Gesto de Riscos no contexto

da NBR ISO/IEC 27005

Alberto Bastos, CISSP, MCSO
abastos@modulo.com.br
Scio-Fundador da Mdulo
Coordenador da CEE Gesto de Riscos ABNT

Mdulo Copyright Todos os direitos reservados

Mdulo Copyright Todos os direitos reservados

Development of standards for the

protection of information and ICT.
SC27: IT Security Techniques

Mdulo Copyright Todos os direitos reservados

Srie ISO/IEC 27000

Mdulo Copyright Todos os direitos reservados

NBR Norma Brasileira

Mdulo Copyright Todos os direitos reservados

NBR
ISO/IEC 27005

Mdulo Copyright Todos os direitos reservados

Escopo

Diretrizes

Diretrizes para gesto de riscos de segurana da informao...

... de acordo com a ABNT NBR ISO/IEC 27001...
... facilita a implementao satisfatria da segurana da
informao tendo como base a gesto de riscos.
... se aplica a todos os tipos de organizao.
Mdulo Copyright Todos os direitos reservados

Termos e Definies
Impacto
Mudana adversa no nvel
obtido dos objetivos de
negcios

Mdulo Copyright Todos os direitos reservados

Risco

A possibilidade de uma determinada ameaa explorar

vulnerabilidades de um ativo ou de um conjunto de ativos,
desta maneira prejudicando a organizao
NOTA: Medido pela combinao da probabilidade de um evento e
sua conseqncia.
ABNT ISO/IEC Guia 73:2005
Mdulo Copyright Todos os direitos reservados

Viso Geral
27005
(Organizao da norma)

. Viso geral do processo

. Definio do contexto
. Anlise/avaliao de riscos
. Tratamento do risco
. Aceitao do risco
. Comunicao do risco
. Monitoramento e anlise
crtica de riscos
. ANEXOS

Mdulo Copyright Todos os direitos reservados

Tratamento do Risco

Mdulo Copyright Todos os direitos reservados

Para onde vamos?

Mdulo Copyright Todos os direitos reservados

Disco rgido de 5MB,

lanado pela IBM em 1956
no primeiro computador
com Hard Disk, pesava 1 tonelada!

Mdulo Copyright Todos os direitos reservados

ORAMENTO DA
SEGURANA

Mdulo Copyright Todos os direitos reservados

Information Security Governance

Nunca na histria tivemos to formidvel tecnologia. Todo o avano
cientfico conhecido pela humanidade foi incorporado no projeto.
Os controles operacionais so a prova de falhas!
E.J. Smith, Captain of the Titanic

Mdulo Copyright Todos os direitos reservados

F X Confiana
Santo Isidoro de Sevilha

Orao para antes da ligao Internet

Deus Todo-Poderoso e eterno, que nos
criastes vossa imagem e nos
mandastes buscar tudo quanto bom,
verdadeiro e belo, ...
Ns Vos pedimos, que por intercesso de
Santo Isidoro, que durante nossas
viagens na Internet movamos nossas
mos e nossos olhos para somente ao
que Vos agrada, e que tratemos com
caridade e pacincia todos as almas
que encontrarmos.
Por Jesus Cristo Nosso Senhor.
Amm.
Mdulo Copyright Todos os direitos reservados

F X Confiana
Santo Isidoro de Sevilha

NBR ISO 27001

vs

Mdulo Copyright Todos os direitos reservados

Mdulo Copyright Todos os direitos reservados

Mdulo Copyright Todos os direitos reservados

ISO 31000
ISO 31000: Principles and Guidelines on Risk Management
ISO Guide 73: Concepts and Vocabulary
Cingapura Meeting Nov/2008
Lanamento em 2009

Mdulo Copyright Todos os direitos reservados

Gesto de Riscos nas

organizaes
Atividades coordenadas para dirigir
e controlar uma organizao com
relao ao risco

Mdulo Copyright Todos os direitos reservados

ISO 31000
Gesto de Riscos - Framework

Mdulo Copyright Todos os direitos reservados

ISO 31000
Gesto de Riscos - Processo

Mdulo Copyright Todos os direitos reservados

Gesto de Riscos Empresariais

SMS

Seguros
TI

ERM

Segurana da
Informao
Estratgia
Integrao

Modelos isolados

Mdulo Copyright Todos os direitos reservados

Gesto por Indicadores

Mdulo Copyright Todos os direitos reservados

Chief Risk Office

Mdulo Copyright Todos os direitos reservados

GCN

Mdulo Copyright Todos os direitos reservados

ABNT NBR 15999

Gesto de Continuidade de Negcios
NBR 15999-1:2007
Cdigo de Prtica
Norma BS 25999-1:2006

NBR 15999-2:2008
Certificao

Mdulo Copyright Todos os direitos reservados

Primeiro Banco certificado

BS 25999 no mundo!

Mdulo Copyright Todos os direitos reservados

Gesto de Compliance

Mdulo Copyright Todos os direitos reservados

Governance + Risk + Compliance

Mdulo Copyright Todos os direitos reservados

GRC Categorias

No final do ano, mais de

40% das grandes
empresas tero
implementado 4 ou mais
das 8 funes bsicas
de IT GRCM
(80% provvel)

Mdulo Copyright Todos os direitos reservados

Automao da Gesto de Riscos

umentar a produtividade da equipe

rocesso estruturado e replicvel

oleta automtica de informaes

nformaes centralizadas

elatrios, grficos e consultas

ontinuidade e Histrico dos riscos

Mdulo Copyright Todos os direitos reservados

Como podemos ajudar?

Inventrio heterogneo
ERM
Bases de conhecimento
Coleta heterognea
Anlise
Relatrios
Painel de Controle (dashboard)
Workflow (corretivo e preventivo)
Plano de Contingncia
Gesto de Polticas

Mdulo Copyright Todos os direitos reservados

Para saber mais sobre GRC

Participe do sorteio de uma vaga!

Carto de visita no estande da Mdulo.

Mdulo Copyright Todos os direitos reservados

Participe do sorteio de uma vaga!

Carto de visita no estande da Mdulo.

Mdulo Copyright Todos os direitos reservados

Obrigado!
Alberto Bastos, CISSP, MCSO
abastos@modulo.com.br
(21) 2123-4646

Mdulo Copyright Todos os direitos reservados

MUITO OBRIGADO !!

Mdulo Copyright Todos os direitos reservados