Segurança da Informação

Transcrição

1

2 Segurança da Informação Claudio Dodt, ISMAS, CISA, CRISC, CISSP Business Continuity & Security Senior Consultant claudiododt.com

3 AGENDA Sobre a DARYUS Introdução Contexto atual Gestão de Riscos de SI: Abordagens Conclusões Abertura a perguntas.

4 Quem é a DARYUS? Empresa 100% nacional especializada em Continuidade, Riscos e Segurança da Informação Parceira educacional exclusiva desde 2005 do DRII Disaster Recovery Institute International Líder em serviços especializados de consultoria e treinamentos para Continuidade de Negócios e Recuperação de Desastres. Reconhecida internacionalmente em Governança, Riscos e Conformidade pela Infragard (USA) e ISSA. Duas Unidades: Consultoria e Educação

5 Autorizada oficial de 2 Institutos e 1 associação Internacional 9 Certificações internacionais 20 cursos profissionalizantes/específicos 3 Pós-Graduações (uma reconhecida como um dos melhores MBAS do Brasil pela revista Você S/A) Mais de 500 alunos por ano Média de satisfação = 9,0 Reconhecimento: DRII, EXIN, ISACA, Infragard, ISSA e InformationWeek.

6 Nossos serviços: Continuidade de Negócios Segurança da Informação Gestão de Processos de Negócios Governança, Risco e Conformidade

7

8 Contexto atual: Segurança da Informação em evidência

9 Contexto atual: Hacktivismo

10 Contexto atual: Motivadores dos atacantes Vantagem Competitiva Espionagem Industrial Curiosidade Ganho financeiro Vingança Erros não intencionais Alvos: Banco de Dados Concorrentes Desafio Aplicações Ego/Fama Arquivos Rebeldia Sistema de Correio Eletrônico Hacktivismo Empregados Hackers Crackers Destruição de Informação Divulgação ilegal Modificação não autorizada Ganho financeiro Ego Inteligência Vingança Ganho Financeiro Equipe de TI

11 PRESSÃO PARA MELHORAR PRESSÃO PELA GESTÃO DE RISCOS Contexto atual: Motivadores Gestão de Riscos de SI

12 Contexto atual: Papel da Segurança da Informação Papéis Definir Responsabilidades Alta Direção Política de SI Políticas Comitê de SI Security Officer Integridade Confidencialidade Normas e Padrões Segurança da Informação Procedimentos e Orientações Viabilizar Disponibilidade Entendimento do Negócio Seleção de estratégias Preparação da PSI Exercitar, manter e melhorar a SI Realizar Análise de riscos; BIA; Cenários; Planos; Testes, exercícios; Conscientização.

13 Segurança da Informação : Alguns mitos A segurança da informação é uma DESPESA PONTUAL no orçamento das empresas e CUSTA CARO. A segurança da informação CUSTA à empresa MAIS DO QUE RETORNA. Somente quando uma falha de segurança é relatada há uma justificativa para uma investimento maior. Nossas contramedidas atualmente aplicadas SÃO SUFICIENTES e mesmo sem outras medidas podem reduzir significativamente o risco.

14 Gestão de Riscos de SI: Abordagem desatualizada Centralizada em TI; Feita de baixo para cima; Não existe uma visão clara do risco; Ameaças não são definidas ou entendidas; Foco externo; Ausência de padrões; Dificuldade em definir custo x benefício; Medo, incerteza, dúvida.

15 Gestão de Riscos de SI: Abordagem recomendada Proteção dos ativos de informação em todas as áreas do negócio; Motivadores de negócio; Equilíbrio entre custo e benefício; Utilização de frameworks e melhores práticas; Incorpora atendimento a requisitos de compliance (SOX, PCI); Gerenciamento facilitado e controle de custos; Risco mensurável e decisões racionais de tratamento; Melhor valor pelo dinheiro empregado.

16 Gestão de Riscos de SI: Abordagem recomendada O Objetivo é proteger a Confidencialidade, Integridade e Disponibilidade da informação que pertence ao seu negócio. Sua organização pensa na informação como um ativo estratégico?

17 Gestão de Riscos de SI: Benefícios chave O negócio é quem decide aceitar ou não o risco; Justificativas de orçamento claras para reduzir o risco a um nível aceitável; Apoia atendimento de requisitos de compliance; Ajuda a identificar ativos de informação e entender seu valor estratégico; O negócio é o dono real da informação; Apoia outras iniciativas importantes como a Gestão de Continuidade de Negócio.

18 Gestão de Riscos de SI: Passo a passo Negócio define valor do ativo Identificação de ameaças Análise de vulnerabilidades 4 Tratamento do risco Aceitação do risco 5 Gerenciamento do risco

19 Gestão de Riscos de SI: Tratando riscos Ações Administrativas Recursos Plano de Tratamento de Riscos Prioridades Responsabilidades Custos

20 Gestão de Riscos de SI: Desafios Disponibilidade Infraestrutura e Serviços Confidencialidade Vazamentos, Invasões Requisitos Legais Disponibilidade dos Dados Cultura GCN Organizacional Planejamento Backup e Recuperação Comunicações Bancos de dados Integridade

21 Gestão de Riscos de SI: Pessoas são o fator crítico

22 Conclusões Construa seu gerenciamento de risco alinhado a gestão da Continuidade de Negócios; Use a ISO e ISO como frameworks; Sempre siga uma abordagem baseada nos riscos e entenda as ameaças antes de decidir que tipo de controles implementar; E pergunte-se: 1. Quais ativos de informação estamos tentando proteger? 2. Qual o valor deles para o negócio? 3. Qual o impacto da perda de integridade, confidencialidade ou disponibilidade nesses ativos? 4. Como vamos reduzir o risco? Quais controles são necessários? 5. Qual é o custo?

23 Dúvidas?

24 CONSIDERAÇÕES FINAIS CÓPIA DA APRESENTAÇÃO PESQUISA DE SATISFAÇÃO link ao se desconectar CERTIFICADO DE PARTICIPAÇÃO s para com nome completo Claudio Dodt Regional Manager Milena Andrade Regional Manager