Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
Aula 10
Organizando a
Segurança da Informação
Prof. Leonardo Lemes Fagundes
“A estratégia sem tática é o caminho
mais lento para a vitória. Tática sem
estratégia é o ruído antes da derrota.”
A Arte da Guerra
Sun Tzu
Introdução
Infra-estrutura da Segurança da Informação
Partes Externas
Responsabilidades
Estudo de Caso
Considerações Finais
Referências Bibliográficas
Agenda
Organizando a Segurança da Informação
Estudamos vários aspectos da Gestão da Segurança da
Informação, porém para que uma organização tenha sucesso ao
implementar essas ações de gestão é fundamental que exista
um planejamento e uma estrutura adequada;
Para tal, é necessário gerenciar a Segurança da Informação
dentro da organização.
Introdução
O que significa “Gerenciar a Segurança da Informação dentro da
organização?”
Convém que uma estrutura de gerenciamento seja estabelecida
para iniciar e controlar a implementação da SegInfo;
Convém que a direção aprove a PSI, atribua as funções da
segurança, coordene e analise criticamente a implementação da
SegInfo.
Infra-estrutura da SegInfo
Objetivos de Controles
Comprometimento da direção com a SegInfo;
Coordenação da SegInfo;
Atribuição de responsabilidades;
Processo de autorização para os recursos de processamento da
informação;
Acordos de confidencialidade;
Contato com autoridades e grupos especiais;
Análise independente de SegInfo.
Infra-estrutura da SegInfo
Algumas questões que merecem atenção especial:
Perfil do Gestor de Segurança ( <> Chief Security Officer)
Visão Global e foco local;
Tomar decisões baseados na análise de riscos;
Criar e multiplicar padrões;
Capacidades: comunicação, relacionamento e liderança;
Profissional orientado a metas ligadas à missão da
empresa.
Infra-estrutura da SegInfo
Algumas questões que merecem atenção especial:
Principais desafios
Limitações de orçamento;
Conscientizar gestores e colaboradores;
Questões políticas;
Desenvolver e reter profissionais e suas respectivas
habilidades;
Infra-estrutura da SegInfo
Algumas questões que merecem atenção especial:
Fatores Críticos de Sucesso (FCS)
Autonomia;
Entender o Princípio de Pareto como uma ferramenta de
Gestão ;
20% das causas representam 80% das consequências;
Buscar comprometimento e envolvimento;
Infra-estrutura da SegInfo
Algumas questões que merecem atenção especial:
Comitê de Segurança
Conforme já estudamos esse grupo tem como objetivo
tomar decisões estratégicas a respeito da SegInfo, elaborar
diretrizes e apoiar (dar suporte) as iniciativas de segurança;
Formado por executivos, diretores e/ou gestores;
Infra-estrutura da SegInfo
Algumas questões que merecem atenção especial:
Grupo de Trabalho
CSO e/ou Gestor de Segurança da Informação;
Consultor de Segurança;
Analista de Segurança;
Auditores;
Estrutura Organizacional (define o tipo de autonomia e
interação que a área de SegInfo terá com as outras áreas).
Infra-estrutura da SegInfo
Gerenciar a SegInfo implica ainda em:
Manter a segurança dos recursos de processamento da
informação e da informação da organização que são acessados,
processados, comunicados e/ou gerenciados por partes
externas (clientes, fornecedores, terceiros).
Partes Externas
Objetivos de Controle:
Identificação dos riscos relacionados com a partes externas;
Identificando a SegInfo quando tratando com clientes;
Identificando a SegInfo em acordos com terceiros;
Partes Externas
Responsabilidades
Fonte: Revista da ISACA
O estudo de caso a seguir é descrito no livro “Guia Oficial para
Formação de Gestores em Segurança da Informação”.
Empresa privada de médio porte com as seguintes características:
Não há investimento orçado para o exercício atual;
Não há sensibilização por parte do nível executivo;
A auditoria externa tem cobrado iniciativas em relação à SegInfo;
Não há registros de perdas significativas nos últimos anos;
A auditoria interna tem recursos em SegInfo ;
Empresa com estrutura matricial.
Estudo de Caso
Gerir a Segurança da Informação de uma organização é uma tarefa
complexa e que demanda conhecimentos multidisciplinares.
São muitas as “ferramentas” de gestão: política de segurança da
informação, gestão de riscos, resposta e tratamento de incidentes,
estratégias de contingência, etc.
Um dos fatores críticos de sucesso da Gestão da segurança da
informação é a definição de uma estrutura de gerenciamento
adequada com a realidade da organização.
Considerações Finais
Ao término dessa aula o aluno esta apto para:
Interpretar os objetivos de controle referentes a organização da
segurança da informação:
Infra-estrutura da SegInfo
Partes externas
Analisar a realidade da sua organização e propor uma estrutura
de gerenciamento da segurança da informação adequada.
Considerações Finais
Ramos, Anderson. Guia Oficial para Formação de Gestores em
Segurança da Informação.
ABNT NBR ISO/IEC 17799:2005. Código de Prática para a Gestão
da Segurança da Informação.
Referências Bibliográficas