Políticas, práticas e procedimentos em Segurança da Informação prof. Roberto Dias Duarte ...
Com licença, sou o Roberto “Conheço apenas ...
1a Parte: Sensibilização
Trabalhos• 07.12 - Diagnóstico de segurança da empresa: contexto empresarial, visão, missão, estratégias, indicadores, n...
Visão executivaprof. Roberto Dias Duarte
1o TrabalhoDiagnóstico de segurança da empresa: contextoempresarial, visão, missão, estratégias,indicadores, normas regula...
TrabalhosTodo o projeto deve ser alinhado à estratégia empresarial e/ou marcosregulatórios de uma empresa, apontando custo...
1. Contexto empresarial 1.2.Visão•1.1. Missão É o sonho da organizaç...
2. Públicos ConsumidoresClientes Investidores Parceiros
3. Indicadores
4. Normas reguladoras1. Em quais ecossistemas a empresa estáinserida?2. Quais os agentes reguladores e normas? ...
5. Lacunas de segurança da informação1.Liste 7 lacunas de segurança da empresa2. Relacione as lacunas com os indicador...
2a Parte: Conceitos Básicos
Situação das empresasprof. Roberto Dias Duarte
Quer tentar?prof. Roberto Dias Duarte
Fraude?prof. Roberto Dias Duarte
O que é fraude? É um esquema ilícito ou de má fé criado para obter ganhos pessoais.prof. R...
Fatores primários 1 - Existência de golpistas motivados. • Ineficiência das leis; • i...
Mas principalmente porque... o desrespeito às ...
Quem é a vítima?prof. Roberto Dias Duarte
Fatores primários 2 - Existência de vítimas vulneráveis • Pouc...
Fatores primários 3 - Falta de controle ou fiscalização • percepção do problema como não prioritário; ...
Quem fiscaliza?prof. Roberto Dias Duarte
Vítima ou golpista?prof. Roberto Dias Duarte
Segurança da Informação?prof. Roberto Dias Duarte
Ameaça? Causa potencial de um incidente, que caso se concretize pode resultar em danoprof....
Vulnerabilidade? Falha (ou conjunto) que pode ser explorada por ameaçasprof. Roberto Dias Duarte
Incidente? Evento que comprometa a operação do negócio ou cause dano aos ativos da organização...
Impacto? Resultados de incidentesprof. Roberto...
Análise de risco Impacto Transfere Mitiga Aceit...
Análise de riscoprof. Roberto Dias Duarte
Ativo digital?prof. Roberto Dias Duarte
Ativo? Intangível? “Um ativo intangível é um ativo não monetário identificável sem substância física ou, então, o ágio pago...
Assinatura Digital É um método de autenticação de informação digi...
Como funciona? HASH é gerado a ...
Documentos Digitais MP 2.200-2 de Agosto/2001 “As declarações constantes dos documentos em forma eletrônica produ...
Documentos Digitais MP 2.200-2 de Agosto/2001 “O disposto nesta Medida Provisória não obsta a utilização de outro mei...
Caso real Integridade Autenticidade Não repudio Disponibilidade ...
Carimbo do tempo Certifica a autenticidade temporal (data e hora) de arquivos eletrônicos Sincronizado a “Ho...
Integridade Qualquer alteração da mensagem faz com que a assinatura não corresponda mais ao documentoprof. Rob...
Autenticidade O receptor pode confirmar se a assinatura foi feita pelo emissorprof. Roberto Dias Duarte
Não repúdio O emissor não pode negar a autenticidade da mensagemprof. Roberto Dias Duarte
Confidencialidade Passo 1: Alice envia sua chave pública para Bob Pas...
Disponibilidade A informação deve estar disponível apenas para seu uso legítimoprof. Roberto Dias Duarte
Auditabilidade Deve haver informação relativa às ações de alteração ou consulta de dados ...
Por que preciso saber disso?prof. Roberto Dias Duarte
Ecosistema Fiscal NF-e NFS-e EFD ICMS/IPI ...
Vamos entender as principais vulnerabilidades das empresas no mundo do ...
O que é a Nota Eletrônica? “Podemos conceituar a Nota Fiscal Eletrônica ...
Documento Fiscal Digitalprof. Roberto Dias Duarte
Livro Contábil Digitalprof. Roberto Dias Duarte
Livro Fiscal Digital (ICMS/IPI)prof. Roberto Dias Duarte
Mas, nada muda na minha empresa, certo?prof. Roberto Dias Duarte
Vulnerabilidade #1 Te n h o q u e ver ificar o arquivo XML Cláusula décima § 1º O destinatário d...
Vulnerabilidade #2 Nota autorizada não meprof. Roberto Dias Duarte l...
Vulnerabilidade #2 Cláusula quarta Ainda que formalmente regular, não será considerado...
Vulnerabilidade #3 Só posso cancelar NF-e se a ...
Vulnerabilidade #3 ATO COTEPE/ICMS Nº 33 /2008 Efeitos a partir de 01.01.12: Art. 1º Po...
Vulnerabilidade #4 Tenho que enviar o arquivo XML ao ...
Vulnerabilidade #4 Cláusula Sétima § 7º O emitente da NF-e deverá, obr ig ato r ...
Vulnerabilidade #5 Tenho que guardar o arquivo XMLprof. Ro...
Vulnerabilidade #5 Cláusula décima O emitente e o destinatário deverão manter a NF-e em arquivo ...
Vulnerabilidade #6 Troca de identidadeprof. Roberto Dias Duarte
Vulnerabilidade #6 “ E m p ré s t i m o ” d e s e n h a e ar mazenam ento de ...
O que causa vulnerabilidade?prof. Roberto Dias Duarte
Causas das vulnerabilidades Tecnologia precária Falta de conhecimento Ganância: preç...
Consequênciasprof. Roberto Dias Duarte
Consequências Mercadorias sem documento idôneo Mercadorias de origem ilícita Problemas fiscais: documentos ...
Tenho como evitar?prof. Roberto Dias Duarte
Solução: Paradigma do século XXI Conhecimento Comportamento Te...
Ação preventivas básicasprof. Roberto Dias Duarte
O dono da bola Quem é o responsável pela gestão da informação? Definições: políticas de seguranç...
Termo de compromisso Formaliza responsabilidades: Sigilo de informações; Cumprimento de norm...
Autenticação individual Identifica as pessoas: Senha; Cartão ou token; Biometria; ...
“Empréstimo” de senhaprof. Roberto Dias Duarte
Cópias de segurança Qual a política definida? Qual a cópia mais antiga? Os arquivos das estações ...
Software homologado Itens de verificação: manutenção treinamento suporte ...
Uso de antivírusPrevenção além do software: Anexos Executável? No way! Downlo...
O Carona Prevenção contra “sessões abertas” em sua ausência: Conduta: Suspensão ...
Correio eletrônico Pishing Muitos golpes: Notícias falsas ...
Informações pessoais Cuidado com informação de: Funcionários Clientes ...
Ambiente Físico Ahhh, reuniões rápidas: no elevador na festa ...
Engenharia social Procedimentos para obtenção de informações através de contatos falsos “Conver...
Uso da Internet & Redes Sociais Qual a sua opinião?prof. Roberto Dias Dua...
Uso da Internet & Redes Sociaisprof. Roberto Dias Duarte
Uso da Internet & Redes Sociaisprof. Roberto Dias Duarte
Ações preventivas Conhecimento Física ...
Ações detectivas Quanto antes, melhor Conhecimento Monitoramento de Análise e...
Ações corretivas Minimizar o problema Quanto mais rápido, melhorprof. Rober...
Plano de continuidade Contexto empresarial Mapeamento de riscos Conhecimento ...
Direitos do usuário Acesso individual Treinamento sobre segurança ...
Mensagem sobre o segurançaprof. Roberto Dias Duarte
2o TrabalhoAnte-projeto Prática de Segurança: diagnóstico,análise de riscos, problema, solução, custo,beneficios, macro-cro...
2o Trabalho1. Ajustar o diagnóstico reavaliando as lacunas2. Análise de risco considerando as 7 lacunasrelacionadas3. Defin...
Apresentação do 2o trabalhoData: 14/12/2011Prazo para ajustes: de 19:00 às 19:30Apresentações: de 19:30 às 20:30
3a Parte:Visão de Gestão
Qual é a estrutura da sua organização?
Governaça“É o conjunto de processos,costumes, políticas, leis,regulamentos einstituições que regulam amaneira como umaempr...
Governaça •Visão –É o sonho da organização, é o futuro do negocio e onde a ...
Governaça•Transparência–Mais do que "a obrigação de informar", a administração deve cultivar o "desejo de informar"
Governaça•Equidade–Tratamento justo e igualitário de todos os grupos minoritários (stakeholdres).
Stakeholders & Shareholders•Equilíbrio:– Regulamentações– Forças corporativasQual a relação entreequilíb...
Balanceando pressões
Balanceando pressões
Balanceando pressões• Compliance: “conjunto de disciplinas para fazer cumprir as normas legais e regulamentares, as po...
Balanceando pressões•Risco x Conformidade:–100% de conformidade garante 100% de segurança?
Desafios da Governança Quais&são&os& Gerenciar riscos x principais&investimentos adequado...
Desafios da Governança Quais&são&os& Gerenciar riscos x principais&investimentos adequado...
Sucesso na GSI Comunicação: direção, gerênciase operação Qual&a& Planejamento alinhado à ...
Melhores Práticas•Personalizar as práticas Qual&as& ao negócio prá6cas&...
Melhores PráticasCuidadocom: Orçamento Pessoas
Fundamentos de ITIL
Cobit: parte 1
Cobit: parte 2
Cobit: parte 3
Cobit: parte 4
Cobit
Cobit: Alinhamento
Cobit: metas e medidas
Cobit: framework
Cobit: framework
3o Trabalho - parte I
3o Trabalho - parte IElaborar um plano de implantação de política desegurança e o manual se segurança dainformação. (30 po...
Pós-Graduação em Gestão da Segurança de T.I. (GSTI) ISO/IEC 17799 ...
Pós-Graduação em Gestão da Segurança de T.I. (GSTI) ISO/IEC 27000 ...
Pós-Graduação em Gestão da Segurança de T.I. (GSTI) ISO/IEC 27001
Pós-Graduação em Gestão da Segurança de T.I. (GSTI) ISO/IEC 17799/270...
Pós-Graduação em Gestão da Segurança de T.I. (GSTI) Metodologia Octav...
Pós-Graduação em Gestão da Segurança de T.I. (GSTI) Use Octave-S, se:...
Pós-Graduação em Gestão da Segurança de T.I. (GSTI) Octave Method ...
Pós-Graduação em Gestão da Segurança de T.I. (GSTI) Octave Method ...
Pós-Graduação em Gestão da Segurança de T.I. (GSTI) Octave Method ...
Pós-Graduação em Gestão da Segurança de T.I. (GSTI) Octave Method ...
Pós-Graduação em Gestão da Segurança de T.I. (GSTI) Octave-S ...
Pós-Graduação em Gestão da Segurança de T.I. (GSTI) Octave-S ...
Pós-Graduação em Gestão da Segurança de T.I. (GSTI) Octave-S ...
Pós-Graduação em Gestão da Segurança de T.I. (GSTI) Octave-S ...
Octave: AtividadesPós-Graduação em Gestão da Segurança de T.I. (GSTI) ...
Visão ampla Where Does COBIT Fit?Pós-Graduação em Gestão da Segurança...
Pós-Graduação em Gestão da Segurança de T.I. (GSTI) Então? ...
Pós-Graduação em Gestão da Segurança de T.I. (GSTI) Paradigmas ...
Pós-Graduação em Gestão da Segurança de T.I. (GSTI) Partes interessad...
Pós-Graduação em Gestão da Segurança de T.I. (GSTI) Governando Riscos...
Pós-Graduação em Gestão da Segurança de T.I. (GSTI) Tipos de Riscos ...
Pós-Graduação em Gestão da Segurança de T.I. (GSTI) Visão executiva
Pós-Graduação em Gestão da Segurança de T.I. (GSTI) Visão executiva ...
Contexto daPós-Graduação em Gestão da Segurança de T.I. (GSTI) organi...
Governando ProcessosPós-Graduação em Gestão da Segurança de T.I. (GSTI) ...
Pós-Graduação em Gestão da Segurança de T.I. (GSTI) Governando Processos
Governando ProcessosPós-Graduação em Gestão da Segurança de T.I. (GSTI) ...
Governando ProcessosPós-Graduação em Gestão da Segurança de T.I. (GSTI) ...
Governando ProcessosPós-Graduação em Gestão da Segurança de T.I. (GSTI) ...
Pós-Graduação em Gestão da Segurança de T.I. (GSTI) • Nível 0: inexistente ...
Cobit: níveis de maturidadePós-Graduação em Gestão da Segurança de T.I. (GSTI) ...
Cobit: níveis de maturidadePós-Graduação em Gestão da Segurança de T.I. (GSTI) ...
Cobit: níveis de maturidadePós-Graduação em Gestão da Segurança de T.I. (GSTI) ...
Cobit: níveis de maturidadePós-Graduação em Gestão da Segurança de T.I. (GSTI) ...
Cobit: níveis de maturidadePós-Graduação em Gestão da Segurança de T.I. (GSTI) ...
Linha do tempoPós-Graduação em Gestão da Segurança de T.I. (GSTI) Mat...
Por que evoluirPós-Graduação em Gestão da Segurança de T.I. (GSTI) pr...
Métricas para GSIPós-Graduação em Gestão da Segurança de T.I. (GSTI) ...
Métricas para GSIPós-Graduação em Gestão da Segurança de T.I. (GSTI) ...
Métricas para GSIPós-Graduação em Gestão da Segurança de T.I. (GSTI) ...
Métricas para GSIPós-Graduação em Gestão da Segurança de T.I. (GSTI) ...
Integrando MedidoresPós-Graduação em Gestão da Segurança de T.I. (GSTI) ...
Integrando MedidoresPós-Graduação em Gestão da Segurança de T.I. (GSTI) ...
Governança de SIPós-Graduação em Gestão da Segurança de T.I. (GSTI) •...
Pós-Graduação em Gestão da Segurança de T.I. (GSTI) políticas de SI ...
Políticas de SIPós-Graduação em Gestão da Segurança de T.I. (GSTI) • ...
Políticas de SI:Pós-Graduação em Gestão da Segurança de T.I. (GSTI) C...
Pós-Graduação em Gestão da Segurança de T.I. (GSTI) metodologia ...
Etapas para oPós-Graduação em Gestão da Segurança de T.I. (GSTI) dese...
Etapas para oPós-Graduação em Gestão da Segurança de T.I. (GSTI) dese...
Fase II: DesenvolvimentoPós-Graduação em Gestão da Segurança de T.I. (GSTI) ...
Fase II: DesenvolvimentoPós-Graduação em Gestão da Segurança de T.I. (GSTI) ...
Fase II: DesenvolvimentoPós-Graduação em Gestão da Segurança de T.I. (GSTI) ...
Fase II: DesenvolvimentoPós-Graduação em Gestão da Segurança de T.I. (GSTI) ...
Fase II: DesenvolvimentoPós-Graduação em Gestão da Segurança de T.I. (GSTI) ...
Fase II: DesenvolvimentoPós-Graduação em Gestão da Segurança de T.I. (GSTI) ...
Etapas para oPós-Graduação em Gestão da Segurança de T.I. (GSTI) dese...
Etapas para oPós-Graduação em Gestão da Segurança de T.I. (GSTI) dese...
Pós-Graduação em Gestão da Segurança de T.I. (GSTI) Etapas para o ...
3o Trabalho - parte IIElaborar um plano de implantação de política desegurança e o manual se segurança da informação. (30p...
Políticas, práticas e procedimentos em Segurança da Informação
of 184

Políticas, práticas e procedimentos em Segurança da Informação

Published on: Mar 4, 2016
Published in: Business      
Source: www.slideshare.net


Transcripts - Políticas, práticas e procedimentos em Segurança da Informação

  • 1. Políticas, práticas e procedimentos em Segurança da Informação prof. Roberto Dias Duarte Melhor prevenir, que remediar!prof. Roberto Dias DuarteEsta obra foi licenciada com uma Licença Creative Commons - Atribuição - Uso Não-Comercial - Partilha nos Mesmos Termos 3.0 Não Adaptada. Photographer: Reuters
  • 2. Com licença, sou o Roberto “Conheço apenas minha ignorância”prof. Roberto Dias Duarte
  • 3. 1a Parte: Sensibilização
  • 4. Trabalhos• 07.12 - Diagnóstico de segurança da empresa: contexto empresarial, visão, missão, estratégias, indicadores, normas reguladoras e “lacunas” de segurança. (30 pontos)• 14.12 - Ante-projeto Prática de Segurança: diagnóstico, problema, solução, custo, beneficios, análise de riscos, macro- cronograma. (30 pontos)• 15.12 - Elaborar um plano de implantação de política de segurança e o manual se segurança da informação. (30 pontos)
  • 5. Visão executivaprof. Roberto Dias Duarte
  • 6. 1o TrabalhoDiagnóstico de segurança da empresa: contextoempresarial, visão, missão, estratégias,indicadores, normas reguladoras e“lacunas” (Gap’s) de segurança.Prazo: 7.12.2011Pode ser em grupoEscolha uma empresa para o estudo de caso real
  • 7. TrabalhosTodo o projeto deve ser alinhado à estratégia empresarial e/ou marcosregulatórios de uma empresa, apontando custos e benefícios• 1. Lembrem-se dos indicadores de desempenho da empresa: receita, rentabilidade, retenção de clientes, etc.• 2. Toda organização está inserida em um ecossistema onde há diversos marcos regulatórios: SOX, Basiléia, legislação tributária, trabalhista, ANEEL, ANAC, consumidor, SAC, etc.• 3. Derivem os indicadores de GSI a partir dos indicadores empresariais (ou marcos legais).• 4. Determinem o planejamento de implantação da política de segurança para um indicador ou marco legal - se fizerem para mais de um, não há problema, mas o esforço de trabalho é proporcional à quantidade de métricas.• 5. Derivem os processos de segurança e as atividades a partir das políticas.• Lembrem-se, por fim, que o alinhamento estratégico é fator crítico de sucesso para este trabalho. Ou seja, indicadores de GSI devem ajudar a empresa a melhorar algum indicador de desempenho ou manter a compatibilidade legal regulatória do setor.
  • 8. 1. Contexto empresarial 1.2.Visão•1.1. Missão É o sonho da organização, é o– É a razão de existência futuro do negocio e onde a de uma organização. organização espera estar nesse futuro. •1.3. Estratégia •“Forma de pensar no futuro, integrada no processo decisório, com base em um procedimento formalizado e articulador de resultados” (Mintzberg).
  • 9. 2. Públicos ConsumidoresClientes Investidores Parceiros
  • 10. 3. Indicadores
  • 11. 4. Normas reguladoras1. Em quais ecossistemas a empresa estáinserida?2. Quais os agentes reguladores e normas? IFRS ANATEL SPED Sindicatos ANAC SOX NF-e Consumidor ANEEL Basiléia RFB Clientes CMV SEFAZ Franqueadores BACEN Parceiros Contratos
  • 12. 5. Lacunas de segurança da informação1.Liste 7 lacunas de segurança da empresa2. Relacione as lacunas com os indicadores ounormas3. Estabeleça as 3 de maior relevância,explicando os motivos
  • 13. 2a Parte: Conceitos Básicos
  • 14. Situação das empresasprof. Roberto Dias Duarte
  • 15. Quer tentar?prof. Roberto Dias Duarte
  • 16. Fraude?prof. Roberto Dias Duarte
  • 17. O que é fraude? É um esquema ilícito ou de má fé criado para obter ganhos pessoais.prof. Roberto Dias Duarte
  • 18. Fatores primários 1 - Existência de golpistas motivados. • Ineficiência das leis; • incerteza da pena; • incerteza jurídica; • existência de oportunidades; • pouca fiscalização.prof. Roberto Dias Duarte
  • 19. Mas principalmente porque... o desrespeito às leis é considerado comportamento “normal”.prof. Roberto Dias Duarte
  • 20. Quem é a vítima?prof. Roberto Dias Duarte
  • 21. Fatores primários 2 - Existência de vítimas vulneráveis • Pouca informação e divulgação preventivas; • ignorância e ingenuidade; • ganância; • o desrespeito às leis é considerado comportamento “normal”.prof. Roberto Dias Duarte
  • 22. Fatores primários 3 - Falta de controle ou fiscalização • percepção do problema como não prioritário; • despreparo das autoridades; • escassa coordenação de ações contra fraudadores; • falta de leis específicas e pouca clareza em algumas das existentes.prof. Roberto Dias Duarte
  • 23. Quem fiscaliza?prof. Roberto Dias Duarte
  • 24. Vítima ou golpista?prof. Roberto Dias Duarte
  • 25. Segurança da Informação?prof. Roberto Dias Duarte
  • 26. Ameaça? Causa potencial de um incidente, que caso se concretize pode resultar em danoprof. Roberto Dias Duarte
  • 27. Vulnerabilidade? Falha (ou conjunto) que pode ser explorada por ameaçasprof. Roberto Dias Duarte
  • 28. Incidente? Evento que comprometa a operação do negócio ou cause dano aos ativos da organizaçãoprof. Roberto Dias Duarte
  • 29. Impacto? Resultados de incidentesprof. Roberto Dias Duarte
  • 30. Análise de risco Impacto Transfere Mitiga Aceita Reduz Probabilidadesprof. Roberto Dias Duarte
  • 31. Análise de riscoprof. Roberto Dias Duarte
  • 32. Ativo digital?prof. Roberto Dias Duarte
  • 33. Ativo? Intangível? “Um ativo intangível é um ativo não monetário identificável sem substância física ou, então, o ágio pago por expectativa de rentabilidade futura (goodwill)” Fonte: http://www.cpc.org.brprof. Roberto Dias Duarte
  • 34. Assinatura Digital É um método de autenticação de informação digital Não é Assinatura Digitalizada! Não é Assinatura Eletrônica!prof. Roberto Dias Duarte
  • 35. Como funciona? HASH é gerado a partir da chave pública O HASH é Autor assina descriptografado a com sua partir da chave chave privada pública Novo HASH é gerado HASH é armazenado na mensagem Novo HASH é comparado com o originalprof. Roberto Dias Duarte
  • 36. Documentos Digitais MP 2.200-2 de Agosto/2001 “As declarações constantes dos documentos em forma eletrônica produzidos com a utilização de processo de certificação disponibilizado pela presumem-se ICP-Brasil verdadeiros em relação aos signatários” (Artigo 10o § 1o)prof. Roberto Dias Duarte
  • 37. Documentos Digitais MP 2.200-2 de Agosto/2001 “O disposto nesta Medida Provisória não obsta a utilização de outro meio de comprovação da autoria e integridade de documentos em forma eletrônica, inclusive os que utilizem certificados não emitidos pela ICP-Brasil, desde que admitido pelas partes como válido ou aceito pela pessoa a quem for oposto o documento.” (Artigo 10o § 2o)prof. Roberto Dias Duarte
  • 38. Caso real Integridade Autenticidade Não repudio Disponibilidade Confidencialidade Auditabilidadeprof. Roberto Dias Duarte
  • 39. Carimbo do tempo Certifica a autenticidade temporal (data e hora) de arquivos eletrônicos Sincronizado a “Hora Legal Brasileira”prof. Roberto Dias Duarte
  • 40. Integridade Qualquer alteração da mensagem faz com que a assinatura não corresponda mais ao documentoprof. Roberto Dias Duarte
  • 41. Autenticidade O receptor pode confirmar se a assinatura foi feita pelo emissorprof. Roberto Dias Duarte
  • 42. Não repúdio O emissor não pode negar a autenticidade da mensagemprof. Roberto Dias Duarte
  • 43. Confidencialidade Passo 1: Alice envia sua chave pública para Bob Passo 2: Bob cifra a mensagem com a chave pública de Alice e envia para Alice, que recebe e decifra o texto utilizando sua chave privadaprof. Roberto Dias Duarte
  • 44. Disponibilidade A informação deve estar disponível apenas para seu uso legítimoprof. Roberto Dias Duarte
  • 45. Auditabilidade Deve haver informação relativa às ações de alteração ou consulta de dados Quem? Quando? O que fez?prof. Roberto Dias Duarte
  • 46. Por que preciso saber disso?prof. Roberto Dias Duarte
  • 47. Ecosistema Fiscal NF-e NFS-e EFD ICMS/IPI CT-e EFD/CIAP Tem nota? CF-e Brasil-id EFD PIS/COFINS CC-e Siniav Entregou? EFD/FOLHA Fisco NF-e SPED Contábil Vendeu? NFS-e EFD Contábil CF-e CC-e Recebeu? Cliente Produziu? Contador NF-e Estoque? Pagou? NFS-e CF-e CC-e Fornecedor Comprou?prof. Roberto Dias Duarte
  • 48. Vamos entender as principais vulnerabilidades das empresas no mundo do pós-SPED?prof. Roberto Dias Duarte
  • 49. O que é a Nota Eletrônica? “Podemos conceituar a Nota Fiscal Eletrônica como sendo um documento de existência apenas digital, emitido e armazenado eletronicamente, (...) Sua validade jurídica é garantida pela assinatura digital do remetente (garantia de autoria e de integridade) e pela recepção, pelo Fisco, do documento eletrônico, antes da ocorrência do fato gerador.”prof. Roberto Dias Duarte
  • 50. Documento Fiscal Digitalprof. Roberto Dias Duarte
  • 51. Livro Contábil Digitalprof. Roberto Dias Duarte
  • 52. Livro Fiscal Digital (ICMS/IPI)prof. Roberto Dias Duarte
  • 53. Mas, nada muda na minha empresa, certo?prof. Roberto Dias Duarte
  • 54. Vulnerabilidade #1 Te n h o q u e ver ificar o arquivo XML Cláusula décima § 1º O destinatário deverá v e r if i car a vali dade e autenticidade da NF-e e a exis tênci a de Autorização de Uso da NF-e. Ajuste SINIEF 07/2005prof. Roberto Dias Duarte
  • 55. Vulnerabilidade #2 Nota autorizada não meprof. Roberto Dias Duarte livra do "passivo fiscal"
  • 56. Vulnerabilidade #2 Cláusula quarta Ainda que formalmente regular, não será considerado documento fiscal idôneo a NF-e que tiver sido emitida ou utilizada co m do lo, f rau de, s i m u la ç ã o o u e r r o, q u e possibilite, mesmo que a terceiro, o não-pagamento do imposto ou qualquer outra va ntag e m indevida. Ajuste SINIEF 07/2005prof. Roberto Dias Duarte
  • 57. Vulnerabilidade #3 Só posso cancelar NF-e se a mercadoria não circulou....prof. Roberto Dias Duarte
  • 58. Vulnerabilidade #3 ATO COTEPE/ICMS Nº 33 /2008 Efeitos a partir de 01.01.12: Art. 1º Poderá o emitente solicitar o cancelamento da NF-e, em prazo não superior a 24 horas, contado do momento em que foi concedida a respectiva Autorização de Uso da NF-e, desde que não tenha ocorrido a circulação da mercadoria ou a prestação de serviço e observadas às demais normas constantes do AJUSTE SINIEF 07/05, de 5 de outubro de 2005. prof. Roberto Dias Duarte
  • 59. Vulnerabilidade #4 Tenho que enviar o arquivo XML ao destinatário e aoprof. Roberto Dias Duarte transportador
  • 60. Vulnerabilidade #4 Cláusula Sétima § 7º O emitente da NF-e deverá, obr ig ato r i am e nte, e ncam inhar o u disponibilizar download do arquivo da NF-e e seu respectivo Protocolo de Autorização de Uso ao destinatário e a o t r a n s p o r t a d o r c o n t r at a d o, imediatamente após o recebimento da autorização de uso da NF-e. Ajuste SINIEF 07/2005prof. Roberto Dias Duarte
  • 61. Vulnerabilidade #5 Tenho que guardar o arquivo XMLprof. Roberto Dias Duarte
  • 62. Vulnerabilidade #5 Cláusula décima O emitente e o destinatário deverão manter a NF-e em arquivo d ig i tal, sob sua guarda e re sp o nsabi l i dade, p elo prazo estabelecido na legislação tributária, mesmo que fora da empresa, devendo ser disponibilizado para a Administração Tributária quando solicitado. (...) § 2º Caso o destinatário não seja contribuinte credenciado para a emissão de NF-e, alternativamente ao disposto no “caput”, o destinatário deverá manter em arquivo o DANFE relativo a NF-e da operação, devendo ser apresentado à administração tributária, quando solicitado. § 3º O emitente de NF-e deverá guardar pelo prazo estabelecido na legislação tributária o DANFE que acompanhou o retorno de mercadoria não recebida pelo destinatário e que contenha o motivo da recusa em seu verso. Ajuste SINIEF 07/2005prof. Roberto Dias Duarte
  • 63. Vulnerabilidade #6 Troca de identidadeprof. Roberto Dias Duarte
  • 64. Vulnerabilidade #6 “ E m p ré s t i m o ” d e s e n h a e ar mazenam ento de certificados digitais eCPF, eCNPJ, ePJ A1, A3, HSMprof. Roberto Dias Duarte
  • 65. O que causa vulnerabilidade?prof. Roberto Dias Duarte
  • 66. Causas das vulnerabilidades Tecnologia precária Falta de conhecimento Ganância: preços abaixo domercado Desrespeito as leis encaradocomo comportamento comumprof. Roberto Dias Duarte
  • 67. Consequênciasprof. Roberto Dias Duarte
  • 68. Consequências Mercadorias sem documento idôneo Mercadorias de origem ilícita Problemas fiscais: documentos inidôneos Sigilo fiscal e comercial violados Assinatura de contratos e outros documentosprof. Roberto Dias Duarte
  • 69. Tenho como evitar?prof. Roberto Dias Duarte
  • 70. Solução: Paradigma do século XXI Conhecimento Comportamento Tecnologiaprof. Roberto Dias Duarte
  • 71. Ação preventivas básicasprof. Roberto Dias Duarte
  • 72. O dono da bola Quem é o responsável pela gestão da informação? Definições: políticas de segurança políticas de backup políticas de contingênciaprof. Roberto Dias Duarte
  • 73. Termo de compromisso Formaliza responsabilidades: Sigilo de informações; Cumprimento de normas de segurança; Conduta ética.prof. Roberto Dias Duarte
  • 74. Autenticação individual Identifica as pessoas: Senha; Cartão ou token; Biometria; Certificado Digital.prof. Roberto Dias Duarte
  • 75. “Empréstimo” de senhaprof. Roberto Dias Duarte
  • 76. Cópias de segurança Qual a política definida? Qual a cópia mais antiga? Os arquivos das estações têm cópias? Os servidores têm cópias? Onde são armazenadas? Em que tipo de mídia?prof. Roberto Dias Duarte
  • 77. Software homologado Itens de verificação: manutenção treinamento suporte condições comerciais capacidade do fabricante tendênciasprof. Roberto Dias Duarte
  • 78. Uso de antivírusPrevenção além do software: Anexos Executável? No way! Download? Só de sites confiáveis Backup, sempre Educaçãoprof. Roberto Dias Duarte
  • 79. O Carona Prevenção contra “sessões abertas” em sua ausência: Conduta: Suspensão ou encerramento da sessão; Mecanismo: Suspensão ou encerramento da sessão.prof. Roberto Dias Duarte
  • 80. Correio eletrônico Pishing Muitos golpes: Notícias falsas Propostas “irresistíveis” Seu CPF foi... Atualize sua senha... blá, blá, blá...prof. Roberto Dias Duarte
  • 81. Informações pessoais Cuidado com informação de: Funcionários Clientes Parceiros Quem pode acessar? Parceiros? Uso comercial?prof. Roberto Dias Duarte
  • 82. Ambiente Físico Ahhh, reuniões rápidas: no elevador na festa no avião Quadros, flip chart, relatórios, etc Lixão, de novo? Quem entra, quem sai?prof. Roberto Dias Duarte
  • 83. Engenharia social Procedimentos para obtenção de informações através de contatos falsos “Conversa de malandro” Lixão Habilidades do farsante: fala com conhecimento adquire confiança presta “favor”prof. Roberto Dias Duarte
  • 84. Uso da Internet & Redes Sociais Qual a sua opinião?prof. Roberto Dias Duarte
  • 85. Uso da Internet & Redes Sociaisprof. Roberto Dias Duarte
  • 86. Uso da Internet & Redes Sociaisprof. Roberto Dias Duarte
  • 87. Ações preventivas Conhecimento Física Análise Software Planejamento Humana Investimento Educação.prof. Roberto Dias Duarte
  • 88. Ações detectivas Quanto antes, melhor Conhecimento Monitoramento de Análise eventos Planejamento O que monitorar? Investimentoprof. Roberto Dias Duarte
  • 89. Ações corretivas Minimizar o problema Quanto mais rápido, melhorprof. Roberto Dias Duarte
  • 90. Plano de continuidade Contexto empresarial Mapeamento de riscos Conhecimento Análise Planejamento Investimento Educação Simulaçãoprof. Roberto Dias Duarte
  • 91. Direitos do usuário Acesso individual Treinamento sobre segurança Informações para trabalhar Comunicar ocorrências de segurança Saber o que é rastreado Garantia de privacidade Conhecer as políticas e normas Ser mais importante que a tecnologia Ser avisado sobre tentativas de invasãoprof. Roberto Dias Duarte
  • 92. Mensagem sobre o segurançaprof. Roberto Dias Duarte
  • 93. 2o TrabalhoAnte-projeto Prática de Segurança: diagnóstico,análise de riscos, problema, solução, custo,beneficios, macro-cronograma.Prazo: 14.5.2011 às 07:40Pode ser em grupoEscolha uma empresa para o estudo de caso real
  • 94. 2o Trabalho1. Ajustar o diagnóstico reavaliando as lacunas2. Análise de risco considerando as 7 lacunasrelacionadas3. Definir estratégia para cada lacuna: mitigar,transferir, reduzir,aceitar4. Identificar problema, solução, custo,beneficios, macro-cronograma para 3 lacunas.
  • 95. Apresentação do 2o trabalhoData: 14/12/2011Prazo para ajustes: de 19:00 às 19:30Apresentações: de 19:30 às 20:30
  • 96. 3a Parte:Visão de Gestão
  • 97. Qual é a estrutura da sua organização?
  • 98. Governaça“É o conjunto de processos,costumes, políticas, leis,regulamentos einstituições que regulam amaneira como umaempresa é dirigida,administrada oucontrolada” (fonte:Wikipedia)
  • 99. Governaça •Visão –É o sonho da organização, é o futuro do negocio e onde a organização espera estar nesse futuro.•Missão–É a razão de existência de uma organização.
  • 100. Governaça•Transparência–Mais do que "a obrigação de informar", a administração deve cultivar o "desejo de informar"
  • 101. Governaça•Equidade–Tratamento justo e igualitário de todos os grupos minoritários (stakeholdres).
  • 102. Stakeholders & Shareholders•Equilíbrio:– Regulamentações– Forças corporativasQual a relação entreequilíbrio esegurança?
  • 103. Balanceando pressões
  • 104. Balanceando pressões
  • 105. Balanceando pressões• Compliance: “conjunto de disciplinas para fazer cumprir as normas legais e regulamentares, as políticas e as diretrizes estabelecidas para o negócio e para as atividades da instituição ou empresa, bem como evitar, detectar e tratar qualquer desvio ou inconformidade que possa ocorrer” (Fonte: Wikipedia)
  • 106. Balanceando pressões•Risco x Conformidade:–100% de conformidade garante 100% de segurança?
  • 107. Desafios da Governança Quais&são&os& Gerenciar riscos x principais&investimentos adequados desafios&de&sua& Manter organização organização?segura Seguir padrões Atender às exigênciasregulatórias
  • 108. Desafios da Governança Quais&são&os& Gerenciar riscos x principais&investimentos adequados desafios&de&sua& Manter organização organização?segura Seguir padrões Atender às exigênciasregulatórias
  • 109. Sucesso na GSI Comunicação: direção, gerênciase operação Qual&a& Planejamento alinhado à realidade&de&estratégia sua& Políticas aderentes aos requisitos organização?legais Nível de maturidade coerentecom contexto de riscos Estruturar controles desegurança (frameworks) Monitorar a eficácia e eficiência
  • 110. Melhores Práticas•Personalizar as práticas Qual&as& ao negócio prá6cas&de&sua& organização? –“O grande diferencial não está em utilizar apenas um guia, ma sim em combinar o que cada um possui de melhor”
  • 111. Melhores PráticasCuidadocom: Orçamento Pessoas
  • 112. Fundamentos de ITIL
  • 113. Cobit: parte 1
  • 114. Cobit: parte 2
  • 115. Cobit: parte 3
  • 116. Cobit: parte 4
  • 117. Cobit
  • 118. Cobit: Alinhamento
  • 119. Cobit: metas e medidas
  • 120. Cobit: framework
  • 121. Cobit: framework
  • 122. 3o Trabalho - parte I
  • 123. 3o Trabalho - parte IElaborar um plano de implantação de política desegurança e o manual se segurança dainformação. (30 pontos). Entrega final em: 28.051. Reavaliar o Diagnóstico & lacunas,considerando as metas de negócio.2. Através da análise de risco, estabelecer asmetas de TI (relativas à segurança).3. Definir estratégia para cada lacuna,estabelecendo metas de processos e metas deatividades.4. Definir resumo do projeto, contendo: problema,solução, custo, beneficios, macro-cronograma
  • 124. Pós-Graduação em Gestão da Segurança de T.I. (GSTI) ISO/IEC 17799 • “A ISO/IEC 17799 foi atualizada para numeração ISO/IEC 27002 em julho de 2007. É uma norma de Segurança da Informação revisada em 2005 pela ISO e pela IEC. A versão original foi publicada em 2000, que por sua vez era uma cópia fiel do padrão britânico (BS) 7799-1:1999.” (Fonte: Wikipedia)
  • 125. Pós-Graduação em Gestão da Segurança de T.I. (GSTI) ISO/IEC 27000 • ISO 27000 - Vocabulário de Gestão da Segurança da Informação; • ISO 27001 - Esta norma foi publicada em Outubro de 2005 e substituiu a norma BS 7799-2 para certificação de sistema de gestão de segurança da informação; • ISO 27002 - Substitui ISO 17799:2005 (Código de Boas Práticas); • ISO 27003 - Aborda a gestão de risco; • ISO 27004 - Mecanismos de mediação e de relatório de um sistema de gestão de segurança da informação; • ISO 27005 - Esta norma será constituída por indicações para implementação, monitoramento e melhoria contínua do sistema de controles; • ISO 27006 - Esta norma será referente à recuperação e continuidade de negócio.
  • 126. Pós-Graduação em Gestão da Segurança de T.I. (GSTI) ISO/IEC 27001
  • 127. Pós-Graduação em Gestão da Segurança de T.I. (GSTI) ISO/IEC 17799/27002 • Framework –Políticas de segurança –Segurança organizacional –Segurança das pessoas –Segurança física e do ambiente –Gerenciamento das operações –Controle de acesso –Desenvolvimento e manutenção de sistemas –Gestão da continuidade do negócio –Conformidade
  • 128. Pós-Graduação em Gestão da Segurança de T.I. (GSTI) Metodologia Octave • Origem: Software Engineering Institute (SEI) da Carnigie Mellon University • Antes de avaliar o risco: entender o negócio, cenário e contexto • Octave Method (grandes organizações) e Octave-S (pequenas)
  • 129. Pós-Graduação em Gestão da Segurança de T.I. (GSTI) Use Octave-S, se: • Hierarquia simples • Menos de 300 funcionários • Metodologia estruturada com pouca customização • Há muita terceirização na TI • Infraestrutura simples
  • 130. Pós-Graduação em Gestão da Segurança de T.I. (GSTI) Octave Method • 1a Fase: Obtendo informações e definindo os perfis de ameaças aos ativos –Processo 1: Conhecimento da alta gerência: Equipe coleta informações sobre recursos importantes, exigências de segurança, ameaças e vulnerabilidades –Processo 2: Conhecimento da gerência operacional: Equipe coleta informações sobre recursos importantes, exigências de segurança, ameaças e vulnerabilidades –
  • 131. Pós-Graduação em Gestão da Segurança de T.I. (GSTI) Octave Method • 1a Fase: Obtendo informações e definindo os perfis de ameaças aos ativos –Processo 3: Conhecimento de cada departamento: Equipe coleta informações sobre recursos importantes, exigências de segurança, ameaças e vulnerabilidades –Processo 4: Criar perfis de ameaças para 3 a 5 ativos críticos
  • 132. Pós-Graduação em Gestão da Segurança de T.I. (GSTI) Octave Method • 2a Fase: Identificar vulnerabilidades da infraestrutura –Processo 5: Identificar e definir padrão de avaliação dos componentes-chave dos recursos –Processo 6: Avaliar componentes-chave dos recursos
  • 133. Pós-Graduação em Gestão da Segurança de T.I. (GSTI) Octave Method • 3a Fase: Desenvolver estratégias e planos de segurança –Processo 7: Definir critérios de avaliação de impactos (alto, médio, baixo) –Processo 8: Desenvolver estratégias de proteção para melhorar as práticas de segurança
  • 134. Pós-Graduação em Gestão da Segurança de T.I. (GSTI) Octave-S • 1a Fase: Identifica ativos com base nos perfis de ameaça –Processo S1: Identificar ativos, definir critérios de avaliação dos impactos e situação atual das práticas de segurança –Processo S2: Criar perfis de ameaças e definir exigências de segurança
  • 135. Pós-Graduação em Gestão da Segurança de T.I. (GSTI) Octave-S • 2a Fase: Identificar vulnerabilidades da infraestrutura –Processo S3: Analisar o fluxo de acesso aos sisteas que suportam os ativos e determinar o quanto os processos tecnológicos os protegem
  • 136. Pós-Graduação em Gestão da Segurança de T.I. (GSTI) Octave-S • 3a Fase: Desenvolver estratégias e planos de segurança –Processo S4: Identificar e analisar os riscos, impactos e probabilidades de cada ativo crítico –Processo S5: Desenvolver estratégias de proteção para melhorar as práticas de segurança
  • 137. Pós-Graduação em Gestão da Segurança de T.I. (GSTI) Octave-S • 3a Fase: Desenvolver estratégias e planos de segurança –Processo S4: Identificar e analisar os riscos, impactos e probabilidades de cada ativo crítico –Processo S5: Desenvolver estratégias de proteção para melhorar as práticas de segurança
  • 138. Octave: AtividadesPós-Graduação em Gestão da Segurança de T.I. (GSTI) para Gestão de Riscos • Identificação dos riscos • Análise e classificação quanto à criticidade • Criação de plano estratégico para proteção • Criação de plano para tratamento de riscos • Planejamento da implantação • Implantação • Monitoramento da execução dos planos • Controle das variações
  • 139. Visão ampla Where Does COBIT Fit?Pós-Graduação em Gestão da Segurança de T.I. (GSTI) CONFORMIDADE Direcionadores DESEMPENHO: Basel II, Sarbanes- Metas de Negócio Oxley Act, etc. Governança Corporativa BSC COSO Governança de TI COBIT Melhores práticas ISO ISO ISO 9001:2000 17799 20000 Processos e Procedimentos Princípios de ITIL procedimentos de QA Segurança
  • 140. Pós-Graduação em Gestão da Segurança de T.I. (GSTI) Então? • ITIL O&que&devo& • Cobit adotar&em& • ISO minha& empresa? • Octave • BSC
  • 141. Pós-Graduação em Gestão da Segurança de T.I. (GSTI) Paradigmas • “A equipe de TI deve gerenciar e conduzir suas ações para influenciar as partes interessadas e garantir o sucesso do projeto, sempre focada no negócio”
  • 142. Pós-Graduação em Gestão da Segurança de T.I. (GSTI) Partes interessadas Quais&são&os& principais& stakeholders& de&sua& organização?
  • 143. Pós-Graduação em Gestão da Segurança de T.I. (GSTI) Governando Riscos • Desafio: conhecer os Por que adotar o riscos gerenciamento de riscos de segurança • Riscos determinam os da informação em processos de segurança sua organização? da metodologia/framework
  • 144. Pós-Graduação em Gestão da Segurança de T.I. (GSTI) Tipos de Riscos • Estratégico e empresarial (negócios) • Humano Quais&são&os& • Tecnológico principais& • Imagem riscos&de&sua& • Legal organização?
  • 145. Pós-Graduação em Gestão da Segurança de T.I. (GSTI) Visão executiva
  • 146. Pós-Graduação em Gestão da Segurança de T.I. (GSTI) Visão executiva Na&sua& • Comunicação empresa,&TI&é& • Foco no negócio custo&ou& • Alinhamento estratégico diferencial? • Custo x diferencial competitivo • Recursos de TI como portfólio de investimentos
  • 147. Contexto daPós-Graduação em Gestão da Segurança de T.I. (GSTI) organização Você&fala&& • Organograma: formal x real “javanês”& • Sensibilização e conscientização com&os& • Linguagem execu6vos? • Benchmark
  • 148. Governando ProcessosPós-Graduação em Gestão da Segurança de T.I. (GSTI) • Conceito de processo: –sequências semi-repetitivas de eventos que, geralmente, estão distribuídas de forma ampla pelo tempo e espaço
  • 149. Pós-Graduação em Gestão da Segurança de T.I. (GSTI) Governando Processos
  • 150. Governando ProcessosPós-Graduação em Gestão da Segurança de T.I. (GSTI) • Mapeando processos: –Enumerar atividades –Ordernar em forma sequencial –Identificar entradas e saídas • recursos • infraestrutura • insumos • matéria-prima • fornecedores –Estabelecer características de produtos/serviços
  • 151. Governando ProcessosPós-Graduação em Gestão da Segurança de T.I. (GSTI) • Mapeando processos: –Definir documentação para operação e controle –Estabelecer indicadores de eficácia –Definir plano de controle
  • 152. Governando ProcessosPós-Graduação em Gestão da Segurança de T.I. (GSTI) • Nível de maturidade: –Obter conhecimento sobre os procedimentos –Otimizar processos (melhores práticas) –Comparar (benchmark) –Adotar políticas –Utilizar a TI como facilitador –Definir processos de riscos –Integrar riscos –Monitorar falhas e melhorias –Realinhar processos
  • 153. Pós-Graduação em Gestão da Segurança de T.I. (GSTI) • Nível 0: inexistente Cobit: níveis de maturidade
  • 154. Cobit: níveis de maturidadePós-Graduação em Gestão da Segurança de T.I. (GSTI) • Nível 1: Inicial –Consciência mínima da necessidade de Governança –Estruturas desorganizadas, sem padrões –Suporte e TI não integrados –Ferramentas e serviços não integrados –Serviços reativos a incidentes
  • 155. Cobit: níveis de maturidadePós-Graduação em Gestão da Segurança de T.I. (GSTI) • Nível 2: Repetitivo –Consciência relativa da necessidade de Governança –Atividades de governança e medidores em desenvolvimento –Estruturas pouco organizadas, sem padrões –Serviços realizados sem metodologia –Repetição de incidentes –Sem controle de mudanças
  • 156. Cobit: níveis de maturidadePós-Graduação em Gestão da Segurança de T.I. (GSTI) • Nível 3: Definido –Alta consciência sobre Governança –Processos padronizados, implementados e documentodos –Controle de mudanças –Métricas e indicadores consistentes –Inexistência de SLA
  • 157. Cobit: níveis de maturidadePós-Graduação em Gestão da Segurança de T.I. (GSTI) • Nível 4: Gerenciado –Consciência da importância de Governança –SLA’s e catálogos de serviços –Inexistência de gestão financeira –TI ainda não é vista como benefício para o negócio –Início do processo de melhoria contínua
  • 158. Cobit: níveis de maturidadePós-Graduação em Gestão da Segurança de T.I. (GSTI) • Nível 5: Otimizado –Consciência total –Gestão financeira de TI –Melhores práticas adotadas e gerenciadas –Melhoria contínua de processos –Otimização contínua de TI
  • 159. Linha do tempoPós-Graduação em Gestão da Segurança de T.I. (GSTI) Maturidade) Felicidade) Fase)Rea?vo,) Fase)da)) Fase)da)) Fase)“Não)sei)) Implementação) Consolidação) Excelência) de)nada”) Fragmentada) Operacional) Melhoria)con?nua)) Criar)Inventários)) do)processo) Para)inicia?vas)de) Governança) Inicia)um)abordagem) Unificado)de)) Governança) Ad3Hoc,)“Só)faço)) Quando)preciso”)) 3)Rea?vo) Acelerar)projetos) Para)reagir)as) solicitações) Tempo) 2)a)5)anos)
  • 160. Por que evoluirPós-Graduação em Gestão da Segurança de T.I. (GSTI) processos? • Evita desperdícios de esforços e recursos • Visão de processos e responsabilidades • Investimentos claros e alinhados ao negócio • Planejamento de longo prazo
  • 161. Métricas para GSIPós-Graduação em Gestão da Segurança de T.I. (GSTI) • Processos de TI –Modelo de maturidade –Fatores críticos de sucesso –Indicadores de metas –Indicadores de desempenho
  • 162. Métricas para GSIPós-Graduação em Gestão da Segurança de T.I. (GSTI) • Fatores críticos de sucesso (CFS) –importância estratégica –expressos em termos de processos –mensuráveis
  • 163. Métricas para GSIPós-Graduação em Gestão da Segurança de T.I. (GSTI) • Indicadores de metas (KGI) –verificam se os processos alcançaram as metas –“O que atingir?” –indicadores imediatos de sucesso –mensuráveis
  • 164. Métricas para GSIPós-Graduação em Gestão da Segurança de T.I. (GSTI) • Indicadores de desempenho (KPI) –orientados a processos –definem o desempenho dos processos –mensuráveis
  • 165. Integrando MedidoresPós-Graduação em Gestão da Segurança de T.I. (GSTI) • Security Scorecard –CFS definidos para um processo –São monitorados por KPI’s –Devem atingir os KGI’s
  • 166. Integrando MedidoresPós-Graduação em Gestão da Segurança de T.I. (GSTI) • Implantando –1a etapa: Definir indicadores –2a etapa: Sensibilizar pessoas e planejar mensuração –3a etapa: Treinar pessoas, coletar e validar dados –4a etapa: Corrigir e previnir
  • 167. Governança de SIPós-Graduação em Gestão da Segurança de T.I. (GSTI) • Visão e missão estratégicas: –Governança Corporativa: • Governança de TI • Governança de SI
  • 168. Pós-Graduação em Gestão da Segurança de T.I. (GSTI) políticas de SI 4a parte: Implantando
  • 169. Políticas de SIPós-Graduação em Gestão da Segurança de T.I. (GSTI) • Informações são ativos • Envolvimento da alta gestão • Responsabilidade formal dos colaboradores • Estabelecimento de padrões
  • 170. Políticas de SI:Pós-Graduação em Gestão da Segurança de T.I. (GSTI) Características • Simples • Compreensíveis • Homologadas e assinadas pela alta gestão • Estruturada para implantação em fases • Alinhadas com o negócio • Orientadas aos riscos • Flexíveis • Protetoras de ativos (Pareto) • Positivas (não apenas proibitivas)
  • 171. Pós-Graduação em Gestão da Segurança de T.I. (GSTI) metodologia Visão geral da
  • 172. Etapas para oPós-Graduação em Gestão da Segurança de T.I. (GSTI) desenvolvimento • Fase I - Levantamento de informações –Obtenção dos padrões e normas atuais –Entendimento do uso da TI nos processos –Obtenção de informações sobre o negócio –Obtenção de informações sobre ambiente de TI
  • 173. Etapas para oPós-Graduação em Gestão da Segurança de T.I. (GSTI) desenvolvimento • Fase II - Desenvolvimento do Conteúdo e Normas – Gerenciamento da politica de segurança –Atribuição de regras e responsabilidades –Critérios para classificação de informações –Procedimentos de SI
  • 174. Fase II: DesenvolvimentoPós-Graduação em Gestão da Segurança de T.I. (GSTI) de políticas e normas: • Gerenciamento da politica de segurança –Definição da SI –Objetivos –CFS –Gerenciamento da versão –Referências a outras políticas
  • 175. Fase II: DesenvolvimentoPós-Graduação em Gestão da Segurança de T.I. (GSTI) de políticas e normas: • Atribuição de regras e responsabilidades: –Comitê de SI –Proprietário das informações –Área de SI –Usuários de informações –RH –Auditoria
  • 176. Fase II: DesenvolvimentoPós-Graduação em Gestão da Segurança de T.I. (GSTI) de políticas e normas: • Critérios de classificação das informações: –Introdução –Classificação –Níveis de classificação –Reclassificação –Armazenamento e descarte –Armazenamento e saídas
  • 177. Fase II: DesenvolvimentoPós-Graduação em Gestão da Segurança de T.I. (GSTI) de políticas e normas: • Procedimentos de SI: –Classificação e tratamento da informação –Notificação e gerenciamento de incidentes –Processo disciplinar –Aquisição e uso de hardware e software –Proteção contra software malicioso –Segurança e tratamento de mídias –Uso de internet –Uso de e-mail –Uso de recursos de TI
  • 178. Fase II: DesenvolvimentoPós-Graduação em Gestão da Segurança de T.I. (GSTI) de políticas e normas: • Procedimentos de SI: –Backup –Manutenção e teste de equipamentos –Coleta e registro de falhas –Gerenciamento e controle de rede –Monitoramento do uso e acesso aos sistemas –Uso de controles de criptografia –Controle de mudanças –Inventário de ativos de informação –Controle de acesso físico
  • 179. Fase II: DesenvolvimentoPós-Graduação em Gestão da Segurança de T.I. (GSTI) de políticas e normas: • Procedimentos de SI: –Segurança física –Supervisão de visitantes e prestadores de serviços
  • 180. Etapas para oPós-Graduação em Gestão da Segurança de T.I. (GSTI) desenvolvimento • Fase III - Elaboração de Procedimentos de SI –Pesquisa sobre melhores práticas –Desenvolvimento de procedimentos e padrões –Formalização dos procedimentos
  • 181. Etapas para oPós-Graduação em Gestão da Segurança de T.I. (GSTI) desenvolvimento • Fase IV - Revisão, aprovação e implantação –Revisão e aprovação –Implantação • Preparação de material de divulgação • Divulgação das responsabilidades • Palestras executivas • Palestras e treinamentos operacionais
  • 182. Pós-Graduação em Gestão da Segurança de T.I. (GSTI) Etapas para o desenvolvimento
  • 183. 3o Trabalho - parte IIElaborar um plano de implantação de política desegurança e o manual se segurança da informação. (30pontos). Entrega final em: 15.121. Reavaliar o Diagnóstico & lacunas, considerando asmetas de negócio.2. Através da análise de risco, estabelecer as metas de TI(relativas à segurança).3. Definir estratégia para cada lacuna, estabelecendometas de processos e metas de atividades.4. Definir resumo do projeto, contendo: problema,solução, custo, beneficios, macro-cronograma5. Elaborar um plano de implantação de política desegurança e o manual se segurança da informação.

Related Documents