Como garantir a Governança da Segurança da Informação Prof. Ms. Edison Fontes, CISM, CISA, CRISC edison@pobox.com Salvador, 01 de Setembro de 2016 1
ROTEIRO DA APRESENTAÇÃO Governança e Direcionadores Políticas e Normas Maturidade dos Controles Auditorias Recebidas 2
Governança e Direcionadores 3
GOVERNANÇA CORPORATIVA O que tira o sono dos acionistas e executivos Romulo Pinheiro, Artigo O Poder da Estratégia como Método, Revista HSM Management, mai/jun-2016. Que oportunidades estamos perdendo? O que pode atrapalhar ou impedir a sustentabilidade de nossa operação? O que não estamos vendo? 4
SEGURANÇA DA INFORMAÇÃO Governança Segurança Informação Governança Corporativa => Garantir a continuidade dos controles estruturais da Segurança da Informação => Gerar evidências do alinhamento, permitindo verificações: Direção, Acionistas, Auditorias. => Dar transparência da Maturidade dos Controles de Segurança da Informação. => Elaborar o Planejamento Estratégico e Operacional da Segurança da Informação. => Emitir relatório periódico descrevendo a Governança da Segurança da Informação. 5
É a gestão da gestão. Governança Significa ter a diligência para que a gestão da segurança atenda as necessidades do negócio considerando: as prioridades, o investimento, o nível de performance e aos indicadores previamente definidos e a ação transparente das atividades e projetos. Transparência na definição e no resultado dos controles. Garantir o alinhamento aos objetivos de negócio. Padrões, Métodos, Métricas, Ferramentas, Controles. 6
Governança Corporativa Governança Segurança Informação Governança Tecnologia da Informação Gestão da Segurança da Informação 7
DIRECIONADORES DA ESTRATÉGIA: Obrigatórios + Estruturais 8
Compliance: Controles Segurança da Informação x Regulamentos Legais 9 Edison Fontes, CISM, CISA, CRISC, Abril-2016
DIRECIONADORES DA ESTRATÉGIA: Obrigatórios + Estruturais 10
Gestão de riscos Regulamentação e regras de negócio Processo Corporativo da Segurança da Informação POLÍTICAS DE SEGURANÇA DA INFORMAÇÂO Acesso à Informação Classificação da Informação Proteção técnica Recursos de informação Flexibilidade Operacional Desenvolvimento de aplicativos Conscientização e Treinamento Continuidade do negócio Ambiente Físico e infra-estrutura Modelo operativo da SI Tratamento de Incidentes de Segurança da Informação Fonte: Livro Praticando a Segurança da Informação, Edison Fontes, Editora BRASPORT. Estrutura baseada na Norma Internacional ISO/IEC 27002 11
Arquitetura de S.I. x Compliance Regulamentos Legais 12 Edison Fontes, CISM, CISA, CRISC
Políticas e Normas 13
Arquitetura da Política de Segurança da Informação Fonte: Livro Normas e Políticas para a Segurança da Informação, Edison Fontes, Editora BRASPORT. Padrão utilizado em treinamento da RNP Rede Nacional de Pesquisas Ministério da Ciência e Tecnologia 14
Maturidade dos Controles de Segurança da Informação 15
Planejamento de Ações 16
Auditorias Recebidas 17
Avaliação dos Processos Estratégicos de Segurança Trata de TODAS as Dimensões 18
Gestão de riscos Regulamentação e regras de negócio Processo Corporativo da Segurança da Informação POLÍTICAS DE SEGURANÇA DA INFORMAÇÂO Acesso à Informação Classificação da Informação Proteção técnica Recursos de informação Flexibilidade Operacional Desenvolvimento de aplicativos Conscientização e Treinamento Continuidade do negócio Ambiente Físico e infra-estrutura Modelo operativo da SI Tratamento de Incidentes de Segurança da Informação Fonte: Livro Praticando a Segurança da Informação, Edison Fontes, Editora BRASPORT. Estrutura baseada na Norma Internacional ISO/IEC 27002 19
20