O documento discute a importância da governança de TI e segurança da informação, destacando que ambas lidam com pessoas, processos e tecnologias. A governança de TI alinha objetivos com o negócio e otimiza recursos, enquanto a segurança da informação protege ativos, gerencia riscos e atende requisitos legais. O documento também apresenta os frameworks Cobit e ISO 27000, que fornecem melhores práticas para governança e segurança.

1. Governança de TI e Segurança da
Informação
Luís Segadas - CISSP, CISA

2. Objetivo
Apresentar o papel da segurança da informação no contexto de governança
de TI, com destaque para o processo de gestão de riscos e os benefícios
trazidos pela sua implementação.

3. Governança e Segurança
Governança e Segurança são duas faces da mesma moeda.
Devem se preocupar com Pessoas, Processos e Tecnologias.

4. Governança - Por que?
Alinhar objetivos de TI com o negócio
Automatizar, padronizar e unificar processos de TI
Otimizar o uso dos recursos
Gerenciar riscos apropriadamente
Facilitar auditoria
Conformidade com partes externas
Fonte: Cobit.

5. Segurança - Por que?
Proteger os ativos, o negócio e a reputação
Alinhar o que proteger com o negócio
Gerenciar riscos
Mais facilidades, mais ameaças
As ameaças são cada vez mais digitais
Informação está em várias mídias
Aspectos legais e regulatórios
Fonte: ISO 27000.

6. Um pouco sobre a ISO 27000
Normas ISO (No Brasil são editadas pela ABNT)
ABNT NBR ISO IEC (Número):(Ano de criação ou última revisão)
27001:2006 - Gestão de Segurança da Informação
27002:2005 - Requisitos (antiga 17799)
27005:2008 - Gestão de Riscos de TI
27004:2010 - Métricas.

7. Mapa: Cobit e ISO 27000
Cobit
Information Criteria
Effectiveness, efficiency, confidentiality, integrity, availability, compliance,
reliability
Resources
Application, information, infrastructure, people
ISO 27000

8. Mapa: Cobit e ISO 27002
Process and Domains 1 2 3 4 5 6 7 8 9 10 11 12 13
Plan and Organize
Acquire and Implement
Deliver and Support
Monitor and Evaluate
Process and Domains 1 2 3 4 5 6 7 8 9 10 11 12 13
Plan and Organize
Acquire and Implement
Deliver and Support
Monitor and Evaluate
Process and Domains 1 2 3 4 5 6 7 8 9 10 11 12 13
Plan and Organize
Acquire and Implement
Deliver and Support
Monitor and Evaluate
Process and Domains 1 2 3 4 5 6 7 8 9 10 11 12 13
Plan and Organize
Acquire and Implement
Deliver and Support
Monitor and Evaluate
Process and Domains 1 2 3 4 5 6 7 8 9 10 11 12 13
Plan and Organize
Acquire and Implement
Deliver and Support
Monitor and Evaluate
Não existe processo do Cobit
Menos de 15 requerimentos foram mapeados
Entre 15 e 29 requerimentos foram mapeados
Mais de 30 foram mapeados
Legenda

9. ISACA - Information Systems Audit and Control Association

10. ISACA - Information Systems Audit and Control Association

11. ISACA - Information Systems Audit and Control Association

12. ISO 27001 e 27002
5. Política de Segurança
6. Segurança organizacional
7. Gestão de ativos
8. Segurança em RH
9. Segurança física e de ambiente
10. Gerenciamento de operações e comunicação
11. Controle de acesso
12. Aquisição, desenvolvimento e manutenção de sistemas
13. Gestão de incidentes
14. Gestão de continuidade de negócios
15. Conformidade.

13. ISO 27005
Específica de Gestão de Riscos em TI
Excelente framework e base de conhecimento.

14. Vantagens de gerir riscos
Conhecimento das vulnerabilidades
Tratar o risco como um direcionador da estratégia
Adoção das melhores práticas

15. Ciclo de vida da informação
Manuseio
Transporte
Armazenamento
Descarte

16. Barreiras da segurança (5D)
Desestimular
Dificultar
Detectar
Deter
Diagnosticar

17. Conclusão
Integração entre governança e segurança
Visão holística de segurança da informação, considera pessoas, processos e
tecnologias
Gestão de riscos como direcionador de estratégias.

18. Fonte
Cobit 4.1
Cobit Mapping - Mapping of ISOIEC 17799:2005 with Cobit 4.0
ABNT NBR ISO/IEC 27001:2006
ABNT NBR ISO/IEC 27002:2005
ABNT NBR ISO/IEC 27005:2008

19. Links úteis
www.isaca.org
www.abnt.org.br
www.iso.org
www.isc2.org
www.iso27001certificates.com

20. FIM
Luís Segadas (CISSP, CISA)
luis.segadas@prof.infnet.edu.br
lgsegadas@gmail.com