implementação de sgsi [impressão]
DESCRIPTION
Palestra sobre a implementação de um SGSI e alguns desafios mapeados.TRANSCRIPT
![Page 1: Implementação de sgsi [impressão]](https://reader035.vdocuments.mx/reader035/viewer/2022081720/559af2421a28abad708b45fa/html5/thumbnails/1.jpg)
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
![Page 2: Implementação de sgsi [impressão]](https://reader035.vdocuments.mx/reader035/viewer/2022081720/559af2421a28abad708b45fa/html5/thumbnails/2.jpg)
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
2
www.shieldsaas.com
![Page 3: Implementação de sgsi [impressão]](https://reader035.vdocuments.mx/reader035/viewer/2022081720/559af2421a28abad708b45fa/html5/thumbnails/3.jpg)
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
3
IMPLEMENTAÇÃO DE SGSI
![Page 4: Implementação de sgsi [impressão]](https://reader035.vdocuments.mx/reader035/viewer/2022081720/559af2421a28abad708b45fa/html5/thumbnails/4.jpg)
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
4
Processos da gestão de SI
Formação de equipe de SI
Questões normativas
Startup de área de SI
Tecnologias específicas
Segurança de rede
Gestão de projetos
Ataques e defesas
![Page 5: Implementação de sgsi [impressão]](https://reader035.vdocuments.mx/reader035/viewer/2022081720/559af2421a28abad708b45fa/html5/thumbnails/5.jpg)
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
5
MAS O QUE É UM SGSI?
![Page 6: Implementação de sgsi [impressão]](https://reader035.vdocuments.mx/reader035/viewer/2022081720/559af2421a28abad708b45fa/html5/thumbnails/6.jpg)
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
6
SG
SI
Sistema
Gestão
Segurança
Informação
![Page 7: Implementação de sgsi [impressão]](https://reader035.vdocuments.mx/reader035/viewer/2022081720/559af2421a28abad708b45fa/html5/thumbnails/7.jpg)
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
7
A organização deve estabelecer, implementar, operar,
monitorar, analisar criticamente, manter e melhorar um
SGSI documentado dentro do contexto das atividades de
negócio globais da organização e os riscos que ela enfrenta. ABNT NBR ISO/IEC 27001
![Page 8: Implementação de sgsi [impressão]](https://reader035.vdocuments.mx/reader035/viewer/2022081720/559af2421a28abad708b45fa/html5/thumbnails/8.jpg)
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
8
• Fase 4 – Validação das ações implantadas
• Fase 5 – Implantação de processos de manutenção
• Fase 3 – Implantação das ações definidas
• Fase 1 – “Quick scan” inicial
• Fase 2 – Identificação de “gaps” e planos de ação
Planejamento
(Plan)
Execução
(Do)
Validação
(Check)
Acompanha-mento
(Act)
![Page 9: Implementação de sgsi [impressão]](https://reader035.vdocuments.mx/reader035/viewer/2022081720/559af2421a28abad708b45fa/html5/thumbnails/9.jpg)
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
9
• Fase 4 – Validação das ações implantadas
• Fase 5 – Implantação de processos de manutenção
• Fase 3 – Implantação das ações definidas
• Fase 1 – “Quick scan” inicial
• Fase 2 – Identificação de “gaps” e planos de ação
Planejamento
(Plan)
Execução
(Do)
Validação
(Check)
Acompanha-mento
(Act)
![Page 10: Implementação de sgsi [impressão]](https://reader035.vdocuments.mx/reader035/viewer/2022081720/559af2421a28abad708b45fa/html5/thumbnails/10.jpg)
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
10
• Fase 1 – “Quick scan” inicial
• Fase 2 – Identificação de “gaps” e planos de ação
Estabelecer a política, objetivos, processos e
procedimentos do SGSI, relevantes para a gestão
de riscos e a melhoria da segurança da informação
para produzir resultados de acordo com as políticas
e objetivos globais de uma organização.
![Page 11: Implementação de sgsi [impressão]](https://reader035.vdocuments.mx/reader035/viewer/2022081720/559af2421a28abad708b45fa/html5/thumbnails/11.jpg)
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
11
• Fase 1 – “Quick scan” inicial
• Fase 2 – Identificação de “gaps” e planos de ação
•Mapear as áreas e responsáveis;
•Reunião de identificação dos processos críticos;
•Absorver cultura;
•Fechar escopo de atuação;
•Definir grupo multidisciplinar;
![Page 12: Implementação de sgsi [impressão]](https://reader035.vdocuments.mx/reader035/viewer/2022081720/559af2421a28abad708b45fa/html5/thumbnails/12.jpg)
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
12
• Fase 1 – “Quick scan” inicial
• Fase 2 – Identificação de “gaps” e planos de ação
•Analisar e avaliar os riscos operacionais e de
ambiente;
•Identificar controles e avaliar sua efetividade;
•Avaliar documentação;
•Avaliar maturidade em SI;
•Definir planos de atuação.
![Page 13: Implementação de sgsi [impressão]](https://reader035.vdocuments.mx/reader035/viewer/2022081720/559af2421a28abad708b45fa/html5/thumbnails/13.jpg)
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
13
• Fase 3 – Implantação das ações definidas
Implementar e operar a política, controles, processos e
procedimentos do SGSI.
![Page 14: Implementação de sgsi [impressão]](https://reader035.vdocuments.mx/reader035/viewer/2022081720/559af2421a28abad708b45fa/html5/thumbnails/14.jpg)
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
14
• Fase 3 – Implantação das ações definidas
•Elaborar cronograma de implantação de controles e
procedimentos;
•Executar subprojetos de segurança;
•Elaborar documentação normativa de suporte aos subprocessos;
•Validar documentação elaborada; e
•Identificar potenciais controles.
![Page 15: Implementação de sgsi [impressão]](https://reader035.vdocuments.mx/reader035/viewer/2022081720/559af2421a28abad708b45fa/html5/thumbnails/15.jpg)
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
15
• Fase 4 – Validação das ações implantadas
Avaliar e, quando aplicável, medir o
desempenho de um processo frente à política,
objetivos e experiência prática do SGSI e
apresentar os resultados para a análise crítica
pela direção.
• Validar controles identificados;
• Fazer todos os processos de auditoria
(execução, validação, emissão de
relatórios);
• Executar avaliação de maturidade e
comparar com a avaliação inicial;
• Apresentar avaliação dos controles.
![Page 16: Implementação de sgsi [impressão]](https://reader035.vdocuments.mx/reader035/viewer/2022081720/559af2421a28abad708b45fa/html5/thumbnails/16.jpg)
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
16
• Fase 5 – Implantação de processos de manutenção
Executar as ações corretivas e
preventivas, com base nos resultados
da auditoria interna do SGSI e da
análise crítica pela direção ou outra
informação pertinente, para alcançar a
melhoria contínua do SGSI.
• Validar controles identificados;
• Executar processo de auditoria de validação
das atividades e subprojetos;
• Emitir relatório de auditoria;
• Apresentar resultado de auditoria;
• Executar avaliação de maturidade e comparar
com o resultado obtido na Fase 2; e
• Apresentar avaliação dos controles.
![Page 17: Implementação de sgsi [impressão]](https://reader035.vdocuments.mx/reader035/viewer/2022081720/559af2421a28abad708b45fa/html5/thumbnails/17.jpg)
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
17
![Page 18: Implementação de sgsi [impressão]](https://reader035.vdocuments.mx/reader035/viewer/2022081720/559af2421a28abad708b45fa/html5/thumbnails/18.jpg)
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
18
MAS ESSAS ATIVIDADES SÃO...COMUNS
![Page 19: Implementação de sgsi [impressão]](https://reader035.vdocuments.mx/reader035/viewer/2022081720/559af2421a28abad708b45fa/html5/thumbnails/19.jpg)
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
19
O QUE DIFERENCIA?
![Page 20: Implementação de sgsi [impressão]](https://reader035.vdocuments.mx/reader035/viewer/2022081720/559af2421a28abad708b45fa/html5/thumbnails/20.jpg)
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
20
![Page 21: Implementação de sgsi [impressão]](https://reader035.vdocuments.mx/reader035/viewer/2022081720/559af2421a28abad708b45fa/html5/thumbnails/21.jpg)
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
21
![Page 22: Implementação de sgsi [impressão]](https://reader035.vdocuments.mx/reader035/viewer/2022081720/559af2421a28abad708b45fa/html5/thumbnails/22.jpg)
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
22
Processo 1
Processo 2
Processo 3
Processo n
![Page 23: Implementação de sgsi [impressão]](https://reader035.vdocuments.mx/reader035/viewer/2022081720/559af2421a28abad708b45fa/html5/thumbnails/23.jpg)
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
23
Processo 1
Processo 2
Processo 3
Processo n
![Page 24: Implementação de sgsi [impressão]](https://reader035.vdocuments.mx/reader035/viewer/2022081720/559af2421a28abad708b45fa/html5/thumbnails/24.jpg)
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
24
Negócio
nos seus objetivos e no que o suporta
Controles Processos/procedimentos
![Page 25: Implementação de sgsi [impressão]](https://reader035.vdocuments.mx/reader035/viewer/2022081720/559af2421a28abad708b45fa/html5/thumbnails/25.jpg)
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
25
Presidência
Financeiro RH TI
SI
Produto Marketing
![Page 26: Implementação de sgsi [impressão]](https://reader035.vdocuments.mx/reader035/viewer/2022081720/559af2421a28abad708b45fa/html5/thumbnails/26.jpg)
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
26
Presidência
Financeiro RH TI SI Produto Marketing
![Page 27: Implementação de sgsi [impressão]](https://reader035.vdocuments.mx/reader035/viewer/2022081720/559af2421a28abad708b45fa/html5/thumbnails/27.jpg)
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
27
![Page 28: Implementação de sgsi [impressão]](https://reader035.vdocuments.mx/reader035/viewer/2022081720/559af2421a28abad708b45fa/html5/thumbnails/28.jpg)
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
28
OK! MAS ESTAMOS FALANDO DE SEGURANÇA DA INFORMAÇÃO
![Page 29: Implementação de sgsi [impressão]](https://reader035.vdocuments.mx/reader035/viewer/2022081720/559af2421a28abad708b45fa/html5/thumbnails/29.jpg)
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
29
Segurança da informação
Inte
grid
ade
Dis
poni
bilid
ade
![Page 30: Implementação de sgsi [impressão]](https://reader035.vdocuments.mx/reader035/viewer/2022081720/559af2421a28abad708b45fa/html5/thumbnails/30.jpg)
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
30
• Inerente ao ativo
• Relacionado à fragilidades Vulnerabilidade
• Normalmente externo ao ativo
• Normalmente requer um agente Ameaça
• Grau de exposição de um ativo a uma ameaça
• Dá suporte aos gestores Risco
![Page 31: Implementação de sgsi [impressão]](https://reader035.vdocuments.mx/reader035/viewer/2022081720/559af2421a28abad708b45fa/html5/thumbnails/31.jpg)
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
31
![Page 32: Implementação de sgsi [impressão]](https://reader035.vdocuments.mx/reader035/viewer/2022081720/559af2421a28abad708b45fa/html5/thumbnails/32.jpg)
![Page 33: Implementação de sgsi [impressão]](https://reader035.vdocuments.mx/reader035/viewer/2022081720/559af2421a28abad708b45fa/html5/thumbnails/33.jpg)
![Page 34: Implementação de sgsi [impressão]](https://reader035.vdocuments.mx/reader035/viewer/2022081720/559af2421a28abad708b45fa/html5/thumbnails/34.jpg)
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
34
Reter ou aceitar
Uma forma de tratamento
de risco na qual a alta
administração decide
realizar a atividade,
assumindo as
responsabilidades caso
ocorra o risco identificado
04/I
N01
/DS
IC/G
SIP
R
![Page 35: Implementação de sgsi [impressão]](https://reader035.vdocuments.mx/reader035/viewer/2022081720/559af2421a28abad708b45fa/html5/thumbnails/35.jpg)
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
35
Reter ou aceitar Transferir ou
compartilhar
Uma forma de tratamento
de risco na qual a alta
administração decide
realizar a atividade,
compartilhando com outra
entidade o ônus
associado a um risco
04/I
N01
/DS
IC/G
SIP
R
![Page 36: Implementação de sgsi [impressão]](https://reader035.vdocuments.mx/reader035/viewer/2022081720/559af2421a28abad708b45fa/html5/thumbnails/36.jpg)
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
36
Reter ou aceitar Transferir ou
compartilhar
Tratar ou mitigar
Processo e implementação de
ações de segurança da
informação e comunicações
para evitar, reduzir, reter ou
transferir um risco
04/I
N01
/DS
IC/G
SIP
R
![Page 37: Implementação de sgsi [impressão]](https://reader035.vdocuments.mx/reader035/viewer/2022081720/559af2421a28abad708b45fa/html5/thumbnails/37.jpg)
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
37
Reter ou aceitar
Reduzir ou evitar
Transferir ou
compartilhar
Tratar ou mitigar
Uma forma de tratamento de
risco na qual a alta
administração decide realizar a
atividade, adotando ações para
reduzir a probabilidade, as
consequências negativas, ou
ambas, associadas a um risco
04/I
N01
/DS
IC/G
SIP
R
![Page 38: Implementação de sgsi [impressão]](https://reader035.vdocuments.mx/reader035/viewer/2022081720/559af2421a28abad708b45fa/html5/thumbnails/38.jpg)
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
38
Reter ou aceitar
Reduzir ou evitar
Transferir ou
compartilhar
Tratar ou mitigar
04/I
N01
/DS
IC/G
SIP
R
![Page 39: Implementação de sgsi [impressão]](https://reader035.vdocuments.mx/reader035/viewer/2022081720/559af2421a28abad708b45fa/html5/thumbnails/39.jpg)
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
39
MAS A DEFINIÇÃO DE RISCOS É COMPLEXA...
![Page 40: Implementação de sgsi [impressão]](https://reader035.vdocuments.mx/reader035/viewer/2022081720/559af2421a28abad708b45fa/html5/thumbnails/40.jpg)
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
40
O QUE PODE SER USADO COMO GUIA?
![Page 41: Implementação de sgsi [impressão]](https://reader035.vdocuments.mx/reader035/viewer/2022081720/559af2421a28abad708b45fa/html5/thumbnails/41.jpg)
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
41
ISO/IEC27005
BS25999
Basiléia II
Resoluções Normativas
Decretos e leis
ISO31000
SOX
CVM
SUSEP
ISO/IEC27005
BS25999
Basiléia II
Resoluções Normativas
Decretos e leis
ISO31000
SOX
CVM
SUSEP
ISO/IEC27005
BS25999
Basiléia II
Resoluções Normativas
Decretos e leis
ISO31000
SOX
CVM SUSEP
ISO/IEC27005
BS25999
Basiléia II
Resoluções Normativas
Decretos e leis
ISO31000
SOX
CVM
SUSEP
ISO/IEC27005
BS25999
Basiléia II
Resoluções Normativas
Decretos e leis
ISO31000
SOX
CVM
SUSEP ISO/IEC27005
BS25999
Basiléia II Resoluções Normativas
Decretos e leis
ISO31000
SOX
CVM
SUSEP
ISO/IEC27005
BS25999
Basiléia II
Resoluções Normativas
Decretos e leis
ISO31000
SOX
CVM
SUSEP
ISO/IEC27005
BS25999
Basiléia II
Resoluções Normativas
Decretos e leis
ISO31000
SOX
CVM
SUSEP
![Page 42: Implementação de sgsi [impressão]](https://reader035.vdocuments.mx/reader035/viewer/2022081720/559af2421a28abad708b45fa/html5/thumbnails/42.jpg)
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
42
Leis
Normas
Resoluções
Regulamentações
Boas práticas de mercado
OBRIGATÓRIAS PARA TODOS!
OBRIGATÓRIAS POR NICHO
![Page 43: Implementação de sgsi [impressão]](https://reader035.vdocuments.mx/reader035/viewer/2022081720/559af2421a28abad708b45fa/html5/thumbnails/43.jpg)
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
43
![Page 44: Implementação de sgsi [impressão]](https://reader035.vdocuments.mx/reader035/viewer/2022081720/559af2421a28abad708b45fa/html5/thumbnails/44.jpg)
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
44
E QUEM FAZ ISSO TUDO?
![Page 45: Implementação de sgsi [impressão]](https://reader035.vdocuments.mx/reader035/viewer/2022081720/559af2421a28abad708b45fa/html5/thumbnails/45.jpg)
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
45
Estratégico
CISO
Arquiteto de SI Arquiteto de SI
ISO ISM
Analistas e
especialistas
Tático
Operacional
![Page 46: Implementação de sgsi [impressão]](https://reader035.vdocuments.mx/reader035/viewer/2022081720/559af2421a28abad708b45fa/html5/thumbnails/46.jpg)
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
46
Estratégico
CISO
ISO ISM
Analistas e
especialistas
Tático
Operacional
Analistas e
especialistas
![Page 47: Implementação de sgsi [impressão]](https://reader035.vdocuments.mx/reader035/viewer/2022081720/559af2421a28abad708b45fa/html5/thumbnails/47.jpg)
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
47
BEM, VAMOS RESUMIR...
![Page 48: Implementação de sgsi [impressão]](https://reader035.vdocuments.mx/reader035/viewer/2022081720/559af2421a28abad708b45fa/html5/thumbnails/48.jpg)
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
48
Obter suporte executivo
Identificar o estado atual
Traçar objetivos alcançáveis
Subdividir em projetos curtos
Aplicar pontos de validação periódica
Usar embasamento normativo adequado
Considerar o Risco para o negócio
Considerar a estrutura da
organização como ponto de força
Revise periodicamente o
que você vem fazendo
![Page 49: Implementação de sgsi [impressão]](https://reader035.vdocuments.mx/reader035/viewer/2022081720/559af2421a28abad708b45fa/html5/thumbnails/49.jpg)
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
49
Obter suporte executivo
Identificar o estado atual
Traçar objetivos alcançáveis
Subdividir em projetos curtos
Aplicar pontos de validação periódica
Usar embasamento normativo adequado
Considerar o Risco para o negócio
Considerar a estrutura da
organização como ponto de força
Revise periodicamente o
que você vem fazendo
![Page 50: Implementação de sgsi [impressão]](https://reader035.vdocuments.mx/reader035/viewer/2022081720/559af2421a28abad708b45fa/html5/thumbnails/50.jpg)
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
50
Obrigado
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
web: www.ShieldSaaS.com | twitter: @ShieldSaaS