Implantando a Gestão da Segurança da Informação no TCU Marisa Alho Assessoria de Segurança da Informação e Governança de Tecnologia da Informação (Assig)
Assessoria de Segurança da Informação e Governança de TI
Competência da Assig: A Assig tem por finalidade coordenar, orientar e acompanhar a implementação da Política Corporativa de Segurança da Informação, da Política de Governança de Tecnologia da Informação e da Política Corporativa de Continuidade de Negócios, bem como assegurar...
Segurança da Informação Gestão de Continuidade de Negócio Governança de TI
Objetivo Identificar fatores críticos de sucesso e dificuldades em um processo de implantação da gestão da segurança da informação, com base na experiência do TCU. Que os auditores possam identificar pontos a serem observados em auditorias. Que os gestores públicos possam identificar fatores importantes para o sucesso da implantação de ações de segurança.
TCU e a Segurança da Informação Segurança da Informação Gestão de Continuidade de Negócio Governança de TI
Por que Segurança da Informação no TCU? Prestações de contas Solicitações CN Denúncias Documentos gerais Acórdãos Vistas Recursos Pareceres e relatórios Sistemas de informação Publicações TCU Bases de dados Papéis de trabalho Bases de dados Informações para o CN
Como se faz SI no TCU? Baseada em normas internacionais
Segurança da Informação no TCU Organização da Segurança da Informação Política de Segurança da Informação Sistema de Gestão da Segurança da Informação Classificação da Informação Gestão de Incidentes de Segurança da Informação Gestão de Riscos de Segurança da Informação Conscientização Agenda
Segurança da Informação no TCU Organização da Segurança da Informação ABNT NBR ISO/IEC 27001:2013 capítulo 5 (5.3) ABNT NBR ISO/IEC 27002:2013 capítulo 6 Política de Segurança da Informação Sistema de Gestão da Segurança da Informação Classificação da Informação Gestão de Incidentes de Segurança da Informação Gestão de Riscos de Segurança da Informação Conscientização
Organização da Segurança da Informação Antes 2008 2008 2009 Estruturas de segurança da informação dentro da TI Criação da Assessoria de Segurança da Informação e Governança de TI Assig Criação do Comitê de Segurança da Informação CSI Criação do Serviço de Segurança da Informação em TI - Sesti
Organização da Segurança da Informação Comitê de Segurança da Informação
Segurança da Informação no TCU Organização da Segurança da Informação Política de Segurança da Informação ABNT NBR ISO/IEC 27001:2013 capítulo 5 (5.2) ABNT NBR ISO/IEC 27002:2013 capítulo 5 Sistema de Gestão da Segurança da Informação Classificação da Informação Gestão de Incidentes de Segurança da Informação Gestão de Riscos de Segurança da Informação Conscientização
Política de Segurança da Informação 1999 2008 Política de Segurança da Informação do TCU (1ª) Foco excessivo em aspectos tecnológicos Não tinha dono Política Corporativa de Segurança da Informação do TCU Resolução-TCU nº 217/2008 Foco em princípios e diretrizes Abordagem holística (processos, pessoas e tecnologia) Atribui responsabilidades Aspectos tecnológicos em normativos adicionais
Política de Segurança da Informação 2013/2014 Política Corporativa de Segurança da Informação do TCU Criação do SGSI/TCU Sistema de Gestão da Segurança da Informação no TCU Texto revisado para ampliar entendimento
Política de Segurança da Informação Texto anterior: Os usuários internos e colaboradores são responsáveis por... reportar à Assig os incidentes em segurança da informação de que tenham conhecimento. Texto novo: Art. 7º A gestão de incidentes em segurança da informação tem por objetivo assegurar que fragilidades e incidentes em segurança da informação sejam identificados, permitindo a tomada de ação corretiva em tempo hábil. Parágrafo único. Autoridades, servidores e quaisquer colaboradores do Tribunal são responsáveis por: I - reportar tempestivamente à Assessoria de Segurança da Informação e Governança de TI (Assig) os incidentes em segurança da informação de que tenham ciência ou suspeita; e II - colaborar, em suas áreas de competência, na identificação e no tratamento de incidentes em segurança da informação.
Segurança da Informação no TCU Organização da Segurança da Informação Política de Segurança da Informação Sistema de Gestão da Segurança da Informação ABNT NBR ISO/IEC 27001:2013 capítulo 4 (4.4) Classificação da Informação Gestão de Incidentes de Segurança da Informação Gestão de Riscos de Segurança da Informação Conscientização
SGSI/TCU Sistema de Gestão da Segurança da Informação do TCU 2013/2014 Criação do SGSI/TCU (3ª versão da PCSI/TCU)
Segurança da Informação no TCU Organização da Segurança da Informação Política de Segurança da Informação Sistema de Gestão da Segurança da Informação Classificação da Informação ABNT NBR ISO/IEC 27002:2013 capítulo 8 (8.2) Gestão de Incidentes de Segurança da Informação Gestão de Riscos de Segurança da Informação Conscientização
2009 2013 Classificação da Informação 1ª norma de Classificação da Informação Não precedida de inventário de ativos Resolução-TCU nº 229/2009 Portaria-TCU nº 124/2010 - controles 2ª norma de Classificação da Informação Não precedida de inventário de ativos Resolução-TCU nº 254/2013 Adaptação à Lei 12.527/2011 (Lei de Acesso à Informação)
Segurança da Informação no TCU Organização da Segurança da Informação Política de Segurança da Informação Sistema de Gestão da Segurança da Informação Classificação da Informação Gestão de Incidentes de Segurança da Informação ABNT NBR ISO/IEC 27002:2013 capítulo 16 Gestão de Riscos de Segurança da Informação Conscientização
Gestão de Incidentes de Segurança da Informação 2010 2012 2014 Início do registro e tratamento de incidentes Desenho do processo de trabalho, em conjunto com TI Desenvolvimento de sistema para gestão dos incidentes Elaboração de norma de gestão de incidentes de segurança da informação (em andamento)
Gestão de Incidentes de Segurança da Informação Referência: 07/2014
Gestão de Incidentes de Segurança da Informação Referência: 07/2014
Gestão de Incidentes de Segurança da Informação Referência: 07/2014
Gestão de Incidentes de Segurança da Informação Referência: 07/2014
Segurança da Informação no TCU Organização da Segurança da Informação Política de Segurança da Informação Sistema de Gestão da Segurança da Informação Classificação da Informação Gestão de Incidentes de Segurança da Informação Gestão de Riscos de Segurança da Informação ABNT NBR ISO/IEC 27001:2013 capítulos 6 (6.1) e 8 Conscientização
Gestão de Riscos de Segurança da Informação 2011 Início do processo Método quantitativo, com base na ABNT NBR ISO/IEC 27005:2011 1 edição de avaliação de riscos 2012 Revisão do método Método qualitativo, baseado no FRAAP + ABNT NBR ISO 31000:2009 2 edições de avaliação de riscos
Gestão de Riscos de Segurança da Informação 2013 Gestão das ações decorrentes das 3 edições passadas Desenvolvimento de ferramenta de apoio 2014 2 edições de avaliação Gestão dos riscos Elaboração de norma de gestão de incidentes de segurança da informação (em andamento)
Gestão de Riscos de Segurança da Informação Referência: 07/2014 31
Gestão de Riscos de Segurança da Informação Referência: 07/2014 32
Gestão de Riscos de Segurança da Informação Referência: 07/2014 33
Gestão de Riscos de Segurança da Informação Referência: 07/2014 34
Segurança da Informação no TCU Organização da Segurança da Informação Política de Segurança da Informação Sistema de Gestão da Segurança da Informação Classificação da Informação Gestão de Incidentes de Segurança da Informação Gestão de Riscos de Segurança da Informação Conscientização ABNT NBR ISO/IEC 27001:2013 capítulo 7 (7.3)
Conscientização em Segurança da Informação O ser humano é a tecnologia de maior complexidade (autor desconhecido)
Conscientização em Segurança da Informação Dicas semanais no jornal interno (União) Coluna Aprendendo com a Notícia Dia da Segurança da Informação Quiz em Segurança da Informação Participação em treinamentos institucionais ProAudi Segurança da Informação em Auditorias (TCU e TCEs) Segurança da Informação para Olacefs Cartilhas e Folders Portal TCU comunidade de SI
Conscientização em Segurança da Informação DICAS SEMANAIS ANO QUANTIDADE 2009 20 2010 9 2011 36 2012 35 2013 41 2014 23 Referência: 07/2014
Conscientização em Segurança da Informação Aprendendo com a Notícia ANO QUANTIDADE 2011 6 2012 9 2013 5 2014 5 Referência: 07/2014
Conscientização em Segurança da Informação
Segurança da Informação no TCU Agenda Organização da Segurança da Informação Política de Segurança da Informação Sistema de Gestão da Segurança da Informação Classificação da Informação Gestão de Incidentes de Segurança da Informação Gestão de Riscos de Segurança da Informação Conscientização
Objetivo Identificar fatores críticos de sucesso e dificuldades em um processo de implantação da gestão da segurança da informação, com base na experiência do TCU. Que os auditores possam identificar pontos a serem observados em auditorias. Que os gestores públicos possam identificar fatores importantes para o sucesso da implantação de ações de segurança.
Segurança da Informação no TCU - Resumindo - Dimensão da SI Dificuldades Fatores Críticos de Sucesso Organização da SI SI na TI Comitê executivo Estruturas próprias: foco corporativo / foco TI Comitê deliberativo, representativo Política de SI Sistema de Gestão da SI Classificação da Informação Aspectos tecnológicos Sem dono Sem atualização Inexistência: ausência de visão global da SI Falta de cultura Foco corporativo Com dono Revisão periódica Existência: direciona planejamento Comunica a SI Adaptação à LAI Conscientização / treinamento / apoio Começar!
Segurança da Informação no TCU - Resumindo - Dimensão da SI Dificuldades Fatores Críticos de Sucesso Gestão de Incidentes Baixa tempestividade Tempestividade de SI Baixa comunicação Parcerias Gestão de Riscos de SI Conscientização em SI Segurança da Informação Baixa prioridade Ausência de norma Avaliação sem gestão Processo ISO 27005 Ausência gestão de riscos corporativa Baixa prioridade Risco de descontinuidade Ferramenta de apoio Priorizar Processo ágil (qualitativo) Compromisso das partes Ferramenta de apoio Fazer! Persistência Múltiplos canais Priorizar Processo contínuo Conhecer a organização Normas internacionais
Obrigada Marisa Alho Tribunal de Contas da União Assessoria de Segurança da Informação e Governança de TI - Assig assig@tcu.gov.br If you really want to do something, you'll find a way. If you don't, you'll find an excuse. (Jim Rohn)