O documento discute a importância da governança de TI e segurança da informação, destacando que ambas lidam com pessoas, processos e tecnologias. A governança de TI alinha objetivos com o negócio e otimiza recursos, enquanto a segurança da informação protege ativos, gerencia riscos e atende requisitos legais. O documento também apresenta os frameworks Cobit e ISO 27000, que fornecem melhores práticas para governança e segurança.
1. Governança de TI e Segurança da
Informação
Luís Segadas - CISSP, CISA
2. Objetivo
Apresentar o papel da segurança da informação no contexto de governança
de TI, com destaque para o processo de gestão de riscos e os benefícios
trazidos pela sua implementação.
3. Governança e Segurança
Governança e Segurança são duas faces da mesma moeda.
Devem se preocupar com Pessoas, Processos e Tecnologias.
4. Governança - Por que?
Alinhar objetivos de TI com o negócio
Automatizar, padronizar e unificar processos de TI
Otimizar o uso dos recursos
Gerenciar riscos apropriadamente
Facilitar auditoria
Conformidade com partes externas
Fonte: Cobit.
5. Segurança - Por que?
Proteger os ativos, o negócio e a reputação
Alinhar o que proteger com o negócio
Gerenciar riscos
Mais facilidades, mais ameaças
As ameaças são cada vez mais digitais
Informação está em várias mídias
Aspectos legais e regulatórios
Fonte: ISO 27000.
6. Um pouco sobre a ISO 27000
Normas ISO (No Brasil são editadas pela ABNT)
ABNT NBR ISO IEC (Número):(Ano de criação ou última revisão)
27001:2006 - Gestão de Segurança da Informação
27002:2005 - Requisitos (antiga 17799)
27005:2008 - Gestão de Riscos de TI
27004:2010 - Métricas.
7. Mapa: Cobit e ISO 27000
Cobit
Information Criteria
Effectiveness, efficiency, confidentiality, integrity, availability, compliance,
reliability
Resources
Application, information, infrastructure, people
ISO 27000
8. Mapa: Cobit e ISO 27002
Process and Domains 1 2 3 4 5 6 7 8 9 10 11 12 13
Plan and Organize
Acquire and Implement
Deliver and Support
Monitor and Evaluate
Process and Domains 1 2 3 4 5 6 7 8 9 10 11 12 13
Plan and Organize
Acquire and Implement
Deliver and Support
Monitor and Evaluate
Process and Domains 1 2 3 4 5 6 7 8 9 10 11 12 13
Plan and Organize
Acquire and Implement
Deliver and Support
Monitor and Evaluate
Process and Domains 1 2 3 4 5 6 7 8 9 10 11 12 13
Plan and Organize
Acquire and Implement
Deliver and Support
Monitor and Evaluate
Process and Domains 1 2 3 4 5 6 7 8 9 10 11 12 13
Plan and Organize
Acquire and Implement
Deliver and Support
Monitor and Evaluate
Não existe processo do Cobit
Menos de 15 requerimentos foram mapeados
Entre 15 e 29 requerimentos foram mapeados
Mais de 30 foram mapeados
Legenda
12. ISO 27001 e 27002
5. Política de Segurança
6. Segurança organizacional
7. Gestão de ativos
8. Segurança em RH
9. Segurança física e de ambiente
10. Gerenciamento de operações e comunicação
11. Controle de acesso
12. Aquisição, desenvolvimento e manutenção de sistemas
13. Gestão de incidentes
14. Gestão de continuidade de negócios
15. Conformidade.
13. ISO 27005
Específica de Gestão de Riscos em TI
Excelente framework e base de conhecimento.
14. Vantagens de gerir riscos
Conhecimento das vulnerabilidades
Tratar o risco como um direcionador da estratégia
Adoção das melhores práticas
15. Ciclo de vida da informação
Manuseio
Transporte
Armazenamento
Descarte
17. Conclusão
Integração entre governança e segurança
Visão holística de segurança da informação, considera pessoas, processos e
tecnologias
Gestão de riscos como direcionador de estratégias.