governança de ti e segurança da informação
DESCRIPTION
Palestra apresentada na Semana da Gestão e Governança da TI. Evento realizado pelo Instituto Infnet entre os dias 25/10/2010 e 29/10/2010.TRANSCRIPT
![Page 1: Governança de TI e Segurança da Informação](https://reader034.vdocuments.pub/reader034/viewer/2022050801/549673acac79592f2e8b5100/html5/thumbnails/1.jpg)
Governança de TI e Segurança da Informação
Luís Segadas - CISSP, CISA
![Page 2: Governança de TI e Segurança da Informação](https://reader034.vdocuments.pub/reader034/viewer/2022050801/549673acac79592f2e8b5100/html5/thumbnails/2.jpg)
Objetivo
Apresentar o papel da segurança da informação no contexto de governança de TI, com destaque para o processo de gestão de riscos e os benefícios trazidos pela sua implementação.
![Page 3: Governança de TI e Segurança da Informação](https://reader034.vdocuments.pub/reader034/viewer/2022050801/549673acac79592f2e8b5100/html5/thumbnails/3.jpg)
Governança e Segurança
Governança e Segurança são duas faces da mesma moeda.
Devem se preocupar com Pessoas, Processos e Tecnologias.
![Page 4: Governança de TI e Segurança da Informação](https://reader034.vdocuments.pub/reader034/viewer/2022050801/549673acac79592f2e8b5100/html5/thumbnails/4.jpg)
Governança - Por que?
Alinhar objetivos de TI com o negócio
Automatizar, padronizar e unificar processos de TI
Otimizar o uso dos recursos
Gerenciar riscos apropriadamente
Facilitar auditoria
Conformidade com partes externas
Fonte: Cobit.
![Page 5: Governança de TI e Segurança da Informação](https://reader034.vdocuments.pub/reader034/viewer/2022050801/549673acac79592f2e8b5100/html5/thumbnails/5.jpg)
Segurança - Por que?
Proteger os ativos, o negócio e a reputaçãoAlinhar o que proteger com o negócioGerenciar riscosMais facilidades, mais ameaçasAs ameaças são cada vez mais digitaisInformação está em várias mídiasAspectos legais e regulatóriosFonte: ISO 27000.
![Page 6: Governança de TI e Segurança da Informação](https://reader034.vdocuments.pub/reader034/viewer/2022050801/549673acac79592f2e8b5100/html5/thumbnails/6.jpg)
Um pouco sobre a ISO 27000
Normas ISO (No Brasil são editadas pela ABNT)
ABNT NBR ISO IEC (Número):(Ano de criação ou última revisão)
27001:2006 - Gestão de Segurança da Informação
27002:2005 - Requisitos (antiga 17799)
27005:2008 - Gestão de Riscos de TI
27004:2010 - Métricas.
![Page 7: Governança de TI e Segurança da Informação](https://reader034.vdocuments.pub/reader034/viewer/2022050801/549673acac79592f2e8b5100/html5/thumbnails/7.jpg)
Mapa: Cobit e ISO 27000
Cobit
Information Criteria
Effectiveness, efficiency, confidentiality, integrity, availability, compliance, reliability
Resources
Application, information, infrastructure, peopleISO 27000
![Page 8: Governança de TI e Segurança da Informação](https://reader034.vdocuments.pub/reader034/viewer/2022050801/549673acac79592f2e8b5100/html5/thumbnails/8.jpg)
Mapa: Cobit e ISO 27002
Process and Domains 1 2 3 4 5 6 7 8 9 10 11 12 13
Plan and Organize
Acquire and Implement
Deliver and Support
Monitor and Evaluate
Process and Domains 1 2 3 4 5 6 7 8 9 10 11 12 13
Plan and Organize
Acquire and Implement
Deliver and Support
Monitor and Evaluate
Process and Domains 1 2 3 4 5 6 7 8 9 10 11 12 13
Plan and Organize
Acquire and Implement
Deliver and Support
Monitor and Evaluate
Process and Domains 1 2 3 4 5 6 7 8 9 10 11 12 13
Plan and Organize
Acquire and Implement
Deliver and Support
Monitor and Evaluate
Process and Domains 1 2 3 4 5 6 7 8 9 10 11 12 13
Plan and Organize
Acquire and Implement
Deliver and Support
Monitor and Evaluate
Não existe processo do Cobit
Menos de 15 requerimentos foram mapeados
Entre 15 e 29 requerimentos foram mapeados
Mais de 30 foram mapeados
Legenda
![Page 9: Governança de TI e Segurança da Informação](https://reader034.vdocuments.pub/reader034/viewer/2022050801/549673acac79592f2e8b5100/html5/thumbnails/9.jpg)
ISACA - Information Systems Audit and Control Association
![Page 10: Governança de TI e Segurança da Informação](https://reader034.vdocuments.pub/reader034/viewer/2022050801/549673acac79592f2e8b5100/html5/thumbnails/10.jpg)
ISACA - Information Systems Audit and Control Association
![Page 11: Governança de TI e Segurança da Informação](https://reader034.vdocuments.pub/reader034/viewer/2022050801/549673acac79592f2e8b5100/html5/thumbnails/11.jpg)
ISACA - Information Systems Audit and Control Association
![Page 12: Governança de TI e Segurança da Informação](https://reader034.vdocuments.pub/reader034/viewer/2022050801/549673acac79592f2e8b5100/html5/thumbnails/12.jpg)
ISO 27001 e 27002
5. Política de Segurança6. Segurança organizacional7. Gestão de ativos8. Segurança em RH9. Segurança física e de ambiente10. Gerenciamento de operações e comunicação11. Controle de acesso12. Aquisição, desenvolvimento e manutenção de sistemas13. Gestão de incidentes14. Gestão de continuidade de negócios15. Conformidade.
![Page 13: Governança de TI e Segurança da Informação](https://reader034.vdocuments.pub/reader034/viewer/2022050801/549673acac79592f2e8b5100/html5/thumbnails/13.jpg)
ISO 27005
Específica de Gestão de Riscos em TIExcelente framework e base de conhecimento.
![Page 14: Governança de TI e Segurança da Informação](https://reader034.vdocuments.pub/reader034/viewer/2022050801/549673acac79592f2e8b5100/html5/thumbnails/14.jpg)
Vantagens de gerir riscos
Conhecimento das vulnerabilidadesTratar o risco como um direcionador da estratégiaAdoção das melhores práticas
![Page 15: Governança de TI e Segurança da Informação](https://reader034.vdocuments.pub/reader034/viewer/2022050801/549673acac79592f2e8b5100/html5/thumbnails/15.jpg)
Ciclo de vida da informação
ManuseioTransporteArmazenamentoDescarte
![Page 16: Governança de TI e Segurança da Informação](https://reader034.vdocuments.pub/reader034/viewer/2022050801/549673acac79592f2e8b5100/html5/thumbnails/16.jpg)
Barreiras da segurança (5D)
DesestimularDificultarDetectarDeterDiagnosticar
![Page 17: Governança de TI e Segurança da Informação](https://reader034.vdocuments.pub/reader034/viewer/2022050801/549673acac79592f2e8b5100/html5/thumbnails/17.jpg)
Conclusão
Integração entre governança e segurança
Visão holística de segurança da informação, considera pessoas, processos e tecnologias
Gestão de riscos como direcionador de estratégias.
![Page 18: Governança de TI e Segurança da Informação](https://reader034.vdocuments.pub/reader034/viewer/2022050801/549673acac79592f2e8b5100/html5/thumbnails/18.jpg)
Fonte
Cobit 4.1
Cobit Mapping - Mapping of ISOIEC 17799:2005 with Cobit 4.0
ABNT NBR ISO/IEC 27001:2006
ABNT NBR ISO/IEC 27002:2005
ABNT NBR ISO/IEC 27005:2008
![Page 19: Governança de TI e Segurança da Informação](https://reader034.vdocuments.pub/reader034/viewer/2022050801/549673acac79592f2e8b5100/html5/thumbnails/19.jpg)
Links úteis
www.isaca.org
www.abnt.org.br
www.iso.org
www.isc2.org
www.iso27001certificates.com