Os Novos Desafios da SI

Os Novos Desafios da SI

Estudo de Caso Prodam

Ameaças

◙

Spam chega a uma taxa de

90%

do total do volume

dos e-mails

◙

Uma média de

4 milhões

de novos zumbies são

criados por mês

◙ 2009

e

2010

foram os anos em que se bateram os

record das

ameaças baseadas em WEB

◙ E-mails

e

mensagens

são os principais vetores para

Ameaças

• Dispositivos Móveis

– Previsão de venda de Tablet PC

VAZAMENTO DE INFORMAÇÃO

NAVEGAÇÃO INAPROPRIADA

FALTA DE GERENCIAMENTO DE APLICAÇÕES

NECESSIDADE DE PROTEÇÃO DOS DADOS

FALTA DE COMPLIANCE

SEGURANÇA DO DISPOSITIVO (SENHA, TRAV)

CONTROLE DE ACESSO

Ameaças

Crescimento Exponencial da Mídias Sociais



Estima-se 750 milhões de usuários ativos no Facebook

Facebook Press Office, Aug 2011



“ Em 2014, as redes sociais vão substituir os e-mails

como principal forma de comunicação para 20% dos

usuários coorporativos.”

Fonte: Gartner, Fev2010



LinkedIn informa ter mais de 75 milhões de

professionais e cerca de um milhão de empresas

Fonte LinkedIn Press Office, August 25, 2010



You Tube registra 300 milhões de visitas e cinco

bilhões de streams de video por mês

Fonte CleanCut Media, February 2009

Responsabilidade e

Comprometimento

ISO/IEC 27.002 - PRODAM

POLÍTIC

ISO/IEC 27.002 - PRODAM

POLÍTIC

ISO/IEC 27.002 - PRODAM

Ges

tão

de

R

ISC

O

Definição do Contexto

Análise e Avaliação de

Riscos

Tratamento do Risco

Aceitação do Risco

Comun

ic

aç

ão

do Ri

sc

o

Moni

tor

ame

n

to

e A

náli

se

cr

íti

ca

de

Ri

sc

os

Avaliação satisfatória?

Tratamento satisfatório?

Ges

tão

de

R

ISC

O

Analise de Riscos

Ges

tão

de

R

ISC

O

Vulnerabilidades

Recomendações

Avaliação dos Riscos

PRI = prioridade para executar a ação corretiva;

CNS = consequência para os negócios se a não

conformidade não for resolvida;

CMP = comprometimento das atividades da empresa.

Graduação: 1 = muito baixo; 2 = baixo;

3 = médio; 4 = alto; 5 = muito alto

IGR = PRI x CNS x CMP

IGR - INDÍCE DE GRAVIDADE:

ATÉ 16 = BAIXO;

DE 18 ATÉ 30 = MÉDIO;

DE 32 A 50 = ALTO;

ISO/IEC 27.002 - PRODAM

Con

ISO/IEC 27.002 - PRODAM

Con

ISO/IEC 27.002 - PRODAM

Ges

tão

de

A

TIV

OS

ISO/IEC 27.002 - PRODAM

Ges

tão

de

In

ciden

tes

0

1

2

3

4

5

6

7

8

9

10

out/10 nov/10 dez/10 jan/11 fev/11 mar/11 abr/11 mai/11 jun/11 jul/11 ago/11 set/11 out/11

Incidentes reportados ao GTIS Prodam/mês

ISO/IEC 27.002 - PRODAM

Ges

tão

de

In

ciden

tes

32%

5%

7%

7%

22%

3%

7%

3%

2%

10%

2%

Incidentes Reportados ao GTIS Prodam

Out 2010 - Out 2011

Ataque de força Bruta Ameaça

ISO/IEC 27.002 - PRODAM

Con

tr

ole

de

Ac

esso

Gerenciamento de Segurança em Redes:

Controle de acesso à rede

cabeada

ISO/IEC 27.002 - PRODAM

Con

tr

ole

de

Ac

esso

• Gerenciamento de Senha;

• Gerenciamento de Privilégios;

• Controle de Acesso ao Sistema

Operacional nas Estações de Trabalho.

Gerenciamento de Acesso do Usuário:

ISO/IEC 27.002 - PRODAM

Ges

tão

de

Oper

ações

e

Comunic

ações

Correlacionamento de Eventos

Monitora efetivamente

• Reduz eventos para uma lista gerenciável de ações

• Análise automática distingue ataques reais e invasores

Reage em tempo real

• Uso de inteligência artificial

• Aumentar efetiva detecção de incidentes

• Reduz tempo de reação

Aprimora o monitoramento

ISO/IEC 27.002 - PRODAM

Segur

anç

a

Fís

ic

a

e

do

Ambien

te

Criação de Áreas Seguras:

Reforço nos Perímetros

de Segurança Física

ISO/IEC 27.002 - PRODAM

R

ecur

so

s

Hu

manos

Campanhas de Conscientização

– Prodam Security Day;

– Prodam Security Happy Hour;

– Semana da Qualidade e

Segurança.

Conclusão

• Segurança é Responsabilidade de Todos

• Objetivo da área de Segurança é a viabilização

da realização das atividades de forma segura

• Infraestrutura de serviços em implantação

DATA 21.11.2011 22.11.2011 23.11.2011 24.11.2011 25.11.2011 PA LE STR A S E H O R Á R IO S Credenciamento Horário: 13h30- 14h Abertura Horário: 14h – 14h15 P5 – Analise de Riscos e Gestão Vulnerabilidades Horário: 14h – 14h45

P9 – Segurança para Web 2.0 Horário: 14h – 14h45 P13 – A Nova Realidade do Crime Cibernético Horário: 14h – 14h45 P17 – Governança e Segurança da Informação Horário: 14h – 14h45 P24 – A Segurança da Informação e Comunicação na Administração Pública Horário: 14h15 – 15h P22 – Next Generation Firewalls Horário: 14h45 – 15h30 P2 – Segurança da Informação na Nuvem e em Ambientes Virtuais Horário: 14h45 – 15h30 P14 – Aceleração WAN Horário: 14h45 – 15h30 P18 – Sistema de Gestão Integrado: ISO 9000 e 27000

Horário: 14h45 – 15h30 P21 – Os Novos Desafios

da SI - Prodam

Horário: 15h – 15h30

Intervalo: 15h30-15h45 Intervalo: 15h30-15h45 Intervalo: 15h30-15h45 Intervalo: 15h30-15h45 Intervalo: 15h30-15h45

P11 – Agilidade na Qualidade de Software Horário: 15h45 - 16h45 P7 – Segurança em Dispositivos Móveis Horário: 15h45 - 16h45 P25 –Wireless Segura Horário: 15h45 - 16h45 P12 – Desenvolvimento Seguro Horário: 15h45 - 16h45 P19 –NBR ISO 9001:2008 Horário: 15h45 - 16h45 P4 – Indicadores da Qualidade e Segurança Horário: 16h45-17h30 P8 – Monitoramento e Gerenciamento de Ferramentas na Rede Horário: 16h45 - 17h30 P23 – NoSQL: onde, como e por quê? Cassandra e MongoDB Horário: 16h45 - 17h30 P16 – Correlacionamento de Eventos Horário: 16h45 - 17h30 P20 - Ferramentas da Qualidade Horário: 16h45 - 17h30

Referências

• The Social Media Effect on the Threat Landscape Security and

Control in a Web 2.0 World - Tim Roddy, Senior

Director, Product Marketing e Bob Wicklund, Enterprise

Solution Architect – McAfee; October 19, 2011

• Managing Personal Devices in the Workplace - Chenxi

Wang, Ph.D., Vice President, Principal Analyst; Forrester

Research, Inc. ; October 19, 2011

OBRIGADA!

Lílian Gibson Santos – SPINF

Heleno Ferreira - LIGOV