Desde 2011, a Pagliusi Inteligência em cibersegurança está ajudando clientes globais a avaliar, gerenciar e otimizar riscos cibernéticos e de TI, analisar questões tecnológicas de seus negócios e se antecipar aos riscos cibernéticos emergentes, para que seus negócios continuem prosperando.
2. 2
AUDIT
• Specialties: 30+ years of Corporate and IT Risk/IS experience:
− Information Security Governance | IT Risk Management & Audit
− IT Risk Strategy & Management | Data Privacy & Protection
• Active panelist & writer, also is:
− Senior Researcher – IT Cyber - Future of Defense, at LSC - Naval War College
− Director of ISACA's Rio chapter | ex-President of Cloud Security Alliance's Brazil chapter
− Founder of ABINC Security WG | Co-Mentor of Cyber Manifesto, a move to protect Brazil from cyber attacks
− Member of the Science, Technology, Engineering, Mathematics and Innovation Group of Clube Naval (CTEMI)
• Awards:
− 5th Prize “The Cream of Professional Information Security” (TI Brazil 2008)
− 8th Prize Innovation in Federal Public Management (ENAP - 2004)
− Award “Personality Brazil 500 Years” (CICESP - 2001), among others
Pagliusi’s Professional Profile
• Education Background:
− PhD in Information Security, Royal Holloway, University of London (RHUL) – 2008
− MSc in Computer Science (security), UNICAMP, Campinas, Brazil – 1998
− PG Dip in Information Systems Analysis & Design, PUC-Rio, Brazil – 1989
− BSc in Systems Administration, Naval Academy (EN), Rio, Brazil – 1985
• Certifications & courses:
− Certified Information Security Manager (CISM)
− BS-7799 (ISO27001) Lead Auditor certification (by DNV),
− Strategy Execution, Harvard Business School (HBS), among others
3. 3
AUDIT
Pagliusi’s Credentials
• Oct2020- Jan2023 – Apex-Brasil (Chief Information Officer & Data Protection Officer)
− Provided and maintained IT solutions in support of business and management models, in an innovative and
safe way. Implemented the new IT Service Center, based on ITIL and COBIT frameworks. Restructuring of the
IT team, with support of outsourced services and cloud solutions, quadrupling the delivery of IT projects.
• Feb2018-Sep2020 – KPMG (Partner at Technology Risk Consulting)
− Risk and compliance management in IT & disruptive innovation environments, through advice to help ensure
emerging technology risks are managed. Developed IT risk strategy in support of business objectives.
• Nov2015-Jan2018 – Deloitte (Cyber Risk Services | IT Risk Advisory Director)
− Paulo made use of a Secure, Vigilant & Resilient approach, which helped global Deloitte clients get ahead of
IT risk so their business could keep moving forward.
• Mai2014-Oct2015 – Pagliusi CyberSecurity (Founder Partner & CEO)
− IT/Cyber risk solutions, awareness & board consulting (Banco Brasil, Petrobras, Vale, Fapes-BNDES, IRB, Ambev)
4. 4
AUDIT
Pagliusi’s Credentials
• Mai2012-Abr2014 – Procela Security Intelligence (Founder Partner & CEO)
− Advanced IT security and threat intelligence software solutions (Ezute, Atech – Embraer, SisGAAz, TV Globo,
Embratel, Petrobras, Brazilian Navy, COMLURB)
• Mar2011-Abr2012 – NEC LATAM -Arcon MSS (Director of R, D & I | Portfolio Manager)
− Managed Security Service (MSS/SOC) | Compliance & FINEP US$4 MM project
• Jan1982-Fev2011 – Brazilian Navy (Captain)
− Leading IT risk & cybersecurity systems development, compliance & awareness projects (Br. PR, M. of Defense,
Central Bank, ITI-PR, Secretariat of Ports, CASNAV, "João-de-Barro“: ITI-PR, HSM/PKI Root CA, etc.)
− CEO of two military organizations (DepSMRJ & PAPEM) – up to 160 subordinates
5. 5
AUDIT
Pagliusi’s Market Eminency (last 10 years)
80+ country interviews
15+ foreign countries interviews
8 TV Globo (2 “Fantástico”, Snowden’s case)
30+ published articles, 5 IS columns
120+ talks in IS & Cyber conferences
1 CPI Audience US Espionage at BR Senate
6. 6
AUDIT
• interviews (Brazil and abroad), articles and citations on Cyber issues – since 2013:
− 100+ Interviews to TVs, radios & newspapers from 15+ foreign countries (USA, Canada, France, Sweden,
Chile, Japan, Iran…) e.g. The New York Times, TV France 24, BN Americas, The Globe & Mail, MGO
− Near 80 interviews in the country, to TVs (e.g. 8 to TV Globo, twice for "Fantástico"), radios (3 to radio
"Estadão“) & newspapers (5 to "Valor Econômico“, 4 to “Estadão” and 3 to “O Globo”…).
− 30+ published articles (Decision Report, O Globo, Brasil Econômico, Linux Magazine…).
− Citations: IETF Request for Comments - RFC 5106 (2008) & COBIT 5 (Portuguese translator).
• In Cyber risk events – as lecturer, moderator or panelist – since 2013:
− 180+ active participations in conferences, seminars & workshops on IS and IT risks.
o E.g. From Capital Aberto magazine: “The role of boards of directors in the information security of publicly traded
companies“. Also gave talks: chairwoman of IBGC (Brazilian Institute for Corporative Governance), CPFL Energia
governance manager & Telefónica security manager - São Paulo (Apr2015).
o E.g. From IBEF: "Cyber Security and Cyber Crime Challenges“, in XXIV CONEF - National Congress of Finance
Executives. Also gave talks: Ministers of Finance & Sports; presidents of BNDES, Vale & Furnas; BG South
America chairman; general chief of 2016 Olympics; economist Armínio Fraga - Rio (Oct 2013).
o Also: CIAB, FUTURECOM, CNASI, WGID/SBSeg, BITS, ISACA, CIO Brasil Gov, ECMSHOW, DISI/RNP, Rio
Conferences, Cybersecurity Summit Rio, Blockchain Rio Festival ...
Pagliusi’s Market Eminency (last 10 years)
8. Desde 2011, ajudando
clientes globais a avaliar,
gerenciar e otimizar riscos
cibernéticos e de TI, analisar
questões tecnológicas de
seus negócios e se antecipar
aos riscos cibernéticos
emergentes, para que seus
negócios continuem
prosperando.
11. 11
AUDIT
Organizações divididas em 3 momentos:
Vazamentos e Violações de Dados afetam o Negócio
Aquelas que sofreram vazamento e violações de dados
Aquelas que não sofreram – ainda
Aquelas que sofrem mas não sabem
“A maioria dos vazamentos e violações de dados, que se tornaram públicos nos últimos anos, demonstram que as
organizações comprometidas podem passar semanas ou até meses antes de descobrir o que ocorreu.” Fonte: ISF, 2013
12. 12
AUDIT
Isto é problema da TI...
Reações Típicas de Executivos, Conselhos e Comitês
Diante de Riscos Cibernéticos capazes de comprometer a empresa & prejudicar inovações
Mas... Cibersegurança não é TI
13. 13
AUDIT
1. Relatar incidentes materiais de segurança cibernética
dentro de quatro dias úteis a partir do momento em que
uma violação for determinada pela empresa como
“material”.
2. Divulgar em seus relatórios periódicos quando uma
série de incidentes cibernéticos imateriais individuais
previamente não divulgados se tornar material no
agregado.
3. Descrever em seus relatórios periódicos suas
políticas e procedimentos para a identificação e gestão
de riscos cibernéticos.
4. Descrever seus processos de governança de risco
cibernético em seus relatórios periódicos.
Quando a nova regra entrará em vigor:
• A maioria das empresas serão obrigadas a arquivar relatórios
anuais em conformidade com a nova regra a partir de 15Dez2023.
• Organizações menores terão de arquivar relatórios a partir
de 15Jun2024.
• Novos requisitos de divulgação de incidentes entrarão em vigor
para incidentes materiais ocorridos após 18Dez2023.
Novos requisitos da comissão de valores mobiliários dos EUA, a SEC (Security and Exchange
Commission), traz mudanças substanciais para empresas de capital aberto e provocarão forte mudança na
forma como devem ser tratados e comunicados os incidentes e a gestão dos riscos cibernéticos
SEC - Controles de Cyber Risks passam a ter relevância
14. 14
AUDIT
Fator de Risco Cibernético
Shadow IT – Potencial impacto financeiro
http://itforum365.com.br/noticias/detalhe/118506/um-em-
cada-dez-arquivos-na-nuvem-expoe-dados-confidenciais
Shadow IT: sistemas de TI e
soluções de TI construídas e
usadas dentro das empresas sem
aprovação organizacional explícita
15. 15
AUDIT
Nosso Modelo
Segurança Cognitiva apara Gestão de Riscos de TI
Ameaças
Previsíveis
Aprendizagem Baseada na Experiência Consciência Situacional
Monitoramento contínuo
capacidade dos computadores de imitar os
sentidos humanos do seu próprio jeito
Correlacionar sinais de riscos a indicadores
Computadores entendem o mundo ao seu redor
Resultado
Comcogniçãoe inteligência em tempo real, organizaçõespodem gerenciar melhor os riscos e ameaças
Ameaças Conhecidas Ameaças Imprevisíveis
Ameaças Previsíveis
Segurança: Aspectos
preventivos
Vigilância: Descoberta de novas
ameaças e início de infiltrações
Resiliência: Análise e resposta de
incidentes e processo de recuperação
Sistemas cognitivos permitem enxergar através da
complexidade da inovação, acompanhar ritmo das
informações e tomar decisões assertivas
16. 16
AUDIT
IT Risk Management & Compliance Services
• IT risk management maturity – with Resilient, Secure & Vigilant IT risk programs
• Being Resilient: IT/Cyber Crisis Management – to contain damage & minimize impact of unpredictable threats
− Business Continuity & Disaster Recovery | Cyber Incident Simulation | Response Support
• Being Secure: IT Risk Management Transformation – protection for risk-sensitive assets against known threats
− Identity & Access Mngmt | Privacy & Data Protection | Application Integrity | IT Regulatory risks
• Being Vigilant: Threat Awareness & Detection Capacity – IT security (info & events) against predictable threats
− Security Monitoring (SOC development, SIEM Optimization) | Cyber Threat Intelligence
17. 17
AUDIT
Evolução das defesas
da TI para uma
segurança que
compreende, raciocina
e aprende
Para a nova era tecnológica ser direcionada pela experiência
cognitiva, em que computadores contribuirão com pensamento
lógico do ser humano e talvez o contestem, é preciso garantir
que sistemas cognitivos – capazes de criar grandes mudanças e
inovação disruptiva pela automatização das tarefas tácitas –
façam frente às crescentes ameaças cibernéticas no espaço
cibernético
Compreensão da linguagem natural, imagens e outras
informações sensoriais
Raciocínio complexo e interação profunda com
especialistas
Gera não apenas respostas, mas hipóteses, raciocínio
baseado em evidências e recomendações para melhor
tomada de decisão em tempo real
Computação Cognitiva na Proteção do Ambiente e Gerenciamento dos Riscos de TI
Fonte: IBM Security
Gerenciamento dos Riscos de TI – Segurança Cognitiva