Implantando a Gestão da Segurança da Informação no TCU Marisa Alho

Transcrição

1 Implantando a Gestão da Segurança da Informação no TCU Marisa Alho Assessoria de Segurança da Informação e Governança de Tecnologia da Informação (Assig)

2 Assessoria de Segurança da Informação e Governança de TI

3 Competência da Assig: A Assig tem por finalidade coordenar, orientar e acompanhar a implementação da Política Corporativa de Segurança da Informação, da Política de Governança de Tecnologia da Informação e da Política Corporativa de Continuidade de Negócios, bem como assegurar...

4 Segurança da Informação Gestão de Continuidade de Negócio Governança de TI

5 Objetivo Identificar fatores críticos de sucesso e dificuldades em um processo de implantação da gestão da segurança da informação, com base na experiência do TCU. Que os auditores possam identificar pontos a serem observados em auditorias. Que os gestores públicos possam identificar fatores importantes para o sucesso da implantação de ações de segurança.

6 TCU e a Segurança da Informação Segurança da Informação Gestão de Continuidade de Negócio Governança de TI

7 Por que Segurança da Informação no TCU? Prestações de contas Solicitações CN Denúncias Documentos gerais Acórdãos Vistas Recursos Pareceres e relatórios Sistemas de informação Publicações TCU Bases de dados Papéis de trabalho Bases de dados Informações para o CN

8 Como se faz SI no TCU? Baseada em normas internacionais

9 Segurança da Informação no TCU Organização da Segurança da Informação Política de Segurança da Informação Sistema de Gestão da Segurança da Informação Classificação da Informação Gestão de Incidentes de Segurança da Informação Gestão de Riscos de Segurança da Informação Conscientização Agenda

10 Segurança da Informação no TCU Organização da Segurança da Informação ABNT NBR ISO/IEC 27001:2013 capítulo 5 (5.3) ABNT NBR ISO/IEC 27002:2013 capítulo 6 Política de Segurança da Informação Sistema de Gestão da Segurança da Informação Classificação da Informação Gestão de Incidentes de Segurança da Informação Gestão de Riscos de Segurança da Informação Conscientização

11 Organização da Segurança da Informação Antes Estruturas de segurança da informação dentro da TI Criação da Assessoria de Segurança da Informação e Governança de TI Assig Criação do Comitê de Segurança da Informação CSI Criação do Serviço de Segurança da Informação em TI - Sesti

12 Organização da Segurança da Informação Comitê de Segurança da Informação

13 Segurança da Informação no TCU Organização da Segurança da Informação Política de Segurança da Informação ABNT NBR ISO/IEC 27001:2013 capítulo 5 (5.2) ABNT NBR ISO/IEC 27002:2013 capítulo 5 Sistema de Gestão da Segurança da Informação Classificação da Informação Gestão de Incidentes de Segurança da Informação Gestão de Riscos de Segurança da Informação Conscientização

14 Política de Segurança da Informação Política de Segurança da Informação do TCU (1ª) Foco excessivo em aspectos tecnológicos Não tinha dono Política Corporativa de Segurança da Informação do TCU Resolução-TCU nº 217/2008 Foco em princípios e diretrizes Abordagem holística (processos, pessoas e tecnologia) Atribui responsabilidades Aspectos tecnológicos em normativos adicionais

15 Política de Segurança da Informação 2013/2014 Política Corporativa de Segurança da Informação do TCU Criação do SGSI/TCU Sistema de Gestão da Segurança da Informação no TCU Texto revisado para ampliar entendimento

16 Política de Segurança da Informação Texto anterior: Os usuários internos e colaboradores são responsáveis por... reportar à Assig os incidentes em segurança da informação de que tenham conhecimento. Texto novo: Art. 7º A gestão de incidentes em segurança da informação tem por objetivo assegurar que fragilidades e incidentes em segurança da informação sejam identificados, permitindo a tomada de ação corretiva em tempo hábil. Parágrafo único. Autoridades, servidores e quaisquer colaboradores do Tribunal são responsáveis por: I - reportar tempestivamente à Assessoria de Segurança da Informação e Governança de TI (Assig) os incidentes em segurança da informação de que tenham ciência ou suspeita; e II - colaborar, em suas áreas de competência, na identificação e no tratamento de incidentes em segurança da informação.

17 Segurança da Informação no TCU Organização da Segurança da Informação Política de Segurança da Informação Sistema de Gestão da Segurança da Informação ABNT NBR ISO/IEC 27001:2013 capítulo 4 (4.4) Classificação da Informação Gestão de Incidentes de Segurança da Informação Gestão de Riscos de Segurança da Informação Conscientização

18 SGSI/TCU Sistema de Gestão da Segurança da Informação do TCU 2013/2014 Criação do SGSI/TCU (3ª versão da PCSI/TCU)

19 Segurança da Informação no TCU Organização da Segurança da Informação Política de Segurança da Informação Sistema de Gestão da Segurança da Informação Classificação da Informação ABNT NBR ISO/IEC 27002:2013 capítulo 8 (8.2) Gestão de Incidentes de Segurança da Informação Gestão de Riscos de Segurança da Informação Conscientização

20 Classificação da Informação 1ª norma de Classificação da Informação Não precedida de inventário de ativos Resolução-TCU nº 229/2009 Portaria-TCU nº 124/ controles 2ª norma de Classificação da Informação Não precedida de inventário de ativos Resolução-TCU nº 254/2013 Adaptação à Lei /2011 (Lei de Acesso à Informação)

21

22 Segurança da Informação no TCU Organização da Segurança da Informação Política de Segurança da Informação Sistema de Gestão da Segurança da Informação Classificação da Informação Gestão de Incidentes de Segurança da Informação ABNT NBR ISO/IEC 27002:2013 capítulo 16 Gestão de Riscos de Segurança da Informação Conscientização

23 Gestão de Incidentes de Segurança da Informação Início do registro e tratamento de incidentes Desenho do processo de trabalho, em conjunto com TI Desenvolvimento de sistema para gestão dos incidentes Elaboração de norma de gestão de incidentes de segurança da informação (em andamento)

24 Gestão de Incidentes de Segurança da Informação Referência: 07/2014

25 Gestão de Incidentes de Segurança da Informação Referência: 07/2014

26 Gestão de Incidentes de Segurança da Informação Referência: 07/2014

27 Gestão de Incidentes de Segurança da Informação Referência: 07/2014

28 Segurança da Informação no TCU Organização da Segurança da Informação Política de Segurança da Informação Sistema de Gestão da Segurança da Informação Classificação da Informação Gestão de Incidentes de Segurança da Informação Gestão de Riscos de Segurança da Informação ABNT NBR ISO/IEC 27001:2013 capítulos 6 (6.1) e 8 Conscientização

29 Gestão de Riscos de Segurança da Informação 2011 Início do processo Método quantitativo, com base na ABNT NBR ISO/IEC 27005: edição de avaliação de riscos 2012 Revisão do método Método qualitativo, baseado no FRAAP + ABNT NBR ISO 31000: edições de avaliação de riscos

30 Gestão de Riscos de Segurança da Informação 2013 Gestão das ações decorrentes das 3 edições passadas Desenvolvimento de ferramenta de apoio edições de avaliação Gestão dos riscos Elaboração de norma de gestão de incidentes de segurança da informação (em andamento)

31 Gestão de Riscos de Segurança da Informação Referência: 07/

32 Gestão de Riscos de Segurança da Informação Referência: 07/

33 Gestão de Riscos de Segurança da Informação Referência: 07/

34 Gestão de Riscos de Segurança da Informação Referência: 07/

35 Segurança da Informação no TCU Organização da Segurança da Informação Política de Segurança da Informação Sistema de Gestão da Segurança da Informação Classificação da Informação Gestão de Incidentes de Segurança da Informação Gestão de Riscos de Segurança da Informação Conscientização ABNT NBR ISO/IEC 27001:2013 capítulo 7 (7.3)

36 Conscientização em Segurança da Informação O ser humano é a tecnologia de maior complexidade (autor desconhecido)

37 Conscientização em Segurança da Informação Dicas semanais no jornal interno (União) Coluna Aprendendo com a Notícia Dia da Segurança da Informação Quiz em Segurança da Informação Participação em treinamentos institucionais ProAudi Segurança da Informação em Auditorias (TCU e TCEs) Segurança da Informação para Olacefs Cartilhas e Folders Portal TCU comunidade de SI

38

39 Conscientização em Segurança da Informação DICAS SEMANAIS ANO QUANTIDADE Referência: 07/2014

40

41 Conscientização em Segurança da Informação Aprendendo com a Notícia ANO QUANTIDADE Referência: 07/2014

42 Conscientização em Segurança da Informação

43

44

45

46

47

48 Segurança da Informação no TCU Agenda Organização da Segurança da Informação Política de Segurança da Informação Sistema de Gestão da Segurança da Informação Classificação da Informação Gestão de Incidentes de Segurança da Informação Gestão de Riscos de Segurança da Informação Conscientização

49 Objetivo Identificar fatores críticos de sucesso e dificuldades em um processo de implantação da gestão da segurança da informação, com base na experiência do TCU. Que os auditores possam identificar pontos a serem observados em auditorias. Que os gestores públicos possam identificar fatores importantes para o sucesso da implantação de ações de segurança.

50 Segurança da Informação no TCU - Resumindo - Dimensão da SI Dificuldades Fatores Críticos de Sucesso Organização da SI SI na TI Comitê executivo Estruturas próprias: foco corporativo / foco TI Comitê deliberativo, representativo Política de SI Sistema de Gestão da SI Classificação da Informação Aspectos tecnológicos Sem dono Sem atualização Inexistência: ausência de visão global da SI Falta de cultura Foco corporativo Com dono Revisão periódica Existência: direciona planejamento Comunica a SI Adaptação à LAI Conscientização / treinamento / apoio Começar!

51 Segurança da Informação no TCU - Resumindo - Dimensão da SI Dificuldades Fatores Críticos de Sucesso Gestão de Incidentes Baixa tempestividade Tempestividade de SI Baixa comunicação Parcerias Gestão de Riscos de SI Conscientização em SI Segurança da Informação Baixa prioridade Ausência de norma Avaliação sem gestão Processo ISO Ausência gestão de riscos corporativa Baixa prioridade Risco de descontinuidade Ferramenta de apoio Priorizar Processo ágil (qualitativo) Compromisso das partes Ferramenta de apoio Fazer! Persistência Múltiplos canais Priorizar Processo contínuo Conhecer a organização Normas internacionais

52 Obrigada Marisa Alho Tribunal de Contas da União Assessoria de Segurança da Informação e Governança de TI - Assig assig@tcu.gov.br If you really want to do something, you'll find a way. If you don't, you'll find an excuse. (Jim Rohn)