Post on 09-Jun-2015
Gestão de Riscos
da Segurança da
Informação – Uma
questão Estratégica
Danilo Penna
danilo.penna@setibt.com
16-9101 2744
Desafios da Segurança da Informação.
Por quê e como a gestão de risco pode beneficiar o
negócio?
O processo de avaliação de riscos da SETi.
Agenda
Por que o mercado de segurança é dinâmico?
Ameaças
Novos Produtos
Lei de Moore
Troca de Dispositivos
Mudanças Constantes
Novas Tecnologias
Segurança de Rede
Segurança de Dados
Monitoramento de Segurança
Consumerização / Mobilidade
Gerenciamento de Identidade e Acesso
Segurança em Nuvem
Continuidade de Negócios e Recuperação de Desastres
Privacidade
Governança e Gestão de Risco
Maturidade de Segurança da Informação
Desafios de Segurança da Informação
Segurança de Rede
http://www.crn.com/news/networking/240007163/godaddy-outage-caused-by-network-failure-not-anonymous-hack.htm
Segurança de Dados
http://arstechnica.com/security/2012/07/yahoo-service-hacked/
Segurança em Nuvem
http://news.cnet.com/8301-1023_3-57537499-93/amazon-cloud-outage-impacts-reddit-airbnb-flipboard/
Continuidade de Negócios e Recuperação de Desastres
http://www.zdnet.com/hurricane-sandy-knocks-out-nyc-data-centers-websites-services-down-7000006588/
Privacidade
http://www.estadao.com.br/noticias/vidae,mec-vai-apurar-vazamento-de-dados-de-inscritos-no-enem,590248,0.htm
Governança e Gestão de Risco
http://www.institutocarbonobrasil.org.br/noticias2/noticia=731533
Internos
Intencionais
Não Intencionais
Externos
Intencionais
Não Intencionais
Quem são os atacantes?
Quem são os atacantes?
Origem dos ataques que causaram um maior impacto, financeiro ou não
Objetivos mais comuns de atacantes internos
Cyber ataques
Engenharia social
Download de conteúdo malicioso pela Internet
Vazamento de Informação
Atividades ilegais
Principais ameaças internas
http://www.zdnet.com/the-top-five-internal-security-threats-3039363097/
Como e por que a gestão de risco pode beneficiar o negócio?
Como?
Conhecimento e visão geral do ambiente de TI
Transparência
Auxilia em tomada de decisões estratégicas
Reduz a subjetividade
Por quê?
Identificar riscos de segurança antes
que sejam explorados, ou seja de forma
preventiva.
Por quê?
Identificar, avaliar
e priorizar os
riscos e requisitos
de segurança da
organização.
Por quê?
Priorizar e justificar
os investimentos em
segurança da
informação de forma
clara e transparente.
O Processo de análise de riscos da SETi
Baseado na ISO 27005
Consiste em 7 Fases
CARACTERIZAÇÃO DO AMBIENTE DE TI
IDENTIFICAÇÃO DOS RISCOS
ANÁLISE DOS CONTROLES
DETERMINAÇÃO DA PROBABILIDADE DO RISCO
ANÁLISE DO IMPACTO
DETERMINAÇÃO DO RISCO
RECOMENDAÇÕES
O Processo de análise de riscos da SETi
WWW.SETI.INF.BR
R JOÃO PENTEADO 60
RIBEIRÃO PRETO SP
3505-3777
Obrigado!