Auditoria e Segurança de Sistemas Prof.: Mauricio Pitangueira Instituto Federal da Bahia 1
A Organização da Segurança Modelo de Gestão Coporativa de Segurança o Para a criação de um modelo de segurança não basta criar um comitê uma unidade administrativa, um novo comitê ou um Comitê Corporativo de Segurança da Informação. o Podemos compreender que para um modelo gestão cíclico e encadeado, devemos formá-lo das seguintes etapas: Comitê Corporativo da Segurança da Informação; Mapeamento da Segurança; Estratégia de Segurança; Planejamento de Segurança; Implementação de Segurança; Administração de Segurança; Segurança na Cadeia Produtiva. 2
A Organização da Segurança Comitê Coporativo de Segurança da Informação o Orientar as ações corporativas de segurança; o Alinhar o plano de açã às diretrizes do negócio; o Coordenar os agentes de segurança; o Garantir a implantação do modelo de Gestão Corporativo de Segurança da Informação; o Promover a consolidação do modelo de Gestão Corporativo de Segurança da Informação. 3
A Organização da Segurança Mapeamento de Segurança o Identificar o grau de relevância e as relações diretas e indiretas entre os diversos processos de negócio, perímetros e infra-estruturas. o Inventaria os ativos físicos, tecnológicos e humanos que sustetam a operação da empresa. o Identificar o cenário atual - ameaças, vulnerabilidades e impactos. o Mapear as necessidades relacionadas ao armazenamento, manuseio, transporte e descarte de informações. o Organizar as demanas de segurança do negócio. 4
A Organização da Segurança Estratégia de Segurança o Definir um plano de ação, comumente plurianual, que considere todas as particularidades estratégicas, tática e operacionais do negócio; o Criar sinergia entre os cenários atual e desejado. Planejamento de Segurança o Organizar os Comitês Interdepartamentais, especificando responsabilidades, posicionamento e escopo de atuação; o Iniciar ações preliminares de capacitação dos executivos e técnicos. o Elaborar Política da Segurança da Informação sólida; o Realizar ações corretivas emergenciais em função do risco iminente. 5
A Organização da Segurança Implementação de Segurança o Divulgar corporativamente a Política de Segurança; o Capacitar, conscientizando os usuários no que se refere ao comportamento diante do manuseio, armazenamento, transporte e descarte da informação; o Implementação de mecanismos de controle físicos, tecnológicos e humanos. Administração de Segurança o Monitorar os diversos controles implementados; o Projetar a situação do ROI; o Garantia a adequação e conformidade do negócio; o Manter planos estratégicos para contingência; o Administrar os controles implementados. 6
A Organização da Segurança Segurança na Cadeia Produtiva o Equalizar as medidas de segurança adotadas pela empresa aos processos de negócio comuns, mantidos junto ao parceiro da cadeia produtiva: fornecedores, clientes e governo; o Nivelar o fator de risco sem que uma das partes exponha informações compartilhadas e represente uma ameaça à segurança de ambos os negócios. 7
COBIT - Control Objectives for Information and Related Technology o É um guia, formulado como framework, dirigido para gestão de tecnologia da informação (TI); o Cobre quatro domínios: Planejar e Organizar; Adquirir e Implementar; Entregar e dar Suporte; Monitorar e Avaliar. 8
9
COBIT - Control Objectives for Information and Related Technology o Planejar e Organizar: Cobre o uso de informação e tecnologia e como isso pode ser usado para que a empresa atinja seus objetivos e metas; Salienta que a forma organizacional e a infraestrutura da TI devem ser consideradas para que se atinjam resultados ótimos e para que se gerem benefícios do seu uso. 10
11
COBIT - Control Objectives for Information and Related Technology o Adquirir e Implementar: Cobre a identificação dos requisitos de TI, a aquisição de tecnologia e a implementação desta dentro dos processos de negócio da companhia; Lida com o desenvolvimento de um plano de manutenção que a companhia adota para prolongar a vida do sistema de TI e de seus componentes. 12
13
COBIT - Control Objectives for Information and Related Technology o Entregar e dar Suporte: Foca aspectos de entrega de tecnologia da informação; Cobre a execução de aplicações dentro do sistema de TI e seus resultados, assim como o suporte dos processos que habilitam a execução de forma eficiente e efetiva. 14
15
COBIT - Control Objectives for Information and Related Technology o Monitorar e Avaliar: Lidar com a estimativa estratégica das necessidades da companhia e avalia se o atual sistema de TI atinge os objetivos para os quais ele foi especificado e controla os requisitos para atender objetivos regulatórios; Cobre as questões de estimativa, independente da efetividade do sistema de TI e sua capacidade de atingir os objetivos de negócio, controlando os processos internos da companhia através de auditores internos e externos. 16
17