Post on 19-Jul-2015
Dificuldades na justificativa de orçamento Identificando orçamento aplicado incorretamente
• É comum que orçamento para Segurança da Informação seja administrado ou dividido entre outras áreas (especialmente TI)
• Não é considerada a integração com a segurança física de instalações corporativas
• Não são estabelecidos planos cuja efetividade possa ser medida corretamente
Financiando CSOs com efetividade Desafios enfrentados
• Superar o ceticismo de executivos
–Muitos CEOs e CFOs
“Nada de ruim está acontecendo.”
Financiando CSOs com efetividade Desafios enfrentados
• Orçar atividades de maneira que resultados possam ser obtidos e medidos
✓ Cada resultando conta, mesmo que não ocorram incidentes na organização
✓ No planejamento, mostrar a efetividade sobre os investimentos a serem feitos reforça o sucesso de projetos de segurança da informação
Orçamento norte-americano para 2016 prevê investimentos contra ciberataques no paísProposta é alocar US$14 bilhões para ações federais defendendo o tema
Orçamento norte-americano para 2016 prevê investimentos contra ciberataques no país Altamente criticado pela imprensa e especialistas
• Temos muitas ações-macro cobertas
✓ Promover segurança da informação a nível nacional
✓ Apresentar leis para compartilhamento de informações entre governo e setor privado
✓ Construir meio unificado de identificação e resposta contra ataques
✓ Incentivar a modernização dos sistemas eletrônicos de pagamentos
Orçamento norte-americano para 2016 prevê investimentos contra ciberataques no país Altamente criticado pela imprensa e especialistas
• Mas não há nenhuma solução para os problemas urgentes
✗ Fomento à defesa de redes privadas
✗ Incentivo ao uso de tecnologias/serviços de proteção já existentes
✗ Estabelecimento de modelo para segurança em mobile
✗ Proposta de conscientização para a população sobre riscos de segurança da informação
Não se trata apenas de investir em compras Entender e sanar fragilidades em processos também é importante
• Áreas de atuação adicional para buscar orçamento
✓ Engenharia de processos de segurança
✓ Aumento de pessoal para composição de equipe multidisciplinada
✓ Treinamento e certificação de profissionais
Impor liderança Preparo e subsídios para resposta a incidentes
• Principais insumos
✓ Business Impact Analysis (BIA)
✓ Planos de contingência de processos
• Não sucumbir a emoções
✓ Importante responder adequadamente a ameaças
✓ Recusar coações/subornos
Referências
• Obama’s budget can’t fix corporate cybersecurityhttp://www.usnews.com/news/articles/2015/02/03/obamas-budget-cant-fix-corporate-cybersecurity