gestão de serviços de ti e segurança da informação: usando as práticas da iso 27001:2013
TRANSCRIPT
Claudio Dodt, ISMAS, CISSP, CISA, CRISC, ISO 27001 Lead Auditor
Business Continuity & Security Senior Consultant
[email protected] www.daryus.com.br claudiododt.com
www.twitter.com/daryusbr www.twitter.com/cdodt www.facebook.com/claudiododtcom
Iluminando mentes,
capacitando profissionais
e protegendo negócios.
Gestão de Serviços de TI e
Segurança da Informação: Usando
as práticas da ISO 27001:2013
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
Segurança da
Informação:
Como era?
Segurança da Informação:
Quebrando paradigmas
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
Segurança da Informação:
Quebrando paradigmas
Informação Perímetro
Corporativo
Informações dentro
do perímetro
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
Segurança da Informação:
Quebrando paradigmas
Ameaças fora...
AM
EA
ÇA
S
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
Segurança da Informação:
Quebrando paradigmas
Segurança da
Informação:
Cenário HOJE
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
Segurança da Informação:
Quebrando paradigmas
Você realmente sabe onde estão
seus dados corporativos?
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
Segurança da Informação:
Quebrando paradigmas
Ameaças?
Por todo lado!
Vazamentos
Fraude Sabotagem
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
Segurança da Informação:
Comportamento e Consumerização
Homem Vitruviano - Leonardo da Vinci - 1490
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
Segurança da Informação:
Comportamento e Consumerização
Wearables! Tecnologias
Vestíveis!
Estamos preparados?
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
• Wireless do desfibrilador
desativado.
• Medo de ciberterroristas.
Dick Cheney
Segurança da Informação: Tecnologia
e Comportamento – Tendencias
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
• Wireless do desfibrilador
desativado.
• Medo de ciberterroristas.
Dick Cheney
Se considerarmos um ciclo de adoção
parecido ao de smartphones e tablets...
Aproximadamente 171 milhões de
dispositivos devem estar nas mãos dos
consumidores por volta de 2016.
Segurança da Informação: Tecnologia
e Comportamento – Tendencias
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
Segurança da Informação: Novos
paradigmas
O que mudou
realmente?
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
Segurança da Informação: Novos
paradigmas
54% das organizações reportaram aumento nas ameaças
externas. Ernst & Young: “Global Information Security Survey 2013”
81% das grandes organizações sofreram falhas de
segurança no último ano. Department for Business Innovation & Skills: “2014 Information Security Breaches Survey”
Somente 33% das vitimas descobriram as falhas de
segurança internamente. Mandiant: “2014 Threat Report: M-Trends - Beyond the Breach”
75% dos ataques exploraram vulnerabilidades
conhecidas publicamente e solucionáveis com
atualizações periódicas CyberEdgeGroup: “2014 CyberthreatDefense Report”
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
Segurança da Informação: Novos
paradigmas
http://dary.us/PNSIResult
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
Segurança da Informação: Novos
paradigmas
http://dary.us/PNSIResult
Das instituições respondentes:
• 64% NÃO possui Gestão de Segurança
• 38% NÃO fazem Investimentos em Segurança
• 64% NÃO fazem Gestão de Incidentes
• 50% dos incidentes Não são tecnologia
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
Segurança da Informação: Caso
Target
• Segunda maior rede de varejo
nos USA.
• Teve uma falha de segurança
crítica no final de 2013
• Origem: fornecedor de
sistemas de climatização.
• 40M de cartões de crédito e
outras 70M de informações
privadas foram roubadas.
• Prejuízo estimado: 61M
• CEO demitido em Maio de 2014.
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
Segurança da Informação: Caso
Target
SEGURANÇA DA INFORMAÇÃO é gerenciada com base em
LIDERANÇA ou CRISE...
...na ausência da LIDERANÇA,
só nos resta a CRISE.
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
Segurança da Informação: Boas
práticas
Algumas coisas
não mudaram!
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
Segurança da Informação: Visão
Holística
Segurança
da
Informação
Políticas
Essa é a visão da ISO 27001
Essa é a visão da ITIL
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
Segurança da Informação: Ainda somos
míopes
Confidencialidade
Integridade Disponibilidade
Segurança da
Informação
Pessoas Processos Tecnologia
Tecnologia
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
Segurança da Informação: Ainda somos
míopes
Confidencialidade
Integridade Disponibilidade
Segurança da
Informação
Pessoas Processos Tecnologia
Tecnologia O QUE ACONTECE COM A
MELHOR TECNOLOGIA
NAS MÃOS DE QUEM NÃO
ESTÁ PREPARADO?
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
Segurança da Informação: Ainda somos
míopes
Confidencialidade
Integridade Disponibilidade
Segurança da
Informação
Pessoas Processos Tecnologia
Tecnologia O QUE ACONTECE COM A
MELHOR TECNOLOGIA
NAS MÃOS DE QUEM NÃO
ESTÁ PREPARADO?
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
Segurança da Informação: Ainda
somos míopes
Tecnologia
Tecnologia é...
...a mera ponta...
...do iceberg.
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
Segurança da Informação: Ainda
somos míopes
Tecnologia
Processos
• Investimento inteligente
• Padrões Testados
• Visão Estratégica
• Formalização
• Seleção
• Capacitação
• Reciclagem
• Conscientização
Pessoas
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
Segurança da Informação:
Gerenciando serviços de Segurança
Na ITIL SERVIÇO é um meio de entregar
VALOR aos CLIENTES
A ISO 27001 apresenta Requisitos para um
Sistema de Gestão de Segurança da
Informação
Qual a combinação de ambas?
IT Service Management Processos
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
Segurança da Informação:
Gerenciando serviços de Segurança
Na ITIL SERVIÇO é um meio de entregar
VALOR aos CLIENTES
A ISO 27001 apresenta Requisitos para um
Sistema de Gestão de Segurança da
Informação
Qual a combinação de ambas?
IT Service Management Processos
Entregar VALOR ao CLIENTE através
da boa GESTÃO DE SERVIÇOS DE
SEGURANÇA DA INFORMAÇÃO!
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
IT Service Management Processos
Como o serviço é construído!
Segurança a Cereja do Bolo!
Segurança da Informação:
Gerenciando serviços de Segurança
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
IT Service Management Processos
Segurança a Cereja do Bolo!
Segurança da Informação:
Gerenciando serviços de Segurança
• É preciso pensar em
segurança desde a base!
• Essa forma é mais barata e eficiente!
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
IT Service Management Processos
Entregar
Valor ao
Negócio
Motivadores
Objetivos
Corporativos
Objetivos de
Segurança
Segurança da Informação:
Gerenciando serviços de Segurança
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
IT Service Management Processos
Entregar
Valor ao
Negócio
Segurança da Informação:
Gerenciando serviços de Segurança
Segurança da Informação
não é um objetivo em si...
...mas um meio para
garantir que os objetivos
do negócio sejam
atingidos.
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
IT Service Management Processos
1. Princípios, Políticas e Frameworks
2. Processos 3. Estruturas
Organizacionais
4. Cultura, Ética,
Comportamento
5. Informação
6. Serviços,
Infraestrutura e
Aplicações A
7. Pessoas,
Habilidades e
Competências a
COMO
FAZER?
Segurança da Informação:
Gerenciando serviços de Segurança
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
IT Service Management Processos
Abordagem
Holística
1. Princípios, Políticas e Frameworks
2. Processos 3. Estruturas
Organizacionais
4. Cultura, Ética,
Comportamento
5. Informação
6. Serviços,
Infraestrutura e
Aplicações A
7. Pessoas,
Habilidades e
Competências a
Segurança da Informação:
Gerenciando serviços de Segurança
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
IT Service Management Processos
ITIL 27001:2013 Transição do Serviço
Gerenciamento de Fornecedores A.15 - Relacionamento na Cadeia de Suprimento
Gerenciamento de Disponibilidade A.17.2.1 - Disponibilidade dos recursos de info
Gerenciamento de Capacidade A.12.1.3 - Gestão de capacidade
Gerenciamento de Continuidade de Serv. de TI A.17 - Aspectos da SegInfo na Gestão da Cont
Gerenciamento de Segurança da Informação Todo o Anexo A
Anexo A
Segurança da Informação:
Gerenciando serviços de Segurança
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
IT Service Management Processos
ITIL 27001:2013 Desenho do Serviço
Gerenciamento de Config. Ativos de Serviço A.8 - Gestão de Ativos
Gerenciamento de Mudanças A.12.1.2 - Gestão de mudanças
Gerenciamento de Liberação e Implantação A.14 - Aquisição, Desenv e Manut de Sistemas
Validação e Teste de Serviço A.14.3 - Dados para teste
Anexo A
Segurança da Informação:
Gerenciando serviços de Segurança
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
IT Service Management Processos
ITIL 27001:2013 Operação do Serviço
Gerenciamento de Eventos A.12.4 - Registros e monitoramento
Gerenciamento de Incidentes A.16 - Gestão de Incidentes de SegInfo
Gerenciamento de Acesso A.9 - Controle de Acesso
Anexo A
Segurança da Informação:
Gerenciando serviços de Segurança
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
1.Identificação
2.Registro
3.Classificação
4.Priorização
5.Diagnostico inicial
6.Escalamento
7.Investigação e diagnóstico
8.Resolução e recuperação
9.Encerramento
!
Gerenciamento de Incidentes
!
Segurança da Informação:
Gerenciando serviços de Segurança
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
Incidente de SI
Identificador único;
Categorização / Urgência / Impacto / Priorização;
Data/Hora do registro do incidente;
Contatos da pessoa/equipe que efetuou o registro;
Método de notificação (e.g. telefone, email);
Detalhes do usuário (e.g. nome, setor, telefone, local);
Método de contato com o usuário (e.g. telefone, email);
Descrição dos sintomas do incidente;
Status do incidente;
Ativos afetados / Problemas / Erros conhecidos
relacionados ao incidente;
Responsável pelo incidente (e.g. analista / equipe);
Atividades executadas para solucionar o incidente;
Data/Hora de solução;
Categoria / Data/Hora do encerramento.
Segurança da Informação:
Gerenciando serviços de Segurança
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
Incidente de SI Incidentes de SI normalmente requerem algumas
considerações adicionais:
Implicações Legais / Crime Se o incidente foi cometido de forma deliberada por um agente interno ou externo a organização
isso pode indicar um crime. Aspectos legais devem ser observados (e.g. cadeia de custódia de
evidências) e é indicado que o departamento ou assessoria jurídica esteja envolvida.
Ampla análise e estimativa de dados Um incidente de SI pode facilmente se propagar do ponto onde foi inicialmente identificado (e.g. um
vírus ou um cracker). Normalmente na gestão de incidentes o objetivo é retomar o serviço o quanto
antes. Para incidentes de segurança é necessário uma maior análise para identificar a totalidade do
impacto e garantir a contenção da ameaça.
Evitar danos desnecessários Um incidente de SI está muito mais propenso a causar dados adicionais (e.g. após a aplicação de
uma solução ineficiente). Um cuidado maior é necessário visto que um atacante pode ter se
antecipado a ações da equipe de segurança.
Limitar divulgação de informações Incidentes de SI podem afetar a imagem ou reputação da organização. É necessário que todos os
envolvidos trabalhem com base no princípio da necessidade de conhecer (need-to-know)
controlando informações sobre a solução aplicada e possíveis modificações na infraestrutura de
segurança.
Segurança da Informação:
Gerenciando serviços de Segurança
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
Serviços de Segurança de TI
Desafios
Falta de VISÃO ESTRATÉGICA
Dificuldade no ALINHAMENTO COM
O NEGÓCIO
Traduzindo: CULTURA.
Segurança da Informação:
Gerenciando serviços de Segurança
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
Liderança Centralizada
Escalabilidade e Agilidade
Planejamento Abrangente
Gestão de Riscos
Serviços de Segurança de TI
Segurança da Informação:
Gerenciando serviços de Segurança
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
Liderança Centralizada
Escalabilidade e Agilidade
Planejamento Abrangente
Gestão de Riscos
VISÃO HOLÍSTICA.
Serviços de Segurança de TI
Segurança da Informação:
Gerenciando serviços de Segurança
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
Claudio Dodt, ISMAS, CISSP, CISA Business Continuity & Security Senior Consultant
http://www.daryus.com.br
http://claudiododt.com
http://www.facebook.com/claudiododtcom
http://br.linkein/claudiododt
http://pt.slideshare.net/claudiododt