Gestão de Riscos

da Segurança da

Informação – Uma

questão Estratégica

Danilo Penna

danilo.penna@setibt.com

16-9101 2744

Desafios da Segurança da Informação.

Por quê e como a gestão de risco pode beneficiar o

negócio?

O processo de avaliação de riscos da SETi.

Agenda

Por que o mercado de segurança é dinâmico?

Ameaças

Novos Produtos

Lei de Moore

Troca de Dispositivos

Mudanças Constantes

Novas Tecnologias

Segurança de Rede

Segurança de Dados

Monitoramento de Segurança

Consumerização / Mobilidade

Gerenciamento de Identidade e Acesso

Segurança em Nuvem

Continuidade de Negócios e Recuperação de Desastres

Privacidade

Governança e Gestão de Risco

Maturidade de Segurança da Informação

Desafios de Segurança da Informação

Segurança de Rede

http://www.crn.com/news/networking/240007163/godaddy-outage-caused-by-network-failure-not-anonymous-hack.htm

Segurança de Dados

http://arstechnica.com/security/2012/07/yahoo-service-hacked/

Segurança em Nuvem

http://news.cnet.com/8301-1023_3-57537499-93/amazon-cloud-outage-impacts-reddit-airbnb-flipboard/

Continuidade de Negócios e Recuperação de Desastres

http://www.zdnet.com/hurricane-sandy-knocks-out-nyc-data-centers-websites-services-down-7000006588/

Privacidade

http://www.estadao.com.br/noticias/vidae,mec-vai-apurar-vazamento-de-dados-de-inscritos-no-enem,590248,0.htm

Governança e Gestão de Risco

http://www.institutocarbonobrasil.org.br/noticias2/noticia=731533

Internos

Intencionais

Não Intencionais

Externos

Intencionais

Não Intencionais

Quem são os atacantes?

Quem são os atacantes?

Origem dos ataques que causaram um maior impacto, financeiro ou não

Objetivos mais comuns de atacantes internos

Cyber ataques

Engenharia social

Download de conteúdo malicioso pela Internet

Vazamento de Informação

Atividades ilegais

Principais ameaças internas

http://www.zdnet.com/the-top-five-internal-security-threats-3039363097/

Como e por que a gestão de risco pode beneficiar o negócio?

Como?

Conhecimento e visão geral do ambiente de TI

Transparência

Auxilia em tomada de decisões estratégicas

Reduz a subjetividade

Por quê?

Identificar riscos de segurança antes

que sejam explorados, ou seja de forma

preventiva.

Por quê?

Identificar, avaliar

e priorizar os

riscos e requisitos

de segurança da

organização.

Por quê?

Priorizar e justificar

os investimentos em

segurança da

informação de forma

clara e transparente.

O Processo de análise de riscos da SETi

Baseado na ISO 27005

Consiste em 7 Fases

CARACTERIZAÇÃO DO AMBIENTE DE TI

IDENTIFICAÇÃO DOS RISCOS

ANÁLISE DOS CONTROLES

DETERMINAÇÃO DA PROBABILIDADE DO RISCO

ANÁLISE DO IMPACTO

DETERMINAÇÃO DO RISCO

RECOMENDAÇÕES

O Processo de análise de riscos da SETi

WWW.SETI.INF.BR

R JOÃO PENTEADO 60

RIBEIRÃO PRETO SP

3505-3777

Obrigado!