

Identificar

Ris

cos

Analis

ar

Ris

cos

Avalia

r

Ris

cos

Mitig

ar

Ris

cos

Contr

ola

r

Ris

cos

Monitorar e Rever

Esta

bele

cer

Conte

xto

Identificar

Ris

cos

Analis

ar

Ris

cos

Avalia

r

Ris

cos

Mitig

ar

Ris

cos

Contr

ola

r

Ris

cos

Riscos

Fonte: ISO 31000 - Risk management - Guidelines on principles and implementation of risk management

RiscoRisco

Relevância (1-5)Relacionadocom negócio

Probabilidade (1-5)

Impacto (1-5)

Risco = P x S x I

Relacionadocom controlos

Identificação das origens do Risco… nos activos

Objectivos ou

Processos de

negócio

Sistemas

25

Pessoas

Tecnologia

Ambientes fisicos

Processos

Gestão do risco e Gestão da conformidade

Ao gerir conformidades

(medindo & optimizando)

mitiga-se o risco…

Ao gerir conformidades

(medindo & optimizando)

mitiga-se o risco…

Paulo Coelho Gestão do Risco

Desafios na implementação de um modelo de

segurança da informação

A experiência vivida demonstra que os seguintes factores são habitualmente críticos para o sucesso na implementação de segurança da informação na organização:

IT03/Issue6-S/Jan2007(Português) 27

Desafios na implementação de um modelo de

segurança da informação

Os gestores de topo têm que ser vistos como empenhados (Responsabilidade nos processos)

É essencial que a Administração e Directores de 1ª linha demonstrem o seu empenho (através de decisões

para gestão do risco, por exemplo)

Estou empenhado!

para gestão do risco, por exemplo)

Desafios na implementação de um modelo de

segurança da informação

Política de Segurança, objectivos e actividades que espelhem os objectivos de negócio;

Uma aproximação à implementação de segurança que seja consistente com a cultura da organização;

Suporte e empenhamento visível da gestão de topo;

Desafios na implementação de um modelo de

segurança da informação

Um perfeito entendimento e conhecimento sobre requisitos de segurança, análise e gestão de riscos;

Marketing efectivo para todos os colaboradores da organização;

Distribuição do conceito de segurança da informação, políticas de segurança, normas e regulamentos a todos os colaboradores e contratados;políticas de segurança, normas e regulamentos a todos os colaboradores e contratados;

Desafios na implementação de um modelo de

segurança da informação

Providenciar treino e sensibilização de forma adequada e eficaz;

Um compreensivo e balanceado sistema de medição, utilizado para avaliar a eficácia da gestão de segurança da informação na resposta a sugestões de melhoria.

Desafios na implementação de um modelo de

segurança da informação

Documentação

Evidência de acçõesExecutadas para o estabelecer da metodologia de gestão

Sumário da metodologia de gestãoSumário da metodologia de gestãoIncluindo políticas, objectivos de controlo, controlos implementados e sumário desses controlos.

Desafios na implementação de um modelo de

segurança da informação

ProcedimentosPara implementar os controlos, descrevendo responsabilidades e acções

Para a gestão e operação do ISMS, descrevendo responsabilidades e acções

Para auditar e rever internamente o ISMSPara auditar e rever internamente o ISMS

A norma identifica 8 controlos como –

‘….. princípios guia que possibilitam um bom

começo para a implementação da segurança da

Controlos Chave

informação.’

‘Estes são baseados ou em requisitos legais

considerados essenciais ou em boas práticas

comuns para a protecção da informação.’

Controlos com implicações legais

Direitos de Propriedade Intelectual

Salvaguarda de Registos da Organização

Protecção e Privacidade de Dados

Controlos de Boas Práticas

Documento “Política de Segurança da Informação”

Atribuição de responsabilidades em matéria de Segurança da Informação

Formação, sensibilização e treino em Formação, sensibilização e treino em Segurança da Informação

Procedimento para registo de incidentes de segurança

Modelo de gestão para a continuidade de negócio

Principais pontos de esforço

Ganhar as pessoas!

� As organizações são as pessoas:São as pessoas que formam, gerem, mantém vivas e em constante evolução as organizações

São também as pessoas que necessitam de informação para suportar as suas decisões quer a nível pessoal, quer a nível organizacionala nível pessoal, quer a nível organizacional

São as pessoas que sabem como criar, processar, armazenar, destruir, comunicar, proteger, etc. a informação de que necessitam

Mas são também as pessoas que a podem colocar em risco as próprias organizações a que pertencem!

O elemento humano !!!

O sucesso de um sistema de gestão de segurança da informação depende do envolvimento e motivação dos colaboradores das diferentes áreas ou departamentos da organização!

Pirâmide dos Standards

Princípios de excelência

BS

25999

BS

ISO

/IEC

20000-

BS ISO/IEC

27001

??

27000 27004

ISO IECNP

BS

BS

25999

BS

ISO

/IEC

20000-

BS ISO/IEC

27001

??

27000 27004

ISO IECNP

BS

25999-2

BS

ISO

/IEC

-1BS ISO/IEC

17799

NP/EN BS ISO

9001

BS

25999-1

BS

ISO

/IEC

20000-2

27000

27003

27004

27005…

TRNZ

BS ISO

15489BS ISO/IEC TR

13335

25999-2

BS

ISO

/IEC

-1BS ISO/IEC

17799

NP/EN BS ISO

9001

BS

25999-1

BS

ISO

/IEC

20000-2

27000

27003

27004

27005…

TRNZ

BS ISO

15489BS ISO/IEC TR

13335

Se a Se a informaçãoinformaçãonãonão estáestásegurasegura,,

o o futurofuturo estáestá Informaçãoo o futurofuturo estáestáemem riscorisco! !

Pessoas

INTEGRIDADEINTEGRIDADE

Informação

Quem somos…

Contexto empresarial baseado na

FORÇA E CAPACIDADE EMPREENDEDORA

CNSFORMAÇÃO, CONSULTORIA DE GESTÃO, ORDENAMENTO DO TERRITÓRIO ESTUDOS,

SINFICSTRATEGIC IT CONSULTANCY CORPORATE PERFORMANCE MANAGEMENTSYSTEMS DEVELOPMENT & INTEGRATIONIT OUTSOURCING & MANAGEMENT

SINFIC SA (sociedade direito Português)SINFIC SARL (sociedade direito Angolano)SINFIC LDA (sociedade direito Moçambicano)

3 paísesAngola,

Moçambique,

Portugal

30 cidadesLisboa, Porto, Aveiro,

Marinha Grande, Agueda, Castelo

Branco, Coimbra,

Ponte de Lima, Pombal, Faro,

Setúbal, Vila da Feira, Loulé, Leiria,

Alcobaça, Casal de Cambra, Porto

Alto, Funchal, Luanda, Lobito,

Benguela, Huila, Ondigiva,

Grandola, Kahama, Xangongo,

Maputo

INOVASistemas de Gestão da Qualidade.DiagnósticosReengenhariaModernização Administrativa

Devido à sua estrutura a SINFIC assegura uma gestão de competências

orientada à excelência e uma capacidade de resposta completa

Business and Process Modeling Enterprise Customer

Relationship Management

Information Systems Architecture

Infrastructure and Networking

Enterprise Resource Planning

Maintenance Management

Knowledge Management

Software System Quality

Architecture Integration

Document Management

Internet Development

Orientação a

referênciais:ISO 9001

CMM e CMMiISO 27001

Planos de Desenvolvimento Estratégico

Sistemas de Informaçao Geográfica

Geografia, Topografia e cadastro

Gestão Integrada do Território

Planeamento do Território

A SINFIC assenta o seu modelo de gestão numa rede de unidades

estratégicas de negócio autónomas, especializadas em

competências específicas: quer tecnológicas, quer de serviços.

Acreditamos que esta é a melhor forma de responder às

exigências dos mercados, dos clientes, dos parceiros e

colaboradores.

Internet Development

Software Engineering

Content Management

Change Management

Information Security

Business Intelligence

Data warehousing

Corporate Portals

Data Quality

Web Design

Data Mining

E-Business

E-Learning

Capacidade Técnica reconhecida:IBM Premium partner

MSFT Gold PartnerOracle Certified Partner

CA PartnerESRI

SAP Business PartnerSAP Service Center

Fujitsu…

ISO 27001BS 25999

COSOCOBIT

ITILTOGAF,

…

Planeamento do Território

Planos Directores

Planos de Urbanismo

Planos de Promenor

Parcerias

O conjunto de alianças com os leaders mundiais trouxeram à SINFIC a capacidade de apresentar e implementar as e implementar as melhores soluções do Mercado

SINFIC S.A.

Estrada da Ponte, nº2

Quinta Grande – Alfragide

2610-141 Amadora

Portugal

SINFIC S.A.R.L.

Rua Ndunduma, 189

Miramar

Luanda

Angola

SINFIC Lda.

Av. Olof Palme, nº 358-1º

Maputo

Moçambique

“ Tecnologias de Informação - A Segurança da Certificação”ISEGI – UNIVERSIDADE NOVA LISBOA

Lisboa, 24 de Outubro de 2008

Tel: (+351) 21 010 39 00Fax: (+351) 21 010 39 99

Tel: (+244) 222 399 690Fax: (+244) 222 399 689

Tel: (+258) 21 328 182Fax: (+258) 21 328 182

www.sinfic.com e-mail: info@sinfic.com

Fernando Fevereiro Mendes

ffmendes@sinfic.com