Segurança da Informação Aplicada

2.704 visualizações

Publicada em

Ontem representei o Chapter Brasil da ISSA, apresentando uma palestra sobre Segurança da Informação Aplicada, no 1o Encontro do Subcomitê de Segurança da Informação (SCSI), com representantes de diversas empresas e entidades do setor elétrico brasileiro, realizado na cidade do Rio de Janeiro.

Segurança da Informação Aplicada

  1. 1. 1o Encontro do Subcomitê de Segurança da Informação RIO DE JANEIRO, 17 DE AGOSTO DE 2009 Segurança da Informação Aplicada Eduardo Vianna de Camargo Neves, CISSP ISSA Brasil www.issabrasil.org
  2. 2. Uma Visão Geral da Information Systems Security Association ISSA Brasil 2 Segurança da Informação Aplicada
  3. 3. Sobre a ISSA ISSA Brasil 3 Segurança da Informação Aplicada
  4. 4. Sobre a ISSA Papel na Sociedade ISSA Brasil 3 Segurança da Informação Aplicada
  5. 5. Sobre a ISSA Papel na Sociedade • Organização Internacional sem fins lucrativos de Profissionais de Segurança da Informação ISSA Brasil 3 Segurança da Informação Aplicada
  6. 6. Sobre a ISSA Papel na Sociedade • Organização Internacional sem fins lucrativos de Profissionais de Segurança da Informação • “The global voice of information security” ISSA Brasil 3 Segurança da Informação Aplicada
  7. 7. Sobre a ISSA Papel na Sociedade • Organização Internacional sem fins lucrativos de Profissionais de Segurança da Informação • “The global voice of information security” Estrutura Operacional ISSA Brasil 3 Segurança da Informação Aplicada
  8. 8. Sobre a ISSA Papel na Sociedade • Organização Internacional sem fins lucrativos de Profissionais de Segurança da Informação • “The global voice of information security” Estrutura Operacional • Mais de 10 mil membros distribuídos em 136 Capítulos ISSA Brasil 3 Segurança da Informação Aplicada
  9. 9. Sobre a ISSA Papel na Sociedade • Organização Internacional sem fins lucrativos de Profissionais de Segurança da Informação • “The global voice of information security” Estrutura Operacional • Mais de 10 mil membros distribuídos em 136 Capítulos • Presente em 70 países ISSA Brasil 3 Segurança da Informação Aplicada
  10. 10. Sobre a ISSA Papel na Sociedade • Organização Internacional sem fins lucrativos de Profissionais de Segurança da Informação • “The global voice of information security” Estrutura Operacional • Mais de 10 mil membros distribuídos em 136 Capítulos • Presente em 70 países • Mais de 100 membros no Brasil ISSA Brasil 3 Segurança da Informação Aplicada
  11. 11. Sobre a ISSA ISSA Brasil 4 Segurança da Informação Aplicada
  12. 12. Sobre a ISSA Por que se associar? ISSA Brasil 4 Segurança da Informação Aplicada
  13. 13. Sobre a ISSA Por que se associar? • Acesso a informações e eventos exclusivos ISSA Brasil 4 Segurança da Informação Aplicada
  14. 14. Sobre a ISSA Por que se associar? • Acesso a informações e eventos exclusivos • Networking on-line e off-line ISSA Brasil 4 Segurança da Informação Aplicada
  15. 15. Sobre a ISSA Por que se associar? • Acesso a informações e eventos exclusivos • Networking on-line e off-line • Descontos e promoções em eventos e atividades do setor ISSA Brasil 4 Segurança da Informação Aplicada
  16. 16. Sobre a ISSA Por que se associar? • Acesso a informações e eventos exclusivos • Networking on-line e off-line • Descontos e promoções em eventos e atividades do setor • Contribuição com a sociedade ISSA Brasil 4 Segurança da Informação Aplicada
  17. 17. Falando sobre Segurança da Informação ISSA Brasil 5 Segurança da Informação Aplicada
  18. 18. Histórico da Disciplina ISSA Brasil 6 Segurança da Informação Aplicada
  19. 19. Histórico da Disciplina Proteção da Informação ISSA Brasil 6 Segurança da Informação Aplicada
  20. 20. Histórico da Disciplina Proteção da Informação • Início durante as primeiras civilizações ISSA Brasil 6 Segurança da Informação Aplicada
  21. 21. Histórico da Disciplina Proteção da Informação • Início durante as primeiras civilizações • Alteração de escopo com o advento dos computadores ISSA Brasil 6 Segurança da Informação Aplicada
  22. 22. Histórico da Disciplina Proteção da Informação • Início durante as primeiras civilizações • Alteração de escopo com o advento dos computadores Segurança da Informação ISSA Brasil 6 Segurança da Informação Aplicada
  23. 23. Histórico da Disciplina Proteção da Informação • Início durante as primeiras civilizações • Alteração de escopo com o advento dos computadores Segurança da Informação • Competências militares durante a II Guerra Mundial ISSA Brasil 6 Segurança da Informação Aplicada
  24. 24. Histórico da Disciplina Proteção da Informação • Início durante as primeiras civilizações • Alteração de escopo com o advento dos computadores Segurança da Informação • Competências militares durante a II Guerra Mundial • Desenvolvimento nos EUA e Europa ISSA Brasil 6 Segurança da Informação Aplicada
  25. 25. Histórico da Disciplina Proteção da Informação • Início durante as primeiras civilizações • Alteração de escopo com o advento dos computadores Segurança da Informação • Competências militares durante a II Guerra Mundial • Desenvolvimento nos EUA e Europa • Alteração de escopo com o advento da Internet ISSA Brasil 6 Segurança da Informação Aplicada
  26. 26. Timeline ISSA Brasil 7 Segurança da Informação Aplicada
  27. 27. Timeline ISSA Brasil 7 Segurança da Informação Aplicada
  28. 28. Timeline Captain Cruch 1970 Cena Hacker Primeiros esforços para um modelo de IT Security ISSA Brasil 7 Segurança da Informação Aplicada
  29. 29. Timeline Captain The Cruch 414s 1970 1980 Cena Hacker Furtos on-line Primeiros Primeiras leis esforços para sobre IT um modelo de Security nos IT Security EUA ISSA Brasil 7 Segurança da Informação Aplicada
  30. 30. Timeline Captain The Caso Cruch 414s Citibank 1970 1980 1990 Cena Hacker Furtos on-line Cena Cracker Primeiros Primeiras leis esforços para sobre IT Eligible um modelo de Security nos Receiver 97 IT Security EUA ISSA Brasil 7 Segurança da Informação Aplicada
  31. 31. Timeline Captain The Caso Trustworthy Cruch 414s Citibank Computing 1970 1980 1990 2000 Cena Hacker Furtos on-line Cena Cracker ILOVEYOU Primeiros Primeiras leis Department of esforços para sobre IT Eligible Homeland um modelo de Security nos Receiver 97 Security IT Security EUA ISSA Brasil 7 Segurança da Informação Aplicada
  32. 32. Timeline Captain The Caso Trustworthy Casos no Cruch 414s Citibank Computing Brasil 1970 1980 1990 2000 2006 Cena Hacker Furtos on-line Cena Cracker ILOVEYOU DPF e DPC Primeiros Primeiras leis Department of esforços para sobre IT Eligible Homeland PCI Council um modelo de Security nos Receiver 97 Security IT Security EUA ISSA Brasil 7 Segurança da Informação Aplicada
  33. 33. Timeline Captain The Caso Trustworthy Casos no Heartland Cruch 414s Citibank Computing Brasil Payment 1970 1980 1990 2000 2006 2009 Cena Hacker Furtos on-line Cena Cracker ILOVEYOU DPF e DPC Crime Organizado Primeiros Primeiras leis Department of Lei de Crimes esforços para sobre IT Eligible Homeland PCI Council Cibernéticos no um modelo de Security nos Receiver 97 Security Brasil IT Security EUA ISSA Brasil 7 Segurança da Informação Aplicada
  34. 34. Segurança da Informação hoje ISSA Brasil 8 Segurança da Informação Aplicada
  35. 35. Segurança da Informação hoje Proteção da Infra-estrutura ISSA Brasil 8 Segurança da Informação Aplicada
  36. 36. Segurança da Informação hoje Proteção da Infra-estrutura • Legislações específicas e normas reguladoras ISSA Brasil 8 Segurança da Informação Aplicada
  37. 37. Segurança da Informação hoje Proteção da Infra-estrutura • Legislações específicas e normas reguladoras • Atuação das forças militares e policiais ISSA Brasil 8 Segurança da Informação Aplicada
  38. 38. Segurança da Informação hoje Proteção da Infra-estrutura • Legislações específicas e normas reguladoras • Atuação das forças militares e policiais Proteção das Empresas ISSA Brasil 8 Segurança da Informação Aplicada
  39. 39. Segurança da Informação hoje Proteção da Infra-estrutura • Legislações específicas e normas reguladoras • Atuação das forças militares e policiais Proteção das Empresas • Cumprimento da legislação e autoregulamentação ISSA Brasil 8 Segurança da Informação Aplicada
  40. 40. Segurança da Informação hoje Proteção da Infra-estrutura • Legislações específicas e normas reguladoras • Atuação das forças militares e policiais Proteção das Empresas • Cumprimento da legislação e autoregulamentação • Estrutura de IT Security como força de trabalho ISSA Brasil 8 Segurança da Informação Aplicada
  41. 41. Segurança da Informação hoje Proteção da Infra-estrutura • Legislações específicas e normas reguladoras • Atuação das forças militares e policiais Proteção das Empresas • Cumprimento da legislação e autoregulamentação • Estrutura de IT Security como força de trabalho Proteção da Sociedade ISSA Brasil 8 Segurança da Informação Aplicada
  42. 42. Segurança da Informação hoje Proteção da Infra-estrutura • Legislações específicas e normas reguladoras • Atuação das forças militares e policiais Proteção das Empresas • Cumprimento da legislação e autoregulamentação • Estrutura de IT Security como força de trabalho Proteção da Sociedade • Conteúdo variado disponível na Internet ISSA Brasil 8 Segurança da Informação Aplicada
  43. 43. Segurança da Informação hoje Proteção da Infra-estrutura • Legislações específicas e normas reguladoras • Atuação das forças militares e policiais Proteção das Empresas • Cumprimento da legislação e autoregulamentação • Estrutura de IT Security como força de trabalho Proteção da Sociedade • Conteúdo variado disponível na Internet • Atuação de ONGs e grupos de trabalho ISSA Brasil 8 Segurança da Informação Aplicada
  44. 44. Segurança da Informação hoje ISSA Brasil 9 Segurança da Informação Aplicada
  45. 45. Segurança da Informação hoje ISSA Brasil 10 Segurança da Informação Aplicada
  46. 46. Segurança da Informação amanhã? ISSA Brasil 11 Segurança da Informação Aplicada
  47. 47. Segurança da Informação amanhã? ISSA Brasil 11 Segurança da Informação Aplicada
  48. 48. A Aplicação da Segurança da Informação ISSA Brasil 12 Segurança da Informação Aplicada
  49. 49. Distribuição de controles ISSA Brasil 13 Segurança da Informação Aplicada
  50. 50. Distribuição de controles Estrutura ISSA Brasil 13 Segurança da Informação Aplicada
  51. 51. Distribuição de controles Estrutura • Alinhamento de necessidades de performance com requisitos de segurança para os ativos da organização ISSA Brasil 13 Segurança da Informação Aplicada
  52. 52. Distribuição de controles Estrutura • Alinhamento de necessidades de performance com requisitos de segurança para os ativos da organização • Qual é o nível de risco que você está disposto a correr? ISSA Brasil 13 Segurança da Informação Aplicada
  53. 53. Distribuição de controles Estrutura • Alinhamento de necessidades de performance com requisitos de segurança para os ativos da organização • Qual é o nível de risco que você está disposto a correr? • Quais controles compensatórios podem ser implementados? ISSA Brasil 13 Segurança da Informação Aplicada
  54. 54. Distribuição de controles Estrutura • Alinhamento de necessidades de performance com requisitos de segurança para os ativos da organização • Qual é o nível de risco que você está disposto a correr? • Quais controles compensatórios podem ser implementados? Abordagem ISSA Brasil 13 Segurança da Informação Aplicada
  55. 55. Distribuição de controles Estrutura • Alinhamento de necessidades de performance com requisitos de segurança para os ativos da organização • Qual é o nível de risco que você está disposto a correr? • Quais controles compensatórios podem ser implementados? Abordagem • Nível de Segurança atual x Modelo Planejado ISSA Brasil 13 Segurança da Informação Aplicada
  56. 56. Distribuição de controles Estrutura • Alinhamento de necessidades de performance com requisitos de segurança para os ativos da organização • Qual é o nível de risco que você está disposto a correr? • Quais controles compensatórios podem ser implementados? Abordagem • Nível de Segurança atual x Modelo Planejado • Evolução do nível de maturidade ISSA Brasil 13 Segurança da Informação Aplicada
  57. 57. Distribuição de controles Estrutura • Alinhamento de necessidades de performance com requisitos de segurança para os ativos da organização • Qual é o nível de risco que você está disposto a correr? • Quais controles compensatórios podem ser implementados? Abordagem • Nível de Segurança atual x Modelo Planejado • Evolução do nível de maturidade • Modelo de Gestão adequado à sua realidade ISSA Brasil 13 Segurança da Informação Aplicada
  58. 58. Governança, Risco e Compliance ISSA Brasil 14 Segurança da Informação Aplicada
  59. 59. Governança, Risco e Compliance Definição ISSA Brasil 14 Segurança da Informação Aplicada
  60. 60. Governança, Risco e Compliance Definição • GRC é um termo que tem crescido nas discussões sobre IT Security nas organizações ISSA Brasil 14 Segurança da Informação Aplicada
  61. 61. Governança, Risco e Compliance Definição • GRC é um termo que tem crescido nas discussões sobre IT Security nas organizações • Gestão de múltiplas atividades que trabalham em conjunto para atender às premissas estabelecidas pela organização ISSA Brasil 14 Segurança da Informação Aplicada
  62. 62. Governança, Risco e Compliance ISSA Brasil 15 Segurança da Informação Aplicada
  63. 63. Governança, Risco e Compliance Responsabilidade do Corpo Executivo Governança ISSA Brasil 15 Segurança da Informação Aplicada
  64. 64. Governança, Risco e Compliance Gestão de níveis Responsabilidade do aceitáveis pela Corpo Executivo Organização Governança Risco ISSA Brasil 15 Segurança da Informação Aplicada
  65. 65. Governança, Risco e Compliance Gestão de níveis Aderência a Responsabilidade do aceitáveis pela regulamentações, Corpo Executivo Organização normas e Legislação Governança Risco Compliance ISSA Brasil 15 Segurança da Informação Aplicada
  66. 66. Governança, Risco e Compliance Governança Risco Compliance ISSA Brasil 16 Segurança da Informação Aplicada
  67. 67. Governança, Risco e Compliance Governança Risco Compliance ISSA Brasil 16 Segurança da Informação Aplicada
  68. 68. Governança, Risco e Compliance • Definição do nível de risco • Suporte na aderência às Práticas de Mercado Governança • Alocação de recursos Risco Compliance ISSA Brasil 16 Segurança da Informação Aplicada
  69. 69. Governança, Risco e Compliance • Definição do nível de risco • Suporte na aderência às Práticas de Mercado Governança • Alocação de recursos • Performance x Segurança • Aceite de controles compensatórios Risco • Parceiros e fornecedores Compliance ISSA Brasil 16 Segurança da Informação Aplicada
  70. 70. Governança, Risco e Compliance • Definição do nível de risco • Suporte na aderência às Práticas de Mercado Governança • Alocação de recursos • Performance x Segurança • Aceite de controles compensatórios Risco • Parceiros e fornecedores • Legislação (Código Civil) • Regulamentação (BACEN 3.380, SUSEPE) Compliance • Práticas de Mercado (PCI DSS, SOX) ISSA Brasil 16 Segurança da Informação Aplicada
  71. 71. Posicionamento de controles ISSA Brasil 17 Segurança da Informação Aplicada
  72. 72. Posicionamento de controles Os controles estão distribuídos em áreas específicas, porém podem e devem ser gerenciados de forma conjunta ISSA Brasil 17 Segurança da Informação Aplicada
  73. 73. Posicionamento de controles Os controles estão distribuídos em áreas específicas, porém podem e devem ser gerenciados de forma conjunta Controles Documentais • Políticas de Segurança • Normas de Uso • Padrões Técnicos ISSA Brasil 17 Segurança da Informação Aplicada
  74. 74. Posicionamento de controles Os controles estão distribuídos em áreas específicas, porém podem e devem ser gerenciados de forma conjunta Controles Documentais Controles Processuais • Políticas de Segurança • Administração de • Normas de Uso Patches • Padrões Técnicos • Treinamento e Capacitação • Resposta a Incidentes ISSA Brasil 17 Segurança da Informação Aplicada
  75. 75. Posicionamento de controles Os controles estão distribuídos em áreas específicas, porém podem e devem ser gerenciados de forma conjunta Controles Documentais Controles Processuais Controles Técnicos • Políticas de Segurança • Administração de • Rede de Dados • Normas de Uso Patches • Aplicações Legadas • Padrões Técnicos • Treinamento e • Desenvolvimento Capacitação • Resposta a Incidentes ISSA Brasil 17 Segurança da Informação Aplicada
  76. 76. Controles Documentais ISSA Brasil 18 Segurança da Informação Aplicada
  77. 77. Controles Documentais Definição ISSA Brasil 18 Segurança da Informação Aplicada
  78. 78. Controles Documentais Definição • Estabelecem os critérios que devem ser aplicados na proteção das informações da Organização ISSA Brasil 18 Segurança da Informação Aplicada
  79. 79. Controles Documentais Definição • Estabelecem os critérios que devem ser aplicados na proteção das informações da Organização Modelos ISSA Brasil 18 Segurança da Informação Aplicada
  80. 80. Controles Documentais Definição • Estabelecem os critérios que devem ser aplicados na proteção das informações da Organização Modelos • Legislação e Regulamentações específicas ISSA Brasil 18 Segurança da Informação Aplicada
  81. 81. Controles Documentais Definição • Estabelecem os critérios que devem ser aplicados na proteção das informações da Organização Modelos • Legislação e Regulamentações específicas • Práticas de mercado estruturadas em normas ISSA Brasil 18 Segurança da Informação Aplicada
  82. 82. Controles Documentais Definição • Estabelecem os critérios que devem ser aplicados na proteção das informações da Organização Modelos • Legislação e Regulamentações específicas • Práticas de mercado estruturadas em normas • Política de Segurança da Informação ISSA Brasil 18 Segurança da Informação Aplicada
  83. 83. Controles Processuais ISSA Brasil 19 Segurança da Informação Aplicada
  84. 84. Controles Processuais Definição ISSA Brasil 19 Segurança da Informação Aplicada
  85. 85. Controles Processuais Definição • Definem como os processos internos devem ser desenvolvidos para atender os critérios estabelecidos para a proteção das informações da Organização ISSA Brasil 19 Segurança da Informação Aplicada
  86. 86. Controles Processuais Definição • Definem como os processos internos devem ser desenvolvidos para atender os critérios estabelecidos para a proteção das informações da Organização Modelos ISSA Brasil 19 Segurança da Informação Aplicada
  87. 87. Controles Processuais Definição • Definem como os processos internos devem ser desenvolvidos para atender os critérios estabelecidos para a proteção das informações da Organização Modelos • Postura administrativa e gerencial ISSA Brasil 19 Segurança da Informação Aplicada
  88. 88. Controles Processuais Definição • Definem como os processos internos devem ser desenvolvidos para atender os critérios estabelecidos para a proteção das informações da Organização Modelos • Postura administrativa e gerencial • Estabelecimento de processos internos ISSA Brasil 19 Segurança da Informação Aplicada
  89. 89. Controles Processuais Definição • Definem como os processos internos devem ser desenvolvidos para atender os critérios estabelecidos para a proteção das informações da Organização Modelos • Postura administrativa e gerencial • Estabelecimento de processos internos • Procedimentos Operacionais e Instruções Técnicas ISSA Brasil 19 Segurança da Informação Aplicada
  90. 90. Controles Técnicos ISSA Brasil 20 Segurança da Informação Aplicada
  91. 91. Controles Técnicos Definição ISSA Brasil 20 Segurança da Informação Aplicada
  92. 92. Controles Técnicos Definição • Realizam o enforcement necessário para que os processos internos sejam desenvolvidos atendendo os critérios estabelecidos para a proteção das informações da Organização ISSA Brasil 20 Segurança da Informação Aplicada
  93. 93. Controles Técnicos Definição • Realizam o enforcement necessário para que os processos internos sejam desenvolvidos atendendo os critérios estabelecidos para a proteção das informações da Organização Modelos ISSA Brasil 20 Segurança da Informação Aplicada
  94. 94. Controles Técnicos Definição • Realizam o enforcement necessário para que os processos internos sejam desenvolvidos atendendo os critérios estabelecidos para a proteção das informações da Organização Modelos • Hardware e Software dedicados ISSA Brasil 20 Segurança da Informação Aplicada
  95. 95. Controles Técnicos Definição • Realizam o enforcement necessário para que os processos internos sejam desenvolvidos atendendo os critérios estabelecidos para a proteção das informações da Organização Modelos • Hardware e Software dedicados • Parametrização do Ambiente Informatizado ISSA Brasil 20 Segurança da Informação Aplicada
  96. 96. Controles Técnicos Definição • Realizam o enforcement necessário para que os processos internos sejam desenvolvidos atendendo os critérios estabelecidos para a proteção das informações da Organização Modelos • Hardware e Software dedicados • Parametrização do Ambiente Informatizado • Forma de atuação do Corpo Técnico ISSA Brasil 20 Segurança da Informação Aplicada
  97. 97. Juntando as peças em uma composição ISSA Brasil 21 Segurança da Informação Aplicada
  98. 98. Juntando as peças em uma composição ISSA Brasil 21 Segurança da Informação Aplicada
  99. 99. Juntando as peças em uma composição Perímetro de Segurança Física ISSA Brasil 21 Segurança da Informação Aplicada
  100. 100. Juntando as peças em uma composição Perímetro de Segurança Física Controle de Acesso Físico ISSA Brasil 21 Segurança da Informação Aplicada
  101. 101. Juntando as peças em uma composição Perímetro de Segurança Física Controle de Acesso Físico Controle de Acesso na Rede de Dados ISSA Brasil 21 Segurança da Informação Aplicada
  102. 102. Juntando as peças em uma composição Perímetro de Segurança Física Controle de Acesso Controle de Acesso Físico na Aplicação Controle de Acesso na Rede de Dados ISSA Brasil 21 Segurança da Informação Aplicada
  103. 103. Juntando as peças em uma composição Perímetro de Segurança Física Criptografia de Arquivos Controle de Acesso Controle de Acesso Físico na Aplicação Controle de Acesso na Rede de Dados ISSA Brasil 21 Segurança da Informação Aplicada
  104. 104. Juntando as peças em uma composição Perímetro de Segurança Física Criptografia de Arquivos Controle de Acesso Controle de Acesso Físico na Aplicação Como administrar Controle de Acesso este modelo? na Rede de Dados ISSA Brasil 21 Segurança da Informação Aplicada
  105. 105. A mudança de postura no modelo de administração do risco ISSA Brasil 22 Segurança da Informação Aplicada
  106. 106. A Postura Atual ISSA Brasil 23 Segurança da Informação Aplicada
  107. 107. A Postura Atual Modelo Comum ISSA Brasil 23 Segurança da Informação Aplicada
  108. 108. A Postura Atual Modelo Comum • Estabelecimento de uma política de segurança baseada em normas de mercado e com medidas restritivas ISSA Brasil 23 Segurança da Informação Aplicada
  109. 109. A Postura Atual Modelo Comum • Estabelecimento de uma política de segurança baseada em normas de mercado e com medidas restritivas • Posicionamento de uma ferramenta de controle de aderência ISSA Brasil 23 Segurança da Informação Aplicada
  110. 110. A Postura Atual Modelo Comum • Estabelecimento de uma política de segurança baseada em normas de mercado e com medidas restritivas • Posicionamento de uma ferramenta de controle de aderência Problemas Identificados ISSA Brasil 23 Segurança da Informação Aplicada
  111. 111. A Postura Atual Modelo Comum • Estabelecimento de uma política de segurança baseada em normas de mercado e com medidas restritivas • Posicionamento de uma ferramenta de controle de aderência Problemas Identificados • Não existe um modelo pronto para cada Organização ISSA Brasil 23 Segurança da Informação Aplicada
  112. 112. A Postura Atual Modelo Comum • Estabelecimento de uma política de segurança baseada em normas de mercado e com medidas restritivas • Posicionamento de uma ferramenta de controle de aderência Problemas Identificados • Não existe um modelo pronto para cada Organização • A implementação abrupta causa reações não planejadas ISSA Brasil 23 Segurança da Informação Aplicada
  113. 113. A Postura Atual Modelo Comum • Estabelecimento de uma política de segurança baseada em normas de mercado e com medidas restritivas • Posicionamento de uma ferramenta de controle de aderência Problemas Identificados • Não existe um modelo pronto para cada Organização • A implementação abrupta causa reações não planejadas • Postura em relação ao cumprimento dos controles estabelecidos ISSA Brasil 23 Segurança da Informação Aplicada
  114. 114. Resultados para a Sociedade ISSA Brasil 24 Segurança da Informação Aplicada
  115. 115. Resultados para a Sociedade Vulnerabilidades Catalogadas pelo CERT 9000 6750 4500 2250 0 2000 2001 2002 2003 2004 2005 2006 2007 2008 ISSA Brasil 24 Segurança da Informação Aplicada
  116. 116. Resultados para a Sociedade Vulnerabilidades Catalogadas pelo CERT 9000 Resultados do 1o Trimestre 6750 4500 2250 0 2000 2001 2002 2003 2004 2005 2006 2007 2008 ISSA Brasil 24 Segurança da Informação Aplicada
  117. 117. Resultados para as Organizações ISSA Brasil 25 Segurança da Informação Aplicada
  118. 118. Resultados para as Organizações Perdas no e-Commerce nos EUA $4,000,000,000.00 $3,000,000,000.00 $2,000,000,000.00 $1,000,000,000.00 $0 2000 2002 2004 2006 2008 Fonte: Cybersource Annual On Line Fraud Report 2009 ISSA Brasil 25 Segurança da Informação Aplicada
  119. 119. Controles Documentais ISSA Brasil 26 Segurança da Informação Aplicada
  120. 120. Controles Documentais Ponto de Atenção ISSA Brasil 26 Segurança da Informação Aplicada
  121. 121. Controles Documentais Ponto de Atenção • Não existe um modelo de política pronto para cada Organização ISSA Brasil 26 Segurança da Informação Aplicada
  122. 122. Controles Documentais Ponto de Atenção • Não existe um modelo de política pronto para cada Organização Recomendações ISSA Brasil 26 Segurança da Informação Aplicada
  123. 123. Controles Documentais Ponto de Atenção • Não existe um modelo de política pronto para cada Organização Recomendações • Equilíbrio entre atendimento a aderência requerida com o que a Organização efetivamente pode gerenciar ISSA Brasil 26 Segurança da Informação Aplicada
  124. 124. Controles Documentais Ponto de Atenção • Não existe um modelo de política pronto para cada Organização Recomendações • Equilíbrio entre atendimento a aderência requerida com o que a Organização efetivamente pode gerenciar • A definição de Política de Segurança deve ser clara para todos ISSA Brasil 26 Segurança da Informação Aplicada
  125. 125. Controles Documentais Ponto de Atenção • Não existe um modelo de política pronto para cada Organização Recomendações • Equilíbrio entre atendimento a aderência requerida com o que a Organização efetivamente pode gerenciar • A definição de Política de Segurança deve ser clara para todos • A análise de riscos tem um papel definido, use-a ISSA Brasil 26 Segurança da Informação Aplicada
  126. 126. Controles Processuais ISSA Brasil 27 Segurança da Informação Aplicada
  127. 127. Controles Processuais Ponto de Atenção ISSA Brasil 27 Segurança da Informação Aplicada
  128. 128. Controles Processuais Ponto de Atenção • A implementação abrupta causa reações não planejadas ISSA Brasil 27 Segurança da Informação Aplicada
  129. 129. Controles Processuais Ponto de Atenção • A implementação abrupta causa reações não planejadas Recomendações ISSA Brasil 27 Segurança da Informação Aplicada
  130. 130. Controles Processuais Ponto de Atenção • A implementação abrupta causa reações não planejadas Recomendações • Processos devem ser alterados de forma gradual e adaptados à realidade de cada Organização, nunca o contrário ISSA Brasil 27 Segurança da Informação Aplicada
  131. 131. Controles Processuais Ponto de Atenção • A implementação abrupta causa reações não planejadas Recomendações • Processos devem ser alterados de forma gradual e adaptados à realidade de cada Organização, nunca o contrário • A integração do modelo às características da Organização é o principal ponto de atenção a ser observado ISSA Brasil 27 Segurança da Informação Aplicada
  132. 132. Controles Processuais Ponto de Atenção • A implementação abrupta causa reações não planejadas Recomendações • Processos devem ser alterados de forma gradual e adaptados à realidade de cada Organização, nunca o contrário • A integração do modelo às características da Organização é o principal ponto de atenção a ser observado • A definição de responsabilidades é parte do processo ISSA Brasil 27 Segurança da Informação Aplicada
  133. 133. Controles Técnicos ISSA Brasil 28 Segurança da Informação Aplicada
  134. 134. Controles Técnicos Ponto de Atenção ISSA Brasil 28 Segurança da Informação Aplicada
  135. 135. Controles Técnicos Ponto de Atenção • Postura em relação ao cumprimento dos controles estabelecidos ISSA Brasil 28 Segurança da Informação Aplicada
  136. 136. Controles Técnicos Ponto de Atenção • Postura em relação ao cumprimento dos controles estabelecidos Recomendações ISSA Brasil 28 Segurança da Informação Aplicada
  137. 137. Controles Técnicos Ponto de Atenção • Postura em relação ao cumprimento dos controles estabelecidos Recomendações • Os controles técnicos, assim como os demais, não são restritos ao universo de TI da Organização ISSA Brasil 28 Segurança da Informação Aplicada
  138. 138. Controles Técnicos Ponto de Atenção • Postura em relação ao cumprimento dos controles estabelecidos Recomendações • Os controles técnicos, assim como os demais, não são restritos ao universo de TI da Organização • A parametrização do Ambiente Informatizado deve observar a integração entre todos os componentes ISSA Brasil 28 Segurança da Informação Aplicada
  139. 139. Controles Técnicos Ponto de Atenção • Postura em relação ao cumprimento dos controles estabelecidos Recomendações • Os controles técnicos, assim como os demais, não são restritos ao universo de TI da Organização • A parametrização do Ambiente Informatizado deve observar a integração entre todos os componentes • Um bom técnico não é necessariamente um bom especialista em IT Security ISSA Brasil 28 Segurança da Informação Aplicada
  140. 140. A Postura Positiva ISSA Brasil 29 Segurança da Informação Aplicada
  141. 141. A Postura Positiva Tecnologia Negócio ISSA Brasil 29 Segurança da Informação Aplicada
  142. 142. A Postura Positiva Tecnologia Negócio Reativa Adequada ISSA Brasil 29 Segurança da Informação Aplicada
  143. 143. A Postura Positiva Tecnologia Negócio Reativa Adequada Correção Prevenção ISSA Brasil 29 Segurança da Informação Aplicada
  144. 144. A Postura Positiva Tecnologia Negócio Reativa Adequada Correção Prevenção Isolada Integrada ISSA Brasil 29 Segurança da Informação Aplicada
  145. 145. A Postura Positiva Tecnologia Negócio Reativa Adequada Correção Prevenção Isolada Integrada Administração Gestão ISSA Brasil 29 Segurança da Informação Aplicada
  146. 146. Última Consideração ISSA Brasil 30 Segurança da Informação Aplicada
  147. 147. Última Consideração Security is a process, not a product. Products provide some protection, but the only way to effectively do business in an insecure world is to put processes in place that recognize the inherent insecurity in the products. The trick is to reduce your risk of exposure regardless of the products or patches. Bruce Schneier ISSA Brasil 30 Segurança da Informação Aplicada
  148. 148. Fontes de Referência ISSA Brasil 31 Segurança da Informação Aplicada
  149. 149. Fontes de Referência North American Electric Reliability Corporation (NERC) ISSA Brasil 31 Segurança da Informação Aplicada
  150. 150. Fontes de Referência North American Electric Reliability Corporation (NERC) • http://www.nerc.com/ ISSA Brasil 31 Segurança da Informação Aplicada
  151. 151. Fontes de Referência North American Electric Reliability Corporation (NERC) • http://www.nerc.com/ Electricity Sector - Information Sharing and Analysis Center (ES- ISAC) ISSA Brasil 31 Segurança da Informação Aplicada
  152. 152. Fontes de Referência North American Electric Reliability Corporation (NERC) • http://www.nerc.com/ Electricity Sector - Information Sharing and Analysis Center (ES- ISAC) • http://www.esisac.com/ ISSA Brasil 31 Segurança da Informação Aplicada
  153. 153. Fontes de Referência North American Electric Reliability Corporation (NERC) • http://www.nerc.com/ Electricity Sector - Information Sharing and Analysis Center (ES- ISAC) • http://www.esisac.com/ The International Society of Automation (ISA) ISSA Brasil 31 Segurança da Informação Aplicada
  154. 154. Fontes de Referência North American Electric Reliability Corporation (NERC) • http://www.nerc.com/ Electricity Sector - Information Sharing and Analysis Center (ES- ISAC) • http://www.esisac.com/ The International Society of Automation (ISA) • SA99, Industrial Automation and Control System Security disponível em http://www.isa.org/MSTemplate.cfm? Section=Home964&Site=SP99,_Manufacturing_and_Control_Systems_Secu rity1&Template=/ContentManagement/ MSContentDisplay.cfm&ContentID=77617 ISSA Brasil 31 Segurança da Informação Aplicada
  155. 155. 1o Encontro do Subcomitê de Segurança da Informação RIO DE JANEIRO, 17 DE AGOSTO DE 2009 Segurança da Informação Aplicada Eduardo Vianna de Camargo Neves, CISSP ISSA Brasil www.issabrasil.org

×