Governana de TI e Segurana da Informao

Lus Segadas - CISSP, CISA

Objetivo

Apresentar o papel da segurana da informao no contexto de governana de TI, com destaque para o processo de gesto de riscos e os benefcios trazidos pela sua implementao.

Governana e Segurana

Governana e Segurana so duas faces da mesma moeda. Devem se preocupar com Pessoas, Processos e Tecnologias.

Governana - Por que?

Alinhar objetivos de TI com o negcio Automatizar, padronizar e unicar processos de TI Otimizar o uso dos recursos Gerenciar riscos apropriadamente Facilitar auditoria Conformidade com partes externas Fonte: Cobit.

Segurana - Por que?

Proteger os ativos, o negcio e a reputao Alinhar o que proteger com o negcio Gerenciar riscos Mais facilidades, mais ameaas As ameaas so cada vez mais digitais Informao est em vrias mdias Aspectos legais e regulatrios Fonte: ISO 27000.

Um pouco sobre a ISO 27000

Normas ISO (No Brasil so editadas pela ABNT) ABNT NBR ISO IEC (Nmero):(Ano de criao ou ltima reviso) 27001:2006 - Gesto de Segurana da Informao 27002:2005 - Requisitos (antiga 17799) 27005:2008 - Gesto de Riscos de TI 27004:2010 - Mtricas.

Mapa: Cobit e ISO 27000

Cobit Information Criteria Effectiveness, efciency, condentiality, integrity, availability, compliance, reliability Resources Application, information, infrastructure, people ISO 27000

Mapa: Cobit e ISO 27002

Process and Domains Plan and Organize Acquire and Implement Deliver and Support Monitor and Evaluate
Legenda No existe processo do Cobit Menos de 15 requerimentos foram mapeados Entre 15 e 29 requerimentos foram mapeados Mais de 30 foram mapeados

10

11

12

13

ISACA - Information Systems Audit and Control Association

ISACA - Information Systems Audit and Control Association

ISACA - Information Systems Audit and Control Association

ISO 27001 e 27002

5. Poltica de Segurana 6. Segurana organizacional 7. Gesto de ativos 8. Segurana em RH 9. Segurana fsica e de ambiente 10. Gerenciamento de operaes e comunicao 11. Controle de acesso 12. Aquisio, desenvolvimento e manuteno de sistemas 13. Gesto de incidentes 14. Gesto de continuidade de negcios 15. Conformidade.

ISO 27005

Especca de Gesto de Riscos em TI Excelente framework e base de conhecimento.

Vantagens de gerir riscos

Conhecimento das vulnerabilidades Tratar o risco como um direcionador da estratgia Adoo das melhores prticas

Ciclo de vida da informao

Manuseio Transporte Armazenamento Descarte

Barreiras da segurana (5D)

Desestimular Dicultar Detectar Deter Diagnosticar

Concluso

Integrao entre governana e segurana Viso holstica de segurana da informao, considera pessoas, processos e tecnologias Gesto de riscos como direcionador de estratgias.

Fonte
Cobit 4.1 Cobit Mapping - Mapping of ISOIEC 17799:2005 with Cobit 4.0 ABNT NBR ISO/IEC 27001:2006 ABNT NBR ISO/IEC 27002:2005 ABNT NBR ISO/IEC 27005:2008

Links teis
www.isaca.org www.abnt.org.br www.iso.org www.isc2.org www.iso27001certicates.com

FIM

Lus Segadas (CISSP, CISA) luis.segadas@prof.infnet.edu.br lgsegadas@gmail.com