A Capacitação profissional e seu impacto na Segurança da Informação no Brasil e no mundo

Bem-vindo ao Circuito de Palestras EXIN 2014 Conheça o novo Portfólio EXIN:

NOSSO TEMA DE HOJE: Segurança da Informação

Tópico:

A Capacitação profissional e seu impacto na Segurança da Informação no Brasil e no mundo.

Descrição: O Palestrante apresenta as orientações do Departamento de Segurança da Informação e Comunicações (DSIC) do Gabinete de Segurança Institucional da Presidência da República (GSI/PR) quanto ao fortalecimento da segurança da infomação através da sensibilização, conscientização, capacitação e especialização dos colaboradores e demonstra através um estudo baseado no cruzamento de dados entre os relatórios de segurança de grandes empresas como Microsoft, Symentec, Trend, Kasrpersky e institutos de certificação em segurança da informação como o EXIN, ISC2, ISACA e ISO, a relação entre o número de profissionais e empresas certificadas em segurança da informação e o número de ataques, botnets e incidentes reportados em cada país do mundo, estabelecendo sempre um paralelo com a situação brasileira.

Antebellum Capacitação Profissional

• Criada em 1997 com a finalidade de prestar serviços e treinamentos em Tecnologia da Informação, a Antebellum dedica-se exclusivamente a treinamentos com temas relacionados a Segurança da Informação, Cloud Computing, PCI e GRC

• Os cursos da Antebellum nasceram da observação de um grupo de instrutores e professores da área de Tecnologia da Informação e Segurança da Informação, sobre as mudanças nos cenários nacional e internacional e as dificuldades encontradas pelos profissionais dessas áreas para na contratação de treinamentos que se encaixassem em suas agendas, orçamentos e que além de apresentarem seu conteúdo de forma aprofundada e objetiva, refletissem essa qualidade no material do aluno, transformando-o em uma fonte de referências futuras e apoio ao estudo para certificações.

Antebellum Capacitação Profissional

• Editora Antebellum

• Exin Accredited Courseware Provider (ACP)

• Exin Accredited Training Provider (ATP)

• Exin Accredited Examination Center (AEC)

• Primeiro Global Training Provider do PCI Council no Mundo

Onlin

e

A Capacitação profissional e seu impacto na Segurança da Informação

no Brasil e no mundo.

• Quem faz a Segurança

• Normas do DSIC

• Certificações e certificados no Brasil e no mundo

• Empresas ISO 27001 no Brasil e no mundo

• Relatórios mundiais de segurança

• Considerações finais

Quem faz a segurança da informação?

Cada colaborador tem seu papel e suas responsabilidades dentro

da gestão da segurança da informação Todos!

Quais os papeis principais?

O Colaborador O Profissional de SI O Profissional de TIC

Qual sentimento essa foto lhe inspira?

O Colaborador

Colaboradores

Unidades carbono (humanos) são mais complexas que as de silício e na

maioria das vezes precisam ser convencidos para que sigam uma

determinada instrução.

Sensibilização;

Conscientização;

Avaliação;

Monitoração

Sensibilização e Conscientização de Segurança

É o conhecimento das ameaças em potencial para uma organização, que deve ser

compartilhado entre todos os colaboradores para que seja possível perceber falhas de

segurança e antecipar incidentes que poderiam ocorrer na funções do dia-a-dia.

A Tecnologia por si só não consegue garantir de forma adequada a segurança das

informações. Conscientização e senso de responsabilidade são fundamentais para o

sucesso de qualquer programa de segurança da informação

Segurança no Cotidiano


Apresentação

Prenda a atenção de seu

público:

• Conte “Causos”

• Teatro

• Quadrinhos

• Etc...

Ambiente Organizacional

Segurança no Cotidiano


O Profissional de TIC

Conscientização do Profissional de TIC

• Fundamentos de Segurança• Desenvolvimento Seguro• Fundamentos de Gerenciamento de TIC (ITIL)

O Profissional de Segurança

Norma Complementar 17/2013 Atuação dos Profissionais de SIC

5.1 Engajar-se na busca pelo conhecimento e promover ações no sentido de consolidar a cultura de SIC.

5.3 Buscar o melhor aproveitamento dos recursos e serviços disponíveis

5.4 Dedicar-se nos processos de formação em nível de capacitação, educação e conscientização, buscando atuar como disseminador das melhores práticas em SIC

5.6 Participar e contribuir na busca e compartilhamento do conhecimento, bem como na troca de experiências com outras entidades do governo, participando de grupos de trabalho, listas de discussões e eventos que tratem o tema SIC.

5.7 Buscar o conhecimento multidisciplinar, entendendo que a SIC abrange os contextos estratégico, tático e operacional dos órgãos e entidades da APF em que atuam.

5.8 Agir em conformidade com a legislação vigente, as normas internas e melhores práticas em SIC.

5.9 Empenhar-se para obter certificações profissionais, seguindo preferencialmente as recomendações propostas no ANEXO A.

5.5 Buscar a segurança dos ativos de informação.

5.2 Contribuir de forma ativa e constante no processo de melhoria da SIC nos órgãos e entidades da APF em que atuam.

Quais os riscos?

Quis custodiet ipsos custodes?

(Quem vigia os vigilantes?)

Juvenal (70 DC)

Norma Complementar 18/2013

Atividade de Ensino

Modelo da Atividade Duração Mínima

Sensibilização Ambientação em SIC 1 Hora

Conscientização Seminário de noções básicas em SIC 8 Horas

Noçoes de SIC nos cursos de formação nos órgãos e entidades da APF 6 Horas

Capacitação Curso de gestão em SIC – Presencial 40 Horas

Curso de gestão em SIC – EAD 120 Horas

Especialização Curso e especialização em SIC 360 Horas


Entidade Sigla Descrição

ISACA CISM Certified Information Security Manager

ISC2 CISSP Certified Information Systems Security Professional

CISSP-ISSAP

Certified Information Systems Security Professional - Information Systems Security Architecture Professional

CISSP-ISSAP

Certified Information Systems Security Professional - Information Systems Security Engineering Professional

CISSP-ISSAP

Certified Information Systems Security Professional - Information Systems Security Management Professional

EXIN ISFS Information Security Foundation based on ISO/IEC 27002

ISMAS Information Security Management Advanced based on ISO/IEC 27002

ISMES Information Security Management Expert based on ISO/IEC 27002

Módulo MCSO Modulo Certified Security Officer

Gestão da Segurança da Informação

Segurança em Redes

Entidade Certificação

Descrição

CompTIA Security+

EC-Council ECSA Ec-Council Security Analyst

SANS GAWN GIAC Assessing Wireless Networks

GCIA GIAC Certified Intrusion Analyst

GPEN GIAC Penetration Tester

ISC2 SSCP Systems Security Certified Practitioner

Segurança em Redes / Gestão da SI


Descrição

CompTIA CASP CompTIA Advanced Security Practitioner

Segurança em Redes e Segurança em Software

* Específica para Segurança no Desenvolvimento de Software


Descrição

EC-Council CEH Certified Ethical Hacker

LPT Licensed Penetration Tester

SANS GWAPT GIAC Certified Web Application Penetration Tester

ISC2 CSSLP* Certified Secure Software Lifecycle Professional

Tratamento de Incidentes de Segurança Computacional

Porque o tratamento

correto de incidentes

é tão importante?


Descrição

SANS GCIH GIAC Certified Incident Handler

Forense Computacional


Descrição

SANS GCFA GIAC Certified Forensic Analyst

GCFE GIAC Certified Forensic Examiner

GREM GIAC Certified Reverse Engineering Malware

Gestão de Continuidade de Negócios


Descrição

DRII ABCP Associate Business Continuity Professional

CFCP Certified Functional Continuity Professional

CBCP Certified Business Continuity Professional

MBCP Master Business Continuity Professional

BCI AMBCI Associate Member Business Continuity Institute

CBCI Certified Business Continuity Institute

SBCI Specialist Business Continuity Institute

Auditoria/Conformidade


Descrição

RAC ou IRCA

ISO27001LA

Auditor Lider ISO 27001

ISACA CISA Certified Information Systems Auditor

Cobit Control Objectives for Information and related Technology

CRISC Risk and Information Systems Control

APMG ITIL Information Technology Infrastructure Library

Profissionais certificados pela ISC2

Certificação

Brasil

Canadá

EUA India Japão

UK Argentina

SSCP 9 92 1124 32 53 118 1CSSLP 18 83 773 27 3 62 2CISSP 390 4.290 60.695 1.564 1.329 4.607 118CISSP – ISSAP 10 82 933 9 2 110 -CISSP – ISSEP - 5 898 1 - 2 -CISSP - ISSMP 5 48 738 3 2 49 -

Profissionais certificados pelo Exin

ISMAS

Reflexo de nossa maturidade?

ISF S

Certificação Brasil

ITIL (2004-2014) 100.000ISFS (2010-2014) 3000ISMAS (2010-2014) 90

Investimentos em Hardware, Software e Capacitação

$$$$$$$$$$$

$$$$$$$$$$$

$$$$$$$$$$$

$$$$$$$$$$$

$

Empresas Certificadas ISO 27001

Uau! São mais de 50 empresas certificadas no Brasil!!!


Portugal tem menos Mas proporcionalmente será que isso é bom?

A Colômbia tem mais... Mas acho que eles levam esse negócio

de segurança muito à sério...


Hong Kong tem mais que o dobro e metade da população de Sampa!


A Itália tem 10 vezes mais...


A Romênia tem 15 vezes mais... E a população equivalente à de Minas Gerais


O Reino Unido tem 30 vezes mais... Mas eles inventaram a norma


India e China também tem 30 vezes mais...


Com o Japão não tem graça brincar...


Mas pelo menos ganhamos da Argentina... Mas somente em números absolutos


Percentual de Execução de Código Remoto (Microsoft)

Mic

roso

ft S

ecur

ity

Inte

llig

ence

Rep

ort V

olum

e 16

Número de vulnerabilidades em produtos MS e outros

Mic

roso

ft S

ecur

ity

Inte

llig

ence

Rep

ort V

olum

e 16

Sites de distribuição de MalwareS

yman

tec

Inte

rnet

Sec

urit

y T

hrea

t Rep

ort 2

014

Mic

roso

ft S

ecur

ity

Inte

llig

ence

Rep

ort V

olum

e 16

Percentual de detecção de Malwares

Computadores “limpos” por país (a cada mil)

Mic

roso

ft S

ecur

ity

Inte

llig

ence

Rep

ort V

olum

e 16

Tipos de ameaças nos países com mais infecções

Mic

roso

ft S

ecur

ity

Inte

llig

ence

Rep

ort V

olum

e 16

Motivos de bloqueio de mensagens no Exchange Online

Mic

roso

ft S

ecur

ity

Inte

llig

ence

Rep

ort V

olum

e 16

Sites de distribuição de MalwareM

icro

soft

Sec

urit

y In

tell

igen

ce R

epor

t Vol

ume

16

Principais AlvosS

yman

tec

Inte

rnet

Sec

urit

y T

hrea

t Rep

ort 2

014

Sym

ante

c In

tern

et S

ecur

ity

Thr

eat R

epor

t 201

4Principais Alvos

Considerações Finais

Não importa quantos

recursos você tem..

Se você não sabe usá-los

nunca será suficiente

Retorno do Investimento

Efetividade da Mensagem

Aconteça o que

acontecer...

Continue estudando

Porque mais cedo ou

mais tarde, você

poderá se

arrepender...

Desenvolvimento Profissional

Certificações Profissionais recomendadas pelo DSIC

Forense Computacional

...de não ser ou ter um profissional qualificado.

Dúvidas?

Vamos iniciar a sessão de PERGUNTAS. Utilize a ferramenta do chat (para digitar) ou do hands on (para pedir acesso e perguntar diretamente ao palestrante.

Fernando Fonsecawww.linkedin.com/in/[email protected]

ACESSO AO MATERIAL

• Disponibilizaremos o link com Cópia desta apresentação + Certificado de Participação para todos que responderem nossa pesquisa de satisfação e nos ajudarem a aprimorar nossas futuras ações (acesso imediato ao de desconectar da sessão ao final da apresentação).

• Você também pode acessar nosso canal do YouTube e Slide Share para ter acesso a todas as apresentações realizadas em 2012 e 2013.

• Mais Informações?

Milena AndradeRegional Manager

[email protected]

(11) 3280-2683 (3280-ANTE) E-mail: [email protected] www.linkedin.com/in/ferfonwww.antebellum.com.br

Fernando Fonseca, CISSP-ISSAP Diretor de EnsinoAntebellum Capacitação Profissional

mailto:[email protected]

http://www.exin.com/

mailto:[email protected]

http://www.linkedin.com/in/ferfon

http://www.antebellum.com.br/

A Capacitação profissional e seu impacto na Segurança da Informação no Brasil e no mundo

Education

Transcript of A Capacitação profissional e seu impacto na Segurança da Informação no Brasil e no mundo