governança de ti e segurança da informação
DESCRIPTION
Palestra apresentada na Semana da Gestão e Governança da TI. Evento realizado pelo Instituto Infnet entre os dias 25/10/2010 e 29/10/2010.TRANSCRIPT
Governança de TI e Segurança da Informação
Luís Segadas - CISSP, CISA
Objetivo
Apresentar o papel da segurança da informação no contexto de governança de TI, com destaque para o processo de gestão de riscos e os benefícios trazidos pela sua implementação.
Governança e Segurança
Governança e Segurança são duas faces da mesma moeda.
Devem se preocupar com Pessoas, Processos e Tecnologias.
Governança - Por que?
Alinhar objetivos de TI com o negócio
Automatizar, padronizar e unificar processos de TI
Otimizar o uso dos recursos
Gerenciar riscos apropriadamente
Facilitar auditoria
Conformidade com partes externas
Fonte: Cobit.
Segurança - Por que?
Proteger os ativos, o negócio e a reputaçãoAlinhar o que proteger com o negócioGerenciar riscosMais facilidades, mais ameaçasAs ameaças são cada vez mais digitaisInformação está em várias mídiasAspectos legais e regulatóriosFonte: ISO 27000.
Um pouco sobre a ISO 27000
Normas ISO (No Brasil são editadas pela ABNT)
ABNT NBR ISO IEC (Número):(Ano de criação ou última revisão)
27001:2006 - Gestão de Segurança da Informação
27002:2005 - Requisitos (antiga 17799)
27005:2008 - Gestão de Riscos de TI
27004:2010 - Métricas.
Mapa: Cobit e ISO 27000
Cobit
Information Criteria
Effectiveness, efficiency, confidentiality, integrity, availability, compliance, reliability
Resources
Application, information, infrastructure, peopleISO 27000
Mapa: Cobit e ISO 27002
Process and Domains 1 2 3 4 5 6 7 8 9 10 11 12 13
Plan and Organize
Acquire and Implement
Deliver and Support
Monitor and Evaluate
Process and Domains 1 2 3 4 5 6 7 8 9 10 11 12 13
Plan and Organize
Acquire and Implement
Deliver and Support
Monitor and Evaluate
Process and Domains 1 2 3 4 5 6 7 8 9 10 11 12 13
Plan and Organize
Acquire and Implement
Deliver and Support
Monitor and Evaluate
Process and Domains 1 2 3 4 5 6 7 8 9 10 11 12 13
Plan and Organize
Acquire and Implement
Deliver and Support
Monitor and Evaluate
Process and Domains 1 2 3 4 5 6 7 8 9 10 11 12 13
Plan and Organize
Acquire and Implement
Deliver and Support
Monitor and Evaluate
Não existe processo do Cobit
Menos de 15 requerimentos foram mapeados
Entre 15 e 29 requerimentos foram mapeados
Mais de 30 foram mapeados
Legenda
ISACA - Information Systems Audit and Control Association
ISACA - Information Systems Audit and Control Association
ISACA - Information Systems Audit and Control Association
ISO 27001 e 27002
5. Política de Segurança6. Segurança organizacional7. Gestão de ativos8. Segurança em RH9. Segurança física e de ambiente10. Gerenciamento de operações e comunicação11. Controle de acesso12. Aquisição, desenvolvimento e manutenção de sistemas13. Gestão de incidentes14. Gestão de continuidade de negócios15. Conformidade.
ISO 27005
Específica de Gestão de Riscos em TIExcelente framework e base de conhecimento.
Vantagens de gerir riscos
Conhecimento das vulnerabilidadesTratar o risco como um direcionador da estratégiaAdoção das melhores práticas
Ciclo de vida da informação
ManuseioTransporteArmazenamentoDescarte
Barreiras da segurança (5D)
DesestimularDificultarDetectarDeterDiagnosticar
Conclusão
Integração entre governança e segurança
Visão holística de segurança da informação, considera pessoas, processos e tecnologias
Gestão de riscos como direcionador de estratégias.
Fonte
Cobit 4.1
Cobit Mapping - Mapping of ISOIEC 17799:2005 with Cobit 4.0
ABNT NBR ISO/IEC 27001:2006
ABNT NBR ISO/IEC 27002:2005
ABNT NBR ISO/IEC 27005:2008
Links úteis
www.isaca.org
www.abnt.org.br
www.iso.org
www.isc2.org
www.iso27001certificates.com
