Download - Implementação de sgsi [impressão]


2

www.shieldsaas.com

http://www.shieldsaas.com/

http://www.shieldsaas.com/


3

IMPLEMENTAÇÃO DE SGSI


4

Processos da gestão de SI

Formação de equipe de SI

Questões normativas

Startup de área de SI

Tecnologias específicas

Segurança de rede

Gestão de projetos

Ataques e defesas


5

MAS O QUE É UM SGSI?


6

SG

SI

Sistema

Gestão

Segurança

Informação


7

A organização deve estabelecer, implementar, operar,

monitorar, analisar criticamente, manter e melhorar um

SGSI documentado dentro do contexto das atividades de

negócio globais da organização e os riscos que ela enfrenta. ABNT NBR ISO/IEC 27001


8

• Fase 4 – Validação das ações implantadas

• Fase 5 – Implantação de processos de manutenção

• Fase 3 – Implantação das ações definidas

• Fase 1 – “Quick scan” inicial

• Fase 2 – Identificação de “gaps” e planos de ação

Planejamento

(Plan)

Execução

(Do)

Validação

(Check)

Acompanha-mento

(Act)


9






Planejamento

(Plan)

Execução

(Do)

Validação

(Check)

Acompanha-mento

(Act)


10



Estabelecer a política, objetivos, processos e

procedimentos do SGSI, relevantes para a gestão

de riscos e a melhoria da segurança da informação

para produzir resultados de acordo com as políticas

e objetivos globais de uma organização.


11



•Mapear as áreas e responsáveis;

•Reunião de identificação dos processos críticos;

•Absorver cultura;

•Fechar escopo de atuação;

•Definir grupo multidisciplinar;


12



•Analisar e avaliar os riscos operacionais e de

ambiente;

•Identificar controles e avaliar sua efetividade;

•Avaliar documentação;

•Avaliar maturidade em SI;

•Definir planos de atuação.


13


Implementar e operar a política, controles, processos e

procedimentos do SGSI.


14


•Elaborar cronograma de implantação de controles e

procedimentos;

•Executar subprojetos de segurança;

•Elaborar documentação normativa de suporte aos subprocessos;

•Validar documentação elaborada; e

•Identificar potenciais controles.


15


Avaliar e, quando aplicável, medir o

desempenho de um processo frente à política,

objetivos e experiência prática do SGSI e

apresentar os resultados para a análise crítica

pela direção.

• Validar controles identificados;

• Fazer todos os processos de auditoria

(execução, validação, emissão de

relatórios);

• Executar avaliação de maturidade e

comparar com a avaliação inicial;

• Apresentar avaliação dos controles.


16


Executar as ações corretivas e

preventivas, com base nos resultados

da auditoria interna do SGSI e da

análise crítica pela direção ou outra

informação pertinente, para alcançar a

melhoria contínua do SGSI.

• Validar controles identificados;

• Executar processo de auditoria de validação

das atividades e subprojetos;

• Emitir relatório de auditoria;

• Apresentar resultado de auditoria;

• Executar avaliação de maturidade e comparar

com o resultado obtido na Fase 2; e

• Apresentar avaliação dos controles.


17


18

MAS ESSAS ATIVIDADES SÃO...COMUNS


19

O QUE DIFERENCIA?


20


21


22

Processo 1

Processo 2

Processo 3

Processo n


23

Processo 1

Processo 2

Processo 3

Processo n


24

Negócio

nos seus objetivos e no que o suporta

Controles Processos/procedimentos


25

Presidência

Financeiro RH TI

SI

Produto Marketing


26

Presidência

Financeiro RH TI SI Produto Marketing


27


28

OK! MAS ESTAMOS FALANDO DE SEGURANÇA DA INFORMAÇÃO


29

Segurança da informação

Inte

grid

ade

Dis

poni

bilid

ade


30

• Inerente ao ativo

• Relacionado à fragilidades Vulnerabilidade

• Normalmente externo ao ativo

• Normalmente requer um agente Ameaça

• Grau de exposição de um ativo a uma ameaça

• Dá suporte aos gestores Risco


31


34

Reter ou aceitar

Uma forma de tratamento

de risco na qual a alta

administração decide

realizar a atividade,

assumindo as

responsabilidades caso

ocorra o risco identificado

04/I

N01

/DS

IC/G

SIP

R


35

Reter ou aceitar Transferir ou

compartilhar

Uma forma de tratamento

de risco na qual a alta

administração decide

realizar a atividade,

compartilhando com outra

entidade o ônus

associado a um risco

04/I

N01

/DS

IC/G

SIP

R


36

Reter ou aceitar Transferir ou

compartilhar

Tratar ou mitigar

Processo e implementação de

ações de segurança da

informação e comunicações

para evitar, reduzir, reter ou

transferir um risco

04/I

N01

/DS

IC/G

SIP

R


37

Reter ou aceitar

Reduzir ou evitar

Transferir ou

compartilhar

Tratar ou mitigar

Uma forma de tratamento de

risco na qual a alta

administração decide realizar a

atividade, adotando ações para

reduzir a probabilidade, as

consequências negativas, ou

ambas, associadas a um risco

04/I

N01

/DS

IC/G

SIP

R


38

Reter ou aceitar

Reduzir ou evitar

Transferir ou

compartilhar

Tratar ou mitigar

04/I

N01

/DS

IC/G

SIP

R


39

MAS A DEFINIÇÃO DE RISCOS É COMPLEXA...


40

O QUE PODE SER USADO COMO GUIA?


41

ISO/IEC27005

BS25999

Basiléia II

Resoluções Normativas

Decretos e leis

ISO31000

SOX

CVM

SUSEP

ISO/IEC27005

BS25999

Basiléia II


Decretos e leis

ISO31000

SOX

CVM

SUSEP

ISO/IEC27005

BS25999

Basiléia II


Decretos e leis

ISO31000

SOX

CVM SUSEP

ISO/IEC27005

BS25999

Basiléia II


Decretos e leis

ISO31000

SOX

CVM

SUSEP

ISO/IEC27005

BS25999

Basiléia II


Decretos e leis

ISO31000

SOX

CVM

SUSEP ISO/IEC27005

BS25999

Basiléia II Resoluções Normativas

Decretos e leis

ISO31000

SOX

CVM

SUSEP

ISO/IEC27005

BS25999

Basiléia II


Decretos e leis

ISO31000

SOX

CVM

SUSEP

ISO/IEC27005

BS25999

Basiléia II


Decretos e leis

ISO31000

SOX

CVM

SUSEP


42

Leis

Normas

Resoluções

Regulamentações

Boas práticas de mercado

OBRIGATÓRIAS PARA TODOS!

OBRIGATÓRIAS POR NICHO


43


44

E QUEM FAZ ISSO TUDO?


45

Estratégico

CISO

Arquiteto de SI Arquiteto de SI

ISO ISM

Analistas e

especialistas

Tático

Operacional


46

Estratégico

CISO

ISO ISM

Analistas e

especialistas

Tático

Operacional

Analistas e

especialistas


47

BEM, VAMOS RESUMIR...


48

Obter suporte executivo

Identificar o estado atual

Traçar objetivos alcançáveis

Subdividir em projetos curtos

Aplicar pontos de validação periódica

Usar embasamento normativo adequado

Considerar o Risco para o negócio

Considerar a estrutura da

organização como ponto de força

Revise periodicamente o

que você vem fazendo


49

Obter suporte executivo

Identificar o estado atual

Traçar objetivos alcançáveis

Subdividir em projetos curtos

Aplicar pontos de validação periódica

Usar embasamento normativo adequado

Considerar o Risco para o negócio

Considerar a estrutura da

organização como ponto de força

Revise periodicamente o

que você vem fazendo


50

Obrigado


[email protected]

web: www.ShieldSaaS.com | twitter: @ShieldSaaS

Download - Implementação de sgsi [impressão]

Top Related