Claudio Dodt, ISMAS, CISA, CRISC, CISSP

Business Continuity & Security Senior Consultant

claudio.dodt@daryus.com.br www.daryus.com.br claudiododt.com

www.twitter.com/daryusbr www.facebook.com/daryusbr

Segurança da Informação

AGENDA

Sobre a DARYUS

Introdução

Contexto atual

Gestão de Riscos de SI: Abordagens

Conclusões

Abertura a perguntas.

• Empresa 100% nacional especializada em Continuidade,

Riscos e Segurança da Informação

• Parceira educacional exclusiva desde 2005 do

DRII – Disaster Recovery Institute International

• Líder em serviços especializados de consultoria e

treinamentos para Continuidade de Negócios e

Recuperação de Desastres.

• Reconhecida internacionalmente em Governança,

Riscos e Conformidade pela Infragard (USA) e ISSA.

• Duas Unidades: Consultoria e Educação

Quem é a DARYUS?

• Autorizada oficial de 2 Institutos e 1 associação

Internacional

• 9 Certificações internacionais

• 20 cursos profissionalizantes/específicos

• 3 Pós-Graduações (uma reconhecida como um dos

melhores MBAS do Brasil pela revista Você S/A)

• Mais de 500 alunos por ano

• Média de satisfação = 9,0

• Reconhecimento: DRII, EXIN, ISACA, Infragard, ISSA e

InformationWeek.

• Continuidade de Negócios

• Segurança da Informação

• Gestão de Processos de Negócios

• Governança, Risco e Conformidade

Nossos serviços:

Contexto atual: Segurança da Informação em evidência

Contexto atual: Hacktivismo

Contexto atual: Motivadores dos atacantes

Concorrentes

Hackers

Crackers

Empregados

Equipe de TI

•Desafio

•Ego/Fama

•Rebeldia

•Hacktivismo

•Destruição de Informação

•Divulgação ilegal

•Modificação não autorizada

•Ganho financeiro

•Ego

•Inteligência

•Vingança

•Ganho

Financeiro

•Curiosidade

•Ganho financeiro

•Vingança

•Erros não intencionais

Alvos:

•Banco de Dados

•Aplicações

•Arquivos

•Sistema de Correio Eletrônico

•Vantagem Competitiva

•Espionagem Industrial

Contexto atual: Motivadores Gestão de Riscos de SI

PR

ES

SÃ

O P

EL

A G

ES

TÃ

O D

E R

ISC

OS

PR

ES

SÃ

O P

AR

A M

EL

HO

RA

R

Contexto atual: Papel da Segurança da Informação

Confidencialidade

Integridade Disponibilidade

Segurança da

Informação

Procedimentos e Orientações

Políticas

Normas e Padrões

Alta Direção • Política de SI

Comitê de SI • Entendimento do Negócio

• Seleção de estratégias

• Preparação da PSI

• Exercitar, manter e melhorar a

SI

Security Officer

• Análise de riscos;

• BIA;

• Cenários;

• Planos;

• Testes, exercícios;

• Conscientização.

Definir

Viabilizar

Realizar

Papéis Responsabilidades

Segurança da Informação : Alguns mitos

A segurança da informação é uma DESPESA PONTUAL no

orçamento das empresas e CUSTA CARO.

A segurança da informação CUSTA à empresa MAIS DO

QUE RETORNA.

Somente quando uma falha de segurança é relatada há

uma justificativa para uma investimento maior.

Nossas contramedidas atualmente aplicadas SÃO

SUFICIENTES e mesmo sem outras medidas podem reduzir

significativamente o risco.

Gestão de Riscos de SI: Abordagem desatualizada

Centralizada em TI;

Feita de baixo para cima;

Não existe uma visão clara do risco;

Ameaças não são definidas ou entendidas;

Foco externo;

Ausência de padrões;

Dificuldade em definir custo x benefício;

Medo, incerteza, dúvida.

Gestão de Riscos de SI: Abordagem recomendada

Proteção dos ativos de informação em todas as áreas do negócio;

Motivadores de negócio;

Equilíbrio entre custo e benefício;

Utilização de frameworks e melhores práticas;

Incorpora atendimento a requisitos de compliance (SOX, PCI);

Gerenciamento facilitado e controle de custos;

Risco mensurável e decisões racionais de tratamento;

Melhor valor pelo dinheiro empregado.

Gestão de Riscos de SI: Abordagem recomendada

O Objetivo é proteger a Confidencialidade, Integridade e Disponibilidade da informação que pertence ao seu negócio.

Sua organização pensa

na informação como um ativo estratégico?

Gestão de Riscos de SI: Benefícios chave

O negócio é quem decide aceitar ou não o risco;

Justificativas de orçamento claras para reduzir o risco a um nível aceitável;

Apoia atendimento de requisitos de compliance;

Ajuda a identificar ativos de informação e entender seu valor estratégico;

O negócio é o dono “real” da informação;

Apoia outras iniciativas importantes como a Gestão de Continuidade de Negócio.

Gestão de Riscos de SI: Passo a passo

Negócio define valor do

ativo

Identificação de

ameaças

Análise de

vulnerabilidades

Tratamento do risco Aceitação do risco

Gerenciamento do risco

1

2

4

3

5

Gestão de Riscos de SI: Tratando riscos

Plano de

Tratamento de

Riscos

Ações Administrativas

Recursos

Prioridades

Responsabilidades

Custos

Gestão de Riscos de SI: Desafios

Disponibilidade

Confidencialidade Integridade

Infraestrutura e Serviços

Disponibilidade dos Dados

Planejamento

GCN

Backup e Recuperação

Vazamentos, Invasões

Requisitos Legais

Comunicações

Bancos de dados

Cultura Organizacional

Gestão de Riscos de SI: Pessoas são o fator crítico

Conclusões

Construa seu gerenciamento de risco alinhado a gestão da

Continuidade de Negócios;

Use a ISO 27001 e ISO 27005 como frameworks;

Sempre siga uma abordagem baseada nos riscos e entenda

as ameaças antes de decidir que tipo de controles

implementar;

E pergunte-se:

1. Quais ativos de informação estamos tentando proteger?

2. Qual o valor deles para o negócio?

3. Qual o impacto da perda de integridade, confidencialidade ou

disponibilidade nesses ativos?

4. Como vamos reduzir o risco? Quais controles são necessários?

5. Qual é o custo?

Dúvidas?

CONSIDERAÇÕES FINAIS

• CÓPIA DA APRESENTAÇÃO

• PESQUISA DE SATISFAÇÃO – link ao se desconectar

• CERTIFICADO DE PARTICIPAÇÃO – emails para supportbr@exin.com

com nome completo

Claudio Dodt

Regional Manager

claudio.dodt@daryus.com.br

www.daryus.com.br

Milena Andrade

Regional Manager

Milena.andrade@exin.com

www.exin.com