Certificação ISO/IEC SGSI - Sistema de Gestão de Segurança da Informação. A Experiência da DATAPREV

Transcrição

1 Certificação ISO/IEC SGSI - Sistema de Gestão de Segurança da Informação A Experiência da DATAPREV

2 DATAPREV Quem somos? Empresa pública vinculada ao Ministério da Previdência Social, com personalidade jurídica de direito privado, patrimônio próprio e autonomia administrativa e financeira.

3 Missão da DATAPREV Prover soluções de tecnologia da informação e da comunicação para o êxito das ações de governo, de forma a preservar o interesse público.

4 Visão Ser a principal provedora de soluções em tecnologia da informação e comunicação para a gestão das informações previdenciárias, trabalhistas, sociais e de registros civis da população brasileira, reconhecida por sua excelência na prestação de serviços.

5 Clientes INSS Instituto Nacional do Seguro Social MTE Ministério do Trabalho e Emprego MPS Ministério da Previdência Social MDS Ministério do Desenvolvimento Social e Combate à Fome MPOG Ministério do Planejamento, Orçamento e Gestão SRFB Secretaria da Receita Federal do Brasil Instituições Financeiras, Privadas, etc.

6 Indicadores * Processamento da folha de pagamento Mais de benefícios (aposentadorias, pensões, auxílios, entre outros); Valor Líquido de créditos emitidos Aproximadamente R$ bilhões Processamento da GFIP Aproximadamente 3,5 milhões de documentos/mês Processamento da GPS Aproximadamente 7 milhões de guias/mês Valor Líquido arrecadado Aproximadamente 10 bilhões/mês * Atualizado em agosto/2009

7 Centros de Processamento CPRJ Centro de Processamento Rio de Janeiro CPSP Centro de Processamento São Paulo CPDF Centro de Processamento Distrito Federal

8 CPRJ 570 Empregados 03 Mainframes 450 Servidores de Plataforma Baixa 5,78 TB Mainframe 15,38 TB (Baixa)

9 Norma ABNT ISO/IEC A Norma provê um modelo para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI).

10 O que é SGSI? É o resultado da aplicação planejada de objetivos, diretrizes, políticas, procedimentos, modelos e outras medidas administrativas que, de forma conjunta, definem como são reduzidos os riscos para segurança da informação. Uma empresa que implante a norma ISO acaba por constituir um SGSI.

11 Importância da Norma ABNT ISO/IEC Permite que uma empresa construa uma política de segurança baseada em controles eficientes e customizados para as necessidades individuais da organização, protegendo os ativos de informação e proporcionando confiança às partes interessadas.

12 Benefícios da utilização de um SGSI Criação de métricas para a gestão de riscos; Visão dos riscos relacionados ao negócio, permitindo priorizar investimentos de acordo com a importância de cada ativo; Otimização da produtividade da equipe e qualificação do pessoal por meio de bases de conhecimento constantemente atualizadas; Informações centralizadas e análise integrada de tecnologia, processos e pessoas;

13 Benefícios da utilização de um SGSI (cont.) Apoio na implementação dos requisitos de Certificação ISO 27001; Redução de investimento e tempo na implementação de frameworks e no atendimento às múltiplas auditorias; Criação dos planos de Continuidade de Negócios com facilidade para manutenção e recuperação rápida das informações procedimentos, alinhado com a norma ABNT NBR

14 O que a Norma diz A Norma considera que a adoção de um SGSI deva ser uma decisão estratégica para uma Organização; É esperado que a implementação de um SGSI seja escalada conforme as necessidades da Organização; A Norma pode ser usada para avaliações de conformidade pelas partes interessadas internas e externas;

15 O que a Norma diz A Estratégia do processo para a gestão da segurança da informação de uma Organização encoraja que seus usuários enfatizem a importância de: a) Entendimento dos requisitos de segurança da informação de uma organização e da necessidade de estabelecer uma política e objetivos para a segurança da informação; b) Implementação e operação de controles para gerenciar os riscos de segurança da informação de uma organização, no contexto dos riscos de negócio globais da organização; c) Monitoração e revisão do desempenho e efetividade do SGSI; d) Melhoria contínua baseada em medidas objetivas.

16 Etapas para se constituir um SGSI a) Definir escopo e limites do SGSI abrangência física, lógica e pessoal; b) Definir a estratégia de avaliação de risco; c) Relacionar os ativos e seus proprietários dentro do escopo do SGSI; d) Identificar ameaças, vulnerabilidades e mensurar o impacto da materialização dessas ameaças; e) Priorizar os controles necessários para garantir a segurança dos ativos.

17 Projeto DATAPREV Escopo: Local: CPRJ Centro de Processamento Rio de Janeiro Abrangência: Infraestrutura operacional de produção em plataforma baixa do CPRJ Recursos: 270 servidores 70 ativos de rede 03 unidades de storage 02 unidades de fitoteca

18 Produtos Contratados: Consultoria especializada para a pré-certificação, na Norma ABNT ISO/IEC 27001; Licença de uso perpétua de software para apoio na implantação do SGSI, com quantitativo de ativos ilimitado e possibilidade de uso por até 20 usuários concorrentes; Capacitação técnica na solução contratada Suporte técnico e operacional por um período de 12 meses Empresa vencedora => Módulo Security Solutions Software de SGSI => Módulo Risk Manager

19 Fases do Projeto Fase 1: Plano Executivo de Implantação Produtos da Fase: Relatório de Planejamento Cronograma do Projeto Fase 2: Implantação da Ferramenta de SGSI para o CPRJ Produtos da Fase: Instalação da ferramenta Treinamento da equipe de usuários

20 Fases do Projeto (cont.) Fase 3: Implementação do SGSI Produtos da Fase: Levantamento de Gaps em relação a Norma ABNT NBR ISO/IEC Elaborar o relatório de Gap Analysis Inventariar ativos e pontuar relevância Criação e Manutenção do SGSI Cronograma do Projeto Análise de Riscos Implementação e Operação do SGSI Elaborar Normas do SGSI Elaborar os procedimentos operacionais do SGSI Implementar programas de treinamento e conscientização

21 Fases do Projeto (cont.) Fase 4: Monitoração e Revisão do SGSI Produtos da Fase: Análise Crítica pela direção do SGSI Preparação da primeira reunião de análise crítica Organizar documentação das entradas para Análise Crítica Realizar Primeira Reunião de Análise Crítica Organização da documentação das saídas da Análise Crítica Manutenção e Melhoria do SGSI Elaborar Procedimento de Ações Corretivas Elaborar Procedimento de Ações Preventivas Executar ações corretivas e preventivas

22 Fases do Projeto (cont.) Fase 5: Auditoria interna Produtos da Fase: Elaborar procedimento de Auditoria interna Elaborar Plano de auditoria interna Preparar os auditores internos Elaborar Agenda de Auditoria interna Executar Auditoria interna Elaborar Relatório de Auditoria interna

23 Macro Cronograma Prazo contratual de 14 meses para a execução do projeto Proposição cronograma consultoria: MESES OBJETIVOS Fase 1 Plano Executivo de Implantação X Fase 2 Implantação da ferramenta de SGSI X Fase 3 Implementação do SGSI X X X X X X X X Fase 4 Monitoração e revisão do SGSI X X Fase 5 Auditoria interna X

24 Características da ferramenta utilizada Possibilidade de estruturar conhecimentos associados a riscos de uma área de conhecimento; Baseada nos conceitos de Gestão de Riscos e em uma estrutura de Gestão do Conhecimento; Suporta análises de risco internas e processos de auditoria; Integração das áreas de Governança, Riscos e Compliance; Apoio a projetos de PCN;

25 Metodologia PDCA PLAN Estabelecimento do SGSI DO Implementação e Operação do SGSI ACT Manutenção e melhoria do SGSI CHECK Monitoramento e análise crítica do SGSI

26 Tipos de ativos analisados AMBIENTES Exemplo: Datacenter, Escritório PESSOAS Exemplo: Gestores, Diretores, Security Officer, Técnicos de TI PROCESSOS Exemplo: Contratos, Backup, Gestão da Continuidade, etc.; TECNOLOGIA Exemplo: Servidores, Estações de trabalho, Redes de dados, etc.

27 Processo de Coleta ENTREVISTAS WEB Enviadas via aos colaboradores para, com base nas respostas, obter evidências referentes a controles implementados; COLETA OFFLINE Análise de componentes em estações sem acesso à rede de dados; COLETA AUTOMÁTICA Busca de configurações e outros parâmetros no ativo que auxiliam na avaliação de determinados controles.

28 Gap Analysis Entrevistas com gestores de macroprocessos da DATAPREV com o objetivo de comparar o status de segurança da informação atual com os que são estabelecidos na Norma ISO/IEC 27001; Identificação das políticas, normas e procedimentos existentes, com a finalidade de avaliar a possibilidade de sua integração junto à norma ISO/IEC 27001; Definição do alcance da Certificação ISO/IEC 27001; Elaboração do relatório de Gap Analysis.

29 Plano de Ação para a Certificação Determinar e direcionar ações estratégicas, táticas e operacionais, além de definir prioridades para o gerenciamento dos riscos; Selecionar controles a serem implementados para tratar riscos analisados e considerados inaceitáveis; Justificativa dos controles que terão seus riscos aceitos; Elaboração do Plano de Tratamento contendo, além da ação de tratamento descrita de forma prática, a hierarquia das prioridades, recursos necessários, responsabilidades, prazos e métricas de eficiência e eficácia dos tratamentos.

30 Perímetros estabelecidos para o SGSI Visão Global da Empresa

31 SGSI Visão CPRJ

32 Mapa de Governança para o SGSI Exemplo para os sistemas do cliente MTE

33 OBRIGADO! Humberto Degrazia Campedelli Coordenador Geral de Segurança de Informações