Segurança da informação 3 - drb
Download
Report
Transcript Segurança da informação 3 - drb
Segurança da Informação
SENAC Road Show TI Experience
Experiência em Segurança da Informação
Edson Aguilera-Fernandes
É sócio-diretor da Lúmine Negócios com Segurança desde 1990,
trabalhando como consultor nas áreas de planejamento e gestão
de governança, riscos e conformidade (GRC).
Possui experiência profissional de mais de 25 anos e atua, também,
como professor da disciplina Planejamento e Gestão de Qualidade
de Redes do Curso de Pós-Graduação Lato-Sensu em Redes de
Computadores da Universidade Federal de São Carlos (UFSCAR-SP).
Formado como Engenheiro Eletricista (POLI,85) e Mestre em
Sistemas Digitais (POLI,92), obteve as certificações Certified
Information Security Manager (CISM) e Certified in Risk and
Information Systems Control (CRISC) pelo Instituto Information
Systems Audit and Control Association (ISACA).
2
1
O que é segurança da informação?
Física
Aplic.
Redes
Au
d
Dados
as
m
e
t
s
Si
3
1
ito
r
ias
Mercado de segurança da informação
orientado por objetivos de negócio
Demanda por soluções de segurança
Alinhadas com necessidades de negócio.
Mais eficientes, confiáveis e flexíveis.
Reduzindo esforços de implementação e manutenção.
Resultando em menor tempo de reação a incidentes.
Eliminando vulnerabilidades e reduzindo riscos.
Atendendo a normas de auditoria e boas práticas
Oportunidades de melhoria contínua
Aumento do desempenho de processos de negócio.
Identificação e redução de falhas humanas.
Combate a perdas por fraudes, roubos, acidentes…
Identificação de gargalos e causas-raiz de problemas.
4
2
Normas e códigos de boas práticas
ABNT NBR ISO/IEC 27001:2006
Tecnologia da informação - Técnicas de segurança - Sistemas de
gestão de segurança da informação - Requisitos
ABNT NBR ISO/IEC 27002:2005
Tecnologia da informação - Técnicas de segurança - Código de prática
para a gestão da segurança da informação
ABNT NBR ISO 31000:2009
Gestão de riscos - Princípios e diretrizes
ABNT NBR 15999-1:2007
Gestão de continuidade de negócios - Código de prática
PCI-DSS V2.0:2010
Payment Card Industry Data Security Standard - Requirements and
Security Assessment Procedures
5
5
Certificação de profissionais
CISM - ISACA
Certified Information Security Manager - Information Systems
Audit and Control Association
CRISC - ISACA
Certified in Risk and Information Systems Control - Information
Systems Audit and Control Association
CISSP – ISC2
Certified Information Systems Security Professional - International
Information Systems Security Certification Consortium
CCNA Security - Cisco
Cisco Certified Network Associate Security Certification
Cursos de pós-graduação
6
5
Fatores de sucesso de iniciativas
em segurança da informação
Consenso
Participação efetiva de todas as áreas envolvidas na especificação
de requisitos e aprovação dos resultados finais.
Gestão de requisitos
Administração de lista de requisitos para orientação do projeto em
todas as fases do ciclo de vida.
Transparência
Justificativa de todas as decisões de projeto, sempre com a
aprovação formal dos responsáveis (stakeholders).
Documentação
Elaboração de um sistema de documentação de fácil manutenção e
consulta.
7
4
Tendências para os próximos anos
1. Aumento de garantias à privacidade
das informações.
2. Aumento da complexidade dos
ataques.
3. Aumento do foco na gestão de riscos.
4. Aumento da inteligência de segurança.
5. Aumento dos impactos nos negócios.
6. Aumento da demanda por
profissionais.
•
8
1
Tendências para os próximos anos:
Aumento de garantias à privacidade
Aumento da regulamentação para
garantia da privacidade das informações.
• Direito fundamental do indivíduo.
• Colocando o indivíduo no controle dos seus próprios dados.
• European Commission [2012]:
Safeguarding Privacy in a Connected World
A European Data Protection Framework for the 21st Century.
• LEI Nº 12.414, DE 9 DE JUNHO DE 2011:
Disciplina a formação e consulta a bancos de dados com
informações de adimplemento, de pessoas naturais ou de
pessoas jurídicas, para formação de histórico de crédito.
• http://www.planalto.gov.br/ccivil_03/_Ato2011-2014/2011/Lei/L12414.htm
• http://iabireland.ie/wp-content/uploads/2012/M-HBoulanger.pdf
• http://ec.europa.eu/justice/data-protection/document/review2012/com_2012_9_en.pdf
9
1
Tendências para os próximos anos:
Aumento da complexidade dos ataques
Ataques mais sofisticados e mais
complexos de serem detectados.
• Uso de ferramentas de ataque mais inteligentes para identificar
seus alvos.
• Maior integração entre sistemas com níveis de segurança
distintos.
• O volume de dados (big data) sem classificação quanto à
criticidade está aumentando exponencialmente.
• As ameaças não são conhecidas em detalhes.
• Novos caminhos de acesso aos sistemas e dados foram criados,
sem o controle necessário para garantir a segurança:
- Redes sociais
- Dispositivos móveis
- Acessos externos generalizados: clientes, terceirizados, …
10
1
Tendências para os próximos anos:
Aumento do foco na gestão de riscos
Aumento da abordagem sistemática para
identificação, tratamento e avaliação de
riscos
• Reconhecimento dos riscos e prevenção de ataques continua
sendo uma abordagem de menor esforço de implementação
e maior retorno positivo.
• Aprovação da ISO 31000 como ferramenta básica para
implementar a gestão de riscos nas empresas.
• O cargo de CISO (Chief Information Security Office) tende a se
tornar CRO (Chief Risk Office).
• As principais normas e códigos de boas práticas definem gestão
de riscos como princípio básico (ISO 27001, PCI-DSS, GSMASAS, COBIT, COSO, SOX, ISO 25999, PMBOK-PMI)
11
1
Tendências para os próximos anos:
Aumento da inteligência de segurança
Inteligência de Segurança Corporativa.
• A missão da Enterprise Security Intelligence é conciliar tanto os
esforços de conformação com auditorias, códigos de boas
práticas e legislação, quanto a contextualização dos riscos e
reação frente aos ataques.
• Justifica o esforço de investimento e manutenção de controle de
segurança com argumentos de negócio.
• Promove a conscientização quanto a riscos e impactos
potenciais na organização.
• Favorece um aumento de fluxo de informações e maior clareza
na comunicação entre diferentes áreas da empresa quanto a
questões de segurança da informação.
•
•
12
1
Tendências para os próximos anos:
Aumento dos impactos nos negócios
Crescimento do número e gravidade dos
impactos nos negócios.
•
• Computação em nuvem tornará o controle da segurança muito
mais nebuloso, sujeito a ameaças desconhecidas e aumentará
a falsa sensação de segurança devido a terceirização na
nuvem
• Uso de dispositivos móveis (BYOD – Bring Your Own Device)
compartilhando em larga escala aplicações e dados da
empresa e pessoais no mesmo equipamento, demandará
novas estratégias e controles de segurança que ainda não
foram criados.
• Vai levar tempo até que se entenda quais os requisitos mínimos
de desempenho e segurança que os provedores de serviços
precisam entregar para garantir níveis de segurança
aceitáveis.
http://www.pwc.com/en_GX/gx/economic-crime-survey/assets/GECS_GLOBAL_REPORT.pdf
• Crimes cibernéticos ficarão ainda mais atraentes.
13
1
Aumento da
demanda por profissionais
Tendências para os próximos anos:
Maior demanda por profissionais com
especialização em segurança da
informação.
•
• A complexidade dos controles e dos sistemas computacionais
aumentará a demanda por profissionais especializados nas
questões de segurança da informação, mas não num
primeiro momento.
• Falta de profissionais no mercado resultará num aumento dos
salários, tornando a profissão mais atraente do ponto de
vista financeiro.
• O mercado por profissionais de TIC de um modo geral já
apresenta vagas sem preenchimento nas empresas,
crescendo em ritmo mais acelerado do que o PIB.
http://g1.globo.com/economia/negocios/noticia/2012/03/sem-retracao-servicos-de-tecnologia-avancam-no-pais-e-alavancam-pib.html
•
•
14
1
Fazendo frente à ameaças de segurança
Entenda seu ambiente de negócios
Quem são meus funcionários, fornecedores, terceirizado, clientes,
processos, controles, registros, informações, sistemas, …
Mantenha sua segurança alinhada
Desenvolva ações de segurança da informação alinhadas com a
gestão de negócios, sistemas, auditoria, conformidade, …
Conduza avaliações periódicas
Qual meu estado atual, onde esperava estar, onde deveria estar.
Avaliações independentes facilitam aprovação dos envolvidos.
Desenvolva lideranças em segurança
Distribua responsabilidades e atribua autoridade para assegurar a
liderança das ações de segurança e o crescimento de uma cultura
de segurança na organização.
15
4
Obrigado!
Contatos:
Edson Aguilera-Fernandes
[email protected]
[email protected]
skype: edson.aguilera
msn: [email protected]
+55 (11) 3013-7338
+55 (16) 9167-0812
+55 (16) 3411-8406
plus.google.com
twitter.com/eafbr
twitter.com/lumneg
br.linkedin.com/in/edsonaguilera
www.facebook.com/pages/
Edson-Aguilera-Fernandes/283814614985257
16
1