Ontem representei o Chapter Brasil da ISSA, apresentando uma palestra sobre Segurança da Informação Aplicada, no 1o Encontro do Subcomitê de Segurança da Informação (SCSI), com representantes de diversas empresas e entidades do setor elétrico brasileiro, realizado na cidade do Rio de Janeiro.
2. 1o Encontro do Subcomitê
de Segurança da Informação
RIO DE JANEIRO, 17 DE AGOSTO DE 2009
Segurança da Informação Aplicada
Eduardo Vianna de Camargo Neves, CISSP
ISSA Brasil
www.issabrasil.org
3. Uma Visão Geral da
Information Systems
Security Association
ISSA Brasil 2 Segurança da Informação Aplicada
5. Sobre a ISSA
Papel na Sociedade
ISSA Brasil 3 Segurança da Informação Aplicada
6. Sobre a ISSA
Papel na Sociedade
• Organização Internacional sem fins lucrativos de Profissionais de
Segurança da Informação
ISSA Brasil 3 Segurança da Informação Aplicada
7. Sobre a ISSA
Papel na Sociedade
• Organização Internacional sem fins lucrativos de Profissionais de
Segurança da Informação
• “The global voice of information security”
ISSA Brasil 3 Segurança da Informação Aplicada
8. Sobre a ISSA
Papel na Sociedade
• Organização Internacional sem fins lucrativos de Profissionais de
Segurança da Informação
• “The global voice of information security”
Estrutura Operacional
ISSA Brasil 3 Segurança da Informação Aplicada
9. Sobre a ISSA
Papel na Sociedade
• Organização Internacional sem fins lucrativos de Profissionais de
Segurança da Informação
• “The global voice of information security”
Estrutura Operacional
• Mais de 10 mil membros distribuídos em 136 Capítulos
ISSA Brasil 3 Segurança da Informação Aplicada
10. Sobre a ISSA
Papel na Sociedade
• Organização Internacional sem fins lucrativos de Profissionais de
Segurança da Informação
• “The global voice of information security”
Estrutura Operacional
• Mais de 10 mil membros distribuídos em 136 Capítulos
• Presente em 70 países
ISSA Brasil 3 Segurança da Informação Aplicada
11. Sobre a ISSA
Papel na Sociedade
• Organização Internacional sem fins lucrativos de Profissionais de
Segurança da Informação
• “The global voice of information security”
Estrutura Operacional
• Mais de 10 mil membros distribuídos em 136 Capítulos
• Presente em 70 países
• Mais de 100 membros no Brasil
ISSA Brasil 3 Segurança da Informação Aplicada
13. Sobre a ISSA
Por que se associar?
ISSA Brasil 4 Segurança da Informação Aplicada
14. Sobre a ISSA
Por que se associar?
• Acesso a informações e
eventos exclusivos
ISSA Brasil 4 Segurança da Informação Aplicada
15. Sobre a ISSA
Por que se associar?
• Acesso a informações e
eventos exclusivos
• Networking on-line e off-line
ISSA Brasil 4 Segurança da Informação Aplicada
16. Sobre a ISSA
Por que se associar?
• Acesso a informações e
eventos exclusivos
• Networking on-line e off-line
• Descontos e promoções em
eventos e atividades do setor
ISSA Brasil 4 Segurança da Informação Aplicada
17. Sobre a ISSA
Por que se associar?
• Acesso a informações e
eventos exclusivos
• Networking on-line e off-line
• Descontos e promoções em
eventos e atividades do setor
• Contribuição com a sociedade
ISSA Brasil 4 Segurança da Informação Aplicada
20. Histórico da Disciplina
Proteção da Informação
ISSA Brasil 6 Segurança da Informação Aplicada
21. Histórico da Disciplina
Proteção da Informação
• Início durante as primeiras civilizações
ISSA Brasil 6 Segurança da Informação Aplicada
22. Histórico da Disciplina
Proteção da Informação
• Início durante as primeiras civilizações
• Alteração de escopo com o advento dos computadores
ISSA Brasil 6 Segurança da Informação Aplicada
23. Histórico da Disciplina
Proteção da Informação
• Início durante as primeiras civilizações
• Alteração de escopo com o advento dos computadores
Segurança da Informação
ISSA Brasil 6 Segurança da Informação Aplicada
24. Histórico da Disciplina
Proteção da Informação
• Início durante as primeiras civilizações
• Alteração de escopo com o advento dos computadores
Segurança da Informação
• Competências militares durante a II Guerra Mundial
ISSA Brasil 6 Segurança da Informação Aplicada
25. Histórico da Disciplina
Proteção da Informação
• Início durante as primeiras civilizações
• Alteração de escopo com o advento dos computadores
Segurança da Informação
• Competências militares durante a II Guerra Mundial
• Desenvolvimento nos EUA e Europa
ISSA Brasil 6 Segurança da Informação Aplicada
26. Histórico da Disciplina
Proteção da Informação
• Início durante as primeiras civilizações
• Alteração de escopo com o advento dos computadores
Segurança da Informação
• Competências militares durante a II Guerra Mundial
• Desenvolvimento nos EUA e Europa
• Alteração de escopo com o advento da Internet
ISSA Brasil 6 Segurança da Informação Aplicada
29. Timeline
Captain
Cruch
1970
Cena Hacker
Primeiros
esforços para
um modelo de
IT Security
ISSA Brasil 7 Segurança da Informação Aplicada
30. Timeline
Captain The
Cruch 414s
1970 1980
Cena Hacker Furtos on-line
Primeiros Primeiras leis
esforços para sobre IT
um modelo de Security nos
IT Security EUA
ISSA Brasil 7 Segurança da Informação Aplicada
31. Timeline
Captain The Caso
Cruch 414s Citibank
1970 1980 1990
Cena Hacker Furtos on-line Cena Cracker
Primeiros Primeiras leis
esforços para sobre IT Eligible
um modelo de Security nos Receiver 97
IT Security EUA
ISSA Brasil 7 Segurança da Informação Aplicada
32. Timeline
Captain The Caso Trustworthy
Cruch 414s Citibank Computing
1970 1980 1990 2000
Cena Hacker Furtos on-line Cena Cracker ILOVEYOU
Primeiros Primeiras leis
Department of
esforços para sobre IT Eligible
Homeland
um modelo de Security nos Receiver 97
Security
IT Security EUA
ISSA Brasil 7 Segurança da Informação Aplicada
33. Timeline
Captain The Caso Trustworthy Casos no
Cruch 414s Citibank Computing Brasil
1970 1980 1990 2000 2006
Cena Hacker Furtos on-line Cena Cracker ILOVEYOU DPF e DPC
Primeiros Primeiras leis
Department of
esforços para sobre IT Eligible
Homeland PCI Council
um modelo de Security nos Receiver 97
Security
IT Security EUA
ISSA Brasil 7 Segurança da Informação Aplicada
34. Timeline
Captain The Caso Trustworthy Casos no Heartland
Cruch 414s Citibank Computing Brasil Payment
1970 1980 1990 2000 2006 2009
Cena Hacker Furtos on-line Cena Cracker ILOVEYOU DPF e DPC Crime Organizado
Primeiros Primeiras leis
Department of Lei de Crimes
esforços para sobre IT Eligible
Homeland PCI Council Cibernéticos no
um modelo de Security nos Receiver 97
Security Brasil
IT Security EUA
ISSA Brasil 7 Segurança da Informação Aplicada
36. Segurança da Informação hoje
Proteção da Infra-estrutura
ISSA Brasil 8 Segurança da Informação Aplicada
37. Segurança da Informação hoje
Proteção da Infra-estrutura
• Legislações específicas e normas reguladoras
ISSA Brasil 8 Segurança da Informação Aplicada
38. Segurança da Informação hoje
Proteção da Infra-estrutura
• Legislações específicas e normas reguladoras
• Atuação das forças militares e policiais
ISSA Brasil 8 Segurança da Informação Aplicada
39. Segurança da Informação hoje
Proteção da Infra-estrutura
• Legislações específicas e normas reguladoras
• Atuação das forças militares e policiais
Proteção das Empresas
ISSA Brasil 8 Segurança da Informação Aplicada
40. Segurança da Informação hoje
Proteção da Infra-estrutura
• Legislações específicas e normas reguladoras
• Atuação das forças militares e policiais
Proteção das Empresas
• Cumprimento da legislação e autoregulamentação
ISSA Brasil 8 Segurança da Informação Aplicada
41. Segurança da Informação hoje
Proteção da Infra-estrutura
• Legislações específicas e normas reguladoras
• Atuação das forças militares e policiais
Proteção das Empresas
• Cumprimento da legislação e autoregulamentação
• Estrutura de IT Security como força de trabalho
ISSA Brasil 8 Segurança da Informação Aplicada
42. Segurança da Informação hoje
Proteção da Infra-estrutura
• Legislações específicas e normas reguladoras
• Atuação das forças militares e policiais
Proteção das Empresas
• Cumprimento da legislação e autoregulamentação
• Estrutura de IT Security como força de trabalho
Proteção da Sociedade
ISSA Brasil 8 Segurança da Informação Aplicada
43. Segurança da Informação hoje
Proteção da Infra-estrutura
• Legislações específicas e normas reguladoras
• Atuação das forças militares e policiais
Proteção das Empresas
• Cumprimento da legislação e autoregulamentação
• Estrutura de IT Security como força de trabalho
Proteção da Sociedade
• Conteúdo variado disponível na Internet
ISSA Brasil 8 Segurança da Informação Aplicada
44. Segurança da Informação hoje
Proteção da Infra-estrutura
• Legislações específicas e normas reguladoras
• Atuação das forças militares e policiais
Proteção das Empresas
• Cumprimento da legislação e autoregulamentação
• Estrutura de IT Security como força de trabalho
Proteção da Sociedade
• Conteúdo variado disponível na Internet
• Atuação de ONGs e grupos de trabalho
ISSA Brasil 8 Segurança da Informação Aplicada
52. Distribuição de controles
Estrutura
• Alinhamento de necessidades de performance com requisitos de
segurança para os ativos da organização
ISSA Brasil 13 Segurança da Informação Aplicada
53. Distribuição de controles
Estrutura
• Alinhamento de necessidades de performance com requisitos de
segurança para os ativos da organização
• Qual é o nível de risco que você está disposto a correr?
ISSA Brasil 13 Segurança da Informação Aplicada
54. Distribuição de controles
Estrutura
• Alinhamento de necessidades de performance com requisitos de
segurança para os ativos da organização
• Qual é o nível de risco que você está disposto a correr?
• Quais controles compensatórios podem ser implementados?
ISSA Brasil 13 Segurança da Informação Aplicada
55. Distribuição de controles
Estrutura
• Alinhamento de necessidades de performance com requisitos de
segurança para os ativos da organização
• Qual é o nível de risco que você está disposto a correr?
• Quais controles compensatórios podem ser implementados?
Abordagem
ISSA Brasil 13 Segurança da Informação Aplicada
56. Distribuição de controles
Estrutura
• Alinhamento de necessidades de performance com requisitos de
segurança para os ativos da organização
• Qual é o nível de risco que você está disposto a correr?
• Quais controles compensatórios podem ser implementados?
Abordagem
• Nível de Segurança atual x Modelo Planejado
ISSA Brasil 13 Segurança da Informação Aplicada
57. Distribuição de controles
Estrutura
• Alinhamento de necessidades de performance com requisitos de
segurança para os ativos da organização
• Qual é o nível de risco que você está disposto a correr?
• Quais controles compensatórios podem ser implementados?
Abordagem
• Nível de Segurança atual x Modelo Planejado
• Evolução do nível de maturidade
ISSA Brasil 13 Segurança da Informação Aplicada
58. Distribuição de controles
Estrutura
• Alinhamento de necessidades de performance com requisitos de
segurança para os ativos da organização
• Qual é o nível de risco que você está disposto a correr?
• Quais controles compensatórios podem ser implementados?
Abordagem
• Nível de Segurança atual x Modelo Planejado
• Evolução do nível de maturidade
• Modelo de Gestão adequado à sua realidade
ISSA Brasil 13 Segurança da Informação Aplicada
59. Governança, Risco e Compliance
ISSA Brasil 14 Segurança da Informação Aplicada
60. Governança, Risco e Compliance
Definição
ISSA Brasil 14 Segurança da Informação Aplicada
61. Governança, Risco e Compliance
Definição
• GRC é um termo que tem crescido nas discussões sobre
IT Security nas organizações
ISSA Brasil 14 Segurança da Informação Aplicada
62. Governança, Risco e Compliance
Definição
• GRC é um termo que tem crescido nas discussões sobre
IT Security nas organizações
• Gestão de múltiplas atividades que trabalham em
conjunto para atender às premissas estabelecidas pela
organização
ISSA Brasil 14 Segurança da Informação Aplicada
63. Governança, Risco e Compliance
ISSA Brasil 15 Segurança da Informação Aplicada
64. Governança, Risco e Compliance
Responsabilidade do
Corpo Executivo
Governança
ISSA Brasil 15 Segurança da Informação Aplicada
65. Governança, Risco e Compliance
Gestão de níveis
Responsabilidade do
aceitáveis pela
Corpo Executivo
Organização
Governança Risco
ISSA Brasil 15 Segurança da Informação Aplicada
66. Governança, Risco e Compliance
Gestão de níveis Aderência a
Responsabilidade do
aceitáveis pela regulamentações,
Corpo Executivo
Organização normas e Legislação
Governança Risco Compliance
ISSA Brasil 15 Segurança da Informação Aplicada
67. Governança, Risco e Compliance
Governança Risco Compliance
ISSA Brasil 16 Segurança da Informação Aplicada
68. Governança, Risco e Compliance
Governança
Risco
Compliance
ISSA Brasil 16 Segurança da Informação Aplicada
69. Governança, Risco e Compliance
• Definição do nível de risco
• Suporte na aderência às Práticas de Mercado
Governança • Alocação de recursos
Risco
Compliance
ISSA Brasil 16 Segurança da Informação Aplicada
70. Governança, Risco e Compliance
• Definição do nível de risco
• Suporte na aderência às Práticas de Mercado
Governança • Alocação de recursos
• Performance x Segurança
• Aceite de controles compensatórios
Risco • Parceiros e fornecedores
Compliance
ISSA Brasil 16 Segurança da Informação Aplicada
71. Governança, Risco e Compliance
• Definição do nível de risco
• Suporte na aderência às Práticas de Mercado
Governança • Alocação de recursos
• Performance x Segurança
• Aceite de controles compensatórios
Risco • Parceiros e fornecedores
• Legislação (Código Civil)
• Regulamentação (BACEN 3.380, SUSEPE)
Compliance • Práticas de Mercado (PCI DSS, SOX)
ISSA Brasil 16 Segurança da Informação Aplicada
73. Posicionamento de controles
Os controles estão distribuídos em áreas específicas, porém
podem e devem ser gerenciados de forma conjunta
ISSA Brasil 17 Segurança da Informação Aplicada
74. Posicionamento de controles
Os controles estão distribuídos em áreas específicas, porém
podem e devem ser gerenciados de forma conjunta
Controles Documentais
• Políticas de Segurança
• Normas de Uso
• Padrões Técnicos
ISSA Brasil 17 Segurança da Informação Aplicada
75. Posicionamento de controles
Os controles estão distribuídos em áreas específicas, porém
podem e devem ser gerenciados de forma conjunta
Controles Documentais Controles Processuais
• Políticas de Segurança • Administração de
• Normas de Uso Patches
• Padrões Técnicos • Treinamento e
Capacitação
• Resposta a Incidentes
ISSA Brasil 17 Segurança da Informação Aplicada
76. Posicionamento de controles
Os controles estão distribuídos em áreas específicas, porém
podem e devem ser gerenciados de forma conjunta
Controles Documentais Controles Processuais Controles Técnicos
• Políticas de Segurança • Administração de • Rede de Dados
• Normas de Uso Patches • Aplicações Legadas
• Padrões Técnicos • Treinamento e • Desenvolvimento
Capacitação
• Resposta a Incidentes
ISSA Brasil 17 Segurança da Informação Aplicada
79. Controles Documentais
Definição
• Estabelecem os critérios que devem ser aplicados na proteção das
informações da Organização
ISSA Brasil 18 Segurança da Informação Aplicada
80. Controles Documentais
Definição
• Estabelecem os critérios que devem ser aplicados na proteção das
informações da Organização
Modelos
ISSA Brasil 18 Segurança da Informação Aplicada
81. Controles Documentais
Definição
• Estabelecem os critérios que devem ser aplicados na proteção das
informações da Organização
Modelos
• Legislação e Regulamentações específicas
ISSA Brasil 18 Segurança da Informação Aplicada
82. Controles Documentais
Definição
• Estabelecem os critérios que devem ser aplicados na proteção das
informações da Organização
Modelos
• Legislação e Regulamentações específicas
• Práticas de mercado estruturadas em normas
ISSA Brasil 18 Segurança da Informação Aplicada
83. Controles Documentais
Definição
• Estabelecem os critérios que devem ser aplicados na proteção das
informações da Organização
Modelos
• Legislação e Regulamentações específicas
• Práticas de mercado estruturadas em normas
• Política de Segurança da Informação
ISSA Brasil 18 Segurança da Informação Aplicada
86. Controles Processuais
Definição
• Definem como os processos internos devem ser desenvolvidos para
atender os critérios estabelecidos para a proteção das informações da
Organização
ISSA Brasil 19 Segurança da Informação Aplicada
87. Controles Processuais
Definição
• Definem como os processos internos devem ser desenvolvidos para
atender os critérios estabelecidos para a proteção das informações da
Organização
Modelos
ISSA Brasil 19 Segurança da Informação Aplicada
88. Controles Processuais
Definição
• Definem como os processos internos devem ser desenvolvidos para
atender os critérios estabelecidos para a proteção das informações da
Organização
Modelos
• Postura administrativa e gerencial
ISSA Brasil 19 Segurança da Informação Aplicada
89. Controles Processuais
Definição
• Definem como os processos internos devem ser desenvolvidos para
atender os critérios estabelecidos para a proteção das informações da
Organização
Modelos
• Postura administrativa e gerencial
• Estabelecimento de processos internos
ISSA Brasil 19 Segurança da Informação Aplicada
90. Controles Processuais
Definição
• Definem como os processos internos devem ser desenvolvidos para
atender os critérios estabelecidos para a proteção das informações da
Organização
Modelos
• Postura administrativa e gerencial
• Estabelecimento de processos internos
• Procedimentos Operacionais e Instruções Técnicas
ISSA Brasil 19 Segurança da Informação Aplicada
92. Controles Técnicos
Definição
ISSA Brasil 20 Segurança da Informação Aplicada
93. Controles Técnicos
Definição
• Realizam o enforcement necessário para que os processos internos
sejam desenvolvidos atendendo os critérios estabelecidos para a
proteção das informações da Organização
ISSA Brasil 20 Segurança da Informação Aplicada
94. Controles Técnicos
Definição
• Realizam o enforcement necessário para que os processos internos
sejam desenvolvidos atendendo os critérios estabelecidos para a
proteção das informações da Organização
Modelos
ISSA Brasil 20 Segurança da Informação Aplicada
95. Controles Técnicos
Definição
• Realizam o enforcement necessário para que os processos internos
sejam desenvolvidos atendendo os critérios estabelecidos para a
proteção das informações da Organização
Modelos
• Hardware e Software dedicados
ISSA Brasil 20 Segurança da Informação Aplicada
96. Controles Técnicos
Definição
• Realizam o enforcement necessário para que os processos internos
sejam desenvolvidos atendendo os critérios estabelecidos para a
proteção das informações da Organização
Modelos
• Hardware e Software dedicados
• Parametrização do Ambiente Informatizado
ISSA Brasil 20 Segurança da Informação Aplicada
97. Controles Técnicos
Definição
• Realizam o enforcement necessário para que os processos internos
sejam desenvolvidos atendendo os critérios estabelecidos para a
proteção das informações da Organização
Modelos
• Hardware e Software dedicados
• Parametrização do Ambiente Informatizado
• Forma de atuação do Corpo Técnico
ISSA Brasil 20 Segurança da Informação Aplicada
98. Juntando as peças em uma composição
ISSA Brasil 21 Segurança da Informação Aplicada
99. Juntando as peças em uma composição
ISSA Brasil 21 Segurança da Informação Aplicada
100. Juntando as peças em uma composição
Perímetro de
Segurança Física
ISSA Brasil 21 Segurança da Informação Aplicada
101. Juntando as peças em uma composição
Perímetro de
Segurança Física
Controle de Acesso
Físico
ISSA Brasil 21 Segurança da Informação Aplicada
102. Juntando as peças em uma composição
Perímetro de
Segurança Física
Controle de Acesso
Físico
Controle de Acesso
na Rede de Dados
ISSA Brasil 21 Segurança da Informação Aplicada
103. Juntando as peças em uma composição
Perímetro de
Segurança Física
Controle de Acesso Controle de Acesso
Físico na Aplicação
Controle de Acesso
na Rede de Dados
ISSA Brasil 21 Segurança da Informação Aplicada
104. Juntando as peças em uma composição
Perímetro de
Segurança Física
Criptografia de
Arquivos
Controle de Acesso Controle de Acesso
Físico na Aplicação
Controle de Acesso
na Rede de Dados
ISSA Brasil 21 Segurança da Informação Aplicada
105. Juntando as peças em uma composição
Perímetro de
Segurança Física
Criptografia de
Arquivos
Controle de Acesso Controle de Acesso
Físico na Aplicação
Como administrar
Controle de Acesso este modelo?
na Rede de Dados
ISSA Brasil 21 Segurança da Informação Aplicada
106. A mudança de postura no modelo de
administração do risco
ISSA Brasil 22 Segurança da Informação Aplicada
108. A Postura Atual
Modelo Comum
ISSA Brasil 23 Segurança da Informação Aplicada
109. A Postura Atual
Modelo Comum
• Estabelecimento de uma política de segurança baseada em normas de
mercado e com medidas restritivas
ISSA Brasil 23 Segurança da Informação Aplicada
110. A Postura Atual
Modelo Comum
• Estabelecimento de uma política de segurança baseada em normas de
mercado e com medidas restritivas
• Posicionamento de uma ferramenta de controle de aderência
ISSA Brasil 23 Segurança da Informação Aplicada
111. A Postura Atual
Modelo Comum
• Estabelecimento de uma política de segurança baseada em normas de
mercado e com medidas restritivas
• Posicionamento de uma ferramenta de controle de aderência
Problemas Identificados
ISSA Brasil 23 Segurança da Informação Aplicada
112. A Postura Atual
Modelo Comum
• Estabelecimento de uma política de segurança baseada em normas de
mercado e com medidas restritivas
• Posicionamento de uma ferramenta de controle de aderência
Problemas Identificados
• Não existe um modelo pronto para cada Organização
ISSA Brasil 23 Segurança da Informação Aplicada
113. A Postura Atual
Modelo Comum
• Estabelecimento de uma política de segurança baseada em normas de
mercado e com medidas restritivas
• Posicionamento de uma ferramenta de controle de aderência
Problemas Identificados
• Não existe um modelo pronto para cada Organização
• A implementação abrupta causa reações não planejadas
ISSA Brasil 23 Segurança da Informação Aplicada
114. A Postura Atual
Modelo Comum
• Estabelecimento de uma política de segurança baseada em normas de
mercado e com medidas restritivas
• Posicionamento de uma ferramenta de controle de aderência
Problemas Identificados
• Não existe um modelo pronto para cada Organização
• A implementação abrupta causa reações não planejadas
• Postura em relação ao cumprimento dos controles estabelecidos
ISSA Brasil 23 Segurança da Informação Aplicada
115. Resultados para a Sociedade
ISSA Brasil 24 Segurança da Informação Aplicada
116. Resultados para a Sociedade
Vulnerabilidades Catalogadas pelo CERT
9000
6750
4500
2250
0
2000 2001 2002 2003 2004 2005 2006 2007 2008
ISSA Brasil 24 Segurança da Informação Aplicada
117. Resultados para a Sociedade
Vulnerabilidades Catalogadas pelo CERT
9000 Resultados do
1o Trimestre
6750
4500
2250
0
2000 2001 2002 2003 2004 2005 2006 2007 2008
ISSA Brasil 24 Segurança da Informação Aplicada
118. Resultados para as Organizações
ISSA Brasil 25 Segurança da Informação Aplicada
119. Resultados para as Organizações
Perdas no e-Commerce nos EUA
$4,000,000,000.00
$3,000,000,000.00
$2,000,000,000.00
$1,000,000,000.00
$0
2000 2002 2004 2006 2008
Fonte: Cybersource Annual On Line Fraud Report 2009
ISSA Brasil 25 Segurança da Informação Aplicada
121. Controles Documentais
Ponto de Atenção
ISSA Brasil 26 Segurança da Informação Aplicada
122. Controles Documentais
Ponto de Atenção
• Não existe um modelo de política pronto para cada Organização
ISSA Brasil 26 Segurança da Informação Aplicada
123. Controles Documentais
Ponto de Atenção
• Não existe um modelo de política pronto para cada Organização
Recomendações
ISSA Brasil 26 Segurança da Informação Aplicada
124. Controles Documentais
Ponto de Atenção
• Não existe um modelo de política pronto para cada Organização
Recomendações
• Equilíbrio entre atendimento a aderência requerida com o que a
Organização efetivamente pode gerenciar
ISSA Brasil 26 Segurança da Informação Aplicada
125. Controles Documentais
Ponto de Atenção
• Não existe um modelo de política pronto para cada Organização
Recomendações
• Equilíbrio entre atendimento a aderência requerida com o que a
Organização efetivamente pode gerenciar
• A definição de Política de Segurança deve ser clara para todos
ISSA Brasil 26 Segurança da Informação Aplicada
126. Controles Documentais
Ponto de Atenção
• Não existe um modelo de política pronto para cada Organização
Recomendações
• Equilíbrio entre atendimento a aderência requerida com o que a
Organização efetivamente pode gerenciar
• A definição de Política de Segurança deve ser clara para todos
• A análise de riscos tem um papel definido, use-a
ISSA Brasil 26 Segurança da Informação Aplicada
128. Controles Processuais
Ponto de Atenção
ISSA Brasil 27 Segurança da Informação Aplicada
129. Controles Processuais
Ponto de Atenção
• A implementação abrupta causa reações não planejadas
ISSA Brasil 27 Segurança da Informação Aplicada
130. Controles Processuais
Ponto de Atenção
• A implementação abrupta causa reações não planejadas
Recomendações
ISSA Brasil 27 Segurança da Informação Aplicada
131. Controles Processuais
Ponto de Atenção
• A implementação abrupta causa reações não planejadas
Recomendações
• Processos devem ser alterados de forma gradual e adaptados à
realidade de cada Organização, nunca o contrário
ISSA Brasil 27 Segurança da Informação Aplicada
132. Controles Processuais
Ponto de Atenção
• A implementação abrupta causa reações não planejadas
Recomendações
• Processos devem ser alterados de forma gradual e adaptados à
realidade de cada Organização, nunca o contrário
• A integração do modelo às características da Organização é o
principal ponto de atenção a ser observado
ISSA Brasil 27 Segurança da Informação Aplicada
133. Controles Processuais
Ponto de Atenção
• A implementação abrupta causa reações não planejadas
Recomendações
• Processos devem ser alterados de forma gradual e adaptados à
realidade de cada Organização, nunca o contrário
• A integração do modelo às características da Organização é o
principal ponto de atenção a ser observado
• A definição de responsabilidades é parte do processo
ISSA Brasil 27 Segurança da Informação Aplicada
135. Controles Técnicos
Ponto de Atenção
ISSA Brasil 28 Segurança da Informação Aplicada
136. Controles Técnicos
Ponto de Atenção
• Postura em relação ao cumprimento dos controles
estabelecidos
ISSA Brasil 28 Segurança da Informação Aplicada
137. Controles Técnicos
Ponto de Atenção
• Postura em relação ao cumprimento dos controles
estabelecidos
Recomendações
ISSA Brasil 28 Segurança da Informação Aplicada
138. Controles Técnicos
Ponto de Atenção
• Postura em relação ao cumprimento dos controles
estabelecidos
Recomendações
• Os controles técnicos, assim como os demais, não
são restritos ao universo de TI da Organização
ISSA Brasil 28 Segurança da Informação Aplicada
139. Controles Técnicos
Ponto de Atenção
• Postura em relação ao cumprimento dos controles
estabelecidos
Recomendações
• Os controles técnicos, assim como os demais, não
são restritos ao universo de TI da Organização
• A parametrização do Ambiente Informatizado deve
observar a integração entre todos os componentes
ISSA Brasil 28 Segurança da Informação Aplicada
140. Controles Técnicos
Ponto de Atenção
• Postura em relação ao cumprimento dos controles
estabelecidos
Recomendações
• Os controles técnicos, assim como os demais, não
são restritos ao universo de TI da Organização
• A parametrização do Ambiente Informatizado deve
observar a integração entre todos os componentes
• Um bom técnico não é necessariamente um bom
especialista em IT Security
ISSA Brasil 28 Segurança da Informação Aplicada
148. Última Consideração
Security is a process, not a product.
Products provide some protection, but
the only way to effectively do
business in an insecure world is to
put processes in place that recognize
the inherent insecurity in the
products.
The trick is to reduce your risk of
exposure regardless of the products
or patches.
Bruce Schneier
ISSA Brasil 30 Segurança da Informação Aplicada
150. Fontes de Referência
North American Electric Reliability Corporation (NERC)
ISSA Brasil 31 Segurança da Informação Aplicada
151. Fontes de Referência
North American Electric Reliability Corporation (NERC)
• http://www.nerc.com/
ISSA Brasil 31 Segurança da Informação Aplicada
152. Fontes de Referência
North American Electric Reliability Corporation (NERC)
• http://www.nerc.com/
Electricity Sector - Information Sharing and Analysis Center (ES-
ISAC)
ISSA Brasil 31 Segurança da Informação Aplicada
153. Fontes de Referência
North American Electric Reliability Corporation (NERC)
• http://www.nerc.com/
Electricity Sector - Information Sharing and Analysis Center (ES-
ISAC)
• http://www.esisac.com/
ISSA Brasil 31 Segurança da Informação Aplicada
154. Fontes de Referência
North American Electric Reliability Corporation (NERC)
• http://www.nerc.com/
Electricity Sector - Information Sharing and Analysis Center (ES-
ISAC)
• http://www.esisac.com/
The International Society of Automation (ISA)
ISSA Brasil 31 Segurança da Informação Aplicada
155. Fontes de Referência
North American Electric Reliability Corporation (NERC)
• http://www.nerc.com/
Electricity Sector - Information Sharing and Analysis Center (ES-
ISAC)
• http://www.esisac.com/
The International Society of Automation (ISA)
• SA99, Industrial Automation and Control System Security disponível em
http://www.isa.org/MSTemplate.cfm?
Section=Home964&Site=SP99,_Manufacturing_and_Control_Systems_Secu
rity1&Template=/ContentManagement/
MSContentDisplay.cfm&ContentID=77617
ISSA Brasil 31 Segurança da Informação Aplicada
156.
157. 1o Encontro do Subcomitê
de Segurança da Informação
RIO DE JANEIRO, 17 DE AGOSTO DE 2009
Segurança da Informação Aplicada
Eduardo Vianna de Camargo Neves, CISSP
ISSA Brasil
www.issabrasil.org