Post on 21-Mar-2017
Information Security – Surviving a poor cybersecurity corporate
cultureCláudio Dodt, CISSP
Segurança da Informação – Sobrevivendo a uma cultura de cibersegurança
corporativa fracaCláudio Dodt, CISSP
CULTURA CORPORATIVA
01.
Antes de tudo vamos falar um pouco sobre...
VALORES
IDEOLOGIA...o que é “CULTURA”?
CONVIÇÃO
IDENTIDADE
...o que é “CULTURA”?
É um hábito... ...de GRUPO!
...o que é “CULTURA”?
Que tem profundas raízes...
Nas mentes e corações.
...o que é “CULTURA”?
CULTURA CORPORATIVA É O AMBIENTE ONDE
SUA ESTRATÉGIA E SUA MARCA FLORECEM...
....OU MORREM.
CULTURA devora ESTRATÉGIA no café da manhã*...*
Pete
r Dru
cker
...repete no almoço, jantar e ainda pede sobremesa.
* Pe
ter D
ruck
er
CULTURA devora ESTRATÉGIA no café da manhã*...
CULTURA CORPORATIVA é talvez um dos mais
importantes controles de CIBERSEGURANÇA.
POR QUE É TÃO NEGLICENCIADA?
Confidencialidade
Integridade Disponibilidade
Segurançada
Informação
Pessoas Processos Tecnologia
Confidencialidade
Integridade Disponibilidade
Segurançada
Informação
Pessoas Processos
Tecnologia
Tecnologia
Processos
PessoasCultura
Corporativa
DÚVIDA:COMO VOU SOBREVIVER A UM AMBIENTE COM UMA CULTURA CORPORATIVA POBRE EM CIBERSEGURANÇA?
RESPOSTA:NÃO VAI!
EXEMPLOS PRÁTICOS
02.
• Segunda maior rede de varejo nos USA.
• Vítima de uma invasão no Natal de 2013.
• Entrada: fornecedor de sistemas de climatização.
• Resultado: 40 Milhões de cartões de crédito e outras 70 Milhões de informações pessoais/privadas foram roubadas.
A Target possuia uma das melhores ferramentas para detecção de malware e um time de segurança tabalhando 24 horas.
Os invasores foram detectados e alarmes enviados. O que foi feito?
ABSOLUTAMENTE NADA.
Só foram tomadas ações 2 semanas após a invasão inicial.
Meses antes do ataque o time de segurança da Target havia informado sobre possíveis vulnerabilidades.
As preocupações do time de segurança foram prontamente ignoradas.
Enquanto isso, na alta direção...*
on th
e pu
lse
info
rmat
ion
secu
rity
risk
in a
mer
ican
bus
ines
s
Enquanto isso, na alta direção...*
on th
e pu
lse
info
rmat
ion
secu
rity
risk
in a
mer
ican
bus
ines
s
*
MUDANDO A MENTALIDADE
03.
Diferentes mentalidades
Diferentes mentalidades
Diferentes mentalidades
culturacorpoativaculturacorpoativaculturacorpoativaculturacorpoativaculturacorpoativaculturacorpoativa
culturacorpoativaculturacorpoativaculturacorpoativaculturacorpoativaculturacorpoativaculturacorpoativa
Desafios de uma cultura de CIBERSEGURANÇA
• Quase nunca é parte natural da CULTURA CORPORATIVA;• Dificuldades em se conseguir um orçamento factível;• Ainda é vista como uma responsabilidade primariamente de TI;• Falha na percepção de motivadores internos/externos;• Apetite de risco mal definido ou mal interpretado.
7 passos para o sucesso!1. Busque o apoio da Alta Direção.
2. Torne o tema “Segurança da Informação” algo real!
3. Use cada oportunidade para disseminar a nova cultura corporativa.
4. O marketing é seu amigo. Não sabe fazer? Peça ajuda!
5. Defina metas factíveis e acompanhe resultados constantemente.
6. Quanto antes abordar o tema com novos colaboradores, melhor! Mas não esqueça os veteranos!
7. Já ouviu falar da teoria das “janelas quebradas”? Pequenos incidentes devem ser tratados.
Perguntas?
Obrigado!
Para saber mais
• How to build and maintain security culture in any organization (http://pt.slideshare.net/kairoer/security-culturepres-issaca2014)
• Culture eats strategy for breakfast(http://www.slideshare.net/tobiasdahlberg1/culture-eats-strategy-for-breakfast-by-tobias-Dahlberg)
• On The Pulse: Information Security Risk in American Business (http://www.strozfriedberg.com/mediaevents/publications/on-the-pulse-information-security-risk-in-american-business)
• Missed Alarms and 40 Million Stolen Credit Card Numbers: How Target Blew It (http://www.bloomberg.com/bw/articles/2014-03-13/target-missed-alarms-in-epic-hack-of-credit-card-data)
• Target Warned of Vulnerabilities Before Data Breach (http://www.wsj.com/news/articles/SB10001424052702304703804579381520736715690)
• Target missed multiple warnings that credit card data breach was underway (https://nakedsecurity.sophos.com/2014/03/14/target-missed-multiple-warnings-that-credit-card-data-breach-was-underway/)