Post on 25-Dec-2014
description
Unbounded Security: Aonde foi parar meu perímetro corporativo e como protege-lo?
Cláudio Dodt, CISA, CISSP, CRISC, ISMAS
Diretor de Tecnologia
claudio.dodt@realiso.com
Segurança da
Informação:
Como era?
Segurança da Informação: Quebrando
paradigmas
Segurança da Informação: Quebrando
paradigmas
Informação Perímetro
Corporativo
Informações dentro
do perímetro
Segurança da Informação: Quebrando
paradigmas
Ameaças fora...
AM
EA
ÇA
S
Segurança da Informação: Quebrando
paradigmas
Segurança da
Informação:
Cenário HOJE
Segurança da Informação: Quebrando
paradigmas
Você realmente sabe onde estão
seus dados corporativos?
Segurança da Informação: Quebrando
paradigmas
Ameaças?
Por todo lado!
Vazamentos
Fraude Sabotagem
Segurança da Informação:
Comportamento e Consumerização
Homem Vitruviano - Leonardo da Vinci - 1490
Segurança da Informação:
Comportamento e Consumerização
Homem Consumeriano - 2017
Tecnologias
Vestíveis!
Estamos
Preparados?
• Wireless do desfibrilador
desativado.
• Medo de ciberterroristas.
Dick Cheney
Segurança da Informação: Tecnologia e
Comportamento – Tendencias
• Wireless do desfibrilador
desativado.
• Medo de ciberterroristas.
Dick Cheney
Segurança da Informação: Tecnologia e
Comportamento – Tendencias
Se considerarmos um ciclo de adoção
parecido ao de smartphones e tablets...
Aproximadamente 171 milhões de
dispositivos devem estar nas mãos dos
consumidores por volta de 2016.
Segurança da Informação: Novos
paradigmas
O que mudou
realmente?
Segurança da Informação: Novos
paradigmas
54% das organizações reportaram aumento nas ameaças
externas. Ernst & Young: “Global Information Security Survey 2013”
81% das grandes organizações sofreram falhas de
segurança no último ano. Department for Business Innovation & Skills: “2014 Information Security Breaches Survey”
Somente 33% das vitimas descobriram as falhas de
segurança internamente. Mandiant: “2014 Threat Report: M-Trends - Beyond the Breach”
75% dos ataques exploraram vulnerabilidades
conhecidas publicamente e solucionáveis com
atualizações periódicas CyberEdgeGroup: “2014 CyberthreatDefense Report”
Segurança da Informação: Novos
paradigmas
SEGURANÇA DA INFORMAÇÃO é gerenciada com base em
LIDERANÇA ou CRISE...
...na ausência da LIDERANÇA,
só nos resta a CRISE.
Segurança da Informação: Caso Target
• Segunda maior rede de varejo
nos USA.
• Teve uma falha de segurança
crítica no final de 2013
• Origem: fornecedor de
sistemas de climatização.
• 40M de cartões de crédito e
outras 70M de informações
privadas foram roubadas.
• Prejuízo estimado: 61M
• CEO demitido em Maio de 2014.
Segurança da Informação: Boas práticas
Algumas coisas
não mudaram!
Segurança da Informação: Visão
Holística
Segurança
da
Informação
Políticas
Segurança da Informação: Ainda somos
míopes
Confidencialidade
Integridade Disponibilidade
Segurança da
Informação
Pessoas Processos Tecnologia
Segurança da Informação: Ainda somos
míopes
Confidencialidade
Integridade Disponibilidade
Segurança da
Informação
Pessoas Processos Tecnologia
Tecnologia
Segurança da Informação: Ainda somos
míopes
Confidencialidade
Integridade Disponibilidade
Segurança da
Informação
Pessoas Processos Tecnologia
Tecnologia O QUE ACONTECE COM A
MELHOR TECNOLOGIA
NAS MÃOS DE QUEM NÃO
ESTÁ PREPARADO?
Segurança da Informação: Ainda somos
míopes
Confidencialidade
Integridade Disponibilidade
Segurança da
Informação
Pessoas Processos Tecnologia
Tecnologia
Segurança da Informação: Ainda somos
míopes
Tecnologia
Segurança da Informação: Ainda somos
míopes
Tecnologia
Tecnologia é...
...a mera ponta...
...do iceberg.
Segurança da Informação: Ainda somos
míopes
Tecnologia
Processos
• Investimento inteligente
• Padrões Testados
• Visão Estratégica
• Formalização
• Seleção
• Capacitação
• Reciclagem
• Conscientização
Pessoas
Segurança da Informação: Estratégia
para cibersegurança
PREVER
• Ataques mais prováveis
• Alvos
• Métodos
• Medidas pró-ativas
RESPONDER
• Tratar rapidamente incidentes
• Minimizar perda
• Retorno a normalidade
PREVINIR
• Prevenir ou deter ataques
• Evitar perda
• Preparar ambiente tecnológico
• Educar usuários
• Princípios e Políticas
DETECTAR
• Identificar ataques não
prevenidos
• Resposta rápida e completa
• Monitoração de áreas chaves
• Identificar problemas, violações
e ataques
Segurança da Informação: Estratégia
para cibersegurança
PREVER
• Ataques mais prováveis
• Alvos
• Métodos
• Medidas pró-ativas
RESPONDER
• Tratar rapidamente incidentes
• Minimizar perda
• Retorno a normalidade
PREVINIR
• Prevenir ou deter ataques
• Evitar perda
• Preparar ambiente tecnológico
• Educar usuários
• Princípios e Políticas
DETECTAR
• Identificar ataques não
prevenidos
• Resposta rápida e completa
• Monitoração de áreas chaves
• Identificar problemas, violações
e ataques
Estratégia
de
Ciber
Segurança
Segurança da Informação: Gerenciando
riscos de maneira prática
AMEAÇAS MÉTODOS OBJETIVOS
Identificar ameaças mais prováveis,
métodos e objetivos.
Considere níveis aceitáveis de risco
e controles atuais.
Determinar os riscos mais críticos.
Segurança da Informação: Gerenciando
riscos de maneira prática
AMEAÇAS MÉTODOS OBJETIVOS
MOTIVADOS a causar
danos
CAPAZES de causar
danos INT
EN
SID
AD
E
RISCO
alto
baixo
Segurança da Informação: Gerenciando
riscos de maneira prática
Existem dois tipos de vítimas: As
que tem algo de valor e as que são
um alvo fácil.
Dica: se você tem algo de valor, não
seja um alvo fácil!
Conclusões
Pontos essenciais: Sem Liderança adequada, só nos resta a crise.
Otimize níveis de segurança. Atinja o necessário, nem mais nem menos.
Segurança é um ciclo contínuo. Gestão de Riscos é essencial.
Mais que nunca, é necessário uma visão holística da Segurança da Informação.
“Segurança sempre é vista como excessiva,
até o dia em que não é suficiente”
William H. Webster
Claudio Dodt, ISMAS, CISSP, CISA Diretor de Tecnologia
claudio.dodt@realiso.com
http://www.realiso.com.br
http://claudiododt.com
http://www.facebook.com/claudiododtcom
http://br.linkein/claudiododt
http://pt.slideshare.net/claudiododt