secretaria de logística e tecnologia da informação ministÉrio do planejamento secretaria de...

Secretaria de Logística e Tecnologia da InformaçãoMINISTÉRIO DO PLANEJAMENTOSecretaria de Logística e Tecnologia da InformaçãoMINISTÉRIO DO PLANEJAMENTO

Segurança da Informação Segurança da Informação para a Governança de TIpara a Governança de TI

Coordenação-Geral de Segurança da Informação – DSR/SLTI


Agenda

Governança de TI

O que é?

Objetivos

ABNT 38500:2009

O SGSI

Conceitos e definições

Objetivos

Normas

Princípios e Diretrizes

O SGSI e a Governança de TI

A SI na APF


Governança de TI

O que é?O que é? Objetivos

A Norma ABNT NBR

ISO/IEC 38500:2009

Gov. TI: O que é?

Governança Corporativa

Sistema pelo qual as organizações

são dirigidas e controladas,

envolvendo os relacionamentos

entre Acionistas/Cotistas, Conselho

de Administração, Diretoria,

Auditoria Independente e Conselho

Fiscal. (adaptado do Relatório

Cadbury 1992 e OECD 1999)

Gov. TI: O que é?

Governança Corporativa de TI

Parte do Sistema Governança CorporativaSistema pelo qual o uso atual e futuro da TI é dirigido e controladoSignifica avaliar e direcionar o uso da TI para dar suporte à organização e monitorar seu uso para realizar os planos. Inclui a estratégica e as políticas de uso da TI dentro da organização

Governança ≠ Gerenciamento


Governança de TI

O que é?O que é?

ObjetivosObjetivos A Norma ABNT NBR

ISO/IEC 38500:2009

Objetivos da Gov. de TIPromover o uso eficaz, eficiente e Promover o uso eficaz, eficiente e

aceitável da TIaceitável da TI

A maioria das organizações usa a TI como uma ferramenta fundamental do negócio e poucas podem funcionar eficazmente sem elaAs despesas com a TI podem representar uma porção significativa dos gastos de recursos financeiros e humanos

Objetivos da Gov. de TIPromover o uso eficaz, eficiente e Promover o uso eficaz, eficiente e

aceitável da TIaceitável da TI

Frequentemente o retorno desse investimento não é totalmente obtido, com grandes efeitos adversosA principal razão para esses resultados negativos é a ênfase nos aspectos técnico, financeiro e de programação das atividades de TI, ao invés do uso da TI no contexto geral do negócio

Objetivos da Gov. de TI

A Governança de TI busca alinhar os objetivos da TI com os objetivos

estratégicos e a finalidade da organização assegurar a conformidade da TI com as leis e

regulamentos definir com clareza as responsabilidades e

obrigatoriedades assegurar a continuidade e sustentabilidade do

negócio reduzir os custos da organização obter uma alocação eficiente de recursos


Governança de TI

O que é?O que é?

Objetivos

A Norma ABNT NBR A Norma ABNT NBR

ISO/IEC 38500:2009ISO/IEC 38500:2009

A Norma ABNT 38500Estabelece os princípios para o uso eficaz, Estabelece os princípios para o uso eficaz, eficiente e aceitável da TI e um modelo para eficiente e aceitável da TI e um modelo para a governança de TIa governança de TI

A norma assegura às organizações que seguem os princípios que os riscos serão melhor avaliados e as oportunidades serão melhor aproveitadasAs organizações que usam as orientações fornecidas nessa norma têm maior probabilidade de cumprir com suas obrigações

A Norma ABNT 38500PrincípiosPrincípios

Expressam o comportamento preferido

para orientar a tomada de decisão.

Referem-se ao que convém acontecer,

mas não descreve como, quando ou por

quem os princípios seriam implementados

A Norma ABNT 38500PrincípiosPrincípios

1. Responsabilidade

2. Estratégia

3. Aquisição

4. Desempenho

5. Conformidade

6. Comportamento Humano

A Norma ABTN 38500ModeloModelo


Sistema de Gestão da SIC

Conceitos e definiçõesConceitos e definiçõesObjetivos

Normas

Princípios e diretrizes

Informação, ativo de informação, disponibilidade, integridade, confidencialidade, autenticidade, segurança da informação, sistema de gestão de segurança da informação.

Conceitos e Definições


Informação – É o resultado do processamento, manipulação e organização de dados, de tal forma que represente uma modificação (quantitativa ou qualitativa) no conhecimento do sistema (pessoa, animal ou máquina) que a recebe.

A informação é A informação é um ativo um ativo econômico e econômico e estratégicoestratégico


Tipos de Informação

Impressa ou escrita em papel

Armazenada eletronicamente

Verbal

Internas da organização

De clientes e fornecedores

De parceiros


Ativo de informação – Meios de armazenamento, transmissão e processamento, os sistemas de informação, bem como os locais onde se encontram esses meios e as pessoas que a eles têm acesso (Portaria Nº45 – 8/09/2009 - GSIPR)


Disponibilidade – Propriedade de estar acessível e utilizável sob demanda por uma entidade autorizada (ISO 27.001)

Integridade – Propriedade de salvaguarda da exatidão e completeza de ativos (ISO 27.001)

Confidencialidade – Propriedades de que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não autorizados (ISO 27.001)

Autenticidade – Propriedades de que a informação foi produzida, expedida, modificada ou destruída por uma determinada pessoas física, ou por um determinado sistema, órgão ou entidade (IN01 GSIPR)

D I C AD I C A


Segurança da informação – Preservação da disponibilidade, integridade e confidencialidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas (ABNT NBR ISO/IEC 27.001:2006)


Sistema de Gestão de Segurança da Informação SGSI – A parte do sistema global, baseado na abordagem de riscos do negócio, para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a segurança da informação (ABNT NBR ISO/IEC 27.001:2006)




Objetivos Objetivos Normas

Princípios e diretrizes

Objetivos da SIC

Preservar:Preservar:

Informação DICA

Organização Missão Continuidade do Negócio Conformidade Legal Imagem Credibilidade

Objetivos da SIC

Evitar e MinimizarEvitar e Minimizar

RiscosVulnerabilidadesPrejuízosVazamento de informação sensível, sigilosa ou críticaIncidentes

DescontinuidadesDesastresCrisesRoubo de informaçõesNão conformidades legais




Objetivos

NormasNormas Princípios e diretrizes

Normas de SI para a APFO GSIPR, por meio do DSIC, é o órgão responsável por editar normas de SIC para a APF.

Quais as principais normas emanadas pelo GSIPR?

IN 01 (18/06/2008) - Disciplina a Gestão de Segurança da Informação e Comunicações na Administração Pública Federal, direta e indireta, e dá outras providências.

NC 01 (15/10/2008) – Disciplina a Atividade de Normatização.

NC 02 (14/10/2008) – Metodologia de Gestão de SIC.



NC 03 (03/07/2009) – Define diretrizes para a Elaboração da PoSIC.

NC 04 (17/08/2009) – Define diretrizes para o processo de GRSIC

NC05 (17/08/2009) – Disciplina a criação de ETIRs.



NC06 (23/11/2009) – Estabelece diretrizes para a GCN nos aspectos de SIC.

NC07 (07/05/2010) – Estabelece diretrizes para Implementação de Controles de Acesso.

NC08 (24/08/2010) – Estabelece diretrizes para GIRC.

NC09 (22/11/2010) – Diretrizes de uso de recursos criptográficos.

Normas de SI para a APFAlém dos normativos do GSIPR, há ainda decretos e normas da ABNT que orientam as ações de SIC na APF.

D3505 (13/06/2000) – Institui a PoSIC nos órgãos e entidades da APF.

D4553 (27/12/2002) – Dispõe sobre diretrizes e métodos para classificação da informação.

ABNT NBR ISO/IEC 27.001:2006 – Define requisitos para SGSI.

ABNT NBR ISO/IEC 27.002:2006 – Código de práticas para a gestão de SIC (GUIA DE MELHORES PRÁTICAS)!!!!

Normas de SI para a APFAlém dos normativos do GSIPR, há ainda decretos e normas da ABNT que orientam as ações de SIC na APF.

ABNT NBR ISO/IEC 27.004:2010 – Estabelece diretrizes para o desenvolvimento e uso de métricas e medições dos controles de SI.

ABNT NBR ISO/IEC 27.005:2008 – Fornece diretrizes para o processo de gestão de riscos de SI.

ABNT NBR ISO/IEC 27.003:2011 – Diretrizes para implantação do SGSI.




Objetivos

Normas

Princípios e diretrizesPrincípios e diretrizes

Princípios e Diretrizes de SIA SI é responsabilidade da alta direção da organização

Não é responsabilidade apenas do gestor de TI

Mas precisa de uma arquitetura que sustente a SI

Delegar atribuições é fundamental (Gestor de SIC, proprietário da informação, custodiante da informação, etc)

Princípios e Diretrizes de SIA SI é responsabilidade da alta direção da organização

Evidências do comprometimento da alta direção:

PoSIC Plano e objetivos de SIC Papéis e responsabilidades Comunicar a importância da SIC Assegurar os recurso$ necessários para as ações de

SIC Definir critérios e níveis de risco aceitáveis Garantir auditorias do SGSI

Um dos maiores desafios

Princípios e Diretrizes de SIPoSIC, objetivos e atividades de SIC que reflitam os objetivos do negócio

Alinhamento entre a SIC e objetivos estratégicos, estrutura e finalidade da instituição

A Gestão de SIC deve suportar a tomada de decisão na organização

PoSIC – primeiro passo

Nada acontece sem a PoSIC

PoSIC sem processos, atividades, estrutura, recurso$, normas, não é muito útil

Princípios e Diretrizes de SITreinamento e conscientização

Muitas vezes, as pessoas são o elo fraco da corrente

O sucesso do programa de SI depende

do bom entendimento dos requisitos de SI, da análise/avaliação de riscos e da gestão de riscos

da divulgação eficiente das ações

Princípios e Diretrizes de SIImplementação de um sistema de medição

“O que não é medido, não é gerenciado”

Não é necessário criar métricas complexas, o básico já é suficiente

A norma 27.004 pode auxiliar


O SGSI e a Governança de TI

SGSI e Gov. TIModelo de Gov. TI e as InformaçõesModelo de Gov. TI e as Informações


A SIC na APF

A SIC na APFCertificação Digital nos Certificação Digital nos

Sistemas Estruturantes da APFSistemas Estruturantes da APF

Certificado Digital Documento eletrônico que se destina a

registrar de forma única, exclusiva e intransferível a relação entre uma chave de criptografia e uma PJ, PF, máquina ou aplicação



Certificado Digital Tem por finalidade garantir a identidade

das partes envolvidas em uma transação e proteger as informações sob a guarda do estado

Possui validade jurídica Permite

AgilidadeRedução de custos



Certificado Digital Permite

GEDEconomia de recursos naturaisSegurança

• APF• Cidadão



Sistemas Estruturantes (30) SIAPE SIASG COMPRASNET SIDOR SIAPA SIORG SCDP SICONV



Desafios Emissão presencial Servidores distribuídos em todo o território

nacional Treinamento dos multiplicadores Pagamento dos CDs 120 redes do Governo Manuais de usuário

A SIC na APF

Infovia BrasíliaInfovia Brasília

O que é? Infraestrutura de rede ótica

metropolitana de comunicações, construída para fornecer, aos órgãos do Governo Federal situados em Brasília, um conjunto de serviços e funcionalidades em ambiente seguro, de alta performance e de alta disponibilidade

A SIC na APF


Objetivos

Proporcionar uma significativa redução dos custos de comunicação e um ambiente capaz de servir de suporte à implementação das políticas públicas de Governo

A SIC na APF


SIC na Infovia Garantir a DICA por meio

Gestão de Ativos de InformaçãoGestão de RiscosSegurança FísicaGestão de operações e comunicaçõesControle de AcessoTratamento de IncidentesGestão de Continuidade

A SIC na APF

e-PINGe-PINGO que é?

Arquitetura que define um conjunto mínimo de premissas, políticas e especificações técnicas que regulamentam a utilização da Tecnologia de Informação e Comunicação (TIC) no governo federal, estabelecendo as condições de interação com os demais Poderes e esferas de governo e com a sociedade em geral.

A SIC na APF

e-PINGe-PINGGT Segurança

Este segmento trata dos aspectos de segurança de TIC que o governo federal deve considerar. São tratados os padrões para: Segurança de IP Segurança de Correio Eletrônico Criptografia Desenvolvimento de Sistemas Serviços de Rede Coleta e arquivamento de evidências

A SIC na APF

e-PINGe-PINGSituação atual dos padrões e-PING

A – Adotado R – Recomendado T – Em TransiçãoE – Em Estudo F – Estudo Futuro

A SIC na APF

e-PINGe-PINGSituação atual dos padrões e-PING

https://www.consultas.governoeletronico.gov.br/ConsultasPublicas/consultas.do?acao=exibir&id=96

A SIC na APF

NSIC – Núcleo de SIC do SISPNSIC – Núcleo de SIC do SISPO NSIC é um Fórum de Discussão dos

Desafios da SIC para o SISP

A SIC na APF

NSIC – Núcleo de SIC do SISPNSIC – Núcleo de SIC do SISP Instituído pela Resolução

SLTI nº 5, de 21 de dezembro de 2011.

Objetivo principais realizar estudos sobre SIC elaborar e implementar normas de

SIC divulgar, implementar e monitorar

boas práticas propor capacitação de servidores

em SIC

A SIC na APF

NSIC – Núcleo de SIC do SISPNSIC – Núcleo de SIC do SISP Característica

assessoramento técnico e consultivo manifesta-se por recomendações à

Comissão de Coordenação do SISP

Composição representantes

do SISP outros órgãos ou entidades públicos e

privados especialistas e consultores em SIC


Obrigado!Obrigado!

[email protected]

secretaria de logística e tecnologia da informação ministÉrio do planejamento secretaria de...

Documents