Um Caso Real
Gestão de Riscos, Implementação de Controles, Correção, Plano de de Controles, Correção, Plano de Contingência, Workflow, Gestão,
Auditoria, …
Evolução das Fronteiras
13
Tangibilidade da Segurança LógicaÉ difícil conscientizar o usuário!
Antes do Incêndio Durante o Incêndio Após o Incêndio
14
Antes da Fraude Durante a Fraude Após a Fraude
Por que Proteger a Informação
• Proteção Pessoal - Em casa e no trabalho
• Responsabilidade Civil e Pessoal
– Leis, Regulamentações, Normas
• Proteção da Informação da Organização
– Confidencialidade
• Sigilo, Privacidade, Inteligência competitiva, Espionagem
– Integridade
• Fraudes, Compliance, Conduta
– Disponibilidade
• Performance, Contingência
Risco de Incêndio - Disponibilidade
Risco de Fraudes - Integridade
Risco de Vazamento de Informações - Confidencialidade
Proteger o Que?
• Documentos
• Informações da organização
• Informações pessoais• Informações pessoais
• Informações custodiadas
• Transações de valores
• Projetos, Planos
Spam Inundação Multas e AçõesFraudeIndisponibilidade Vírus,
Spyware
Ameaças ao Negócio
Sabotagem Vazamentode Informações
Incêndio Falsa IdentidadeErros
Spyware
Código Maliciosoem Sistemas
Ciclo da Informação
UsoCriação
Transporte
ArmazenamentoDescarte
Roubo de Informações
• Agente infiltrado• Celular c/ filmadora• Lixo• Invasões• Engenharia Social• Engenharia Social• Grampo• Troca de empresa de funcionários• Fornecedores
– Agências de Publicidade, Escritórios de Advocacia
• Ingenuidade
Os Desafios de Segurança estão Crescendo
• As ações de segurança precisam estar integradas com a
legislação e regulamentação
• A segurança da informação não é só em computadores
• Está aumentando o valor financeiro da informação
• As tecnologias de ataque estão se integrando• As tecnologias de ataque estão se integrando
• Crimes são além-fronteiras
• O ambiente Corporativo está cada vez mais complexo
• O crime organizado tem aumentado sua atividade no
meio eletrônico
Segurança da Informação
no dia-a-diano dia-a-dia
Segurança de Equipamentos
Descarte
Equipamento ‘Moderno’ de Espionagem
Exclusivo para você
Portal dos Anjos ...
Seu nome no SPC
Negócio Corporativo
Riscos mais comuns
• Compartilhamento de senha
• Vazamento de informação– Papel, Conversas, e-mail, ...
– Privacidade
– Fato relevante– Fato relevante
• Programas maliciosos
• Acesso indevido– Físico e lógico
• “Engenharia Social”
Fé X Confiança
Santo Isidoro de Sevilha NBR ISO 27001
• Informalidade– Ações Heróicas– “Apagar incêndios”– Baseada em Talentos– Conflito de atribuições– Falta de Controle
• SGSI 27001– Processos documentados– Foco na prevenção– Requisitos definidos– Responsabilidades estabelecidas– Indicadores
Por que adotar a ISO 27001...
– Falta de Controle– Soluções desintegradas– Ênfase em tecnologia
– Indicadores– Otimização de Investimentos– Ênfase em gestão
Processo de Maturidade
Gestão da Segurança
Barreiras da Segurança
Processos de Negócio
� Gestão de segurança
� Autorização e gestão de acesso
� Segurança em nível de aplicação
� Cultura, Legislação, Política de Seg.
Diagnosticar
de Negócio
Ameaças
� Firewall� ICP� Criptografia� Autenticação
� Sistemas de detecção de intrusos
� Anti-vírus
Desafios em Segurança: Conscientizar os usuários
36
Falta de consciência dos executivos
Falta de consciência dos usuários
Falta de orçamento
Falta de profissionais capacitados
Falta de ferramenta no mercado
33%
29%
23%
Desafios em Segurança: Convencer os executivos
Falta de consciência dos executivos
Falta de consciência dos usuários
Falta de orçamento
Falta de profissionais capacitados
Falta de ferramenta no mercado
33%
29%
23%
10%
2%
Falta de consciência dos executivos
Falta de consciência dos usuários
Falta de orçamento
Falta de profissionais capacitados
Falta de ferramenta no mercado
33%
29%
23%
10%
2%
37
Falta de ferramenta no mercado
Custo de implantação
Falta de prioridade
10%
2%
1%
1%
Falta de ferramenta no mercado
Custo de implantação
Falta de prioridade
2%
1%
1%
Falta de ferramenta no mercado
Custo de implantação
Falta de prioridade
2%
1%
1%
Posicionamento
38
Referências
39
Segurança da Informaçãoe Gestão de Riscos
Gestão de Riscos
Segurança da Informação
Gestão de Riscos em TI
Gestão de Riscos
Sopa de LetrasISO/IEC 27001
COBIT 4.0
ANS RN 114BS 25999:1 2006
SOXPCI-DSS
BASEL II
eSCM
ISO Guide 73
COSO
COBIT 4.1
ISO/IEC TR 13335
ITIL
CD ISO 31000
BS 25999:1 2006
NBR ISO/IEC 17799
BC 3380
AS/NZS 4360 BS 7799ISO 3WD 25700
NIST 800-53
BITS
BC 2553ISO 15408
HIPAAFISMA
ISO/IEC 27005
CMM
PAS 56:2003
Leis e Regulamentações
• Código Civil• Código Penal• Instituições Financeiras
– Banco Central (3380, 2817, 2554, ...), Susep 249..., CGPC 13– Basiléia II– PCI/DSS, BITS, PQO/BM&F, Anbid
• Mercado de Capitais• Mercado de Capitais– CVM (358, ...), Sarbanes Oxley
• Governo– Decretos 4553, 3505, – TCU
• Receita e Fazenda– Receita Federal, Nota Fiscal Eletrônica
• Saúde– Hippa, Resoluções CFM
Frameworks
• Segurança da Informação– ISO 27002 (17799), ISO 27001
• Gestão de TI– Cobit, Itil, ISO 20000
• Gestão da Continuidade do Negócio– BS 25999
• Gestão de Riscos– ISO Guia 73, AS/NZS 4360, ‘ISO 31000’
• Avaliação de Fornecedores– eSCM
• Desenvolvimento de Sistemas– CMMi, ISO 15408
• Gestão de Projetos– PMBok
ALGUNS ALGUNS CASESCASESALGUNS ALGUNS CASESCASES
Casos Relatados
Caso MóduloLivro Paul Dinsmore
Quadro 2: Caso Módulo - principais marcos e outros eventos relevantes
Projeto Ano Marco
P1 2001 Início do "Programa de Certificação" P1
2001 Início do "Programa de Certificação"
O objetivo do primeiro projeto era tornar a Módulo a primeira empresa da América Latina certificada na norma britânica BS 7799 Parte 2, versão 1999.
2002 O primeiro projeto é concluído com sucesso, e a Módulo é certificada na norma BS 7799 Parte 2 versão 1999.
P2 2003 A atualização da BS 7799 em 2002 (ver Tabela 1) gera para a Módulo a necessidade de recertificação. É iniciado um novo projeto para cumprir este objetivo, concluído com sucesso em agosto de 2003. A Módulo obtém o selo BS7799 versão 2002.
P3 2004 Em 2004, a Módulo executa mais um pequeno projeto de preparação para uma nova auditoria, necessária para manutenção da certificação. O projeto é concluído com sucesso em Junho de 2004.
P4 2005 A atualização da BS 7799-2:2002 para ISO/IEC 27001:2005 gera a necessidade de mais uma recertificação. Um novo projeto é iniciado com este propósito, e em novembro de 2005 seu objetivo é atingido, tornando a Módulo a primeira empresa de segurança da informação do mundo a obter a certificação ISO 27001.
Projeto no Governo do Estado de Mato Grosso
Análise de Riscos Munícipio de Cuiabá
Resultados Alcançados:
• Objetivo: Analisar 400 propriedades através do Sistema de Animais • Área: Município de Cuiabá
– de 2096 propriedades– 1170 têm bovinos e bubalinos
• 20% das propriedades do Município de Cuiabá• Regiões do Pedra 90 (Assentamentos Rurais, Pequenas, Médias e
Grande Propriedades)• Emissão de Relatórios:• Emissão de Relatórios:
– RAR – Relatório de Análise de Riscos– ROR – Relatório Operacional de Riscos– RARs por Setor do Município de Cuiabá– Mapas Georeferenciados
• Resultado Geral da Análise• Risco por Setor• Risco por amostragem
Visão - Georeferenciada
AutomaçãoCentro de Operações
Jogos Pan-Americanos Rio 2007Jogos Pan-Americanos Rio 2007
Fernando [email protected]
PAN 2007
Escritório de Gestão de RiscosDurante os Jogos
• Escritório de Gestão de Riscos e Crises instalado paraoperação imediata;
• Controle integrado dos riscos, facilitando a gestão deincidentes e crises;
• Facilidade na tomada de decisões em eventos de altacomplexidade;
• Prevenção de incidentes, perdas e ocorrências, comredução de custos associados.
Escritório de Gestão de RiscosApós os Jogos
• Modelo de Gestão de Riscos e Crises para o Estado,incluindo:
– Ferramenta de gestão de riscos instalada e customizada;
– Bases de conhecimento de Gestão de Riscos e Crises.
• Infra-estrutura física e tecnológica suficiente para entrar emoperação imediatamente;
• Pessoal qualificado;
• Escalabilidade.
Escritório de Gestão de RiscosAplicações
• Painel de Controle das Ações de Governo
– Gestão de Projetos
• Painel de Controle de Riscos, Incidentes e Crises
• Aplicações Imediatas
– Segurança Pública
– Educação
– Saúde
– Transportes
Secretarias
Paineis de Controle
Ocorrências,Crises, Incidentes
Indicadores Projetos Feedback
Painéisde Controle
••WorkflowWorkflow•Alertas••ApoioApoio à à gestãogestão•Gestão de riscos••GestãoGestão de crisesde crises