gestão estratégica de riscos de segurança da informação no ... · •o strategic risk...
Post on 10-Nov-2018
213 Views
Preview:
TRANSCRIPT
Claudio Dodt, ISMAS, CISSP, CISA, ISO 27001 Lead Auditor
Business Continuity & Security Senior Consultant
Sócio-Gerente
claudio.dodt@daryus.com.br www.daryus.com.br claudiododt.com
www.twitter.com/daryusbr www.twitter.com/cdodt www.facebook.com/claudiododtcom
Iluminando mentes,
capacitando profissionais
e protegendo negócios.
Gestão Estratégica de Riscos de
Segurança da Informação no Setor
Público:
Práticas com o RealISMS.
© Copyright 2014. DARYUS | www.daryus.com.br |+55 11 3285-6539
Lice
nça
de
Uso
COPYRIGHT© DARYUS / CLÁUDIO DODT
Você pode copiar, distribuir, criar obras derivadas e exibir as informações contidas neste documento com as seguintes restrições:
Deve ser dado crédito ao autor original, e a DARYUS. Ambas as fontes devem ser citadas.
$ Você NÃO pode utilizar as informações contidas neste documento para fins comerciais.
Compartilhamento exclusivo pela mesma Licença. Se você alterar, transformar, ou criar outra obra com nas informações contidas neste documento, você somente poderá distribuir a obra resultante sob uma licença idêntica a esta.
© Copyright 2014. DARYUS | www.daryus.com.br |+55 11 3285-6539
DARYUS
Contextualização
Segurança da Informação
A realidade HOJE!
Práticas com o RealISMS
Perguntas
AGENDA
•O Strategic Risk Consulting não está apenas no nome, é fato.
•Nascemos em 2006 com o objetivo de popularizar as práticas de gestão de riscos
pervasivas aos processos de gestão empresarial.
•Entendemos que práticas de segurança, continuidade, riscos, conformidade e
governança de TIC são partes fundamentais da gestão moderna e não
complementos.
•A capacitação contínua das pessoas, a revisão continua dos processos, controles
para mitigar riscos e as certificações nas normas ISO são fatores de sucesso e
amadurecimento empresarial que acreditamos.
• DARYUS = Uma consultoria, uma escola de negócios e duas empresas de
tecnologias que agregam valor, reduzem custos e minimizam riscos.
Quem somos:
• Continuidade de Negócios
• Segurança da Informação
• Gestão de Processos de Negócios
• Governança, Risco e Conformidade
Nossos serviços:
© Copyright 2014. DARYUS | www.daryus.com.br |+55 11 3285-6539
Claudio Dodt
Atua na área de tecnologia há mais de 10 anos exercendo atividades como técnico e analista de suporte, Analista de
Segurança Sr., Security Officer e Supervisor de Infraestrutura e Segurança.
Desenvolveu atividades em empresas brasileiras e multinacionais, tendo participado no Brasil e no exterior em
projetos de segurança de diversos segmentos como Educacional, Financeiro, Saúde, Agroindústria, Indústria
Alimentícia, Naval, Metal-Mecânica e Têxtil.
Geek convicto, mergulhador autônomo e um grande amante da leitura e dos videogames.
Especializações ITIL® V2 Service Manager / ITIL® Expert;
Certified Information Systems Security Professional (CISSP®);
Certified Information Systems Auditor (CISA);
Certified in Risk and Information Systems Control (CRISC);
ISO 27001 Lead Auditor;
ISO/IEC 20000 Foundation;
Information Security Foundation (ISFS) based on ISO/IEC 27002;
Information Security Management Advanced based on ISO/IEC 27002;
CobiT Foundation;
EXIN Cloud Computing Foundation;
EXIN Certified Integrator Secure Cloud Services;
EXIN Accredited Trainer – (ITIL Foundation; ISO 20000 Foundation, ISFS, ISMAS,
Cloud Foundation).
Cláudio Dodt Business Continuity & Security Senior Consultant
Sócio-Gerente - Nordeste
CLAUDIODODT.COM
/claudiododt.com
/claudiododt.com
© Copyright 2014. DARYUS | www.daryus.com.br |+55 11 3285-6539
Contextualização
Qual o cenário
hoje?
Ameaças:
© Copyright 2014. DARYUS | www.daryus.com.br |+55 11 3285-6539
Que tal uma
olhada em
“Tempo Real”?
Ataques: DDoS
© Copyright 2014. DARYUS | www.daryus.com.br |+55 11 3285-6539
http://www.digitalattackmap.com
Ataques: DDoS
© Copyright 2014. DARYUS | www.daryus.com.br |+55 11 3285-6539
Hacktivismo entrou
de vez em evidência
Hacktivismo
© Copyright 2014. DARYUS | www.daryus.com.br |+55 11 3285-6539
Hacktivismo entrou
de vez em evidência
Hacktivismo
© Copyright 2014. DARYUS | www.daryus.com.br |+55 11 3285-6539
Hacktivismo entrou
de vez em evidência
“...A maioria das ações (75%)
foi direcionada a páginas de
órgãos do governo...”
“...Entre alvos estava a
Polícia Militar do Rio de
Janeiro...”
Hacktivismo
© Copyright 2014. DARYUS | www.daryus.com.br |+55 11 3285-6539
Hacktivismo entrou
de vez em evidência
“...A maioria das ações (75%)
foi direcionada a páginas de
órgãos do governo...”
“...Entre alvos estava a
Polícia Militar do Rio de
Janeiro...”
“...Estudo da Akamai - “State of the
Internet” (...)identificou o tráfego de
ataques à Internet a partir de 175
países ou regiões...”
“...Assim como no trimestre anterior,
o Brasil figura em 8º lugar, com 1,4%
(dos ataques)”
Hacktivismo
© Copyright 2014. DARYUS | www.daryus.com.br |+55 11 3285-6539
Vazamento de Informação
Dados de 104 milhões de clientes roubados
Incidente descoberto quase 2 anos depois
Foi cometido por um terceirizado
Subornado por menos de R$ 40.000,00
© Copyright 2014. DARYUS | www.daryus.com.br |+55 11 3285-6539
Espionagem... ...Novidade?
Espionagem
© Copyright 2014. DARYUS | www.daryus.com.br |+55 11 3285-6539
http://hackmageddon.com/
Distribuição de ataques por país
Setembro-2013
Alvos e Motivações
4%
© Copyright 2014. DARYUS | www.daryus.com.br |+55 11 3285-6539
http://hackmageddon.com/
Distribuição de ataques por país
2% Dezembro-2013
Alvos e Motivações
© Copyright 2014. DARYUS | www.daryus.com.br |+55 11 3285-6539
http://hackmageddon.com/
1% 10%
44%
45%
Motivadores por traz dos ataques
Alvos e Motivações
Setembro-2013
Guerra Cibernética
Espionagem Cibernética
Crime Digital
Hacktivismo
Legenda:
© Copyright 2014. DARYUS | www.daryus.com.br |+55 11 3285-6539
http://hackmageddon.com/
Guerra Cibernética
Espionagem Cibernética
Crime Digital
Hacktivismo
Legenda:
Motivadores por traz dos ataques
Alvos e Motivações
1% 3%
62%
34%
Dezembro-2013
© Copyright 2014. DARYUS | www.daryus.com.br |+55 11 3285-6539
http://hackmageddon.com/
Legenda:
Distribuição dos Alvos
33%
21% 6%
5%
5%
4%
4%
2% 20%
Governo
Indústria
Forças da Lei
Educação
Indivíduos específicos
Telecom
Notícias
Militares
Outros
Setembro-2013
Alvos e Motivações
© Copyright 2014. DARYUS | www.daryus.com.br |+55 11 3285-6539
http://hackmageddon.com/
Legenda:
Distribuição dos Alvos
Governo
Indústria
Forças da Lei
Educação
Indivíduos específicos
Telecom
Notícias
Militares
Outros
Dezembro-2013
Alvos e Motivações
28%
30%
1%
5%
6%
1%
3%
1%
25%
© Copyright 2014. DARYUS | www.daryus.com.br |+55 11 3285-6539
Segurança da Informação
E a nossa
realidade?
© Copyright 2014. DARYUS | www.daryus.com.br |+55 11 3285-6539
Segurança da Informação
• ESTADO CRÍTICO na Administração Pública Estadual;
• Falta de uma política de segurança;
• Falta de planejamento e cultura organizacional;
• Falta de um controle de acesso físico e lógico;
• Não existência de procedimentos para a classificação
das informações;
• Não implementação de cópia de segurança das
informações;
• 98% não possuíam um Plano de Continuidade de
Negócios.
Relatório do TCE-CE
© Copyright 2014. DARYUS | www.daryus.com.br |+55 11 3285-6539
A tecnologia EVOLUI...
...Pessoas Mudam...
...Ameaças AUMENTAM!
A realidade HOJE!
© Copyright 2014. DARYUS | www.daryus.com.br |+55 11 3285-6539
Segurança
da
Informação
Políticas
Uma visão holística
Essa é a visão da ISO 27001
© Copyright 2014. DARYUS | www.daryus.com.br |+55 11 3285-6539
SegInfo Hoje
Confidencialidade
Integridade Disponibilidade
Segurança da
Informação
Pessoas Processos Tecnologia
© Copyright 2014. DARYUS | www.daryus.com.br |+55 11 3285-6539
Tecnologia
Miopia do Iceberg
Tecnologia é...
...a mera ponta...
...do iceberg.
© Copyright 2014. DARYUS | www.daryus.com.br |+55 11 3285-6539
Tecnologia
Processos
Pessoas
Miopia do Iceberg
© Copyright 2014. DARYUS | www.daryus.com.br |+55 11 3285-6539
• Suporte completo a biblioteca de riscos e
controles da ISO 27001;
• Mapeamento de Ativos de Informação;
• Identificação e Tratamento de Riscos;
• Controle de Documentos, Normas,
Procedimentos;
• Gestão de Incidentes de Segurança.
Práticas com o RealISMS
real ISMS
© Copyright 2014. DARYUS | www.daryus.com.br |+55 11 3285-6539
Act Plan Do Check
Análise/Avaliação
de Gap/Riscos
Plano de
Tratamento dos
riscos
Avaliação e
Tratamento de
riscos
Treinamento e
conscientização
Definição do
escopo
Auditorias
internas
Métricas e
indicadores do
SGSI
Identificação de não-
conformidades
Tratamento de
não-
conformidades
Apoio na
auditoria de 3ª.
parte
Declaração de
aplicabilidade
Práticas com o RealISMS
Metodologia DARYUS para Atendimento aos
requisitos da ISO 27001 real ISMS
© Copyright 2014. DARYUS | www.daryus.com.br |+55 11 3285-6539
Dashboard Sumário da Gestão de Riscos
Práticas com o RealISMS
© Copyright 2014. DARYUS | www.daryus.com.br |+55 11 3285-6539
Matriz de Risco com 5 níveis
Nível de Risco por:
Dashboard Sumário da Gestão de Riscos
Muito Baixo Baixo Médio Alto Muito Alto
Área
Processo
Ativo
Práticas com o RealISMS
© Copyright 2014. DARYUS | www.daryus.com.br |+55 11 3285-6539
Dashboard Sumário da Gestão de Riscos
Gestão dos Riscos
Área Processo Ativo Risco Controle
Práticas com o RealISMS
© Copyright 2014. DARYUS | www.daryus.com.br |+55 11 3285-6539
Gestão dos Riscos
Área Processo Ativo Risco Controle
Práticas com o RealISMS
© Copyright 2014. DARYUS | www.daryus.com.br |+55 11 3285-6539
Área Processo Ativo Risco Controle
Práticas com o RealISMS
© Copyright 2014. DARYUS | www.daryus.com.br |+55 11 3285-6539
Área Processo Ativo Risco Controle
Práticas com o RealISMS
© Copyright 2014. DARYUS | www.daryus.com.br |+55 11 3285-6539
Área Processo Ativo Risco Controle
Práticas com o RealISMS
© Copyright 2014. DARYUS | www.daryus.com.br |+55 11 3285-6539
Área Processo Ativo Risco Controle
Práticas com o RealISMS
© Copyright 2014. DARYUS | www.daryus.com.br |+55 11 3285-6539
Área Processo Ativo Risco Controle
Práticas com o RealISMS
© Copyright 2014. DARYUS | www.daryus.com.br |+55 11 3285-6539
Área Processo Ativo Risco Controle
Risco Potencial
25 Muito Alto
Práticas com o RealISMS
© Copyright 2014. DARYUS | www.daryus.com.br |+55 11 3285-6539
Área Processo Ativo Risco Controle
Uma das
opções é
reduzir o nível
de Risco com
Controles de
Segurança
Práticas com o RealISMS
© Copyright 2014. DARYUS | www.daryus.com.br |+55 11 3285-6539
Área Processo Ativo Risco Controle
Risco Potencial
25 Muito Alto
Risco Residual
Práticas com o RealISMS
3 Muito Baixo
© Copyright 2014. DARYUS | www.daryus.com.br |+55 11 3285-6539
Risco Reduzido
Práticas com o RealISMS
© Copyright 2014. DARYUS | www.daryus.com.br |+55 11 3285-6539
Visão Geral dos Controles
Práticas com o RealISMS
Controles de
Segurança
diretamente
alinhados as
melhores práticas,
criando o RTP
Plano de Tratamento
de Riscos
© Copyright 2014. DARYUS | www.daryus.com.br |+55 11 3285-6539
Relatórios Detalhados
Práticas com o RealISMS
© Copyright 2014. DARYUS | www.daryus.com.br |+55 11 3285-6539
Relatórios Detalhados
Práticas com o RealISMS
© Copyright 2014. DARYUS | www.daryus.com.br |+55 11 3285-6539
Claudio Dodt, ISMAS, CISSP Business Continuity & Security Senior Consultant
claudio.dodt@daryus.com.br
http://www.daryus.com.br
http://claudiododt.com
http://www.facebook.com/claudiododtcom
http://www.linkedin.com/profile/view?id=15394059
Obrigado!
top related