SGSI um desafio. SGSI um desafio ARTIGO. Artigo Sistema de gestão, Segurança da informação, Slides, Desafios. Artigo 1

Transcrição

1 ARTIGO SGSI um desafio Artigo Sistema de gestão, Segurança da informação, Slides, Desafios Artigo 1

2 SGSI UM DESAFIO Grandes mudanças e grandes atividades devem ser motivadas por alguns elementos que podem ter sua origem em agentes externos ou internos; técnicos, normativos ou de negócios. A implantação de um processo de gestão busca aumento da maturidade da organização e melhor visibilidade, quer seja da área envolvida na implementação do sistema de gestão, quer seja para a organização como um todo que passa a demonstrar mais transparência e preocupação pela melhoria dos seus processos produtivos. E quando o foco do processo de gestão está relacionado à questões de segurança da informação, muito provavelmente a proposta está relacionada ao atendimento de normas, regulações, ou objetivos estratégicos da própria organização que devam demonstrar um nível de comprometimento e preocupação com a governança corporativa em geral. Com a definição de melhores e mais bem estruturados processos de gestão de segurança da informação, outras necessidades passam a surgir como demandas que antes não estariam sequer no radar de preocupações dos gestores. Questões como classificação das informações, mapeamento de perfis funcionais para a correta gestão de identidades e acessos, definição de responsáveis e accountables para gestão de riscos são assuntos que aparecem conforme vai-se aumentando o envolvimento com a implementação de um SGSI Sistema de Gestão de Segurança da Informação. É nesse momento que o board identifica que é inevitável ter alguém que se responsabilize por essas atividades que devem ser tratadas como projetos inicialmente, mas conforme as atividades são realizadas, a tendência é a recorrência de algumas partes do projeto em ciclos, caracterizando um processo. E naturalmente espera-se que os projetos de segurança sejam evoluídos à patamares mais maduros e abrangentes, mirando na abrangência em toda a organização (respeitando apenas o escopo de cada iniciativa). Esses são apenas alguns dos maiores desafios: Conseguir o apoio executivo necessário; definir os planos de ação factíveis; colocar em prática controles honestos que melhorem e contribuam para a visibilidade necessária, além de garantirem a continuidade sustentável das atividades relacionadas à gestão da segurança. Elaboramos um conjunto de slides que tratam justamente do tema SGSI do projeto ao processo no qual procuramos pontuar alguns pontos importantes para serem observados. Esses slides podem ser baixados nesse artigo ou, alternativamente, vistos e baixados em nosso perfil no SlideShare. Convidamos a todos a acessar os slides e compartilharem. Boa leitura. Artigo 2

3 SOBRE A SHIELD SECURITY AS A SERVICE A Shield Security as a Service é dedicada em oferecer soluções de segurança da informação com foco no negócio. As soluções são apresentadas sempre de forma consultiva, visando o melhor atendimento das expectativas de seus clientes. Usando os princípios do GRC (Governança, Riscos e Conformidade), a Shield - Security as a Service procura alinhar suas soluções e projetos às melhores práticas de mercado com foco em segurança da informação e governança de TI, entendendo que essa abordagem propicia melhoria do nível de maturidade corporativa. Dessa forma a Shield procura reduzir os pontos de falha e de não conformidade atendendo os mais variados nichos de mercado. SOBRE A METODOLOGIA DE TRABALHO DA SHIELD Não é de intenção da Shield não aproveitar ou não considerar esforços anteriores, por mais que estejam totalmente defasados. Consideramos o conhecimento histórico das operações da Contratante como material enriquecedor para o entendimento e melhor aproveitamento da força de trabalho. A nossa metodologia de consultoria em segurança da informação é baseada nas boas práticas de governança de TI e na experiência embarcada com os profissionais envolvidos no projeto. O fato de valorizarmos profissionais com certificações na área de governança de TI, de segurança da informação e gestão de projetos (ex. CISSP, CBCP, MCSO, CISA, CISM, PMP, ITIL, CobiT, Auditor Líder ISO27001, etc.) comprova que buscamos sempre ter em nossas equipes os melhores e mais bem preparados profissionais da área. Artigo 3

4 AS VERTICAIS DA SHIELD Gestão de SI: Com foco nas atividades relacionadas ao sistema de gestão de segurança da informação, oferecemos suporte e atendemos a projetos de: Análise e avaliação de riscos Formação e manutenção de equipe de SI Suporte decisório à equipe de SI (Security Advisory) Classificação da informação Elaboração e revisão de políticas e normas Continuidade de negócios: Como suporte operacional e estratégico a garantir as atividades criticas da organização, atendemos a projetos de: Identificação e estudo de agentes de ameaça Suporte na elaboração e avaliação do Plano de Continuidade de Negócios (PCN) Auditoria do PCN Treinamento e segurança comportamental: Oferecemos suporte e treinamentos pontuais através de projetos de: Workshops de segurança Treinamentos presenciais ou pela internet Desenvolvimento de campanhas de segurança Elaboração de material de conscientização em segurança da informação Auditoria de SI: Com o foco em segurança da informação, atendemos a projetos de: Suporte para adequação ao PCI-DSS (pré-auditoria) Elaboração de programas de auditoria genéricos ou específicos para processos críticos (ex. PCN, SGSI, Governança de TI, etc.) Realização de auditorias em normas internacionais como ISO27001 e SOx Artigo 4

5 R. Álvaro Alvim, 33 cj.1223 Centro Rio de Janeiro, RJ web: SlideShare: Artigo