Transcript Aplicação na PRODEB (Elba Vieira)

Metodologia de Segurança Integrada
da ABIN aplicada na PRODEB
Elba Vieira
Assessora de Segurança Integrada
Email: [email protected]
Telefone: (71) 3115-5728
1
Quem é a PRODEB
Sociedade de economia mista
Governo do Estado da Bahia é o maior acionista
Está vinculada à Secretaria de Administração (SAEB)
Foi criada em 1/10/1973
Faturamento: R$ 100 milhões/ano
Colaboradores: 400
 Investimentos
 20 milhões em 2012/2013 em novas aquisições para a
Modernização do Data Center
 18 milhões para aquisição da nova Sala-Cofre Prodeb
2
Sala-Cofre
Ambiente estanque que protege o Data Center
contra várias ameaças.
Possibilita a cobertura das necessidades de
segurança física e de infraestrutura, protegendo equipamentos
e dados contra incêndio, fumaça, calor, umidade, poeira,
sabotagem, gases corrosivos, acesso indevido,
ataques internos e externos, entre outras ameaças.
Sala-Cofre
Fonte:
Sala-Cofre
Protege o ambiente contra diversos riscos de segurança.
Garante a INTEGRIDADE, CONFIDENCIALIDADE e
DISPONIBILIDADE dos serviços prestados ao cidadão.
Garante a segurança e continuidade dos serviços de TIC
do Governo do Estado da Bahia, através da proteção das
informações que são processadas e armazenadas no
ambiente da PRODEB.
Lay-out de Origem e Destino
172m2
Fonte:
PROGRAMA NACIONAL DE PROTEÇÃO
DO CONHECIMENTO SENSÍVEL (PNPC)
Metodologia de Segurança Integrada
da ABIN aplicada na PRODEB
Parceria Prodeb-ABIN
Programa Nacional de Proteção do Conhecimento Sensível
## PNPC ##
A PRODEB lida diariamente com informações de
natureza sensível e sigilosa de interesse do Estado
e da sociedade brasileira e, em decorrência, deve
implementar ações corporativas voltadas para a
proteção dessas informações.
Fonte: ABIN
8
Parceria Prodeb-ABIN
Programa Nacional de Proteção do Conhecimento Sensível
## PNPC ##
OBJETO:
“Estabelecer mecanismos e ações conjuntas na realização de
atividades e programas de interesse comum, na implementação do
PNPC na PRODEB e na disseminação de uma cultura de proteção às
informações e conhecimentos sensíveis em âmbito nacional.”
(Acordo de Cooperação Técnica PRODEB-ABIN)
9
Parceria Prodeb-ABIN
OBJETIVO:
1)- Definir OBJETOS e ALVOS da proteção e principais ameaças
2)- Identificar VULNERABILIDADES em 4 segmentos:
 Proteção Física e do Ambiente
 Proteção de Documentação e Conformidade
 Proteção de Sistemas de Informação e Continuidade
 Proteção na Gestão de Pessoas
3)- Recomendar MEDIDAS para aperfeiçoar o sistema de proteção
do conhecimento sensível na PRODEB
10
PNPC Prodeb - Evolução do Programa
Entrega do Relatório Final (Diagnóstico) JAN/2012
MAI-SET/2011
Elaboração do Relatório (ABIN)
Mapeamento do Ambiente (Segmentos)
Definição do Grupo de Trabalho (GT)
Assinatura do Termo de Cooperação
ABR/2011
MAR/2011
FEV/2011
Ciclo de Palestras de Conscientização DEZ/2010
P
R
O
T
E
Ç
Ã
O
C
O
N
H
E
C
I
M
E
N
T
O
S
E
N
S
Í
V
E
L
11
PNPC Prodeb - Evolução do Programa
Acompanhamento ABIN
Pesquisa
Aplicação de Recomendações
Prazos
Elaboração de Plano de Trabalho
Priorização
de Ações
Validação da Matriz de Riscos
Pontuação de Gravidade
Análise do Relatório Final
Responsabilidades
Metodologia Prodam
Vulnerabilidades e
Recomendações
P
R
O
T
E
Ç
Ã
O
C
O
N
H
E
C
I
M
E
N
T
O
S
E
N
S
Í
V
E
L
12
Resultados
Recomendações por Área Responsável
(Total = 139)
X
X
X
X
X
X
X
X
13
Resultados
X
X
X
X
X
X
X
X
X
X
X
14
Resultados
Vulnerabilidades por Indicador de Gravidade
(Metodologia de Pontuação da Prodam)
22
31
24
41
MUITO ALTO
ALTO
MÉDIO
BAIXO
Cálculo do Indicador de Gravidade
BAIXO: até 17 pontos
MÉDIO: de 18 até 31 pontos
ALTO: de 32 até 59 pontos
MUITO ALTO: de 60 até 125 pontos
15
PNPC Prodeb - Evolução do Programa (após 2anos 2meses)
Total de Recomendações
Concluídas x Em andamento x Iniciadas
43
61
Concluídas
Concluídas
Em
Emandamento
andamento
29
Prazo previsto para conclusão do Programa
Não
iniciadas
Iniciadas
DEZ 2014
P
R
O
T
E
Ç
Ã
O
C
O
N
H
E
C
I
M
E
N
T
O
S
E
N
S
Í
V
E
L
16
Análise de GAP
PNPC Prodeb x Norma de Segurança ISO/IEC 27002:2005
Cruzamento das recomendações do PNPC Prodeb com as
recomendações da Norma de Segurança
Identificação de pontos aplicáveis da Norma e ausentes no PNPC
Aplicação das recomendações cabíveis da Norma
Melhoria do Processo de Segurança na Prodeb
Conformidade com a Política e Normas do Estado
17
GRUPO TÉCNICO DE SEGURANÇA DA INFORMAÇÃO
DO FORTIC
Iniciativas de Segurança da
Informação do Governo
do Estado da Bahia
18
GRUPO TÉCNICO DE SEGURANÇA DA INFORMAÇÃO
DO FORTIC
Instituição da Política de Segurança do Estado
Decreto 12.206
12/08/2008
Cria o comitê de
Gestores de TIC (FORTIC)
Institui o Sistema de Gestão
de TIC (SGTIC)
Decreto No. 13.473 de 28 de Novembro de 2011
Resolução da Política de Segurança (No 02/2011 )
Normas de Segurança
da Informação
Modelo de Gestão de
Segurança da Informação
19
GRUPO TÉCNICO DE SEGURANÇA DA INFORMAÇÃO
DO FORTIC
Normas de Segurança do Estado
20
GRUPO TÉCNICO DE SEGURANÇA DA INFORMAÇÃO
DO FORTIC
Modelo de Gestão da Segurança
da Informação do Estado
21
GRUPO TÉCNICO DE SEGURANÇA DA INFORMAÇÃO
DO FORTIC
MacroProcessos da Gestão
da Segurança da Informação do Estado
22
Obrigada!
Elba Vieira
Assessora de Segurança Integrada
Email: [email protected]
Telefone: (71) 3115-5728
23