Governança de Segurança da Informação e Priorização de Problemas

Prévia do material em texto

GOVERNANÇA DE 
SEGURANÇA DA INFORMAÇÃO
1
GOVERNANÇA CORPORATIVA
OBJETIVO:
Descrever como realizar o mapeamento dos componentes organizacionais na empresa (P2)
SI NOS PROCESSOS CRÍTICOS DE NEGÓCIO
GOVERNANÇA CORPORATIVA
SI NOS PROCESSOS CRÍTICOS DE NEGÓCIO
Classificaçãode sensibilidade(impacto)
Escala
Conceitos
Aspectos
1 – Não considerável
2 – Relevante
3 – Importante
4 – Crítico
5 – Vital
Confidencialidade
Integridade
Disponibilidade
Autenticidade
Conformidade
Processos críticos
Vendas
5
5
5
5
5
Faturamento
5
5
5
5
5
Engenharia
5
5
5
5
5
Exportação
3
3
3
3
3
Contratos
1
1
1
1
1
 (Adaptado de Sêmola, 2014)
ESTUDO DE PRIORIDADES
   	
ANÁLISE 
GUT
GOVERNANÇA CORPORATIVA
SI NOS PROCESSOS CRÍTICOS DE NEGÓCIO
ANÁLISE 
GUT
Recurso utilizado para auxiliar na priorização de resolução de problemas.
DEFINIÇÃO 
 (Sêmola, 2014)
GOVERNANÇA CORPORATIVA
SI NOS PROCESSOS CRÍTICOS DE NEGÓCIO
ANÁLISE 
GUT
Recurso utilizado para auxiliar na priorização de resolução de problemas.
G 	- Gravidade
U 	- Urgência
T	- Tendência 
DEFINIÇÃO 
 (Sêmola, 2014)
GOVERNANÇA CORPORATIVA
SI NOS PROCESSOS CRÍTICOS DE NEGÓCIO
ANÁLISE 
G U T
Qual seria a tendência dos riscos de segurança da informação caso nenhuma atividade corretiva ou preventiva fosse aplicada?
Havendo a quebra de segurança da informação, qual seria a urgência em solucionar os efeitos do ocorrido e em reduzir os riscos no processo de negócio em análise?
Seria muito grave para o processo do negócio em análise se algum fato atingisse qualquer um dos conceitos e aspectos, provocando a quebra de segurança da informação?
DEFINIÇÃO 
 (Sêmola, 2014)
GOVERNANÇA CORPORATIVA
SI NOS PROCESSOS CRÍTICOS DE NEGÓCIO
ANÁLISE 
G U T
O que seria do processo de aprovação de crédito de uma instituição financeira se a base de dados dos clientes fosse corrompida a curto, médio e longo prazos, atingindo sua integridade. 
O que seria do processo de aprovação de crédito de uma instituição financeira se a base de dados dos clientes permanecesse corrompida por dois dias consecutivos, atingindo sua integridade? 
O que seria do processo de aprovação de crédito de uma instituição financeira se a base de dados dos clientes fosse corrompida, atingindo sua integridade? 
EXEMPLO 
 (Sêmola, 2014)
GOVERNANÇA CORPORATIVA
SI NOS PROCESSOS CRÍTICOS DE NEGÓCIO
ANÁLISE 
G U T
CRITÉRIOS 
Gravidade
Urgência
Tendência
1
Sem gravidade
1
Sem
pressa
1
Não vai agravar
2
Baixa gravidade
2
Tolerante à espera
2
Vai agravar a longo prazo
3
Média gravidade
3
O mais cedo possível
3
Vai agravar a médio prazo
4
Alta gravidade
4
Com alguma urgência
4
Vai agravar a curto prazo
5
Altíssima gravidade
5
Imediatamente
5
Vai agravar imediatamente
 (Sêmola, 2014)
GOVERNANÇA CORPORATIVA
SI NOS PROCESSOS CRÍTICOS DE NEGÓCIO
Valores na faixa de 1 a 5 para indicar a prioridade.
Os valores são multiplicados gerando o GUT.
G (1 a 5) x U (1 a 5) x T (1 a 5)
G x U x T 
1 a 125
GOVERNANÇA CORPORATIVA
SI NOS PROCESSOS CRÍTICOS DE NEGÓCIO
Problema
G
U
T
GxUxT
Problema 1
3
5
2
30
Problema 2
4
5
5
100
Problema 3
5
2
2
20
Problema 4
5
5
5
125
Problema 5
4
3
3
36
Problema n
n
n
N
n
EXEMPLO
GOVERNANÇA CORPORATIVA
SI NOS PROCESSOS CRÍTICOS DE NEGÓCIO
EXEMPLO
Problema
GxUxT
Prio
Problema 4
125
1
Problema 2
100
2
Problema 5
36
3
Problema 1
30
4
Problema 3
20
5
Problema n
n
n
Priorização GUT
GOVERNANÇA CORPORATIVA
SI NOS PROCESSOS CRÍTICOS DE NEGÓCIO
Classificação de prioridade utilizando a matriz GUT
Nome do processo
Gravidade (G)
Urgência (U)
Tendência (T)
GUT
Vendas
5
5
5
125
Faturamento
5
5
5
125
Engenharia
5
5
5
125
Exportação
3
3
3
27
Contratos
1
1
1
1
Adaptado de Manoel, (2014) 
EXEMPLO
GOVERNANÇA CORPORATIVA
SI NOS PROCESSOS CRÍTICOS DE NEGÓCIO
Mapeamento do processo
Impacto
Prioridade
Crit
Área
Processo
RP
C
I
D
G
U
T
Comercial
Vendas
5
5
5
5
5
5
5
Financeira
Faturamento
5
5
5
5
5
5
5
Produção
Engenharia
5
5
5
5
5
5
5
Internacional
Exportação
3
3
3
3
3
3
3
Jurídica
Contratos
1
1
1
1
1
1
1
RP	– Relev. Processo; 	C – Confid.;	 I – Integ.; 	 D – Disponib.
 G – Gravidade; 	 U – Urgência; T – Tendência
Crit – Criticidade
13
GOVERNANÇA CORPORATIVA
SI NOS PROCESSOS CRÍTICOS DE NEGÓCIO
CONSOLIDAÇÃO DOS RESULTADOS
Criticidade = 	Classificação do impacto x 
					Classificação da prioridade x
					Relevância do processo
Classificação da prioridade 	= G x U x T / 3
CÁLCULO DA 
PONTUAÇÃO FINAL 
DA CRITICIDADE
(Manoel, 2014)
Classificação do impacto 		= C x I x D / 3
GOVERNANÇA CORPORATIVA
SI NOS PROCESSOS CRÍTICOS DE NEGÓCIO
Áreas
Ativos de informação
Divisões
Departamentos
Setores
...
Processos de negócio
Mapeamento dos componentes organizacionais
GOVERNANÇA CORPORATIVA
SI NOS PROCESSOS CRÍTICOS DE NEGÓCIO
Ativos de informação
 (Manoel, 2014)
Os ativos possuem vulnerabilidades que deverão ser eliminadas, minimizadas e administradas pelas ações de segurança. 
Processo
Vendas
Faturamento
Engenharia
Exportação
Contratos
Mapeamento dos componentes organizacionais
GOVERNANÇA CORPORATIVA
SI NOS PROCESSOS CRÍTICOS DE NEGÓCIO
Mapeamento dos processos e dos ativos
Mapeamento da relação entre ativos e processos de negócio
P
D
S
I
Quais são os processos críticos para o negócio?
Missão
Visão
Objetivos Estratégicos
Mapeamento dos componentes organizacionais
NÍVEL DE SEGURANÇA RECOMENDADO