Aulas do capítulo 2

Prévia do material em texto

Fundamentos em Segurança da Informação
Capítulo 2 – Governança e Gestão de Segurança da Informação
Prof. Paulo Gontijo
Aula 2.1 – Entendendo gestão e governança 
Entendendo gestão e governança
Gestão é:
 Gestão do dia a dia da empresa: tomadas de decisão (de
acordo com a alçada definida na governança).
 Acompanhamento e planos de ação para cumprir metas.
 Foca em obter resultados para os stakeholders.
Estrutura organizacional e governança de SI
Governança é:
 Usar melhores práticas de gestão em processos, controles e 
indicadores para sustentabilidade do negócio.
 Ser transparente para com os donos do negócio (acionistas).
 Busca equilibrar os conflitos de interesse entre os donos do 
negócio (acionistas) e a empresa (melhor exemplo: área 
financeira – CFO).
O que vimos e o que veremos?
O que vimos?
O que veremos a seguir?
• Conceitos de gestão (corporativa)
• Conceitos de governança (corporativa)
• Estrutura organizacional de Segurança da Informação
• Governança de Segurança da Informação
Aula 2.2 – Estrutura organizacional e governança de SI
Estrutura organizacional e governança de SI
Presidência
Diretoria
de TI
Diretoria
2
Diretoria
3
Infra Sistemas SI
Presidência
Diretoria
de TI
Diretoria
SI
Diretoria
3
• Maior possibilidade de conflito
de interesse
• Menor autonomia de SI
• Menor possibilidade de conflito
de interesse
• Maior autonomia de SI
Comitê de SI e sua importância na governança
Comitê de SI
Infra TI SistemasRHRiscos SI
- Tomar decisões
- Acompanhar indicadores
- Elaborar planos de ação
- Gerir grupos de trabalho
O que vimos e o que veremos?
O que vimos?
O que veremos a seguir?
• Estrutura organizacional
• Governança em Segurança da Informação
• Comitê de Segurança da Informação
• Gestão de Segurança da Informação
• Indicadores de Segurança da Informação
Aula 2.3 – Gestão de Segurança da Informação
Gestão de Segurança da Informação - PDCA
P
D
C
A
Plan – Estabelecer metas, 
planejar correções e melhorias.
Ex.: Garantir comunicação criptografada para 100% dos 
executivos em até 120 dias, através de…
Do – Executar os planos.
Ex.: Comprar servidor, comprar software, treinar, 
comunicar…
Check – Verificar se está ok.
Ex.: Realizar teste man-in-the-midle, usando software 
XYZ, a cada 10 dias…
Act – Agir e corrigir. 
Ex.: Baseado no último downtime, planejar a implantação 
de servidor redundante…
Gestão de Segurança da Informação - Indicadores
Custo do incidente
Custo para recuperar
Quantidade de incidentes
Tempo médio entre o incidente e o recovery
Tempo médio de impacto (downtime)
% de ativos participantes do scan de segurança
% de ativos criticos vulneraveis
% de ativos não críticos vulneraveis
Tempo médio enre detecção da vulnerabilidade e sua correção
Custo médio para corrigir a vulnerabilidade
% de aplicações participantes de scan de segurança
% de aplicações criticas vulneraveis
% de aplicações não críticas vulneraveis
% de acessos revisados periodicamente
% de acessos que deveriam estar inativos
Custo do investimento
Custo da operação
Gerenciamento de Incidentes
Vulnerabilidades 
(inclui patch management e 
configuration management)
Segurança de Aplicações
Finanças
Acessos
O que vimos e o que veremos?
O que vimos?
O que veremos a seguir?
• Gestão de Segurança da Informação baseado em PDCA.
• Indicadores que suportam a gestão em Segurança da Informação.
• Continuidade do Negócio.