www.vanzolini.org.br – Tel.: (11) 3814-7366
Av. Paulista 967, 5 Andar – Bela Vista - SP
1
•
© Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez
1
FUNDAÇÃO CARLOS
ALBERTO VANZOLINI
ESCOLA POLITÉCNICA
INTERNATIONAL CERTIFICATION NETWORK
2
•
© Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez
Instituída em 1967, mantida e gerida pelos professores
do Departamento de Engenharia de Produção da Escola
Politécnica da Universidade de São Paulo (USP);
Entidade sem Fins Lucrativos.
Missão
Melhoria da qualidade de vida da
sociedade com a realização de projetos
e promoção de cursos.
Objetivos
Disseminação de conhecimento em Engenharia de
Produção e Administração Industrial.
3
•
© Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez
Área de atuação
Certificação
Tipos de Certificação
Educação
Reconhecimento Nacional
Reconhecimento Mundial
Acordos Operacionais
Cursos de Especialização
Cursos de Média Duração
Cursos Abertos
Educação à Distância
4
•
© Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez
Histórico FCAV
1967
1988
1990
1997
2004
Realizado um
programa junto ao
governo da Inglaterra
PARTNERSHIP
5
•
© Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez
O que é Informação ?
• Informação – é um ativo que, como
qualquer outro ativo importante, é essencial
para os negócios de uma organização e
conseqüentemente necessita ser
adequadamente protegido;
• Ativo – qualquer coisa que tenha valor
para a organização (R$ ou US$).
NBR ISO/IEC 17799:2005
6
•
© Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez
• Informação do Formato do Processamento dos Dados do Ariane 5
• Em 1996, o foguete lançador de satélite Ariane 5 teve que ser
intencionalmente explodido alguns segundos após o seu
lançamento em Kourou, Guiana Francesa.
• Após 36,7 segundos, o sistema de direção tentou converter um
dos dados (velocidade lateral do foguete) de um formato de 64bits para um de 16-bits, causando um erro de overflow. O
sistema desligou, e o sistema redundante, idêntico, passou a
funcionar.
• Alguns milissegundos depois, o mesmo erro de overflow
ocorreu.
• Custo de desenvolvimento do Ariane 5: US$ 8 bilhões.
• Custo dos 4 satélites a bordo: US$ 500 milhões.
http://resources.zdnet.co.uk/articles/0,1000001991,39290976,00.htm
7
•
© Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez
O que é Segurança da Informação ?
“Segurança da Informação é a proteção
da Informação de diversos tipos de
ameaças para garantir a continuidade dos
negócios, minimizar os danos aos negócios
e maximizar o retorno dos investimentos e as
oportunidades de negócio.”
NBR ISO/IEC 17799:2005
8
•
© Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez
Falando de Boas Práticas em
Sistemas de Gestão
•GoodPriv@cy:
é um padrão estabelecido internacionalmente que
abrange requisitos para o gerenciamento da
proteção e privacidade dos dados nas organizações
(Data Protection and Privacy - DPP)
•NBR ISO/IEC 27001
Sistema de Gestão da Segurança da Informação SGSI
•NBR ISO/IEC 20000-1
Sistema de Gestão de Serviço de Tecnologia da
Informação - SGSTI
•
© Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez
9
Proteção de Dados Pessoais a nível Mundial
• Na rede IQNet com a
certificação GoodPriv@cy:
57 organizações certificadas
•
No Brasil para a GoodPriv@cy
– Bradesco
– Associação Comercial
de São Paulo
– Itaú
www.iqnet-certification.com
Lapso de Segurança na TJX Inc.
Em 2005 foi registrada a perda de dados
de cartões de credito e de débito de
40 milhões de clientes.
Custo estimado desta falha :
•
US$ 1 bilhão- (Boston Globe - USA);
• publicidades negativas nestes casos
de vazamento de informação.
•
Legislação envolvida:
União Européia- Diretiva 95/46/CE
sobre Privacidade de Dados na
União Européia;
USA – 1999 - Gramm-Leach-Bliley
Act;
Argentina- 2000
http://www.protecciondedatos.com.ar/
Brasil - 2005
http://ce.desenvolvimento.gov.br/dat
aprotection/
10
•
© Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez
Focos do GoodPriv@cy®
•
•
Conscientização responsável nas áreas de proteção de
dados
Minimizar riscos na proteção de dados, promovendo:
– Melhoria contínua na proteção dos dados e na
segurança da informação
– Vantagens competitivas e preservação da boa imagem
•
– Garantia da qualidade nos serviços de manuseio e uso
das informações de natureza particular e pessoal
Construir e fortalecer a confiança mútua junto a clientes,
consumidores
11
•
© Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez
Requisitos de Controles para o Regulamento
GoodPrivacy
Controles
de
Admissão
Controles de
Disponibilidad
e
Controles
de Entrada
Controles de
Dados
durante a
Transmissão
Controles
de Pedidos
Controles
de Acesso
Controles
de Acesso
ao Usuário
Controles
de
Separação
Outros
Controles
12
•
© Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez
Qual é o Objetivo da NBR ISO/IEC
27001:2006?
• O objetivo básico da norma é
ajudar a estabelecer e manter um
sistema de gestão da segurança
da informação buscando a
melhoria contínua.
13
•
© Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez
Aceitação Mundial da ISO/IEC 27001
• No mundo (Junho de 2008):
Crescimento da Certificação BS 7799, antes
da ISO/IEC 27001:05
4629 organizações certificadas
(2653 emitidos no Japão)
•
No Brasil para a ISO/IEC 27001
–
–
–
–
–
Atos Origin
Fucapi
Modulo
Prodesp
Tivit
www.xisec.com
www.iso27001certificates.com/
14
•
© Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez
15
•
© Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez
Legislação Envolvida a Nível Mundial
•
Brasil:
Instrução Normativa SRF nº 682, de 4 de outubro
de 2006DOU de 5.10.2006
Dispõe sobre a auditoria de sistemas informatizados de controle
aduaneiro, estabelecidos para os recintos alfandegados e para os
beneficiários de regimes aduaneiros especiais.
http://www.receita.fazenda.gov.br/Legislacao/Ins/2006/in6822006.htm
16
•
© Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez
Legislação Envolvida a Nível Mundial
• Japão:
implementar diretrizes visando obter os objetivos ate 2009:
• Governo Central – melhorar as normas de segurança da
informação para o melhor nível mundial – decisão feita em
13/12/2005 por ISPC;
• Governo Local – promover auditorias de segurança da
informação e sistemas de trocas de informação com governos
locais;
• Infraestrutura Critica – trabalhar para reduzir as falhas de
infraestrutura critica de TI o mais perto possível de zero;
• Negócios - melhorar as medidas de segurança da informação
nos negócios para o melhor nível mundial ate FY 2009;
• Indivíduos - trabalhar para reduzir o numero de indivíduos que
sentem-se inseguros usando TI o mais perto possível de zero.
17
•
© Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez
18
•
© Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez
19
•
© Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez
20
•
© Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez
Objetivos dos Controles para o Sistema de Gestão
conforme a ISO/IEC 27001- Anexo A
Política
de
Segurança
Segurança em
Recursos
Humanos
Segurança
Física e do
Ambiente
Gestão
dos Ativos
Controle
de
Acessos
Organizand
oa
Segurança
da
Informação
Gestão da
Continuidade
do Negocio
Gestão das
Operações e
Comunicaçõe
s
Aquisição,
Desenvolvimento
Manutenção
Gestão de
Incidentes
Conformidad
e
21
•
© Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez
AVALIAÇÃO DE RISCO
ATIVOS DE
INFORMAÇÃO
Ativo
Localização
Ameaça
Vulnerabilidades
Impacto
Probabilidade
Nivel
de
RISCO
Banco de Dados do
Cliente
vendas
funcionário com
má intenção
senha conhecida por
todos
perda de
informação
média
alto
Manual de Gestão da
Segurança da Informação
TI
funcionário com
má intenção
documento
disponível para
todos
perda de
informação
baixa
baixo
média
medio
baixo
baixo
estoque
desorganizado, sem
controle
Formulário para
impressão do material do
cliente
perda imagem
estoque
erro humano
imprimir
informações de um
cliente em
formulário de outro
cliente
perda financeira
22
•
© Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez
DECLARAÇÃO DE APLICABILIDADE
NBR ISO/IEC 27001 - ANEXO A
Cláusulas
Objetivos de
Controle
7.1Responsabilidade
APLICABILIDADE
Documento
7.1.1
Inventário dos
ativos
7.1.2
Proprietário dos
ativos
7.1.3
Uso aceitável dos
ativos
7.2.1
Recomendações
para
classificaçã
o
7.2.2
Rótulos e
tratamento
da
informação
JUSTIFICATIVA
(CASO DE NÃO
APLICABILIDADE)
Controles
SIM
SIM
D2 - Diretriz de
Classificação
da
Informação
NA
pelos ativos
7 - Gestão
de
ativos
7.2-Classificação
da informação
SIM
SIM
NÃO
NA
As informações
descartadas são
cortadas por
guilhotinas
23
•
© Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez
Benefícios de um Sistema de
Gestão de Segurança da Informação
através do item 4.2.1
•
•
•
Formalização de um inventário dos ativos da Organização
– Descoberta dos ativos com seu valor e risco
Formalização de um plano de análise e tratamento de risco
– Isto visa assegurar a sobrevivência da mesma e a
sistematização da Análise dos Riscos envolvidos com
perdas/ vazamentos de informações sensíveis Democratização dos Riscos na Organização
Formalização da “Declaração de Aplicabilidade” – Manter a
memória do Planejamento da Aplicação dos Controles
do SGSI
24
•
© Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez
Benefícios de um Sistema de
Gestão de Segurança da Informação
•
Desenvolvimento da conscientização das pessoas
•
Monitoramento e aperfeiçoamento contínuo da Gestão da Segurança
da Informação
•
Declaração de conformidade por terceira parte conferindo maior
credibilidade na comunicação externa
•
Construção de confiança nas relações com as partes interessadas e
parceiros do negócio
•
Prevenir perdas relacionadas a segurança da informação (no Brasil em
2005 se estimam em R$ 300 milhões, as fraudes pela Internet – Fonte
Livro Implantando a Governança de TI – Aragon/Ferraz)
•
Criar e alavancar novas oportunidades de negócio por gerar
confiança, segurança e privacidade
25
•
© Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez
Implementação do SG
•
•
•
•
•
Definir o escopo do sistema
Definir a política do sistema
Definir a abordagem da análise
Identificar as interfaces envolvidas
Identificar, analisar e documentar:
ISO 27 – Riscos envolvidos;
ISO 20 - SLA’s envolvidos
•
Implementar e gerenciar:
ISO 27 – Declaração de Aplicabilidade e Plano de Gestão de Riscos;
ISO 20 - o SIP (service improvement activities plan)
•
Definir regras de tratamento, monitoração e
controle
26
•
© Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez
Ciclo de Planejamento & Controle
da Gestão do SG
Política do Sistema de Gestão (Política Corporativa)
Identificação dos
requisitos legais e
outros requisitos
críticos
Critérios para classificação
dos riscos e da avaliação
dos controles e objetivos
relevantes
Análise Crítica pela
Direção
P
Identificação, analise,
avaliação, opções para o
tratamento dos riscos
considerados impactantes
para o Sistema de Gestão
Avaliação dos
temas relevantes
para o SG
Seleção dos
objetivos e controles
para o tratamento
dos riscos
•
Definição dos Focos
-ISO 27 – Declaracao
de Aplicabilidade;
-ISO 20 SLAs e dos
níveis de serviço de
suporte e do SPI
Objetivos &
Indicadores
A
C
D
• ………
• ………
Resultados
• Monitoramento & medição
• Auditorias internas
• Não-Conformidades
(Incidentes)
• Ações corretivas e
preventivas
© Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez
27
Etapas do Processo para Certificação
Informação para
a Organização
Diliberação da
Certificação
Registro para
A Certificação
Emissão do
Certificado
Definição das
Datas
Auditorias anuais
de supervisão
Auditoria de
Avaliação da
Conformidade
Renovação
a cada 3 anos
28
•
© Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez
Fundação Carlos Alberto Vanzolini
Departamento de Certificação
Rua Camburiú n- 255
05058- 020 - São Paulo, SP
OCS- 0001
PABX : ++ 55 11 3836-6566
FAX : ++ 55 11 3832-2070
http://www.vanzolini.org.br
[email protected]
O autor autoriza a utilização didática de todo o material contido nesta apresentação, desde que informada a fonte e mantidas as
referências. A utilização comercial, inclusive cursos in company , depende de autorização escrita do autor.
A lei do direito autoral pune a reprodução de obra intelectual, por qualquer meio, no todo ou em parte, sem autorização do autor ou de
quem o represente (art. 184). Cumprir a lei é um dever de cidadania,
respeite o direito do autor. Associação Brasileira de Direitos Reprográficos - www.abdr.org.br
29
•
© Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez
Exemplos de Ativos na Avaliação de
Riscos
• Ativos de Informação (Banco de Dados,
Formulários, Planilhas);
• Ativos Físicos (Hardware, Equipamentos de
Energia, Links de Comunicação);
• Ativos de Software ( Aplicativos, Antivírus,
Ambientes);
• Ativos Intangíveis ( Imagem, Procedimentos);
• Colaboradores envolvidos.
30
•
© Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez
Exemplos de Controles Típicos
Aplicáveis
• Gestão de Mudanças;
• Segurança em Processos de
Desenvolvimento e de Suporte;
• Gestão de Incidentes de Segurança da
Informação;
• Gestão de Vulnerabilidade Técnica;
• Gestão da Continuidade do Negócio;
• Conformidade ( Requisitos Legais, Normas e
Políticas de Segurança);
•
© Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez
31
Benefícios de um Sistema de
Gestão de Serviços de TI
•
•
•
•
•
•
•
•
•
•
•
•
Criar e alavancar novas oportunidades de negócio por gerar confiança, segurança e
privacidade
Melhor qualidade no serviço, com um suporte mais confiável.
Segurança e confiança da continuidade dos serviços de TI, aumentando a habilidade para restaurar os
serviços quando houver necessidade.
Visão mais clara da capacidade atual.
Fornecimento de informações gerenciais para acompanhamento de desempenho, possibilitando traçar
melhorias.
Equipe de TI mais motivada: sabendo a carga de trabalho é possível gerenciar melhor as
expectativas.
Maior satisfação para os clientes e usuários, entregando o serviço com mais qualidade e rapidez.
(Em alguns casos) Redução de custos: a partir do melhor planejamento e controle dos processos
internos é possível otimizar os custos operacionais.
Maior agilidade e segurança para realizar as mudanças propostas pelo negócio. Com processos
definidos e controlados é mais fácil implementar várias mudanças simultaneamente.
Declaração de conformidade por terceira parte conferindo maior credibilidade na comunicação
externa
Construção de confiança nas relações com as partes interessadas e parceiros do negócio
Prevenir perdas relacionadas a Gestão de serviços de TI
32
•
© Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez
GUIA para a Certificação
•
•
•
•
•
•
•
•
Estude a norma, defina os objetivos, entenda os custos e benefícios
e obtenha o aval da Direção;
Defina o escopo. O que está dentro e o que está fora incluindo
áreas, equipamentos;
Defina a política formal do SG;
Defina a sistemática de funcionamento dos Planos;
Analise os riscos para a segurança da informação e os
correspondentes objetivos de controle;
Faça um diagnostico da situação atual e monte o plano de
implementação;
Implemente o plano, prepare e exercite planos de contingência;
Realize auditorias e análises críticas da administração;
33
•
© Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez
Fatores Críticos de Sucesso
•
Política de Segurança, objetivos e atividades que reflitam os objetivos de
negócio;
•
Um enfoque para a implementação dos objetivos que seja consistente
com a cultura organizacional;
•
Comprometimento e apoio visível da direção;
•
Um bom entendimento dos requisitos de definidos nos controles e
planos;
•
Divulgação e medição eficiente das definições e dos controles;
•
Proporcionar educação e treinamento adequados;
•
Estabelecer um processo de gestão de incidentes e dos problemas do
serviço.
34
•
© Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez