Baixe o app para aproveitar ainda mais
Prévia do material em texto
GOVERNANÇA DE SEGURANÇA DA INFORMAÇÃO 1 GOVERNANÇA CORPORATIVA MODELO DE GESTÃO SI OBJETIVO: Relacionar o modelo PDCA com o modelo de Gestão da Segurança da Informação MODELO DE GESTÃO SI Atividades: SGSI PDCA 3 MODELO DE GESTÃO SI Plan (Planejar) Do (Fazer) Act (Agir) Check (Verificar) Plano Diretor de Segurança (PDS) Plano de Continuidade de Negócios (PCN) Política de Segurança da Informação (PSI) 4 MODELO DE GESTÃO SI Plan (Planejar) Act (Agir) Check (Verificar) Plano Diretor de Segurança (PDS) Plano de Continuidade de Negócios (PCN) Política de Segurança da Informação (PSI) Do (Fazer) Aponta o caminho e tudo que é necessário para suprir as necessidades de segurança do negócio, conduzindo-o a operar com risco controlado. 5 MODELO DE GESTÃO SI Plan (Planejar) Do (Fazer) Act (Agir) Check (Verificar) Plano Diretor de Segurança (PDS) Política de Segurança da Informação (PSI) Plano de Continuidade de Negócios (PCN) Planeja a continuidade das atividades de negócio, caso ocorra alguma falha ou desastre significativos. Permite a retomada das atividades em tempo hábil, sempre que necessário. 6 MODELO DE GESTÃO SI Plan (Planejar) Do (Fazer) Act (Agir) Check (Verificar) Plano Diretor de Segurança (PDS) Plano de Continuidade de Negócios (PCN) Política de Segurança da Informação (PSI) Orienta e apoia a direção da segurança da informação, de acordo com os requisitos de negócio e com as leis e regulamentações inerentes. Deve ser aprovada pela administração, publicada e comunicada aos colaboradores. 7 MODELO DE GESTÃO SI Plan (Planejar) Do (Fazer) Act (Agir) Check (Verificar) Implementação de controles de segurança Treinamento e sensibilização em SI 8 MODELO DE GESTÃO SI Plan (Planejar) Do (Fazer) Act (Agir) Check (Verificar) Implementação de controles de segurança Treinamento e sensibilização em SI Aplica mecanismos de controle de segurança para atingir o nível de risco adequado. 9 MODELO DE GESTÃO SI Plan (Planejar) Do (Fazer) Act (Agir) Check (Verificar) Implementação de controles de segurança Treinamento e sensibilização em SI Forma uma cultura de segurança para integrar o dia a dia dos funcionários e colaboradores em geral, sendo percebida como instrumento de autoproteção. 10 MODELO DE GESTÃO SI Plan (Planejar) Do (Fazer) Act (Agir) Check (Verificar) Análise de riscos Teste de invasão 11 MODELO DE GESTÃO SI Plan (Planejar) Do (Fazer) Act (Agir) Check (Verificar) Análise de riscos Teste de invasão Realiza um diagnóstico da situação atual de segurança da empresa, considerando o negócio, o mapeamento dos processos de negócio e o relacionamento os ativos físicos, tecnológicos e humanos, sensíveis a falhas de segurança. 12 MODELO DE GESTÃO SI Plan (Planejar) Do (Fazer) Act (Agir) Check (Verificar) Teste de invasão Análise de riscos Simula tentativas de acesso indevido e invasão a partir de pontos distintos. O teste de invasão costuma ser classificado de quatro maneiras: interno – analista dentro da empresa alvo; externo – analista fora da empresa alvo; cego – ausência de informações privilegiadas para subsidiar o analista; e não cego – presença de informações privilegiadas para subsidiar o analista. 13 MODELO DE GESTÃO SI Plan (Planejar) Do (Fazer) Act (Agir) Check (Verificar) Equipe para resposta a incidentes Administração e monitoração da segurança Risco de conformidade 14 MODELO DE GESTÃO SI Plan (Planejar) Do (Fazer) Act (Agir) Check (Verificar) Equipe para resposta a incidentes Administração e monitoração da segurança Risco de conformidade Cuida para que as fragilidades e eventos relacionados a segurança da informação possam ser tratados em tempo hábil. 15 MODELO DE GESTÃO SI Plan (Planejar) Act (Agir) Check (Verificar) Equipe para resposta a incidentes Administração e monitoração da segurança Risco de conformidade Do (Fazer) Administração com controles adequados e utilizando índices para o monitoramento. 16 MODELO DE GESTÃO SI Plan (Planejar) Do (Fazer) Act (Agir) Check (Verificar) Equipe para resposta a incidentes Risco de conformidade Administração e monitoração da segurança Risco de conformidade “Evitar violações de quaisquer obrigações legais, estatutárias, regulamentares ou contratuais, e de quaisquer requisitos de segurança da informação”. (ABNT NBR ISO/IEC 27002:2013) 17 MODELO DE GESTÃO SI Plan (Planejar) Do (Fazer) Act (Agir) Check (Verificar) SGSI PDCA 18
Compartilhar