(isc)2latamcongress - sobrevivendo a uma cultura de cibersegurança corporativa fraca

$: (ISC)2LatamCongress - Sobrevivendo a uma cultura de cibersegurança corporativa fraca$

Information Security – Surviving a poor cybersecurity corporate

cultureCláudio Dodt, CISSP

Segurança da Informação – Sobrevivendo a uma cultura de cibersegurança

corporativa fracaCláudio Dodt, CISSP

CULTURA CORPORATIVA

01.

Antes de tudo vamos falar um pouco sobre...

VALORES

IDEOLOGIA...o que é “CULTURA”?

CONVIÇÃO

IDENTIDADE

...o que é “CULTURA”?

É um hábito... ...de GRUPO!


Que tem profundas raízes...

Nas mentes e corações.


CULTURA CORPORATIVA É O AMBIENTE ONDE

SUA ESTRATÉGIA E SUA MARCA FLORECEM...

....OU MORREM.

CULTURA devora ESTRATÉGIA no café da manhã*...*

Pete

r Dru

cker

...repete no almoço, jantar e ainda pede sobremesa.

* Pe

ter D

ruck

er

CULTURA devora ESTRATÉGIA no café da manhã*...

CULTURA CORPORATIVA é talvez um dos mais

importantes controles de CIBERSEGURANÇA.

POR QUE É TÃO NEGLICENCIADA?

Confidencialidade

Integridade Disponibilidade

Segurançada

Informação

Pessoas Processos Tecnologia

Confidencialidade

Integridade Disponibilidade

Segurançada

Informação

Pessoas Processos

Tecnologia

Tecnologia

Processos

PessoasCultura

Corporativa

DÚVIDA:COMO VOU SOBREVIVER A UM AMBIENTE COM UMA CULTURA CORPORATIVA POBRE EM CIBERSEGURANÇA?

RESPOSTA:NÃO VAI!

EXEMPLOS PRÁTICOS

02.

• Segunda maior rede de varejo nos USA.

• Vítima de uma invasão no Natal de 2013.

• Entrada: fornecedor de sistemas de climatização.

• Resultado: 40 Milhões de cartões de crédito e outras 70 Milhões de informações pessoais/privadas foram roubadas.

A Target possuia uma das melhores ferramentas para detecção de malware e um time de segurança tabalhando 24 horas.

Os invasores foram detectados e alarmes enviados. O que foi feito?

ABSOLUTAMENTE NADA.

Só foram tomadas ações 2 semanas após a invasão inicial.

Meses antes do ataque o time de segurança da Target havia informado sobre possíveis vulnerabilidades.

As preocupações do time de segurança foram prontamente ignoradas.

Enquanto isso, na alta direção...*

on th

e pu

lse

info

rmat

ion

secu

rity

risk

in a

mer

ican

bus

ines

s

Enquanto isso, na alta direção...*

on th

e pu

lse

info

rmat

ion

secu

rity

risk

in a

mer

ican

bus

ines

s

*

MUDANDO A MENTALIDADE

03.

Diferentes mentalidades

Diferentes mentalidades

culturacorpoativaculturacorpoativaculturacorpoativaculturacorpoativaculturacorpoativaculturacorpoativa

culturacorpoativaculturacorpoativaculturacorpoativaculturacorpoativaculturacorpoativaculturacorpoativa

Desafios de uma cultura de CIBERSEGURANÇA

• Quase nunca é parte natural da CULTURA CORPORATIVA;• Dificuldades em se conseguir um orçamento factível;• Ainda é vista como uma responsabilidade primariamente de TI;• Falha na percepção de motivadores internos/externos;• Apetite de risco mal definido ou mal interpretado.

7 passos para o sucesso!1. Busque o apoio da Alta Direção.

2. Torne o tema “Segurança da Informação” algo real!

3. Use cada oportunidade para disseminar a nova cultura corporativa.

4. O marketing é seu amigo. Não sabe fazer? Peça ajuda!

5. Defina metas factíveis e acompanhe resultados constantemente.

6. Quanto antes abordar o tema com novos colaboradores, melhor! Mas não esqueça os veteranos!

7. Já ouviu falar da teoria das “janelas quebradas”? Pequenos incidentes devem ser tratados.

Perguntas?

Obrigado!

Para saber mais

• How to build and maintain security culture in any organization (http://pt.slideshare.net/kairoer/security-culturepres-issaca2014)

• Culture eats strategy for breakfast(http://www.slideshare.net/tobiasdahlberg1/culture-eats-strategy-for-breakfast-by-tobias-Dahlberg)

• On The Pulse: Information Security Risk in American Business (http://www.strozfriedberg.com/mediaevents/publications/on-the-pulse-information-security-risk-in-american-business)

• Missed Alarms and 40 Million Stolen Credit Card Numbers: How Target Blew It (http://www.bloomberg.com/bw/articles/2014-03-13/target-missed-alarms-in-epic-hack-of-credit-card-data)

• Target Warned of Vulnerabilities Before Data Breach (http://www.wsj.com/news/articles/SB10001424052702304703804579381520736715690)

• Target missed multiple warnings that credit card data breach was underway (https://nakedsecurity.sophos.com/2014/03/14/target-missed-multiple-warnings-that-credit-card-data-breach-was-underway/)

http://pt.slideshare.net/kairoer/security-culturepres-issaca2014

http://pt.slideshare.net/kairoer/security-culturepres-issaca2014

http://www.slideshare.net/tobiasdahlberg1/culture-eats-strategy-for-breakfast-by-tobias-Dahlberg

http://www.slideshare.net/tobiasdahlberg1/culture-eats-strategy-for-breakfast-by-tobias-Dahlberg

http://www.strozfriedberg.com/mediaevents/publications/on-the-pulse-information-security-risk-in-american-business

http://www.strozfriedberg.com/mediaevents/publications/on-the-pulse-information-security-risk-in-american-business

http://www.bloomberg.com/bw/articles/2014-03-13/target-missed-alarms-in-epic-hack-of-credit-card-data

http://www.wsj.com/news/articles/SB10001424052702304703804579381520736715690

http://www.wsj.com/news/articles/SB10001424052702304703804579381520736715690

https://nakedsecurity.sophos.com/2014/03/14/target-missed-multiple-warnings-that-credit-card-data-breach-was-underway/

https://nakedsecurity.sophos.com/2014/03/14/target-missed-multiple-warnings-that-credit-card-data-breach-was-underway/

(isc)2latamcongress - sobrevivendo a uma cultura de cibersegurança corporativa fraca

Technology