Segurança da Informação:

Transcrição

1 Iluminando mentes, capacitando profissionais e protegendo negócios. AGENDA A DARYUS O que é a CONSUMERIZAÇÃO de TI? Segurança da Informação: O que muda para as organizações? Perspectivas no Brasil para 2014 e além. Como fica a gestão de TIC? BYOD Mitos e Fatos Claudio Dodt, ISMAS, CISSP, CISA, ISO Lead Auditor Business Continuity & Security Senior Consultant Conclusões [email protected] claudiododt.com

2 Licença de Uso COPYRIGHT DARYUS / CLÁUDIO DODT Você pode copiar, distribuir, criar obras derivadas e exibir as informações contidas neste documento com as seguintes restrições: Deve ser dado crédito ao autor original, e a DARYUS. Ambas as fontes devem ser citadas. $ Você NÃO pode utilizar as informações contidas neste documento para fins comerciais. Compartilhamento exclusivo pela mesma Licença. Se você alterar, transformar, ou criar outra obra com nas informações contidas neste documento, você somente poderá distribuir a obra resultante sob uma licença idêntica a esta.

3 AGENDA O Mundo Hoje Algumas ameaças Hacktivismo Espionagem Ataque DDoS Alvos e motivações Cenário Brasil 2014 e além Exemplo PRI (Procedimento de Resposta a Incidentes) Conclusões Perguntas

4 Quem somos: Empresa 100% nacional localizada em São Paulo capital; Representante educacional exclusiva do DRII Disaster Recovery Institute International desde 2005; Especializada e líder no Brasil em consultoria e soluções para Recuperação de Desastres; Continuidade de Negócios e Somos a empresa mais completa em Gestão de Riscos, por oferecer educação e consultoria de forma especializada; Idealizadora de dois eventos que tornaram-se referencia no mercado nacional GRC International e o GRM Global Risk Meeting; Prêmio SECMASTER 2006 pela ISSA International; Reconhecida pela Infragard USA (California) em 2011.

5 Nossas unidades

6 Nossos serviços: Continuidade de Negócios Segurança da Informação Gestão de Processos de Negócios Governança, Risco e Conformidade

7 Nossos clientes:

8 Cláudio Dodt Business Continuity & Security Senior Consultant - Regional Manager Claudio Dodt Atua na área de tecnologia há mais de 10 anos exercendo atividades como técnico e analista de suporte, Analista de Segurança Sr., Security Officer e Supervisor de Infraestrutura e Segurança. Desenvolveu atividades em empresas brasileiras e multinacionais, tendo participado no Brasil e no exterior em projetos de segurança de diversos segmentos como Educacional, Financeiro, Saúde, Agroindústria, Indústria Alimentícia, Naval, Metal-Mecânica e Têxtil. Geek convicto, mergulhador autônomo e um grande amante da leitura e dos videogames. CLAUDIODODT.COM Especializações ITIL V2 Service Manager / ITIL Expert; Certified Information Systems Security Professional (CISSP ); Certified Information Systems Auditor (CISA); Certified in Risk and Information Systems Control (CRISC); ISO Lead Auditor; ISO/IEC Foundation; Information Security Foundation (ISFS) based on ISO/IEC 27002; Information Security Management Advanced based on ISO/IEC 27002; CobiT Foundation; EXIN Cloud Computing Foundation; EXIN Certified Integrator Secure Cloud Services; EXIN Accredited Trainer (ITIL Foundation; ISO Foundation, ISFS, ISMAS, Cloud Foundation).

9 O mundo hoje A era da CONSUMERIZAÇÃO Tendência da tecnologia chegar primeiro no mercado consumidor e posteriormente ser levada para o ambiente corporativo.

10 O mundo hoje Começamos cada vez mais cedo!

11 O mundo hoje Com a cabeça nas nuvens Já se perguntou: Onde estão meus dados hoje?

12 O mundo hoje E o que isso significa?

13 O mundo hoje A tecnologia EVOLUI......Pessoas Mudam......Ameaças AUMENTAM!

14 Hacktivismo Hacktivismo entrou de vez em evidência

15 Hacktivismo Hacktivismo entrou de vez em evidência

16 Hacktivismo...A maioria das ações (75%) foi direcionada a páginas de órgãos do governo......entre alvos estava a Polícia Militar do Rio de Janeiro... Hacktivismo entrou de vez em evidência

17 Hacktivismo...Estudo da Akamai - State of the Internet (...)identificou o tráfego de ataques à Internet a partir de 175 países ou regiões......assim como no trimestre anterior, o Brasil figura em 8º lugar, com 1,4% (dos ataques) Hacktivismo entrou de vez em evidência

18 Espionagem Espionagem......Novidade?

19 Espionagem Espionagem......Novidade?

20 Espionagem

21 Espionagem

22 Espionagem

23 Espionagem Solução? Internalização?

24 Espionagem NSA infiltrada no Google e Yahoo.

25 Espionagem

26 Espionagem?

27 Espionagem?

28 Ataques: DDoS Que tal uma olhada em Tempo Real?

29 Ataques: DDoS

30 Alvos e Motivações Distribuição de ataques por país Setembro

31 Alvos e Motivações Motivadores por traz dos ataques 1% 10% Setembro % Legenda: 45% Guerra Cibernética Espionagem Cibernética Crime Digital Hacktivismo

32 Alvos e Motivações Distribuição dos Alvos Setembro % 6% 5% Legenda: Governo 5% Indústria 33% 4% 4% Forças da Lei Educação Indivíduos específicos 20% 2% Telecom Notícias Militares Outros

33 Cenário Brasil 2014 e além Os holofotes do mundo estão no Brasil.

34 Alternativas O que precisamos fazer? Proatividade Reatividade

35 Tecnologia? Síndrome do APPLIANCE: Você só se sente seguro se tem um?

36 Miopia do Iceberg Tecnologia Tecnologia é......a mera ponta......do iceberg.

37 Miopia do Iceberg Tecnologia Investimento inteligente Padrões Testados Processos Pessoas Visão Estratégica Formalização Seleção Capacitação Reciclagem Conscientização

38 Pessoas Capacitar Conscientizar Pessoas

39 Pessoas Pessoas Capacitar Conscientizar

40 Uma visão holística Segurança da Informação Políticas

41 The Interagency Exemplo: PRI U.S. Incident Response Escalation Plan Levels of response and where the government comes in to play Policy Response Operational Response PWG/FM FBIIC FSSCC President Principles Committee Deputies Committee NSC - Cyber Directorate Cyber Response Group DOD DHS State NCCIC UCG-IMT Vendors FS-ISAC NSA Other ISACS USSS FBI CIA Finance Sector Clearing House Exchange Federal Reserve Bank 1 Bank 2 FBI

42 Conclusões Forte tendência para o crescimento do número de ataques. O Brasil já é responsável por uma grande parte dos ataques no cenário mundial. Hacktivismo é o ponto central, e deve entrar ainda mais em foco com grandes eventos. Tecnologia é fundamental, mas não é suficiente para garantir a proteção. Mais que nunca, é necessário uma visão holística da segurança da informação. Um processo ágil de gestão de incidentes é essencial para detectar e tratar ameaças. Segurança sempre é vista como excessiva, até o dia em que não é suficiente William H. Webster.

43 Perguntas?

44 Obrigado! Claudio Dodt, ISMAS, CISSP Business Continuity & Security Senior Consultant