Agir gestão de riscos em segurança cibernética cnasi df 27nov2017 div

1. A.G.I.R Automatização de Gestão Integrada de Riscos Segurança Cibernética Gestão Integrada de Riscos em Segurança Cibernética Brasília, 27 de novembro de 2017 Carlos Affonso | caffonso@modulo.com Fernando Nery | fnery@modulo.com Apresentação para:

2. [Gestão] [Integrada] [de Riscos] [em Segurança Cibernética] • Visão Geral

3. Melhores Práticas, Benchmarks e Consensos ISO 27005 – Gestão de Riscos ISO 27032 – Segurança Cibernética ISO 27014 – Governança de Segurança

4. Gestão Integrada de Riscos em Segurança Cibernética Ativos de TI PEI PPA,LOA Lei 8666 IN 04 MP Boas Práticas MP Planejamento Seleção Gestão do Contrato BSC Cobit, Itil SISP ISO 270## CIS Top 20 e Benchmarking GSI / DSIC Boas Práticas TCU Política de Gestão de Riscos INC 01 CGU/MP Lei 13.303 COSO 2017 ISO 31000 2017 RCA TCU Marco Regulatório Internet Privacidade Combate a Fraudes Lei de Acesso à Informação Leis Normativos do Governo Melhores Práticas Transparência Dados Abertos PDTIC Segurança Cibernética POSICSC Decreto 9.203/17

5. Gestão Integrada de Riscos em Segurança Cibernética

6. Gestão Integrada de Riscos em Segurança Cibernética 1 Estabelecimento do Contexto Inventário de Ativos Cibernéticos 2 Identificação de Riscos Organização das Bases de Conhecimento 3 Análise de Riscos Registro de Ocorrências e Coletas 4 Avaliação de Riscos Visão Situacional 5 Tratamento de Riscos Workflow e Canais de Comunicação

7. Framework Exemplo Gestão Integrada de Riscos em Segurança Cibernética Inventariar Pessoas, Processos, Sistemas e Ambientes Aplicar questionários de pessoas, processos, ambientes e Top 5/20 Organizar bases de conhecimento Vincular ativos de TIC a pessoas, processos, sistemas e ambiente Inventariar ativos de TIC Contexto Identificar Riscos Analisar Riscos Análise de Vulnerabilidade Análise de Controles e Benchmarking CIS Oval Avaliar Riscos Tratar Riscos Avaliação de Riscos: Aceitar ou Tratar Definição de Baselines Monitoramento, Registro de ocorrências e Alertas SIEM Tratamento, Resposta, Implementação Teste de Invasão Visão Situacional, Governança e Monitoramento Executivo Retaguarda Técnica Inteligência Cibernética em Fontes Abertas - OSINT

8. Gestão Integrada de Riscos em Segurança Cibernética One Page Cybersecurity Management

9. Registro de Ocorrências Gestão de Incidentes Remediação Planejamento Alertas Gestão Integrada de Riscos em Segurança Cibernética Visão Geral da Integração Visão Executiva Processos Pessoas Ambiente

10. Visão Geral da Integração

12. Framework - Gestão Integrada de Riscos em Segurança Cibernética Inventariar Pessoas, Processos, Sistemas e Ambientes Aplicar questionários de pessoas, processos, ambientes e Top 5/20 Organizar bases de conhecimento Vincular ativos de TIC a pessoas, processos, sistemas e ambiente Inventariar ativos de TIC Contexto Identificar Riscos Analisar Riscos Análise de Vulnerabilidade Análise de Controles e Benchmarking CIS Oval Avaliar Riscos Tratar Riscos Avaliação de Riscos: Aceitar ou Tratar Definição de Baselines Monitoramento, Registro de ocorrências e Alertas SIEM Tratamento, Resposta, Implementação Visão Situacional, Governança e Monitoramento Executivo

13. Contexto Inventariar Ativos

16. Contexto 2.1 Organizar bases de conhecimento e benchmarkings

20. Análise de Riscos 3.1 Questionários de pessoas, processos, ambientes e CIS Top 5 / 20

22. Análise de Riscos 3.2 Análise de Vulnerabilidade

24. Análise de Riscos 3.3 Controles: Bases de conhecimento, benchmarking, baselines - script Oval CIS

26. Alertas, Alarmes e Ocorrências ... Avaliação de Riscos 4.3 Registro de ocorrências e monitoramento de alarmes

29. Avaliação de Riscos Avaliação de riscos: Aceitar ou Tratar

30. Avaliação de Riscos Avaliação de riscos: Aceitar ou Tratar

31. Avaliação de Riscos 4.1 Avaliação de riscos: Aceitar ou Tratar

33. Avaliação de Riscos 4.2 Definição de baselines para análise Windows Server 2012 309 controles Exemplo de baseline Windows Server 2012 30 controles

36. Tratamento de Riscos 5.1 Workflow e canais de comunicação

39. Tratamento de Riscos Mapeamento e implementação de processos no Sistema – CSIRT, SOC etc

41. Avaliação de Riscos 4.1 Avaliação de riscos: Aceitar ou Tratar

42. Benefícios Adotar padrões internacionais de segurança cibernética Atender às normas brasileiras de segurança da informação e cibernética Implementar Visão Situacional Técnica e Executiva Manter parâmetros objetivos para a gestão de segurança cibernética Aumentar o conhecimento Aumentar a capacidade de tomar decisão Antecipar aos fatos Aproveitar investimentos já realizados Aumentar a capacidade de resposta Visão Integrada de Análise de Vulnerabilidades, Análise de Riscos e SIEM Workflow para tratamento de incidentes e não- conformidades Verificação automática de controles por meio de OvalCIS e Análise de vulnerabilidade Ligação de ativos de TI com processos de negócios Pontuação de relevância para ativos de TI Canais de comunicação Workflow com equipes especializadas Análise de ativos não-TI (pessoas, processos, ambientes) Pesquisas com usuários Atestação de políticas ...

43. Obrigado! A.G.I.R Automatização de Gestão Integrada de Riscos Segurança Cibernética Gestão Integrada de Riscos em Segurança Cibernética Brasília, 27 de novembro de 2017 Carlos Affonso | caffonso@modulo.com Fernando Nery | fnery@modulo.com Apresentação para:

Agir gestão de riscos em segurança cibernética cnasi df 27nov2017 div

Recomendados

Recomendados

Mais conteúdo relacionado

Semelhante a Agir gestão de riscos em segurança cibernética cnasi df 27nov2017 div

Semelhante a Agir gestão de riscos em segurança cibernética cnasi df 27nov2017 div (20)

Mais de Fernando Nery

Mais de Fernando Nery (20)

Agir gestão de riscos em segurança cibernética cnasi df 27nov2017 div