daryus inovação com segurança da informação: desafios de uma gestão flexível para inovar de...
DESCRIPTION
Em uma cultura cada vez mais dinâmica, onde novas tendências, tecnologias e ameaças surgem em uma base quase diária, um dos grandes desafios a Segurança da Informação é não se tornar um empecilho a INOVAÇÃO nas corporações, ao mesmo tempo em que garante um ambiente livre de impactos adversos. Vamos tentar responder a pergunta: É possível ter flexibilidade o suficiente para INOVAR DE MANEIRA SEGURA?TRANSCRIPT
Claudio Dodt, ISMAS, CISSP, CISA, ISO 27001 Lead Auditor
Business Continuity & Security Senior Consultant
Sócio-Gerente
[email protected] www.daryus.com.br claudiododt.com
www.twitter.com/daryusbr www.twitter.com/cdodt www.facebook.com/claudiododtcom
Iluminando mentes,
capacitando profissionais
e protegendo negócios.
Inovação com Segurança da
Informação: Desafios de uma gestão flexível para inovar
de maneira segura.
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
Lice
nça
de
Uso
COPYRIGHT© DARYUS / CLÁUDIO DODT
Você pode copiar, distribuir, criar obras derivadas e exibir as informações contidas neste documento com as seguintes restrições:
Deve ser dado crédito ao autor original, e a DARYUS. Ambas as fontes devem ser citadas.
$ Você NÃO pode utilizar as informações contidas neste documento para fins comerciais.
Compartilhamento exclusivo pela mesma Licença. Se você alterar, transformar, ou criar outra obra com nas informações contidas neste documento, você somente poderá distribuir a obra resultante sob uma licença idêntica a esta.
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
DARYUS
Por que inovamos?
A tal INOVAÇÃO
E a Segurança da Informação?
O desafio!
Estratégias
Uma questão de Atitude
Mudando o paradigma
Equilibrando o Risco
Uma visão holística
Conclusões
Perguntas
AGENDA
•O Strategic Risk Consulting não está apenas no nome, é fato.
•Nascemos em 2006 com o objetivo de popularizar as práticas de gestão de riscos
pervasivas aos processos de gestão empresarial.
•Entendemos que práticas de segurança, continuidade, riscos, conformidade e
governança de TIC são partes fundamentais da gestão moderna e não
complementos.
•A capacitação contínua das pessoas, a revisão continua dos processos, controles
para mitigar riscos e as certificações nas normas ISO são fatores de sucesso e
amadurecimento empresarial que acreditamos.
• DARYUS = Uma consultoria, uma escola de negócios e duas empresas de
tecnologias que agregam valor, reduzem custos e minimizam riscos.
Quem somos:
Nossas unidades
• Continuidade de Negócios
• Segurança da Informação
• Gestão de Processos de Negócios
• Governança, Risco e Conformidade
Nossos serviços:
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
Nossos clientes:
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
Claudio Dodt
Atua na área de tecnologia há mais de 10 anos exercendo atividades como técnico e analista de suporte, Analista de
Segurança Sr., Security Officer e Supervisor de Infraestrutura e Segurança.
Desenvolveu atividades em empresas brasileiras e multinacionais, tendo participado no Brasil e no exterior em
projetos de segurança de diversos segmentos como Educacional, Financeiro, Saúde, Agroindústria, Indústria
Alimentícia, Naval, Metal-Mecânica e Têxtil.
Geek convicto, mergulhador autônomo e um grande amante da leitura e dos videogames.
Especializações ITIL® V2 Service Manager / ITIL® Expert;
Certified Information Systems Security Professional (CISSP®);
Certified Information Systems Auditor (CISA);
Certified in Risk and Information Systems Control (CRISC);
ISO 27001 Lead Auditor;
ISO/IEC 20000 Foundation;
Information Security Foundation (ISFS) based on ISO/IEC 27002;
Information Security Management Advanced based on ISO/IEC 27002;
CobiT Foundation;
EXIN Cloud Computing Foundation;
EXIN Certified Integrator Secure Cloud Services;
EXIN Accredited Trainer – (ITIL Foundation; ISO 20000 Foundation, ISFS, ISMAS,
Cloud Foundation).
Cláudio Dodt Business Continuity & Security Senior Consultant - Regional Manager
WWW.CLAUDIODODT.COM https://www.facebook.com/claudiododtcom
CLAUDIODODT.COM
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
A tal INOVAÇÃO
O que é INOVAÇÃO?
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
A tal INOVAÇÃO
O ato de se criar algo novo. - The American heritage dictionary
Uma nova ideia, método ou dispositivo - Webster online
Criatividade ao se fazer um trabalho - John Emmerling
O que é INOVAÇÃO?
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
A tal INOVAÇÃO
O que é INOVAÇÃO?
A habilidade de entregar um novo valor para um cliente - José Campos
Inovação é um processo de transformar ideias em valor
comercial - Desconhecido
Inovação é vista como uma boa ideia que tem um
resultado econômico favorável. Em outras palavras, você
vai saber quando conseguir vender. - Dan Robles
O que é INOVAÇÃO?
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
A tal INOVAÇÃO
Rádio
TV
iPod
Twiter
0 5 10 15 30 35 40
Tempo para atingir 50 milhões de usuários
38
13
Internet
4
3
1
0,75
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
A tal INOVAÇÃO
100 milhões de downloads
Menos de 1 ano
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
A tal INOVAÇÃO
Nada de propagandas!
Nada de jogos!
Nada de truques!
Brian Acton
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
A tal INOVAÇÃO
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
A tal INOVAÇÃO
“Com big data você não precisa
impedir um hacker de invadir sua
rede. Pode monitorar, entender o
que ele quer e bloquear”
“74% dos gestores que adotam “mega
tendências” aceitam Big Data”
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
A tal INOVAÇÃO
“Com big data você não precisa
impedir um hacker de invadir sua
rede. Pode monitorar, entender o
que ele quer e bloquear”
“74% dos gestores que adotam “mega
tendências” aceitam Big Data”
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
A tal INOVAÇÃO
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
A tal INOVAÇÃO
“Enquanto uma prótese comum
chega a custar mais de R$40 mil, a
peça feita em uma impressora 3-D
não passou de R$20”
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
A tal INOVAÇÃO
“Enquanto uma prótese comum
chega a custar mais de R$40 mil, a
peça feita em uma impressora 3-D
não passou de R$20”
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
A tal INOVAÇÃO
Na visão do Negócio
Aumenta
Receita?
Reduz
Custo?
Mais
Competitivo
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
Na visão do Negócio
Aumenta
Receita?
Reduz
Custo?
Mais
Competitivo
O
O
O
E a Segurança da Informação?
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
Na visão do Negócio
E a Segurança da Informação?
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
Na visão do Negócio Pesquisa recente, realizada com 150 executivos
seniores de empresas brasileiras:
A maioria tem uma noção apenas superficial dos riscos,
e do que é CyberSecutiry
20% dos entrevistados não sabem quem é o responsável
pela segurança cibernética em suas organizações
Outros 28% acham que o assunto é uma
responsabilidade exclusiva de TIC!
E a Segurança da Informação?
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
Na visão do Negócio
Será que a SEGURANÇA
DA INFORMAÇÃO têm
ideia do que é o
NEGÓCIO?
E a Segurança da Informação?
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
Como alinhar
Segurança da
Informação
e Inovação?
O desafio!
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
1992: Podemos levar nosso negócio para a
Internet?
1999: Podemos usar virtualização no nosso
ambiente?
2005: Podemos permitir que nossos
funcionarios trabalhem remotamente?
Uma questão de Atitude
2010-2014: Podemos usar Cloud? BYOD? SaaS?
Tablets? Smartphones? Redes Sociais?
Perguntas feitas a área de Segurança da Informação ao longo
dos anos:
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
Uma questão de Atitude
Perguntas feitas a área de Segurança da Informação ao longo
dos anos:
* Resposta padrão do Security Officer
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
Uma questão de Atitude
É possível ter flexibilidade...
...o suficiente...
...de maneira SEGURA?
...para INOVAR...
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
Uma questão de Atitude
1º passo:
Compreenda o
NEGÓCIO.
Como você vai proteger algo que não
compreende?
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
Uma questão de Atitude
2º passo:
Substitua o NÃO
por DEPENDE.
Com bons controles de segurança
tecnologia não é uma barreira.
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
Uma questão de Atitude
3º passo:
Gestão de Riscos
é Essencial!
Como você vai garantir uma INOVAÇÃO
SEGURA sem conhecer os RISCOS?
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
Mudando o paradigma
Como fica a Gestão de SegInfo?
Gestão
Tradicional
Gestão
Inovadora
• Controlado;
• Previsível;
• Centralizado no
processo;
• Eficiente;
• Conservador.
• Conectado;
• Aberto;
• Centralizado na
Informação;
• Inovador;
• Agressivo.
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
Mudando o paradigma
O que precisa ser feito?
• Permitir ao invés de controlar
• Interconectar ao invés de restringir
• Tornar possível ao invés de impedir
• Adaptar ao invés de reagir
• Focar na informação e não na tecnologia
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
Mudando o paradigma
Possíveis benefícios: • Redução de custos;
• Aumento na produtividade;
• Aumento na satisfação dos empregados;
• Retorno financeiro positivo.
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
Mudando o paradigma
Riscos Prováveis: • Perda, vazamento e roubo de
informação;
• Infecção por malwares;
• Interrupções no serviço;
• Implicações legais;
• Pesadelos para equipes de Suporte
Técnico e Segurança da Informação.
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
Equilibrando o Risco
Valor para o Negócio
Restringir
• Definir políticas e procedimentos
• Tecnologia de apoio
• Arquitetura corporativa
• Definir níveis de suporte
Permitir
• Definir políticas e procedimentos
• Não prover suporte
• “Confiar” no empregado
Nív
el
de R
isco
Abraçar
• Definir políticas e procedimentos
• Melhores práticas
• Tecnologia de apoio
• Arquitetura corporativa
• Central de Serviços Corporativa
Bloquear
• Definir políticas e procedimentos
• Definir controles técnicos
• Monitoração
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
Segurança
da
Informação
Políticas
Uma visão holística
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
Segurança
da
Informação
Políticas
Uma visão holística
Inovar em Segurança da
Informação significa ser flexível
o suficiente para abraçar novas
tecnologias e tendências, mas
não quer dizer abrir mão dos
controles!
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
Vivemos em um mundo onde inovação é uma constante.
É possível INOVAR e ter um ambiente SEGURO.
É extremamente importante alinhar expectativas com o NEGÓCIO.
É vital GERENCIAR OS RISCOS da INOVAÇÃO.
Mais que nunca, é necessário uma visão holística da Segurança da Informação.
Boa Segurança da Informação não impede, mas sim VIABILIZA a INOVAÇÃO.
“Segurança sempre é vista como excessiva,
até o dia em que não é suficiente”
William H. Webster .
Conclusões
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
Perguntas?
© Copyright 2014. DARYUS – São Paulo – Brasil. | www.daryus.com.br | +55 11 3285-6539
Claudio Dodt, ISMAS, CISSP Business Continuity & Security Senior Consultant
http://www.daryus.com.br
http://claudiododt.com
http://www.facebook.com/claudiododtcom
http://www.linkedin.com/profile/view?id=15394059
Obrigado!