Baixe o app para aproveitar ainda mais
Prévia do material em texto
Unidade I – (Conceitos e Estudo das Normas ISO 27000) 1. Unidade: 01 - Vídeo: 1/4 - Normas ISO_IEC 27000 - Introdução Introdução: • O que é informação no contexto da SI: “ Informação é um ativo que, como outro s ativos de negócios importantes, tem um valor para uma organização e consequentemente precisa ser adequadamente protegido”. • Informação por ser: Criada / Armazenada / Destruída / Processada / Transmitida / Usada (forma correta ou não). Corrompida / Visualizada / Publicada / Verbalizada / Perdida / Roubada. Segurança da Informação • Conjunto de estratégias para gerenciar: o Os processos, ferramentas e políticas. • Necessárias para: o Prevenir, detectar, documentar e contrariar. “ As ameaças à informação digital e não digital” Pilares • 1. Integridade 2. Disponibilidade 3. Confidencialidade 4. Autenticidade 5. Não Repudio • Integridade: o Os dados armazenados devem permanecer inalterados dentro de um sistema de informações, bem como durante o transporte de dados. • Disponibilidade: o Capacidade de um usuário acessar informações ou recursos em um local especificado e no formato correto desde que possua autorização para tal. • Confidencialidade: o Informações ou dados sensíveis só devem ser divulgados para usuários autorizados. Aplicada como um sistema classificatório, por exemplo: livre, classificada e secreta. • Autenticidade: o È um processo que assegura e confirma a identidade de um usuário. o O usuário deve comprovar seus direitos de acesso e identidade. • Não Repúdio: o Mecanismo de garantia que fornece prova da integridade e origem dos dados. o É uma autenticação de que a mensagem foi enviada e que pode ser afirmado como genuíno com alta garantia para a fonte receptora. C.I.A. • Confidencialidade, integridade e Autenticidade. o ( C )= Qualquer coisa que ataca a capacidade de manter algo privado, ou seja, é um ataque contra a confidencialidade. o ( I )= Garantir que algo não seja alterado de sua verdadeira forma. Por exemplo: alteração dos preços em um bando de dados de comércio eletrônico ou a alteração da taxa de pagamento em uma planilha. o ( A )= São aqueles que o fazem para que a vítima não possa usar o recurso em questão. Ataque tipo D.O.S. ou ataque por negação de serviço. Termos Comuns em Segurança da informação • Vulnerabilidade = É uma fraqueza no sistema. • Ameaça = É um evento, natural ou artificial, que pode causar danos ao seu sistema. • Risco = Ameaça X Vulnerabilidade X Custo. • Política = Declaração de alto nível da administração dizendo o que é e não é permitido na organização. • Padrão = Determinada o que será usado para executar a política. • Procedimento = Descrição de como exatamente fazer uma coisa certa. Geralmente é apresentado em uma série de atapas. Alguns Insights • A segurança é um processo e não um destino. • O objetivo da segurança da informação é fazer com que a missão principal da organização seja bem- sucedida. • A infraestrutura de TI atual torna o cracking trivial. • A segurança por obscuridade é ruim, mas a segurança com a obscuridade não. • A complexidade é o inimigo da segurança. Conclusão: • Protege as informações de uma variedade de ameaças, garante a continuidade dos negócios, minimiza perdas financeiras, otimiza retorno sobre investimentos e aumenta as oportunidades de negócios. S.I. é: • Problema organizacional. • Mais de 70% das ameaças são internas. • Mais do que 60% dos culpados são fraudadores de primeira viagem. • Maior Risco: pessoas. • Maior Patrimonio: pessoas. • Engenharia social: é a grande ameaça. 2. Unidade: 01 - Vídeo: 2/4 - Normas ISO_IEC 27000 DENIFIÇÃO E ESCOPO • Fornece uma visão geral dos sistemas de gerenciamento de segurança da informação. • Introduz a S.I.: gerenciamento de riscos e segurança e sistemas de gerenciamento. • ISO 27001: é o padrão e a referência Internacional para a gestão da Segurança da informação. • ISO 27002: é um código de boas práticas e controles para auxiliar e apoiar a aplicação do referido Sistema de Gestão da Segurança da Informação (SGSI). • ISO 27003: busca definir um modo suficiente para implementação de um SGSI. ... De acordo com a norma, medição é o processo de obter informação sobre a eficácia de um SGSI e controles usando um método de medição, uma função de medição, um modelo analítico e um critério de decisão. • ISO 27004: trata da “Medição” do SGSI! De acordo com a norma, medição é o processo de obter informação sobre a eficácia de um SGSI e controles usando um método de medição, uma função de medição, um modelo analítico e um critério de decisão! • ISO 27005: fornece as diretrizes para o gerenciamento dos riscos de segurança da informação (SI) e dá sustentação aos conceitos especificados na ISO 27001:2005, a norma de requisitos de sistemas de gestão da SI, além de auxiliar sobremaneira na implementação e certificação de tais sistemas de gestão. • ISO 27006: é a norma internacional de gestão de segurança da informação. Ela descreve como colocar em prática um sistema de gestão de segurança da informação avaliado e certificado de forma independente • ISO 27007: Fornece diretrizes sobre como gerenciar um programa de auditoria de sistemas de gestão da segurança da informação (SGSI), sobre como executar as auditorias e sobre a competência dos auditores de SGSI5. • ISO TR 27008: é um padrão que fornece orientação sobre a implementação e operação decontroles. É aplicável a qualquer tipo e tamanho da empresa, tanto pública como privada, querealiza avaliações relacionadas à segurança da informação e aos controles de segurança. A informação. É compatível com outros padrões como ISO 27001 ou ISO 27002, e serve como uma plataforma estratégica para garantir a segurança da informação. • ISO 27009: Este documento especifica os requisitos para a criação de padrões setoriais específicos que estendem a ISO/IEC 27001 e complementam ou alteram a ISO/IEC 27002 para apoiar um setor específico (domínio, área de aplicação ou mercado). • ISO 27010: Gestão de segurança da informação para comunicações intersetorial e intersetorial. • ISO 27011: Código de prática para controles de segurança da informação baseados na ISO/IEC 27002 para organizações de telecomunicações. • ISO 27012: Orientação sobre a implementação integrada do ISO/IEC 27001 e ISO/IEC 20000-1. PRINCIPIO • Reino unido (Departamento de Comércio e indústria). • O centro de segurança de computadores comerciais (CCGC). • Criar um critério de avaliação de segurança para produtos de segurança de TI. • Criação de um código de boas práticas para segurança da informação. • Criação do ITSEC. • Publicação do DISC PD003 • Desenvolvimento do NCC em Manchester (National Computing Center). • PD003 foi organizado em 10 seções no inicio de 1990. • Desenvolvimento sob a custódia da BSI. • Tornou-se um padrão formal, BS7799, de 1995. • Especificação de um sistema de gerenciamento de segurança da informação. • Publicado em 98 – BS7799-2 • Tornou-se a ISO27001. • BS7799-1 na ISO, se torna a ISO 17799 dez-2000. • ISO 27001 foi publicada em out-2005 • ISO 17799 foi renomeado para ISO 27002 em dez-2007. TERMOS e DEFINIÇÔES ISO 27000 • ATAQUE: um ataque é qualquer tentativa não autorizada de acessar, usar, alterar, expor, roubar, desativar, ou destruir um recurso. • CONTROLE DE ACESSO: Permissão e/ou restrição de acesso. / Refere-se as etapas que são tomadas para autorizar e/ou restringir seletivamente o uso de ativos. • AUDITORIA: Processo de coleta de evidências usada para avaliar a satisfação dos critérios de auditoria. • AUTENTICAÇÃO: Processo que é usado para confirmar que uma característica reivindicada de uma entidade está realmente correta. • AUTENTICIDADE: Propriedade ou característica de uma entidade.• DISPONIBILIDADE: Propriedade ou característica de que algo está disponível se for acessível e utilizável quando uma entidade autorizada exige acesso. • CONFORMIDADE: Cumprimento de um requisito. / Significa cumprir os requisitos. • MELHORIA CONTINUA: Conjunto de atividades recorrentes que são realizadas para melhorar o desempenho de processos, produtos, serviços, sistemas e organização. • CONTROLE: Qualquer método administrativo, gerencial, técnico ou legal que é usado para modificar ou gerenciar o risco de S.I. • CORREÇÃO: Uma correção é qualquer ação que é tomada para eliminar uma não conformidade. • EFICÁCIA: Refere-se ao grau em que um efeito planejado é alcançado. • EFICIÊNCIA: É uma relação entre resultado alcançado (saídas) e recursos utilizados (entradas). • EVENTOS: Uma ocorrência / Várias Ocorrências / Uma não ocorrência / Mudança nas circunstâncias / São os incidentes ou acidentes / Tem causas e consequências. • GOV. DA S.I: Sistema que é usado para direcionar e controlar atividades de segurança de informações de uma organização. • CONTINUIDADE DA S.I.: Conjunto integrado de políticas, procedimentos e processos que são utilizados para garantir que um nível predefinido de segurança continue durante um desastre ou crie. • INTEGRIDADE: Significa proteger a precisão e a integridade das informações. • NÍVEL DE RISCO: É a sua magnitude. / Consequências X Probabilidade. • PROBABILIDADE: Chance de que algo possa acontecer. • RISCO: Efeito da incerteza sobre os objetivos. • PADRÃO DA IMPLEMENTAÇÃO DA SEG.: Documento que descreve as formas oficiais ou formalmente autorizadas nas quais a segurança pode ser alcançada ou realizada. • VULNERABILIDADE: Fraqueza de um ativo ou controle que potencialmente poderia ser explorado por uma ou mais ameaças. 3. Unidade: 01 - Vídeo: 3/4 - Normas ISO_IEC 27001, 27003, 27004 e 27006 ISO 27001 – DEFINIÇÃO E ESCOPO • Específica formalmente • Sistema de Gerenciamento de Segurança da informação. • Conjunto de atividades relacionadas à gestão de riscos de informação. • Identificar, analisar e abordar riscos de informação. • Garante que os arranjos para acompanhar. • Ameaças, vulnerabilidades e impactos nos negócios. • Não exige formalmente controles específicos de segurança da informação. ESTRUTURA • Usa uma abordagem de processo. • Específica requisitos genéricos de ISMS adequados para a organizações de qualquer tipo, tamanho ou natureza. • Compreender o contexto organizacional, as necessidades e expectativas das “partes interessadas” e definir o escopo do SGSI. • A alta gerência deve demonstrar liderança e compromisso com o SGSI, política de mandato e atribuir funções de segurança de informações, responsabilidades e autoridades. • Processo para identificar, analisar e planejar o tratamento de riscos de informação e esclarecer os objetivos da segurança da informação. • Recursos adequados e competentes devem ser atribuídos, documentados e controlados. • Detalha sobre a avaliação e tratamento dos riscos da informação, gerenciar mudanças e documentar as coisas. • Avaliação de desempenho – monitorar, medir, analisar e avaliar / auditar / revisar os controles, processos e sistema de gerenciamento de segurança da informação, a fim de fazer melhorias sistemáticas quando apropriado. • Abordar as descobertas de auditorias e revisões. ISO 27003, ISO 27004 – DEFINIÇÃO E ESCOPO • Fornece orientação para aqueles que implementam os padrões ISO27K, abrangendo os aspectos do sistema de gerenciamento em particular. • Fornece explicações e orientações sobre ISo 27001. • Fornece informação adicional de explicação, orientação prática e exemplos do mundo real com relação aos problemas externos e internos de SI. • Medidas necessárias para o gerenciamento da SI. • Métricas de segurança. • Avaliar a eficácia e eficiência do sistema de gerenciamento de segurança da informação. • Fornece informações necessárias para gerenciar e melhorar o SGSI. PRINCIPAL FOCO • Racionalidade: Explica o valor de medir as coisas, por exemplo, para aumentar a prestação de contas e o desempenho. • Características: O que medir, monitorar, analisar e avaliar, quando fazê-lo e quem o faz. • Tipos de Medidas: Medidas de desempenho (eficiência) e eficácia. • Processos: Como desenvolver, implementar e usar métricas. ISO 27006 – DEFINIÇÕES E ESCOPO • FINALIDADE: o Padrão de acreditação que orienta os órgãos de certificação nos processos formais que eles devem seguir ao auditar o SGSI. o Especifica requisitos e fornece orientação para os órgãos que prestam auditoria e certificação de um SGSI. o Orientações para auditoria de conformidade especificamente no contexto dos SGSI, além dos requisitos gerais de acreditação. 4. Unidade: 01 - Vídeo: 4/4 - Normas ISO_IEC 27002 ISO 27002 – DEFINIÇÃO E ESTRUTURA • Padrão de boas práticas popular e internacionalmente reconhecido para a segurança da informação. • O padrão é explicitamente preocupado com a segurança da informação. • Segurança de todas as formas de informação (dados informáticos, documentação, conhecimento e propriedade intelectual). • É um código de prática. • Recomenda controles de segurança de informações. • Estruturado logicamente em torno de grupos de controles de segurança relacionados. • Aborda os objetivos de controle de segurança de informações decorrentes de: o Riscos para a confidencialidade. o Integridade. o Disponibilidade de informações. MAPA CONCEITUAL DA NORMA ESTRUTURA DESTE PADRÃO • Cláusulas de controle de segurança. • 35 objetivos de controle. • Necessidade de proteger a confidencialidade, integridade e disponibilidade de informações. EXMPLO: OBJETIVOS DE CONTROLES • LOGON SEGURO: o Implementação e uso de técnicas de autenticação adequadas. o Não divulgação de informações sensíveis no tempo de logon. o Validação de entrada de dados. o Proteção contra ataques de força bruta. o Log. o Não transmissão de sobre a rede. o Tempo limite de inatividade de sessão. o Restrições de tempo de acesso. DIREÇÃO DE GESTÃO PARA SEGURANÇA DA INFORMAÇÃO • Deve haver uma “política de segurança da informação”. ORGANIZÇÃO DA SI. • INTERNA: o Estabelecer os papéis e as responsabilidades para a segurança da informação, e aloca-las para os indivíduos. • DISPOSITIVOS MÓVEIS E TELETRABALHO o Políticas de segurança e controles para dispositivos móveis e remotos. SEGURANÇA DOS RECURSOS HUMANOS • Antes do Emprego: o Em conta no recrutamento de empregados permanentes. o Empreiteiros. o Agentes temporários. • Durante o Emprego: o Garantir funcionários e contratados. ▪ Conscientizados. ▪ Motivados. ▪ Cumprir obrigações de segurança da informação. o Processo disciplinar formal ▪ Lidar com incidentes de segurança da informação. ▪ Causados por trabalhadores. • Rescisão e mudança de emprego: o Gerenciados. o Atualizar seus direitos e acesso. o Privacidade e propriedade intelectual. o Termos contratuais. GERENCIAMENTO DE ATIVOS • Responsabilidade por ativos. o Inventariados. o Proprietários identificados. o Responsabilizados pela segurança. • Classificação da informação o Classificadas. o Rotuladas. o Proprietários. o Tratadas adequadamente. • Manuseio de Mídia o Gerenciados. o Controlados. o Movidos. o Descartados. CONTROLE DE ACESSO E CRIPTOGRÁFICOS • Controle de Acesso o Requisitos empresariais do controle de acesso. o Gerenciamento de acesso de usuário. o Responsabilidades de usuário. o Controle de acesso do sistema e da aplicação. • Controle Criptográfico o Política sobre o uso da criptográfica. o Controles de autenticação o Integridade criptográfica. o Assinaturas digitais. o Códigos de autenticaçãode mensagens. o Gerenciamento de chaves criptográficas. SEGURANÇA FÍSICA E AMBIENTAL • Áreas seguras: o Perímetro e barreiras físicas definidas. o Controles de entrada física. o Procedimentos de trabalho. ▪ Proteger as instalações, escritórios, salas, áreas de entrega/carregamento. • Equipamentos. SEGURANÇA DE OPERAÇÕES E COMUNICAÇÕES • Seg. Operações: o Procedimentos e Responsabilidades operacionais. o Proteção contra malware. o Backup. o Logging e monitoramento. o Controle de software operacional. o Gerenciamento de vulnerabilidades técnicas. o Considerações de auditoria de sistemas de informação. • Seg. das Comunicações: o Gerenc. De segurança de rede. o Transferência de informações. AQUISIÇÃO, DESENVOLVIMENTO E MANUTENÇÃO DO SISTEMA. • Requisitos de segurança dos sistemas de informação. • Segurança nos processos de desenvolvimento e suporte. • Dados de teste. RELAÇÃO COM FORNECEDORES. • Segurança da informação em relacionamentos dos fornecedores. • Gerenciamento de entrega de serviços de fornecedores. ➔ Gerenciamento de Incidentes e melhorias de segurança da informação. ➔ Continuidade da segurança da informação ➔ Redundâncias CONFORMIDADE • Cumprimento dos requisitos legais e contratuais. • Comentários da segurança da informação. Unidade II – (Normas ISO 27005 e ISO 31000) Apresentação das normas ISO 27005 e ISO 31000 direcionadas a riscos. 5. Unidade: 02 - Vídeo: 1/4 - Normas ISO-IEC 27005 e ISO-IEC 31000 Diagrama Conceitual: IDENTIFICAR POTENCIAIS RISCOS PERTENCENTES A INFORMAÇÃO • Vulnerabilidades são fraquezas inerentes nas: o Instalações o Tecnologias o Processos. • Pessoas e relacionamento. • Ameaças são: o Os Atores (internos e externos). o Eventos naturais. • Ativos são: o Conteúdo de informações valiosas o Arquivos de armazenamento. o Hardware de computador. • Impactos são: o Incidentes o Calamidades o Afetam os ativos o Prejudicam a organização o Prejudicam seus interesses comerciais o Pode afetar terceiros. AVISOS E NORMAS REFEREM-SE: • Conselhos relevantes lançados por inúmeras organizações. o CERT / FBI / ISO / Jornalistas / Fornecedores de Tecnologia • Profissionais de segurança da informação TRATAMENTO DE RISCOS: • Evitar / Mitigar / Compartilhar / Aceitar • Envolve decidir o que fazer, e fazer o que foi decidido. FERRAMENTAS PARA TRATAR RISCOS • Análise análoga de risco, é um método de inferência simples para analisar, relatar, comparar e considerar riscos de maneira subjetiva, conforme as probabilidades relativas de ocorrência e impactos. • Faca de Calabrese, Ajuda a selecionar e priorizar controles técnicos em configuração de segurança. • Ajuda a avaliar e comparar os custos e benefícios para cada controle em uma base igual. • COBIT, fornece um modelo abrangente que orienta a implementação de: o Processos. o Sistemas de governança de TI. o Controles de Segurança da informação. • COSO ERM. • Comitê de organizações Patrocinadoras da estratégia de Gestão de riscos Empresariais. • Utilizada para gerenciar todas as formas de risco organizacional. • Delphi, técnica de previsão envolvendo rodadas sucessivas de previsões anônimas com consolidação e feedback aos participantes entre cada rodada. • FMEA, modos de falha e analise de efeitos. • De uso geral. • Utilizado em projetos de engenharia. • Examina possíveis maneiras pelas quais um processo pode falhar e causar efeitos adversos sobre a organização. • ISO 31000. • Orientações sobre os princípios e a implementação de gerenciamento de riscos em geral. • MEhari, é um método gratuito de análise e gerenciamento de risco de código aberto em várias línguas europeias. • Desenvolvido pelo Clube de segurança da informação Frances. • NIST SP 800-30. • Guia de gerenciamento de riscos para sistemas de tecnologia da informação. • Octave o Operationally / Critical / Threat / Asset / Vulnerability / Evaluation • Baseada na avaliação e planejamento para a segurança. • Necessita visão de negócios em vez de tecnologia centrada em riscos de segurança. • Cadeias de Markov. • Redes de petri estocásticas. • Simulação de monte Carlo. • Técnicas bayesianas. • Teoria de probabilidade. 6. Unidade: 02 - Vídeo: 2/4 - Normas ISO-IEC 27005 GERENCIAR RISCOS PERTENCENTES A INFORMAÇÃO: • Envolvimento para identificar, avaliar e lidar com riscos de maneira continua pro ativa, e aspectos de governança, como direção, controle, autorização e recursos do processo. RISCO PERTENCENTE A INFORMAÇÃO É: • Conhecimento que derivamos dos dados, conteúdo de arquivos de computador, papelada, conversas, conhecimentos, propriedade intelectual, etc. DEFINIÇÕES ISO 27005 • Técnicas de Segurança: o Gestão da segurança da informação. o Fornece diretrizes para o gerenciamento de riscos de segurança da informação. o Suporta os conceitos gerais especificados na ISo27001. o Projetado para auxiliar a implementação satisfatória de segurança da informação com base em uma abordagem de gerenciamento de riscos. O QUE ESPECIFICA: • O Contexto de gerenciamento de risco: o Escopo. o Obrigações de conformidade. o Abordagens e métodos a serem utilizados. o Políticas. o Critérios como a tolerância ao risco. • Avaliação quantitativa e/ou qualitativa o Identificação, análise e avaliação de : ▪ Riscos de informação relevantes. ▪ Ativos de informações. ▪ Ameaças. ▪ Controles. ▪ Vulnerabilidades. ▪ Probabilidades de incidentes. ▪ Cenários de incidentes. ▪ Consequências comerciais. • Uso e controle d SI. • Evitar ou compartilhar com terceiros os riscos adequadamente. • Uso de níveis de risco para priorização. • Informar as partes interessadas ao longo do processo. • Monitoração e revisão dos riscos. • Tratamento de riscos. • Respostas as mudanças significativas. PROBLEMÁTICA: • 70 páginas. • Padrões para riscos – pertencentes a informação. • Não possui explicação adequada para lidar com os riscos da informação. • Se vale de muitos outros padrões, diretrizes e abordagens para gestão de riscos de informação para cobrir essa falha. MÉTODO DE ANALISE DE RISCO PARA ESCOLHA DE FERRAMENTAL: • Quantitativa ou Qualitativa: Poucos recomendariam uma análise verdadeiramente quantitativa dos riscos de informação. o Escassez de dados confiáveis sobre incidentes. o Potencialmente úteis em situações mais restritas. • Escopo: Do SGSI e precisam ser avaliadas pelo gerenciamento para compilar sua Declaração de aplicabilidade (SoA). • Escalabilidade: reunir e analisar grandes quantidades de dados ao longo do tempo. o Usar ferramentas baseadas em bancos de dados em vez de planilhas. • Manutenção e suporte: uns usam software inteligente de suporte a decisão. o Outros são processuais ou podem ser suportados por ferramentas genéricas, como planilhas. • Usabilidade: o Métodos e ferramentas conduzem o usuário através do processo de análise de risco um passo de cada vez. o Outros são mais livres, assumem mais conhecimento e experiência dos usuário. • Valor: o Benefícios para sua organização a partir da ferramenta. o Custos de aquisição. o Uso e manutenção da ferramenta. o Preço é apenas um fator. 7. Unidade: 02 - Vídeo: 3/4 - Normas ISO-IEC 31000 – parte I DEFINIÇÃO E PROPÓSITO: • ISO31000: Princípios e diretrizes genéricas sobre gerenciamento de riscos. • Aplicado ao longo da vida de uma organização. • Ampla gama de atividades: o Estratégias e decisões. o Operações. o Processos. o Funções. o Projetos. o Produtos. o Serviços. o Ativos. • Aplicação: Qualquer tipo de risco, qualquer que seja sua natureza, seja com consequências positivas ou negativas. DIRETRIZ GENÉRICA: • Não se destina a promover a uniformidade de gerenciamento de riscos em todas as organizações. • Projeto e a implementaçãode planos e estruturas precisarão levar em consideração as diferentes necessidades de uma organização específica. • Levar em consideração: o Objetivos específicos, contexto, estrutura, operações, processos, funções, projetos, produtos, serviços ou ativos e práticas específicas empregadas. PRETENSÃO: • Usar como harmonizadora dos processos de gerenciamento de riscos nos padrões existentes e futuros. • Fornecer uma abordagem comum em apoio de padrões que lidam com riscos em setores específicos. • Não substitui normas específicas. PACOTE PARA RISCOS DE TI E SEGURANÇA DA INFORMAÇÃO: • ISO 31000 / ISO 27001 / ISO 27002 • ISO31000, trata do gerenciamento de Riscos de tecnologia da informação e fornece a base para suportar o gerenciamento de riscos de um sistema de gerenciamento de segurança da informação. COMPOSIÇÃO: • ISO 31000:2009 – Princípios e Diretrizes sobre implementação. • ISO 31010:2009 – Gestão de Riscos – Técnicas de avaliação de riscos. • Guia ISO 73:20009 – Gerenciamento de riscos – Vocabulário. ISO 31000 – A QUEM INTERESSA • Stakeholders do nível executivo. • Detentores de cadastros no grupo de gerenciamento de riscos da empresa. • Analistas de risco e diretores de gestão. • Gerentes de linha. • Gerentes de projeto. • Auditores internos e de conformidade. • Profissionais independentes. FOCO DOS PROGRAMAS: • Transferência de lacunas de responsabilização no gerenciamento de riscos corporativos. • Alinhando os objetivos dos quadros de governança com ISO 31000. • Incorporando mecanismos de relatórios do sistema de gerenciamento. • Criando critérios de risco uniformes e métricas de avaliação. ISO 31000 – COMO LIDAR COM O RISCO • Evitando o risco, decidindo não iniciar ou continuar com a atividade que dá origem ao risco. • Aceitando ou aumentando o risco para perseguir uma oportunidade. • Removendo a fonte de risco. • Alterando a probabilidade. • Alterando as consequencias. • Compartilhando o risco com outra parte ou partes (incluindo contratos e financiamento de riscos). • Mantendo o risco por decisão informada. 8. Unidade: 02 - Vídeo: 4/4 - Normas ISO-IEC 31000 – parte II O QUE A ISO 31000 NÃO É / NÃO POSSUI: • Instruções detalhadas de como gerir riscos. • Framework completo para gerir riscos. • Formatos ou atributos para descrever riscos. • Direcionamento em como identificar riscos. • Conselhos em como gerir riscos de domínios específicos. PRINCIPIOS DE GERENCIAMENTO APLICADOS: • Cria a projeta valor baseado na melhor informação disponível. • Desenha sob medida tratamento do risco e o coloca como parte integrada junto aos processos organizacionais. • Leva em consideração os fatores culturais e humanos como parte da tomada de decisão. • O processo de direcionamento da incerteza é transparente e inclusivo. • Toda a sistemática, estrutura e tempo é propositalmente feita para ser responsiva e interativa a dinâmica das mudanças. • Facilita o incremento contínuo da organização criando cultura de avaliação de riscos. FRAMEWORK: ARQUITETURA SIMPLES PARA RISCO: RELACIONAMENTO COM OUTROS PADRÕES: Unidade III – (Normas ISO 22301) Apresentação da norma ISO 22301 direcionada à continuidade do negócio. 9. Unidade: 03 - Vídeo: 1/4 - Normas ISO-22301 - introdução ISO 22301 – DEFINIÇÕES – SEGURANÇA SOCIAL: • Sistemas de gerenciamento de continuidade de negócios. • Escrita por especialistas lideres em continuidade de negócios e fornece a melhor estrutura para gerenciar a continuidade do negócio em uma organização. ISO 22301 – INTRODUÇÃO • Diminuir a possibilidade de um incidente disruptivo ocorrer. • Ocorrendo, uma organização estará pronta para responder de forma adequada. • Sua adoção diminui drasticamente o potencial dano de tal incidente. • O padrão é concebido de tal forma que seja aplicável a qualquer tamanho ou tipo de organização. • A continuidade do negócio faz parte do gerenciamento global de riscos em uma empresa, com áreas que se sobrepõem ao gerenciamento de segurança da informação e ao gerenciamento de TI. ISO 22301 – ONDE ESTÁ CONTIDO TERMOS USADOS: • Sistema de Gerenciamento de Continuidade de Negócios BCMS – parte de um sistema de gerenciamento geral que garante que a continuidade do negócio seja planejada, implementada, mantida e melhorada continuamente. • Interrupção máxima aceitável – MAO – a quantidade máxima de tempo que uma atividade pode ser interrompida sem incorrer em danos inaceitáveis. o É também conhecida como: Período de Perturbação Máxima Tolerável – MTPD. • Objetivo de tempo de Recuperação – RTO – o tempo pré-determinado em que uma atividade deve ser retomada, ou os recursos devem ser recuperados. • Objetivo do Ponto de Recuperação – RPO – perda máxima de dados, ou seja, quantidade mínima de dados que precisa ser restaurada. • Objetivo mínimo de continuidade do Negócio – MBCO – o nível mínimo de serviços ou produtos que uma organização precisa produzir depois de retomar suas operações comerciais. MACRO CONTEÚDO: • Escopo Ref.Normativas Termos e Definições Contexto da organização Liderança Planejamento Apoio Operação Avaliação de Desempenho Melhoria 10. Unidade: 03 - Vídeo: 2/4 - Normas ISO-22301 – Documentação Obrigatória. ISO 22301 – Benefícios: • Recuperar de forma ótima um incidente potencialmente prejudicial e perturbador. • Proteger o volume de negócios, os lucros e a reputação da organização devido a uma melhor resiliência e prontidão. • Reduzir o custo da cobertura do seguro de interrupções de negócios com base na análise real da exposição ao risco organizacional. • Receber garantias auditadas independentemente de que a empresa estabeleceu as medidas necessárias para responder a um potencial desastre. • Conhecer as demandas dos clientes em toda a cadeia de suprimentos. ISO 22301 – CICLO DE VIDA. • Definir qual o alcance do projeto e fazer o caso de negócio. • Obter o compromisso do conselho e garantir o orçamento necessário. • Desenvolver competência interna. • Realizar o desenvolvimento de documentação e controle de documentação. • Estabelecer funções e responsabilidades. • Desenvolver planos e estratégia de continuidade de negócios. • Realizar testes BCM • Revisar e promover manutenção contínua. • Obter o certificado. • Realizar comunicações internas e externas. • Estabelecer programas de conscientização da equipe. • Realizar uma avaliação de risco. • Realizar uma análise de impacto comercial BIA. DOCUMENTAÇÃO Obrigatória a Desenvolver: • Necessária a toda a organização que pretende adotar o padrão. • Lista de requisitos Legais, regulamentares e outros aplicáveis. • Escopo do BCMS • Política de continuidade de negócios. • Objetivos de continuidade do negócio. • Evidência de competências de pessoal. • Registros de comunicação com partes interessadas. • Análise de impacto de negócios. • Avaliação do risco, incluindo o apetite de risco. • Estrutura de resposta a incidentes. • Planos de continuidade do negócio. • Procedimentos de recuperação. • Resultado da auditoria interna. • Resultados da revisão da gestão. • Resultados de ações corretivas. 11. Unidade: 03 - Vídeo: 3/4 - Normas ISO-22301 – Normas Correlatas. ISO 22301 – Plano de Contingência e Recuperação de Desastres: • Foram respostas lideradas por tecnologia da informação para desastres naturais e terrorismo. • Afetam as empresas nos anos 80 e início da década de 90 do sec. XX. • Se tonou um processo liderado por negócios. NORMAS PUBLICADAS: • ISO 22300:2012 – Segurança Social, Terminologia. • ISO 22320:2011 – Segurança Social, Gerenciamento de emergência – Requisitos para resposta a incidentes. • ISO/TR 22312:2011 – Segurança Social, Capacidades Tecnológicas. • ISO/PAS 22399:2007 – Segurança Social, Diretriz para preparação de incidentese gerenciamento de continuidade operacional. • ISO 22311, Segurança Social, Vídeo VigilÂncia – interoperabilidade de exportação. • ISO 22313, Segurança Social, Sistemas de gerenciamento de continuidade de negócios, Orientação. • ISO 22315, Segurança Social, Evacuação em massa. • ISO 22322, Segurança Social, Gestão de emergências – Aviso Público. • ISO 22323, Sistemas organizacionais de gerenciamento de resiliência – Requisitos com orientação para uso. • ISO 22325, Segurança Social, Diretrizes para avaliação de capacidade de emergência para organizações. • ISO 22351, Segurança Social, Gerenciamento de emergências, Sensibilização comparada à situação. • ISO 22397, Seg.Social, parceria Público-Privada – Diretrizes para a criação de acordos de parceria. • ISO 22398, Seg.Social, Diretrizes para exercícios e testes. • ISO 22324, Seg.Social, Gerenciamento de emergência – Alerta codificado por cores. ISO 22301: MAPA DOS PROCESSOS PARA IMPLEMENTAÇÃO E CERTIFICAÇÃO. 12. Unidade: 03 - Vídeo: 4/4 - Comparação entre ISO 27001 e ISO 22301. ESCOPO: • ISO 27001 não permite exclusões de claúsulas de seções 4 a 10. • ISO 22301, que afirma que a extensão da aplicação dos seus requisitos depende do ambiente operacional de cada organização e complexidade. REFERENÇIAS NORMATIVAS: • ISo 27001, refere-se apenas ao seu vocabulário documentado na ISO 27000. • ISO 22301, não tem referências normativas. TERMOS E DEFINIÇÕES • Ambos os padrões listam seus próprios fundamentos e vocabulários. CONTEXTOS E NECESSIDADES DA ORGANIZAÇÃO/EMPRESA. • ISo 27001, foca na determinação das causas internas e externas da falta de segurança. • ISO 22301, inclui além disso, todos os elementos que afetam, ou podem ser afetados por potenciais incidentes e interrupções: Atividades, Função, Serviço, Produtos.... LIDERANÇA: • Ambas as normas exigem envolvimento da alta gestão e gestão de linha, com funções relevantes da organização e demonstrar esforço genuíno para engajar pessoas para apoiar o seu sistema de gestão respectivos. PLANEJAMENTO • As cláusulas da ISo 27001 sobre avaliação de riscos de segurança de informações e planejamento do tratamento podem ajudar a cobrir a ISO 22301 sobre avaliações de risco de continuidade de negócios. RECURSOS • Ambos os padrões versam que os recursos exigidos para atingir os objetivos declarados e mostrar a melhoria contínua devem ser definidos e disponibilizados pela organização. Competências – Em ambas as Normas. • Competência pode ser demonstrada pela experiência, formação e ou educação em relação as tarefas assumidas. • Quando a competência não é suficiente, treinamento deve ser identificado e entregue, bem como medido para garantir que o nível de competência exigido foi alcançado. Operação. • São as mesmas em relação a riscos e oportunidades e cumprimento das exigências dos padrões. o Processos: ambos internos e terceirizados, devem ser identificados, planejados, implementados e controlados. o Documentação de informações consideradas necessárias para fornecer a confiança que os processos precisam quando estiverem em execução e alcançarem seus resultados, deverão ser retidas e atuais. o As mudanças deverão ser planejadas e controladas. o Devem ser avaliados os impactos de mudanças inesperadas e tomadas as ações adequdas. Avaliação de Desempenho – tratadas da mesma maneira. • Estabelecimento e avaliação de métricas de desempenho em relação a eficácia e eficiência da segurança da informação / processos de continuidade de negócios, procedimentos e funções. • Resultados de desempenho devem ser mantidos corretamente como prova de conformidade e como uma fonte para facilitar ações corretivas subsequentes. • Avaliação de desempenho para ISO 22301, há sempre o teste ou revisão após um evento de interrupção, ou sempre que ocorram mudanças no contexto empresarial de planos de continuidade de negócios. Melhorias em ambos os Casos. • Melhoria continua deve ser usada para alcançar e manter a aptidão, adequação e eficácia do sistema de gestão em matéria de cumprimento dos objetivos das organizações. • Respostas para atenuar uma não-conformidade e /ou ação corretiva devem ser proporcionais ao seu impacto e a necessidade de eliminar a causa raiz. • A eficácia das ações tomadas deve ser avaliada e documentada.
Compartilhar