Este documento discute por que os gestores devem valorizar os controles técnicos de segurança. Apresenta dados sobre incidentes comuns que poderiam ser evitados com controles simples e explora por que os controles técnicos nem sempre recebem a atenção devida, apesar de fundamentarem a segurança. Defende que os gestores reavaliem como alocam seu tempo para dar mais ênfase aos controles técnicos.

1. Como transformar abotoaduras em bonés
Por que os gestores devem valorizar os controles técnicos de segurança
Eduardo Vianna de Camargo Neves
Gerente de Operações, Conviso IT Security
www.conviso.com.br
Saturday, June 20, 2009

2. Sobre esta Apresentação
• Discussão aberta
• Posicionamento pessoal
• Troca de experiências
• Busca de soluções
Conviso IT Security 2 You Shot the Sheriff 2009
Saturday, June 20, 2009

3. O Grande Motivador
Conviso IT Security 3 You Shot the Sheriff 2009
Saturday, June 20, 2009

4. O Grande Motivador
Conviso IT Security 4 You Shot the Sheriff 2009
Saturday, June 20, 2009

5. O Grande Motivador
Conviso IT Security 5 You Shot the Sheriff 2009
Saturday, June 20, 2009

6. Mas quais são os resultados?
Conviso IT Security 6 You Shot the Sheriff 2009
Saturday, June 20, 2009

7. Controles Técnicos fundamentam a segurança
• Políticas de Segurança x Security Policies
• Classificação de Segurança x RBAC
• Sensitivity Labeling x Criptografia
• Secure Development Life Cycle x Patching
Conviso IT Security 7 You Shot the Sheriff 2009
Saturday, June 20, 2009

8. Porém ....
• Heartland Payment Systems Informações de
cartões de créditos acessadas por crackers
• JFY Networks Website crackeado expõe nomes,
endereços e social security numbers de clientes
• Telefonica Problemas de instabilidade na rede de
dados causados por ataques externos que
comprometeram os DNS
Conviso IT Security 8 You Shot the Sheriff 2009
Saturday, June 20, 2009

9. Porém ....
• Verizon 2009 Data Breach Investigations Report
• 67% facilitadas por erros significativos
• 83% foram resultantes de ataques sem
complexidade
• 87% poderiam ter sido evitadas através de
controles simples
Conviso IT Security 9 You Shot the Sheriff 2009
Saturday, June 20, 2009

10. Mas por que isso acontece?
Conviso IT Security 10 You Shot the Sheriff 2009
Saturday, June 20, 2009

11. Como é a rotina típica de um CSO?
• Burocracia é parte do processo
• Valor Agregado
• Metas arrojadas (indecentes?)
• Equipe mal dimensionada
Conviso IT Security 11 You Shot the Sheriff 2009
Saturday, June 20, 2009

12. Qual é o resultado?
• Alocação de tempo
• Auditoria x Controles Eficazes
• Mudança nas competências
• Meta para muita gente?
Conviso IT Security 12 You Shot the Sheriff 2009
Saturday, June 20, 2009

13. Meus 5 cents
Conviso IT Security 13 You Shot the Sheriff 2009
Saturday, June 20, 2009

14. Meus 5 cents
• Conhecimento agregado, sempre
• Controles técnicos fundamentam o GRC
• Pense em como o seu tempo está alocado
• Existe carreira em Y, acredite
• Não esqueça a abotoadura, mas lembre-se de quando
você usava boné
Conviso IT Security 14 You Shot the Sheriff 2009
Saturday, June 20, 2009

15. Lembre-se, não é necessário usar uma
abotoadura para ser um bom profissional
Conviso IT Security 15 You Shot the Sheriff 2009
Saturday, June 20, 2009

16. Lembre-se, não é necessário usar uma
abotoadura para ser um bom profissional
Conviso IT Security 16 You Shot the Sheriff 2009
Saturday, June 20, 2009

17. Como transformar abotoaduras em bonés
Por que os gestores devem valorizar os controles técnicos de segurança
Eduardo Vianna de Camargo Neves
Gerente de Operações, Conviso IT Security
www.conviso.com.br
Saturday, June 20, 2009

18. Referências
• Dados sobre incidentes em
• 2009 Data Breach Investigations Report em http://
securityblog.verizonbusiness.com
• Instabilidade na Telefonica em http://
www.convergenciadigital.com.br/cgi/cgilua.exe/sys/
start.htm?infoid=19081&sid=18
Conviso IT Security 18 You Shot the Sheriff 2009
Saturday, June 20, 2009