Aula12_Governança de Segurança da Informação

Prévia do material em texto

GOVERNANÇA DE 
SEGURANÇA DA INFORMAÇÃO
1
GOVERNANÇA CORPORATIVA
MODELO DE GESTÃO SI
OBJETIVO:
Relacionar o modelo PDCA com o modelo de Gestão da Segurança da Informação 
MODELO DE GESTÃO SI
Atividades:
SGSI
PDCA
3
MODELO DE GESTÃO SI
Plan (Planejar)
Do (Fazer)
Act (Agir)
Check (Verificar)
Plano Diretor de Segurança (PDS)
Plano de Continuidade de Negócios (PCN)
Política de Segurança da Informação (PSI)
4
MODELO DE GESTÃO SI
Plan (Planejar)
Act (Agir)
Check (Verificar)
Plano Diretor de Segurança (PDS)
Plano de Continuidade de Negócios (PCN)
Política de Segurança da Informação (PSI)
Do (Fazer)
Aponta o caminho e tudo que é necessário para suprir as necessidades de segurança do negócio, conduzindo-o a operar com risco controlado.
5
MODELO DE GESTÃO SI
Plan (Planejar)
Do (Fazer)
Act (Agir)
Check (Verificar)
Plano Diretor de Segurança (PDS)
Política de Segurança da Informação (PSI)
Plano de Continuidade de Negócios (PCN)
Planeja a continuidade das atividades de negócio, caso ocorra alguma falha ou desastre significativos. Permite a retomada das atividades em tempo hábil, sempre que necessário.
6
MODELO DE GESTÃO SI
Plan (Planejar)
Do (Fazer)
Act (Agir)
Check (Verificar)
Plano Diretor de Segurança (PDS)
Plano de Continuidade de Negócios (PCN)
Política de Segurança da Informação (PSI)
Orienta e apoia a direção da segurança da informação, de acordo com os requisitos de negócio e com as leis e regulamentações inerentes. Deve ser aprovada pela administração, publicada e comunicada aos colaboradores.
7
MODELO DE GESTÃO SI
Plan (Planejar)
Do (Fazer)
Act (Agir)
Check (Verificar)
Implementação de controles de segurança
Treinamento e sensibilização em SI
8
MODELO DE GESTÃO SI
Plan (Planejar)
Do (Fazer)
Act (Agir)
Check (Verificar)
Implementação de controles de segurança
Treinamento e sensibilização em SI
Aplica mecanismos de controle de segurança para atingir o nível de risco adequado. 
9
MODELO DE GESTÃO SI
Plan (Planejar)
Do (Fazer)
Act (Agir)
Check (Verificar)
Implementação de controles de segurança
Treinamento e sensibilização em SI
Forma uma cultura de segurança para integrar o dia a dia dos funcionários e colaboradores em geral, sendo percebida como instrumento de autoproteção.
10
MODELO DE GESTÃO SI
Plan (Planejar)
Do (Fazer)
Act (Agir)
Check (Verificar)
Análise de riscos
Teste de invasão
11
MODELO DE GESTÃO SI
Plan (Planejar)
Do (Fazer)
Act (Agir)
Check (Verificar)
Análise de riscos
Teste de invasão
Realiza um diagnóstico da situação atual de segurança da empresa, considerando o negócio, o mapeamento dos processos de negócio e o relacionamento os ativos físicos, tecnológicos e humanos, sensíveis a falhas de segurança.
12
MODELO DE GESTÃO SI
Plan (Planejar)
Do (Fazer)
Act (Agir)
Check (Verificar)
Teste de invasão
Análise de riscos
Simula tentativas de acesso indevido e invasão a partir de pontos distintos. O teste de invasão costuma ser classificado de quatro maneiras: interno – analista dentro da empresa alvo; externo – analista fora da empresa alvo; cego – ausência de informações privilegiadas para subsidiar o analista; e não cego – presença de informações privilegiadas para subsidiar o analista.
13
MODELO DE GESTÃO SI
Plan (Planejar)
Do (Fazer)
Act (Agir)
Check (Verificar)
Equipe para resposta a incidentes
Administração e monitoração da segurança
Risco de conformidade
14
MODELO DE GESTÃO SI
Plan (Planejar)
Do (Fazer)
Act (Agir)
Check (Verificar)
Equipe para resposta a incidentes
Administração e monitoração da segurança
Risco de conformidade
Cuida para que as fragilidades e eventos relacionados a segurança da informação possam ser tratados em tempo hábil. 
15
MODELO DE GESTÃO SI
Plan (Planejar)
Act (Agir)
Check (Verificar)
Equipe para resposta a incidentes
Administração e monitoração da segurança
Risco de conformidade
Do (Fazer)
Administração com controles adequados e utilizando índices para o monitoramento.
16
MODELO DE GESTÃO SI
Plan (Planejar)
Do (Fazer)
Act (Agir)
Check (Verificar)
Equipe para resposta a incidentes
Risco de conformidade
Administração e monitoração da segurança
Risco de conformidade
“Evitar violações de quaisquer obrigações legais, estatutárias, regulamentares ou contratuais, e de quaisquer requisitos de segurança da informação”. (ABNT NBR ISO/IEC 27002:2013)
17
MODELO DE GESTÃO SI
Plan (Planejar)
Do (Fazer)
Act (Agir)
Check (Verificar)
SGSI
PDCA
18