Escolar Documentos
Profissional Documentos
Cultura Documentos
Integridade
Garante a informação correta, sem adulteração
Disponibilidade
Garante a informação a disposição ininterruptamente
Ativo
Qualquer coisa que tenha valor para a organização
Risco
A combinação da probabilidade de um evento ocorrer e o seu impacto
Controle
Medida tomada para gerenciar o risco
Fundamentos
Confidencialidade
Segurança
Pessoas
Processos Tecnologia
Integridade
Informação
Objetivos
Proteger os ativos de maior valor
Melhorar o nível do serviço oferecido
Investir de forma eficiente os recursos
Obedecer regulamentações
Etapas
Montar Grupo de Trabalho
Analisar os risco
Definir o escopo
Definir os controles
Definir a Política de Segurança da
Informação.
Desenvolver estratégias de gerenciamento.
Etapas (continuação)
Montar Grupo de Trabalho
Definir as diretrizes
○ Objetivos simples ajudarão o startup
Envolver as Pessoas Chave (Stakeholder)
○ A abrangência do grupo deve ser e acordo com as
diretrizes (Recursos Humanos, Jurídico,
Financeiro, Segurança Patrimonial ...)
○ As pessoas entenderão melhor as necessidades
do seu domínio
Etapas (continuação)
Analisar os riscos
Identificar os Ativos, Ameaças, Probabilidades e
Impactos com base nas diretrizes
Definir o escopo
Definir os Ativos que serão protegidos
○ Lembrar que isso impactará na simplicidade do
projeto e no seu custo
Etapas (continuação)
Definir os controles
Definir como os riscos serão tratados
○ Reduzir
○ Reter (Aceitar)
○ Evitar
○ Transferir
Definir Ferramentas e Procedimentos
Etapas (continuação)
Definir a Política de Segurança da
Informação
Elaboração dos documentos
○ PSI
○ Termos de Compromisso
○ Formulários e requerimentos
Conscientização e treinamento
Implementação dos controles
Etapas (continuação)
Definir estratégia de gerenciamento
Riscos
Diretrizes
Normas
Procedimentos
Ferramentas
Conscientização e treinamentos
Resposta a incidentes
Ponto de Partida
Requisitos legais
Proteção de dados e da privacidade de
informações pessoais
Proteção de registros organizacionais
Direito de propriedade intelectual
Ponto de Partida (continuação)
Melhores práticas
Documentação da política de segurança da informação
Atribuição de responsabilidades para segurança da
informação
Conscientização e treinamento em segurança da
informação
Processamento correto nas aplicações
Gestão de vulnerabilidades técnicas
Gestão da continuidade do negócio
Gestão de incidentes de segurança da informação e
melhorias
Observação: essa seleção não substitui a análise/avaliação de risco
Dicas
Fatores críticos para o sucesso
Política de Segurança da Informação alinhada as necessidades do
negócio
Uma abordagem e estrutura consistente com a cultura
organizacional
Comprometimento e apoio visível de todos os níveis gerenciais
Um bom entendimento dos requisitos, isto é, gestão de riscos
Divulgação eficiente da política de segurança da informação para
alcançar a conscientização de todos.
Provisão dos recursos financeiros necessários para a gestão de
segurança da informação
Estabelecimento de um eficiente processo de gestão dos
incidentes
Estabelecimento de um eficiente processo de avaliação do
desempenho da gestão de segurança
Legislação
Decreto Nº 3505, 13 de junho de 2000
Institui a política de segurança da informação
nos órgão e entidades da APF
Decreto Nº 4553, 27 de dezembro de 2002
Dispõe sobre a salvaguarda das informações
nos órgão e entidades da APF
Lei Nº 10683, 28 de maio de 2003
Institui o Gabinete de Segurança Institucional e
atribui a ele a coordenação da segurança da
informação
Gabinete de Segurança Institucional
Presidência da República