Segurança da Informação Corporativa

434 views

Published on

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Segurança da Informação Corporativa

  1. 1. A Liderança Aplicada à Segurança da Informação nas Empresas • Marcelo de Freitas Lopes • III Simpósio das Ciências Gerenciais – FAMINAS - BH
  2. 2. Brainstorm!
  3. 3. A importância da Tecnologia no mundo atual
  4. 4. Exemplo da TI no mundo dos negócios • Softwares e Infraestrutura • Serviços Web • Ferramentas ERP • Serviços na Nuvem
  5. 5. Falha de segurança estão cada vez mais presentes na mídia...
  6. 6. Estatísticas dos incidentes reportados ao CERT.br
  7. 7. Incidentes Reportados ao CERT.br Janeiro a Dezembro de 2012 Fonte: http://www.cert.br/stats/
  8. 8. Segurança da Informação Corporativa “Proteção da informação de vários tipos de ameaça para garantir a continuidade do negócio, maximizar o retorno sobre o investimento e as oportunidades de negócio.” ABNT NBR ISSO/IEC 17799:2005 Segurança não é gasto, é investimento!
  9. 9. Segurança da Informação Corporativa • Os Pilares da Segurança da Informação: Confidencialidade, Integridade, Disponibilidade • Não repúdio, Conformidade, Controle de Acesso, Autenticidade.
  10. 10. Gerenciamento Estratégico da S.I. • O que deve ser protegido? • Contra o que ou quem será necessário proteger? • Como será feita a proteção? • Qual a importância de cada recurso para o negócio? • Objetivos: – Redução da probabilidade de ocorrência de incidentes de segurança; – Redução dos danos/perdas causados por incidentes de segurança; – Recuperação dos danos em caso de desastre /incidente.
  11. 11. Itens Relevantes para a S.I. • Política de Segurança da Informação: • Prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos e com as leis e regulamentações relevantes. • Segurança organizacional: • Gerenciar a segurança da informação dentro da organização. • Gestão de ativos: • Alcançar e manter a proteção adequada dos ativos da organização.
  12. 12. Itens Relevantes para a S.I. • Segurança em Recursos Humanos: • Assegurar que os funcionários, fornecedores e terceiros entendam suas responsabilidades e estejam de acordo com os seus papéis, e reduzir o risco de roubo, fraude ou mau uso de recursos. • Segurança física e do ambiente: • Prevenir o acesso físico não autorizado, danos e interferências com as instalações e informações da organização. • Gerenciamento das operações e comunicações: • Garantir a operação segura e correta dos recursos de processamento da informação.
  13. 13. Itens Relevantes para a S.I. • Controle de acesso: • Controlar acesso à informação. • Aquisição, desenvolvimento e manutenção de sistemas da informação: • Garantir que segurança é parte integrante de sistemas de informação. • Gestão de incidentes de segurança da informação: • Assegurar que fragilidades e eventos de segurança da informação associados com sistemas de informação sejam comunicados, permitindo a tomada de ação corretiva em tempo hábil.
  14. 14. Itens Relevantes para a S.I. • Gestão da continuidade do negócio: • Não permitir a interrupção das atividades do negócio e proteger os processos críticos contra efeitos de falha ou desastres significativos, e assegurar a sua retomada em tempo hábil, se for o caso. • Conformidade: • Evitar violação de qualquer lei criminal ou civil, estatutos, regulamentos ou obrigações contratuais e de quaisquer requisitos de segurança da informação.
  15. 15. Atividades Envolvidas • Gerência de segurança nos sistemas; • Gerência dos serviços de segurança; • Gerência dos mecanismos de segurança; • Gerência da auditoria de segurança. A segurança da informação não está ligada somente à implementação de sistemas como firewalls, antivírus, IDS, criptografia, etc.
  16. 16. Desafios • Elaborar um bom planejamento; • Manter, atualizar e executar o planejamento; • Manter um processo cíclico; • Comprometimento e apoio visível de todos os níveis gerenciais; • Provisão de conscientização, treinamento e educação adequados. A gestão da Segurança da Informação necessita da participação de todos os funcionários da organização.
  17. 17. Códigos e Normativos • NBR ISO/IEC 27001 e 27002; • Payment Card Industry (PCI-DSS); • Business Impact Analysis (BIA); • Manuais de Contingência.
  18. 18. Conclusão • Não existem sistemas 100% seguros; – Mas podemos aumentar o nível da confiabilidade... • Segurança não é um processo que tem fim; • Diferencial competitivo e estratégico; • Deve andar em conjunto com os negócios da empresa; – Evitando impacto nos processos corporativos.
  19. 19. Wiki : www.owasp.org The Open Web Application Security Project
  20. 20. The Open Web Application Security Project • Organização internacional; • Sem fins lucrativos; • A mais de 10 anos produzindo e divulgado materiais e conhecimentos sobre Segurança de Aplicações; • Não possui nenhuma associação com produtos ou serviçoscomerciais; • Todas as ferramentas, documentos, fóruns, e capítulos da OWASP são livres e abertos para qualquer pessoa que estiver interessada em melhorar a segurança de aplicações.
  21. 21. The Open Web Application Security Project Voluntários Sustentado por:  Compartilhamento de conhecimento;  Liderança de projetos e pessoas;  Apresentações em eventos;  Administração. Financiada por patrocinadores Sustentado por:  Membership individuais/empresariais;  Projetos suportados por empresas;  Publicidade em website.
  22. 22. BHACK + Owasp Uai Day + Slackshow www.bhack.com.br
  23. 23. Obrigado! Perguntas? https://www.owasp.org https://www.owasp.org/index.php/Belo_Horizonte @owaspbh

×