Rafael MaiaProfissional/Esdutantil
Estudante independente de GRC(Governança, Risco e Compliance)ITSM and Security EvangelistDiretor de Marketing – SUCESU CEARÁProfessor UniversitárioInstrutor Oficial – EXIN pela HSI InstitutePerito em Computação Forense e Diretor Financeiro – APECOF
FormaçãoFIC
Superior de Formação Específica em Projetos e Implementação de Redes de ComputadoresTecnólogo em Redes de Computadores
FATENEMBA em Gerência de Redes de Computadores e Telecomunicações
CertificaçõesITIL PPO INTERMEDIATE – EXINITIL RCV INTERMEDIATE – EXINITIL SO INTERMEDIATE – EXINITIL OSA INTERMEDIATE – EXINITIL Foundation V2/V3 – EXINISO 20000 Foundation – EXINISO 27002 Foundation – EXINMTA Security Fundamentals - MSGreen IT Citizien – EXIN
29/04/2016 4
Objetivo
Demonstrar como o processo degerenciamento de segurança dainformação(SI) do framework degerenciamento de serviços de TI, ITIL,pode ser utilizado como melhorprática, somando a outras, desegurança cibernética.
29/04/2016 5
IntroduçãoO que é informação?
04/05/2016 7
“Informação é um ativo que, comoqualquer outro ativo, importantepara os negócios, tem valor para aorganização e consequentementenecessita ser adequadamenteprotegida.” – ISO 27002
IntroduçãoDiferença entre dados e Informação
04/05/2016 8
• Dados com significado após seremprocessados por TI são informações quepodem ser: Impressa ou escrita em papel Armazenada Eletronicamente Transmitida pelo correio ou por meios
Eletrônicos Vídeos ou Áudio Verbalizada
IntroduçãoExiste SI antes do ITIL?
04/05/2016 9
• Sim. É a Preservação da confidencialidade, integridade
e disponibilidade da informação; adicionalmente,outras propriedades, tais como autenticidade,responsabilidade, não repúdio e confiabilidade,podem também estar envolvidas – ISO 27001
É a proteção da informação de vários tipos deameaças para garantir a continuidade do negócio,minimizar o risco ao negócio, maximizar o retornosobre os investimentos(ROI) e as oportunidadesde negócio. – ISO 27002
DesenvolvimentoO que é ITIL?
04/05/2016 13
Information Technology Infrastructure Library É um framework que descreve as
melhores práticas em gerenciamento deserviços de TI• Fornece uma estrutura para a Gestão e
Controle dos serviços de TI
• Centra-se na medição e melhoria contínuada qualidade dos serviços de TI entregues
DesenvolvimentoEstágios do Ciclo de Vida do Serviço
04/05/2016 15
Estratégia do Serviço• Estratégia de Serv. de TI
• Financeiro
• Portfólio
• Demanda
• Relacionamento de Negócio
Desenho do Serviço• Coordenação de Desenho
• Catálogo
• Nível de Serviço
• Disponibilidade
• Capacidade
• Continuidade
• Segurança da Informação
• Fornecedor
Transição do Serviço
• Planejamento de Suporte de Transição
• Mudança
• Configuração e Ativo
• Liberação e Implantação
• Serviço de validação e teste
• Avaliação da Mudança
• Conhecimento
Operação do Serviço• Eventos
• Incidentes
• Cumprimento de Requisição
• Problemas
• Acesso
Melhoria Continuada• processo de melhoria em 7 passos
DesenvolvimentoSegurança Cibernética através da "ITIL Security"
04/05/2016 16
O que é SI?
A segurança da informação é um processo degestão dentro da estrutura de governançacorporativa, que fornece a direçãoestratégica para as atividades de segurançae garante que os objetivos sejamalcançados.
DesenvolvimentoSegurança Cibernética através da "ITIL Security"
04/05/2016 17
O que é Governança Corporativa?• É o conjunto de responsabilidades e práticas
exercidas pelo conselho de administração e gestãoexecutiva.
DesenvolvimentoSegurança Cibernética através da "ITIL Security"
04/05/2016 18
O que SI garante?• Os riscos de SI sejam devidamente geridos; e
• Os recursos de informação da empresa são utilizadosde forma responsável.
O que o gerenciamento de SI oferece?• Um foco para todos os aspectos de segurança da TI; e
• Gerencia todas as atividades de segurança da TI.
DesenvolvimentoSegurança Cibernética através da "ITIL Security"
04/05/2016 19
Propósito• Alinhar a segurança de TI com a segurança do
negócio e assegurar que a confidencialidade,integridade e disponibilidade dos ativos,informações, dados da organização e de serviços deTI sempre correspondam às necessidades de negócioacordadas.
DesenvolvimentoSegurança Cibernética através da "ITIL Security"
04/05/2016 20
Objetivo
• Proteger os interesses daqueles quedependem das informações e ossistemas e comunicações queproporcionam a informação, dos danosresultante de falhas de CID
DesenvolvimentoSegurança Cibernética através da "ITIL Security"
04/05/2016 21
Quando é cumprido esse objetivo?1. A informação é absorvida ou divulgadas somente
para aqueles que têm o direito de saber
2. A informação é completa, precisa e protegidoscontra modificações não autorizadas
3. A informação está disponível e utilizável quandonecessário, e os sistemas que fornecem podeapropriadamente resistência a ataques erecuperar ou prevenir falhas
4. As transações comerciais, bem como o intercâmbiode informações entre as empresas, ou comparceiros, possam ser confiáveis
DesenvolvimentoSegurança Cibernética através da "ITIL Security"
04/05/2016 22
Escopo• Operação de negócios atual e seus requisitos de
segurança;
• Planos e requisitos de negócios futuros;
• Requisitos legais e regulamentares;
• Obrigações e responsabilidades em matéria de segurança contidas no ANS´s;e
• A gestão dos riscos de TI e do negócio.
• Política e planos de segurança do negócio;
DesenvolvimentoSegurança Cibernética através da "ITIL Security"
04/05/2016 23
SGSI• Um sistema formal para estabelecer política e
objetivos.
Um SGSI consiste em:• Uma política de segurança da informação principal
e políticas de segurança específicas que tratam cada aspecto da estratégia, controle e regulação;
• Um conjunto de controles de segurança para apoiara política;
• A gestão de riscos de segurança; e • Processos de monitoramento para garantir a conformidade
e fornecer feedback sobre a eficácia.
DesenvolvimentoSegurança Cibernética através da "ITIL Security"
04/05/2016 24
Políticas• Uma política global de segurança da informação.
• Uso e abuso dos ativos de TI política;
• Uma política de controle de acesso;
• Uma política de controle de senha;
• Uma política de e-mail;
• Uma política de internet;
• Uma política antivírus;
• Uma política de classificação da informação;
• A política de classificação de documentos;
• A política de acesso remoto;
• A política relativa ao acesso fornecedor de serviços de TI, ainformação e os componentes;
• A política de violação de direitos autorais de material eletrônico; e
• Uma política de alienação de bens.
DesenvolvimentoSegurança Cibernética através da "ITIL Security"
04/05/2016 25
Políticas• Uma política global de segurança da informação.
• Uso e abuso dos ativos de TI política;
• Uma política de controle de acesso;
• Uma política de controle de senha;
• Uma política de e-mail;
• Uma política de internet;
• Uma política antivírus;
• Uma política de classificação da informação;
• A política de classificação de documentos;
• A política de acesso remoto;
• A política relativa ao acesso fornecedor de serviços de TI, ainformação e os componentes;
• A política de violação de direitos autorais de material eletrônico; e
• Uma política de alienação de bens.
DesenvolvimentoSegurança Cibernética através da "ITIL Security"
04/05/2016 26
SGSI
• Elementos de UM SGSI:• 4P´s – Pessoal, Processos, Produtos e Parceiros
Na figura 3, no próximo slide, mostra umaabordagem que é amplamente utilizada e ébaseada no aconselhamento e orientaçãodescrita em muitas fontes, incluindoISO/IEC 27001.
DesenvolvimentoSegurança Cibernética através da "ITIL Security"
04/05/2016 28
Atividades• Produção e manutenção de uma política global ede apoio específicas
• Comunicação, implementação e execução daspolíticas de segurança• Prestação de aconselhamento e orientação
• Avaliação e classificação de todos os ativos deinformação e documentação
• Implementação, análise, revisão e melhoria doconjunto de controles de segurança e avaliaçãode riscos e respostas, incluindo:• Avaliação do impacto• Implementação de medidas proativas
DesenvolvimentoSegurança Cibernética através da "ITIL Security"
04/05/2016 29
Atividades• Monitoramento e gerenciamento de todas
as violações de segurança e incidentes de segurança
• Monitoramento e gerenciamento de todas asanálises de segurança, relatórios e redução dosvolumes e do impacto de falhas de segurança eincidentes violações e de segurança
• Programação e realização de revisões desegurança, auditorias e testes de penetração
DesenvolvimentoSegurança Cibernética através da "ITIL Security"
04/05/2016 30
O Gestor de SI• Deve garantir que as pessoas, produtos,processos e parceiros estão alinhado e que estáem vigor a política geral desenvolvida e bempublicada; e
• Se responsabilizar pela segurança naarquitetura, autenticação, autorização,administração e recuperação dos ativos de TI
DesenvolvimentoSegurança Cibernética através da "ITIL Security"
04/05/2016 31
Gatilhos• Novas ou alteradas diretrizes de governançacorporativa;
• Novas ou alteradas políticas de segurançaempresarial;
• Novos ou alterados diretrizes e processos degerenciamento de risco corporativo;
• Novas ou alteradas necessidades de negócio ounovas mudanças de serviços;
• Novos ou alterados requerimentos dentro dos acordos como CA´s, ANS´s, ANO´s ou contratos;
• Análise e revisão dos negócios e planose estratégias e modelos de TI.
DesenvolvimentoSegurança Cibernética através da "ITIL Security"
04/05/2016 32
Inputs• Governança Corporativa;
• Informação do Negócio;
• Informações de TI;
• Informações de Serviços
• Processos de avaliação de risco e relatórios;
• Os detalhes de todos os eventos de segurança eviolações;
• De Mudanças;
• SGC; e
• Detalhes de acessos de parceiros e fornecedores.
INPUT
DesenvolvimentoSegurança Cibernética através da "ITIL Security"
04/05/2016 33
OutPuts• Um SGSI;
• Processos de avaliação de riscode segurança revistos e relatórios;
• Um conjunto de controles de segurança;
• As auditorias de segurança e relatórios deauditoria;
• Programações de teste e planos de segurança;
• Um conjunto de classificações de segurança e umconjunto de ativos de informação classificados; e
• Políticas, processos e procedimentos de gestão deparceiros e fornecedores e seu acesso a serviços einformações.
OUTPUT
DesenvolvimentoSegurança Cibernética através da "ITIL Security"
04/05/2016 34
Interfaces• Gerenciamento de nível de serviço;
• Gerenciamento de Acesso;
• Gerenciamento de Mudança;
• Gerenciamentos de Incidente e Problema;
• Gerenciamento de Continuidade de Serviços de TI;
• Gerenciamento de Configuração e Ativo;
• Gerenciamento de Disponibilidade;
• Gerenciamento de Capacidade;
• Gerenciamento Financeiro para Serviçosde TI; e
• Gerenciamento de Fornecedores Parceiros.
DesenvolvimentoSegurança Cibernética através da "ITIL Security"
04/05/2016 35
Fatores Críticos de Sucesso(FCS) e Indicadores(ID)• FCS O negócio está protegido contra violações de segurança?
• ID Diminuição do percentual de violações de segurançarelatado para o servicedesk
• FCS A determinação de uma política é clara e consensual, integradacom as necessidades do negócio?
• ID Diminuição do número de não-conformidades do processo degestão de segurança da informação com a política e processode segurança empresarial.
• FCS Há um mecanismo para a melhoria?
• ID O número de melhorias sugeridas aos procedimentos econtroles de segurança
• FCS A segurança da informação é uma parte integral detodos os serviços de TI e todos os processos de SGSI?• ID Aumento do número de serviços e processos em conformidades com
os procedimentos e controles de segurança
DesenvolvimentoSegurança Cibernética através da "ITIL Security"
04/05/2016 36
Desafios• Garantir que haja um apoio adequado da empresa,segurança empresarial e da gestão sênior; e
• A percepção do negócio é que a segurança é umaresponsabilidade de TI.
DesenvolvimentoSegurança Cibernética através da "ITIL Security"
04/05/2016 37
Riscos• Aumentar requisitos de disponibilidade e robustez;
• Crescente potencial do uso indevidoe abuso de sistemas de informação que afetam os valores de privacidade e ética; e
• Perigos externos de hackers crackers ou hacktivista ou criminoso cibernético, levando a ataques de negação de serviços e vírus, a extorsão, espionagem industrial e vazamento de informações organizacionais ou dados privados.
DesenvolvimentoSegurança Cibernética através da "ITIL Security"
04/05/2016 38
Valor para o Negócio• Garante que uma política de segurança dainformação está mantida e executada atendendo asnecessidades da política de segurança da empresae as exigências de governança corporativa
• Aumenta a consciência da necessidade de segurança em todos os serviços de TI e ativos em toda a organização; e
• Garante que a política é adequadapara as necessidades da organização.
DesenvolvimentoSegurança Cibernética através da "ITIL Security"
04/05/2016 39
Valor para o Negócio• Gerencia todos os aspectos de TI e segurança dainformação em todas as áreas de TI e atividadesde gerenciamento de serviços;
• Garantia dos processos de negócio através da aplicação de controles de segurança apropriados em todas as áreas de TI e de gestão de riscos de TI; e
• Alinhamento com os processos de negócios e gerenciamento de riscoscorporativos e diretrizes.
CONCLUSÃO
04/05/2016 40
Todos os processos dentro daorganização devem incluir consideraçõesde segurança da informação,fortalecendo a segurança cibernética. Eo processo de Gerenciamento deSegurança da Informação, a “ITILSecurity”, pode auxiliar nessa missão.
Referências
04/05/2016 41
Processo de Gerenciamento deSegurança da Informação ITIL 2011
ISO/IEC 27001 e ISO/IEC 27002