Claudio Dodt, ISMAS, CISA, CRISC, CISSP
Business Continuity & Security Senior Consultant
[email protected] www.daryus.com.br claudiododt.com
www.twitter.com/daryusbr www.facebook.com/daryusbr
Segurança da Informação
AGENDA
Sobre a DARYUS
Introdução
Contexto atual
Gestão de Riscos de SI: Abordagens
Conclusões
Abertura a perguntas.
• Empresa 100% nacional especializada em Continuidade,
Riscos e Segurança da Informação
• Parceira educacional exclusiva desde 2005 do
DRII – Disaster Recovery Institute International
• Líder em serviços especializados de consultoria e
treinamentos para Continuidade de Negócios e
Recuperação de Desastres.
• Reconhecida internacionalmente em Governança,
Riscos e Conformidade pela Infragard (USA) e ISSA.
• Duas Unidades: Consultoria e Educação
Quem é a DARYUS?
• Autorizada oficial de 2 Institutos e 1 associação
Internacional
• 9 Certificações internacionais
• 20 cursos profissionalizantes/específicos
• 3 Pós-Graduações (uma reconhecida como um dos
melhores MBAS do Brasil pela revista Você S/A)
• Mais de 500 alunos por ano
• Média de satisfação = 9,0
• Reconhecimento: DRII, EXIN, ISACA, Infragard, ISSA e
InformationWeek.
• Continuidade de Negócios
• Segurança da Informação
• Gestão de Processos de Negócios
• Governança, Risco e Conformidade
Nossos serviços:
Contexto atual: Segurança da Informação em evidência
Contexto atual: Hacktivismo
Contexto atual: Motivadores dos atacantes
Concorrentes
Hackers
Crackers
Empregados
Equipe de TI
•Desafio
•Ego/Fama
•Rebeldia
•Hacktivismo
•Destruição de Informação
•Divulgação ilegal
•Modificação não autorizada
•Ganho financeiro
•Ego
•Inteligência
•Vingança
•Ganho
Financeiro
•Curiosidade
•Ganho financeiro
•Vingança
•Erros não intencionais
Alvos:
•Banco de Dados
•Aplicações
•Arquivos
•Sistema de Correio Eletrônico
•Vantagem Competitiva
•Espionagem Industrial
Contexto atual: Motivadores Gestão de Riscos de SI
PR
ES
SÃ
O P
EL
A G
ES
TÃ
O D
E R
ISC
OS
PR
ES
SÃ
O P
AR
A M
EL
HO
RA
R
Contexto atual: Papel da Segurança da Informação
Confidencialidade
Integridade Disponibilidade
Segurança da
Informação
Procedimentos e Orientações
Políticas
Normas e Padrões
Alta Direção • Política de SI
Comitê de SI • Entendimento do Negócio
• Seleção de estratégias
• Preparação da PSI
• Exercitar, manter e melhorar a
SI
Security Officer
• Análise de riscos;
• BIA;
• Cenários;
• Planos;
• Testes, exercícios;
• Conscientização.
Definir
Viabilizar
Realizar
Papéis Responsabilidades
Segurança da Informação : Alguns mitos
A segurança da informação é uma DESPESA PONTUAL no
orçamento das empresas e CUSTA CARO.
A segurança da informação CUSTA à empresa MAIS DO
QUE RETORNA.
Somente quando uma falha de segurança é relatada há
uma justificativa para uma investimento maior.
Nossas contramedidas atualmente aplicadas SÃO
SUFICIENTES e mesmo sem outras medidas podem reduzir
significativamente o risco.
Gestão de Riscos de SI: Abordagem desatualizada
Centralizada em TI;
Feita de baixo para cima;
Não existe uma visão clara do risco;
Ameaças não são definidas ou entendidas;
Foco externo;
Ausência de padrões;
Dificuldade em definir custo x benefício;
Medo, incerteza, dúvida.
Gestão de Riscos de SI: Abordagem recomendada
Proteção dos ativos de informação em todas as áreas do negócio;
Motivadores de negócio;
Equilíbrio entre custo e benefício;
Utilização de frameworks e melhores práticas;
Incorpora atendimento a requisitos de compliance (SOX, PCI);
Gerenciamento facilitado e controle de custos;
Risco mensurável e decisões racionais de tratamento;
Melhor valor pelo dinheiro empregado.
Gestão de Riscos de SI: Abordagem recomendada
O Objetivo é proteger a Confidencialidade, Integridade e Disponibilidade da informação que pertence ao seu negócio.
Sua organização pensa
na informação como um ativo estratégico?
Gestão de Riscos de SI: Benefícios chave
O negócio é quem decide aceitar ou não o risco;
Justificativas de orçamento claras para reduzir o risco a um nível aceitável;
Apoia atendimento de requisitos de compliance;
Ajuda a identificar ativos de informação e entender seu valor estratégico;
O negócio é o dono “real” da informação;
Apoia outras iniciativas importantes como a Gestão de Continuidade de Negócio.
Gestão de Riscos de SI: Passo a passo
Negócio define valor do
ativo
Identificação de
ameaças
Análise de
vulnerabilidades
Tratamento do risco Aceitação do risco
Gerenciamento do risco
1
2
4
3
5
Gestão de Riscos de SI: Tratando riscos
Plano de
Tratamento de
Riscos
Ações Administrativas
Recursos
Prioridades
Responsabilidades
Custos
Gestão de Riscos de SI: Desafios
Disponibilidade
Confidencialidade Integridade
Infraestrutura e Serviços
Disponibilidade dos Dados
Planejamento
GCN
Backup e Recuperação
Vazamentos, Invasões
Requisitos Legais
Comunicações
Bancos de dados
Cultura Organizacional
Gestão de Riscos de SI: Pessoas são o fator crítico
Conclusões
Construa seu gerenciamento de risco alinhado a gestão da
Continuidade de Negócios;
Use a ISO 27001 e ISO 27005 como frameworks;
Sempre siga uma abordagem baseada nos riscos e entenda
as ameaças antes de decidir que tipo de controles
implementar;
E pergunte-se:
1. Quais ativos de informação estamos tentando proteger?
2. Qual o valor deles para o negócio?
3. Qual o impacto da perda de integridade, confidencialidade ou
disponibilidade nesses ativos?
4. Como vamos reduzir o risco? Quais controles são necessários?
5. Qual é o custo?
Dúvidas?
CONSIDERAÇÕES FINAIS
• CÓPIA DA APRESENTAÇÃO
• PESQUISA DE SATISFAÇÃO – link ao se desconectar
• CERTIFICADO DE PARTICIPAÇÃO – emails para [email protected]
com nome completo
Claudio Dodt
Regional Manager
www.daryus.com.br
Milena Andrade
Regional Manager
www.exin.com