Certificação ISO/IEC 27001 - Dataprev

PREVIDÊNCIA SOCIALEMPRESA DE TECNOLOGIA E INFORMAÇÕESDA PREVIDÊNCIA SOCIAL - DATAPREVCertificação ISO/IEC 27001SGSI - Sistema de Gestão de Segurança da InformaçãoA Experiência da DATAPREV

PREVIDÊNCIA SOCIALEMPRESA DE TECNOLOGIA E INFORMAÇÕESDA PREVIDÊNCIA SOCIAL - DATAPREV DATAPREV – Quem somos?Empresa pública vinculada ao Ministério daPrevidência Social, com personalidade jurídica dedireito privado, patrimônio próprio e autonomiaadministrativa e financeira.

PREVIDÊNCIA SOCIALEMPRESA DE TECNOLOGIA E INFORMAÇÕESDA PREVIDÊNCIA SOCIAL - DATAPREV Missão da DATAPREVProver soluções de tecnologia da informação e dacomunicação para o êxito das ações de governo, deforma a preservar o interesse público.

PREVIDÊNCIA SOCIALEMPRESA DE TECNOLOGIA E INFORMAÇÕESDA PREVIDÊNCIA SOCIAL - DATAPREV VisãoSer a principal provedora de soluções em tecnologiada informação e comunicação para a gestão dasinformações previdenciárias, trabalhistas, sociais ede registros civis da população brasileira,reconhecida por sua excelência na prestação deserviços.

PREVIDÊNCIA SOCIALEMPRESA DE TECNOLOGIA E INFORMAÇÕESDA PREVIDÊNCIA SOCIAL - DATAPREV Clientes INSS – Instituto Nacional do Seguro Social MTE – Ministério do Trabalho e Emprego MPS – Ministério da Previdência Social MDS – Ministério do Desenvolvimento Social e Combate à Fome MPOG – Ministério do Planejamento, Orçamento e Gestão SRFB – Secretaria da Receita Federal do Brasil Instituições Financeiras, Privadas, etc.

PREVIDÊNCIA SOCIALEMPRESA DE TECNOLOGIA E INFORMAÇÕESDA PREVIDÊNCIA SOCIAL - DATAPREV Indicadores * Processamento da folha de pagamento• Mais de 26.630.431 benefícios (aposentadorias, pensões,auxílios, entre outros); Valor Líquido de créditos emitidos• Aproximadamente R$ 16.997 bilhões Processamento da GFIP• Aproximadamente 3,5 milhões de documentos/mês Processamento da GPS• Aproximadamente 7 milhões de guias/mês Valor Líquido arrecadado• Aproximadamente 10 bilhões/mês* Atualizado em agosto/2009

PREVIDÊNCIA SOCIALEMPRESA DE TECNOLOGIA E INFORMAÇÕESDA PREVIDÊNCIA SOCIAL - DATAPREV Centros de Processamento CPRJ – Centro de Processamento Rio de Janeiro CPSP – Centro de Processamento São Paulo CPDF – Centro de Processamento Distrito Federal

PREVIDÊNCIA SOCIALEMPRESA DE TECNOLOGIA E INFORMAÇÕESDA PREVIDÊNCIA SOCIAL - DATAPREV CPRJ 570 Empregados 03Mainframes 450 Servidores dePlataformaBaixa 5,78 TB Mainframe 15,38 TB (Baixa)

PREVIDÊNCIA SOCIALEMPRESA DE TECNOLOGIA E INFORMAÇÕESDA PREVIDÊNCIA SOCIAL - DATAPREV Norma ABNT ISO/IEC 27001A Norma 27001 provê um modelo para estabelecer,implementar, operar, monitorar, revisar, manter emelhorar um Sistema de Gestão de Segurança daInformação (SGSI).

PREVIDÊNCIA SOCIALEMPRESA DE TECNOLOGIA E INFORMAÇÕESDA PREVIDÊNCIA SOCIAL - DATAPREV O que é SGSI?É o resultado da aplicação planejada de objetivos,diretrizes, políticas, procedimentos, modelos e outrasmedidas administrativas que, de forma conjunta, definemcomo são reduzidos os riscos para segurança dainformação. Uma empresa que implante a norma ISO27001 acaba por constituir um SGSI.

PREVIDÊNCIA SOCIALEMPRESA DE TECNOLOGIA E INFORMAÇÕESDA PREVIDÊNCIA SOCIAL - DATAPREV Importância da Norma ABNT ISO/IEC 27001Permite que uma empresa construa uma política desegurança baseada em controles eficientes ecustomizados para as necessidades individuais daorganização, protegendo os ativos de informação eproporcionando confiança às partes interessadas.

PREVIDÊNCIA SOCIALEMPRESA DE TECNOLOGIA E INFORMAÇÕESDA PREVIDÊNCIA SOCIAL - DATAPREV Benefícios da utilização de um SGSI Criação de métricas para a gestão de riscos; Visão dos riscos relacionados ao negócio, permitindopriorizar investimentos de acordo com a importânciade cada ativo; Otimização da produtividade da equipe e qualificaçãodo pessoal por meio de bases de conhecimentoconstantemente atualizadas; Informações centralizadas e análise integrada detecnologia, processos e pessoas;

PREVIDÊNCIA SOCIALEMPRESA DE TECNOLOGIA E INFORMAÇÕESDA PREVIDÊNCIA SOCIAL - DATAPREV Benefícios da utilização de um SGSI (cont.) Apoio na implementação dos requisitos de CertificaçãoISO 27001; Redução de investimento e tempo na implementação deframeworks e no atendimento às múltiplas auditorias; Criação dos planos de Continuidade de Negócios comfacilidade para manutenção e recuperação rápida dasinformações procedimentos, alinhado com a normaABNT NBR 15999.

PREVIDÊNCIA SOCIALEMPRESA DE TECNOLOGIA E INFORMAÇÕESDA PREVIDÊNCIA SOCIAL - DATAPREV O que a Norma diz A Norma considera que a adoção de um SGSI deva seruma decisão estratégica para uma Organização; É esperado que a implementação de um SGSI sejaescalada conforme as necessidades da Organização; A Norma pode ser usada para avaliações deconformidade pelas partes interessadas internas eexternas;

PREVIDÊNCIA SOCIALEMPRESA DE TECNOLOGIA E INFORMAÇÕESDA PREVIDÊNCIA SOCIAL - DATAPREV O que a Norma diz A Estratégia do processo para a gestão da segurançada informação de uma Organização encoraja queseus usuários enfatizem a importância de:a) Entendimento dos requisitos de segurança da informação deuma organização e da necessidade de estabelecer umapolítica e objetivos para a segurança da informação;b) Implementação e operação de controles para gerenciar osriscos de segurança da informação de uma organização, nocontexto dos riscos de negócio globais da organização;c) Monitoração e revisão do desempenho e efetividade doSGSI;d) Melhoria contínua baseada em medidas objetivas.

PREVIDÊNCIA SOCIALEMPRESA DE TECNOLOGIA E INFORMAÇÕESDA PREVIDÊNCIA SOCIAL - DATAPREV Etapas para se constituir um SGSIa) Definir escopo e limites do SGSI – abrangência física,lógica e pessoal;b) Definir a estratégia de avaliação de risco;c) Relacionar os ativos e seus proprietários dentro doescopo do SGSI;d) Identificar ameaças, vulnerabilidades e mensurar oimpacto da materialização dessas ameaças;e) Priorizar os controles necessários para garantir asegurança dos ativos.

PREVIDÊNCIA SOCIALEMPRESA DE TECNOLOGIA E INFORMAÇÕESDA PREVIDÊNCIA SOCIAL - DATAPREV Projeto DATAPREVEscopo: Local: CPRJ – Centro de Processamento Rio deJaneiro Abrangência: Infraestrutura operacional de produçãoem plataforma baixa do CPRJ Recursos: 270 servidores70 ativos de rede03 unidades de storage02 unidades de fitoteca

PREVIDÊNCIA SOCIALEMPRESA DE TECNOLOGIA E INFORMAÇÕESDA PREVIDÊNCIA SOCIAL - DATAPREV Produtos Contratados: Consultoria especializada para a pré-certificação, naNorma ABNT ISO/IEC 27001; Licença de uso perpétua de software para apoio naimplantação do SGSI, com quantitativo de ativos ilimitado epossibilidade de uso por até 20 usuários concorrentes; Capacitação técnica na solução contratada Suporte técnico e operacional por um período de 12 mesesEmpresa vencedora => Módulo Security SolutionsSoftware de SGSI => Módulo Risk Manager

PREVIDÊNCIA SOCIALEMPRESA DE TECNOLOGIA E INFORMAÇÕESDA PREVIDÊNCIA SOCIAL - DATAPREV Fases do Projeto Fase 1: Plano Executivo de ImplantaçãoProdutos da Fase: Relatório de Planejamento Cronograma do Projeto Fase 2: Implantação da Ferramenta de SGSI para oCPRJProdutos da Fase: Instalação da ferramenta Treinamento da equipe de usuários

PREVIDÊNCIA SOCIALEMPRESA DE TECNOLOGIA E INFORMAÇÕESDA PREVIDÊNCIA SOCIAL - DATAPREV Fases do Projeto (cont.)Fase 3: Implementação do SGSIProdutos da Fase: Levantamento de Gaps em relação a Norma ABNT NBRISO/IEC 27002 Elaborar o relatório de Gap Analysis Inventariar ativos e pontuar relevância Criação e Manutenção do SGSI Cronograma do Projeto Análise de Riscos Implementação e Operação do SGSI Elaborar Normas do SGSI Elaborar os procedimentos operacionais do SGSI Implementar programas de treinamento e conscientização

PREVIDÊNCIA SOCIALEMPRESA DE TECNOLOGIA E INFORMAÇÕESDA PREVIDÊNCIA SOCIAL - DATAPREV Fases do Projeto (cont.)Fase 4: Monitoração e Revisão do SGSIProdutos da Fase: Análise Crítica pela direção do SGSI Preparação da primeira reunião de análise crítica Organizar documentação das entradas para Análise Crítica Realizar Primeira Reunião de Análise Crítica Organização da documentação das saídas da AnáliseCrítica Manutenção e Melhoria do SGSI Elaborar Procedimento de Ações Corretivas Elaborar Procedimento de Ações Preventivas Executar ações corretivas e preventivas

PREVIDÊNCIA SOCIALEMPRESA DE TECNOLOGIA E INFORMAÇÕESDA PREVIDÊNCIA SOCIAL - DATAPREV Fases do Projeto (cont.) Fase 5: Auditoria internaProdutos da Fase: Elaborar procedimento de Auditoria interna Elaborar Plano de auditoria interna Preparar os auditores internos Elaborar Agenda de Auditoria interna Executar Auditoria interna Elaborar Relatório de Auditoria interna

PREVIDÊNCIA SOCIALEMPRESA DE TECNOLOGIA E INFORMAÇÕESDA PREVIDÊNCIA SOCIAL - DATAPREV Macro Cronograma Prazo contratual de 14 meses para a execução doprojetoProposição cronograma consultoria:MESESOBJETIVOS123456789101112Fase 1Plano Executivo de ImplantaçãoXFase 2Implantação da ferramenta de SGSIXFase 3Implementação do SGSIXXXXXXXXFase 4Monitoração e revisão do SGSIXXFase 5Auditoria internaX

PREVIDÊNCIA SOCIALEMPRESA DE TECNOLOGIA E INFORMAÇÕESDA PREVIDÊNCIA SOCIAL - DATAPREV Características da ferramenta utilizada Possibilidade de estruturar conhecimentos associados ariscos de uma área de conhecimento; Baseada nos conceitos de Gestão de Riscos e em umaestrutura de Gestão do Conhecimento; Suporta análises de risco internas e processos de auditoria; Integração das áreas de Governança, Riscos e Compliance; Apoio a projetos de PCN;

PREVIDÊNCIA SOCIALEMPRESA DE TECNOLOGIA E INFORMAÇÕESDA PREVIDÊNCIA SOCIAL - DATAPREV Metodologia PDCAPLANEstabelecimento do SGSIDOImplementaçãoe Operação doSGSIACTManutenção emelhoria do SGSICHECKMonitoramento eanálise críticado SGSI

PREVIDÊNCIA SOCIALEMPRESA DE TECNOLOGIA E INFORMAÇÕESDA PREVIDÊNCIA SOCIAL - DATAPREV Tipos de ativos analisados AMBIENTESExemplo: Datacenter, Escritório PESSOASExemplo: Gestores, Diretores, Security Officer, Técnicos deTI PROCESSOSExemplo: Contratos, Backup, Gestão da Continuidade, etc.; TECNOLOGIAExemplo: Servidores, Estações de trabalho, Redes dedados, etc.

PREVIDÊNCIA SOCIALEMPRESA DE TECNOLOGIA E INFORMAÇÕESDA PREVIDÊNCIA SOCIAL - DATAPREV Processo de Coleta ENTREVISTAS WEBEnviadas via e-mail aos colaboradores para, com base nasrespostas, obter evidências referentes a controlesimplementados; COLETA OFFLINEAnálise de componentes em estações sem acesso à rede dedados; COLETA AUTOMÁTICABusca de configurações e outros parâmetros no ativo queauxiliam na avaliação de determinados controles.

PREVIDÊNCIA SOCIALEMPRESA DE TECNOLOGIA E INFORMAÇÕESDA PREVIDÊNCIA SOCIAL - DATAPREV Gap Analysis Entrevistas com gestores de macroprocessos daDATAPREV com o objetivo de comparar o status desegurança da informação atual com os que sãoestabelecidos na Norma ISO/IEC 27001; Identificação das políticas, normas e procedimentosexistentes, com a finalidade de avaliar a possibilidadede sua integração junto à norma ISO/IEC 27001; Definição do alcance da Certificação ISO/IEC 27001; Elaboração do relatório de Gap Analysis.

PREVIDÊNCIA SOCIALEMPRESA DE TECNOLOGIA E INFORMAÇÕESDA PREVIDÊNCIA SOCIAL - DATAPREV Plano de Ação para a Certificação Determinar e direcionar ações estratégicas, táticas eoperacionais, além de definir prioridades para ogerenciamento dos riscos; Selecionar controles a serem implementados para tratarriscos analisados e considerados inaceitáveis; Justificativa dos controles que terão seus riscos aceitos; Elaboração do Plano de Tratamento contendo, além da açãode tratamento descrita de forma prática, a hierarquia dasprioridades, recursos necessários, responsabilidades,prazos e métricas de eficiência e eficácia dos tratamentos.

Perímetros estabelecidos para o SGSIVisão Global da Empresa

SGSIVisão CPRJ

Mapa de Governança para o SGSIExemplo para os sistemas do cliente MTE

PREVIDÊNCIA SOCIALEMPRESA DE TECNOLOGIA E INFORMAÇÕESDA PREVIDÊNCIA SOCIAL - DATAPREVOBRIGADO!Humberto Degrazia CampedelliCoordenador Geral de Segurança de Informaçõeshumberto.campedelli@previdencia.gov.br