Fundamentos em Segurança da Informação

Capítulo 2 – Governança e Gestão de Segurança da Informação

Prof. Paulo Gontijo

Aula 2.1 – Entendendo gestão e governança
 Entendendo gestão e governança

Gestão é:

 Gestão do dia a dia da empresa: tomadas de decisão (de

acordo com a alçada definida na governança).
 Acompanhamento e planos de ação para cumprir metas.
 Foca em obter resultados para os stakeholders.
 Estrutura organizacional e governança de SI

Governança é:
 Usar melhores práticas de gestão em processos, controles e
indicadores para sustentabilidade do negócio.
 Ser transparente para com os donos do negócio (acionistas).
 Busca equilibrar os conflitos de interesse entre os donos do
negócio (acionistas) e a empresa (melhor exemplo: área
financeira – CFO).
 O que vimos e o que veremos?

O que vimos?
• Conceitos de gestão (corporativa)

• Conceitos de governança (corporativa)

O que veremos a seguir?

• Estrutura organizacional de Segurança da Informação

• Governança de Segurança da Informação

Aula 2.2 – Estrutura organizacional e governança de SI
 Estrutura organizacional e governança de SI

Presidência Presidência

Diretoria Diretoria Diretoria Diretoria Diretoria Diretoria

3 de TI SI 3 de TI 2

Infra Sistemas SI

• Menor possibilidade de conflito • Maior possibilidade de conflito

de interesse de interesse
• Maior autonomia de SI • Menor autonomia de SI
 Comitê de SI e sua importância na governança

Comitê de SI

Riscos RH Infra TI Sistemas SI

- Tomar decisões
- Acompanhar indicadores
- Elaborar planos de ação
- Gerir grupos de trabalho
 O que vimos e o que veremos?

O que vimos?
• Estrutura organizacional

• Governança em Segurança da Informação

• Comitê de Segurança da Informação

O que veremos a seguir?

• Gestão de Segurança da Informação

• Indicadores de Segurança da Informação

Aula 2.3 – Gestão de Segurança da Informação
 Gestão de Segurança da Informação - PDCA

Plan – Estabelecer metas,

planejar correções e melhorias.
P Ex.: Garantir comunicação criptografada para 100% dos
executivos em até 120 dias, através de…

Do – Executar os planos.

A D
Ex.: Comprar servidor, comprar software, treinar,
comunicar…

Check – Verificar se está ok.

Ex.: Realizar teste man-in-the-midle, usando software
XYZ, a cada 10 dias…

C Act – Agir e corrigir.

Ex.: Baseado no último downtime, planejar a implantação
de servidor redundante…
 Gestão de Segurança da Informação - Indicadores

Custo do incidente
Custo para recuperar
Gerenciamento de Incidentes Quantidade de incidentes
Tempo médio entre o incidente e o recovery
Tempo médio de impacto (downtime)
% de ativos participantes do scan de segurança
Vulnerabilidades % de ativos criticos vulneraveis
(inclui patch management e % de ativos não críticos vulneraveis
configuration management) Tempo médio enre detecção da vulnerabilidade e sua correção
Custo médio para corrigir a vulnerabilidade
% de aplicações participantes de scan de segurança
Segurança de Aplicações % de aplicações criticas vulneraveis
% de aplicações não críticas vulneraveis
% de acessos revisados periodicamente
Acessos
% de acessos que deveriam estar inativos
Custo do investimento
Finanças
Custo da operação
 O que vimos e o que veremos?

O que vimos?
• Gestão de Segurança da Informação baseado em PDCA.

• Indicadores que suportam a gestão em Segurança da Informação.

O que veremos a seguir?

• Continuidade do Negócio.