Gestão Estratégica de Riscos de Segurança da Informação no...

Claudio Dodt, ISMAS, CISSP, CISA, ISO 27001 Lead Auditor

Business Continuity & Security Senior Consultant

Sócio-Gerente

[email protected] www.daryus.com.br claudiododt.com

www.twitter.com/daryusbr www.twitter.com/cdodt www.facebook.com/claudiododtcom

Iluminando mentes,

capacitando profissionais

e protegendo negócios.

Gestão Estratégica de Riscos de

Segurança da Informação no Setor

Público:

Práticas com o RealISMS.

© Copyright 2014. DARYUS | www.daryus.com.br |+55 11 3285-6539

Lice

nça

de

Uso

COPYRIGHT© DARYUS / CLÁUDIO DODT

Você pode copiar, distribuir, criar obras derivadas e exibir as informações contidas neste documento com as seguintes restrições:

Deve ser dado crédito ao autor original, e a DARYUS. Ambas as fontes devem ser citadas.

$ Você NÃO pode utilizar as informações contidas neste documento para fins comerciais.

Compartilhamento exclusivo pela mesma Licença. Se você alterar, transformar, ou criar outra obra com nas informações contidas neste documento, você somente poderá distribuir a obra resultante sob uma licença idêntica a esta.


DARYUS

Contextualização

Segurança da Informação

A realidade HOJE!

Práticas com o RealISMS

Perguntas

AGENDA

•O Strategic Risk Consulting não está apenas no nome, é fato.

•Nascemos em 2006 com o objetivo de popularizar as práticas de gestão de riscos

pervasivas aos processos de gestão empresarial.

•Entendemos que práticas de segurança, continuidade, riscos, conformidade e

governança de TIC são partes fundamentais da gestão moderna e não

complementos.

•A capacitação contínua das pessoas, a revisão continua dos processos, controles

para mitigar riscos e as certificações nas normas ISO são fatores de sucesso e

amadurecimento empresarial que acreditamos.

• DARYUS = Uma consultoria, uma escola de negócios e duas empresas de

tecnologias que agregam valor, reduzem custos e minimizam riscos.

Quem somos:

Nossas unidades

• Continuidade de Negócios

• Segurança da Informação

• Gestão de Processos de Negócios

• Governança, Risco e Conformidade

Nossos serviços:


Nossos clientes:


Claudio Dodt

Atua na área de tecnologia há mais de 10 anos exercendo atividades como técnico e analista de suporte, Analista de

Segurança Sr., Security Officer e Supervisor de Infraestrutura e Segurança.

Desenvolveu atividades em empresas brasileiras e multinacionais, tendo participado no Brasil e no exterior em

projetos de segurança de diversos segmentos como Educacional, Financeiro, Saúde, Agroindústria, Indústria

Alimentícia, Naval, Metal-Mecânica e Têxtil.

Geek convicto, mergulhador autônomo e um grande amante da leitura e dos videogames.

Especializações ITIL® V2 Service Manager / ITIL® Expert;

Certified Information Systems Security Professional (CISSP®);

Certified Information Systems Auditor (CISA);

Certified in Risk and Information Systems Control (CRISC);

ISO 27001 Lead Auditor;

ISO/IEC 20000 Foundation;

Information Security Foundation (ISFS) based on ISO/IEC 27002;

Information Security Management Advanced based on ISO/IEC 27002;

CobiT Foundation;

EXIN Cloud Computing Foundation;

EXIN Certified Integrator Secure Cloud Services;

EXIN Accredited Trainer – (ITIL Foundation; ISO 20000 Foundation, ISFS, ISMAS,

Cloud Foundation).

Cláudio Dodt Business Continuity & Security Senior Consultant

Sócio-Gerente - Nordeste

CLAUDIODODT.COM

/claudiododt.com

/claudiododt.com

http://www.facebook/claudiododt.com

http://www.claudiododt.com/


Contextualização

Qual o cenário

hoje?

Ameaças:


Que tal uma

olhada em

“Tempo Real”?

Ataques: DDoS


http://www.digitalattackmap.com

Ataques: DDoS


Hacktivismo entrou

de vez em evidência

Hacktivismo


Hacktivismo entrou


“...A maioria das ações (75%)

foi direcionada a páginas de

órgãos do governo...”

“...Entre alvos estava a

Polícia Militar do Rio de

Janeiro...”

Hacktivismo


Hacktivismo entrou


“...A maioria das ações (75%)

foi direcionada a páginas de

órgãos do governo...”

“...Entre alvos estava a

Polícia Militar do Rio de

Janeiro...”

“...Estudo da Akamai - “State of the

Internet” (...)identificou o tráfego de

ataques à Internet a partir de 175

países ou regiões...”

“...Assim como no trimestre anterior,

o Brasil figura em 8º lugar, com 1,4%

(dos ataques)”

Hacktivismo


Vazamento de Informação


Vazamento de Informação

Dados de 104 milhões de clientes roubados

Incidente descoberto quase 2 anos depois

Foi cometido por um terceirizado

Subornado por menos de R$ 40.000,00


Espionagem... ...Novidade?

Espionagem


Mais Crises?


http://hackmageddon.com/

Distribuição de ataques por país

Setembro-2013

Alvos e Motivações

4%



Distribuição de ataques por país

2% Dezembro-2013




1% 10%

44%

45%

Motivadores por traz dos ataques


Setembro-2013

Guerra Cibernética

Espionagem Cibernética

Crime Digital

Hacktivismo

Legenda:



Guerra Cibernética

Espionagem Cibernética

Crime Digital

Hacktivismo

Legenda:

Motivadores por traz dos ataques


1% 3%

62%

34%

Dezembro-2013



Legenda:

Distribuição dos Alvos

33%

21% 6%

5%

5%

4%

4%

2% 20%

Governo

Indústria

Forças da Lei

Educação

Indivíduos específicos

Telecom

Notícias

Militares

Outros

Setembro-2013




Legenda:

Distribuição dos Alvos

Governo

Indústria

Forças da Lei

Educação

Indivíduos específicos

Telecom

Notícias

Militares

Outros

Dezembro-2013


28%

30%

1%

5%

6%

1%

3%

1%

25%



E a nossa

realidade?


Relatório do TCE-CE

*Dados de 2011

*



• ESTADO CRÍTICO na Administração Pública Estadual;

• Falta de uma política de segurança;

• Falta de planejamento e cultura organizacional;

• Falta de um controle de acesso físico e lógico;

• Não existência de procedimentos para a classificação

das informações;

• Não implementação de cópia de segurança das

informações;

• 98% não possuíam um Plano de Continuidade de

Negócios.

Relatório do TCE-CE


A tecnologia EVOLUI...

...Pessoas Mudam...

...Ameaças AUMENTAM!

A realidade HOJE!


Segurança

da

Informação

Políticas

Uma visão holística

Essa é a visão da ISO 27001


SegInfo Hoje

Confidencialidade

Integridade Disponibilidade

Segurança da

Informação

Pessoas Processos Tecnologia


Tecnologia

Miopia do Iceberg

Tecnologia é...

...a mera ponta...

...do iceberg.


Tecnologia

Processos

Pessoas

Miopia do Iceberg


• Suporte completo a biblioteca de riscos e

controles da ISO 27001;

• Mapeamento de Ativos de Informação;

• Identificação e Tratamento de Riscos;

• Controle de Documentos, Normas,

Procedimentos;

• Gestão de Incidentes de Segurança.


real ISMS


Act Plan Do Check

Análise/Avaliação

de Gap/Riscos

Plano de

Tratamento dos

riscos

Avaliação e

Tratamento de

riscos

Treinamento e

conscientização

Definição do

escopo

Auditorias

internas

Métricas e

indicadores do

SGSI

Identificação de não-

conformidades

Tratamento de

não-

conformidades

Apoio na

auditoria de 3ª.

parte

Declaração de

aplicabilidade


Metodologia DARYUS para Atendimento aos

requisitos da ISO 27001 real ISMS


Dashboard Sumário da Gestão de Riscos



Matriz de Risco com 5 níveis

Nível de Risco por:


Muito Baixo Baixo Médio Alto Muito Alto

Área

Processo

Ativo




Gestão dos Riscos

Área Processo Ativo Risco Controle



Gestão dos Riscos





Risco Potencial

25 Muito Alto




Uma das

opções é

reduzir o nível

de Risco com

Controles de

Segurança




Risco Potencial

25 Muito Alto

Risco Residual


3 Muito Baixo


Risco Reduzido



Visão Geral dos Controles


Controles de

Segurança

diretamente

alinhados as

melhores práticas,

criando o RTP

Plano de Tratamento

de Riscos


Relatórios Detalhados



Perguntas?


Claudio Dodt, ISMAS, CISSP Business Continuity & Security Senior Consultant

[email protected]

http://www.daryus.com.br

http://claudiododt.com

http://www.facebook.com/claudiododtcom

http://www.linkedin.com/profile/view?id=15394059

Obrigado!

Gestão Estratégica de Riscos de Segurança da Informação no...

Documents

Transcript of Gestão Estratégica de Riscos de Segurança da Informação no...