Segurança da Informação Aplicada

2,552 views

Published on

Ontem representei o Chapter Brasil da ISSA, apresentando uma palestra sobre Segurança da Informação Aplicada, no 1o Encontro do Subcomitê de Segurança da Informação (SCSI), com representantes de diversas empresas e entidades do setor elétrico brasileiro, realizado na cidade do Rio de Janeiro.

Published in: Technology, News & Politics
3 Comments
8 Likes
Statistics
Notes
No Downloads
Views
Total views
2,552
On SlideShare
0
From Embeds
0
Number of Embeds
21
Actions
Shares
0
Downloads
220
Comments
3
Likes
8
Embeds 0
No embeds

No notes for slide
  • Segurança da Informação Aplicada

    1. 1. 1o Encontro do Subcomitê de Segurança da Informação RIO DE JANEIRO, 17 DE AGOSTO DE 2009 Segurança da Informação Aplicada Eduardo Vianna de Camargo Neves, CISSP ISSA Brasil www.issabrasil.org
    2. 2. Uma Visão Geral da Information Systems Security Association ISSA Brasil 2 Segurança da Informação Aplicada
    3. 3. Sobre a ISSA ISSA Brasil 3 Segurança da Informação Aplicada
    4. 4. Sobre a ISSA Papel na Sociedade ISSA Brasil 3 Segurança da Informação Aplicada
    5. 5. Sobre a ISSA Papel na Sociedade • Organização Internacional sem fins lucrativos de Profissionais de Segurança da Informação ISSA Brasil 3 Segurança da Informação Aplicada
    6. 6. Sobre a ISSA Papel na Sociedade • Organização Internacional sem fins lucrativos de Profissionais de Segurança da Informação • “The global voice of information security” ISSA Brasil 3 Segurança da Informação Aplicada
    7. 7. Sobre a ISSA Papel na Sociedade • Organização Internacional sem fins lucrativos de Profissionais de Segurança da Informação • “The global voice of information security” Estrutura Operacional ISSA Brasil 3 Segurança da Informação Aplicada
    8. 8. Sobre a ISSA Papel na Sociedade • Organização Internacional sem fins lucrativos de Profissionais de Segurança da Informação • “The global voice of information security” Estrutura Operacional • Mais de 10 mil membros distribuídos em 136 Capítulos ISSA Brasil 3 Segurança da Informação Aplicada
    9. 9. Sobre a ISSA Papel na Sociedade • Organização Internacional sem fins lucrativos de Profissionais de Segurança da Informação • “The global voice of information security” Estrutura Operacional • Mais de 10 mil membros distribuídos em 136 Capítulos • Presente em 70 países ISSA Brasil 3 Segurança da Informação Aplicada
    10. 10. Sobre a ISSA Papel na Sociedade • Organização Internacional sem fins lucrativos de Profissionais de Segurança da Informação • “The global voice of information security” Estrutura Operacional • Mais de 10 mil membros distribuídos em 136 Capítulos • Presente em 70 países • Mais de 100 membros no Brasil ISSA Brasil 3 Segurança da Informação Aplicada
    11. 11. Sobre a ISSA ISSA Brasil 4 Segurança da Informação Aplicada
    12. 12. Sobre a ISSA Por que se associar? ISSA Brasil 4 Segurança da Informação Aplicada
    13. 13. Sobre a ISSA Por que se associar? • Acesso a informações e eventos exclusivos ISSA Brasil 4 Segurança da Informação Aplicada
    14. 14. Sobre a ISSA Por que se associar? • Acesso a informações e eventos exclusivos • Networking on-line e off-line ISSA Brasil 4 Segurança da Informação Aplicada
    15. 15. Sobre a ISSA Por que se associar? • Acesso a informações e eventos exclusivos • Networking on-line e off-line • Descontos e promoções em eventos e atividades do setor ISSA Brasil 4 Segurança da Informação Aplicada
    16. 16. Sobre a ISSA Por que se associar? • Acesso a informações e eventos exclusivos • Networking on-line e off-line • Descontos e promoções em eventos e atividades do setor • Contribuição com a sociedade ISSA Brasil 4 Segurança da Informação Aplicada
    17. 17. Falando sobre Segurança da Informação ISSA Brasil 5 Segurança da Informação Aplicada
    18. 18. Histórico da Disciplina ISSA Brasil 6 Segurança da Informação Aplicada
    19. 19. Histórico da Disciplina Proteção da Informação ISSA Brasil 6 Segurança da Informação Aplicada
    20. 20. Histórico da Disciplina Proteção da Informação • Início durante as primeiras civilizações ISSA Brasil 6 Segurança da Informação Aplicada
    21. 21. Histórico da Disciplina Proteção da Informação • Início durante as primeiras civilizações • Alteração de escopo com o advento dos computadores ISSA Brasil 6 Segurança da Informação Aplicada
    22. 22. Histórico da Disciplina Proteção da Informação • Início durante as primeiras civilizações • Alteração de escopo com o advento dos computadores Segurança da Informação ISSA Brasil 6 Segurança da Informação Aplicada
    23. 23. Histórico da Disciplina Proteção da Informação • Início durante as primeiras civilizações • Alteração de escopo com o advento dos computadores Segurança da Informação • Competências militares durante a II Guerra Mundial ISSA Brasil 6 Segurança da Informação Aplicada
    24. 24. Histórico da Disciplina Proteção da Informação • Início durante as primeiras civilizações • Alteração de escopo com o advento dos computadores Segurança da Informação • Competências militares durante a II Guerra Mundial • Desenvolvimento nos EUA e Europa ISSA Brasil 6 Segurança da Informação Aplicada
    25. 25. Histórico da Disciplina Proteção da Informação • Início durante as primeiras civilizações • Alteração de escopo com o advento dos computadores Segurança da Informação • Competências militares durante a II Guerra Mundial • Desenvolvimento nos EUA e Europa • Alteração de escopo com o advento da Internet ISSA Brasil 6 Segurança da Informação Aplicada
    26. 26. Timeline ISSA Brasil 7 Segurança da Informação Aplicada
    27. 27. Timeline ISSA Brasil 7 Segurança da Informação Aplicada
    28. 28. Timeline Captain Cruch 1970 Cena Hacker Primeiros esforços para um modelo de IT Security ISSA Brasil 7 Segurança da Informação Aplicada
    29. 29. Timeline Captain The Cruch 414s 1970 1980 Cena Hacker Furtos on-line Primeiros Primeiras leis esforços para sobre IT um modelo de Security nos IT Security EUA ISSA Brasil 7 Segurança da Informação Aplicada
    30. 30. Timeline Captain The Caso Cruch 414s Citibank 1970 1980 1990 Cena Hacker Furtos on-line Cena Cracker Primeiros Primeiras leis esforços para sobre IT Eligible um modelo de Security nos Receiver 97 IT Security EUA ISSA Brasil 7 Segurança da Informação Aplicada
    31. 31. Timeline Captain The Caso Trustworthy Cruch 414s Citibank Computing 1970 1980 1990 2000 Cena Hacker Furtos on-line Cena Cracker ILOVEYOU Primeiros Primeiras leis Department of esforços para sobre IT Eligible Homeland um modelo de Security nos Receiver 97 Security IT Security EUA ISSA Brasil 7 Segurança da Informação Aplicada
    32. 32. Timeline Captain The Caso Trustworthy Casos no Cruch 414s Citibank Computing Brasil 1970 1980 1990 2000 2006 Cena Hacker Furtos on-line Cena Cracker ILOVEYOU DPF e DPC Primeiros Primeiras leis Department of esforços para sobre IT Eligible Homeland PCI Council um modelo de Security nos Receiver 97 Security IT Security EUA ISSA Brasil 7 Segurança da Informação Aplicada
    33. 33. Timeline Captain The Caso Trustworthy Casos no Heartland Cruch 414s Citibank Computing Brasil Payment 1970 1980 1990 2000 2006 2009 Cena Hacker Furtos on-line Cena Cracker ILOVEYOU DPF e DPC Crime Organizado Primeiros Primeiras leis Department of Lei de Crimes esforços para sobre IT Eligible Homeland PCI Council Cibernéticos no um modelo de Security nos Receiver 97 Security Brasil IT Security EUA ISSA Brasil 7 Segurança da Informação Aplicada
    34. 34. Segurança da Informação hoje ISSA Brasil 8 Segurança da Informação Aplicada
    35. 35. Segurança da Informação hoje Proteção da Infra-estrutura ISSA Brasil 8 Segurança da Informação Aplicada
    36. 36. Segurança da Informação hoje Proteção da Infra-estrutura • Legislações específicas e normas reguladoras ISSA Brasil 8 Segurança da Informação Aplicada
    37. 37. Segurança da Informação hoje Proteção da Infra-estrutura • Legislações específicas e normas reguladoras • Atuação das forças militares e policiais ISSA Brasil 8 Segurança da Informação Aplicada
    38. 38. Segurança da Informação hoje Proteção da Infra-estrutura • Legislações específicas e normas reguladoras • Atuação das forças militares e policiais Proteção das Empresas ISSA Brasil 8 Segurança da Informação Aplicada
    39. 39. Segurança da Informação hoje Proteção da Infra-estrutura • Legislações específicas e normas reguladoras • Atuação das forças militares e policiais Proteção das Empresas • Cumprimento da legislação e autoregulamentação ISSA Brasil 8 Segurança da Informação Aplicada
    40. 40. Segurança da Informação hoje Proteção da Infra-estrutura • Legislações específicas e normas reguladoras • Atuação das forças militares e policiais Proteção das Empresas • Cumprimento da legislação e autoregulamentação • Estrutura de IT Security como força de trabalho ISSA Brasil 8 Segurança da Informação Aplicada
    41. 41. Segurança da Informação hoje Proteção da Infra-estrutura • Legislações específicas e normas reguladoras • Atuação das forças militares e policiais Proteção das Empresas • Cumprimento da legislação e autoregulamentação • Estrutura de IT Security como força de trabalho Proteção da Sociedade ISSA Brasil 8 Segurança da Informação Aplicada
    42. 42. Segurança da Informação hoje Proteção da Infra-estrutura • Legislações específicas e normas reguladoras • Atuação das forças militares e policiais Proteção das Empresas • Cumprimento da legislação e autoregulamentação • Estrutura de IT Security como força de trabalho Proteção da Sociedade • Conteúdo variado disponível na Internet ISSA Brasil 8 Segurança da Informação Aplicada
    43. 43. Segurança da Informação hoje Proteção da Infra-estrutura • Legislações específicas e normas reguladoras • Atuação das forças militares e policiais Proteção das Empresas • Cumprimento da legislação e autoregulamentação • Estrutura de IT Security como força de trabalho Proteção da Sociedade • Conteúdo variado disponível na Internet • Atuação de ONGs e grupos de trabalho ISSA Brasil 8 Segurança da Informação Aplicada
    44. 44. Segurança da Informação hoje ISSA Brasil 9 Segurança da Informação Aplicada
    45. 45. Segurança da Informação hoje ISSA Brasil 10 Segurança da Informação Aplicada
    46. 46. Segurança da Informação amanhã? ISSA Brasil 11 Segurança da Informação Aplicada
    47. 47. Segurança da Informação amanhã? ISSA Brasil 11 Segurança da Informação Aplicada
    48. 48. A Aplicação da Segurança da Informação ISSA Brasil 12 Segurança da Informação Aplicada
    49. 49. Distribuição de controles ISSA Brasil 13 Segurança da Informação Aplicada
    50. 50. Distribuição de controles Estrutura ISSA Brasil 13 Segurança da Informação Aplicada
    51. 51. Distribuição de controles Estrutura • Alinhamento de necessidades de performance com requisitos de segurança para os ativos da organização ISSA Brasil 13 Segurança da Informação Aplicada
    52. 52. Distribuição de controles Estrutura • Alinhamento de necessidades de performance com requisitos de segurança para os ativos da organização • Qual é o nível de risco que você está disposto a correr? ISSA Brasil 13 Segurança da Informação Aplicada
    53. 53. Distribuição de controles Estrutura • Alinhamento de necessidades de performance com requisitos de segurança para os ativos da organização • Qual é o nível de risco que você está disposto a correr? • Quais controles compensatórios podem ser implementados? ISSA Brasil 13 Segurança da Informação Aplicada
    54. 54. Distribuição de controles Estrutura • Alinhamento de necessidades de performance com requisitos de segurança para os ativos da organização • Qual é o nível de risco que você está disposto a correr? • Quais controles compensatórios podem ser implementados? Abordagem ISSA Brasil 13 Segurança da Informação Aplicada
    55. 55. Distribuição de controles Estrutura • Alinhamento de necessidades de performance com requisitos de segurança para os ativos da organização • Qual é o nível de risco que você está disposto a correr? • Quais controles compensatórios podem ser implementados? Abordagem • Nível de Segurança atual x Modelo Planejado ISSA Brasil 13 Segurança da Informação Aplicada
    56. 56. Distribuição de controles Estrutura • Alinhamento de necessidades de performance com requisitos de segurança para os ativos da organização • Qual é o nível de risco que você está disposto a correr? • Quais controles compensatórios podem ser implementados? Abordagem • Nível de Segurança atual x Modelo Planejado • Evolução do nível de maturidade ISSA Brasil 13 Segurança da Informação Aplicada
    57. 57. Distribuição de controles Estrutura • Alinhamento de necessidades de performance com requisitos de segurança para os ativos da organização • Qual é o nível de risco que você está disposto a correr? • Quais controles compensatórios podem ser implementados? Abordagem • Nível de Segurança atual x Modelo Planejado • Evolução do nível de maturidade • Modelo de Gestão adequado à sua realidade ISSA Brasil 13 Segurança da Informação Aplicada
    58. 58. Governança, Risco e Compliance ISSA Brasil 14 Segurança da Informação Aplicada
    59. 59. Governança, Risco e Compliance Definição ISSA Brasil 14 Segurança da Informação Aplicada
    60. 60. Governança, Risco e Compliance Definição • GRC é um termo que tem crescido nas discussões sobre IT Security nas organizações ISSA Brasil 14 Segurança da Informação Aplicada
    61. 61. Governança, Risco e Compliance Definição • GRC é um termo que tem crescido nas discussões sobre IT Security nas organizações • Gestão de múltiplas atividades que trabalham em conjunto para atender às premissas estabelecidas pela organização ISSA Brasil 14 Segurança da Informação Aplicada
    62. 62. Governança, Risco e Compliance ISSA Brasil 15 Segurança da Informação Aplicada
    63. 63. Governança, Risco e Compliance Responsabilidade do Corpo Executivo Governança ISSA Brasil 15 Segurança da Informação Aplicada
    64. 64. Governança, Risco e Compliance Gestão de níveis Responsabilidade do aceitáveis pela Corpo Executivo Organização Governança Risco ISSA Brasil 15 Segurança da Informação Aplicada
    65. 65. Governança, Risco e Compliance Gestão de níveis Aderência a Responsabilidade do aceitáveis pela regulamentações, Corpo Executivo Organização normas e Legislação Governança Risco Compliance ISSA Brasil 15 Segurança da Informação Aplicada
    66. 66. Governança, Risco e Compliance Governança Risco Compliance ISSA Brasil 16 Segurança da Informação Aplicada
    67. 67. Governança, Risco e Compliance Governança Risco Compliance ISSA Brasil 16 Segurança da Informação Aplicada
    68. 68. Governança, Risco e Compliance • Definição do nível de risco • Suporte na aderência às Práticas de Mercado Governança • Alocação de recursos Risco Compliance ISSA Brasil 16 Segurança da Informação Aplicada
    69. 69. Governança, Risco e Compliance • Definição do nível de risco • Suporte na aderência às Práticas de Mercado Governança • Alocação de recursos • Performance x Segurança • Aceite de controles compensatórios Risco • Parceiros e fornecedores Compliance ISSA Brasil 16 Segurança da Informação Aplicada
    70. 70. Governança, Risco e Compliance • Definição do nível de risco • Suporte na aderência às Práticas de Mercado Governança • Alocação de recursos • Performance x Segurança • Aceite de controles compensatórios Risco • Parceiros e fornecedores • Legislação (Código Civil) • Regulamentação (BACEN 3.380, SUSEPE) Compliance • Práticas de Mercado (PCI DSS, SOX) ISSA Brasil 16 Segurança da Informação Aplicada
    71. 71. Posicionamento de controles ISSA Brasil 17 Segurança da Informação Aplicada
    72. 72. Posicionamento de controles Os controles estão distribuídos em áreas específicas, porém podem e devem ser gerenciados de forma conjunta ISSA Brasil 17 Segurança da Informação Aplicada
    73. 73. Posicionamento de controles Os controles estão distribuídos em áreas específicas, porém podem e devem ser gerenciados de forma conjunta Controles Documentais • Políticas de Segurança • Normas de Uso • Padrões Técnicos ISSA Brasil 17 Segurança da Informação Aplicada
    74. 74. Posicionamento de controles Os controles estão distribuídos em áreas específicas, porém podem e devem ser gerenciados de forma conjunta Controles Documentais Controles Processuais • Políticas de Segurança • Administração de • Normas de Uso Patches • Padrões Técnicos • Treinamento e Capacitação • Resposta a Incidentes ISSA Brasil 17 Segurança da Informação Aplicada
    75. 75. Posicionamento de controles Os controles estão distribuídos em áreas específicas, porém podem e devem ser gerenciados de forma conjunta Controles Documentais Controles Processuais Controles Técnicos • Políticas de Segurança • Administração de • Rede de Dados • Normas de Uso Patches • Aplicações Legadas • Padrões Técnicos • Treinamento e • Desenvolvimento Capacitação • Resposta a Incidentes ISSA Brasil 17 Segurança da Informação Aplicada
    76. 76. Controles Documentais ISSA Brasil 18 Segurança da Informação Aplicada
    77. 77. Controles Documentais Definição ISSA Brasil 18 Segurança da Informação Aplicada
    78. 78. Controles Documentais Definição • Estabelecem os critérios que devem ser aplicados na proteção das informações da Organização ISSA Brasil 18 Segurança da Informação Aplicada
    79. 79. Controles Documentais Definição • Estabelecem os critérios que devem ser aplicados na proteção das informações da Organização Modelos ISSA Brasil 18 Segurança da Informação Aplicada
    80. 80. Controles Documentais Definição • Estabelecem os critérios que devem ser aplicados na proteção das informações da Organização Modelos • Legislação e Regulamentações específicas ISSA Brasil 18 Segurança da Informação Aplicada
    81. 81. Controles Documentais Definição • Estabelecem os critérios que devem ser aplicados na proteção das informações da Organização Modelos • Legislação e Regulamentações específicas • Práticas de mercado estruturadas em normas ISSA Brasil 18 Segurança da Informação Aplicada
    82. 82. Controles Documentais Definição • Estabelecem os critérios que devem ser aplicados na proteção das informações da Organização Modelos • Legislação e Regulamentações específicas • Práticas de mercado estruturadas em normas • Política de Segurança da Informação ISSA Brasil 18 Segurança da Informação Aplicada
    83. 83. Controles Processuais ISSA Brasil 19 Segurança da Informação Aplicada
    84. 84. Controles Processuais Definição ISSA Brasil 19 Segurança da Informação Aplicada
    85. 85. Controles Processuais Definição • Definem como os processos internos devem ser desenvolvidos para atender os critérios estabelecidos para a proteção das informações da Organização ISSA Brasil 19 Segurança da Informação Aplicada
    86. 86. Controles Processuais Definição • Definem como os processos internos devem ser desenvolvidos para atender os critérios estabelecidos para a proteção das informações da Organização Modelos ISSA Brasil 19 Segurança da Informação Aplicada
    87. 87. Controles Processuais Definição • Definem como os processos internos devem ser desenvolvidos para atender os critérios estabelecidos para a proteção das informações da Organização Modelos • Postura administrativa e gerencial ISSA Brasil 19 Segurança da Informação Aplicada
    88. 88. Controles Processuais Definição • Definem como os processos internos devem ser desenvolvidos para atender os critérios estabelecidos para a proteção das informações da Organização Modelos • Postura administrativa e gerencial • Estabelecimento de processos internos ISSA Brasil 19 Segurança da Informação Aplicada
    89. 89. Controles Processuais Definição • Definem como os processos internos devem ser desenvolvidos para atender os critérios estabelecidos para a proteção das informações da Organização Modelos • Postura administrativa e gerencial • Estabelecimento de processos internos • Procedimentos Operacionais e Instruções Técnicas ISSA Brasil 19 Segurança da Informação Aplicada
    90. 90. Controles Técnicos ISSA Brasil 20 Segurança da Informação Aplicada
    91. 91. Controles Técnicos Definição ISSA Brasil 20 Segurança da Informação Aplicada
    92. 92. Controles Técnicos Definição • Realizam o enforcement necessário para que os processos internos sejam desenvolvidos atendendo os critérios estabelecidos para a proteção das informações da Organização ISSA Brasil 20 Segurança da Informação Aplicada
    93. 93. Controles Técnicos Definição • Realizam o enforcement necessário para que os processos internos sejam desenvolvidos atendendo os critérios estabelecidos para a proteção das informações da Organização Modelos ISSA Brasil 20 Segurança da Informação Aplicada
    94. 94. Controles Técnicos Definição • Realizam o enforcement necessário para que os processos internos sejam desenvolvidos atendendo os critérios estabelecidos para a proteção das informações da Organização Modelos • Hardware e Software dedicados ISSA Brasil 20 Segurança da Informação Aplicada
    95. 95. Controles Técnicos Definição • Realizam o enforcement necessário para que os processos internos sejam desenvolvidos atendendo os critérios estabelecidos para a proteção das informações da Organização Modelos • Hardware e Software dedicados • Parametrização do Ambiente Informatizado ISSA Brasil 20 Segurança da Informação Aplicada
    96. 96. Controles Técnicos Definição • Realizam o enforcement necessário para que os processos internos sejam desenvolvidos atendendo os critérios estabelecidos para a proteção das informações da Organização Modelos • Hardware e Software dedicados • Parametrização do Ambiente Informatizado • Forma de atuação do Corpo Técnico ISSA Brasil 20 Segurança da Informação Aplicada
    97. 97. Juntando as peças em uma composição ISSA Brasil 21 Segurança da Informação Aplicada
    98. 98. Juntando as peças em uma composição ISSA Brasil 21 Segurança da Informação Aplicada
    99. 99. Juntando as peças em uma composição Perímetro de Segurança Física ISSA Brasil 21 Segurança da Informação Aplicada
    100. 100. Juntando as peças em uma composição Perímetro de Segurança Física Controle de Acesso Físico ISSA Brasil 21 Segurança da Informação Aplicada
    101. 101. Juntando as peças em uma composição Perímetro de Segurança Física Controle de Acesso Físico Controle de Acesso na Rede de Dados ISSA Brasil 21 Segurança da Informação Aplicada
    102. 102. Juntando as peças em uma composição Perímetro de Segurança Física Controle de Acesso Controle de Acesso Físico na Aplicação Controle de Acesso na Rede de Dados ISSA Brasil 21 Segurança da Informação Aplicada
    103. 103. Juntando as peças em uma composição Perímetro de Segurança Física Criptografia de Arquivos Controle de Acesso Controle de Acesso Físico na Aplicação Controle de Acesso na Rede de Dados ISSA Brasil 21 Segurança da Informação Aplicada
    104. 104. Juntando as peças em uma composição Perímetro de Segurança Física Criptografia de Arquivos Controle de Acesso Controle de Acesso Físico na Aplicação Como administrar Controle de Acesso este modelo? na Rede de Dados ISSA Brasil 21 Segurança da Informação Aplicada
    105. 105. A mudança de postura no modelo de administração do risco ISSA Brasil 22 Segurança da Informação Aplicada
    106. 106. A Postura Atual ISSA Brasil 23 Segurança da Informação Aplicada
    107. 107. A Postura Atual Modelo Comum ISSA Brasil 23 Segurança da Informação Aplicada
    108. 108. A Postura Atual Modelo Comum • Estabelecimento de uma política de segurança baseada em normas de mercado e com medidas restritivas ISSA Brasil 23 Segurança da Informação Aplicada
    109. 109. A Postura Atual Modelo Comum • Estabelecimento de uma política de segurança baseada em normas de mercado e com medidas restritivas • Posicionamento de uma ferramenta de controle de aderência ISSA Brasil 23 Segurança da Informação Aplicada
    110. 110. A Postura Atual Modelo Comum • Estabelecimento de uma política de segurança baseada em normas de mercado e com medidas restritivas • Posicionamento de uma ferramenta de controle de aderência Problemas Identificados ISSA Brasil 23 Segurança da Informação Aplicada
    111. 111. A Postura Atual Modelo Comum • Estabelecimento de uma política de segurança baseada em normas de mercado e com medidas restritivas • Posicionamento de uma ferramenta de controle de aderência Problemas Identificados • Não existe um modelo pronto para cada Organização ISSA Brasil 23 Segurança da Informação Aplicada
    112. 112. A Postura Atual Modelo Comum • Estabelecimento de uma política de segurança baseada em normas de mercado e com medidas restritivas • Posicionamento de uma ferramenta de controle de aderência Problemas Identificados • Não existe um modelo pronto para cada Organização • A implementação abrupta causa reações não planejadas ISSA Brasil 23 Segurança da Informação Aplicada
    113. 113. A Postura Atual Modelo Comum • Estabelecimento de uma política de segurança baseada em normas de mercado e com medidas restritivas • Posicionamento de uma ferramenta de controle de aderência Problemas Identificados • Não existe um modelo pronto para cada Organização • A implementação abrupta causa reações não planejadas • Postura em relação ao cumprimento dos controles estabelecidos ISSA Brasil 23 Segurança da Informação Aplicada
    114. 114. Resultados para a Sociedade ISSA Brasil 24 Segurança da Informação Aplicada
    115. 115. Resultados para a Sociedade Vulnerabilidades Catalogadas pelo CERT 9000 6750 4500 2250 0 2000 2001 2002 2003 2004 2005 2006 2007 2008 ISSA Brasil 24 Segurança da Informação Aplicada
    116. 116. Resultados para a Sociedade Vulnerabilidades Catalogadas pelo CERT 9000 Resultados do 1o Trimestre 6750 4500 2250 0 2000 2001 2002 2003 2004 2005 2006 2007 2008 ISSA Brasil 24 Segurança da Informação Aplicada
    117. 117. Resultados para as Organizações ISSA Brasil 25 Segurança da Informação Aplicada
    118. 118. Resultados para as Organizações Perdas no e-Commerce nos EUA $4,000,000,000.00 $3,000,000,000.00 $2,000,000,000.00 $1,000,000,000.00 $0 2000 2002 2004 2006 2008 Fonte: Cybersource Annual On Line Fraud Report 2009 ISSA Brasil 25 Segurança da Informação Aplicada
    119. 119. Controles Documentais ISSA Brasil 26 Segurança da Informação Aplicada
    120. 120. Controles Documentais Ponto de Atenção ISSA Brasil 26 Segurança da Informação Aplicada
    121. 121. Controles Documentais Ponto de Atenção • Não existe um modelo de política pronto para cada Organização ISSA Brasil 26 Segurança da Informação Aplicada
    122. 122. Controles Documentais Ponto de Atenção • Não existe um modelo de política pronto para cada Organização Recomendações ISSA Brasil 26 Segurança da Informação Aplicada
    123. 123. Controles Documentais Ponto de Atenção • Não existe um modelo de política pronto para cada Organização Recomendações • Equilíbrio entre atendimento a aderência requerida com o que a Organização efetivamente pode gerenciar ISSA Brasil 26 Segurança da Informação Aplicada
    124. 124. Controles Documentais Ponto de Atenção • Não existe um modelo de política pronto para cada Organização Recomendações • Equilíbrio entre atendimento a aderência requerida com o que a Organização efetivamente pode gerenciar • A definição de Política de Segurança deve ser clara para todos ISSA Brasil 26 Segurança da Informação Aplicada
    125. 125. Controles Documentais Ponto de Atenção • Não existe um modelo de política pronto para cada Organização Recomendações • Equilíbrio entre atendimento a aderência requerida com o que a Organização efetivamente pode gerenciar • A definição de Política de Segurança deve ser clara para todos • A análise de riscos tem um papel definido, use-a ISSA Brasil 26 Segurança da Informação Aplicada
    126. 126. Controles Processuais ISSA Brasil 27 Segurança da Informação Aplicada
    127. 127. Controles Processuais Ponto de Atenção ISSA Brasil 27 Segurança da Informação Aplicada
    128. 128. Controles Processuais Ponto de Atenção • A implementação abrupta causa reações não planejadas ISSA Brasil 27 Segurança da Informação Aplicada
    129. 129. Controles Processuais Ponto de Atenção • A implementação abrupta causa reações não planejadas Recomendações ISSA Brasil 27 Segurança da Informação Aplicada
    130. 130. Controles Processuais Ponto de Atenção • A implementação abrupta causa reações não planejadas Recomendações • Processos devem ser alterados de forma gradual e adaptados à realidade de cada Organização, nunca o contrário ISSA Brasil 27 Segurança da Informação Aplicada
    131. 131. Controles Processuais Ponto de Atenção • A implementação abrupta causa reações não planejadas Recomendações • Processos devem ser alterados de forma gradual e adaptados à realidade de cada Organização, nunca o contrário • A integração do modelo às características da Organização é o principal ponto de atenção a ser observado ISSA Brasil 27 Segurança da Informação Aplicada
    132. 132. Controles Processuais Ponto de Atenção • A implementação abrupta causa reações não planejadas Recomendações • Processos devem ser alterados de forma gradual e adaptados à realidade de cada Organização, nunca o contrário • A integração do modelo às características da Organização é o principal ponto de atenção a ser observado • A definição de responsabilidades é parte do processo ISSA Brasil 27 Segurança da Informação Aplicada
    133. 133. Controles Técnicos ISSA Brasil 28 Segurança da Informação Aplicada
    134. 134. Controles Técnicos Ponto de Atenção ISSA Brasil 28 Segurança da Informação Aplicada
    135. 135. Controles Técnicos Ponto de Atenção • Postura em relação ao cumprimento dos controles estabelecidos ISSA Brasil 28 Segurança da Informação Aplicada
    136. 136. Controles Técnicos Ponto de Atenção • Postura em relação ao cumprimento dos controles estabelecidos Recomendações ISSA Brasil 28 Segurança da Informação Aplicada
    137. 137. Controles Técnicos Ponto de Atenção • Postura em relação ao cumprimento dos controles estabelecidos Recomendações • Os controles técnicos, assim como os demais, não são restritos ao universo de TI da Organização ISSA Brasil 28 Segurança da Informação Aplicada
    138. 138. Controles Técnicos Ponto de Atenção • Postura em relação ao cumprimento dos controles estabelecidos Recomendações • Os controles técnicos, assim como os demais, não são restritos ao universo de TI da Organização • A parametrização do Ambiente Informatizado deve observar a integração entre todos os componentes ISSA Brasil 28 Segurança da Informação Aplicada
    139. 139. Controles Técnicos Ponto de Atenção • Postura em relação ao cumprimento dos controles estabelecidos Recomendações • Os controles técnicos, assim como os demais, não são restritos ao universo de TI da Organização • A parametrização do Ambiente Informatizado deve observar a integração entre todos os componentes • Um bom técnico não é necessariamente um bom especialista em IT Security ISSA Brasil 28 Segurança da Informação Aplicada
    140. 140. A Postura Positiva ISSA Brasil 29 Segurança da Informação Aplicada
    141. 141. A Postura Positiva Tecnologia Negócio ISSA Brasil 29 Segurança da Informação Aplicada
    142. 142. A Postura Positiva Tecnologia Negócio Reativa Adequada ISSA Brasil 29 Segurança da Informação Aplicada
    143. 143. A Postura Positiva Tecnologia Negócio Reativa Adequada Correção Prevenção ISSA Brasil 29 Segurança da Informação Aplicada
    144. 144. A Postura Positiva Tecnologia Negócio Reativa Adequada Correção Prevenção Isolada Integrada ISSA Brasil 29 Segurança da Informação Aplicada
    145. 145. A Postura Positiva Tecnologia Negócio Reativa Adequada Correção Prevenção Isolada Integrada Administração Gestão ISSA Brasil 29 Segurança da Informação Aplicada
    146. 146. Última Consideração ISSA Brasil 30 Segurança da Informação Aplicada
    147. 147. Última Consideração Security is a process, not a product. Products provide some protection, but the only way to effectively do business in an insecure world is to put processes in place that recognize the inherent insecurity in the products. The trick is to reduce your risk of exposure regardless of the products or patches. Bruce Schneier ISSA Brasil 30 Segurança da Informação Aplicada
    148. 148. Fontes de Referência ISSA Brasil 31 Segurança da Informação Aplicada
    149. 149. Fontes de Referência North American Electric Reliability Corporation (NERC) ISSA Brasil 31 Segurança da Informação Aplicada
    150. 150. Fontes de Referência North American Electric Reliability Corporation (NERC) • http://www.nerc.com/ ISSA Brasil 31 Segurança da Informação Aplicada
    151. 151. Fontes de Referência North American Electric Reliability Corporation (NERC) • http://www.nerc.com/ Electricity Sector - Information Sharing and Analysis Center (ES- ISAC) ISSA Brasil 31 Segurança da Informação Aplicada
    152. 152. Fontes de Referência North American Electric Reliability Corporation (NERC) • http://www.nerc.com/ Electricity Sector - Information Sharing and Analysis Center (ES- ISAC) • http://www.esisac.com/ ISSA Brasil 31 Segurança da Informação Aplicada
    153. 153. Fontes de Referência North American Electric Reliability Corporation (NERC) • http://www.nerc.com/ Electricity Sector - Information Sharing and Analysis Center (ES- ISAC) • http://www.esisac.com/ The International Society of Automation (ISA) ISSA Brasil 31 Segurança da Informação Aplicada
    154. 154. Fontes de Referência North American Electric Reliability Corporation (NERC) • http://www.nerc.com/ Electricity Sector - Information Sharing and Analysis Center (ES- ISAC) • http://www.esisac.com/ The International Society of Automation (ISA) • SA99, Industrial Automation and Control System Security disponível em http://www.isa.org/MSTemplate.cfm? Section=Home964&Site=SP99,_Manufacturing_and_Control_Systems_Secu rity1&Template=/ContentManagement/ MSContentDisplay.cfm&ContentID=77617 ISSA Brasil 31 Segurança da Informação Aplicada
    155. 155. 1o Encontro do Subcomitê de Segurança da Informação RIO DE JANEIRO, 17 DE AGOSTO DE 2009 Segurança da Informação Aplicada Eduardo Vianna de Camargo Neves, CISSP ISSA Brasil www.issabrasil.org

    ×