j=~==p~~=~=f~== d==p==qf s=m~=~=fplOTMMN==fplOMMMM

fplOTMMNWOMMS fplOMMMMWOMNN

^~
Keyassociados Instrutor Cronograma Participantes

m~~
Fundamentos e Viso Geral Conceitos bsicos do sistema de gesto Planejamento e Implementao de Segurana da Informao e Gesto de Servios de TI Benefcios da adoo das melhores prticas Processo de certificao Encerramento

l==t=

Melhores prticas de Segurana da Informao e Gesto de Servios com base nos padres normativos ISO 27001 e ISO 20000 . Importncia da implementao de um Sistema de Gesto com o estabelecimento de controles e procedimentos direcionados aos requisitos do negcio do cliente.

crka^jbkqlp=b=sfpl=dbo^i

l===~=~~=fpl\
A ISO International Organization for Standardization uma organizao sediada em Genebra, na Sua. Foi fundada em 1946. A siga ISO foi originada da palavra isonomia. O propsito da ISO desenvolver e promover normas que possam ser utilizadas igualmente por todos os pases Cerca de 111 pases integram esta importante organizao internacional, especializada em padronizao, cujos membros so entidades normativas de mbito nacional. O Brasil representado pela Associao Brasileira de Normas Tcnicas - ABNT

fpl=OMMMM
ISO 20000 Tecnologia da Informao Gesto de servios Parte 1: Especificao - Requisitos do sistema de gesto de Parte 2: Cdigo de Prtica ISO 20000:2011 Tecnologia da Informao Gesto de servios Parte 1: Requisitos do sistema de gesto de servios servios

Gesto de Servios

fpl=OTMMN
ISO 27001 Tecnologia da Informao Tcnicas de Segurana Sistema de Gesto de Segurana da Informao: Requisitos ISO 27002 Tecnologia da Informao Tcnicas de Segurana Cdigo de Prtica para a Gesto da Segurana da Informao

Gesto da Segurana da Informao

fplOMMMM q~=~=f~= d====qf

fplLfb`=OMMMM= m~==~~=~~==~==
O padro est alinhado com a ITL, mas so independentes Os padres verificam se o conceito de Gerenciamento de Servios de forma geral est sendo fornecido corretamente Define um nvel de qualidade para as atividades de GSTI as quais podem ser auditadas Fixa-se no padro do ciclo de qualidade PLAN DO CHECK ACT A certificao ISO/IEC 20000 fornece uma base para certificar-se que uma organizao tenha implementado os processos de gerenciamento de servios e os usa de forma consistente dentro da organizao

fplLfb`=OMMMMW m
Promover a adoo de um processo integrado para entregar servios que satisfaam os requisitos do negcio e do cliente. Introduz uma cultura de servios e prov as metodologias. Enfatiza processos para apoiar a qualidade real de fornecimento Ajuda a gerar receita ou a obter um custo efetivo via um gerenciamento de servio profissional Conformidade com as melhores prtica Transforma departamentos focados em tecnologia em departamentos focados em servios Melhora a confiabilidade e disponibilidade dos sistemas Prover uma base para acordos de nvel de servio

fplLfb`=OMMMMW m==~~\
Ganho em marketing / vantagem competitiva Ajuda a atender conformidades regulatrias Alinhada com a famlia ISO 9001 & ISO 27001 Guia de melhores prticas Melhora os seus processos de TI e reduz custos O clima da equipe melhora ao trabalhar em um ambiente controlado Organizaes so cada vez mais dependentes de TI Demandas de usurio continuam crescendo Infra-Estrutura so cada vez mais complexas H uma falta de orientao, padres aceitos ou publicao de melhores prticas para gesto de servios de TI

fplLfb`=OMMMMW _
Adoo de abordagem de processos para entregar servios gerenciados satisfazendo requisitos do negcio e satisfao dos clientes. Eleva o perfil do departamento de TI das organizaes. Entrega de servios a custo eficaz! Promove o controle dos processos de Servios de TI e oportunidades de melhorias. Transforma departamentos focados em tecnologia em departamentos focados em servios. Melhora a confiabilidade e disponibilidade de sistemas. Promove uma base para acordos de nvel de servios. Promove a habilidade para medir a qualidade de servios de TI.

fplLfb`=OMMMMW p~==d~==p==qf
Sistema de gesto de servios (SGS)
Consumidor (e outras partes interessadas)

Responsabilidade da direo Estabelecimento do SGS

Governana de processos operados por outras partes Gerenciamento de documentao Gerenciamento de recursos

Consumidor (e outras partes interessadas)

Desenho e transio de servios novos ou modificados Processo de fornecimento de servio

Requisitos de servio
Gerenciamento de nvel de servio Gesto da segurana da informao Gerenciamento de continuidade e disponibilidade de servio Gerenciamento de capacidade Relatos de servio Oramento e contabilizao para servios

Servios

Processos de Controle
Gerenciamento da configurao Gerenciamento de mudanas Gerenciamento de liberao e implantao

Processos de resoluo
Gerenciamento de incidentes e requisies de servio Gerenciamento de problemas

Processos de relacionamento
Gerenciamento de relaes de negcio Gerenciamento de fornecedores

fplLfb`=OMMMMW f~==

fplOTMMN q~=~=f~= p~==d== p~~=~=f~

l===f~\=

Informao um ativo que como

qualquer outro, importante para o negcio, tem valor para a organizao e necessita ser protegido adequadamente.
ISO/ IEC 27002:2005

m=_=~= p~~
DISPONIBLIDADE

Adotar a prtica da Segurana da Informao significa implementar mecanismos e ferramentas que se fundamentem atravs destes princpios. INTEGRIDADE CONFIDENCIALID ADE

l===p~~=~= f~\
Segurana da

Informao a proteo

da Informao de diversos tipos de ameaas para garantir a continuidade dos negcios, minimizar os danos aos negcios e maximizar o retorno dos investimentos e as oportunidades de negcio.
NBR ISO/IEC 27002:2005

`=^~~=~=p~~\
Definir, planejar e implementar um conjunto de mecanismos (controles, Disponibilidade procedimentos, polticas, estrutura organizacional e tecnologia) e prticas que visam Integridade a informao das ameaas que possam proteger comprometer a continuidade das atividades de negcio, Informao por meio da preveno e reduo dos impactos gerados por incidentes de segurana.
Os controles so aplicados conforme modelo da empresa.

Confidencialidade

Cada empresa nica em suas exigncias e requisitos de controle baseado nos princpios bsicos: confidencialidade, integridade e disponibilidade.

l===fpl=L=fb`=OTMMN\

Intitulada Tecnologia da Informao Tcnicas de segurana Sistemas de gesto da segurana da informao - Requisitos a antiga BS7799-2. O objetivo bsico da norma ajudar a estabelecer e manter um sistema de gesto da segurana da informao buscando a melhoria contnua.

b~=~=~ k_o=fplL=fb`=OTMMNWOMMS=
ISO 27001 0 Introduo 1 Objetivo 2 Termos e Definies 3 Estrutura desta Norma 4 Sistema de Gesto de Segurana da Informao 5 Responsabilidade da Direo 6 Auditorias Internas do SGSI 7 Anlise Crtica do SGSI pela Direo 8 Melhoria do SGSI Anexo A Objetivos de Controle e Controles 5 Poltica de segurana da informao 6 Organizando a segurana da informao 7 Gesto de ativos 8 Segurana em recursos humanos 9 Segurana fsica e do ambiente 10 Gerenciamento das operaes e comunicaes 11 Controles de acessos 12 Aquisio, desenvolvimento e manuteno de sistemas de informao 13 Gesto de incidentes de segurana da informao 14 Gesto de continuidade dos negcios 15 Conformidade

m==^~~==o
Identificar os ativos e seus proprietrios, dentro do escopo do SGSI Identificar os impactos das perdas de confidencialidade, integridade e disponibilidade

Identificar as ameaas aos ativos Avaliar probabilidade da real ocorrncia de falhas de segurana e os impactos associados Identificar as vulnerabilidades que podem ser exploradas pelas ameaas Critrios para aceitao ou tratamento

_===pdpf
Fornece meios para a Governana Corporativa da Segurana da Informao; Melhoria da eficcia da Segurana da Informao; Diferencial de mercado devido influncia positiva na imagem e prestgio da companhia, parmetros externos de boa gesto, bem como, um possvel efeito nos valores das aes da companhia; Fornece satisfao e confiana aos parceiros comerciais, e requisitos de clientes; Foco nas responsabilidades dos funcionrios.

_===pdpf
Conformidade legal; Reduz o risco de responsabilidade pela no implementao ou determinao de polticas e procedimentos. Demonstra due deligence; Reduo potencial no valor dos prmios de seguro; Maior conscientizao sobre segurana na organizao; Vantagem competitiva e reduo de custos relacionados com a melhoria da eficincia dos processos e gerenciamento dos custos de segurana; Melhoria do ROI em investimentos de informao, devido ao foco em metas.

j=ma`^
Atuar Implementar melhoramentos identificados do SGSI Tomar aes corretivas e preventivas apropriadas Manter a comunicao com todos os postos principais Validar os melhoramentos Melhoria Contnua

Planejar
Definir o escopo do SGSI e as polticas de segurana da organizao Identificar e calcular os riscos Selecionar controles de objetivos e controles que ajudaro a gerenciar estes riscos Preparar o comunicado de aplicabilidade

Planejar Estabelecer o SGSI Atuar Manter e Melhorar o SGSI Executar Implementar e Operar o SGSI Implementar e Operar o SGSI Implementar e Operar o SGSI

Ciclo de estabelecimento, implementao, operao monitorao, reviso, manuteno e melhoramento

Verificar
Criar os procedimentos de monitorao Conduzir revises peridicas para verificar a efetividade do SGSI Revisar os nveis de riscos aceitveis e residuais Conduzir auditorias internas de SGSI periodicamente Verificar Monitorar e Revisar o SGSI

Executar
Formular e implementar um plano de tratamento de riscos Implementar e operar os controles selecionados anteriormente para atingir os objetivos de controles

fpl=OTMMN
SISTEMA DE GESTO DE SEGURANA DA INFORMAO
Monitorar e revisar o SGSI Estabelecer o SGSI Manter e melhorar SGSI Auditorias internas do SGSI Gesto da continuidade do negcio Controle de Acesso

Implementar e Operar o SGSI Poltica de Segurana Segurana Organizacional Classificao dos Ativos de Informao

Requisitos da documentao

Anlise crtica do SGSI

Responsabilidade de Gesto SGSI

Segurana em pessoas Segurana Fsica

Desenvolvimento de Sistemas Operaes e comunicaes

27

c~===
A Segurana deve ser tratada de forma integrada e no pontual; A arquitetura da segurana deve sempre ser considerada: Pessoas, Tecnologia e Processos; Os profissionais devem ser parte integrante do processo. Um Programa de Conscientizao deve ser implementado ; A Segurana da Informao deve focar no risco de negcio; A prtica de segurana deve ser medida com foco no negcio; A segurana deve ser um processo e no um projeto; Adote melhores prticas de mercado como um guia exemplo ISO IEC 27002, COBIT,...; A seleo dos controles fundamental Otimize a implementao dos controles de segurana; Adote o sistema de gesto (PDCA) para efetivar a prtica de segurana; A certificao de segurana deve ser uma conseqncia da concluso da implementao de gesto de segurana.

o
Alcanamos a segurana da informao atravs da implementao de um conjunto adequado de controles incluindo polticas, procedimentos, estrutura organizacional e funes de hardware e software.

Cada empresa nica em suas exigncias e requisitos de controle e para nveis de confidencialidade, integridade e disponibilidade.

Nem todos s controles e orientaes includas podem ser aplicveis. NBR ISO/IEC 27002:2005

c~~=fplL=fb`=OTMMM=
ISO/IEC 27000 Fundamentals and vocabulary - Published ISO/IEC 27001 ISMS - Requirements - Published, now under revision ISO/IEC 27002 Code of practice for information security management Published, now under revision ISO/IEC 27003 ISMS implementation guidance - Published ISO/IEC 27004 Information security management measurement - Published ISO/IEC 27005 Information security risk management - Published ISO/IEC 27006 Requirements for bodies providing audit and certification of information security management systems - Published ISO/IEC 27007 Guidelines for information security management systems auditing (under development)

`=_==p~== d

31

p~==d
Define-se Sistema de Gesto como:

Um sistema para estabelecer poltica e objetivos e alcanar esses objetivos

ISO 9000, 3.2.2

p~==d
Sistema que estabelece a poltica e seus objetivos e como atingir estes objetivos.

O sistema utilizado pelas organizaes para desenvolver suas polticas e coloc-las em prticas atravs de objetivos e metas, utilizando:

A estrutura organizacional Processos sistemticos e recursos associados Metodologia de medio e avaliao Processo de anlise crtica para assegurar que os problemas sao corrigidos e as oportunidades de melhorias so identificadas e implementadas quando justificadas.

b==p~== d
Poltica Planejamento Implementao Avaliao de Desempenho Melhoria Anlise Crtica da Direo

PLAN

DO

ACT

CHECK

f~==`~

38

p~=_~==`~

b==~~
Auditoria de Pr-certificao: Pr-auditoria (opcional) Auditoria de Documentao (Fase 1) Auditoria de Conformidade (Fase 2)

Auditoria de Ps-Certificao: Auditoria de Manuteno Re-certificao Trienal

l==~~
Evidenciar a conformidade do sistema de gesto Verificar o grau de implementao Verificar a eficcia do sistema de gesto aderncia com a poltica de e seus objetivos. Identificar regras de segurana. Fornecer oportunidade de melhorar o SG.

^~==j~
Deve ser realizada, pelo menos uma vez ao ano. A experincia mostra que essa freqncia no suficiente. Tem como objetivo cobrir o escopo da certificao em um ciclo de 03 anos. O Organismo de Certificao pode decidir realizar auditorias intermedirias com o objetivo de observar uma ou mais no-conformidades significativas identificadas durante as manutenes.

_=~=~
Reduzir o risco de obrigaes prprias e com terceiros pela no implementao ou determinao de polticas e procedimentos. Oportunidade de identificar e corrigir os pontos fracos Alta direo assume paternidade (propriedade) da Segurana da Informao e definio de autoridades e responsabilidades. Reviso independente do sistema de gesto da Segurana da Informao. Oferece confiana aos parceiros comerciais, partes interessadas e clientes (a certificao demonstra due deligence). Melhora a conscientizao sobre segurana em todos os aspectos.

l~~>

i~=i~
r~==k=n~~=C=^ ~]~~KK