Padrões que auxiliam no gerenciamento da qualidade e segurança da informação de uma organização, a figura do profissional qualificado neste contexto

Transcrição

1 Padrões que auxiliam no gerenciamento da qualidade e segurança da informação de uma organização, a figura do profissional qualificado neste contexto e como obter a qualificação para atender esta demanda.

2 Allison Ramon Araújo Pós-Graduando - Especialização em Segurança da Informação (Estácio de Sá); Bacharel em Sistema da Informação; Profissional Certificado - Information Security Foundation (ISFS) based on ISO/IEC 27002; Auditor Interno ISO/IEC 9001, 06 anos na área de Gestão da Qualidade.

3 INTRODUÇÃO AO RISCO NO CONTEXTO ORGANIZACIONAL; ENTENDENDO O SISTEMA DE GESTÃO DA QUALIDADE COM BASE NA ABNT NBR ISO 9001:2015; ENTENDENDO O SISTEMA DE GERENCIAMENTO DE SEGURANÇA DA INFORMAÇÃO COM BASE NA ABNT NBR ISO 27002:2013; O DIFERENCIAL QUE UM PROFISSIONAL CERTIFICADO PODE TRAZER PARA AS EMPRESAS NESTES NOVOS DESAFIOS; CONHECENDO ALGUMAS CERTIFICAÇÕES E COMO SE CERTIFICAR;

4 INTRODUÇÃO AO RISCO NO CONTEXTO ORGANIZACIONAL;

5 O que é Risco? Risco é o grau de incerteza em relação à possibilidade de ocorrência de um determinado evento, o que, em caso afirmativo, redundará em prejuízos. Assim, risco é a possibilidade de perda decorrente de um determinado evento. * SANTOS, Paulo Sérgio Monteiro dos. Gestão de riscos empresariais. Osasco, SP: Novo Século Editora, 2002

6 Gerenciamento de Risco O gerenciamento de riscos empresariais são os conhecimentos, os métodos e os processos organizados para reduzir os prejuízos e aumentar os benefícios na concretização dos objetivos estratégicos. * BARALDI, Paulo. Gerenciamento de riscos empresariais: a gestão de oportunidades, a avaliação de riscos e a criação de controles internos nas decisões empresariais. 2. ed. Rio de Janeiro: Elsevier, 2005.

7 Tipos de Risco Estratégicos Modo que uma organização é gerenciada. Operacional Condições operacionais dos processos, controles, informações. Conformidade Cumprimento das normas reguladoras. Financeiros Exposição financeira de uma organização. * COCURULLO, Antônio. Gestão de riscos corporativos. São Paulo: Scortecci, 2002.

8 Identificação, análise e tratamento

9 Diagrama esquemático de tratamento de risco Identificação Análise (Qualitativa, Quantitativa) Avaliação Redução Eliminação Prevenção e Controle Retenção: Auto-Seguro Financiamento Transferência: Seguro TRATAMENTO

10 O que é Processo? Conjunto ordenado de atividades de trabalho, com entradas e saídas, início e fim. Objetivo: Proporcionar bons resultados para a organização, pode estar em diferentes níveis (tático, gerencial e operacional).

11 Entendendo... Feedback do Cliente ENTRADA ( Necessidades / Requisitos) PROCESSO (Atividades que adicionam valor) SAÍDA (Produtos) Informações de Desempenho

12 Entendendo... *

13 ENTENDENDO O SISTEMA DE GESTÃO DA QUALIDADE COM BASE NA ABNT NBR ISO 9001:2015;

14 Entendendo... Denominação Normas ABNT Código da Norma 01: Requisitos ABNT NBR ISO 9001:2015; Associação Brasileira de Normas Técnicas Organização Internacional Padronização

15 Família 9000 Normas : Fundamentos e Diretrizes; 9001: Requisitos; 9002: Diretrizes para aplicar a Diretrizes , 02 e 03: Satisfação do cliente; 10006: Planos da Qualidade; : Requisitos para Medição; 10015: Treinamentos. Outras Diretrizes 19011: Auditoria de Sistema de Gestão; 18091: Aplicação da 9001 em Prefeituras. * r

16 O que é a ISO 9001? Norma que estabelece requisitos para o SGQ; Objetivo de prover a confiança de que seu fornecedor poderá fornecer, de forma consistente a repetitiva, bens e serviços de acordo com o que foi especificado. * t.pdf

17 Evolução Procedimentos 1994 Ação Preventiva 2000 Abordagem de Processos PDCA Fórum Internacional (IAF) : 03 Anos para transição Riscos e Oportunidades 2008 Abordagem de Processos PDCA *

18 Benefícios Gerenciamento dos riscos que impactam o negócio; Atrai investimentos, aumenta a reputação e satisfação dos clientes; Causa redução de desperdícios com a otimização de operações; Vantagem Competitiva.

19 Entendendo...

20 Entendendo... *Guia 9001, APCER, 2015.

21 Entendendo... Os sete Princípios da 9001:2015 *Guia 9001, APCER, 2015.

22 Entendendo... *Guia 9001, APCER, 2015.

23 Entendendo... *Guia 9001, APCER, 2015.

24 Entendendo... *Guia 9001, APCER, 2015.

25 Entendendo... *Guia 9001, APCER, 2015.

26 Entendendo... *Guia 9001, APCER, 2015.

27 Entendendo... *Guia 9001, APCER, 2015.

28 Entendendo... *Guia 9001, APCER, 2015.

29 Entendendo...

30 Certificados Válidos no Brasil em 2016 *

31 Estatística de certificações emitidas por ano Crise *

32 ENTENDENDO O SISTEMA DE GERENCIAMENTO DE SEGURANÇA DA INFORMAÇÃO COM BASE NA ABNT NBR ISO 27002:2013;

33 O que é a ISO 27002? Código de prática para controle de segurança da informação, contem as melhores recomendações do mercado; Objetivo de garantir a continuidade do negócio através de controles que reduzam a possibilidade de perda de informações. *TI Exames, ISFS

34 Família Normas Normas Normas : Fundamentos e Diretrizes; 27001: Requisitos; 27002: Código de Prática para Controles de Segurança da Informação : Guia de Implementação do SGSI; 27004: Medição do SGSI; 27005: Gestão de Riscos de Segurança da Informação; 27006: Requisitos para auditoria e certificação. *

35 Histórico *TI Exames, ISFS

36 Benefícios Diferencial no mercado; Melhoria da Eficácia da Segurança da Informação; Governança Corporativa; Cobre a TI, bem como as instalações, pessoal e organização.

37 A norma e suas 18 seções 0 Introdução 1 Escopo 2 Referência normativa 3 Termos e definições 4 Estrutura desta norma 5 Política de Segurança da Informação 6 Organização da Segurança da Informação 7 Segurança de recursos humanos 8 Gestão de Ativos 9 Controles de Acessos * r

38 A norma e suas 18 seções 10 Criptografia 11 Segurança física do ambiente 12 Segurança nas operações 13 Segurança nas comunicações 14 Aquisição, desenvolvimento e manutenção de sistemas 15 Relacionamento na cadeia de suprimentos 16 Gestão de incidentes de segurança da informação 17 Segurança da informação na continuidade do negócio 18 Conformidade * r

39 Algumas empresas certificadas * br

40 The ISO Survey of Management System Standard Certifications 2015 *

41 Entendendo o Anexo SL...

42 O DIFERENCIAL QUE UM PROFISSIONAL CERTIFICADO PODE TRAZER PARA AS EMPRESAS NESTES NOVOS DESAFIOS;

43 Contribuição do profissional certificado Nova visão quanto a integração e gerenciamento de processos; Melhor análise objetiva e sistêmica das atividades as quais participa; Amadurecimento dos sistemas de gestão implantados; Visão estratégica e busca de novos desafios.

44 CONHECENDO ALGUMAS CERTIFICAÇÕES E COMO SE CERTIFICAR;

45 Treinamentos para ISO 9001 Auditor Líder e Interno; Interpretação da Norma e seus Requisitos; Gestão de Riscos; Como tratar Não Conformidades.

46 Treinamentos para ISO *TI Exames, ISFS

47 Certificações Diversas

48 Obrigado! Dúvidas? Meus contatos: