Segurança da Informação Aplicada
•Transferir como KEY, PDF•
8 gostaram•1,201 visualizações
Ontem representei o Chapter Brasil da ISSA, apresentando uma palestra sobre Segurança da Informação Aplicada, no 1o Encontro do Subcomitê de Segurança da Informação (SCSI), com representantes de diversas empresas e entidades do setor elétrico brasileiro, realizado na cidade do Rio de Janeiro.
Recomendados
Mais conteúdo relacionado
Mais procurados
Mais procurados (13)
Destaque
Destaque (20)
Semelhante a Segurança da Informação Aplicada
Semelhante a Segurança da Informação Aplicada (20)
Segurança da Informação Aplicada
- 2. 1o Encontro do Subcomitê de Segurança da Informação RIO DE JANEIRO, 17 DE AGOSTO DE 2009 Segurança da Informação Aplicada Eduardo Vianna de Camargo Neves, CISSP ISSA Brasil www.issabrasil.org
- 3. Uma Visão Geral da Information Systems Security Association ISSA Brasil 2 Segurança da Informação Aplicada
- 4. Sobre a ISSA ISSA Brasil 3 Segurança da Informação Aplicada
- 5. Sobre a ISSA Papel na Sociedade ISSA Brasil 3 Segurança da Informação Aplicada
- 6. Sobre a ISSA Papel na Sociedade • Organização Internacional sem fins lucrativos de Profissionais de Segurança da Informação ISSA Brasil 3 Segurança da Informação Aplicada
- 7. Sobre a ISSA Papel na Sociedade • Organização Internacional sem fins lucrativos de Profissionais de Segurança da Informação • “The global voice of information security” ISSA Brasil 3 Segurança da Informação Aplicada
- 8. Sobre a ISSA Papel na Sociedade • Organização Internacional sem fins lucrativos de Profissionais de Segurança da Informação • “The global voice of information security” Estrutura Operacional ISSA Brasil 3 Segurança da Informação Aplicada
- 9. Sobre a ISSA Papel na Sociedade • Organização Internacional sem fins lucrativos de Profissionais de Segurança da Informação • “The global voice of information security” Estrutura Operacional • Mais de 10 mil membros distribuídos em 136 Capítulos ISSA Brasil 3 Segurança da Informação Aplicada
- 10. Sobre a ISSA Papel na Sociedade • Organização Internacional sem fins lucrativos de Profissionais de Segurança da Informação • “The global voice of information security” Estrutura Operacional • Mais de 10 mil membros distribuídos em 136 Capítulos • Presente em 70 países ISSA Brasil 3 Segurança da Informação Aplicada
- 11. Sobre a ISSA Papel na Sociedade • Organização Internacional sem fins lucrativos de Profissionais de Segurança da Informação • “The global voice of information security” Estrutura Operacional • Mais de 10 mil membros distribuídos em 136 Capítulos • Presente em 70 países • Mais de 100 membros no Brasil ISSA Brasil 3 Segurança da Informação Aplicada
- 12. Sobre a ISSA ISSA Brasil 4 Segurança da Informação Aplicada
- 13. Sobre a ISSA Por que se associar? ISSA Brasil 4 Segurança da Informação Aplicada
- 14. Sobre a ISSA Por que se associar? • Acesso a informações e eventos exclusivos ISSA Brasil 4 Segurança da Informação Aplicada
- 15. Sobre a ISSA Por que se associar? • Acesso a informações e eventos exclusivos • Networking on-line e off-line ISSA Brasil 4 Segurança da Informação Aplicada
- 16. Sobre a ISSA Por que se associar? • Acesso a informações e eventos exclusivos • Networking on-line e off-line • Descontos e promoções em eventos e atividades do setor ISSA Brasil 4 Segurança da Informação Aplicada
- 17. Sobre a ISSA Por que se associar? • Acesso a informações e eventos exclusivos • Networking on-line e off-line • Descontos e promoções em eventos e atividades do setor • Contribuição com a sociedade ISSA Brasil 4 Segurança da Informação Aplicada
- 18. Falando sobre Segurança da Informação ISSA Brasil 5 Segurança da Informação Aplicada
- 19. Histórico da Disciplina ISSA Brasil 6 Segurança da Informação Aplicada
- 20. Histórico da Disciplina Proteção da Informação ISSA Brasil 6 Segurança da Informação Aplicada
- 21. Histórico da Disciplina Proteção da Informação • Início durante as primeiras civilizações ISSA Brasil 6 Segurança da Informação Aplicada
- 22. Histórico da Disciplina Proteção da Informação • Início durante as primeiras civilizações • Alteração de escopo com o advento dos computadores ISSA Brasil 6 Segurança da Informação Aplicada
- 23. Histórico da Disciplina Proteção da Informação • Início durante as primeiras civilizações • Alteração de escopo com o advento dos computadores Segurança da Informação ISSA Brasil 6 Segurança da Informação Aplicada
- 24. Histórico da Disciplina Proteção da Informação • Início durante as primeiras civilizações • Alteração de escopo com o advento dos computadores Segurança da Informação • Competências militares durante a II Guerra Mundial ISSA Brasil 6 Segurança da Informação Aplicada
- 25. Histórico da Disciplina Proteção da Informação • Início durante as primeiras civilizações • Alteração de escopo com o advento dos computadores Segurança da Informação • Competências militares durante a II Guerra Mundial • Desenvolvimento nos EUA e Europa ISSA Brasil 6 Segurança da Informação Aplicada
- 26. Histórico da Disciplina Proteção da Informação • Início durante as primeiras civilizações • Alteração de escopo com o advento dos computadores Segurança da Informação • Competências militares durante a II Guerra Mundial • Desenvolvimento nos EUA e Europa • Alteração de escopo com o advento da Internet ISSA Brasil 6 Segurança da Informação Aplicada
- 27. Timeline ISSA Brasil 7 Segurança da Informação Aplicada
- 28. Timeline ISSA Brasil 7 Segurança da Informação Aplicada
- 29. Timeline Captain Cruch 1970 Cena Hacker Primeiros esforços para um modelo de IT Security ISSA Brasil 7 Segurança da Informação Aplicada
- 30. Timeline Captain The Cruch 414s 1970 1980 Cena Hacker Furtos on-line Primeiros Primeiras leis esforços para sobre IT um modelo de Security nos IT Security EUA ISSA Brasil 7 Segurança da Informação Aplicada
- 31. Timeline Captain The Caso Cruch 414s Citibank 1970 1980 1990 Cena Hacker Furtos on-line Cena Cracker Primeiros Primeiras leis esforços para sobre IT Eligible um modelo de Security nos Receiver 97 IT Security EUA ISSA Brasil 7 Segurança da Informação Aplicada
- 32. Timeline Captain The Caso Trustworthy Cruch 414s Citibank Computing 1970 1980 1990 2000 Cena Hacker Furtos on-line Cena Cracker ILOVEYOU Primeiros Primeiras leis Department of esforços para sobre IT Eligible Homeland um modelo de Security nos Receiver 97 Security IT Security EUA ISSA Brasil 7 Segurança da Informação Aplicada
- 33. Timeline Captain The Caso Trustworthy Casos no Cruch 414s Citibank Computing Brasil 1970 1980 1990 2000 2006 Cena Hacker Furtos on-line Cena Cracker ILOVEYOU DPF e DPC Primeiros Primeiras leis Department of esforços para sobre IT Eligible Homeland PCI Council um modelo de Security nos Receiver 97 Security IT Security EUA ISSA Brasil 7 Segurança da Informação Aplicada
- 34. Timeline Captain The Caso Trustworthy Casos no Heartland Cruch 414s Citibank Computing Brasil Payment 1970 1980 1990 2000 2006 2009 Cena Hacker Furtos on-line Cena Cracker ILOVEYOU DPF e DPC Crime Organizado Primeiros Primeiras leis Department of Lei de Crimes esforços para sobre IT Eligible Homeland PCI Council Cibernéticos no um modelo de Security nos Receiver 97 Security Brasil IT Security EUA ISSA Brasil 7 Segurança da Informação Aplicada
- 35. Segurança da Informação hoje ISSA Brasil 8 Segurança da Informação Aplicada
- 36. Segurança da Informação hoje Proteção da Infra-estrutura ISSA Brasil 8 Segurança da Informação Aplicada
- 37. Segurança da Informação hoje Proteção da Infra-estrutura • Legislações específicas e normas reguladoras ISSA Brasil 8 Segurança da Informação Aplicada
- 38. Segurança da Informação hoje Proteção da Infra-estrutura • Legislações específicas e normas reguladoras • Atuação das forças militares e policiais ISSA Brasil 8 Segurança da Informação Aplicada
- 39. Segurança da Informação hoje Proteção da Infra-estrutura • Legislações específicas e normas reguladoras • Atuação das forças militares e policiais Proteção das Empresas ISSA Brasil 8 Segurança da Informação Aplicada
- 40. Segurança da Informação hoje Proteção da Infra-estrutura • Legislações específicas e normas reguladoras • Atuação das forças militares e policiais Proteção das Empresas • Cumprimento da legislação e autoregulamentação ISSA Brasil 8 Segurança da Informação Aplicada
- 41. Segurança da Informação hoje Proteção da Infra-estrutura • Legislações específicas e normas reguladoras • Atuação das forças militares e policiais Proteção das Empresas • Cumprimento da legislação e autoregulamentação • Estrutura de IT Security como força de trabalho ISSA Brasil 8 Segurança da Informação Aplicada
- 42. Segurança da Informação hoje Proteção da Infra-estrutura • Legislações específicas e normas reguladoras • Atuação das forças militares e policiais Proteção das Empresas • Cumprimento da legislação e autoregulamentação • Estrutura de IT Security como força de trabalho Proteção da Sociedade ISSA Brasil 8 Segurança da Informação Aplicada
- 43. Segurança da Informação hoje Proteção da Infra-estrutura • Legislações específicas e normas reguladoras • Atuação das forças militares e policiais Proteção das Empresas • Cumprimento da legislação e autoregulamentação • Estrutura de IT Security como força de trabalho Proteção da Sociedade • Conteúdo variado disponível na Internet ISSA Brasil 8 Segurança da Informação Aplicada
- 44. Segurança da Informação hoje Proteção da Infra-estrutura • Legislações específicas e normas reguladoras • Atuação das forças militares e policiais Proteção das Empresas • Cumprimento da legislação e autoregulamentação • Estrutura de IT Security como força de trabalho Proteção da Sociedade • Conteúdo variado disponível na Internet • Atuação de ONGs e grupos de trabalho ISSA Brasil 8 Segurança da Informação Aplicada
- 45. Segurança da Informação hoje ISSA Brasil 9 Segurança da Informação Aplicada
- 46. Segurança da Informação hoje ISSA Brasil 10 Segurança da Informação Aplicada
- 47. Segurança da Informação amanhã? ISSA Brasil 11 Segurança da Informação Aplicada
- 48. Segurança da Informação amanhã? ISSA Brasil 11 Segurança da Informação Aplicada
- 49. A Aplicação da Segurança da Informação ISSA Brasil 12 Segurança da Informação Aplicada
- 50. Distribuição de controles ISSA Brasil 13 Segurança da Informação Aplicada
- 51. Distribuição de controles Estrutura ISSA Brasil 13 Segurança da Informação Aplicada
- 52. Distribuição de controles Estrutura • Alinhamento de necessidades de performance com requisitos de segurança para os ativos da organização ISSA Brasil 13 Segurança da Informação Aplicada
- 53. Distribuição de controles Estrutura • Alinhamento de necessidades de performance com requisitos de segurança para os ativos da organização • Qual é o nível de risco que você está disposto a correr? ISSA Brasil 13 Segurança da Informação Aplicada
- 54. Distribuição de controles Estrutura • Alinhamento de necessidades de performance com requisitos de segurança para os ativos da organização • Qual é o nível de risco que você está disposto a correr? • Quais controles compensatórios podem ser implementados? ISSA Brasil 13 Segurança da Informação Aplicada
- 55. Distribuição de controles Estrutura • Alinhamento de necessidades de performance com requisitos de segurança para os ativos da organização • Qual é o nível de risco que você está disposto a correr? • Quais controles compensatórios podem ser implementados? Abordagem ISSA Brasil 13 Segurança da Informação Aplicada
- 56. Distribuição de controles Estrutura • Alinhamento de necessidades de performance com requisitos de segurança para os ativos da organização • Qual é o nível de risco que você está disposto a correr? • Quais controles compensatórios podem ser implementados? Abordagem • Nível de Segurança atual x Modelo Planejado ISSA Brasil 13 Segurança da Informação Aplicada
- 57. Distribuição de controles Estrutura • Alinhamento de necessidades de performance com requisitos de segurança para os ativos da organização • Qual é o nível de risco que você está disposto a correr? • Quais controles compensatórios podem ser implementados? Abordagem • Nível de Segurança atual x Modelo Planejado • Evolução do nível de maturidade ISSA Brasil 13 Segurança da Informação Aplicada
- 58. Distribuição de controles Estrutura • Alinhamento de necessidades de performance com requisitos de segurança para os ativos da organização • Qual é o nível de risco que você está disposto a correr? • Quais controles compensatórios podem ser implementados? Abordagem • Nível de Segurança atual x Modelo Planejado • Evolução do nível de maturidade • Modelo de Gestão adequado à sua realidade ISSA Brasil 13 Segurança da Informação Aplicada
- 59. Governança, Risco e Compliance ISSA Brasil 14 Segurança da Informação Aplicada
- 60. Governança, Risco e Compliance Definição ISSA Brasil 14 Segurança da Informação Aplicada
- 61. Governança, Risco e Compliance Definição • GRC é um termo que tem crescido nas discussões sobre IT Security nas organizações ISSA Brasil 14 Segurança da Informação Aplicada
- 62. Governança, Risco e Compliance Definição • GRC é um termo que tem crescido nas discussões sobre IT Security nas organizações • Gestão de múltiplas atividades que trabalham em conjunto para atender às premissas estabelecidas pela organização ISSA Brasil 14 Segurança da Informação Aplicada
- 63. Governança, Risco e Compliance ISSA Brasil 15 Segurança da Informação Aplicada
- 64. Governança, Risco e Compliance Responsabilidade do Corpo Executivo Governança ISSA Brasil 15 Segurança da Informação Aplicada
- 65. Governança, Risco e Compliance Gestão de níveis Responsabilidade do aceitáveis pela Corpo Executivo Organização Governança Risco ISSA Brasil 15 Segurança da Informação Aplicada
- 66. Governança, Risco e Compliance Gestão de níveis Aderência a Responsabilidade do aceitáveis pela regulamentações, Corpo Executivo Organização normas e Legislação Governança Risco Compliance ISSA Brasil 15 Segurança da Informação Aplicada
- 67. Governança, Risco e Compliance Governança Risco Compliance ISSA Brasil 16 Segurança da Informação Aplicada
- 68. Governança, Risco e Compliance Governança Risco Compliance ISSA Brasil 16 Segurança da Informação Aplicada
- 69. Governança, Risco e Compliance • Definição do nível de risco • Suporte na aderência às Práticas de Mercado Governança • Alocação de recursos Risco Compliance ISSA Brasil 16 Segurança da Informação Aplicada
- 70. Governança, Risco e Compliance • Definição do nível de risco • Suporte na aderência às Práticas de Mercado Governança • Alocação de recursos • Performance x Segurança • Aceite de controles compensatórios Risco • Parceiros e fornecedores Compliance ISSA Brasil 16 Segurança da Informação Aplicada
- 71. Governança, Risco e Compliance • Definição do nível de risco • Suporte na aderência às Práticas de Mercado Governança • Alocação de recursos • Performance x Segurança • Aceite de controles compensatórios Risco • Parceiros e fornecedores • Legislação (Código Civil) • Regulamentação (BACEN 3.380, SUSEPE) Compliance • Práticas de Mercado (PCI DSS, SOX) ISSA Brasil 16 Segurança da Informação Aplicada
- 72. Posicionamento de controles ISSA Brasil 17 Segurança da Informação Aplicada
- 73. Posicionamento de controles Os controles estão distribuídos em áreas específicas, porém podem e devem ser gerenciados de forma conjunta ISSA Brasil 17 Segurança da Informação Aplicada
- 74. Posicionamento de controles Os controles estão distribuídos em áreas específicas, porém podem e devem ser gerenciados de forma conjunta Controles Documentais • Políticas de Segurança • Normas de Uso • Padrões Técnicos ISSA Brasil 17 Segurança da Informação Aplicada
- 75. Posicionamento de controles Os controles estão distribuídos em áreas específicas, porém podem e devem ser gerenciados de forma conjunta Controles Documentais Controles Processuais • Políticas de Segurança • Administração de • Normas de Uso Patches • Padrões Técnicos • Treinamento e Capacitação • Resposta a Incidentes ISSA Brasil 17 Segurança da Informação Aplicada
- 76. Posicionamento de controles Os controles estão distribuídos em áreas específicas, porém podem e devem ser gerenciados de forma conjunta Controles Documentais Controles Processuais Controles Técnicos • Políticas de Segurança • Administração de • Rede de Dados • Normas de Uso Patches • Aplicações Legadas • Padrões Técnicos • Treinamento e • Desenvolvimento Capacitação • Resposta a Incidentes ISSA Brasil 17 Segurança da Informação Aplicada
- 77. Controles Documentais ISSA Brasil 18 Segurança da Informação Aplicada
- 78. Controles Documentais Definição ISSA Brasil 18 Segurança da Informação Aplicada
- 79. Controles Documentais Definição • Estabelecem os critérios que devem ser aplicados na proteção das informações da Organização ISSA Brasil 18 Segurança da Informação Aplicada
- 80. Controles Documentais Definição • Estabelecem os critérios que devem ser aplicados na proteção das informações da Organização Modelos ISSA Brasil 18 Segurança da Informação Aplicada
- 81. Controles Documentais Definição • Estabelecem os critérios que devem ser aplicados na proteção das informações da Organização Modelos • Legislação e Regulamentações específicas ISSA Brasil 18 Segurança da Informação Aplicada
- 82. Controles Documentais Definição • Estabelecem os critérios que devem ser aplicados na proteção das informações da Organização Modelos • Legislação e Regulamentações específicas • Práticas de mercado estruturadas em normas ISSA Brasil 18 Segurança da Informação Aplicada
- 83. Controles Documentais Definição • Estabelecem os critérios que devem ser aplicados na proteção das informações da Organização Modelos • Legislação e Regulamentações específicas • Práticas de mercado estruturadas em normas • Política de Segurança da Informação ISSA Brasil 18 Segurança da Informação Aplicada
- 84. Controles Processuais ISSA Brasil 19 Segurança da Informação Aplicada
- 85. Controles Processuais Definição ISSA Brasil 19 Segurança da Informação Aplicada
- 86. Controles Processuais Definição • Definem como os processos internos devem ser desenvolvidos para atender os critérios estabelecidos para a proteção das informações da Organização ISSA Brasil 19 Segurança da Informação Aplicada
- 87. Controles Processuais Definição • Definem como os processos internos devem ser desenvolvidos para atender os critérios estabelecidos para a proteção das informações da Organização Modelos ISSA Brasil 19 Segurança da Informação Aplicada
- 88. Controles Processuais Definição • Definem como os processos internos devem ser desenvolvidos para atender os critérios estabelecidos para a proteção das informações da Organização Modelos • Postura administrativa e gerencial ISSA Brasil 19 Segurança da Informação Aplicada
- 89. Controles Processuais Definição • Definem como os processos internos devem ser desenvolvidos para atender os critérios estabelecidos para a proteção das informações da Organização Modelos • Postura administrativa e gerencial • Estabelecimento de processos internos ISSA Brasil 19 Segurança da Informação Aplicada
- 90. Controles Processuais Definição • Definem como os processos internos devem ser desenvolvidos para atender os critérios estabelecidos para a proteção das informações da Organização Modelos • Postura administrativa e gerencial • Estabelecimento de processos internos • Procedimentos Operacionais e Instruções Técnicas ISSA Brasil 19 Segurança da Informação Aplicada
- 91. Controles Técnicos ISSA Brasil 20 Segurança da Informação Aplicada
- 92. Controles Técnicos Definição ISSA Brasil 20 Segurança da Informação Aplicada
- 93. Controles Técnicos Definição • Realizam o enforcement necessário para que os processos internos sejam desenvolvidos atendendo os critérios estabelecidos para a proteção das informações da Organização ISSA Brasil 20 Segurança da Informação Aplicada
- 94. Controles Técnicos Definição • Realizam o enforcement necessário para que os processos internos sejam desenvolvidos atendendo os critérios estabelecidos para a proteção das informações da Organização Modelos ISSA Brasil 20 Segurança da Informação Aplicada
- 95. Controles Técnicos Definição • Realizam o enforcement necessário para que os processos internos sejam desenvolvidos atendendo os critérios estabelecidos para a proteção das informações da Organização Modelos • Hardware e Software dedicados ISSA Brasil 20 Segurança da Informação Aplicada
- 96. Controles Técnicos Definição • Realizam o enforcement necessário para que os processos internos sejam desenvolvidos atendendo os critérios estabelecidos para a proteção das informações da Organização Modelos • Hardware e Software dedicados • Parametrização do Ambiente Informatizado ISSA Brasil 20 Segurança da Informação Aplicada
- 97. Controles Técnicos Definição • Realizam o enforcement necessário para que os processos internos sejam desenvolvidos atendendo os critérios estabelecidos para a proteção das informações da Organização Modelos • Hardware e Software dedicados • Parametrização do Ambiente Informatizado • Forma de atuação do Corpo Técnico ISSA Brasil 20 Segurança da Informação Aplicada
- 98. Juntando as peças em uma composição ISSA Brasil 21 Segurança da Informação Aplicada
- 99. Juntando as peças em uma composição ISSA Brasil 21 Segurança da Informação Aplicada
- 100. Juntando as peças em uma composição Perímetro de Segurança Física ISSA Brasil 21 Segurança da Informação Aplicada
- 101. Juntando as peças em uma composição Perímetro de Segurança Física Controle de Acesso Físico ISSA Brasil 21 Segurança da Informação Aplicada
- 102. Juntando as peças em uma composição Perímetro de Segurança Física Controle de Acesso Físico Controle de Acesso na Rede de Dados ISSA Brasil 21 Segurança da Informação Aplicada
- 103. Juntando as peças em uma composição Perímetro de Segurança Física Controle de Acesso Controle de Acesso Físico na Aplicação Controle de Acesso na Rede de Dados ISSA Brasil 21 Segurança da Informação Aplicada
- 104. Juntando as peças em uma composição Perímetro de Segurança Física Criptografia de Arquivos Controle de Acesso Controle de Acesso Físico na Aplicação Controle de Acesso na Rede de Dados ISSA Brasil 21 Segurança da Informação Aplicada
- 105. Juntando as peças em uma composição Perímetro de Segurança Física Criptografia de Arquivos Controle de Acesso Controle de Acesso Físico na Aplicação Como administrar Controle de Acesso este modelo? na Rede de Dados ISSA Brasil 21 Segurança da Informação Aplicada
- 106. A mudança de postura no modelo de administração do risco ISSA Brasil 22 Segurança da Informação Aplicada
- 107. A Postura Atual ISSA Brasil 23 Segurança da Informação Aplicada
- 108. A Postura Atual Modelo Comum ISSA Brasil 23 Segurança da Informação Aplicada
- 109. A Postura Atual Modelo Comum • Estabelecimento de uma política de segurança baseada em normas de mercado e com medidas restritivas ISSA Brasil 23 Segurança da Informação Aplicada
- 110. A Postura Atual Modelo Comum • Estabelecimento de uma política de segurança baseada em normas de mercado e com medidas restritivas • Posicionamento de uma ferramenta de controle de aderência ISSA Brasil 23 Segurança da Informação Aplicada
- 111. A Postura Atual Modelo Comum • Estabelecimento de uma política de segurança baseada em normas de mercado e com medidas restritivas • Posicionamento de uma ferramenta de controle de aderência Problemas Identificados ISSA Brasil 23 Segurança da Informação Aplicada
- 112. A Postura Atual Modelo Comum • Estabelecimento de uma política de segurança baseada em normas de mercado e com medidas restritivas • Posicionamento de uma ferramenta de controle de aderência Problemas Identificados • Não existe um modelo pronto para cada Organização ISSA Brasil 23 Segurança da Informação Aplicada
- 113. A Postura Atual Modelo Comum • Estabelecimento de uma política de segurança baseada em normas de mercado e com medidas restritivas • Posicionamento de uma ferramenta de controle de aderência Problemas Identificados • Não existe um modelo pronto para cada Organização • A implementação abrupta causa reações não planejadas ISSA Brasil 23 Segurança da Informação Aplicada
- 114. A Postura Atual Modelo Comum • Estabelecimento de uma política de segurança baseada em normas de mercado e com medidas restritivas • Posicionamento de uma ferramenta de controle de aderência Problemas Identificados • Não existe um modelo pronto para cada Organização • A implementação abrupta causa reações não planejadas • Postura em relação ao cumprimento dos controles estabelecidos ISSA Brasil 23 Segurança da Informação Aplicada
- 115. Resultados para a Sociedade ISSA Brasil 24 Segurança da Informação Aplicada
- 116. Resultados para a Sociedade Vulnerabilidades Catalogadas pelo CERT 9000 6750 4500 2250 0 2000 2001 2002 2003 2004 2005 2006 2007 2008 ISSA Brasil 24 Segurança da Informação Aplicada
- 117. Resultados para a Sociedade Vulnerabilidades Catalogadas pelo CERT 9000 Resultados do 1o Trimestre 6750 4500 2250 0 2000 2001 2002 2003 2004 2005 2006 2007 2008 ISSA Brasil 24 Segurança da Informação Aplicada
- 118. Resultados para as Organizações ISSA Brasil 25 Segurança da Informação Aplicada
- 119. Resultados para as Organizações Perdas no e-Commerce nos EUA $4,000,000,000.00 $3,000,000,000.00 $2,000,000,000.00 $1,000,000,000.00 $0 2000 2002 2004 2006 2008 Fonte: Cybersource Annual On Line Fraud Report 2009 ISSA Brasil 25 Segurança da Informação Aplicada
- 120. Controles Documentais ISSA Brasil 26 Segurança da Informação Aplicada
- 121. Controles Documentais Ponto de Atenção ISSA Brasil 26 Segurança da Informação Aplicada
- 122. Controles Documentais Ponto de Atenção • Não existe um modelo de política pronto para cada Organização ISSA Brasil 26 Segurança da Informação Aplicada
- 123. Controles Documentais Ponto de Atenção • Não existe um modelo de política pronto para cada Organização Recomendações ISSA Brasil 26 Segurança da Informação Aplicada
- 124. Controles Documentais Ponto de Atenção • Não existe um modelo de política pronto para cada Organização Recomendações • Equilíbrio entre atendimento a aderência requerida com o que a Organização efetivamente pode gerenciar ISSA Brasil 26 Segurança da Informação Aplicada
- 125. Controles Documentais Ponto de Atenção • Não existe um modelo de política pronto para cada Organização Recomendações • Equilíbrio entre atendimento a aderência requerida com o que a Organização efetivamente pode gerenciar • A definição de Política de Segurança deve ser clara para todos ISSA Brasil 26 Segurança da Informação Aplicada
- 126. Controles Documentais Ponto de Atenção • Não existe um modelo de política pronto para cada Organização Recomendações • Equilíbrio entre atendimento a aderência requerida com o que a Organização efetivamente pode gerenciar • A definição de Política de Segurança deve ser clara para todos • A análise de riscos tem um papel definido, use-a ISSA Brasil 26 Segurança da Informação Aplicada
- 127. Controles Processuais ISSA Brasil 27 Segurança da Informação Aplicada
- 128. Controles Processuais Ponto de Atenção ISSA Brasil 27 Segurança da Informação Aplicada
- 129. Controles Processuais Ponto de Atenção • A implementação abrupta causa reações não planejadas ISSA Brasil 27 Segurança da Informação Aplicada
- 130. Controles Processuais Ponto de Atenção • A implementação abrupta causa reações não planejadas Recomendações ISSA Brasil 27 Segurança da Informação Aplicada
- 131. Controles Processuais Ponto de Atenção • A implementação abrupta causa reações não planejadas Recomendações • Processos devem ser alterados de forma gradual e adaptados à realidade de cada Organização, nunca o contrário ISSA Brasil 27 Segurança da Informação Aplicada
- 132. Controles Processuais Ponto de Atenção • A implementação abrupta causa reações não planejadas Recomendações • Processos devem ser alterados de forma gradual e adaptados à realidade de cada Organização, nunca o contrário • A integração do modelo às características da Organização é o principal ponto de atenção a ser observado ISSA Brasil 27 Segurança da Informação Aplicada
- 133. Controles Processuais Ponto de Atenção • A implementação abrupta causa reações não planejadas Recomendações • Processos devem ser alterados de forma gradual e adaptados à realidade de cada Organização, nunca o contrário • A integração do modelo às características da Organização é o principal ponto de atenção a ser observado • A definição de responsabilidades é parte do processo ISSA Brasil 27 Segurança da Informação Aplicada
- 134. Controles Técnicos ISSA Brasil 28 Segurança da Informação Aplicada
- 135. Controles Técnicos Ponto de Atenção ISSA Brasil 28 Segurança da Informação Aplicada
- 136. Controles Técnicos Ponto de Atenção • Postura em relação ao cumprimento dos controles estabelecidos ISSA Brasil 28 Segurança da Informação Aplicada
- 137. Controles Técnicos Ponto de Atenção • Postura em relação ao cumprimento dos controles estabelecidos Recomendações ISSA Brasil 28 Segurança da Informação Aplicada
- 138. Controles Técnicos Ponto de Atenção • Postura em relação ao cumprimento dos controles estabelecidos Recomendações • Os controles técnicos, assim como os demais, não são restritos ao universo de TI da Organização ISSA Brasil 28 Segurança da Informação Aplicada
- 139. Controles Técnicos Ponto de Atenção • Postura em relação ao cumprimento dos controles estabelecidos Recomendações • Os controles técnicos, assim como os demais, não são restritos ao universo de TI da Organização • A parametrização do Ambiente Informatizado deve observar a integração entre todos os componentes ISSA Brasil 28 Segurança da Informação Aplicada
- 140. Controles Técnicos Ponto de Atenção • Postura em relação ao cumprimento dos controles estabelecidos Recomendações • Os controles técnicos, assim como os demais, não são restritos ao universo de TI da Organização • A parametrização do Ambiente Informatizado deve observar a integração entre todos os componentes • Um bom técnico não é necessariamente um bom especialista em IT Security ISSA Brasil 28 Segurança da Informação Aplicada
- 141. A Postura Positiva ISSA Brasil 29 Segurança da Informação Aplicada
- 142. A Postura Positiva Tecnologia Negócio ISSA Brasil 29 Segurança da Informação Aplicada
- 143. A Postura Positiva Tecnologia Negócio Reativa Adequada ISSA Brasil 29 Segurança da Informação Aplicada
- 144. A Postura Positiva Tecnologia Negócio Reativa Adequada Correção Prevenção ISSA Brasil 29 Segurança da Informação Aplicada
- 145. A Postura Positiva Tecnologia Negócio Reativa Adequada Correção Prevenção Isolada Integrada ISSA Brasil 29 Segurança da Informação Aplicada
- 146. A Postura Positiva Tecnologia Negócio Reativa Adequada Correção Prevenção Isolada Integrada Administração Gestão ISSA Brasil 29 Segurança da Informação Aplicada
- 147. Última Consideração ISSA Brasil 30 Segurança da Informação Aplicada
- 148. Última Consideração Security is a process, not a product. Products provide some protection, but the only way to effectively do business in an insecure world is to put processes in place that recognize the inherent insecurity in the products. The trick is to reduce your risk of exposure regardless of the products or patches. Bruce Schneier ISSA Brasil 30 Segurança da Informação Aplicada
- 149. Fontes de Referência ISSA Brasil 31 Segurança da Informação Aplicada
- 150. Fontes de Referência North American Electric Reliability Corporation (NERC) ISSA Brasil 31 Segurança da Informação Aplicada
- 151. Fontes de Referência North American Electric Reliability Corporation (NERC) • http://www.nerc.com/ ISSA Brasil 31 Segurança da Informação Aplicada
- 152. Fontes de Referência North American Electric Reliability Corporation (NERC) • http://www.nerc.com/ Electricity Sector - Information Sharing and Analysis Center (ES- ISAC) ISSA Brasil 31 Segurança da Informação Aplicada
- 153. Fontes de Referência North American Electric Reliability Corporation (NERC) • http://www.nerc.com/ Electricity Sector - Information Sharing and Analysis Center (ES- ISAC) • http://www.esisac.com/ ISSA Brasil 31 Segurança da Informação Aplicada
- 154. Fontes de Referência North American Electric Reliability Corporation (NERC) • http://www.nerc.com/ Electricity Sector - Information Sharing and Analysis Center (ES- ISAC) • http://www.esisac.com/ The International Society of Automation (ISA) ISSA Brasil 31 Segurança da Informação Aplicada
- 155. Fontes de Referência North American Electric Reliability Corporation (NERC) • http://www.nerc.com/ Electricity Sector - Information Sharing and Analysis Center (ES- ISAC) • http://www.esisac.com/ The International Society of Automation (ISA) • SA99, Industrial Automation and Control System Security disponível em http://www.isa.org/MSTemplate.cfm? Section=Home964&Site=SP99,_Manufacturing_and_Control_Systems_Secu rity1&Template=/ContentManagement/ MSContentDisplay.cfm&ContentID=77617 ISSA Brasil 31 Segurança da Informação Aplicada
- 157. 1o Encontro do Subcomitê de Segurança da Informação RIO DE JANEIRO, 17 DE AGOSTO DE 2009 Segurança da Informação Aplicada Eduardo Vianna de Camargo Neves, CISSP ISSA Brasil www.issabrasil.org