de Segurança da Informação
RIO DE JANEIRO, 17 DE AGOSTO DE 2009
Papel na Sociedade
Papel na Sociedade
• Organização Internacional sem fins lucrativos de Profissionais de
Segurança da Informação
Papel na Sociedade
• Organização Internacional sem fins lucrativos de Profissionais de
Segurança da Informação
Papel na Sociedade
• Organização Internacional sem fins lucrativos de Profissionais de
Segurança da Informação
Estrutura Operacional
Papel na Sociedade
• Organização Internacional sem fins lucrativos de Profissionais de
Segurança da Informação
Estrutura Operacional
• Mais de 10 mil membros distribuídos em 136 Capítulos
Papel na Sociedade
• Organização Internacional sem fins lucrativos de Profissionais de
Segurança da Informação
Estrutura Operacional
• Mais de 10 mil membros distribuídos em 136 Capítulos
• Presente em 70 países
Papel na Sociedade
• Organização Internacional sem fins lucrativos de Profissionais de
Segurança da Informação
Estrutura Operacional
• Mais de 10 mil membros distribuídos em 136 Capítulos
• Presente em 70 países
• Descontos e promoções em
eventos e atividades do setor
• Descontos e promoções em
eventos e atividades do setor
Proteção da Informação
Proteção da Informação
• Início durante as primeiras civilizações
Proteção da Informação
• Início durante as primeiras civilizações
Proteção da Informação
• Início durante as primeiras civilizações
Segurança da Informação
Proteção da Informação
• Início durante as primeiras civilizações
Segurança da Informação
• Competências militares durante a II Guerra Mundial
Proteção da Informação
• Início durante as primeiras civilizações
Segurança da Informação
• Competências militares durante a II Guerra Mundial
Proteção da Informação
• Início durante as primeiras civilizações
Segurança da Informação
• Competências militares durante a II Guerra Mundial
Captain
Cruch
1970
Cena Hacker
Primeiros
esforços para
um modelo de
IT Security
Captain The
Cruch 414s
1970 1980
Cena Hacker Furtos on-line Cena Cracker ILOVEYOU DPF e DPC Crime Organizado
Proteção da Infra-estrutura
Proteção da Infra-estrutura
• Legislações específicas e normas reguladoras
Proteção da Infra-estrutura
• Legislações específicas e normas reguladoras
Proteção da Infra-estrutura
• Legislações específicas e normas reguladoras
Proteção da Infra-estrutura
• Legislações específicas e normas reguladoras
Proteção da Infra-estrutura
• Legislações específicas e normas reguladoras
Proteção da Infra-estrutura
• Legislações específicas e normas reguladoras
Proteção da Sociedade
Proteção da Infra-estrutura
• Legislações específicas e normas reguladoras
Proteção da Sociedade
• Conteúdo variado disponível na Internet
Proteção da Infra-estrutura
• Legislações específicas e normas reguladoras
Proteção da Sociedade
• Conteúdo variado disponível na Internet
Estrutura
Estrutura
• Alinhamento de necessidades de performance com requisitos de
segurança para os ativos da organização
Estrutura
• Alinhamento de necessidades de performance com requisitos de
segurança para os ativos da organização
Estrutura
• Alinhamento de necessidades de performance com requisitos de
segurança para os ativos da organização
Estrutura
• Alinhamento de necessidades de performance com requisitos de
segurança para os ativos da organização
Abordagem
Estrutura
• Alinhamento de necessidades de performance com requisitos de
segurança para os ativos da organização
Abordagem
• Nível de Segurança atual x Modelo Planejado
Estrutura
• Alinhamento de necessidades de performance com requisitos de
segurança para os ativos da organização
Abordagem
• Nível de Segurança atual x Modelo Planejado
Estrutura
• Alinhamento de necessidades de performance com requisitos de
segurança para os ativos da organização
Abordagem
• Nível de Segurança atual x Modelo Planejado
Definição
Definição
• GRC é um termo que tem crescido nas discussões sobre
IT Security nas organizações
Definição
• GRC é um termo que tem crescido nas discussões sobre
IT Security nas organizações
Responsabilidade do
Corpo Executivo
Governança
Gestão de níveis
Responsabilidade do
aceitáveis pela
Corpo Executivo
Organização
Governança Risco
Governança
Risco
Compliance
Risco
Compliance
• Performance x Segurança
• Aceite de controles compensatórios
Risco • Parceiros e fornecedores
Compliance
• Performance x Segurança
• Aceite de controles compensatórios
Risco • Parceiros e fornecedores
Controles Documentais
• Políticas de Segurança
• Normas de Uso
• Padrões Técnicos
Definição
Definição
• Estabelecem os critérios que devem ser aplicados na proteção das
informações da Organização
Definição
• Estabelecem os critérios que devem ser aplicados na proteção das
informações da Organização
Modelos
Definição
• Estabelecem os critérios que devem ser aplicados na proteção das
informações da Organização
Modelos
• Legislação e Regulamentações específicas
Definição
• Estabelecem os critérios que devem ser aplicados na proteção das
informações da Organização
Modelos
• Legislação e Regulamentações específicas
Definição
• Estabelecem os critérios que devem ser aplicados na proteção das
informações da Organização
Modelos
• Legislação e Regulamentações específicas
Definição
Definição
• Definem como os processos internos devem ser desenvolvidos para
atender os critérios estabelecidos para a proteção das informações da
Organização
Definição
• Definem como os processos internos devem ser desenvolvidos para
atender os critérios estabelecidos para a proteção das informações da
Organização
Modelos
Definição
• Definem como os processos internos devem ser desenvolvidos para
atender os critérios estabelecidos para a proteção das informações da
Organização
Modelos
• Postura administrativa e gerencial
Definição
• Definem como os processos internos devem ser desenvolvidos para
atender os critérios estabelecidos para a proteção das informações da
Organização
Modelos
• Postura administrativa e gerencial
Definição
• Definem como os processos internos devem ser desenvolvidos para
atender os critérios estabelecidos para a proteção das informações da
Organização
Modelos
• Postura administrativa e gerencial
Definição
Definição
• Realizam o enforcement necessário para que os processos internos
sejam desenvolvidos atendendo os critérios estabelecidos para a
proteção das informações da Organização
Definição
• Realizam o enforcement necessário para que os processos internos
sejam desenvolvidos atendendo os critérios estabelecidos para a
proteção das informações da Organização
Modelos
Definição
• Realizam o enforcement necessário para que os processos internos
sejam desenvolvidos atendendo os critérios estabelecidos para a
proteção das informações da Organização
Modelos
• Hardware e Software dedicados
Definição
• Realizam o enforcement necessário para que os processos internos
sejam desenvolvidos atendendo os critérios estabelecidos para a
proteção das informações da Organização
Modelos
• Hardware e Software dedicados
Definição
• Realizam o enforcement necessário para que os processos internos
sejam desenvolvidos atendendo os critérios estabelecidos para a
proteção das informações da Organização
Modelos
• Hardware e Software dedicados
Controle de Acesso
Físico
Controle de Acesso
Físico
Controle de Acesso
na Rede de Dados
Controle de Acesso
na Rede de Dados
Criptografia de
Arquivos
Controle de Acesso
na Rede de Dados
Criptografia de
Arquivos
Como administrar
Controle de Acesso este modelo?
na Rede de Dados
Modelo Comum
Modelo Comum
• Estabelecimento de uma política de segurança baseada em normas de
mercado e com medidas restritivas
Modelo Comum
• Estabelecimento de uma política de segurança baseada em normas de
mercado e com medidas restritivas
Modelo Comum
• Estabelecimento de uma política de segurança baseada em normas de
mercado e com medidas restritivas
Problemas Identificados
Modelo Comum
• Estabelecimento de uma política de segurança baseada em normas de
mercado e com medidas restritivas
Problemas Identificados
• Não existe um modelo pronto para cada Organização
Modelo Comum
• Estabelecimento de uma política de segurança baseada em normas de
mercado e com medidas restritivas
Problemas Identificados
• Não existe um modelo pronto para cada Organização
Modelo Comum
• Estabelecimento de uma política de segurança baseada em normas de
mercado e com medidas restritivas
Problemas Identificados
• Não existe um modelo pronto para cada Organização
6750
4500
2250
0
2000 2001 2002 2003 2004 2005 2006 2007 2008
6750
4500
2250
0
2000 2001 2002 2003 2004 2005 2006 2007 2008
$3,000,000,000.00
$2,000,000,000.00
$1,000,000,000.00
$0
2000 2002 2004 2006 2008
Ponto de Atenção
Ponto de Atenção
• Não existe um modelo de política pronto para cada Organização
Ponto de Atenção
• Não existe um modelo de política pronto para cada Organização
Recomendações
Ponto de Atenção
• Não existe um modelo de política pronto para cada Organização
Recomendações
• Equilíbrio entre atendimento a aderência requerida com o que a
Organização efetivamente pode gerenciar
Ponto de Atenção
• Não existe um modelo de política pronto para cada Organização
Recomendações
• Equilíbrio entre atendimento a aderência requerida com o que a
Organização efetivamente pode gerenciar
Ponto de Atenção
• Não existe um modelo de política pronto para cada Organização
Recomendações
• Equilíbrio entre atendimento a aderência requerida com o que a
Organização efetivamente pode gerenciar
Recomendações
Recomendações
• Processos devem ser alterados de forma gradual e adaptados à
realidade de cada Organização, nunca o contrário
Recomendações
• Processos devem ser alterados de forma gradual e adaptados à
realidade de cada Organização, nunca o contrário
Recomendações
• Processos devem ser alterados de forma gradual e adaptados à
realidade de cada Organização, nunca o contrário
Ponto de Atenção
Ponto de Atenção
• Postura em relação ao cumprimento dos controles
estabelecidos
Ponto de Atenção
• Postura em relação ao cumprimento dos controles
estabelecidos
Recomendações
Ponto de Atenção
• Postura em relação ao cumprimento dos controles
estabelecidos
Recomendações
• Os controles técnicos, assim como os demais, não
são restritos ao universo de TI da Organização
Ponto de Atenção
• Postura em relação ao cumprimento dos controles
estabelecidos
Recomendações
• Os controles técnicos, assim como os demais, não
são restritos ao universo de TI da Organização
Ponto de Atenção
• Postura em relação ao cumprimento dos controles
estabelecidos
Recomendações
• Os controles técnicos, assim como os demais, não
são restritos ao universo de TI da Organização
Tecnologia Negócio
Tecnologia Negócio
Reativa Adequada
Tecnologia Negócio
Reativa Adequada
Correção Prevenção
Tecnologia Negócio
Reativa Adequada
Correção Prevenção
Isolada Integrada
Tecnologia Negócio
Reativa Adequada
Correção Prevenção
Isolada Integrada
Administração Gestão