Académique Documents
Professionnel Documents
Culture Documents
Competncia da Assig:
A Assig tem por finalidade coordenar, orientar e
acompanhar a implementao da Poltica
Corporativa de Segurana da Informao, da Poltica
de Governana de Tecnologia da Informao e da
Poltica Corporativa de Continuidade de Negcios,
bem como assegurar...
Segurana da
Informao
Gesto de
Continuidade
de Negcio
Governana
de TI
Objetivo
Identificar fatores crticos de sucesso e
dificuldades em um processo de implantao da
gesto da segurana da informao, com base
na experincia do TCU.
Que os auditores possam identificar pontos a serem
observados em auditorias.
Que os gestores pblicos possam identificar fatores
importantes para o sucesso da implantao de aes
de segurana.
Gesto de
Continuidade
de Negcio
Governana
de TI
Solicitaes
CN
Denncias
Acrdos
Documentos
gerais
Vistas
Recursos
Sistemas
de
informao
Pareceres e
relatrios
Publicaes
TCU
Bases
de
dados
Papis de
trabalho
Bases
de
dados
Informaes
para o CN
Agenda
2008
Criao da Assessoria de Segurana da Informao e
Governana de TI Assig
Criao do Comit de Segurana da Informao CSI
2009
Criao do Servio de Segurana da Informao em TI Sesti
Comit de
Segurana
da
Informao
2008
Poltica Corporativa de Segurana da Informao do TCU
Resoluo-TCU n 217/2008
Foco em princpios e diretrizes
Abordagem holstica (processos, pessoas e tecnologia)
Atribui responsabilidades
Aspectos tecnolgicos em normativos adicionais
Texto novo:
Art. 7 A gesto de incidentes em segurana da informao tem por objetivo
assegurar que fragilidades e incidentes em segurana da informao sejam
identificados, permitindo a tomada de ao corretiva em tempo hbil.
Pargrafo nico. Autoridades, servidores e quaisquer colaboradores do Tribunal
so responsveis por:
I - reportar tempestivamente Assessoria de Segurana da Informao e
Governana de TI (Assig) os incidentes em segurana da informao de que
tenham cincia ou suspeita; e
II - colaborar, em suas reas de competncia, na identificao e no tratamento de
incidentes em segurana da informao.
Classificao da Informao
Gesto de Incidentes de Segurana da Informao
Gesto de Riscos de Segurana da Informao
Conscientizao
2013/2014
Criao do SGSI/TCU
(3 verso da PCSI/TCU)
Classificao da Informao
2009
1 norma de Classificao da Informao
No precedida de inventrio de ativos
Resoluo-TCU n 229/2009
Portaria-TCU n 124/2010 - controles
2013
2 norma de Classificao da Informao
No precedida de inventrio de ativos
Resoluo-TCU n 254/2013
Adaptao Lei 12.527/2011 (Lei de Acesso Informao)
2012
Desenvolvimento de sistema para gesto dos incidentes
2014
Elaborao de norma de gesto de incidentes de
segurana da informao (em andamento)
Referncia: 07/2014
Referncia: 07/2014
Referncia: 07/2014
Referncia: 07/2014
Conscientizao
2012
Reviso do mtodo
Mtodo qualitativo, baseado no FRAAP + ABNT NBR ISO
31000:2009
2014
2 edies de avaliao
Gesto dos riscos
Elaborao de norma de gesto de incidentes de
segurana da informao (em andamento)
Referncia: 07/2014
31
Referncia: 07/2014
32
Referncia: 07/2014
33
Referncia: 07/2014
34
Cartilhas e Folders
Portal TCU comunidade de SI
QUANTIDADE
2009
20
2010
2011
36
2012
35
2013
41
2014
23
Referncia: 07/2014
QUANTIDADE
2011
2012
2013
2014
5
Referncia: 07/2014
Objetivo
Identificar fatores crticos de sucesso e
dificuldades em um processo de implantao da
gesto da segurana da informao, com base
na experincia do TCU.
Que os auditores possam identificar pontos a serem
observados em auditorias.
Que os gestores pblicos possam identificar fatores
importantes para o sucesso da implantao de aes
de segurana.
Dificuldades
SI na TI
Comit executivo
Poltica de SI
Sistema de Gesto
da SI
Classificao da
Informao
Aspectos tecnolgicos
Foco corporativo
Sem dono
Com dono
Sem atualizao
Inexistncia: ausncia de
viso global da SI
Reviso peridica
Existncia: direciona planejamento
Falta de cultura
Adaptao LAI
Comunica a SI
Gesto de Riscos de
SI
Conscientizao em
SI
Segurana da
Informao
Baixa prioridade
Ferramenta de apoio
Ausncia de norma
Avaliao sem gesto
Priorizar
Processo gil (qualitativo)
Ferramenta de apoio
Baixa prioridade
Fazer!
Persistncia
Mltiplos canais
Risco de descontinuidade
Priorizar
Processo contnuo
Conhecer a organizao
Normas internacionais
Obrigada
Marisa Alho
Tribunal de Contas da Unio
Assessoria de Segurana da Informao e
Governana de TI - Assig
assig@tcu.gov.br