1 / 58

Segurança da Informação para a Governança de TI

Segurança da Informação para a Governança de TI. Coordenação-Geral de Segurança da Informação – DSR/SLTI. Agenda. Governança de TI O que é? Objetivos ABNT 38500:2009. O SGSI Conceitos e definições Objetivos Normas Princípios e Diretrizes O SGSI e a Governança de TI A SI na APF.

nituna
Download Presentation

Segurança da Informação para a Governança de TI

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Segurança da Informação para a Governança de TI Coordenação-Geral de Segurança da Informação – DSR/SLTI

  2. Agenda • Governança de TI • O que é? • Objetivos • ABNT 38500:2009 • O SGSI • Conceitos e definições • Objetivos • Normas • Princípios e Diretrizes • O SGSI e a Governança de TI • A SI na APF

  3. Governança de TI • O que é? • Objetivos • A Norma ABNT NBR ISO/IEC 38500:2009

  4. Gov. TI: O que é? Governança Corporativa • Sistema pelo qual as organizações são dirigidas e controladas, envolvendo os relacionamentos entre Acionistas/Cotistas, Conselho de Administração, Diretoria, Auditoria Independente e Conselho Fiscal. (adaptado do Relatório Cadbury 1992 e OECD 1999)

  5. Gov. TI: O que é? Governança Corporativa de TI • Parte do Sistema Governança Corporativa • Sistema pelo qual o uso atual e futuro da TI é dirigido e controlado • Significa avaliar e direcionar o uso da TI para dar suporte à organização e monitorar seu uso para realizar os planos. Inclui a estratégica e as políticas de uso da TI dentro da organização Governança ≠ Gerenciamento

  6. Governança de TI • O que é? • Objetivos • A Norma ABNT NBR ISO/IEC 38500:2009

  7. Objetivos da Gov. de TI Promover o uso eficaz, eficiente e aceitável da TI • A maioria das organizações usa a TI como uma ferramenta fundamental do negócio e poucas podem funcionar eficazmente sem ela • As despesas com a TI podem representar uma porção significativa dos gastos de recursos financeiros e humanos

  8. Objetivos da Gov. de TI Promover o uso eficaz, eficiente e aceitável da TI • Frequentemente o retorno desse investimento não é totalmente obtido, com grandes efeitos adversos • A principal razão para esses resultados negativos é a ênfase nos aspectos técnico, financeiro e de programação das atividades de TI, ao invés do uso da TI no contexto geral do negócio

  9. Objetivos da Gov. de TI • A Governança de TI busca • alinhar os objetivos da TI com os objetivos estratégicos e a finalidade da organização • assegurar a conformidade da TI com as leis e regulamentos • definir com clareza as responsabilidades e obrigatoriedades • assegurar a continuidade e sustentabilidade do negócio • reduzir os custos da organização • obter uma alocação eficiente de recursos

  10. Governança de TI • O que é? • Objetivos • A Norma ABNT NBR ISO/IEC 38500:2009

  11. A Norma ABNT 38500 Estabelece os princípios para o uso eficaz, eficiente e aceitável da TI e um modelo para a governança de TI • A norma assegura às organizações que seguem os princípios que os riscos serão melhor avaliados e as oportunidades serão melhor aproveitadas • As organizações que usam as orientações fornecidas nessa norma têm maior probabilidade de cumprir com suas obrigações

  12. A Norma ABNT 38500 Princípios • Expressam o comportamento preferido para orientar a tomada de decisão. • Referem-se ao que convém acontecer, mas não descreve como, quando ou por quem os princípios seriam implementados

  13. A Norma ABNT 38500 Princípios Responsabilidade Estratégia Aquisição Desempenho Conformidade Comportamento Humano

  14. A Norma ABTN 38500 Modelo

  15. Sistema de Gestão da SIC • Conceitos e definições • Objetivos • Normas • Princípios e diretrizes

  16. Conceitos e Definições Informação, ativo de informação, disponibilidade, integridade, confidencialidade, autenticidade, segurança da informação, sistema de gestão de segurança da informação.

  17. Conceitos e Definições Informação – É o resultado do processamento, manipulação e organização de dados, de tal forma que represente uma modificação (quantitativa ou qualitativa) no conhecimento do sistema (pessoa, animal ou máquina) que a recebe. A informação é um ativo econômico e estratégico

  18. Conceitos e Definições Tipos de Informação Impressa ou escrita em papel Armazenada eletronicamente Verbal Internas da organização De clientes e fornecedores De parceiros

  19. Conceitos e Definições Ativo de informação – Meios de armazenamento, transmissão e processamento, os sistemas de informação, bem como os locais onde se encontram esses meios e as pessoas que a eles têm acesso (Portaria Nº45 – 8/09/2009 - GSIPR)

  20. Conceitos e Definições D I C A Disponibilidade – Propriedade de estar acessível e utilizável sob demanda por uma entidade autorizada (ISO 27.001) Integridade – Propriedade de salvaguarda da exatidão e completeza de ativos (ISO 27.001) Confidencialidade – Propriedades de que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não autorizados (ISO 27.001) Autenticidade – Propriedades de que a informação foi produzida, expedida, modificada ou destruída por uma determinada pessoas física, ou por um determinado sistema, órgão ou entidade (IN01 GSIPR)

  21. Conceitos e Definições Segurança da informação – Preservação da disponibilidade, integridade e confidencialidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas (ABNT NBR ISO/IEC 27.001:2006)

  22. Conceitos e Definições Sistema de Gestão de Segurança da Informação SGSI – A parte do sistema global, baseado na abordagem de riscos do negócio, para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a segurança da informação (ABNT NBR ISO/IEC 27.001:2006)

  23. Sistema de Gestão da SIC • Conceitos e definições • Objetivos • Normas • Princípios e diretrizes

  24. Objetivos da SIC Preservar: • Informação • DICA • Organização • Missão • Continuidade do Negócio • Conformidade Legal • Imagem • Credibilidade

  25. Objetivos da SIC Evitar e Minimizar • Descontinuidades • Desastres • Crises • Roubo de informações • Não conformidades legais • Riscos • Vulnerabilidades • Prejuízos • Vazamento de informação sensível, sigilosa ou crítica • Incidentes

  26. Sistema de Gestão da SIC • Conceitos e definições • Objetivos • Normas • Princípios e diretrizes

  27. Normas de SI para a APF O GSIPR, por meio do DSIC, é o órgão responsável por editar normas de SIC para a APF. Quais as principais normas emanadas pelo GSIPR? • IN 01 (18/06/2008) - Disciplina a Gestão de Segurança da Informação e Comunicações na Administração Pública Federal, direta e indireta, e dá outras providências. • NC 01 (15/10/2008) – Disciplina a Atividade de Normatização. • NC 02 (14/10/2008) – Metodologia de Gestão de SIC.

  28. Normas de SI para a APF O GSIPR, por meio do DSIC, é o órgão responsável por editar normas de SIC para a APF. Quais as principais normas emanadas pelo GSIPR? • NC 03 (03/07/2009) – Define diretrizes para a Elaboração da PoSIC. • NC 04 (17/08/2009) – Define diretrizes para o processo de GRSIC • NC05 (17/08/2009) – Disciplina a criação de ETIRs.

  29. Normas de SI para a APF O GSIPR, por meio do DSIC, é o órgão responsável por editar normas de SIC para a APF. Quais as principais normas emanadas pelo GSIPR? • NC06 (23/11/2009) – Estabelece diretrizes para a GCN nos aspectos de SIC. • NC07 (07/05/2010) – Estabelece diretrizes para Implementação de Controles de Acesso. • NC08 (24/08/2010) – Estabelece diretrizes para GIRC. • NC09 (22/11/2010) – Diretrizes de uso de recursos criptográficos.

  30. Normas de SI para a APF Além dos normativos do GSIPR, há ainda decretos e normas da ABNT que orientam as ações de SIC na APF. • D3505 (13/06/2000) – Institui a PoSIC nos órgãos e entidades da APF. • D4553 (27/12/2002) – Dispõe sobre diretrizes e métodos para classificação da informação. • ABNT NBR ISO/IEC 27.001:2006 – Define requisitos para SGSI. • ABNT NBR ISO/IEC 27.002:2006 – Código de práticas para a gestão de SIC (GUIA DE MELHORES PRÁTICAS)!!!!

  31. Normas de SI para a APF Além dos normativos do GSIPR, há ainda decretos e normas da ABNT que orientam as ações de SIC na APF. • ABNT NBR ISO/IEC 27.004:2010 – Estabelece diretrizes para o desenvolvimento e uso de métricas e medições dos controles de SI. • ABNT NBR ISO/IEC 27.005:2008 – Fornece diretrizes para o processo de gestão de riscos de SI. • ABNT NBR ISO/IEC 27.003:2011 – Diretrizes para implantação do SGSI.

  32. Sistema de Gestão da SIC • Conceitos e definições • Objetivos • Normas • Princípios e diretrizes

  33. Princípios e Diretrizes de SI A SI é responsabilidade da alta direção da organização • Não é responsabilidade apenas do gestor de TI • Mas precisa de uma arquitetura que sustente a SI • Delegar atribuições é fundamental (Gestor de SIC, proprietário da informação, custodiante da informação, etc)

  34. Princípios e Diretrizes de SI A SI é responsabilidade da alta direção da organização • Evidências do comprometimento da alta direção: • PoSIC • Plano e objetivos de SIC • Papéis e responsabilidades • Comunicar a importância da SIC • Assegurar os recurso$ necessários para as ações de SIC • Definir critérios e níveis de risco aceitáveis • Garantir auditorias do SGSI Um dos maiores desafios

  35. Princípios e Diretrizes de SI PoSIC, objetivos e atividades de SIC que reflitam os objetivos do negócio • Alinhamento entre a SIC e objetivos estratégicos, estrutura e finalidade da instituição • A Gestão de SIC deve suportar a tomada de decisão na organização • PoSIC – primeiro passo • Nada acontece sem a PoSIC • PoSIC sem processos, atividades, estrutura, recurso$, normas, não é muito útil

  36. Princípios e Diretrizes de SI Treinamento e conscientização • Muitas vezes, as pessoas são o elo fraco da corrente • O sucesso do programa de SI depende • do bom entendimento dos requisitos de SI, da análise/avaliação de riscos e da gestão de riscos • da divulgação eficiente das ações

  37. Princípios e Diretrizes de SI Implementação de um sistema de medição • “O que não é medido, não é gerenciado” • Não é necessário criar métricas complexas, o básico já é suficiente • A norma 27.004 pode auxiliar

  38. O SGSI e a Governança de TI

  39. SGSI e Gov. TI Modelo de Gov. TI e as Informações Informações

  40. A SIC na APF

  41. A SIC na APF Certificação Digital nos Sistemas Estruturantes da APF • Certificado Digital • Documento eletrônico que se destina a registrar de forma única, exclusiva e intransferível a relação entre uma chave de criptografia e uma PJ, PF, máquina ou aplicação

  42. A SIC na APF Certificação Digital nos Sistemas Estruturantes da APF • Certificado Digital • Tem por finalidade garantir a identidade das partes envolvidas em uma transação e proteger as informações sob a guarda do estado • Possui validade jurídica • Permite • Agilidade • Redução de custos

  43. A SIC na APF Certificação Digital nos Sistemas Estruturantes da APF • Certificado Digital • Permite • GED • Economia de recursos naturais • Segurança • APF • Cidadão

  44. A SIC na APF Certificação Digital nos Sistemas Estruturantes da APF • Sistemas Estruturantes (30) • SIAPE • SIASG • COMPRASNET • SIDOR • SIAPA • SIORG • SCDP • SICONV

  45. A SIC na APF Certificação Digital nos Sistemas Estruturantes da APF • Desafios • Emissão presencial • Servidores distribuídos em todo o território nacional • Treinamento dos multiplicadores • Pagamento dos CDs • 120 redes do Governo • Manuais de usuário

  46. A SIC na APF Certificação Digital nos Sistemas Estruturantes da APF

  47. A SIC na APF Certificação Digital nos Sistemas Estruturantes da APF

  48. A SIC na APF Infovia Brasília • O que é? • Infraestrutura de rede ótica metropolitana de comunicações, construída para fornecer, aos órgãos do Governo Federal situados em Brasília, um conjunto de serviços e funcionalidades em ambiente seguro, de alta performance e de alta disponibilidade

  49. A SIC na APF Infovia Brasília • Objetivos • Proporcionar uma significativa redução dos custos de comunicação e um ambiente capaz de servir de suporte à implementação das políticas públicas de Governo

  50. A SIC na APF Infovia Brasília • SIC na Infovia • Garantir a DICA por meio • Gestão de Ativos de Informação • Gestão de Riscos • Segurança Física • Gestão de operações e comunicações • Controle de Acesso • Tratamento de Incidentes • Gestão de Continuidade

More Related