Eduardo Neves, profile picture
Carregado porEduardo Neves
KEY, PPTX1,216 visualizações

Segurança da Informação Aplicada

O documento aborda o 1º encontro do subcomitê de segurança da informação no Rio de Janeiro, destacando a ISSA Brasil como uma organização sem fins lucrativos com mais de 10 mil membros. Ele explora a evolução da segurança da informação, suas aplicações atuais e a importância da governança, risco e compliance. Além disso, discute a necessidade de controles documentais, processuais e técnicos para proteger as informações das organizações.

Incorporar apresentação

Transferir como KEY, PPTX
1 / 157
2 / 157
3 / 157
4 / 157
5 / 157
6 / 157
7 / 157
8 / 157
9 / 157
10 / 157
11 / 157
12 / 157
13 / 157
14 / 157
15 / 157
16 / 157
17 / 157
18 / 157
19 / 157
20 / 157
21 / 157
22 / 157
23 / 157
24 / 157
25 / 157
26 / 157
27 / 157
28 / 157
29 / 157
30 / 157
31 / 157
32 / 157
33 / 157
34 / 157
35 / 157
36 / 157
37 / 157
38 / 157
39 / 157
40 / 157
41 / 157
42 / 157
43 / 157
44 / 157
45 / 157
46 / 157
47 / 157
48 / 157
49 / 157
50 / 157
51 / 157
52 / 157
53 / 157
54 / 157
55 / 157
56 / 157
57 / 157
58 / 157
59 / 157
60 / 157
61 / 157
62 / 157
63 / 157
64 / 157
65 / 157
66 / 157
67 / 157
68 / 157
69 / 157
70 / 157
71 / 157
72 / 157
73 / 157
74 / 157
75 / 157
76 / 157
77 / 157
78 / 157
79 / 157
80 / 157
81 / 157
82 / 157
83 / 157
84 / 157
85 / 157
86 / 157
87 / 157
88 / 157
89 / 157
90 / 157
91 / 157
92 / 157
93 / 157
94 / 157
95 / 157
96 / 157
97 / 157
98 / 157
99 / 157
100 / 157
101 / 157
102 / 157
103 / 157
104 / 157
105 / 157
106 / 157
107 / 157
108 / 157
109 / 157
110 / 157
111 / 157
112 / 157
113 / 157
114 / 157
115 / 157
116 / 157
117 / 157
118 / 157
119 / 157
120 / 157
121 / 157
122 / 157
123 / 157
124 / 157
125 / 157
126 / 157
127 / 157
128 / 157
129 / 157
130 / 157
131 / 157
132 / 157
133 / 157
134 / 157
135 / 157
136 / 157
137 / 157
138 / 157
139 / 157
140 / 157
141 / 157
142 / 157
143 / 157
144 / 157
145 / 157
146 / 157
147 / 157
148 / 157
149 / 157
150 / 157
151 / 157
152 / 157
153 / 157
154 / 157
155 / 157
156 / 157
157 / 157
1o Encontro do Subcomitê de Segurança da Informação RIO DE JANEIRO, 17 DE AGOSTO DE 2009 Segurança da Informação Aplicada Eduardo Vianna de Camargo Neves, CISSP ISSA Brasil www.issabrasil.org
Uma Visão Geral da Information Systems Security Association ISSA Brasil 2 Segurança da Informação Aplicada
Sobre a ISSA ISSA Brasil 3 Segurança da Informação Aplicada
Sobre a ISSA Papel na Sociedade ISSA Brasil 3 Segurança da Informação Aplicada
Sobre a ISSA Papel na Sociedade • Organização Internacional sem fins lucrativos de Profissionais de Segurança da Informação ISSA Brasil 3 Segurança da Informação Aplicada
Sobre a ISSA Papel na Sociedade • Organização Internacional sem fins lucrativos de Profissionais de Segurança da Informação • “The global voice of information security” ISSA Brasil 3 Segurança da Informação Aplicada
Sobre a ISSA Papel na Sociedade • Organização Internacional sem fins lucrativos de Profissionais de Segurança da Informação • “The global voice of information security” Estrutura Operacional ISSA Brasil 3 Segurança da Informação Aplicada
Sobre a ISSA Papel na Sociedade • Organização Internacional sem fins lucrativos de Profissionais de Segurança da Informação • “The global voice of information security” Estrutura Operacional • Mais de 10 mil membros distribuídos em 136 Capítulos ISSA Brasil 3 Segurança da Informação Aplicada
Sobre a ISSA Papel na Sociedade • Organização Internacional sem fins lucrativos de Profissionais de Segurança da Informação • “The global voice of information security” Estrutura Operacional • Mais de 10 mil membros distribuídos em 136 Capítulos • Presente em 70 países ISSA Brasil 3 Segurança da Informação Aplicada
Sobre a ISSA Papel na Sociedade • Organização Internacional sem fins lucrativos de Profissionais de Segurança da Informação • “The global voice of information security” Estrutura Operacional • Mais de 10 mil membros distribuídos em 136 Capítulos • Presente em 70 países • Mais de 100 membros no Brasil ISSA Brasil 3 Segurança da Informação Aplicada
Sobre a ISSA ISSA Brasil 4 Segurança da Informação Aplicada
Sobre a ISSA Por que se associar? ISSA Brasil 4 Segurança da Informação Aplicada
Sobre a ISSA Por que se associar? • Acesso a informações e eventos exclusivos ISSA Brasil 4 Segurança da Informação Aplicada
Sobre a ISSA Por que se associar? • Acesso a informações e eventos exclusivos • Networking on-line e off-line ISSA Brasil 4 Segurança da Informação Aplicada
Sobre a ISSA Por que se associar? • Acesso a informações e eventos exclusivos • Networking on-line e off-line • Descontos e promoções em eventos e atividades do setor ISSA Brasil 4 Segurança da Informação Aplicada
Sobre a ISSA Por que se associar? • Acesso a informações e eventos exclusivos • Networking on-line e off-line • Descontos e promoções em eventos e atividades do setor • Contribuição com a sociedade ISSA Brasil 4 Segurança da Informação Aplicada
Falando sobre Segurança da Informação ISSA Brasil 5 Segurança da Informação Aplicada
Histórico da Disciplina ISSA Brasil 6 Segurança da Informação Aplicada
Histórico da Disciplina Proteção da Informação ISSA Brasil 6 Segurança da Informação Aplicada
Histórico da Disciplina Proteção da Informação • Início durante as primeiras civilizações ISSA Brasil 6 Segurança da Informação Aplicada
Histórico da Disciplina Proteção da Informação • Início durante as primeiras civilizações • Alteração de escopo com o advento dos computadores ISSA Brasil 6 Segurança da Informação Aplicada
Histórico da Disciplina Proteção da Informação • Início durante as primeiras civilizações • Alteração de escopo com o advento dos computadores Segurança da Informação ISSA Brasil 6 Segurança da Informação Aplicada
Histórico da Disciplina Proteção da Informação • Início durante as primeiras civilizações • Alteração de escopo com o advento dos computadores Segurança da Informação • Competências militares durante a II Guerra Mundial ISSA Brasil 6 Segurança da Informação Aplicada
Histórico da Disciplina Proteção da Informação • Início durante as primeiras civilizações • Alteração de escopo com o advento dos computadores Segurança da Informação • Competências militares durante a II Guerra Mundial • Desenvolvimento nos EUA e Europa ISSA Brasil 6 Segurança da Informação Aplicada
Histórico da Disciplina Proteção da Informação • Início durante as primeiras civilizações • Alteração de escopo com o advento dos computadores Segurança da Informação • Competências militares durante a II Guerra Mundial • Desenvolvimento nos EUA e Europa • Alteração de escopo com o advento da Internet ISSA Brasil 6 Segurança da Informação Aplicada
Timeline ISSA Brasil 7 Segurança da Informação Aplicada
Timeline ISSA Brasil 7 Segurança da Informação Aplicada
Timeline Captain Cruch 1970 Cena Hacker Primeiros esforços para um modelo de IT Security ISSA Brasil 7 Segurança da Informação Aplicada
Timeline Captain The Cruch 414s 1970 1980 Cena Hacker Furtos on-line Primeiros Primeiras leis esforços para sobre IT um modelo de Security nos IT Security EUA ISSA Brasil 7 Segurança da Informação Aplicada
Timeline Captain The Caso Cruch 414s Citibank 1970 1980 1990 Cena Hacker Furtos on-line Cena Cracker Primeiros Primeiras leis esforços para sobre IT Eligible um modelo de Security nos Receiver 97 IT Security EUA ISSA Brasil 7 Segurança da Informação Aplicada
Timeline Captain The Caso Trustworthy Cruch 414s Citibank Computing 1970 1980 1990 2000 Cena Hacker Furtos on-line Cena Cracker ILOVEYOU Primeiros Primeiras leis Department of esforços para sobre IT Eligible Homeland um modelo de Security nos Receiver 97 Security IT Security EUA ISSA Brasil 7 Segurança da Informação Aplicada
Timeline Captain The Caso Trustworthy Casos no Cruch 414s Citibank Computing Brasil 1970 1980 1990 2000 2006 Cena Hacker Furtos on-line Cena Cracker ILOVEYOU DPF e DPC Primeiros Primeiras leis Department of esforços para sobre IT Eligible Homeland PCI Council um modelo de Security nos Receiver 97 Security IT Security EUA ISSA Brasil 7 Segurança da Informação Aplicada
Timeline Captain The Caso Trustworthy Casos no Heartland Cruch 414s Citibank Computing Brasil Payment 1970 1980 1990 2000 2006 2009 Cena Hacker Furtos on-line Cena Cracker ILOVEYOU DPF e DPC Crime Organizado Primeiros Primeiras leis Department of Lei de Crimes esforços para sobre IT Eligible Homeland PCI Council Cibernéticos no um modelo de Security nos Receiver 97 Security Brasil IT Security EUA ISSA Brasil 7 Segurança da Informação Aplicada
Segurança da Informação hoje ISSA Brasil 8 Segurança da Informação Aplicada
Segurança da Informação hoje Proteção da Infra-estrutura ISSA Brasil 8 Segurança da Informação Aplicada
Segurança da Informação hoje Proteção da Infra-estrutura • Legislações específicas e normas reguladoras ISSA Brasil 8 Segurança da Informação Aplicada
Segurança da Informação hoje Proteção da Infra-estrutura • Legislações específicas e normas reguladoras • Atuação das forças militares e policiais ISSA Brasil 8 Segurança da Informação Aplicada
Segurança da Informação hoje Proteção da Infra-estrutura • Legislações específicas e normas reguladoras • Atuação das forças militares e policiais Proteção das Empresas ISSA Brasil 8 Segurança da Informação Aplicada
Segurança da Informação hoje Proteção da Infra-estrutura • Legislações específicas e normas reguladoras • Atuação das forças militares e policiais Proteção das Empresas • Cumprimento da legislação e autoregulamentação ISSA Brasil 8 Segurança da Informação Aplicada
Segurança da Informação hoje Proteção da Infra-estrutura • Legislações específicas e normas reguladoras • Atuação das forças militares e policiais Proteção das Empresas • Cumprimento da legislação e autoregulamentação • Estrutura de IT Security como força de trabalho ISSA Brasil 8 Segurança da Informação Aplicada
Segurança da Informação hoje Proteção da Infra-estrutura • Legislações específicas e normas reguladoras • Atuação das forças militares e policiais Proteção das Empresas • Cumprimento da legislação e autoregulamentação • Estrutura de IT Security como força de trabalho Proteção da Sociedade ISSA Brasil 8 Segurança da Informação Aplicada
Segurança da Informação hoje Proteção da Infra-estrutura • Legislações específicas e normas reguladoras • Atuação das forças militares e policiais Proteção das Empresas • Cumprimento da legislação e autoregulamentação • Estrutura de IT Security como força de trabalho Proteção da Sociedade • Conteúdo variado disponível na Internet ISSA Brasil 8 Segurança da Informação Aplicada
Segurança da Informação hoje Proteção da Infra-estrutura • Legislações específicas e normas reguladoras • Atuação das forças militares e policiais Proteção das Empresas • Cumprimento da legislação e autoregulamentação • Estrutura de IT Security como força de trabalho Proteção da Sociedade • Conteúdo variado disponível na Internet • Atuação de ONGs e grupos de trabalho ISSA Brasil 8 Segurança da Informação Aplicada
Segurança da Informação hoje ISSA Brasil 9 Segurança da Informação Aplicada
Segurança da Informação hoje ISSA Brasil 10 Segurança da Informação Aplicada
Segurança da Informação amanhã? ISSA Brasil 11 Segurança da Informação Aplicada
Segurança da Informação amanhã? ISSA Brasil 11 Segurança da Informação Aplicada
A Aplicação da Segurança da Informação ISSA Brasil 12 Segurança da Informação Aplicada
Distribuição de controles ISSA Brasil 13 Segurança da Informação Aplicada
Distribuição de controles Estrutura ISSA Brasil 13 Segurança da Informação Aplicada
Distribuição de controles Estrutura • Alinhamento de necessidades de performance com requisitos de segurança para os ativos da organização ISSA Brasil 13 Segurança da Informação Aplicada
Distribuição de controles Estrutura • Alinhamento de necessidades de performance com requisitos de segurança para os ativos da organização • Qual é o nível de risco que você está disposto a correr? ISSA Brasil 13 Segurança da Informação Aplicada
Distribuição de controles Estrutura • Alinhamento de necessidades de performance com requisitos de segurança para os ativos da organização • Qual é o nível de risco que você está disposto a correr? • Quais controles compensatórios podem ser implementados? ISSA Brasil 13 Segurança da Informação Aplicada
Distribuição de controles Estrutura • Alinhamento de necessidades de performance com requisitos de segurança para os ativos da organização • Qual é o nível de risco que você está disposto a correr? • Quais controles compensatórios podem ser implementados? Abordagem ISSA Brasil 13 Segurança da Informação Aplicada
Distribuição de controles Estrutura • Alinhamento de necessidades de performance com requisitos de segurança para os ativos da organização • Qual é o nível de risco que você está disposto a correr? • Quais controles compensatórios podem ser implementados? Abordagem • Nível de Segurança atual x Modelo Planejado ISSA Brasil 13 Segurança da Informação Aplicada
Distribuição de controles Estrutura • Alinhamento de necessidades de performance com requisitos de segurança para os ativos da organização • Qual é o nível de risco que você está disposto a correr? • Quais controles compensatórios podem ser implementados? Abordagem • Nível de Segurança atual x Modelo Planejado • Evolução do nível de maturidade ISSA Brasil 13 Segurança da Informação Aplicada
Distribuição de controles Estrutura • Alinhamento de necessidades de performance com requisitos de segurança para os ativos da organização • Qual é o nível de risco que você está disposto a correr? • Quais controles compensatórios podem ser implementados? Abordagem • Nível de Segurança atual x Modelo Planejado • Evolução do nível de maturidade • Modelo de Gestão adequado à sua realidade ISSA Brasil 13 Segurança da Informação Aplicada
Governança, Risco e Compliance ISSA Brasil 14 Segurança da Informação Aplicada
Governança, Risco e Compliance Definição ISSA Brasil 14 Segurança da Informação Aplicada
Governança, Risco e Compliance Definição • GRC é um termo que tem crescido nas discussões sobre IT Security nas organizações ISSA Brasil 14 Segurança da Informação Aplicada
Governança, Risco e Compliance Definição • GRC é um termo que tem crescido nas discussões sobre IT Security nas organizações • Gestão de múltiplas atividades que trabalham em conjunto para atender às premissas estabelecidas pela organização ISSA Brasil 14 Segurança da Informação Aplicada
Governança, Risco e Compliance ISSA Brasil 15 Segurança da Informação Aplicada
Governança, Risco e Compliance Responsabilidade do Corpo Executivo Governança ISSA Brasil 15 Segurança da Informação Aplicada
Governança, Risco e Compliance Gestão de níveis Responsabilidade do aceitáveis pela Corpo Executivo Organização Governança Risco ISSA Brasil 15 Segurança da Informação Aplicada
Governança, Risco e Compliance Gestão de níveis Aderência a Responsabilidade do aceitáveis pela regulamentações, Corpo Executivo Organização normas e Legislação Governança Risco Compliance ISSA Brasil 15 Segurança da Informação Aplicada
Governança, Risco e Compliance Governança Risco Compliance ISSA Brasil 16 Segurança da Informação Aplicada
Governança, Risco e Compliance Governança Risco Compliance ISSA Brasil 16 Segurança da Informação Aplicada
Governança, Risco e Compliance • Definição do nível de risco • Suporte na aderência às Práticas de Mercado Governança • Alocação de recursos Risco Compliance ISSA Brasil 16 Segurança da Informação Aplicada
Governança, Risco e Compliance • Definição do nível de risco • Suporte na aderência às Práticas de Mercado Governança • Alocação de recursos • Performance x Segurança • Aceite de controles compensatórios Risco • Parceiros e fornecedores Compliance ISSA Brasil 16 Segurança da Informação Aplicada
Governança, Risco e Compliance • Definição do nível de risco • Suporte na aderência às Práticas de Mercado Governança • Alocação de recursos • Performance x Segurança • Aceite de controles compensatórios Risco • Parceiros e fornecedores • Legislação (Código Civil) • Regulamentação (BACEN 3.380, SUSEPE) Compliance • Práticas de Mercado (PCI DSS, SOX) ISSA Brasil 16 Segurança da Informação Aplicada
Posicionamento de controles ISSA Brasil 17 Segurança da Informação Aplicada
Posicionamento de controles Os controles estão distribuídos em áreas específicas, porém podem e devem ser gerenciados de forma conjunta ISSA Brasil 17 Segurança da Informação Aplicada
Posicionamento de controles Os controles estão distribuídos em áreas específicas, porém podem e devem ser gerenciados de forma conjunta Controles Documentais • Políticas de Segurança • Normas de Uso • Padrões Técnicos ISSA Brasil 17 Segurança da Informação Aplicada
Posicionamento de controles Os controles estão distribuídos em áreas específicas, porém podem e devem ser gerenciados de forma conjunta Controles Documentais Controles Processuais • Políticas de Segurança • Administração de • Normas de Uso Patches • Padrões Técnicos • Treinamento e Capacitação • Resposta a Incidentes ISSA Brasil 17 Segurança da Informação Aplicada
Posicionamento de controles Os controles estão distribuídos em áreas específicas, porém podem e devem ser gerenciados de forma conjunta Controles Documentais Controles Processuais Controles Técnicos • Políticas de Segurança • Administração de • Rede de Dados • Normas de Uso Patches • Aplicações Legadas • Padrões Técnicos • Treinamento e • Desenvolvimento Capacitação • Resposta a Incidentes ISSA Brasil 17 Segurança da Informação Aplicada
Controles Documentais ISSA Brasil 18 Segurança da Informação Aplicada
Controles Documentais Definição ISSA Brasil 18 Segurança da Informação Aplicada
Controles Documentais Definição • Estabelecem os critérios que devem ser aplicados na proteção das informações da Organização ISSA Brasil 18 Segurança da Informação Aplicada
Controles Documentais Definição • Estabelecem os critérios que devem ser aplicados na proteção das informações da Organização Modelos ISSA Brasil 18 Segurança da Informação Aplicada
Controles Documentais Definição • Estabelecem os critérios que devem ser aplicados na proteção das informações da Organização Modelos • Legislação e Regulamentações específicas ISSA Brasil 18 Segurança da Informação Aplicada
Controles Documentais Definição • Estabelecem os critérios que devem ser aplicados na proteção das informações da Organização Modelos • Legislação e Regulamentações específicas • Práticas de mercado estruturadas em normas ISSA Brasil 18 Segurança da Informação Aplicada
Controles Documentais Definição • Estabelecem os critérios que devem ser aplicados na proteção das informações da Organização Modelos • Legislação e Regulamentações específicas • Práticas de mercado estruturadas em normas • Política de Segurança da Informação ISSA Brasil 18 Segurança da Informação Aplicada
Controles Processuais ISSA Brasil 19 Segurança da Informação Aplicada
Controles Processuais Definição ISSA Brasil 19 Segurança da Informação Aplicada
Controles Processuais Definição • Definem como os processos internos devem ser desenvolvidos para atender os critérios estabelecidos para a proteção das informações da Organização ISSA Brasil 19 Segurança da Informação Aplicada
Controles Processuais Definição • Definem como os processos internos devem ser desenvolvidos para atender os critérios estabelecidos para a proteção das informações da Organização Modelos ISSA Brasil 19 Segurança da Informação Aplicada
Controles Processuais Definição • Definem como os processos internos devem ser desenvolvidos para atender os critérios estabelecidos para a proteção das informações da Organização Modelos • Postura administrativa e gerencial ISSA Brasil 19 Segurança da Informação Aplicada
Controles Processuais Definição • Definem como os processos internos devem ser desenvolvidos para atender os critérios estabelecidos para a proteção das informações da Organização Modelos • Postura administrativa e gerencial • Estabelecimento de processos internos ISSA Brasil 19 Segurança da Informação Aplicada
Controles Processuais Definição • Definem como os processos internos devem ser desenvolvidos para atender os critérios estabelecidos para a proteção das informações da Organização Modelos • Postura administrativa e gerencial • Estabelecimento de processos internos • Procedimentos Operacionais e Instruções Técnicas ISSA Brasil 19 Segurança da Informação Aplicada
Controles Técnicos ISSA Brasil 20 Segurança da Informação Aplicada
Controles Técnicos Definição ISSA Brasil 20 Segurança da Informação Aplicada
Controles Técnicos Definição • Realizam o enforcement necessário para que os processos internos sejam desenvolvidos atendendo os critérios estabelecidos para a proteção das informações da Organização ISSA Brasil 20 Segurança da Informação Aplicada
Controles Técnicos Definição • Realizam o enforcement necessário para que os processos internos sejam desenvolvidos atendendo os critérios estabelecidos para a proteção das informações da Organização Modelos ISSA Brasil 20 Segurança da Informação Aplicada
Controles Técnicos Definição • Realizam o enforcement necessário para que os processos internos sejam desenvolvidos atendendo os critérios estabelecidos para a proteção das informações da Organização Modelos • Hardware e Software dedicados ISSA Brasil 20 Segurança da Informação Aplicada
Controles Técnicos Definição • Realizam o enforcement necessário para que os processos internos sejam desenvolvidos atendendo os critérios estabelecidos para a proteção das informações da Organização Modelos • Hardware e Software dedicados • Parametrização do Ambiente Informatizado ISSA Brasil 20 Segurança da Informação Aplicada
Controles Técnicos Definição • Realizam o enforcement necessário para que os processos internos sejam desenvolvidos atendendo os critérios estabelecidos para a proteção das informações da Organização Modelos • Hardware e Software dedicados • Parametrização do Ambiente Informatizado • Forma de atuação do Corpo Técnico ISSA Brasil 20 Segurança da Informação Aplicada
Juntando as peças em uma composição ISSA Brasil 21 Segurança da Informação Aplicada
Juntando as peças em uma composição ISSA Brasil 21 Segurança da Informação Aplicada
Juntando as peças em uma composição Perímetro de Segurança Física ISSA Brasil 21 Segurança da Informação Aplicada
Juntando as peças em uma composição Perímetro de Segurança Física Controle de Acesso Físico ISSA Brasil 21 Segurança da Informação Aplicada
Juntando as peças em uma composição Perímetro de Segurança Física Controle de Acesso Físico Controle de Acesso na Rede de Dados ISSA Brasil 21 Segurança da Informação Aplicada
Juntando as peças em uma composição Perímetro de Segurança Física Controle de Acesso Controle de Acesso Físico na Aplicação Controle de Acesso na Rede de Dados ISSA Brasil 21 Segurança da Informação Aplicada
Juntando as peças em uma composição Perímetro de Segurança Física Criptografia de Arquivos Controle de Acesso Controle de Acesso Físico na Aplicação Controle de Acesso na Rede de Dados ISSA Brasil 21 Segurança da Informação Aplicada
Juntando as peças em uma composição Perímetro de Segurança Física Criptografia de Arquivos Controle de Acesso Controle de Acesso Físico na Aplicação Como administrar Controle de Acesso este modelo? na Rede de Dados ISSA Brasil 21 Segurança da Informação Aplicada
A mudança de postura no modelo de administração do risco ISSA Brasil 22 Segurança da Informação Aplicada
A Postura Atual ISSA Brasil 23 Segurança da Informação Aplicada
A Postura Atual Modelo Comum ISSA Brasil 23 Segurança da Informação Aplicada
A Postura Atual Modelo Comum • Estabelecimento de uma política de segurança baseada em normas de mercado e com medidas restritivas ISSA Brasil 23 Segurança da Informação Aplicada
A Postura Atual Modelo Comum • Estabelecimento de uma política de segurança baseada em normas de mercado e com medidas restritivas • Posicionamento de uma ferramenta de controle de aderência ISSA Brasil 23 Segurança da Informação Aplicada
A Postura Atual Modelo Comum • Estabelecimento de uma política de segurança baseada em normas de mercado e com medidas restritivas • Posicionamento de uma ferramenta de controle de aderência Problemas Identificados ISSA Brasil 23 Segurança da Informação Aplicada
A Postura Atual Modelo Comum • Estabelecimento de uma política de segurança baseada em normas de mercado e com medidas restritivas • Posicionamento de uma ferramenta de controle de aderência Problemas Identificados • Não existe um modelo pronto para cada Organização ISSA Brasil 23 Segurança da Informação Aplicada
A Postura Atual Modelo Comum • Estabelecimento de uma política de segurança baseada em normas de mercado e com medidas restritivas • Posicionamento de uma ferramenta de controle de aderência Problemas Identificados • Não existe um modelo pronto para cada Organização • A implementação abrupta causa reações não planejadas ISSA Brasil 23 Segurança da Informação Aplicada
A Postura Atual Modelo Comum • Estabelecimento de uma política de segurança baseada em normas de mercado e com medidas restritivas • Posicionamento de uma ferramenta de controle de aderência Problemas Identificados • Não existe um modelo pronto para cada Organização • A implementação abrupta causa reações não planejadas • Postura em relação ao cumprimento dos controles estabelecidos ISSA Brasil 23 Segurança da Informação Aplicada
Resultados para a Sociedade ISSA Brasil 24 Segurança da Informação Aplicada
Resultados para a Sociedade Vulnerabilidades Catalogadas pelo CERT 9000 6750 4500 2250 0 2000 2001 2002 2003 2004 2005 2006 2007 2008 ISSA Brasil 24 Segurança da Informação Aplicada
Resultados para a Sociedade Vulnerabilidades Catalogadas pelo CERT 9000 Resultados do 1o Trimestre 6750 4500 2250 0 2000 2001 2002 2003 2004 2005 2006 2007 2008 ISSA Brasil 24 Segurança da Informação Aplicada
Resultados para as Organizações ISSA Brasil 25 Segurança da Informação Aplicada
Resultados para as Organizações Perdas no e-Commerce nos EUA $4,000,000,000.00 $3,000,000,000.00 $2,000,000,000.00 $1,000,000,000.00 $0 2000 2002 2004 2006 2008 Fonte: Cybersource Annual On Line Fraud Report 2009 ISSA Brasil 25 Segurança da Informação Aplicada
Controles Documentais ISSA Brasil 26 Segurança da Informação Aplicada
Controles Documentais Ponto de Atenção ISSA Brasil 26 Segurança da Informação Aplicada
Controles Documentais Ponto de Atenção • Não existe um modelo de política pronto para cada Organização ISSA Brasil 26 Segurança da Informação Aplicada
Controles Documentais Ponto de Atenção • Não existe um modelo de política pronto para cada Organização Recomendações ISSA Brasil 26 Segurança da Informação Aplicada
Controles Documentais Ponto de Atenção • Não existe um modelo de política pronto para cada Organização Recomendações • Equilíbrio entre atendimento a aderência requerida com o que a Organização efetivamente pode gerenciar ISSA Brasil 26 Segurança da Informação Aplicada
Controles Documentais Ponto de Atenção • Não existe um modelo de política pronto para cada Organização Recomendações • Equilíbrio entre atendimento a aderência requerida com o que a Organização efetivamente pode gerenciar • A definição de Política de Segurança deve ser clara para todos ISSA Brasil 26 Segurança da Informação Aplicada
Controles Documentais Ponto de Atenção • Não existe um modelo de política pronto para cada Organização Recomendações • Equilíbrio entre atendimento a aderência requerida com o que a Organização efetivamente pode gerenciar • A definição de Política de Segurança deve ser clara para todos • A análise de riscos tem um papel definido, use-a ISSA Brasil 26 Segurança da Informação Aplicada
Controles Processuais ISSA Brasil 27 Segurança da Informação Aplicada
Controles Processuais Ponto de Atenção ISSA Brasil 27 Segurança da Informação Aplicada
Controles Processuais Ponto de Atenção • A implementação abrupta causa reações não planejadas ISSA Brasil 27 Segurança da Informação Aplicada
Controles Processuais Ponto de Atenção • A implementação abrupta causa reações não planejadas Recomendações ISSA Brasil 27 Segurança da Informação Aplicada
Controles Processuais Ponto de Atenção • A implementação abrupta causa reações não planejadas Recomendações • Processos devem ser alterados de forma gradual e adaptados à realidade de cada Organização, nunca o contrário ISSA Brasil 27 Segurança da Informação Aplicada
Controles Processuais Ponto de Atenção • A implementação abrupta causa reações não planejadas Recomendações • Processos devem ser alterados de forma gradual e adaptados à realidade de cada Organização, nunca o contrário • A integração do modelo às características da Organização é o principal ponto de atenção a ser observado ISSA Brasil 27 Segurança da Informação Aplicada
Controles Processuais Ponto de Atenção • A implementação abrupta causa reações não planejadas Recomendações • Processos devem ser alterados de forma gradual e adaptados à realidade de cada Organização, nunca o contrário • A integração do modelo às características da Organização é o principal ponto de atenção a ser observado • A definição de responsabilidades é parte do processo ISSA Brasil 27 Segurança da Informação Aplicada
Controles Técnicos ISSA Brasil 28 Segurança da Informação Aplicada
Controles Técnicos Ponto de Atenção ISSA Brasil 28 Segurança da Informação Aplicada
Controles Técnicos Ponto de Atenção • Postura em relação ao cumprimento dos controles estabelecidos ISSA Brasil 28 Segurança da Informação Aplicada
Controles Técnicos Ponto de Atenção • Postura em relação ao cumprimento dos controles estabelecidos Recomendações ISSA Brasil 28 Segurança da Informação Aplicada
Controles Técnicos Ponto de Atenção • Postura em relação ao cumprimento dos controles estabelecidos Recomendações • Os controles técnicos, assim como os demais, não são restritos ao universo de TI da Organização ISSA Brasil 28 Segurança da Informação Aplicada
Controles Técnicos Ponto de Atenção • Postura em relação ao cumprimento dos controles estabelecidos Recomendações • Os controles técnicos, assim como os demais, não são restritos ao universo de TI da Organização • A parametrização do Ambiente Informatizado deve observar a integração entre todos os componentes ISSA Brasil 28 Segurança da Informação Aplicada
Controles Técnicos Ponto de Atenção • Postura em relação ao cumprimento dos controles estabelecidos Recomendações • Os controles técnicos, assim como os demais, não são restritos ao universo de TI da Organização • A parametrização do Ambiente Informatizado deve observar a integração entre todos os componentes • Um bom técnico não é necessariamente um bom especialista em IT Security ISSA Brasil 28 Segurança da Informação Aplicada
A Postura Positiva ISSA Brasil 29 Segurança da Informação Aplicada
A Postura Positiva Tecnologia Negócio ISSA Brasil 29 Segurança da Informação Aplicada
A Postura Positiva Tecnologia Negócio Reativa Adequada ISSA Brasil 29 Segurança da Informação Aplicada
A Postura Positiva Tecnologia Negócio Reativa Adequada Correção Prevenção ISSA Brasil 29 Segurança da Informação Aplicada
A Postura Positiva Tecnologia Negócio Reativa Adequada Correção Prevenção Isolada Integrada ISSA Brasil 29 Segurança da Informação Aplicada
A Postura Positiva Tecnologia Negócio Reativa Adequada Correção Prevenção Isolada Integrada Administração Gestão ISSA Brasil 29 Segurança da Informação Aplicada
Última Consideração ISSA Brasil 30 Segurança da Informação Aplicada
Última Consideração Security is a process, not a product. Products provide some protection, but the only way to effectively do business in an insecure world is to put processes in place that recognize the inherent insecurity in the products. The trick is to reduce your risk of exposure regardless of the products or patches. Bruce Schneier ISSA Brasil 30 Segurança da Informação Aplicada
Fontes de Referência ISSA Brasil 31 Segurança da Informação Aplicada
Fontes de Referência North American Electric Reliability Corporation (NERC) ISSA Brasil 31 Segurança da Informação Aplicada
Fontes de Referência North American Electric Reliability Corporation (NERC) • http://www.nerc.com/ ISSA Brasil 31 Segurança da Informação Aplicada
Fontes de Referência North American Electric Reliability Corporation (NERC) • http://www.nerc.com/ Electricity Sector - Information Sharing and Analysis Center (ES- ISAC) ISSA Brasil 31 Segurança da Informação Aplicada
Fontes de Referência North American Electric Reliability Corporation (NERC) • http://www.nerc.com/ Electricity Sector - Information Sharing and Analysis Center (ES- ISAC) • http://www.esisac.com/ ISSA Brasil 31 Segurança da Informação Aplicada
Fontes de Referência North American Electric Reliability Corporation (NERC) • http://www.nerc.com/ Electricity Sector - Information Sharing and Analysis Center (ES- ISAC) • http://www.esisac.com/ The International Society of Automation (ISA) ISSA Brasil 31 Segurança da Informação Aplicada
Fontes de Referência North American Electric Reliability Corporation (NERC) • http://www.nerc.com/ Electricity Sector - Information Sharing and Analysis Center (ES- ISAC) • http://www.esisac.com/ The International Society of Automation (ISA) • SA99, Industrial Automation and Control System Security disponível em http://www.isa.org/MSTemplate.cfm? Section=Home964&Site=SP99,_Manufacturing_and_Control_Systems_Secu rity1&Template=/ContentManagement/ MSContentDisplay.cfm&ContentID=77617 ISSA Brasil 31 Segurança da Informação Aplicada
1o Encontro do Subcomitê de Segurança da Informação RIO DE JANEIRO, 17 DE AGOSTO DE 2009 Segurança da Informação Aplicada Eduardo Vianna de Camargo Neves, CISSP ISSA Brasil www.issabrasil.org

Mais conteúdo relacionado

PDF
Segurança da Informação
porEfrain Saavedra
 
PDF
Segurança da Informação | Enttry Software
porEnttry Softwares
 
PDF
CLASS 2018 - Palestra de Thiago Braga (CTO - TI Safe)
porTI Safe
 
PPTX
Sistemas da informação segurança da informação
porFernando Gomes Chaves
 
PDF
Segurança da Informação
porFábio Ferreira
 
PDF
Abin aula 01-1
porEsc Tiradentes
 
PDF
Introdução à Segurança da Informação
porDaniel de Sousa Luz
 
PDF
Palestra eb 02 07-19
porTI Safe
 
Segurança da Informação
porEfrain Saavedra
 
Segurança da Informação | Enttry Software
porEnttry Softwares
 
CLASS 2018 - Palestra de Thiago Braga (CTO - TI Safe)
porTI Safe
 
Sistemas da informação segurança da informação
porFernando Gomes Chaves
 
Segurança da Informação
porFábio Ferreira
 
Abin aula 01-1
porEsc Tiradentes
 
Introdução à Segurança da Informação
porDaniel de Sousa Luz
 
Palestra eb 02 07-19
porTI Safe
 

Mais procurados

PDF
AGRO - Segurança Cibernética no Campo
porTI Safe
 
PDF
Seminário Segurança da Informação
porFelipe Morais
 
PDF
Informática para Internet - Informática Aplicada - Aula 09
porAnderson Andrade
 
PPTX
Aula 1 - Introdução a Segurança da Informação
porCarlos Henrique Martins da Silva
 
PDF
Como garantir um maior nívelde proteção de dados
porSymantec Brasil
 
PDF
Introdução a Segurança da Informação
porRafael De Brito Marques
 
PDF
Retrospectiva
porTI Safe
 
PPSX
Segurança em TI
porAugusto Junior
 
PPSX
Aula 18 segurança da informação
porLuiz Siles
 
PDF
Palestra técnica - Aprendendo segurança em redes industriais e SCADA
porTI Safe
 
PPTX
segurança da informação
poralexandre henrique baía ribeiro
 
PPT
A História da Segurança da Informação
porAndré Santos
 
PPTX
Segurança da informação - Aula 01
porprofandreson
 
AGRO - Segurança Cibernética no Campo
porTI Safe
 
Seminário Segurança da Informação
porFelipe Morais
 
Informática para Internet - Informática Aplicada - Aula 09
porAnderson Andrade
 
Aula 1 - Introdução a Segurança da Informação
porCarlos Henrique Martins da Silva
 
Como garantir um maior nívelde proteção de dados
porSymantec Brasil
 
Introdução a Segurança da Informação
porRafael De Brito Marques
 
Retrospectiva
porTI Safe
 
Segurança em TI
porAugusto Junior
 
Aula 18 segurança da informação
porLuiz Siles
 
Palestra técnica - Aprendendo segurança em redes industriais e SCADA
porTI Safe
 
segurança da informação
poralexandre henrique baía ribeiro
 
A História da Segurança da Informação
porAndré Santos
 
Segurança da informação - Aula 01
porprofandreson
 

Destaque

PDF
Segurança da Informação e Políticas de Segurança
porGilberto Sudre
 
PDF
Guia de boas práticas em gestão da segurança da informação
porFernando Palma
 
PPT
Palestra - Segurança da Informação
porJoão Carlos da Silva Junior
 
PDF
Projeto em Seguranca da Informação
porFernando Palma
 
PPT
Fundamentos de Segurança da Informação
porIlan Chamovitz
 
PPT
Segurança da Informação
porMarco Mendes
 
PPTX
Gerenciamento de riscos de segurança da informação - MOD02
porFernando Palma
 
PPTX
Mod01 introdução
porFernando Palma
 
PPTX
Introdução a ISO 27002 - MOD04
porFernando Palma
 
PDF
Introdução a segurança da informação
porCleber Fonseca
 
PPSX
Seminario seguranca da informacao
porMariana Gonçalves Spanghero
 
PDF
Planejamento de Backup de dados
porFernando Palma
 
PDF
Politica De Seguranca
porRaul Libório
 
PPSX
ISO 27002
portrabajofinal2
 
PDF
Resumo ISO 27002
porFernando Palma
 
PPT
Aula 3 - Política de Segurança da Informação (PSI)
porCarlos Henrique Martins da Silva
 
PDF
Exemplo de política de segurança
porFernando Palma
 
PDF
Seguranca da Informação - Conceitos
porLuiz Arthur
 
PDF
Visual Design with Data
porSeth Familian
 
PDF
Webinar: Otimização de Custos na AWS
porAmazon Web Services LATAM
 
Segurança da Informação e Políticas de Segurança
porGilberto Sudre
 
Guia de boas práticas em gestão da segurança da informação
porFernando Palma
 
Palestra - Segurança da Informação
porJoão Carlos da Silva Junior
 
Projeto em Seguranca da Informação
porFernando Palma
 
Fundamentos de Segurança da Informação
porIlan Chamovitz
 
Segurança da Informação
porMarco Mendes
 
Gerenciamento de riscos de segurança da informação - MOD02
porFernando Palma
 
Mod01 introdução
porFernando Palma
 
Introdução a ISO 27002 - MOD04
porFernando Palma
 
Introdução a segurança da informação
porCleber Fonseca
 
Seminario seguranca da informacao
porMariana Gonçalves Spanghero
 
Planejamento de Backup de dados
porFernando Palma
 
Politica De Seguranca
porRaul Libório
 
ISO 27002
portrabajofinal2
 
Resumo ISO 27002
porFernando Palma
 
Aula 3 - Política de Segurança da Informação (PSI)
porCarlos Henrique Martins da Silva
 
Exemplo de política de segurança
porFernando Palma
 
Seguranca da Informação - Conceitos
porLuiz Arthur
 
Visual Design with Data
porSeth Familian
 
Webinar: Otimização de Custos na AWS
porAmazon Web Services LATAM
 

Semelhante a Segurança da Informação Aplicada

PPTX
Segurança da Informação A 3 - 4 e especial-convertido.pptx
porMarceloRosenbrock1
 
PDF
Seguranca da informacao - ISSA
porRoney Médice
 
PDF
Antebellum - Conformidade, por onde começar?
porJuliano Dapper
 
PDF
Essentials Modulo1
porRobson Silva Espig
 
PDF
Essentials_Modulo1
porRobson Silva Espig
 
PPT
Seg redes 1
porLuciana Falcão
 
PPTX
T.A.R Aula 3 (1ª Unidade)
porCleiton Cunha
 
PDF
Tendências na segurança da informação
porFabio Leandro
 
PDF
A IMPORTÂNCIA DO USO DE ESTRATÉGIAS DE SEGURANÇA DA INFORMAÇÃO NAS ORGANIZAÇÕES
porCarla Ferreira
 
PDF
O crescente volume de dados, a diversidade dos compartilhamentos e a vulnerab...
porVirtù Tecnológica
 
PDF
Seguranca da Informação - Introdução - Novo
porLuiz Arthur
 
PDF
Segurança e Preservação de Informação Corporativa
porLeonardo Lacerda
 
PDF
Aula 02 - Segurança da Informação Introdução.pdf
porIsaacMendesdeMelo
 
PDF
Segurança Na Internet
porAnchises Moraes
 
PDF
Vale Security Conference - 2011 - 5 - Luiz Eduardo
porVale Security Conference
 
PDF
Conscientização sobre SI
porFelipe Perin
 
PDF
Introdução a segurança da informação e mecanismo e proteção
porNeemias Lopes
 
PDF
Introdução a Segurança da Informação e mecanismos de Proteção
porNeemias Lopes
 
PDF
Livro cap01
porhigson
 
PDF
Segurança de Sistemas de Informação
porLeonardo Lacerda
 
Segurança da Informação A 3 - 4 e especial-convertido.pptx
porMarceloRosenbrock1
 
Seguranca da informacao - ISSA
porRoney Médice
 
Antebellum - Conformidade, por onde começar?
porJuliano Dapper
 
Essentials Modulo1
porRobson Silva Espig
 
Essentials_Modulo1
porRobson Silva Espig
 
Seg redes 1
porLuciana Falcão
 
T.A.R Aula 3 (1ª Unidade)
porCleiton Cunha
 
Tendências na segurança da informação
porFabio Leandro
 
A IMPORTÂNCIA DO USO DE ESTRATÉGIAS DE SEGURANÇA DA INFORMAÇÃO NAS ORGANIZAÇÕES
porCarla Ferreira
 
O crescente volume de dados, a diversidade dos compartilhamentos e a vulnerab...
porVirtù Tecnológica
 
Seguranca da Informação - Introdução - Novo
porLuiz Arthur
 
Segurança e Preservação de Informação Corporativa
porLeonardo Lacerda
 
Aula 02 - Segurança da Informação Introdução.pdf
porIsaacMendesdeMelo
 
Segurança Na Internet
porAnchises Moraes
 
Vale Security Conference - 2011 - 5 - Luiz Eduardo
porVale Security Conference
 
Conscientização sobre SI
porFelipe Perin
 
Introdução a segurança da informação e mecanismo e proteção
porNeemias Lopes
 
Introdução a Segurança da Informação e mecanismos de Proteção
porNeemias Lopes
 
Livro cap01
porhigson
 
Segurança de Sistemas de Informação
porLeonardo Lacerda
 

Segurança da Informação Aplicada

  • 2.
    1o Encontro doSubcomitê de Segurança da Informação RIO DE JANEIRO, 17 DE AGOSTO DE 2009 Segurança da Informação Aplicada Eduardo Vianna de Camargo Neves, CISSP ISSA Brasil www.issabrasil.org
  • 3.
    Uma Visão Geralda Information Systems Security Association ISSA Brasil 2 Segurança da Informação Aplicada
  • 4.
    Sobre a ISSA ISSABrasil 3 Segurança da Informação Aplicada
  • 5.
    Sobre a ISSA Papel na Sociedade ISSA Brasil 3 Segurança da Informação Aplicada
  • 6.
    Sobre a ISSA Papel na Sociedade • Organização Internacional sem fins lucrativos de Profissionais de Segurança da Informação ISSA Brasil 3 Segurança da Informação Aplicada
  • 7.
    Sobre a ISSA Papel na Sociedade • Organização Internacional sem fins lucrativos de Profissionais de Segurança da Informação • “The global voice of information security” ISSA Brasil 3 Segurança da Informação Aplicada
  • 8.
    Sobre a ISSA Papel na Sociedade • Organização Internacional sem fins lucrativos de Profissionais de Segurança da Informação • “The global voice of information security” Estrutura Operacional ISSA Brasil 3 Segurança da Informação Aplicada
  • 9.
    Sobre a ISSA Papel na Sociedade • Organização Internacional sem fins lucrativos de Profissionais de Segurança da Informação • “The global voice of information security” Estrutura Operacional • Mais de 10 mil membros distribuídos em 136 Capítulos ISSA Brasil 3 Segurança da Informação Aplicada
  • 10.
    Sobre a ISSA Papel na Sociedade • Organização Internacional sem fins lucrativos de Profissionais de Segurança da Informação • “The global voice of information security” Estrutura Operacional • Mais de 10 mil membros distribuídos em 136 Capítulos • Presente em 70 países ISSA Brasil 3 Segurança da Informação Aplicada
  • 11.
    Sobre a ISSA Papel na Sociedade • Organização Internacional sem fins lucrativos de Profissionais de Segurança da Informação • “The global voice of information security” Estrutura Operacional • Mais de 10 mil membros distribuídos em 136 Capítulos • Presente em 70 países • Mais de 100 membros no Brasil ISSA Brasil 3 Segurança da Informação Aplicada
  • 12.
    Sobre a ISSA ISSABrasil 4 Segurança da Informação Aplicada
  • 13.
    Sobre a ISSA Por que se associar? ISSA Brasil 4 Segurança da Informação Aplicada
  • 14.
    Sobre a ISSA Por que se associar? • Acesso a informações e eventos exclusivos ISSA Brasil 4 Segurança da Informação Aplicada
  • 15.
    Sobre a ISSA Por que se associar? • Acesso a informações e eventos exclusivos • Networking on-line e off-line ISSA Brasil 4 Segurança da Informação Aplicada
  • 16.
    Sobre a ISSA Por que se associar? • Acesso a informações e eventos exclusivos • Networking on-line e off-line • Descontos e promoções em eventos e atividades do setor ISSA Brasil 4 Segurança da Informação Aplicada
  • 17.
    Sobre a ISSA Por que se associar? • Acesso a informações e eventos exclusivos • Networking on-line e off-line • Descontos e promoções em eventos e atividades do setor • Contribuição com a sociedade ISSA Brasil 4 Segurança da Informação Aplicada
  • 18.
    Falando sobre Segurança da Informação ISSA Brasil 5 Segurança da Informação Aplicada
  • 19.
    Histórico da Disciplina ISSABrasil 6 Segurança da Informação Aplicada
  • 20.
    Histórico da Disciplina Proteção da Informação ISSA Brasil 6 Segurança da Informação Aplicada
  • 21.
    Histórico da Disciplina Proteção da Informação • Início durante as primeiras civilizações ISSA Brasil 6 Segurança da Informação Aplicada
  • 22.
    Histórico da Disciplina Proteção da Informação • Início durante as primeiras civilizações • Alteração de escopo com o advento dos computadores ISSA Brasil 6 Segurança da Informação Aplicada
  • 23.
    Histórico da Disciplina Proteção da Informação • Início durante as primeiras civilizações • Alteração de escopo com o advento dos computadores Segurança da Informação ISSA Brasil 6 Segurança da Informação Aplicada
  • 24.
    Histórico da Disciplina Proteção da Informação • Início durante as primeiras civilizações • Alteração de escopo com o advento dos computadores Segurança da Informação • Competências militares durante a II Guerra Mundial ISSA Brasil 6 Segurança da Informação Aplicada
  • 25.
    Histórico da Disciplina Proteção da Informação • Início durante as primeiras civilizações • Alteração de escopo com o advento dos computadores Segurança da Informação • Competências militares durante a II Guerra Mundial • Desenvolvimento nos EUA e Europa ISSA Brasil 6 Segurança da Informação Aplicada
  • 26.
    Histórico da Disciplina Proteção da Informação • Início durante as primeiras civilizações • Alteração de escopo com o advento dos computadores Segurança da Informação • Competências militares durante a II Guerra Mundial • Desenvolvimento nos EUA e Europa • Alteração de escopo com o advento da Internet ISSA Brasil 6 Segurança da Informação Aplicada
  • 27.
    Timeline ISSA Brasil 7 Segurança da Informação Aplicada
  • 28.
    Timeline ISSA Brasil 7 Segurança da Informação Aplicada
  • 29.
    Timeline Captain Cruch 1970 Cena Hacker Primeiros esforços para um modelo de IT Security ISSA Brasil 7 Segurança da Informação Aplicada
  • 30.
    Timeline Captain The Cruch 414s 1970 1980 Cena Hacker Furtos on-line Primeiros Primeiras leis esforços para sobre IT um modelo de Security nos IT Security EUA ISSA Brasil 7 Segurança da Informação Aplicada
  • 31.
    Timeline Captain The Caso Cruch 414s Citibank 1970 1980 1990 Cena Hacker Furtos on-line Cena Cracker Primeiros Primeiras leis esforços para sobre IT Eligible um modelo de Security nos Receiver 97 IT Security EUA ISSA Brasil 7 Segurança da Informação Aplicada
  • 32.
    Timeline Captain The Caso Trustworthy Cruch 414s Citibank Computing 1970 1980 1990 2000 Cena Hacker Furtos on-line Cena Cracker ILOVEYOU Primeiros Primeiras leis Department of esforços para sobre IT Eligible Homeland um modelo de Security nos Receiver 97 Security IT Security EUA ISSA Brasil 7 Segurança da Informação Aplicada
  • 33.
    Timeline Captain The Caso Trustworthy Casos no Cruch 414s Citibank Computing Brasil 1970 1980 1990 2000 2006 Cena Hacker Furtos on-line Cena Cracker ILOVEYOU DPF e DPC Primeiros Primeiras leis Department of esforços para sobre IT Eligible Homeland PCI Council um modelo de Security nos Receiver 97 Security IT Security EUA ISSA Brasil 7 Segurança da Informação Aplicada
  • 34.
    Timeline Captain The Caso Trustworthy Casos no Heartland Cruch 414s Citibank Computing Brasil Payment 1970 1980 1990 2000 2006 2009 Cena Hacker Furtos on-line Cena Cracker ILOVEYOU DPF e DPC Crime Organizado Primeiros Primeiras leis Department of Lei de Crimes esforços para sobre IT Eligible Homeland PCI Council Cibernéticos no um modelo de Security nos Receiver 97 Security Brasil IT Security EUA ISSA Brasil 7 Segurança da Informação Aplicada
  • 35.
    Segurança da Informaçãohoje ISSA Brasil 8 Segurança da Informação Aplicada
  • 36.
    Segurança da Informaçãohoje Proteção da Infra-estrutura ISSA Brasil 8 Segurança da Informação Aplicada
  • 37.
    Segurança da Informaçãohoje Proteção da Infra-estrutura • Legislações específicas e normas reguladoras ISSA Brasil 8 Segurança da Informação Aplicada
  • 38.
    Segurança da Informaçãohoje Proteção da Infra-estrutura • Legislações específicas e normas reguladoras • Atuação das forças militares e policiais ISSA Brasil 8 Segurança da Informação Aplicada
  • 39.
    Segurança da Informaçãohoje Proteção da Infra-estrutura • Legislações específicas e normas reguladoras • Atuação das forças militares e policiais Proteção das Empresas ISSA Brasil 8 Segurança da Informação Aplicada
  • 40.
    Segurança da Informaçãohoje Proteção da Infra-estrutura • Legislações específicas e normas reguladoras • Atuação das forças militares e policiais Proteção das Empresas • Cumprimento da legislação e autoregulamentação ISSA Brasil 8 Segurança da Informação Aplicada
  • 41.
    Segurança da Informaçãohoje Proteção da Infra-estrutura • Legislações específicas e normas reguladoras • Atuação das forças militares e policiais Proteção das Empresas • Cumprimento da legislação e autoregulamentação • Estrutura de IT Security como força de trabalho ISSA Brasil 8 Segurança da Informação Aplicada
  • 42.
    Segurança da Informaçãohoje Proteção da Infra-estrutura • Legislações específicas e normas reguladoras • Atuação das forças militares e policiais Proteção das Empresas • Cumprimento da legislação e autoregulamentação • Estrutura de IT Security como força de trabalho Proteção da Sociedade ISSA Brasil 8 Segurança da Informação Aplicada
  • 43.
    Segurança da Informaçãohoje Proteção da Infra-estrutura • Legislações específicas e normas reguladoras • Atuação das forças militares e policiais Proteção das Empresas • Cumprimento da legislação e autoregulamentação • Estrutura de IT Security como força de trabalho Proteção da Sociedade • Conteúdo variado disponível na Internet ISSA Brasil 8 Segurança da Informação Aplicada
  • 44.
    Segurança da Informaçãohoje Proteção da Infra-estrutura • Legislações específicas e normas reguladoras • Atuação das forças militares e policiais Proteção das Empresas • Cumprimento da legislação e autoregulamentação • Estrutura de IT Security como força de trabalho Proteção da Sociedade • Conteúdo variado disponível na Internet • Atuação de ONGs e grupos de trabalho ISSA Brasil 8 Segurança da Informação Aplicada
  • 45.
    Segurança da Informaçãohoje ISSA Brasil 9 Segurança da Informação Aplicada
  • 46.
    Segurança da Informaçãohoje ISSA Brasil 10 Segurança da Informação Aplicada
  • 47.
    Segurança da Informaçãoamanhã? ISSA Brasil 11 Segurança da Informação Aplicada
  • 48.
    Segurança da Informaçãoamanhã? ISSA Brasil 11 Segurança da Informação Aplicada
  • 49.
    A Aplicação da Segurança da Informação ISSA Brasil 12 Segurança da Informação Aplicada
  • 50.
    Distribuição de controles ISSABrasil 13 Segurança da Informação Aplicada
  • 51.
    Distribuição de controles Estrutura ISSA Brasil 13 Segurança da Informação Aplicada
  • 52.
    Distribuição de controles Estrutura • Alinhamento de necessidades de performance com requisitos de segurança para os ativos da organização ISSA Brasil 13 Segurança da Informação Aplicada
  • 53.
    Distribuição de controles Estrutura • Alinhamento de necessidades de performance com requisitos de segurança para os ativos da organização • Qual é o nível de risco que você está disposto a correr? ISSA Brasil 13 Segurança da Informação Aplicada
  • 54.
    Distribuição de controles Estrutura • Alinhamento de necessidades de performance com requisitos de segurança para os ativos da organização • Qual é o nível de risco que você está disposto a correr? • Quais controles compensatórios podem ser implementados? ISSA Brasil 13 Segurança da Informação Aplicada
  • 55.
    Distribuição de controles Estrutura • Alinhamento de necessidades de performance com requisitos de segurança para os ativos da organização • Qual é o nível de risco que você está disposto a correr? • Quais controles compensatórios podem ser implementados? Abordagem ISSA Brasil 13 Segurança da Informação Aplicada
  • 56.
    Distribuição de controles Estrutura • Alinhamento de necessidades de performance com requisitos de segurança para os ativos da organização • Qual é o nível de risco que você está disposto a correr? • Quais controles compensatórios podem ser implementados? Abordagem • Nível de Segurança atual x Modelo Planejado ISSA Brasil 13 Segurança da Informação Aplicada
  • 57.
    Distribuição de controles Estrutura • Alinhamento de necessidades de performance com requisitos de segurança para os ativos da organização • Qual é o nível de risco que você está disposto a correr? • Quais controles compensatórios podem ser implementados? Abordagem • Nível de Segurança atual x Modelo Planejado • Evolução do nível de maturidade ISSA Brasil 13 Segurança da Informação Aplicada
  • 58.
    Distribuição de controles Estrutura • Alinhamento de necessidades de performance com requisitos de segurança para os ativos da organização • Qual é o nível de risco que você está disposto a correr? • Quais controles compensatórios podem ser implementados? Abordagem • Nível de Segurança atual x Modelo Planejado • Evolução do nível de maturidade • Modelo de Gestão adequado à sua realidade ISSA Brasil 13 Segurança da Informação Aplicada
  • 59.
    Governança, Risco eCompliance ISSA Brasil 14 Segurança da Informação Aplicada
  • 60.
    Governança, Risco eCompliance Definição ISSA Brasil 14 Segurança da Informação Aplicada
  • 61.
    Governança, Risco eCompliance Definição • GRC é um termo que tem crescido nas discussões sobre IT Security nas organizações ISSA Brasil 14 Segurança da Informação Aplicada
  • 62.
    Governança, Risco eCompliance Definição • GRC é um termo que tem crescido nas discussões sobre IT Security nas organizações • Gestão de múltiplas atividades que trabalham em conjunto para atender às premissas estabelecidas pela organização ISSA Brasil 14 Segurança da Informação Aplicada
  • 63.
    Governança, Risco eCompliance ISSA Brasil 15 Segurança da Informação Aplicada
  • 64.
    Governança, Risco eCompliance Responsabilidade do Corpo Executivo Governança ISSA Brasil 15 Segurança da Informação Aplicada
  • 65.
    Governança, Risco eCompliance Gestão de níveis Responsabilidade do aceitáveis pela Corpo Executivo Organização Governança Risco ISSA Brasil 15 Segurança da Informação Aplicada
  • 66.
    Governança, Risco eCompliance Gestão de níveis Aderência a Responsabilidade do aceitáveis pela regulamentações, Corpo Executivo Organização normas e Legislação Governança Risco Compliance ISSA Brasil 15 Segurança da Informação Aplicada
  • 67.
    Governança, Risco eCompliance Governança Risco Compliance ISSA Brasil 16 Segurança da Informação Aplicada
  • 68.
    Governança, Risco eCompliance Governança Risco Compliance ISSA Brasil 16 Segurança da Informação Aplicada
  • 69.
    Governança, Risco eCompliance • Definição do nível de risco • Suporte na aderência às Práticas de Mercado Governança • Alocação de recursos Risco Compliance ISSA Brasil 16 Segurança da Informação Aplicada
  • 70.
    Governança, Risco eCompliance • Definição do nível de risco • Suporte na aderência às Práticas de Mercado Governança • Alocação de recursos • Performance x Segurança • Aceite de controles compensatórios Risco • Parceiros e fornecedores Compliance ISSA Brasil 16 Segurança da Informação Aplicada
  • 71.
    Governança, Risco eCompliance • Definição do nível de risco • Suporte na aderência às Práticas de Mercado Governança • Alocação de recursos • Performance x Segurança • Aceite de controles compensatórios Risco • Parceiros e fornecedores • Legislação (Código Civil) • Regulamentação (BACEN 3.380, SUSEPE) Compliance • Práticas de Mercado (PCI DSS, SOX) ISSA Brasil 16 Segurança da Informação Aplicada
  • 72.
    Posicionamento de controles ISSABrasil 17 Segurança da Informação Aplicada
  • 73.
    Posicionamento de controles Os controles estão distribuídos em áreas específicas, porém podem e devem ser gerenciados de forma conjunta ISSA Brasil 17 Segurança da Informação Aplicada
  • 74.
    Posicionamento de controles Os controles estão distribuídos em áreas específicas, porém podem e devem ser gerenciados de forma conjunta Controles Documentais • Políticas de Segurança • Normas de Uso • Padrões Técnicos ISSA Brasil 17 Segurança da Informação Aplicada
  • 75.
    Posicionamento de controles Os controles estão distribuídos em áreas específicas, porém podem e devem ser gerenciados de forma conjunta Controles Documentais Controles Processuais • Políticas de Segurança • Administração de • Normas de Uso Patches • Padrões Técnicos • Treinamento e Capacitação • Resposta a Incidentes ISSA Brasil 17 Segurança da Informação Aplicada
  • 76.
    Posicionamento de controles Os controles estão distribuídos em áreas específicas, porém podem e devem ser gerenciados de forma conjunta Controles Documentais Controles Processuais Controles Técnicos • Políticas de Segurança • Administração de • Rede de Dados • Normas de Uso Patches • Aplicações Legadas • Padrões Técnicos • Treinamento e • Desenvolvimento Capacitação • Resposta a Incidentes ISSA Brasil 17 Segurança da Informação Aplicada
  • 77.
    Controles Documentais ISSA Brasil 18 Segurança da Informação Aplicada
  • 78.
    Controles Documentais Definição ISSA Brasil 18 Segurança da Informação Aplicada
  • 79.
    Controles Documentais Definição • Estabelecem os critérios que devem ser aplicados na proteção das informações da Organização ISSA Brasil 18 Segurança da Informação Aplicada
  • 80.
    Controles Documentais Definição • Estabelecem os critérios que devem ser aplicados na proteção das informações da Organização Modelos ISSA Brasil 18 Segurança da Informação Aplicada
  • 81.
    Controles Documentais Definição • Estabelecem os critérios que devem ser aplicados na proteção das informações da Organização Modelos • Legislação e Regulamentações específicas ISSA Brasil 18 Segurança da Informação Aplicada
  • 82.
    Controles Documentais Definição • Estabelecem os critérios que devem ser aplicados na proteção das informações da Organização Modelos • Legislação e Regulamentações específicas • Práticas de mercado estruturadas em normas ISSA Brasil 18 Segurança da Informação Aplicada
  • 83.
    Controles Documentais Definição • Estabelecem os critérios que devem ser aplicados na proteção das informações da Organização Modelos • Legislação e Regulamentações específicas • Práticas de mercado estruturadas em normas • Política de Segurança da Informação ISSA Brasil 18 Segurança da Informação Aplicada
  • 84.
    Controles Processuais ISSA Brasil 19 Segurança da Informação Aplicada
  • 85.
    Controles Processuais Definição ISSA Brasil 19 Segurança da Informação Aplicada
  • 86.
    Controles Processuais Definição • Definem como os processos internos devem ser desenvolvidos para atender os critérios estabelecidos para a proteção das informações da Organização ISSA Brasil 19 Segurança da Informação Aplicada
  • 87.
    Controles Processuais Definição • Definem como os processos internos devem ser desenvolvidos para atender os critérios estabelecidos para a proteção das informações da Organização Modelos ISSA Brasil 19 Segurança da Informação Aplicada
  • 88.
    Controles Processuais Definição • Definem como os processos internos devem ser desenvolvidos para atender os critérios estabelecidos para a proteção das informações da Organização Modelos • Postura administrativa e gerencial ISSA Brasil 19 Segurança da Informação Aplicada
  • 89.
    Controles Processuais Definição • Definem como os processos internos devem ser desenvolvidos para atender os critérios estabelecidos para a proteção das informações da Organização Modelos • Postura administrativa e gerencial • Estabelecimento de processos internos ISSA Brasil 19 Segurança da Informação Aplicada
  • 90.
    Controles Processuais Definição • Definem como os processos internos devem ser desenvolvidos para atender os critérios estabelecidos para a proteção das informações da Organização Modelos • Postura administrativa e gerencial • Estabelecimento de processos internos • Procedimentos Operacionais e Instruções Técnicas ISSA Brasil 19 Segurança da Informação Aplicada
  • 91.
    Controles Técnicos ISSA Brasil 20 Segurança da Informação Aplicada
  • 92.
    Controles Técnicos Definição ISSA Brasil 20 Segurança da Informação Aplicada
  • 93.
    Controles Técnicos Definição • Realizam o enforcement necessário para que os processos internos sejam desenvolvidos atendendo os critérios estabelecidos para a proteção das informações da Organização ISSA Brasil 20 Segurança da Informação Aplicada
  • 94.
    Controles Técnicos Definição • Realizam o enforcement necessário para que os processos internos sejam desenvolvidos atendendo os critérios estabelecidos para a proteção das informações da Organização Modelos ISSA Brasil 20 Segurança da Informação Aplicada
  • 95.
    Controles Técnicos Definição • Realizam o enforcement necessário para que os processos internos sejam desenvolvidos atendendo os critérios estabelecidos para a proteção das informações da Organização Modelos • Hardware e Software dedicados ISSA Brasil 20 Segurança da Informação Aplicada
  • 96.
    Controles Técnicos Definição • Realizam o enforcement necessário para que os processos internos sejam desenvolvidos atendendo os critérios estabelecidos para a proteção das informações da Organização Modelos • Hardware e Software dedicados • Parametrização do Ambiente Informatizado ISSA Brasil 20 Segurança da Informação Aplicada
  • 97.
    Controles Técnicos Definição • Realizam o enforcement necessário para que os processos internos sejam desenvolvidos atendendo os critérios estabelecidos para a proteção das informações da Organização Modelos • Hardware e Software dedicados • Parametrização do Ambiente Informatizado • Forma de atuação do Corpo Técnico ISSA Brasil 20 Segurança da Informação Aplicada
  • 98.
    Juntando as peçasem uma composição ISSA Brasil 21 Segurança da Informação Aplicada
  • 99.
    Juntando as peçasem uma composição ISSA Brasil 21 Segurança da Informação Aplicada
  • 100.
    Juntando as peçasem uma composição Perímetro de Segurança Física ISSA Brasil 21 Segurança da Informação Aplicada
  • 101.
    Juntando as peçasem uma composição Perímetro de Segurança Física Controle de Acesso Físico ISSA Brasil 21 Segurança da Informação Aplicada
  • 102.
    Juntando as peçasem uma composição Perímetro de Segurança Física Controle de Acesso Físico Controle de Acesso na Rede de Dados ISSA Brasil 21 Segurança da Informação Aplicada
  • 103.
    Juntando as peçasem uma composição Perímetro de Segurança Física Controle de Acesso Controle de Acesso Físico na Aplicação Controle de Acesso na Rede de Dados ISSA Brasil 21 Segurança da Informação Aplicada
  • 104.
    Juntando as peçasem uma composição Perímetro de Segurança Física Criptografia de Arquivos Controle de Acesso Controle de Acesso Físico na Aplicação Controle de Acesso na Rede de Dados ISSA Brasil 21 Segurança da Informação Aplicada
  • 105.
    Juntando as peçasem uma composição Perímetro de Segurança Física Criptografia de Arquivos Controle de Acesso Controle de Acesso Físico na Aplicação Como administrar Controle de Acesso este modelo? na Rede de Dados ISSA Brasil 21 Segurança da Informação Aplicada
  • 106.
    A mudança depostura no modelo de administração do risco ISSA Brasil 22 Segurança da Informação Aplicada
  • 107.
    A Postura Atual ISSABrasil 23 Segurança da Informação Aplicada
  • 108.
    A Postura Atual Modelo Comum ISSA Brasil 23 Segurança da Informação Aplicada
  • 109.
    A Postura Atual Modelo Comum • Estabelecimento de uma política de segurança baseada em normas de mercado e com medidas restritivas ISSA Brasil 23 Segurança da Informação Aplicada
  • 110.
    A Postura Atual Modelo Comum • Estabelecimento de uma política de segurança baseada em normas de mercado e com medidas restritivas • Posicionamento de uma ferramenta de controle de aderência ISSA Brasil 23 Segurança da Informação Aplicada
  • 111.
    A Postura Atual Modelo Comum • Estabelecimento de uma política de segurança baseada em normas de mercado e com medidas restritivas • Posicionamento de uma ferramenta de controle de aderência Problemas Identificados ISSA Brasil 23 Segurança da Informação Aplicada
  • 112.
    A Postura Atual Modelo Comum • Estabelecimento de uma política de segurança baseada em normas de mercado e com medidas restritivas • Posicionamento de uma ferramenta de controle de aderência Problemas Identificados • Não existe um modelo pronto para cada Organização ISSA Brasil 23 Segurança da Informação Aplicada
  • 113.
    A Postura Atual Modelo Comum • Estabelecimento de uma política de segurança baseada em normas de mercado e com medidas restritivas • Posicionamento de uma ferramenta de controle de aderência Problemas Identificados • Não existe um modelo pronto para cada Organização • A implementação abrupta causa reações não planejadas ISSA Brasil 23 Segurança da Informação Aplicada
  • 114.
    A Postura Atual Modelo Comum • Estabelecimento de uma política de segurança baseada em normas de mercado e com medidas restritivas • Posicionamento de uma ferramenta de controle de aderência Problemas Identificados • Não existe um modelo pronto para cada Organização • A implementação abrupta causa reações não planejadas • Postura em relação ao cumprimento dos controles estabelecidos ISSA Brasil 23 Segurança da Informação Aplicada
  • 115.
    Resultados para aSociedade ISSA Brasil 24 Segurança da Informação Aplicada
  • 116.
    Resultados para aSociedade Vulnerabilidades Catalogadas pelo CERT 9000 6750 4500 2250 0 2000 2001 2002 2003 2004 2005 2006 2007 2008 ISSA Brasil 24 Segurança da Informação Aplicada
  • 117.
    Resultados para aSociedade Vulnerabilidades Catalogadas pelo CERT 9000 Resultados do 1o Trimestre 6750 4500 2250 0 2000 2001 2002 2003 2004 2005 2006 2007 2008 ISSA Brasil 24 Segurança da Informação Aplicada
  • 118.
    Resultados para asOrganizações ISSA Brasil 25 Segurança da Informação Aplicada
  • 119.
    Resultados para asOrganizações Perdas no e-Commerce nos EUA $4,000,000,000.00 $3,000,000,000.00 $2,000,000,000.00 $1,000,000,000.00 $0 2000 2002 2004 2006 2008 Fonte: Cybersource Annual On Line Fraud Report 2009 ISSA Brasil 25 Segurança da Informação Aplicada
  • 120.
    Controles Documentais ISSA Brasil 26 Segurança da Informação Aplicada
  • 121.
    Controles Documentais Ponto de Atenção ISSA Brasil 26 Segurança da Informação Aplicada
  • 122.
    Controles Documentais Ponto de Atenção • Não existe um modelo de política pronto para cada Organização ISSA Brasil 26 Segurança da Informação Aplicada
  • 123.
    Controles Documentais Ponto de Atenção • Não existe um modelo de política pronto para cada Organização Recomendações ISSA Brasil 26 Segurança da Informação Aplicada
  • 124.
    Controles Documentais Ponto de Atenção • Não existe um modelo de política pronto para cada Organização Recomendações • Equilíbrio entre atendimento a aderência requerida com o que a Organização efetivamente pode gerenciar ISSA Brasil 26 Segurança da Informação Aplicada
  • 125.
    Controles Documentais Ponto de Atenção • Não existe um modelo de política pronto para cada Organização Recomendações • Equilíbrio entre atendimento a aderência requerida com o que a Organização efetivamente pode gerenciar • A definição de Política de Segurança deve ser clara para todos ISSA Brasil 26 Segurança da Informação Aplicada
  • 126.
    Controles Documentais Ponto de Atenção • Não existe um modelo de política pronto para cada Organização Recomendações • Equilíbrio entre atendimento a aderência requerida com o que a Organização efetivamente pode gerenciar • A definição de Política de Segurança deve ser clara para todos • A análise de riscos tem um papel definido, use-a ISSA Brasil 26 Segurança da Informação Aplicada
  • 127.
    Controles Processuais ISSA Brasil 27 Segurança da Informação Aplicada
  • 128.
    Controles Processuais Ponto de Atenção ISSA Brasil 27 Segurança da Informação Aplicada
  • 129.
    Controles Processuais Ponto de Atenção • A implementação abrupta causa reações não planejadas ISSA Brasil 27 Segurança da Informação Aplicada
  • 130.
    Controles Processuais Ponto de Atenção • A implementação abrupta causa reações não planejadas Recomendações ISSA Brasil 27 Segurança da Informação Aplicada
  • 131.
    Controles Processuais Ponto de Atenção • A implementação abrupta causa reações não planejadas Recomendações • Processos devem ser alterados de forma gradual e adaptados à realidade de cada Organização, nunca o contrário ISSA Brasil 27 Segurança da Informação Aplicada
  • 132.
    Controles Processuais Ponto de Atenção • A implementação abrupta causa reações não planejadas Recomendações • Processos devem ser alterados de forma gradual e adaptados à realidade de cada Organização, nunca o contrário • A integração do modelo às características da Organização é o principal ponto de atenção a ser observado ISSA Brasil 27 Segurança da Informação Aplicada
  • 133.
    Controles Processuais Ponto de Atenção • A implementação abrupta causa reações não planejadas Recomendações • Processos devem ser alterados de forma gradual e adaptados à realidade de cada Organização, nunca o contrário • A integração do modelo às características da Organização é o principal ponto de atenção a ser observado • A definição de responsabilidades é parte do processo ISSA Brasil 27 Segurança da Informação Aplicada
  • 134.
    Controles Técnicos ISSA Brasil 28 Segurança da Informação Aplicada
  • 135.
    Controles Técnicos Ponto de Atenção ISSA Brasil 28 Segurança da Informação Aplicada
  • 136.
    Controles Técnicos Ponto de Atenção • Postura em relação ao cumprimento dos controles estabelecidos ISSA Brasil 28 Segurança da Informação Aplicada
  • 137.
    Controles Técnicos Ponto de Atenção • Postura em relação ao cumprimento dos controles estabelecidos Recomendações ISSA Brasil 28 Segurança da Informação Aplicada
  • 138.
    Controles Técnicos Ponto de Atenção • Postura em relação ao cumprimento dos controles estabelecidos Recomendações • Os controles técnicos, assim como os demais, não são restritos ao universo de TI da Organização ISSA Brasil 28 Segurança da Informação Aplicada
  • 139.
    Controles Técnicos Ponto de Atenção • Postura em relação ao cumprimento dos controles estabelecidos Recomendações • Os controles técnicos, assim como os demais, não são restritos ao universo de TI da Organização • A parametrização do Ambiente Informatizado deve observar a integração entre todos os componentes ISSA Brasil 28 Segurança da Informação Aplicada
  • 140.
    Controles Técnicos Ponto de Atenção • Postura em relação ao cumprimento dos controles estabelecidos Recomendações • Os controles técnicos, assim como os demais, não são restritos ao universo de TI da Organização • A parametrização do Ambiente Informatizado deve observar a integração entre todos os componentes • Um bom técnico não é necessariamente um bom especialista em IT Security ISSA Brasil 28 Segurança da Informação Aplicada
  • 141.
    A Postura Positiva ISSABrasil 29 Segurança da Informação Aplicada
  • 142.
    A Postura Positiva Tecnologia Negócio ISSA Brasil 29 Segurança da Informação Aplicada
  • 143.
    A Postura Positiva Tecnologia Negócio Reativa Adequada ISSA Brasil 29 Segurança da Informação Aplicada
  • 144.
    A Postura Positiva Tecnologia Negócio Reativa Adequada Correção Prevenção ISSA Brasil 29 Segurança da Informação Aplicada
  • 145.
    A Postura Positiva Tecnologia Negócio Reativa Adequada Correção Prevenção Isolada Integrada ISSA Brasil 29 Segurança da Informação Aplicada
  • 146.
    A Postura Positiva Tecnologia Negócio Reativa Adequada Correção Prevenção Isolada Integrada Administração Gestão ISSA Brasil 29 Segurança da Informação Aplicada
  • 147.
    Última Consideração ISSA Brasil 30 Segurança da Informação Aplicada
  • 148.
    Última Consideração Security is a process, not a product. Products provide some protection, but the only way to effectively do business in an insecure world is to put processes in place that recognize the inherent insecurity in the products. The trick is to reduce your risk of exposure regardless of the products or patches. Bruce Schneier ISSA Brasil 30 Segurança da Informação Aplicada
  • 149.
    Fontes de Referência ISSABrasil 31 Segurança da Informação Aplicada
  • 150.
    Fontes de Referência North American Electric Reliability Corporation (NERC) ISSA Brasil 31 Segurança da Informação Aplicada
  • 151.
    Fontes de Referência North American Electric Reliability Corporation (NERC) • http://www.nerc.com/ ISSA Brasil 31 Segurança da Informação Aplicada
  • 152.
    Fontes de Referência North American Electric Reliability Corporation (NERC) • http://www.nerc.com/ Electricity Sector - Information Sharing and Analysis Center (ES- ISAC) ISSA Brasil 31 Segurança da Informação Aplicada
  • 153.
    Fontes de Referência North American Electric Reliability Corporation (NERC) • http://www.nerc.com/ Electricity Sector - Information Sharing and Analysis Center (ES- ISAC) • http://www.esisac.com/ ISSA Brasil 31 Segurança da Informação Aplicada
  • 154.
    Fontes de Referência North American Electric Reliability Corporation (NERC) • http://www.nerc.com/ Electricity Sector - Information Sharing and Analysis Center (ES- ISAC) • http://www.esisac.com/ The International Society of Automation (ISA) ISSA Brasil 31 Segurança da Informação Aplicada
  • 155.
    Fontes de Referência North American Electric Reliability Corporation (NERC) • http://www.nerc.com/ Electricity Sector - Information Sharing and Analysis Center (ES- ISAC) • http://www.esisac.com/ The International Society of Automation (ISA) • SA99, Industrial Automation and Control System Security disponível em http://www.isa.org/MSTemplate.cfm? Section=Home964&Site=SP99,_Manufacturing_and_Control_Systems_Secu rity1&Template=/ContentManagement/ MSContentDisplay.cfm&ContentID=77617 ISSA Brasil 31 Segurança da Informação Aplicada
  • 157.
    1o Encontro doSubcomitê de Segurança da Informação RIO DE JANEIRO, 17 DE AGOSTO DE 2009 Segurança da Informação Aplicada Eduardo Vianna de Camargo Neves, CISSP ISSA Brasil www.issabrasil.org