Gestão Integrada de Riscos Cibernéticos - Webinar 26jan2018
Modelo maturidade segurança cibernética
1. A.G.I.R
Automatização de Gestão Integrada de Riscos
Modelo de
Maturidade para
Compliance em
Segurança Cibernética
Fernando Nery | fnery@modulo.com.br
Webinar, 01 de março de 2019
2. Desafios para implementar um modelo de maturidade
Tarefas do
dia-a-dia
Que método
usar?
Avaliar a
situação atual
Definir a
maturidade-
alvo
Recursos
”Isso serve
para quê
mesmo?"
3. Desafios para implementar um modelo de maturidade
Maturidade
em
Segurança
Cibernética
Inventário
Usuários
Vulnerabilidades
Configurações
Log
Perímetro
Estações de
trabalho,
malware, BYOD
Aplicações
...
4. Começando pelo final...
1. Inicial
2. Gerenciado a
Nível de Projeto
3. Definido
4. Gerenciado e
Medido
5. Em Otimização
CSC #1
CSC #2
CSC #3
CSC #4
CSC #5
CSC #6
Onde Estou
Para Onde
Vou
Onde Estou
Para Onde
Vou
Onde Estou
Para Onde
Vou
Onde Estou
Para Onde
Vou
Onde Estou
Para Onde
Vou
Onde Estou
Para Onde
Vou
5. Valor ou relevância
da informação
Grau de Segurança Cibernética
Situação Atual
LGPD
GDPR
IoT
Blockchain
Infra crítica
Nuvem
4.658
...
Ações de
Segurança
Cibernética
Proteção da infraestrutura
Negócios vs Ativos Cibernéticos
Gestão de Incidentes
Gestão de Fornecedores e Contratos
PIA – Privacy Impact Analysis
C2IA – Cyber & Cloud Impact Analysis
Gestão!
Se não acontecer nada …
… você já precisa aumentar a maturidade
da Segurança cibernética
x
6. Valor ou relevância
da informação
Grau de Segurança Cibernética
Situação da Segurança Cibernética por Negócio
(departamento, processo, produto, …)
1
2
7
6
3
9
8
5
4
Mkt / LGPD
Scada / Infra crítica
Scada / LGPD
MKT / Infra crítica
11. Regras sobre Segurança Cibernética
(Risco Cibernético)1 Publicação Órgão Aplicação
Resolução nº 4.658, de 26 de abril de 2018 -
Dispõe sobre a política de segurança cibernética
e sobre os requisitos para a contratação de
serviços de processamento e armazenamento de
dados e de computação em nuvem.
Banco Central
Instituições Financeiras e
seus fornecedores
Decreto nº 9.637, de 26 de dezembro de 2018 -
Institui a Política Nacional de Segurança da
Informação, dispõe sobre a governança da
segurança da informação
Gabinete de
Segurança
Institucional
Administração Pública
Federal e seus
fornecedores
Lei nº 13.709, de 14 de agosto de 2018 - Dispõe
sobre a proteção de dados pessoais
Lei Federal
Organizações que tratam
dados pessoais
PCI DSS - incentivar e aprimorar a segurança
dos dados do titular do cartão e promover a
ampla adoção de medidas de segurança de dados
consistentes no mundo
PCI Security
Standards
Council,
Organizações envolvidas
nos processos de
pagamento do cartão
12. Regras Corporativas que devem incluir Segurança Cibernética
(Risco Cibernético)2 Publicação e Escopo Órgão Aplicação
Guia das Melhores Práticas de Governança Corporativa
Instituto Brasileiro de
Governança
Corporativa - IBGC
Empresas S/A e
Melhores Práticas
Código Brasileiro de Governança Corporativa
IBGC e Comissão de
Valores Mobiliários -
CVM
Empresas S/A e
Melhores Práticas
Lei nº 13.303, de 30 de junho de 2016 - estatuto jurídico da empresa
pública, da sociedade de economia mista e de suas subsidiárias
Lei Federal Organizações estatais
Resolução nº 4.557, de 23 de fevereiro de 2017 - dispõe sobre a estrutura
de gerenciamento de riscos e a estrutura de gerenciamento de capital.
Banco Central
Instituições Financeiras
e seus fornecedores
Instrução Normativa Conjunta MP/CGU No 01, de 10 de maio de 2016
Dispõe sobre controles internos, gestão de riscos e governança no âmbito
do Poder Executivo federal.
MP e CGU Poder Executivo Federal
Decreto nº 9.203, de 22 de novembro de 2017 - Dispõe sobre a política
de governança da administração pública federal direta, autárquica e
fundacional.
MP e CGU
Administração Pública
Federal - APF
Decreto nº 9.573 de 22/11/2018 - Aprova a Política Nacional de
Segurança de Infraestruturas Críticas.
GSI
APF, organizações,
concessionárias
19. Análise de Maturidade
1. Inicial
2. Gerenciado a
Nível de Projeto
3. Definido
4. Gerenciado e
Medido
5. Em Otimização
CSC #1
CSC #2
CSC #3
CSC #4
CSC #5
CSC #6
Onde Estou
Para Onde
Vou
Plano de Ação
20. 01. Um Inventário de Contas Administrativas deve ser mantido pela organização.
02. Senhas fortes devem ser utilizadas nos sistemas da organização.
03. As contas administrativas devem ser dedicadas ao propósito de administração.
04. Senhas únicas devem ser usadas pelas contas de acesso nos sistemas da organização.
05. A autenticação por múltiplos fatores deve ser utilizada em todos os acessos administrativos.
06. Os administradores devem utilizar uma máquina dedicada para todas as tarefas administrativas.
07. O acesso a ferramentas para criação de "scripts" (como o "Microsoft PowerShell" e o "Python") deve ser limitado a usuários
autorizados.
21. Análise de Maturidade
1. Inicial
2. Gerenciado a
Nível de Projeto
3. Definido
4. Gerenciado e
Medido
5. Em Otimização
CSC #1
CSC #2
CSC #3
CSC #4
CSC #5
CSC #6
Onde Estou
Para Onde
Vou
Onde Estou
Para Onde
Vou
Onde Estou
Para Onde
Vou
Onde Estou
Para Onde
Vou
Onde Estou
Para Onde
Vou
Onde Estou
Para Onde
Vou
24. Como Podemos Ajudar
Gestão de Riscos
em Segurança
Cibernética
Automatização
de Governança
de TI
Automatização
de Gestão de
Riscos
Comando e
Controle
Automatização
de Controles
Internos
Atendimento a
Normas (4.658,
PCI, LGPD)
25. Obrigado!!
A.G.I.R
Automatização de Gestão Integrada de Riscos
Modelo de Maturidade
para Compliance em
Segurança Cibernética
Fernando Nery | fnery@modulo.com.br
Webinar, 01 de março de 2019