Please enable JavaScript.
Coggle requires JavaScript to display documents.
Definindo um programa de segurança da informação efetivo (Programa de…
Definindo um programa de segurança da informação efetivo
Programa de segurança da informação
Plano de gerenciamento de risco (RMP) TOPO
Estratégia de segurança empresarial (ESS)
Plano de segurança Empresarial (ESP)
Documento abrangente que protege os ativos digitais
Documentos produzidos
Inventario de ativos
Avaliação de risco
Categorização de ativos
Vários Relatórios
Proteção
Redes
Informações e Dados
Aplicações
Planos de Segurança da unidade de negócios Planos de segurança do sistema
Politicas e procedimentos
Arquitetura do sistema (BASE)
Politicas de segurança
Politicas Top-Level: Apoiam os objetivos do RMP.
Define Papeis e responsabilidades
Código de conduta\etica
Proteção da informação
Resposta a incidentes
Governa uso das tecnologias, acesso remoto, continuidade do negócio, controles críticos.
Politicas funcionais
Tipo de informação que requer privacidade
Quem pode acessar a informação
Onde pode ser transmitido ou armazenado
Politicas de computação
Disponibilidade e resiliência da rede.
Requisitos de backup e recuperação
Politicas de segurança
Controles de autenticação
Criptografia
Tratamento de incidentes
Requirimentos de log
Procedimentos
Cada departamento tem o seu
Implementam as politicas
Arquitetura do sistema
Dão suporte ao programa de segurança
Papeis e responsabilidades
Abordagem multidisciplinar
9 grupos envolvidos no desenvolvimento e manutenção do ESP
Comitê de risco do conselho
Definir a estrutura do programa para a organização
Definir pessoal qualificado para desenvolvimento do programa
Obter aprovação dos diretores para os investimentos
Definir papeis e responsabilidades do time
Funcionários superiores da organização: gerente executivo (CEO), gerente de operações (COO), gerente administrativo (CAO)
Trabalham junto com o comitê de risco do Conselho
Desenvolver, aprovar e manter o RMP, ESS e o Plano de segurança
Categorizar ativos pelo seu tipo e risco
Alocar recurso financeiro para o programa baseado no ROI
Revisar o ESP e mantê-lo atualizado
Desenvolver, manter e testar plano para continuidade do negócio e recuperação de desastres, responder a incidentes, relação com fabricantes e terceiros
Equipe interorganizacional
diretor de RH
Garantir que as politicas e procedimentos são implementados
Implementar gerenciamento de identidade
Controlar riscos de temporários, terceiros, fabricantes, contratos, etc
Chefe de segurança
Gerenciamento dos ativos
Gestão dos riscos
Planejamento e estratégia (RMP, ESS e Plano de segurança)
Controle e gerenciamento de performance
Define e avalia KPI e controles
Revisões , certificações e auditorias
Chefe de privacidade
Mapear e analisar os fluxos de dados, avaliar impactos de privacidade , auditar se privacidade esta em conformidade
Conselho Geral
Mapear Cybercrime e brecha de vazamento de dados
Executivos de negócio
Integrar o programa de segurança à organização
Mostrar como a arquitetura suporta o negócio
Papeis compartilhados
Documentar sistemas e categorizar ativos por risco
Chefe de segurança e executivos de negócio
Manter logs de sistemas, forçar mudanças no plano de gerenciamento, desenvolver testar e atualizar o plano de continuidade dos negócios e recuperação de desastres
Chefe de informação, chefe de segurança e executivos do negócios
Garantir conformidade de segurança, exigências contratuais, Tabela de autoridades x ativos
Chefe de segurança, Conselho Geral, Chefe de privacidade
Monitorar e garantir a aplicação de politicas e procedimentos
Conselho Geral, Recursos Humanos, Chefe de segurança
Papeis adicionais: Pessoal Operacional, Gerente de negócios e proprietário de ativos
Chefe financeiro
Mostrar o retorno do investimento e alocar recurso financeiro para manter o programa de segurança
Implementar RMP, ESS e Plano de segurança aprovado
Proprietarios de bens
Gerente de negócios
Pessoal Operacional
Comitê de auditoria do conselho
Auditoria Interna e Externa