Segurança e Auditoria de Sistemas
allanpitter
12,204 views
43 slides
Sep 07, 2010
Slide 1 of 43
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
About This Presentation
Segurança e Auditoria de Sistemas.
Slide Content
ALLAN PITER PRESSI
[email protected]
1
SEGURANÇA E SEGURANÇA E
AUDITORIA DE AUDITORIA DE
SISTEMAS.SISTEMAS.
@allanpitter@allanpitter
07/09/201007/09/2010
[email protected]
1
SEGURANÇA E SEGURANÇA E
AUDITORIA DE AUDITORIA DE
SISTEMAS.SISTEMAS.
@allanpitter@allanpitter
07/09/201007/09/2010
ALLAN PITER PRESSI
[email protected]
3
Não foi o medo que tomou conta Não foi o medo que tomou conta
dele apenas uma noção dele apenas uma noção
ampliada das coisas...ampliada das coisas...
Leonidas Leonidas
[email protected]
3
Não foi o medo que tomou conta Não foi o medo que tomou conta
dele apenas uma noção dele apenas uma noção
ampliada das coisas...ampliada das coisas...
Leonidas Leonidas
ALLAN PITER PRESSI
[email protected] / [email protected] /@allanpitter
5
1. Conceitos de Segurança da Informação1. Conceitos de Segurança da Informação
• Confidencialidade – garantir acesso ao sistema a apenas quem
de fato tem acesso;
• Integridade – A informação estar no estado em que foi
armazenada;
• Disponibilidade – A informação estar acessível sempre que
solicitado;
• Autenticação – Garantir que um usuário é de fato quem alega
ser;
• Não-repúdio – capacidade do sistema provar que um usuário
executou uma determinada ação;
• Legalidade – Garantir que o sistema esteja dentro legislação
vigente;
• Privacidade – Capacidade de um sistema de manter anonimato
de seus usuários;
• Auditoria – Capacidade que um sistema possui para que possa
ser auditado suas operações.
[email protected] / [email protected] /@allanpitter
5
1. Conceitos de Segurança da Informação1. Conceitos de Segurança da Informação
• Confidencialidade – garantir acesso ao sistema a apenas quem
de fato tem acesso;
• Integridade – A informação estar no estado em que foi
armazenada;
• Disponibilidade – A informação estar acessível sempre que
solicitado;
• Autenticação – Garantir que um usuário é de fato quem alega
ser;
• Não-repúdio – capacidade do sistema provar que um usuário
executou uma determinada ação;
• Legalidade – Garantir que o sistema esteja dentro legislação
vigente;
• Privacidade – Capacidade de um sistema de manter anonimato
de seus usuários;
• Auditoria – Capacidade que um sistema possui para que possa
ser auditado suas operações.
ALLAN PITER PRESSI
[email protected] / [email protected] /@allanpitter
6
1. Conceitos de Segurança da Informação1. Conceitos de Segurança da Informação
• Incidente de segurança – Ocorrência de um evento que possa
causar interrupções nos processos de negócios em consequencia
de violação de algum aspecto;
• Ativo de informação – Todos os elementos que suportam uma
informação;
• Ataque – Incidente de segurança caracterizado pela existência de
um agente que busca obter algum tipo de retorno, buscando como
alvo um ativo de valor;
• Vulnerabilidade – Ativos que possuem algum tipo de fraqueza
que pode gerar intencionalmente ou não indisponibilidade de um
ativo de informação;
• Ameaça – Ataque a potencial a um ativo de informação realizado
por um agente externo;
• Probabilidade – Possibilidade de ocorrência de uma falha, deve-
se levar em conta as vulnerabilidades e ameaças.
[email protected] / [email protected] /@allanpitter
6
1. Conceitos de Segurança da Informação1. Conceitos de Segurança da Informação
• Incidente de segurança – Ocorrência de um evento que possa
causar interrupções nos processos de negócios em consequencia
de violação de algum aspecto;
• Ativo de informação – Todos os elementos que suportam uma
informação;
• Ataque – Incidente de segurança caracterizado pela existência de
um agente que busca obter algum tipo de retorno, buscando como
alvo um ativo de valor;
• Vulnerabilidade – Ativos que possuem algum tipo de fraqueza
que pode gerar intencionalmente ou não indisponibilidade de um
ativo de informação;
• Ameaça – Ataque a potencial a um ativo de informação realizado
por um agente externo;
• Probabilidade – Possibilidade de ocorrência de uma falha, deve-
se levar em conta as vulnerabilidades e ameaças.
ALLAN PITER PRESSI
[email protected] / [email protected] /@allanpitter
7
1. Conceitos de Segurança da Informação1. Conceitos de Segurança da Informação
• Impacto – conseqüência que pode causar a um ativo de
informação após um incidente de segurança;
• Controle – Medidas que visam proteger um ativo de informação
visando minimizar ou mitigar o grau de exposição de um ativo;
[email protected] / [email protected] /@allanpitter
7
1. Conceitos de Segurança da Informação1. Conceitos de Segurança da Informação
• Impacto – conseqüência que pode causar a um ativo de
informação após um incidente de segurança;
• Controle – Medidas que visam proteger um ativo de informação
visando minimizar ou mitigar o grau de exposição de um ativo;
ALLAN PITER PRESSI
[email protected] / [email protected] /@allanpitter
8
2. Ciclo de Vida da Informação2. Ciclo de Vida da Informação
Meio
Externo
Meio
Interno
Identificação
das
necessidades e
requisitos
[email protected] / [email protected] /@allanpitter
8
2. Ciclo de Vida da Informação2. Ciclo de Vida da Informação
Meio
Externo
Meio
Interno
Identificação
das
necessidades e
requisitos
ALLAN PITER PRESSI
[email protected] / [email protected] /@allanpitter
9
2. Ciclo de Vida da Informação2. Ciclo de Vida da Informação
• Obtenção – Procedimentos para captura e recepção da
informação;
•Tratamento – Forma com que a informação é tratada antes de ser
consumida;
• Distribuição – Levar a informação até seus consumidores;
• Uso – A informação é usada para gerar valor para a organização;
• Armazenamento – Assegurar a conservação da informação para
uso futuro;
• Descarte – Quando uma informação torna-se obsoleta ou perde a
utilidade para organização, ela deve ser objeto de processo de
descarte que obedeça as normas legais.
[email protected] / [email protected] /@allanpitter
9
2. Ciclo de Vida da Informação2. Ciclo de Vida da Informação
• Obtenção – Procedimentos para captura e recepção da
informação;
•Tratamento – Forma com que a informação é tratada antes de ser
consumida;
• Distribuição – Levar a informação até seus consumidores;
• Uso – A informação é usada para gerar valor para a organização;
• Armazenamento – Assegurar a conservação da informação para
uso futuro;
• Descarte – Quando uma informação torna-se obsoleta ou perde a
utilidade para organização, ela deve ser objeto de processo de
descarte que obedeça as normas legais.
ALLAN PITER PRESSI
[email protected] / [email protected] /@allanpitter
10
3. Classificação e controle de Ativos de 3. Classificação e controle de Ativos de
InformaçãoInformação
Ativos de Informação
SoftwareFísico ServiçosPessoas
Documento
s em Papel
Informaç
ão
[email protected] / [email protected] /@allanpitter
10
3. Classificação e controle de Ativos de 3. Classificação e controle de Ativos de
InformaçãoInformação
Ativos de Informação
SoftwareFísico ServiçosPessoas
Documento
s em Papel
Informaç
ão
ALLAN PITER PRESSI
[email protected] / [email protected] /@allanpitter
11
3. Classificação e controle de Ativos de 3. Classificação e controle de Ativos de
InformaçãoInformação
• Classificação – atribuir o grau de sigilo a um ativo da
informação;
• Proprietário – Responsável pelo ativo da informação;
• Custodiante – Responsável pela guarda do ativo da informação
assegura que o ativo da informação está sendo protegido;
• Informação Pública – são informação que se divulgadas não
trarão impactos a empresa;
• Informação Interna – são informação de uso interno a uma
empresa como uma lista de telefones, etc;
• Confidencial – Informação de acesso restrito dentro da empresa;
• Secreta – informações críticas para a organização, são
informações vitais aos rumos do negócio;
[email protected] / [email protected] /@allanpitter
11
3. Classificação e controle de Ativos de 3. Classificação e controle de Ativos de
InformaçãoInformação
• Classificação – atribuir o grau de sigilo a um ativo da
informação;
• Proprietário – Responsável pelo ativo da informação;
• Custodiante – Responsável pela guarda do ativo da informação
assegura que o ativo da informação está sendo protegido;
• Informação Pública – são informação que se divulgadas não
trarão impactos a empresa;
• Informação Interna – são informação de uso interno a uma
empresa como uma lista de telefones, etc;
• Confidencial – Informação de acesso restrito dentro da empresa;
• Secreta – informações críticas para a organização, são
informações vitais aos rumos do negócio;
ALLAN PITER PRESSI
[email protected] / [email protected] /@allanpitter
12
3. Classificação e controle de Ativos de 3. Classificação e controle de Ativos de
InformaçãoInformação
• Classificação quanto a disponibilidade – defini a criticidade de
uma informação e determina o seu grau de disponibilidade que a
mesma deve ter minuto, horas, dias, não é crítica;
• Classificação quanto a integridade – defini a forma de armazenar
as informações dado o seu grau de importância, visando a
exclusão e/ou adulteração indevida da mesma;
• Monitoramento contínuo, criar procedimentos para revisar
periodicamente a classificação e estado das informações para
garantir que os mesmos estão classificados adequadamentes;
[email protected] / [email protected] /@allanpitter
12
3. Classificação e controle de Ativos de 3. Classificação e controle de Ativos de
InformaçãoInformação
• Classificação quanto a disponibilidade – defini a criticidade de
uma informação e determina o seu grau de disponibilidade que a
mesma deve ter minuto, horas, dias, não é crítica;
• Classificação quanto a integridade – defini a forma de armazenar
as informações dado o seu grau de importância, visando a
exclusão e/ou adulteração indevida da mesma;
• Monitoramento contínuo, criar procedimentos para revisar
periodicamente a classificação e estado das informações para
garantir que os mesmos estão classificados adequadamentes;
ALLAN PITER PRESSI
[email protected] / [email protected] /@allanpitter
13
4. Aspectos Humanos da Segurança da 4. Aspectos Humanos da Segurança da
informaçãoinformação
• Security Officer – Coordenação, planejamento, indicadores de
segurança corporativa, base de conhecimento, treinamento,
capacitação, BCP, Investigação de Segurança, Análise de Risco,
GRC, etc;
• Engenharia Social – Arte de utilzar o comportamento humano
para quebrar a segurança sem que a vítima sequer perceba que foi
manipulada;
• Física e Psicologica
• Sempre representa o elo mais fraco;
• Segurança no trabalho;
• Segurança no processo de seleção de pessoal;
• Treinamento de Usuários;
[email protected] / [email protected] /@allanpitter
13
4. Aspectos Humanos da Segurança da 4. Aspectos Humanos da Segurança da
informaçãoinformação
• Security Officer – Coordenação, planejamento, indicadores de
segurança corporativa, base de conhecimento, treinamento,
capacitação, BCP, Investigação de Segurança, Análise de Risco,
GRC, etc;
• Engenharia Social – Arte de utilzar o comportamento humano
para quebrar a segurança sem que a vítima sequer perceba que foi
manipulada;
• Física e Psicologica
• Sempre representa o elo mais fraco;
• Segurança no trabalho;
• Segurança no processo de seleção de pessoal;
• Treinamento de Usuários;
ALLAN PITER PRESSI
[email protected] / [email protected] /@allanpitter
14
5. Segurança no ambiente físico5. Segurança no ambiente físico
• Combinar medidas de prevenção, detecção e reação a possíveis
incidentes;
• Criar barreiras de segurança, medidas preventivas que impeçam
ataques aos ativos da informação;
• Medidas físicas (muros, câmeras, catracas);
• Lógicas (Senhas, toquens, biometria);
• Proteger os perímetros do ambiente;
• Segurança em escritórios, salas e instalações de ativos de
informação;
• Segurança de equipamentos;
• Segurança de documentos em papel e eletrônicos;
• Segurança de mídias de computador;
• Segurança no cabeamento.
[email protected] / [email protected] /@allanpitter
14
5. Segurança no ambiente físico5. Segurança no ambiente físico
• Combinar medidas de prevenção, detecção e reação a possíveis
incidentes;
• Criar barreiras de segurança, medidas preventivas que impeçam
ataques aos ativos da informação;
• Medidas físicas (muros, câmeras, catracas);
• Lógicas (Senhas, toquens, biometria);
• Proteger os perímetros do ambiente;
• Segurança em escritórios, salas e instalações de ativos de
informação;
• Segurança de equipamentos;
• Segurança de documentos em papel e eletrônicos;
• Segurança de mídias de computador;
• Segurança no cabeamento.
ALLAN PITER PRESSI
[email protected] / [email protected] /@allanpitter
15
6. Segurança no ambiente lógico6. Segurança no ambiente lógico
• Segurança em Redes, deve abranger problemas de autenticação
de usuários e equipamentos, interfaces de segurança entre o
ambiente externo e externo;
• diversos mecanismo de proteção, dentro os quais podemos citar
firewalls, IDS, IPS, mecanismo de gerência de rede e controle de
trafego, estabelecer roteamento estatíco, etc.;
• outros controles podem ser implementados utilizando técnicas
de criptográfia, tokens, VPNs, antivírus, etc.
• firewall: controle de acesso a rede, sua função é examinar o
trafégo de rede que deve ser observado a política de segurança;
• perímetro lógico, conhecido como DMZ , permite proteger um
computador ou segmento de rede ficando entre a rede interna e
externa, funcionando como uma área neutra;
[email protected] / [email protected] /@allanpitter
15
6. Segurança no ambiente lógico6. Segurança no ambiente lógico
• Segurança em Redes, deve abranger problemas de autenticação
de usuários e equipamentos, interfaces de segurança entre o
ambiente externo e externo;
• diversos mecanismo de proteção, dentro os quais podemos citar
firewalls, IDS, IPS, mecanismo de gerência de rede e controle de
trafego, estabelecer roteamento estatíco, etc.;
• outros controles podem ser implementados utilizando técnicas
de criptográfia, tokens, VPNs, antivírus, etc.
• firewall: controle de acesso a rede, sua função é examinar o
trafégo de rede que deve ser observado a política de segurança;
• perímetro lógico, conhecido como DMZ , permite proteger um
computador ou segmento de rede ficando entre a rede interna e
externa, funcionando como uma área neutra;
ALLAN PITER PRESSI
[email protected] / [email protected] /@allanpitter
16
6. Segurança no ambiente lógico6. Segurança no ambiente lógico
• VPN: representa outra alternativa, minimizando o impacto sobre
o uso de redes públicas para transmissão de dados privados,
softwares podem criar redes privadas (túneis criptográfico) entre
pontos autorizados para transferência de informações de forma
segura;
• Antivírus: sua função é analisar os programas de forma a
identificar vírus, worms, ameaças em geral;
• criptografia: utilização de códigos encriptados com o próposito
de criar restrições para acesso não autorizado;
• Esteganografia: técnica de ocultar uma informação dentro de
outra, usando o principio de camuflagem;
• Assinatura e certificado digital: garantir a autenticidade,
integridade e não repúdio ou irretratabilidade;
•IDS e IPS: sistemas que monitora e analisa os eventos de uma
rede em busca de anormalidades no tráfego de rede.
[email protected] / [email protected] /@allanpitter
16
6. Segurança no ambiente lógico6. Segurança no ambiente lógico
• VPN: representa outra alternativa, minimizando o impacto sobre
o uso de redes públicas para transmissão de dados privados,
softwares podem criar redes privadas (túneis criptográfico) entre
pontos autorizados para transferência de informações de forma
segura;
• Antivírus: sua função é analisar os programas de forma a
identificar vírus, worms, ameaças em geral;
• criptografia: utilização de códigos encriptados com o próposito
de criar restrições para acesso não autorizado;
• Esteganografia: técnica de ocultar uma informação dentro de
outra, usando o principio de camuflagem;
• Assinatura e certificado digital: garantir a autenticidade,
integridade e não repúdio ou irretratabilidade;
•IDS e IPS: sistemas que monitora e analisa os eventos de uma
rede em busca de anormalidades no tráfego de rede.
ALLAN PITER PRESSI
[email protected] / [email protected] /@allanpitter
17
7. Controle de Acesso7. Controle de Acesso
• Todo o acesso a informação deve ser controlado;
• O controle de acesso pode ser dividido em lógico e físico;
• Controle de acesso lógico:
• Identificação e autenticação do usuário
• O que você é?
• O que você tem?
• O que você sabe?
• Administração dos privilégios de usuários;
• Monitoração do uso e acesso ao sistema;
• Controle de acesso físico.
[email protected] / [email protected] /@allanpitter
17
7. Controle de Acesso7. Controle de Acesso
• Todo o acesso a informação deve ser controlado;
• O controle de acesso pode ser dividido em lógico e físico;
• Controle de acesso lógico:
• Identificação e autenticação do usuário
• O que você é?
• O que você tem?
• O que você sabe?
• Administração dos privilégios de usuários;
• Monitoração do uso e acesso ao sistema;
• Controle de acesso físico.
ALLAN PITER PRESSI
[email protected] / [email protected] /@allanpitter
18
8. A organização da segurança8. A organização da segurança
Modelo de segurança corporativa é composto pela seguintes
etapas:
• Comite corporativo de segurança da informação;
• Mapeamento da Segurança;
• Planejamento de Segurança;
• Implementação de Segurança;
• Administração de Segurança;
• Segurança na cadeia produtiva.
[email protected] / [email protected] /@allanpitter
18
8. A organização da segurança8. A organização da segurança
Modelo de segurança corporativa é composto pela seguintes
etapas:
• Comite corporativo de segurança da informação;
• Mapeamento da Segurança;
• Planejamento de Segurança;
• Implementação de Segurança;
• Administração de Segurança;
• Segurança na cadeia produtiva.
ALLAN PITER PRESSI
[email protected] / [email protected] /@allanpitter
19
8. A organização da segurança8. A organização da segurança
Comite corporativo de segurança da informação:
• Orientar as ações corporativa de segurança;
• Alinhar o plano de ação as diretrizes estratégicas do negócios;
• Coordenar as equipes de segurança;
• Garantir o sucesso da implantação do modelo de gestão de
segurança;
• Promover a consolidação do modelo de gestão de segurança.
[email protected] / [email protected] /@allanpitter
19
8. A organização da segurança8. A organização da segurança
Comite corporativo de segurança da informação:
• Orientar as ações corporativa de segurança;
• Alinhar o plano de ação as diretrizes estratégicas do negócios;
• Coordenar as equipes de segurança;
• Garantir o sucesso da implantação do modelo de gestão de
segurança;
• Promover a consolidação do modelo de gestão de segurança.
ALLAN PITER PRESSI
[email protected] / [email protected] /@allanpitter
20
8. A organização da segurança8. A organização da segurança
Mapeamento de segurança:
• Identificar o grau de importância dos diversos processos de
negócios, perímetros e infra-estrutura;
• Inventariar ativos de informação;
• Identificar o cenário atual de ameaças, vulnerabilidades e
impactos;
• Mapear as necessidades e as relações da empresa ao manuseio
da informação;
• Organizar as demandas de segurança do negócio.
[email protected] / [email protected] /@allanpitter
20
8. A organização da segurança8. A organização da segurança
Mapeamento de segurança:
• Identificar o grau de importância dos diversos processos de
negócios, perímetros e infra-estrutura;
• Inventariar ativos de informação;
• Identificar o cenário atual de ameaças, vulnerabilidades e
impactos;
• Mapear as necessidades e as relações da empresa ao manuseio
da informação;
• Organizar as demandas de segurança do negócio.
ALLAN PITER PRESSI
[email protected] / [email protected] /@allanpitter
21
8. A organização da segurança8. A organização da segurança
Estratégia de segurança
• Definir o plano de ação considerando todos os pontos inerentes
ao negócios;
• Criar sinergia entre o plano atual e desejado em sintonia com alta
direção.
[email protected] / [email protected] /@allanpitter
21
8. A organização da segurança8. A organização da segurança
Estratégia de segurança
• Definir o plano de ação considerando todos os pontos inerentes
ao negócios;
• Criar sinergia entre o plano atual e desejado em sintonia com alta
direção.
ALLAN PITER PRESSI
[email protected] / [email protected] /@allanpitter
22
8. A organização da segurança8. A organização da segurança
Planejamento de Segurança
• Organizar os comitês de seguranças;
• Capacitar executivos e técnicos;
• Elaborar a política de segurança da informação, considerando os
diversos pontos;
•Realizar ações corretivas emergenciais em função de risco
iminente percebidos no mapeamento.
[email protected] / [email protected] /@allanpitter
22
8. A organização da segurança8. A organização da segurança
Planejamento de Segurança
• Organizar os comitês de seguranças;
• Capacitar executivos e técnicos;
• Elaborar a política de segurança da informação, considerando os
diversos pontos;
•Realizar ações corretivas emergenciais em função de risco
iminente percebidos no mapeamento.
ALLAN PITER PRESSI
[email protected] / [email protected] /@allanpitter
23
8. A organização da segurança8. A organização da segurança
Implementação de Segurança
•Divulgar a política de segurança da informação;
• Capacitar e conscientizar os usuários quanto as melhores
práticas de segurança da informação;
• Implementar mecanismos de controles (físicos, tecnológicos,
humanos, etc.).
[email protected] / [email protected] /@allanpitter
23
8. A organização da segurança8. A organização da segurança
Implementação de Segurança
•Divulgar a política de segurança da informação;
• Capacitar e conscientizar os usuários quanto as melhores
práticas de segurança da informação;
• Implementar mecanismos de controles (físicos, tecnológicos,
humanos, etc.).
ALLAN PITER PRESSI
[email protected] / [email protected] /@allanpitter
24
8. A organização da segurança8. A organização da segurança
Administração de Segurança
• Monitorar e administrar os controles implementados;
• Projetar a situação de ROI;
• Garantir a adequação e conformidade do negócio com normas
associadas;
• Manter plano de PCN para garantir a continuidade dos negócios
[email protected] / [email protected] /@allanpitter
24
8. A organização da segurança8. A organização da segurança
Administração de Segurança
• Monitorar e administrar os controles implementados;
• Projetar a situação de ROI;
• Garantir a adequação e conformidade do negócio com normas
associadas;
• Manter plano de PCN para garantir a continuidade dos negócios
ALLAN PITER PRESSI
[email protected] / [email protected] /@allanpitter
25
8. A organização da segurança8. A organização da segurança
Segurança na cadeia produtiva:
• Equalizar as medidas de segurança adotadas aos processos de
negócios comuns que interagem com outros atores do ambiente
(clientes, fornecedores, governos, funcionários, etc.)
[email protected] / [email protected] /@allanpitter
25
8. A organização da segurança8. A organização da segurança
Segurança na cadeia produtiva:
• Equalizar as medidas de segurança adotadas aos processos de
negócios comuns que interagem com outros atores do ambiente
(clientes, fornecedores, governos, funcionários, etc.)
ALLAN PITER PRESSI
[email protected] / [email protected] /@allanpitter
26
8. A organização da segurança8. A organização da segurança
Comitês de Seguranças
• Aprovação das políticas, normas e procedimentos;
• Aprovação de novos controles;
• Apoio à implantação de soluções para minimizar os riscos;
• Deliberação sobre incidentes de segurança corporativas;
• Comitês departamentais agilizam o processo dessas políticas
sendo um elemento importante neste processo.
[email protected] / [email protected] /@allanpitter
26
8. A organização da segurança8. A organização da segurança
Comitês de Seguranças
• Aprovação das políticas, normas e procedimentos;
• Aprovação de novos controles;
• Apoio à implantação de soluções para minimizar os riscos;
• Deliberação sobre incidentes de segurança corporativas;
• Comitês departamentais agilizam o processo dessas políticas
sendo um elemento importante neste processo.
ALLAN PITER PRESSI
[email protected] / [email protected] /@allanpitter
27
8. A organização da segurança8. A organização da segurança
Comitês de Seguranças
• Aprovação das políticas, normas e procedimentos;
• Aprovação de novos controles;
• Apoio à implantação de soluções para minimizar os riscos;
• Deliberação sobre incidentes de segurança corporativas;
• Comitês departamentais agilizam o processo dessas políticas
sendo um elemento importante neste processo.
[email protected] / [email protected] /@allanpitter
27
8. A organização da segurança8. A organização da segurança
Comitês de Seguranças
• Aprovação das políticas, normas e procedimentos;
• Aprovação de novos controles;
• Apoio à implantação de soluções para minimizar os riscos;
• Deliberação sobre incidentes de segurança corporativas;
• Comitês departamentais agilizam o processo dessas políticas
sendo um elemento importante neste processo.
ALLAN PITER PRESSI
[email protected] / [email protected] /@allanpitter
28
9. Segurança no contexto da governança de 9. Segurança no contexto da governança de
TITI
COBIT - Controle Objectives for Information and Related
Technology
• Framework para a gestão da tecnologia de informação;
• Recomendado pelo ISACA (Information System Audit and
Control Foundation);
• Modelo de gestão de TI
• Framework;
• controle de objetivos;
• mapas de auditoria;
• ferramentas para sua implementação;
• guia de técnicas de gerenciamento.
• Meio para otimizar o investimento (ROI);
• fornece métricas para avaliação de resultados.
[email protected] / [email protected] /@allanpitter
28
9. Segurança no contexto da governança de 9. Segurança no contexto da governança de
TITI
COBIT - Controle Objectives for Information and Related
Technology
• Framework para a gestão da tecnologia de informação;
• Recomendado pelo ISACA (Information System Audit and
Control Foundation);
• Modelo de gestão de TI
• Framework;
• controle de objetivos;
• mapas de auditoria;
• ferramentas para sua implementação;
• guia de técnicas de gerenciamento.
• Meio para otimizar o investimento (ROI);
• fornece métricas para avaliação de resultados.
ALLAN PITER PRESSI
[email protected] / [email protected] /@allanpitter
29
9. Segurança no contexto da governança de 9. Segurança no contexto da governança de
TITI
Planejar e Organizar
• Definir o plano estratégico de TI e orientações;
• Definir a arquitetura de informações;
• Determinar o gerenciamento tecnológico
• Definir os processos de TI, organização e relacionamentos;
• Gerenciar o investimento em TI;
• Comunicar os objetivos de gerenciamento e orientar;
• Gerenciar os recursos humanos de TI;
• Gerenciar a qualidade;
• Estimar e gerenciar os riscos de TI;
• Gerenciar projetos.
[email protected] / [email protected] /@allanpitter
29
9. Segurança no contexto da governança de 9. Segurança no contexto da governança de
TITI
Planejar e Organizar
• Definir o plano estratégico de TI e orientações;
• Definir a arquitetura de informações;
• Determinar o gerenciamento tecnológico
• Definir os processos de TI, organização e relacionamentos;
• Gerenciar o investimento em TI;
• Comunicar os objetivos de gerenciamento e orientar;
• Gerenciar os recursos humanos de TI;
• Gerenciar a qualidade;
• Estimar e gerenciar os riscos de TI;
• Gerenciar projetos.
ALLAN PITER PRESSI
[email protected] / [email protected] /@allanpitter
30
9. Segurança no contexto da governança de 9. Segurança no contexto da governança de
TITI
Adquirir e Implementar
• Identificar soluções automatizadas;
• Adquirir e manter software de aplicação;
• Adquirir e manter infra-estrutura de tecnologia;
• Habilitar operações e uso;
• Obter recursos de TI;
• Gerenciar mudanças;
• Instalar e credenciar soluções e mudanças.
[email protected] / [email protected] /@allanpitter
30
9. Segurança no contexto da governança de 9. Segurança no contexto da governança de
TITI
Adquirir e Implementar
• Identificar soluções automatizadas;
• Adquirir e manter software de aplicação;
• Adquirir e manter infra-estrutura de tecnologia;
• Habilitar operações e uso;
• Obter recursos de TI;
• Gerenciar mudanças;
• Instalar e credenciar soluções e mudanças.
ALLAN PITER PRESSI
[email protected] / [email protected] /@allanpitter
31
9. Segurança no contexto da governança de 9. Segurança no contexto da governança de
TITI
Entregar e Dar suporte
• Definir e gerenciar níveis de serviço;
• Gerenciar Serviços de Terceiros;
• Gerenciar performance e capacidade;
• assegurar serviço contínuo;
• assegurar segurança de sistemas;
• Identificar e alocar recursos;
• Treinar usuários;
• Gerenciar serviços de escritório e incidentes;
• Gerenciar a configuração;
• Gerenciar problemas;
• Gerenciar dados;
• Gerenciar o ambiente físico;
• Gerenciar operações.
[email protected] / [email protected] /@allanpitter
31
9. Segurança no contexto da governança de 9. Segurança no contexto da governança de
TITI
Entregar e Dar suporte
• Definir e gerenciar níveis de serviço;
• Gerenciar Serviços de Terceiros;
• Gerenciar performance e capacidade;
• assegurar serviço contínuo;
• assegurar segurança de sistemas;
• Identificar e alocar recursos;
• Treinar usuários;
• Gerenciar serviços de escritório e incidentes;
• Gerenciar a configuração;
• Gerenciar problemas;
• Gerenciar dados;
• Gerenciar o ambiente físico;
• Gerenciar operações.
ALLAN PITER PRESSI
[email protected] / [email protected] /@allanpitter
32
9. Segurança no contexto da governança de 9. Segurança no contexto da governança de
TITI
Monitorar e avaliar
• Monitorar os processos;
• Assegurar avaliação dos controles internos;
• Obter avaliação independente;
• Prover auditoria independente.
[email protected] / [email protected] /@allanpitter
32
9. Segurança no contexto da governança de 9. Segurança no contexto da governança de
TITI
Monitorar e avaliar
• Monitorar os processos;
• Assegurar avaliação dos controles internos;
• Obter avaliação independente;
• Prover auditoria independente.
ALLAN PITER PRESSI
[email protected] / [email protected] /@allanpitter
33
9. Segurança no contexto da governança de 9. Segurança no contexto da governança de
TITI
ITIL – Information technology infrastructure library
• Modelo de gerenciamento mais aceito mundialmente;
• desenvolvido a partir de pesquisas pela Secretaria de Comércio;
• Hoje é a norma BS-15000, sendo um anexo da ISO/IEC
9000/2000;
• Foco é descrever processos necessários para gerenciar infra-
estrutura de TI eficientemente e garantir o nível de serviço para
clientes internos e externos.
[email protected] / [email protected] /@allanpitter
33
9. Segurança no contexto da governança de 9. Segurança no contexto da governança de
TITI
ITIL – Information technology infrastructure library
• Modelo de gerenciamento mais aceito mundialmente;
• desenvolvido a partir de pesquisas pela Secretaria de Comércio;
• Hoje é a norma BS-15000, sendo um anexo da ISO/IEC
9000/2000;
• Foco é descrever processos necessários para gerenciar infra-
estrutura de TI eficientemente e garantir o nível de serviço para
clientes internos e externos.
ALLAN PITER PRESSI
[email protected] / [email protected] /@allanpitter
34
9. Segurança no contexto da governança de 9. Segurança no contexto da governança de
TITI
ITIL – Information technology infrastructure library
Processos que fazem parte do modelo:
Planejamento de serviços, gerenciamento de incidentes,
problemas, mudanças, configuração, operações, segurança,
capacidade, disponibilidade, custos, entrada em produção e
testes;
Gerar valor de TI para o negócio e provar esse valor de maneira
adequada, através de processos corretos.
[email protected] / [email protected] /@allanpitter
34
9. Segurança no contexto da governança de 9. Segurança no contexto da governança de
TITI
ITIL – Information technology infrastructure library
Processos que fazem parte do modelo:
Planejamento de serviços, gerenciamento de incidentes,
problemas, mudanças, configuração, operações, segurança,
capacidade, disponibilidade, custos, entrada em produção e
testes;
Gerar valor de TI para o negócio e provar esse valor de maneira
adequada, através de processos corretos.
ALLAN PITER PRESSI
[email protected] / [email protected] /@allanpitter
35
9. Segurança no contexto da governança de 9. Segurança no contexto da governança de
TITI
ITIL – Information technology infrastructure library
Possui disciplinas Táticas e operacionais
Disciplinas Táticas:
• Service Level Management;
• IT Service Continuit Management;
• Financial Management;
• Capacity Management;
• Availability Management.
[email protected] / [email protected] /@allanpitter
35
9. Segurança no contexto da governança de 9. Segurança no contexto da governança de
TITI
ITIL – Information technology infrastructure library
Possui disciplinas Táticas e operacionais
Disciplinas Táticas:
• Service Level Management;
• IT Service Continuit Management;
• Financial Management;
• Capacity Management;
• Availability Management.
ALLAN PITER PRESSI
[email protected] / [email protected] /@allanpitter
36
9. Segurança no contexto da governança de 9. Segurança no contexto da governança de
TITI
Service Level Management
• Planejar;
• Coodernar;
• Monitorar Acordo de SLA;
• Requirementos de Qualidade;
• Custos
[email protected] / [email protected] /@allanpitter
36
9. Segurança no contexto da governança de 9. Segurança no contexto da governança de
TITI
Service Level Management
• Planejar;
• Coodernar;
• Monitorar Acordo de SLA;
• Requirementos de Qualidade;
• Custos
ALLAN PITER PRESSI
[email protected] / [email protected] /@allanpitter
37
9. Segurança no contexto da governança de 9. Segurança no contexto da governança de
TITI
IT Service Continuity Management
• Gerenciamento de recursos organizacionais;
• Manutenção dos serviços que suportam os negócios;
• garantir o suporte mínimo aos processos de negócios;
• ciclo continuo de avaliação de riscos;
• Garantia do uso de PCN.
[email protected] / [email protected] /@allanpitter
37
9. Segurança no contexto da governança de 9. Segurança no contexto da governança de
TITI
IT Service Continuity Management
• Gerenciamento de recursos organizacionais;
• Manutenção dos serviços que suportam os negócios;
• garantir o suporte mínimo aos processos de negócios;
• ciclo continuo de avaliação de riscos;
• Garantia do uso de PCN.
ALLAN PITER PRESSI
[email protected] / [email protected] /@allanpitter
38
9. Segurança no contexto da governança de 9. Segurança no contexto da governança de
TITI
Financial Management
• Gerenciamento do Budget de TI e Serviços
Capacity Management
• Monitorar, análise e planejamento do uso dos recursos
computacionais, concentrando em métricas e condições ótimas
de operação.
Availability Management
• Otimizar a capacidade de infra-estrutura de TI, suporte e
serviços, custo efetivo, nível de disponibilidade.
[email protected] / [email protected] /@allanpitter
38
9. Segurança no contexto da governança de 9. Segurança no contexto da governança de
TITI
Financial Management
• Gerenciamento do Budget de TI e Serviços
Capacity Management
• Monitorar, análise e planejamento do uso dos recursos
computacionais, concentrando em métricas e condições ótimas
de operação.
Availability Management
• Otimizar a capacidade de infra-estrutura de TI, suporte e
serviços, custo efetivo, nível de disponibilidade.
ALLAN PITER PRESSI
[email protected] / [email protected] /@allanpitter
39
9. Segurança no contexto da governança de 9. Segurança no contexto da governança de
TITI
Disciplinas Operacionais
• Incidente Management;
• Reduzir o tempo de indisponibilidade dos serviços.
• Problem Management;
• Minimizar o impacto ao negócio ocasionado pelas diversas
causas (erros, problemas, infra, riscos, etc.)
• Configuration Management;
• Gerenciar e controlar ativos de TI e itens de configuração.
• Change Management;
• Controle das mudanças ao ambiente, evitando problemas e
erros ocasionados por essas mudanças.
• Release Management.
• Previne a indisponibilidade do serviço, garantindo que as
instalç~eos de versões de hardware e software estejam
seguras, autorizadas e devidamente testadas.
[email protected] / [email protected] /@allanpitter
39
9. Segurança no contexto da governança de 9. Segurança no contexto da governança de
TITI
Disciplinas Operacionais
• Incidente Management;
• Reduzir o tempo de indisponibilidade dos serviços.
• Problem Management;
• Minimizar o impacto ao negócio ocasionado pelas diversas
causas (erros, problemas, infra, riscos, etc.)
• Configuration Management;
• Gerenciar e controlar ativos de TI e itens de configuração.
• Change Management;
• Controle das mudanças ao ambiente, evitando problemas e
erros ocasionados por essas mudanças.
• Release Management.
• Previne a indisponibilidade do serviço, garantindo que as
instalç~eos de versões de hardware e software estejam
seguras, autorizadas e devidamente testadas.
ALLAN PITER PRESSI
[email protected] / [email protected] /@allanpitter
40
9. Segurança no contexto da governança de 9. Segurança no contexto da governança de
TITI
[email protected] / [email protected] /@allanpitter
40
9. Segurança no contexto da governança de 9. Segurança no contexto da governança de
TITI
ALLAN PITER PRESSI
[email protected] / [email protected] /@allanpitter
41
9. Segurança no contexto da governança de 9. Segurança no contexto da governança de
TITI
[email protected] / [email protected] /@allanpitter
41
9. Segurança no contexto da governança de 9. Segurança no contexto da governança de
TITI
ALLAN PITER PRESSI
[email protected]
43
Informações para contato:Informações para contato:
Allan Piter PressiAllan Piter Pressi\\
[email protected]@terra.com.br
[email protected]@dnainfo.com.br
@allanpitter@allanpitter
http://www.dnainfo.com.br/http://www.dnainfo.com.br/
[email protected]
43
Informações para contato:Informações para contato:
Allan Piter PressiAllan Piter Pressi\\
[email protected]@terra.com.br
[email protected]@dnainfo.com.br
@allanpitter@allanpitter
http://www.dnainfo.com.br/http://www.dnainfo.com.br/
Categories
GeneralDownload
Download Slideshow Get the original presentation fileQuick Actions
Statistics
- Views 12,204
- Slides 43
- Favorites 6
- Age 5565 days
Related Slideshows
22
Pray For The Peace Of Jerusalem and You Will Prosper
RodolfoMoralesMarcuc
32 views
26
Don_t_Waste_Your_Life_God.....powerpoint
chalobrido8
33 views
31
VILLASUR_FACTORS_TO_CONSIDER_IN_PLATING_SALAD_10-13.pdf
JaiJai148317
31 views
14
Fertility awareness methods for women in the society
Isaiah47
30 views
35
Chapter 5 Arithmetic Functions Computer Organisation and Architecture
RitikSharma297999
27 views
5
syakira bhasa inggris (1) (1).pptx.......
ourcommunity56
29 views