Desafios e benefícios na implementação de modelos de ... · Informação – a base do negócio!...
Transcript of Desafios e benefícios na implementação de modelos de ... · Informação – a base do negócio!...
“ Desafios e benefícios na implementação de
modelos de segurança da informação”
Aveiro, 19 de Março de 2009
Agenda
• Porquê adoptar um modelo de Segurança da Informação
• Objectivo de um SGSI (*)
2
• Benefícios de um SGSI
• Desafios na implementação de um SGSI
• A Sinfic
(*) SGSI – Sistema de Gestão de Segurança da Informação
Porquê adoptar um modelo de segurança da informação?
• Por requisitos de Clientes / Estado / Accionistas • Requisitos contratuais, legais, de gestão
• Para demonstração a parceiros • Do compromisso na Segurança da Informação
3
• Do compromisso na Segurança da Informação
• Como ferramenta de Marketing• Como vantagem competitiva face à concorrência
• Como ferramenta interna de gestão • Para controlo e confiança
Informação – a base do negócio!
Estados (defesa nacional)Bancos (valor patrimonial de clientes)Software houses (código fonte)Saúde (registos clínicos)
4
Saúde (registos clínicos)Modelos financeiros (estratégias de negócio)Autoridades policiais (registo de infracções)...
Além das pessoas…Objectivo : Proteger o Negócio!!!
Normas internacionais em Segurança da Informação
ISO 27002:2005Código de Boas
Práticas para Gestão da
ISO 27002:2005Código de Boas
Práticas para Gestão da
ISO 27001:2005
Requisitos para um
ISO 27001:2005
Requisitos para um
5
Gestão da Segurança da
Informação
(ex ISO 17799:2005)
Gestão da Segurança da
Informação
(ex ISO 17799:2005)
Requisitos para um Sistema de Gestão de Segurança da
Informação
Requisitos para um Sistema de Gestão de Segurança da
Informação
ISO/IEC 27002:2005
Código de boas práticas para a gestão da segurança da informação
• Para utilização como documento de referência• Possui um conjunto compreensivo de controlos de segurança• As melhores práticas de segurança actuais, em utilização
6
• Possui 11 secções de controlo• Não é utilizado para análise (auditoria) e/ou certificação
(ex ISO/IEC 17799:2005)
ISO 27001:2005
‘Informação é um activo que, como outros importantes activos de negócio, tem valor para a organização e consequentemente necessita de ser adequadamente protegida’
7
Especificação para Sistemas de Gestão de Segurança da Informação• Especifica os requisitos para o estabelecimento, implementação e
documentação de um Sistema de Gestão de Segurança da Informação (ISMS *)
• Especifica os requisitos para os controlos de segurança a serem implementados de acordo com as necessidades individuais das organizações
Os três componentes básicos da Segurança da Informação
• Confidencialidade
• Integridade
8
• Disponibilidade
CIAConfidentialityIntegrity
Availability
Confidencialidade
Garantir de que a informação apenas se encontra disponível para quem está autorizado a acedê-la
9
Disponibilidade / Acessibilidade
Garantir que as pessoas autorizadas a aceder à informação podem fazê-lo sempre que necessário e em tempo útil.
11
Negócio
Informação Física
(Faxes, contratos, relatórios, manuais, ...)
Informação Acústica
(conversações telefónicas, em público,
em reuniões, ...)
Informação Lógica
(registos electrónicos)
Desastres Naturais(Inundação, relâmpago,
tremor de terra, ...)
Falhas Técnicas(falha de comunicações,
falta de energia, falha de equipamento, ...)
ISO
/IEC
270
01:2
005
ISO
/IEC
270
01:2
005
12
Negócio
Informação Intelectual(conhecimento)
Informação Visual
(Vídeo, fotografia, video-conferência, ...)
Falhas Humanas(erros de manutenção,erros de utilizadores,falta de pessoal, ...)
Questões Sociais(greves,
atentados, política, legislação...)
ISO
/IEC
270
01:2
005
ISO
/IEC
270
01:2
005
Benefícios de implantação de um modelo de segurança da informação
Auxilia o aumento, contínuo, da qualidade da organização;Proporciona capacidade de demonstração de elevada e apropriada base de segurança;Estabelece e cimenta confiança mútua entre locais
13
Estabelece e cimenta confiança mútua entre locais da organização e com entidades externas ; Incrementa a habilidade para gerir e sobreviver a u m desastre;
A adopção da 27001 possibilita endereçar a estrutura de um SGSI de uma forma prática, com custos eficazes, de forma realista e compreensiva;
Benefícios de implantação de um modelo de segurança da informação
Conhecimento sobre a própria organização , seus processos, activos e dependências
Conhecimento e valoração dos seus activos , no contexto do negócio
14
Identificação de forças e fraquezas da organização, face ao ambiente global que a rodeia
Conhecimento do RISCO a que a organização está exposta (ou não)!!!
Cria a maturidade para gerir, no tempo, de forma eficaz a capacidade de sobrevivência da organização
Adopção de modelo para Gestão de Riscos
Comunicar e Consultar
Diagnosticar
Est
abel
ecer
Con
text
o
Iden
tific
arR
isco
s
Ana
lisar
Ris
cos
Ava
liar
Ris
cos
Miti
gar
Ris
cos
Con
trol
arR
isco
s
15
Monitorar e Rever
Est
abel
ecer
Con
text
o
Iden
tific
arR
isco
s
Ana
lisar
Ris
cos
Ava
liar
Ris
cos
Miti
gar
Ris
cos
Con
trol
arR
isco
s
Riscos
Fonte: ISO 31000 - Risk management - Guidelines on principles and implementation of risk management
Gestão do Risco e Gestão da conformidade
Ao gerir conformidades (medindo & optimizando)
mitiga-se o risco…
Ao gerir conformidades (medindo & optimizando)
mitiga-se o risco…
16Paulo Coelho Gestão do Risco
Desafios na implementação de um modelo de segurança da informação
Os gestores de topo têm que ser vistos como empenhados (Responsabilidade nos processos)
É essencial que a Administração e Directores de 1ª linha demonstrem o seu empenho
17
Estou empenhado!
demonstrem o seu empenho (através de decisões para gestão do risco, por exemplo)
Desafios na implementação de um modelo de segurança da informação
Política de Segurança , objectivos e actividades que espelhem os objectivos de negócio ;
Uma aproximação à implementação de segurança que seja consistente com a cultura da organização;
18
seja consistente com a cultura da organização;
Suporte e empenhamento visível da gestão de topo;
Desafios na implementação de um modelo de segurança da informação
Um perfeito entendimento e conhecimento sobre requisitos de segurança, análise e gestão de riscos ;Marketing efectivo para todos os colaboradores da organização;Distribuição do conceito de segurança da informação ,
19
Distribuição do conceito de segurança da informação , políticas de segurança, normas e regulamentos a todos os colaboradores e contratados;
Desafios na implementação de um modelo de segurança da informação
Providenciar treino e sensibilização de forma adequada e eficaz;Um compreensivo e balanceado sistema de medição, utilizado para avaliar a eficácia da gestão de segurança da informação na resposta a sugestões de
20
segurança da informação na resposta a sugestões de melhoria.
Desafios na implementação de um modelo de segurança da informação• Documentação
• Evidência de acções• Executadas para o estabelecer da metodologia de gestão
21
• Sumário da metodologia de gestão• Incluindo políticas, objectivos de controlo, controlos
implementados e sumário desses controlos.
Desafios na implementação de um modelo de segurança da informação• Procedimentos
• Para implementar os controlos, descrevendo responsabilidades e acções
• Para a gestão e operação do ISMS, descrevendo responsabilidades e acções
22
responsabilidades e acções
• Para auditar e rever internamente o ISMS
Ganhar as pessoas!As organizações são as pessoas:
• São as pessoas que sabem como criar, processar, armazenar, destruir, comunicar, proteger, etc. a informação de que
23
proteger, etc. a informação de que necessitam
• Mas são também as pessoas que a podem colocar em risco as próprias organizações a que pertencem!
O elemento humano !!!
•O sucesso de um sistema de gestão de segurança da informação depende do envolvimento e motivação dos colaboradores das diferentes áreas ou departamentos da
24
das diferentes áreas ou departamentos da organização!
Contexto empresarial baseado na FORÇA E CAPACIDADE EMPREENDEDORA
CNSFORMAÇÃO, CONSULTORIA DE GESTÃO, ORDENAMENTO DO TERRITÓRIO ESTUDOS,
27
SINFICSTRATEGIC IT CONSULTANCY CORPORATE PERFORMANCE MANAGEMENTSYSTEMS DEVELOPMENT & INTEGRATIONIT OUTSOURCING & MANAGEMENTSINFIC SA (sociedade direito Português)SINFIC SARL (sociedade direito Angolano)SINFIC LDA (sociedade direito Moçambicano)
3 paísesAngola,
Moçambique, Portugal
30 cidadesLisboa, Porto, Aveiro,
Marinha Grande, Agueda, Castelo Branco, Coimbra,
Ponte de Lima, Pombal, Faro, Setúbal, Vila da Feira, Loulé,
Leiria, Alcobaça, Casal de Cambra, Porto Alto, Funchal,
Luanda, Lobito, Benguela, Huila, Ondigiva, Grandola,
Kahama, Xangongo, Maputo
INOVASistemas de Gestão da Qualidade.DiagnósticosReengenhariaModernização Administrativa
Devido à sua estrutura a SINFIC assegura uma gestão de competências orientada à excelência e uma capacidade de resposta completa
Business and Process Modeling Enterprise Customer
Relationship Management
Information Systems Architecture
Infrastructure and Networking
Enterprise Resource Planning
Maintenance Management
Knowledge Management
Software System Quality
Architecture Integration
Document Management
Internet Development
Orientação a referênciais:
ISO 9001CMM e CMMi
ISO 27001
Planos de Desenvolvimento Estratégico
Sistemas de Informaçao Geográfica
Geografia, Topografia e cadastro
Gestão Integrada do Território
Planeamento do Território
28
A SINFIC assenta o seu modelo de gestão numa rede deunidades estratégicas de negócio autónomas,especializadas em competências específicas: quertecnológicas, quer de serviços.
Acreditamos que esta é a melhor forma de responder àsexigências dos mercados, dos clientes, dos parceiros ecolaboradores.
Internet Development
Software Engineering
Content Management
Change Management
Information Security
Business Intelligence
Data warehousing
Corporate Portals
Data Quality
Web Design
Data Mining
E-Business
E-Learning
Capacidade Técnica reconhecida:IBM Premium partner
MSFT Gold PartnerOracle Certified Partner
CA PartnerESRI
SAP Business PartnerSAP Service Center
Fujitsu…
ISO 27001BS 25999
COSOCOBIT
ITILTOGAF,
…
Planeamento do Território
Planos Directores
Planos de Urbanismo
Planos de Promenor
Parcerias
• O conjunto de alianças com os leaders mundiais trouxeram à SINFIC a capacidade
29
de apresentar e implementar as melhores soluções do Mercado
SINFIC S.A.Estrada da Ponte, nº2Quinta Grande – Alfragide2610-141 AmadoraPortugal
SINFIC S.A.R.L.Rua Ndunduma, 189MiramarLuandaAngola
SINFIC Lda.Av. Olof Palme, nº 358-1ºMaputo
Moçambique
30
Tel: (+351) 21 010 39 00Fax: (+351) 21 010 39 99
Tel: (+244) 222 399 690Fax: (+244) 222 399 689
Tel: (+258) 21 328 182Fax: (+258) 21 328 182
www.sinfic.com e-mail: [email protected]
Fernando Fevereiro [email protected]