O documento discute a importância da liderança e gestão estratégica da segurança da informação nas empresas. Ele destaca os pilares da segurança da informação, como confidencialidade, integridade e disponibilidade. Além disso, descreve os principais itens que as organizações devem considerar em seus programas de segurança, como política de segurança, gerenciamento de ativos e controle de acesso.

1. A Liderança Aplicada à Segurança
da Informação nas Empresas
• Marcelo de Freitas Lopes
• III Simpósio das Ciências Gerenciais –
FAMINAS - BH

2. Brainstorm!

6. A importância da Tecnologia no
mundo atual

7. Exemplo da TI no mundo dos
negócios
• Softwares e Infraestrutura
• Serviços Web
• Ferramentas ERP
• Serviços na Nuvem

8. Falha de segurança estão cada
vez mais presentes na mídia...

13. Estatísticas dos incidentes reportados
ao CERT.br

14. Incidentes Reportados ao CERT.br
Janeiro a Dezembro de 2012
Fonte: http://www.cert.br/stats/

15. Segurança da Informação Corporativa
“Proteção da informação de
vários tipos de ameaça para
garantir a continuidade do
negócio, maximizar o retorno
sobre o investimento e as
oportunidades de negócio.”
ABNT NBR ISSO/IEC 17799:2005
Segurança não é gasto, é
investimento!

16. Segurança da Informação Corporativa
• Os Pilares da Segurança da Informação:
Confidencialidade, Integridade, Disponibilidade
• Não repúdio, Conformidade, Controle de Acesso,
Autenticidade.

17. Gerenciamento Estratégico da S.I.
• O que deve ser protegido?
• Contra o que ou quem será necessário proteger?
• Como será feita a proteção?
• Qual a importância de cada recurso para o negócio?
• Objetivos:
– Redução da probabilidade de ocorrência de incidentes de
segurança;
– Redução dos danos/perdas causados por incidentes de
segurança;
– Recuperação dos danos em caso de desastre /incidente.

18. Itens Relevantes para a S.I.
• Política de Segurança da Informação:
• Prover uma orientação e apoio da direção para a
segurança da informação de acordo com os requisitos e
com as leis e regulamentações relevantes.
• Segurança organizacional:
• Gerenciar a segurança da informação dentro da
organização.
• Gestão de ativos:
• Alcançar e manter a proteção adequada dos ativos da
organização.

19. Itens Relevantes para a S.I.
• Segurança em Recursos Humanos:
• Assegurar que os funcionários, fornecedores e terceiros
entendam suas responsabilidades e estejam de acordo
com os seus papéis, e reduzir o risco de roubo, fraude ou
mau uso de recursos.
• Segurança física e do ambiente:
• Prevenir o acesso físico não autorizado, danos e
interferências com as instalações e informações da
organização.
• Gerenciamento das operações e comunicações:
• Garantir a operação segura e correta dos recursos de
processamento da informação.

20. Itens Relevantes para a S.I.
• Controle de acesso:
• Controlar acesso à informação.
• Aquisição, desenvolvimento e manutenção de
sistemas da informação:
• Garantir que segurança é parte integrante de sistemas de
informação.
• Gestão de incidentes de segurança da informação:
• Assegurar que fragilidades e eventos de segurança da
informação associados com sistemas de informação
sejam comunicados, permitindo a tomada de ação
corretiva em tempo hábil.

21. Itens Relevantes para a S.I.
• Gestão da continuidade do negócio:
• Não permitir a interrupção das atividades do negócio e
proteger os processos críticos contra efeitos de falha ou
desastres significativos, e assegurar a sua retomada em
tempo hábil, se for o caso.
• Conformidade:
• Evitar violação de qualquer lei criminal ou civil, estatutos,
regulamentos ou obrigações contratuais e de quaisquer
requisitos de segurança da informação.

22. Atividades Envolvidas
• Gerência de segurança nos sistemas;
• Gerência dos serviços de segurança;
• Gerência dos mecanismos de segurança;
• Gerência da auditoria de segurança.
A segurança da informação não está ligada somente
à implementação de sistemas como firewalls,
antivírus, IDS, criptografia, etc.

23. Desafios
• Elaborar um bom planejamento;
• Manter, atualizar e executar o planejamento;
• Manter um processo cíclico;
• Comprometimento e apoio visível de todos os níveis
gerenciais;
• Provisão de conscientização, treinamento e educação
adequados.
A gestão da Segurança da Informação necessita da
participação de todos os funcionários da organização.

24. Códigos e Normativos
• NBR ISO/IEC 27001 e 27002;
• Payment Card Industry (PCI-DSS);
• Business Impact Analysis (BIA);
• Manuais de Contingência.

25. Conclusão
• Não existem sistemas 100% seguros;
– Mas podemos aumentar o nível da confiabilidade...
• Segurança não é um processo que tem fim;
• Diferencial competitivo e estratégico;
• Deve andar em conjunto com os negócios da empresa;
– Evitando impacto nos processos corporativos.

26. Wiki : www.owasp.org
The Open Web Application Security
Project

27. The Open Web Application Security
Project
• Organização internacional;
• Sem fins lucrativos;
• A mais de 10 anos produzindo e divulgado materiais e
conhecimentos sobre Segurança de Aplicações;
• Não possui nenhuma associação com produtos ou
serviçoscomerciais;
• Todas as ferramentas, documentos, fóruns, e capítulos
da OWASP são livres e abertos para qualquer pessoa
que estiver interessada em melhorar a segurança de
aplicações.

28. The Open Web Application Security
Project
Voluntários
Sustentado por:
 Compartilhamento de conhecimento;
 Liderança de projetos e pessoas;
 Apresentações em eventos;
 Administração.
Financiada por patrocinadores
Sustentado por:
 Membership individuais/empresariais;
 Projetos suportados por empresas;
 Publicidade em website.

29. BHACK + Owasp Uai Day + Slackshow
www.bhack.com.br

30. Obrigado!
Perguntas?
https://www.owasp.org
https://www.owasp.org/index.php/Belo_Horizonte
@owaspbh