Baixe o app para aproveitar ainda mais
Prévia do material em texto
Fundamentos em Segurança da Informação Capítulo 2 – Governança e Gestão de Segurança da Informação Prof. Paulo Gontijo Aula 2.1 – Entendendo gestão e governança Entendendo gestão e governança Gestão é: Gestão do dia a dia da empresa: tomadas de decisão (de acordo com a alçada definida na governança). Acompanhamento e planos de ação para cumprir metas. Foca em obter resultados para os stakeholders. Estrutura organizacional e governança de SI Governança é: Usar melhores práticas de gestão em processos, controles e indicadores para sustentabilidade do negócio. Ser transparente para com os donos do negócio (acionistas). Busca equilibrar os conflitos de interesse entre os donos do negócio (acionistas) e a empresa (melhor exemplo: área financeira – CFO). O que vimos e o que veremos? O que vimos? O que veremos a seguir? • Conceitos de gestão (corporativa) • Conceitos de governança (corporativa) • Estrutura organizacional de Segurança da Informação • Governança de Segurança da Informação Aula 2.2 – Estrutura organizacional e governança de SI Estrutura organizacional e governança de SI Presidência Diretoria de TI Diretoria 2 Diretoria 3 Infra Sistemas SI Presidência Diretoria de TI Diretoria SI Diretoria 3 • Maior possibilidade de conflito de interesse • Menor autonomia de SI • Menor possibilidade de conflito de interesse • Maior autonomia de SI Comitê de SI e sua importância na governança Comitê de SI Infra TI SistemasRHRiscos SI - Tomar decisões - Acompanhar indicadores - Elaborar planos de ação - Gerir grupos de trabalho O que vimos e o que veremos? O que vimos? O que veremos a seguir? • Estrutura organizacional • Governança em Segurança da Informação • Comitê de Segurança da Informação • Gestão de Segurança da Informação • Indicadores de Segurança da Informação Aula 2.3 – Gestão de Segurança da Informação Gestão de Segurança da Informação - PDCA P D C A Plan – Estabelecer metas, planejar correções e melhorias. Ex.: Garantir comunicação criptografada para 100% dos executivos em até 120 dias, através de… Do – Executar os planos. Ex.: Comprar servidor, comprar software, treinar, comunicar… Check – Verificar se está ok. Ex.: Realizar teste man-in-the-midle, usando software XYZ, a cada 10 dias… Act – Agir e corrigir. Ex.: Baseado no último downtime, planejar a implantação de servidor redundante… Gestão de Segurança da Informação - Indicadores Custo do incidente Custo para recuperar Quantidade de incidentes Tempo médio entre o incidente e o recovery Tempo médio de impacto (downtime) % de ativos participantes do scan de segurança % de ativos criticos vulneraveis % de ativos não críticos vulneraveis Tempo médio enre detecção da vulnerabilidade e sua correção Custo médio para corrigir a vulnerabilidade % de aplicações participantes de scan de segurança % de aplicações criticas vulneraveis % de aplicações não críticas vulneraveis % de acessos revisados periodicamente % de acessos que deveriam estar inativos Custo do investimento Custo da operação Gerenciamento de Incidentes Vulnerabilidades (inclui patch management e configuration management) Segurança de Aplicações Finanças Acessos O que vimos e o que veremos? O que vimos? O que veremos a seguir? • Gestão de Segurança da Informação baseado em PDCA. • Indicadores que suportam a gestão em Segurança da Informação. • Continuidade do Negócio.
Compartilhar