GRM 2014 - Unbounded Security:Aonde foi parar meu perímetro corporativo e como protege-lo?

Unbounded Security: Aonde foi parar meu perímetro corporativo e como protege-lo?

Cláudio Dodt, CISA, CISSP, CRISC, ISMAS

Diretor de Tecnologia

[email protected]

Segurança da

Informação:

Como era?

Segurança da Informação: Quebrando

paradigmas


paradigmas

Informação Perímetro

Corporativo

Informações dentro

do perímetro


paradigmas

Ameaças fora...

AM

EA

ÇA

S


paradigmas

Segurança da

Informação:

Cenário HOJE


paradigmas

Você realmente sabe onde estão

seus dados corporativos?


paradigmas

Ameaças?

Por todo lado!

Vazamentos

Fraude Sabotagem

Segurança da Informação:

Comportamento e Consumerização

Homem Vitruviano - Leonardo da Vinci - 1490

Segurança da Informação:

Comportamento e Consumerização

Homem Consumeriano - 2017

Tecnologias

Vestíveis!

Estamos

Preparados?

• Wireless do desfibrilador

desativado.

• Medo de ciberterroristas.

Dick Cheney

Segurança da Informação: Tecnologia e

Comportamento – Tendencias

• Wireless do desfibrilador

desativado.

• Medo de ciberterroristas.

Dick Cheney

Segurança da Informação: Tecnologia e

Comportamento – Tendencias

Se considerarmos um ciclo de adoção

parecido ao de smartphones e tablets...

Aproximadamente 171 milhões de

dispositivos devem estar nas mãos dos

consumidores por volta de 2016.

Segurança da Informação: Novos

paradigmas

O que mudou

realmente?


paradigmas

54% das organizações reportaram aumento nas ameaças

externas. Ernst & Young: “Global Information Security Survey 2013”

81% das grandes organizações sofreram falhas de

segurança no último ano. Department for Business Innovation & Skills: “2014 Information Security Breaches Survey”

Somente 33% das vitimas descobriram as falhas de

segurança internamente. Mandiant: “2014 Threat Report: M-Trends - Beyond the Breach”

75% dos ataques exploraram vulnerabilidades

conhecidas publicamente e solucionáveis com

atualizações periódicas CyberEdgeGroup: “2014 CyberthreatDefense Report”


paradigmas

SEGURANÇA DA INFORMAÇÃO é gerenciada com base em

LIDERANÇA ou CRISE...

...na ausência da LIDERANÇA,

só nos resta a CRISE.

Segurança da Informação: Caso Target

• Segunda maior rede de varejo

nos USA.

• Teve uma falha de segurança

crítica no final de 2013

• Origem: fornecedor de

sistemas de climatização.

• 40M de cartões de crédito e

outras 70M de informações

privadas foram roubadas.

• Prejuízo estimado: 61M

• CEO demitido em Maio de 2014.

Segurança da Informação: Boas práticas

Algumas coisas

não mudaram!

Segurança da Informação: Visão

Holística

Segurança

da

Informação

Políticas

Segurança da Informação: Ainda somos

míopes

Confidencialidade

Integridade Disponibilidade

Segurança da

Informação

Pessoas Processos Tecnologia


míopes

Confidencialidade


Segurança da

Informação


Tecnologia


míopes

Confidencialidade


Segurança da

Informação


Tecnologia O QUE ACONTECE COM A

MELHOR TECNOLOGIA

NAS MÃOS DE QUEM NÃO

ESTÁ PREPARADO?


míopes

Confidencialidade


Segurança da

Informação


Tecnologia


míopes

Tecnologia


míopes

Tecnologia

Tecnologia é...

...a mera ponta...

...do iceberg.


míopes

Tecnologia

Processos

• Investimento inteligente

• Padrões Testados

• Visão Estratégica

• Formalização

• Seleção

• Capacitação

• Reciclagem

• Conscientização

Pessoas

Segurança da Informação: Estratégia

para cibersegurança

PREVER

• Ataques mais prováveis

• Alvos

• Métodos

• Medidas pró-ativas

RESPONDER

• Tratar rapidamente incidentes

• Minimizar perda

• Retorno a normalidade

PREVINIR

• Prevenir ou deter ataques

• Evitar perda

• Preparar ambiente tecnológico

• Educar usuários

• Princípios e Políticas

DETECTAR

• Identificar ataques não

prevenidos

• Resposta rápida e completa

• Monitoração de áreas chaves

• Identificar problemas, violações

e ataques

Segurança da Informação: Estratégia

para cibersegurança

PREVER

• Ataques mais prováveis

• Alvos

• Métodos

• Medidas pró-ativas

RESPONDER

• Tratar rapidamente incidentes

• Minimizar perda

• Retorno a normalidade

PREVINIR

• Prevenir ou deter ataques

• Evitar perda

• Preparar ambiente tecnológico

• Educar usuários

• Princípios e Políticas

DETECTAR

• Identificar ataques não

prevenidos

• Resposta rápida e completa

• Monitoração de áreas chaves

• Identificar problemas, violações

e ataques

Estratégia

de

Ciber

Segurança

Segurança da Informação: Gerenciando

riscos de maneira prática

AMEAÇAS MÉTODOS OBJETIVOS

Identificar ameaças mais prováveis,

métodos e objetivos.

Considere níveis aceitáveis de risco

e controles atuais.

Determinar os riscos mais críticos.



AMEAÇAS MÉTODOS OBJETIVOS

MOTIVADOS a causar

danos

CAPAZES de causar

danos INT

EN

SID

AD

E

RISCO

alto

baixo



Existem dois tipos de vítimas: As

que tem algo de valor e as que são

um alvo fácil.

Dica: se você tem algo de valor, não

seja um alvo fácil!

Conclusões

Pontos essenciais: Sem Liderança adequada, só nos resta a crise.

Otimize níveis de segurança. Atinja o necessário, nem mais nem menos.

Segurança é um ciclo contínuo. Gestão de Riscos é essencial.

Mais que nunca, é necessário uma visão holística da Segurança da Informação.

“Segurança sempre é vista como excessiva,

até o dia em que não é suficiente”

William H. Webster

Claudio Dodt, ISMAS, CISSP, CISA Diretor de Tecnologia

[email protected]

http://www.realiso.com.br

http://claudiododt.com

http://www.facebook.com/claudiododtcom

http://br.linkein/claudiododt

http://pt.slideshare.net/claudiododt

GRM 2014 - Unbounded Security:Aonde foi parar meu perímetro corporativo e como protege-lo?

Technology

Transcript of GRM 2014 - Unbounded Security:Aonde foi parar meu perímetro corporativo e como protege-lo?