www.vanzolini.org.br – Tel.: (11) 3814-7366 Av. Paulista 967, 5 Andar – Bela Vista - SP 1 • © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez 1 FUNDAÇÃO CARLOS ALBERTO VANZOLINI ESCOLA POLITÉCNICA INTERNATIONAL CERTIFICATION NETWORK 2 • © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez Instituída em 1967, mantida e gerida pelos professores do Departamento de Engenharia de Produção da Escola Politécnica da Universidade de São Paulo (USP); Entidade sem Fins Lucrativos. Missão Melhoria da qualidade de vida da sociedade com a realização de projetos e promoção de cursos. Objetivos Disseminação de conhecimento em Engenharia de Produção e Administração Industrial. 3 • © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez Área de atuação Certificação Tipos de Certificação Educação Reconhecimento Nacional Reconhecimento Mundial Acordos Operacionais Cursos de Especialização Cursos de Média Duração Cursos Abertos Educação à Distância 4 • © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez Histórico FCAV 1967 1988 1990 1997 2004 Realizado um programa junto ao governo da Inglaterra PARTNERSHIP 5 • © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez O que é Informação ? • Informação – é um ativo que, como qualquer outro ativo importante, é essencial para os negócios de uma organização e conseqüentemente necessita ser adequadamente protegido; • Ativo – qualquer coisa que tenha valor para a organização (R$ ou US$). NBR ISO/IEC 17799:2005 6 • © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez • Informação do Formato do Processamento dos Dados do Ariane 5 • Em 1996, o foguete lançador de satélite Ariane 5 teve que ser intencionalmente explodido alguns segundos após o seu lançamento em Kourou, Guiana Francesa. • Após 36,7 segundos, o sistema de direção tentou converter um dos dados (velocidade lateral do foguete) de um formato de 64bits para um de 16-bits, causando um erro de overflow. O sistema desligou, e o sistema redundante, idêntico, passou a funcionar. • Alguns milissegundos depois, o mesmo erro de overflow ocorreu. • Custo de desenvolvimento do Ariane 5: US$ 8 bilhões. • Custo dos 4 satélites a bordo: US$ 500 milhões. http://resources.zdnet.co.uk/articles/0,1000001991,39290976,00.htm 7 • © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez O que é Segurança da Informação ? “Segurança da Informação é a proteção da Informação de diversos tipos de ameaças para garantir a continuidade dos negócios, minimizar os danos aos negócios e maximizar o retorno dos investimentos e as oportunidades de negócio.” NBR ISO/IEC 17799:2005 8 • © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez Falando de Boas Práticas em Sistemas de Gestão •GoodPriv@cy: é um padrão estabelecido internacionalmente que abrange requisitos para o gerenciamento da proteção e privacidade dos dados nas organizações (Data Protection and Privacy - DPP) •NBR ISO/IEC 27001 Sistema de Gestão da Segurança da Informação SGSI •NBR ISO/IEC 20000-1 Sistema de Gestão de Serviço de Tecnologia da Informação - SGSTI • © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez 9 Proteção de Dados Pessoais a nível Mundial • Na rede IQNet com a certificação GoodPriv@cy: 57 organizações certificadas • No Brasil para a GoodPriv@cy – Bradesco – Associação Comercial de São Paulo – Itaú www.iqnet-certification.com Lapso de Segurança na TJX Inc. Em 2005 foi registrada a perda de dados de cartões de credito e de débito de 40 milhões de clientes. Custo estimado desta falha : • US$ 1 bilhão- (Boston Globe - USA); • publicidades negativas nestes casos de vazamento de informação. • Legislação envolvida: União Européia- Diretiva 95/46/CE sobre Privacidade de Dados na União Européia; USA – 1999 - Gramm-Leach-Bliley Act; Argentina- 2000 http://www.protecciondedatos.com.ar/ Brasil - 2005 http://ce.desenvolvimento.gov.br/dat aprotection/ 10 • © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez Focos do GoodPriv@cy® • • Conscientização responsável nas áreas de proteção de dados Minimizar riscos na proteção de dados, promovendo: – Melhoria contínua na proteção dos dados e na segurança da informação – Vantagens competitivas e preservação da boa imagem • – Garantia da qualidade nos serviços de manuseio e uso das informações de natureza particular e pessoal Construir e fortalecer a confiança mútua junto a clientes, consumidores 11 • © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez Requisitos de Controles para o Regulamento GoodPrivacy Controles de Admissão Controles de Disponibilidad e Controles de Entrada Controles de Dados durante a Transmissão Controles de Pedidos Controles de Acesso Controles de Acesso ao Usuário Controles de Separação Outros Controles 12 • © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez Qual é o Objetivo da NBR ISO/IEC 27001:2006? • O objetivo básico da norma é ajudar a estabelecer e manter um sistema de gestão da segurança da informação buscando a melhoria contínua. 13 • © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez Aceitação Mundial da ISO/IEC 27001 • No mundo (Junho de 2008): Crescimento da Certificação BS 7799, antes da ISO/IEC 27001:05 4629 organizações certificadas (2653 emitidos no Japão) • No Brasil para a ISO/IEC 27001 – – – – – Atos Origin Fucapi Modulo Prodesp Tivit www.xisec.com www.iso27001certificates.com/ 14 • © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez 15 • © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez Legislação Envolvida a Nível Mundial • Brasil: Instrução Normativa SRF nº 682, de 4 de outubro de 2006DOU de 5.10.2006 Dispõe sobre a auditoria de sistemas informatizados de controle aduaneiro, estabelecidos para os recintos alfandegados e para os beneficiários de regimes aduaneiros especiais. http://www.receita.fazenda.gov.br/Legislacao/Ins/2006/in6822006.htm 16 • © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez Legislação Envolvida a Nível Mundial • Japão: implementar diretrizes visando obter os objetivos ate 2009: • Governo Central – melhorar as normas de segurança da informação para o melhor nível mundial – decisão feita em 13/12/2005 por ISPC; • Governo Local – promover auditorias de segurança da informação e sistemas de trocas de informação com governos locais; • Infraestrutura Critica – trabalhar para reduzir as falhas de infraestrutura critica de TI o mais perto possível de zero; • Negócios - melhorar as medidas de segurança da informação nos negócios para o melhor nível mundial ate FY 2009; • Indivíduos - trabalhar para reduzir o numero de indivíduos que sentem-se inseguros usando TI o mais perto possível de zero. 17 • © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez 18 • © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez 19 • © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez 20 • © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez Objetivos dos Controles para o Sistema de Gestão conforme a ISO/IEC 27001- Anexo A Política de Segurança Segurança em Recursos Humanos Segurança Física e do Ambiente Gestão dos Ativos Controle de Acessos Organizand oa Segurança da Informação Gestão da Continuidade do Negocio Gestão das Operações e Comunicaçõe s Aquisição, Desenvolvimento Manutenção Gestão de Incidentes Conformidad e 21 • © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez AVALIAÇÃO DE RISCO ATIVOS DE INFORMAÇÃO Ativo Localização Ameaça Vulnerabilidades Impacto Probabilidade Nivel de RISCO Banco de Dados do Cliente vendas funcionário com má intenção senha conhecida por todos perda de informação média alto Manual de Gestão da Segurança da Informação TI funcionário com má intenção documento disponível para todos perda de informação baixa baixo média medio baixo baixo estoque desorganizado, sem controle Formulário para impressão do material do cliente perda imagem estoque erro humano imprimir informações de um cliente em formulário de outro cliente perda financeira 22 • © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez DECLARAÇÃO DE APLICABILIDADE NBR ISO/IEC 27001 - ANEXO A Cláusulas Objetivos de Controle 7.1Responsabilidade APLICABILIDADE Documento 7.1.1 Inventário dos ativos 7.1.2 Proprietário dos ativos 7.1.3 Uso aceitável dos ativos 7.2.1 Recomendações para classificaçã o 7.2.2 Rótulos e tratamento da informação JUSTIFICATIVA (CASO DE NÃO APLICABILIDADE) Controles SIM SIM D2 - Diretriz de Classificação da Informação NA pelos ativos 7 - Gestão de ativos 7.2-Classificação da informação SIM SIM NÃO NA As informações descartadas são cortadas por guilhotinas 23 • © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez Benefícios de um Sistema de Gestão de Segurança da Informação através do item 4.2.1 • • • Formalização de um inventário dos ativos da Organização – Descoberta dos ativos com seu valor e risco Formalização de um plano de análise e tratamento de risco – Isto visa assegurar a sobrevivência da mesma e a sistematização da Análise dos Riscos envolvidos com perdas/ vazamentos de informações sensíveis Democratização dos Riscos na Organização Formalização da “Declaração de Aplicabilidade” – Manter a memória do Planejamento da Aplicação dos Controles do SGSI 24 • © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez Benefícios de um Sistema de Gestão de Segurança da Informação • Desenvolvimento da conscientização das pessoas • Monitoramento e aperfeiçoamento contínuo da Gestão da Segurança da Informação • Declaração de conformidade por terceira parte conferindo maior credibilidade na comunicação externa • Construção de confiança nas relações com as partes interessadas e parceiros do negócio • Prevenir perdas relacionadas a segurança da informação (no Brasil em 2005 se estimam em R$ 300 milhões, as fraudes pela Internet – Fonte Livro Implantando a Governança de TI – Aragon/Ferraz) • Criar e alavancar novas oportunidades de negócio por gerar confiança, segurança e privacidade 25 • © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez Implementação do SG • • • • • Definir o escopo do sistema Definir a política do sistema Definir a abordagem da análise Identificar as interfaces envolvidas Identificar, analisar e documentar: ISO 27 – Riscos envolvidos; ISO 20 - SLA’s envolvidos • Implementar e gerenciar: ISO 27 – Declaração de Aplicabilidade e Plano de Gestão de Riscos; ISO 20 - o SIP (service improvement activities plan) • Definir regras de tratamento, monitoração e controle 26 • © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez Ciclo de Planejamento & Controle da Gestão do SG Política do Sistema de Gestão (Política Corporativa) Identificação dos requisitos legais e outros requisitos críticos Critérios para classificação dos riscos e da avaliação dos controles e objetivos relevantes Análise Crítica pela Direção P Identificação, analise, avaliação, opções para o tratamento dos riscos considerados impactantes para o Sistema de Gestão Avaliação dos temas relevantes para o SG Seleção dos objetivos e controles para o tratamento dos riscos • Definição dos Focos -ISO 27 – Declaracao de Aplicabilidade; -ISO 20 SLAs e dos níveis de serviço de suporte e do SPI Objetivos & Indicadores A C D • ……… • ……… Resultados • Monitoramento & medição • Auditorias internas • Não-Conformidades (Incidentes) • Ações corretivas e preventivas © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez 27 Etapas do Processo para Certificação Informação para a Organização Diliberação da Certificação Registro para A Certificação Emissão do Certificado Definição das Datas Auditorias anuais de supervisão Auditoria de Avaliação da Conformidade Renovação a cada 3 anos 28 • © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez Fundação Carlos Alberto Vanzolini Departamento de Certificação Rua Camburiú n- 255 05058- 020 - São Paulo, SP OCS- 0001 PABX : ++ 55 11 3836-6566 FAX : ++ 55 11 3832-2070 http://www.vanzolini.org.br [email protected] O autor autoriza a utilização didática de todo o material contido nesta apresentação, desde que informada a fonte e mantidas as referências. A utilização comercial, inclusive cursos in company , depende de autorização escrita do autor. A lei do direito autoral pune a reprodução de obra intelectual, por qualquer meio, no todo ou em parte, sem autorização do autor ou de quem o represente (art. 184). Cumprir a lei é um dever de cidadania, respeite o direito do autor. Associação Brasileira de Direitos Reprográficos - www.abdr.org.br 29 • © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez Exemplos de Ativos na Avaliação de Riscos • Ativos de Informação (Banco de Dados, Formulários, Planilhas); • Ativos Físicos (Hardware, Equipamentos de Energia, Links de Comunicação); • Ativos de Software ( Aplicativos, Antivírus, Ambientes); • Ativos Intangíveis ( Imagem, Procedimentos); • Colaboradores envolvidos. 30 • © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez Exemplos de Controles Típicos Aplicáveis • Gestão de Mudanças; • Segurança em Processos de Desenvolvimento e de Suporte; • Gestão de Incidentes de Segurança da Informação; • Gestão de Vulnerabilidade Técnica; • Gestão da Continuidade do Negócio; • Conformidade ( Requisitos Legais, Normas e Políticas de Segurança); • © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez 31 Benefícios de um Sistema de Gestão de Serviços de TI • • • • • • • • • • • • Criar e alavancar novas oportunidades de negócio por gerar confiança, segurança e privacidade Melhor qualidade no serviço, com um suporte mais confiável. Segurança e confiança da continuidade dos serviços de TI, aumentando a habilidade para restaurar os serviços quando houver necessidade. Visão mais clara da capacidade atual. Fornecimento de informações gerenciais para acompanhamento de desempenho, possibilitando traçar melhorias. Equipe de TI mais motivada: sabendo a carga de trabalho é possível gerenciar melhor as expectativas. Maior satisfação para os clientes e usuários, entregando o serviço com mais qualidade e rapidez. (Em alguns casos) Redução de custos: a partir do melhor planejamento e controle dos processos internos é possível otimizar os custos operacionais. Maior agilidade e segurança para realizar as mudanças propostas pelo negócio. Com processos definidos e controlados é mais fácil implementar várias mudanças simultaneamente. Declaração de conformidade por terceira parte conferindo maior credibilidade na comunicação externa Construção de confiança nas relações com as partes interessadas e parceiros do negócio Prevenir perdas relacionadas a Gestão de serviços de TI 32 • © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez GUIA para a Certificação • • • • • • • • Estude a norma, defina os objetivos, entenda os custos e benefícios e obtenha o aval da Direção; Defina o escopo. O que está dentro e o que está fora incluindo áreas, equipamentos; Defina a política formal do SG; Defina a sistemática de funcionamento dos Planos; Analise os riscos para a segurança da informação e os correspondentes objetivos de controle; Faça um diagnostico da situação atual e monte o plano de implementação; Implemente o plano, prepare e exercite planos de contingência; Realize auditorias e análises críticas da administração; 33 • © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez Fatores Críticos de Sucesso • Política de Segurança, objetivos e atividades que reflitam os objetivos de negócio; • Um enfoque para a implementação dos objetivos que seja consistente com a cultura organizacional; • Comprometimento e apoio visível da direção; • Um bom entendimento dos requisitos de definidos nos controles e planos; • Divulgação e medição eficiente das definições e dos controles; • Proporcionar educação e treinamento adequados; • Estabelecer um processo de gestão de incidentes e dos problemas do serviço. 34 • © Fundação Carlos Alberto Vanzolini – Airton Carlos Gonzalez