2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
A evoluccedilatildeo da seguranccedila e os desafios atuais
Brasiacutelia 27 de outubro de 2004
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
bull Missatildeo de Seguranccedila da Informaccedilatildeo
bull Visatildeo de Seguranccedila da Informaccedilatildeo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ecossistema Transacional Banco
Faacutebrica
Comprador A
Comprador B
vender
pagarreceber
pagar
Transportadores Comerciantes
Empresas
intermediar
A integraccedilatildeo das cadeias transacionais aumenta a exposiccedilatildeo de informaccedilotildees e dados e consequumlentemente os riscos digitais
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ecossistema Digital
bull A utilizaccedilatildeo crescente de tecnologias
eletrocircnicas digitais para aquisiccedilatildeo
processamento comunicaccedilatildeo e
armazenamento de dados e informaccedilotildees
exige o estabelecimento de MARCOS de
referecircncia visando assegurar
- Disponibilidade Integridade - Confiabilidade Autenticidade - Privacidade - Natildeo discriminaccedilatildeo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ecossistema Digital ndash Nossa Visatildeo
Haacute um ambiente propiacutecio agrave praacutetica de fraudes com o emprego de tecnologias da informaccedilatildeo (computadores em rede)
Natildeo estamos preparadas para combater estas praacuteticas pois na maioria dos casos os agentes fraudadores atuam internamente
A penetraccedilatildeo da Internet e o crescimento do seu uso atraveacutes do comeacutercio eletrocircnico e internet banking potencializam o problema
Os principais ativos migraram para o ambiente digital Conhecimento ndash Informaccedilotildees ndash Dados ndash Processos ndash Comunicaccedilotildees
Os ambientes digitais empregados satildeo inseguros por natureza micros redes locais e principalmente a Internet
Os sistemas de informaccedilotildees natildeo implementam controles adequados de seguranccedila e de detecccedilatildeo de fraudes
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Privacidade
Espionagem
Violaccedilatildeo da Propriedade Intelectual
Concorrecircncia desleal
Fraudes
Pirataria
Perdas e danos
Falsificaccedilotildees
Furto
Sabotagem Digital
Ciber Terrorismo
Guerra Ciberneacutetica
Ecossistema Digital ndash Ameaccedilas e Desafios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ameaccedilas Digitais
bull As ameaccedilas podem ser as mesmas mas o
CYBER-ESPACcedilO muda tudo bull A INTERNET possui 3 caracteriacutesticas novas
que tornam isso uma verdade Qualquer uma delas eacute ruim as 3 juntas satildeo horrorizantes
AUTOMACcedilAtildeO ACcedilAtildeO A DISTAcircNCIA e PROPAGACcedilAtildeO DA TEacuteCNICA
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Por que Seguranccedila
bull Evitar fraudes e perdas
bull Viabilizar aplicaccedilotildees e tecnologias
bull Atender agecircncias reguladoras
ndash Governanccedila Corporativa
ndash Conformidade
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Seguranccedila da Informaccedilatildeo no Brasil
bull Brasil maior nuacutemero de hackers
bull Projetos inovadores
ndash Eleiccedilotildees SPB Imposto de Renda Sistema financeiro
ndash ICP Brasil
bull Legislaccedilatildeo em desenvolvimento
ndash Especiacutefica
ndash Novo Coacutedigo Civil
bull Fortalecimento da atuaccedilatildeo de agecircncias
reguladoras
ndash Banco Central TCU CVM CFM
ndash Modelo da concessatildeo
bull Fortalecimento da accedilatildeo policial e judiciaacuteria
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Seguranccedila da Informaccedilatildeo no Brasil
bull + Inovaccedilatildeo
bull + Heterogeneidade
bull + Ataques
bull Legislaccedilatildeo
bull Accedilotildees policiais e de defesa especializados
bull Agecircncias de governo especializadas
bull Colaboraccedilatildeo entre as partes
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Os Desafios de Seguranccedila estatildeo
Crescendo
1 O ambiente de TI estaacute cada vez mais complexo
2 As accedilotildees de seguranccedila precisam estar integradas com a
legislaccedilatildeo e regulamentaccedilatildeo
3 A seguranccedila da informaccedilatildeo natildeo eacute soacute em computadores
4 Estaacute aumentando o valor financeiro da rede
5 O crime organizado tem aumentado sua atividade no meio
eletrocircnico
6 As tecnologias de ataque estatildeo se integrando
7 Crimes satildeo aleacutem-fronteiras
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Seguranccedila Tecnoloacutegica
Por que a Seguranccedila estaacute em Crescimento
1 O ambiente de TI estaacute cada vez mais
ndash Complexo
ndash Amplo
ndash Heterogecircneo
ndash Compacto multimiacutedia consumindo menos energia utilizando o
protocolo TCP-IP integrado com a rede de celulares
2 As accedilotildees de seguranccedila precisam estar integradas com a
legislaccedilatildeo e regulamentaccedilatildeo
ndash Responsabilidade Civil dos administradores e teacutecnicos
ndash Atendimento a Agecircncias Reguladoras
ndash Gestatildeo de Seguranccedila atraveacutes de normas e padrotildees
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Seguranccedila Tecnoloacutegica
Por que a Seguranccedila estaacute em Crescimento
3 A seguranccedila da informaccedilatildeo natildeo eacute soacute em computadores
deve considerar
ndash Sistemas de Telecomunicaccedilotildees
ndash Papel
ndash Conversas ndash pessoais e ao telefone
ndash Roubo de equipamentos
ndash Indeterminado
4 Estaacute aumentando o valor financeiro da rede
ndash Transaccedilotildees financeiras pela Internet
ndash Transaccedilotildees financeiras em sistemas internos
ndash Relacionamento pessoal
ndash Armazenamento de informaccedilotildees de valor
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Seguranccedila Tecnoloacutegica
Por que a Seguranccedila estaacute em Crescimento
5 O crime organizado tem aumentado sua atividade no
meio eletrocircnico
ndash Para usar novas tecnologias em crimes convencionais
ndash Para novos crimes tecnoloacutegicos
6 As tecnologias de ataque estatildeo se integrando
ndash Viacuterus Spam Spyware Invasatildeo
7 Crimes satildeo aleacutem-fronteiras
ndash CoreacuteiaBanda Larga ChinaQuantidade IndiaIPv6
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ameaccedilas Digitais
Novas Condutas
bull Acesso Indevido ao sistema de computador
bull Violaccedilatildeo ao sistema de computador
bull Furto de informaccedilotildees
bull Falsificaccedilatildeo de documentos com o uso do computador
bull Dano aos dados e informaccedilotildees arquivadas
bull Obtenccedilatildeo de segredos industriaiscomerciais
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ameaccedilas Digitais
Novas Condutas
bull Furto de tempo do sistema de informaacutetica
bull Coacutepia de programa
bull Violaccedilatildeo do Direito Autoral
bull Espionagem
bull Interceptaccedilatildeo indevida de informaccedilatildeo
bull Violaccedilatildeo de bases de dados pessoais
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
10 Anos de Spam
bull Dados divulgados mensalmente pela MessageLabs (empresa de filtragens de e-mails) mostra que em marccedilo deste ano 53 dos e-mails eram SPAM Em agosto uacuteltimo esse iacutendice foi de 842 tendo chegado a 945 em julho2004
SPAM
0
10
20
30
40
50
60
70
80
90
100
Marccedilo Abril Maio Junho Julho Agosto
SPAM
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Convergecircncia
bull Convergecircncia SPAM se tornou SCAM usando teacutecnicas de SPAM para propagar trojans e viacuterus
bull Criadores de viacuterus mais teacutecnicos motivaccedilatildeo era reconhecimento na ldquocomunidaderdquo
bull Spammers menos teacutecnicos focados no lucro
bull Novo cenaacuterio spammers mais teacutecnicos e criadores de viacuterus focados no lucro
bull Viacuterus criados com o objetivo de ajudar a espalhar mensagens ndash spam (ou controlar ativamente maacutequinas contaminadas) - DDoS
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Convergecircncia
bull Golpes financeiros na Internet combinam vaacuterias teacutecnicas
ndash SPAM no envio da mensagem
ndash Viacuterus na criaccedilatildeo e instalaccedilatildeo do Trojan
ndash Engenharia social
ndash Lavagem de dinheiro (pagamento de contas)
ndash Fraudes no comeacutercio eletrocircnico
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Por que proteger as informaccedilotildees
bull Perdas financeiras bull Comprometimento da imagem bull Perdas de clientes bull Perda de vantagem competitiva
O vazamento de informaccedilotildees pode causar
70 dos problemas de seguranccedila satildeo causados por desconhecimento dos procedimentos
2002 CSIFBI Computer Crime and Security Survey
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Instalaccedilatildeo
inadequada de
Software e
Hardware
Fontes das ameaccedilas
Acessos natildeo
autorizados a
sistemas
Vazamento de
Informaccedilotildees
Paralisaccedilatildeo dos
processos Descuido com
equipamentos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Engenharia Social
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Gerenciamento de Seguranccedila da Informaccedilatildeo
Metodologias de SI e Controle de Acesso
Seguranccedila em Redes e Telecomunicaccedilotildees
BCM (BIA BCP DRP)
Seguranccedila Fiacutesica das aacutereas de TI
Seguranccedila de Aplicaccedilotildees sistemas etc
Seguranccedila de Operaccedilotildees
Forensics (Leis Investigaccedilotildees e eacutetica)
Criptografia
Estruturaccedilatildeo da Aacuterea de
Seguranccedila da Informaccedilatildeo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
CBK ndash Common Body of Knowledge do (ISC)2
1 Metodologia e Sistemas de Controle de Acesso
2 Seguranccedila em Redes e Telecomunicaccedilotildees
3 Praacuteticas de Gerenciamento de Seguranccedila da Informaccedilatildeo
4 Seguranccedila de Aplicaccedilotildees sistemas (desenvolvimento e manutenccedilatildeo)
5 Uso controle e aplicaccedilatildeo de criptografia e PKI
6 Modelos e Arquitetura de Seguranccedila
7 Seguranccedila de Operaccedilotildees
8 Continuidade - BCM (BIA BCP DRP)
9 Forensics (Leis Investigaccedilotildees e Eacutetica)
10 Seguranccedila Fiacutesica das aacutereas de TI
Disciplinas de Seguranccedila da Informaccedilatildeo segundo o (ISC)2
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Novo Cenaacuterio Corporativo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Governanccedila Corporativa Gerenciamento do Risco Operacional
Conformidade
Qual a influecircncia da seguranccedila em TICs nesse novo cenaacuterio
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Novas necessidades regulatoacuterias
bull Gramm-Leach-Bliley Act (Privacidade das informaccedilotildees
financeiras) bull HIPAA - Health Insurance Portability and
Accountability Act (Privacidade das informaccedilotildees de sauacutede)
bull Sarbanes-Oxley (Retenccedilatildeo de informaccedilotildees contaacutebeis (principalmente))
bull Basileacuteia II (bancos)
bull Novo Coacutedigo Civil Brasileiro
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Novo papel do administrador de TI
Retenccedilatildeo de documentos eacute diferente
de backup
- faxes e-mails instant messages
- TODAS as versotildees de documentos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
- NBR ISOIEC 17799 e
- BS 7799-2
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
Seguranccedila em TICs
=
Tecnologia
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
Seguranccedila
=
Processo
Seguranccedila eacute processo tecnologia eacute ferramenta
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
O elo mais fraco da corrente eacute vocecirc
- apenas 48 das empresas americanas ministraram treinamento de
seguranccedila a seus empregados destas apenas 15 fizeram isso haacute menos de 6 meses
Fonte Human Firewall Security Awareness Index Survey 2003
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
BS 7799-2
bull Security policy
bull Organizational security
bull Asset classification and control
bull Personnel security
bull Physical and environmental security
bull Communications and operations management
bull Access control
bull Systems development and maintenance
bull Business continuity management
bull Compliance
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Papel da PESSOA na seguranccedila
bull Novas ameaccedilas surgem diariamente
bull Ferramentas teacutecnicas de seguranccedila com boa taxa de atualizaccedilatildeo
bull Grande investimento das corporaccedilotildees na seguranccedila da informaccedilatildeo
bull Pouco ou nenhum investimento em treinamento focado em seguranccedila
bull Todos satildeo responsaacuteveis ndash regras de conformidade
Sua casa tem fechadura e alarme certo
Mas vocecirc sabe usa-los
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Haacute algo de novo no Horizonte SIM Ciber Ataque e Sabotagem Digital
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Desastres naturais ou ataques fiacutesicos
X Ciber Ataque
bull Desastres naturais ou ataques fiacutesicos
- extensatildeo e dano imediato satildeo limitados
geograficamente
Ex Florianoacutepolis WTC
bull Cyber ataque
ndash natildeo localizado geograficamente
ndash pode ser dissipado com altiacutessima velocidade
ndash atinge todos e natildeo somente alvos especiacuteficos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Australian Sewage Attack
bull Marccedilo de 2000 ndash Brisbane Austraacutelia
bull Vitek Boden ndash consultor ndash sistema controlador de aacutegua
bull Marrochy Shire Council
bull Alterou as configuraccedilotildees das bombas das estaccedilotildees causando problemas em 2 estaccedilotildees
bull Boden foi capturado logo apoacutes o primeiro ataque com os equipamentos e programas que facilitaram o ataque que ateacute entatildeo era visto como um mal funcionamento do sistema
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Distributed denial of service attack bull Fevereiro de 2000
bull Anatomia
ndash Busca de hosts inseguros
ndash Instalaccedilatildeo de software para ataques tornado os servidores escravos do atacante
ndash Lanccedilamento do ataque remotamente ativando todos os sistemas simultaneamente
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Scaning Worms - The SQL Slammer attack bull Worms x viacuterus
ndash Viacuterus ficam latentes enquanto vocecirc natildeo faz alguma atividade para ativa-los
ndash Worms propaga-se automaticamente sem nenhuma atividade por parte do infectado
ndash Primeiro worm ndash 1989 ndash Morris worm
ndash Julho de 2001 ndash Code Red ndash 359000 sistemas ndash a cada 37 minutos dobrava sua capacidade de ataque
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Scaning Worms - The SQL Slammer attack
bull Janeiro de 2003 ndash SQL Slammer worm ndash Dobrava o numero de sistemas atacados a cada 85
segundos ndash Infectou 90 dos servidores vulneraacuteveis em apenas 10
minutos ndash Apenas 3 minutos apoacutes sua ativaccedilatildeo jaacute verificava os
servidores a uma velocidade de 55 milhotildees de verificaccedilotildees por segundo
ndash Infectou 75000 servidores com seacuterias consequumlecircncias bull 13000 ATM do Bank of America foram desabilitados bull O serviccedilo de emergecircncia 911 foi desabilitado afetando
680000 pessoas bull 14 corpos de bombeiros e 02 delegacias tambeacutem
foram afetados bull A Microsoft jaacute havia disponibilizado a correccedilatildeo a
6 meses
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Sabotagem Digital PDVSA
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Sabotagem Digital PDVSA
235
28
596
126 No petrolero
privado
Petrolero Puacuteblico
No petrolero
puacuteblico
Otros
-475 -112
-72 -10
D I
-236 -141
-27
Total -29
Queda do PIB Total 29 Primeiro Trimestre de 2003
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Norma NBR ISOIEC-17799 publicadas pela ABNT
CBK ndash Common Body of Knowledge do (ISC)2
TCSEC ndash Padratildeo US DoD (Orange Book)
ITSEC ndash Padratildeo Europeu
Common Criteria ndash ISO 15404
NIST 800 series
Melhores praacuteticas de seguranccedila de informaccedilotildees
Aderecircncia a Normas e padrotildees geralmente aceitos ndash GASSP
(Generally Accepted System Security Principles)
Adoccedilatildeo de Metodologias especiacuteficas para Seguranccedila da Informaccedilatildeo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Bacen
CVM
ANBID
C Civil
Basileacuteia II (RO)
HIPAA
SOx
outras normas e regulamentaccedilotildees
Atendimento a regulamentaccedilotildees
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Associaccedilotildees profissionais
ISSA
ISACA
ASIS
CSI
Grupos de trabalho
CB21 (Norma ABNT ISOIEC 17799)
Cerificaccedilotildees profissionais
CISSP
CISM
MCSO
CISA
CPP
Oportunidades de desenvolvimento do CSO
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
A Seguranccedila da Informaccedilatildeo natildeo deve ser um fim em si mesma
1 Melhor performance
2 Reduccedilatildeo de perdas
3 Compliance
4 Seguranccedila como agente habilitador de negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Capacitaccedilatildeo e
conscientizaccedilatildeo Monitoramento
Pessoas
Ferramentas e
mecanismos
bem configurados
Meacutetricas padrotildees
poliacuteticas e procedimentos Apoio da Alta
Administraccedilatildeo
Fatores Criacuteticos de Sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Endosso da Alta Administraccedilatildeo
Objetivo
Equipe
Independecircncia
Alinhamento ao Negoacutecio
Reporte Executivo Administraccedilatildeo e Controle
(Orccedilamento x meacutetricas de retorno da funccedilatildeo)
Comunicaccedilatildeo e Conscientizaccedilatildeo
Metodologia normas e modelos
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Outros fatores
Projetos
BAU (dia a dia)
Demonstrar o Sucesso
Benefiacutecios
Atuar mediante um plano
Coordenar atividades
Interagir melhor com deptos
Viabilizar continuidade
Integraccedilatildeo com o negoacutecio
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Princiacutepios que devem ser perseguidos
1 Proteger as pessoas e suas informaccedilotildees privadas (Funcionaacuterios
Clientes Fornecedores Acionistas Oacutergatildeos Reguladores)
2 Garantir Sistemas de Informaccedilatildeo integros e protegidos
3 Proteccedilatildeo perimetral da rede de computadores
4 Garantir soluccedilotildees tecnoloacutegicas seguras
5 Garantir soluccedilotildees de Continuidade de Negoacutecios
6 Promover conscientizaccedilatildeo contiacutenua sobre o tema
7 Proporcionar ambiente de negoacutecios alinhado agraves melhores praacuteticas
de Seguranccedila da Informaccedilatildeo internacionalmente aceitas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Funccedilotildees da Seguranccedila Digital
bull Proteccedilatildeo
bull Proteccedilatildeo do acervo ndash informaccedilatildeo e reputaccedilatildeo
bull Controle corporativo ndash obrigaccedilotildees legais
bull Viabilizaccedilatildeo de Negoacutecios
bull Competitividade e produtividade
bull Utilizar a Internet para atingir novos mercados
bull Estabelecer novas praacuteticas operacionais
bull e-Security estaacute baseado na credibilidade do usuaacuterio na empresa e nos serviccedilos que ela oferece
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Modelo de Seguranccedila Responsabilidade Civil do Executivo de
Negoacutecios (ISO 17799 12)
Responsabilidade Civil do CIO
(ISO 17799 12)
Conformidade com a
Lei e Regulamentaccedilatildeo
(ISO 17799 12)
Seguranccedila Fiacutesica
(ISO 17799 7)
Aplicaccedilatildeo Segura
(desenvolvimento
e produccedilatildeo)
(ISO 17799 10)
Seguranccedila da Infra-estrutura
(ISO 17799 589)
Conscientizaccedilatildeo e
Responsabilizaccedilatildeo dos
Usuaacuterios (ISO 17799 6)
Contratos com Fornecedores
(ISO 17799 4)
Continuidade do Negoacutecio
(ISO 17799 11)
Evidecircncias Forenses
(ISO 17799 12)
Monitoraccedilatildeo e Respostas a
Incidentes (ISO 17799 9)
Poliacutetica de Seguranccedila
(ISO 17799 3)
Infra-estrutura
Sistemas
Negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
O Modelo de Seguranccedila
Infra-estrutura
Sistemas
Negoacutecios
Clientes
Fornecedores
Agecircncias Reguladoras
Fazenda
Usuaacuterios
Judiciaacuterio
Melhores Praacuteticas
Integraccedilatildeo com o negoacutecio
Combate a Fraudes
Ambiente Heterogecircneo
Novas Tecnologias
Conformidade
Anaacutelise de Riscos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Perguntas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
RICARDO THEIL
Muito obrigado
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
bull Missatildeo de Seguranccedila da Informaccedilatildeo
bull Visatildeo de Seguranccedila da Informaccedilatildeo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ecossistema Transacional Banco
Faacutebrica
Comprador A
Comprador B
vender
pagarreceber
pagar
Transportadores Comerciantes
Empresas
intermediar
A integraccedilatildeo das cadeias transacionais aumenta a exposiccedilatildeo de informaccedilotildees e dados e consequumlentemente os riscos digitais
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ecossistema Digital
bull A utilizaccedilatildeo crescente de tecnologias
eletrocircnicas digitais para aquisiccedilatildeo
processamento comunicaccedilatildeo e
armazenamento de dados e informaccedilotildees
exige o estabelecimento de MARCOS de
referecircncia visando assegurar
- Disponibilidade Integridade - Confiabilidade Autenticidade - Privacidade - Natildeo discriminaccedilatildeo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ecossistema Digital ndash Nossa Visatildeo
Haacute um ambiente propiacutecio agrave praacutetica de fraudes com o emprego de tecnologias da informaccedilatildeo (computadores em rede)
Natildeo estamos preparadas para combater estas praacuteticas pois na maioria dos casos os agentes fraudadores atuam internamente
A penetraccedilatildeo da Internet e o crescimento do seu uso atraveacutes do comeacutercio eletrocircnico e internet banking potencializam o problema
Os principais ativos migraram para o ambiente digital Conhecimento ndash Informaccedilotildees ndash Dados ndash Processos ndash Comunicaccedilotildees
Os ambientes digitais empregados satildeo inseguros por natureza micros redes locais e principalmente a Internet
Os sistemas de informaccedilotildees natildeo implementam controles adequados de seguranccedila e de detecccedilatildeo de fraudes
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Privacidade
Espionagem
Violaccedilatildeo da Propriedade Intelectual
Concorrecircncia desleal
Fraudes
Pirataria
Perdas e danos
Falsificaccedilotildees
Furto
Sabotagem Digital
Ciber Terrorismo
Guerra Ciberneacutetica
Ecossistema Digital ndash Ameaccedilas e Desafios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ameaccedilas Digitais
bull As ameaccedilas podem ser as mesmas mas o
CYBER-ESPACcedilO muda tudo bull A INTERNET possui 3 caracteriacutesticas novas
que tornam isso uma verdade Qualquer uma delas eacute ruim as 3 juntas satildeo horrorizantes
AUTOMACcedilAtildeO ACcedilAtildeO A DISTAcircNCIA e PROPAGACcedilAtildeO DA TEacuteCNICA
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Por que Seguranccedila
bull Evitar fraudes e perdas
bull Viabilizar aplicaccedilotildees e tecnologias
bull Atender agecircncias reguladoras
ndash Governanccedila Corporativa
ndash Conformidade
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Seguranccedila da Informaccedilatildeo no Brasil
bull Brasil maior nuacutemero de hackers
bull Projetos inovadores
ndash Eleiccedilotildees SPB Imposto de Renda Sistema financeiro
ndash ICP Brasil
bull Legislaccedilatildeo em desenvolvimento
ndash Especiacutefica
ndash Novo Coacutedigo Civil
bull Fortalecimento da atuaccedilatildeo de agecircncias
reguladoras
ndash Banco Central TCU CVM CFM
ndash Modelo da concessatildeo
bull Fortalecimento da accedilatildeo policial e judiciaacuteria
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Seguranccedila da Informaccedilatildeo no Brasil
bull + Inovaccedilatildeo
bull + Heterogeneidade
bull + Ataques
bull Legislaccedilatildeo
bull Accedilotildees policiais e de defesa especializados
bull Agecircncias de governo especializadas
bull Colaboraccedilatildeo entre as partes
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Os Desafios de Seguranccedila estatildeo
Crescendo
1 O ambiente de TI estaacute cada vez mais complexo
2 As accedilotildees de seguranccedila precisam estar integradas com a
legislaccedilatildeo e regulamentaccedilatildeo
3 A seguranccedila da informaccedilatildeo natildeo eacute soacute em computadores
4 Estaacute aumentando o valor financeiro da rede
5 O crime organizado tem aumentado sua atividade no meio
eletrocircnico
6 As tecnologias de ataque estatildeo se integrando
7 Crimes satildeo aleacutem-fronteiras
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Seguranccedila Tecnoloacutegica
Por que a Seguranccedila estaacute em Crescimento
1 O ambiente de TI estaacute cada vez mais
ndash Complexo
ndash Amplo
ndash Heterogecircneo
ndash Compacto multimiacutedia consumindo menos energia utilizando o
protocolo TCP-IP integrado com a rede de celulares
2 As accedilotildees de seguranccedila precisam estar integradas com a
legislaccedilatildeo e regulamentaccedilatildeo
ndash Responsabilidade Civil dos administradores e teacutecnicos
ndash Atendimento a Agecircncias Reguladoras
ndash Gestatildeo de Seguranccedila atraveacutes de normas e padrotildees
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Seguranccedila Tecnoloacutegica
Por que a Seguranccedila estaacute em Crescimento
3 A seguranccedila da informaccedilatildeo natildeo eacute soacute em computadores
deve considerar
ndash Sistemas de Telecomunicaccedilotildees
ndash Papel
ndash Conversas ndash pessoais e ao telefone
ndash Roubo de equipamentos
ndash Indeterminado
4 Estaacute aumentando o valor financeiro da rede
ndash Transaccedilotildees financeiras pela Internet
ndash Transaccedilotildees financeiras em sistemas internos
ndash Relacionamento pessoal
ndash Armazenamento de informaccedilotildees de valor
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Seguranccedila Tecnoloacutegica
Por que a Seguranccedila estaacute em Crescimento
5 O crime organizado tem aumentado sua atividade no
meio eletrocircnico
ndash Para usar novas tecnologias em crimes convencionais
ndash Para novos crimes tecnoloacutegicos
6 As tecnologias de ataque estatildeo se integrando
ndash Viacuterus Spam Spyware Invasatildeo
7 Crimes satildeo aleacutem-fronteiras
ndash CoreacuteiaBanda Larga ChinaQuantidade IndiaIPv6
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ameaccedilas Digitais
Novas Condutas
bull Acesso Indevido ao sistema de computador
bull Violaccedilatildeo ao sistema de computador
bull Furto de informaccedilotildees
bull Falsificaccedilatildeo de documentos com o uso do computador
bull Dano aos dados e informaccedilotildees arquivadas
bull Obtenccedilatildeo de segredos industriaiscomerciais
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ameaccedilas Digitais
Novas Condutas
bull Furto de tempo do sistema de informaacutetica
bull Coacutepia de programa
bull Violaccedilatildeo do Direito Autoral
bull Espionagem
bull Interceptaccedilatildeo indevida de informaccedilatildeo
bull Violaccedilatildeo de bases de dados pessoais
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
10 Anos de Spam
bull Dados divulgados mensalmente pela MessageLabs (empresa de filtragens de e-mails) mostra que em marccedilo deste ano 53 dos e-mails eram SPAM Em agosto uacuteltimo esse iacutendice foi de 842 tendo chegado a 945 em julho2004
SPAM
0
10
20
30
40
50
60
70
80
90
100
Marccedilo Abril Maio Junho Julho Agosto
SPAM
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Convergecircncia
bull Convergecircncia SPAM se tornou SCAM usando teacutecnicas de SPAM para propagar trojans e viacuterus
bull Criadores de viacuterus mais teacutecnicos motivaccedilatildeo era reconhecimento na ldquocomunidaderdquo
bull Spammers menos teacutecnicos focados no lucro
bull Novo cenaacuterio spammers mais teacutecnicos e criadores de viacuterus focados no lucro
bull Viacuterus criados com o objetivo de ajudar a espalhar mensagens ndash spam (ou controlar ativamente maacutequinas contaminadas) - DDoS
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Convergecircncia
bull Golpes financeiros na Internet combinam vaacuterias teacutecnicas
ndash SPAM no envio da mensagem
ndash Viacuterus na criaccedilatildeo e instalaccedilatildeo do Trojan
ndash Engenharia social
ndash Lavagem de dinheiro (pagamento de contas)
ndash Fraudes no comeacutercio eletrocircnico
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Por que proteger as informaccedilotildees
bull Perdas financeiras bull Comprometimento da imagem bull Perdas de clientes bull Perda de vantagem competitiva
O vazamento de informaccedilotildees pode causar
70 dos problemas de seguranccedila satildeo causados por desconhecimento dos procedimentos
2002 CSIFBI Computer Crime and Security Survey
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Instalaccedilatildeo
inadequada de
Software e
Hardware
Fontes das ameaccedilas
Acessos natildeo
autorizados a
sistemas
Vazamento de
Informaccedilotildees
Paralisaccedilatildeo dos
processos Descuido com
equipamentos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Engenharia Social
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Gerenciamento de Seguranccedila da Informaccedilatildeo
Metodologias de SI e Controle de Acesso
Seguranccedila em Redes e Telecomunicaccedilotildees
BCM (BIA BCP DRP)
Seguranccedila Fiacutesica das aacutereas de TI
Seguranccedila de Aplicaccedilotildees sistemas etc
Seguranccedila de Operaccedilotildees
Forensics (Leis Investigaccedilotildees e eacutetica)
Criptografia
Estruturaccedilatildeo da Aacuterea de
Seguranccedila da Informaccedilatildeo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
CBK ndash Common Body of Knowledge do (ISC)2
1 Metodologia e Sistemas de Controle de Acesso
2 Seguranccedila em Redes e Telecomunicaccedilotildees
3 Praacuteticas de Gerenciamento de Seguranccedila da Informaccedilatildeo
4 Seguranccedila de Aplicaccedilotildees sistemas (desenvolvimento e manutenccedilatildeo)
5 Uso controle e aplicaccedilatildeo de criptografia e PKI
6 Modelos e Arquitetura de Seguranccedila
7 Seguranccedila de Operaccedilotildees
8 Continuidade - BCM (BIA BCP DRP)
9 Forensics (Leis Investigaccedilotildees e Eacutetica)
10 Seguranccedila Fiacutesica das aacutereas de TI
Disciplinas de Seguranccedila da Informaccedilatildeo segundo o (ISC)2
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Novo Cenaacuterio Corporativo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Governanccedila Corporativa Gerenciamento do Risco Operacional
Conformidade
Qual a influecircncia da seguranccedila em TICs nesse novo cenaacuterio
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Novas necessidades regulatoacuterias
bull Gramm-Leach-Bliley Act (Privacidade das informaccedilotildees
financeiras) bull HIPAA - Health Insurance Portability and
Accountability Act (Privacidade das informaccedilotildees de sauacutede)
bull Sarbanes-Oxley (Retenccedilatildeo de informaccedilotildees contaacutebeis (principalmente))
bull Basileacuteia II (bancos)
bull Novo Coacutedigo Civil Brasileiro
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Novo papel do administrador de TI
Retenccedilatildeo de documentos eacute diferente
de backup
- faxes e-mails instant messages
- TODAS as versotildees de documentos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
- NBR ISOIEC 17799 e
- BS 7799-2
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
Seguranccedila em TICs
=
Tecnologia
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
Seguranccedila
=
Processo
Seguranccedila eacute processo tecnologia eacute ferramenta
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
O elo mais fraco da corrente eacute vocecirc
- apenas 48 das empresas americanas ministraram treinamento de
seguranccedila a seus empregados destas apenas 15 fizeram isso haacute menos de 6 meses
Fonte Human Firewall Security Awareness Index Survey 2003
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
BS 7799-2
bull Security policy
bull Organizational security
bull Asset classification and control
bull Personnel security
bull Physical and environmental security
bull Communications and operations management
bull Access control
bull Systems development and maintenance
bull Business continuity management
bull Compliance
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Papel da PESSOA na seguranccedila
bull Novas ameaccedilas surgem diariamente
bull Ferramentas teacutecnicas de seguranccedila com boa taxa de atualizaccedilatildeo
bull Grande investimento das corporaccedilotildees na seguranccedila da informaccedilatildeo
bull Pouco ou nenhum investimento em treinamento focado em seguranccedila
bull Todos satildeo responsaacuteveis ndash regras de conformidade
Sua casa tem fechadura e alarme certo
Mas vocecirc sabe usa-los
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Haacute algo de novo no Horizonte SIM Ciber Ataque e Sabotagem Digital
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Desastres naturais ou ataques fiacutesicos
X Ciber Ataque
bull Desastres naturais ou ataques fiacutesicos
- extensatildeo e dano imediato satildeo limitados
geograficamente
Ex Florianoacutepolis WTC
bull Cyber ataque
ndash natildeo localizado geograficamente
ndash pode ser dissipado com altiacutessima velocidade
ndash atinge todos e natildeo somente alvos especiacuteficos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Australian Sewage Attack
bull Marccedilo de 2000 ndash Brisbane Austraacutelia
bull Vitek Boden ndash consultor ndash sistema controlador de aacutegua
bull Marrochy Shire Council
bull Alterou as configuraccedilotildees das bombas das estaccedilotildees causando problemas em 2 estaccedilotildees
bull Boden foi capturado logo apoacutes o primeiro ataque com os equipamentos e programas que facilitaram o ataque que ateacute entatildeo era visto como um mal funcionamento do sistema
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Distributed denial of service attack bull Fevereiro de 2000
bull Anatomia
ndash Busca de hosts inseguros
ndash Instalaccedilatildeo de software para ataques tornado os servidores escravos do atacante
ndash Lanccedilamento do ataque remotamente ativando todos os sistemas simultaneamente
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Scaning Worms - The SQL Slammer attack bull Worms x viacuterus
ndash Viacuterus ficam latentes enquanto vocecirc natildeo faz alguma atividade para ativa-los
ndash Worms propaga-se automaticamente sem nenhuma atividade por parte do infectado
ndash Primeiro worm ndash 1989 ndash Morris worm
ndash Julho de 2001 ndash Code Red ndash 359000 sistemas ndash a cada 37 minutos dobrava sua capacidade de ataque
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Scaning Worms - The SQL Slammer attack
bull Janeiro de 2003 ndash SQL Slammer worm ndash Dobrava o numero de sistemas atacados a cada 85
segundos ndash Infectou 90 dos servidores vulneraacuteveis em apenas 10
minutos ndash Apenas 3 minutos apoacutes sua ativaccedilatildeo jaacute verificava os
servidores a uma velocidade de 55 milhotildees de verificaccedilotildees por segundo
ndash Infectou 75000 servidores com seacuterias consequumlecircncias bull 13000 ATM do Bank of America foram desabilitados bull O serviccedilo de emergecircncia 911 foi desabilitado afetando
680000 pessoas bull 14 corpos de bombeiros e 02 delegacias tambeacutem
foram afetados bull A Microsoft jaacute havia disponibilizado a correccedilatildeo a
6 meses
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Sabotagem Digital PDVSA
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Sabotagem Digital PDVSA
235
28
596
126 No petrolero
privado
Petrolero Puacuteblico
No petrolero
puacuteblico
Otros
-475 -112
-72 -10
D I
-236 -141
-27
Total -29
Queda do PIB Total 29 Primeiro Trimestre de 2003
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Norma NBR ISOIEC-17799 publicadas pela ABNT
CBK ndash Common Body of Knowledge do (ISC)2
TCSEC ndash Padratildeo US DoD (Orange Book)
ITSEC ndash Padratildeo Europeu
Common Criteria ndash ISO 15404
NIST 800 series
Melhores praacuteticas de seguranccedila de informaccedilotildees
Aderecircncia a Normas e padrotildees geralmente aceitos ndash GASSP
(Generally Accepted System Security Principles)
Adoccedilatildeo de Metodologias especiacuteficas para Seguranccedila da Informaccedilatildeo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Bacen
CVM
ANBID
C Civil
Basileacuteia II (RO)
HIPAA
SOx
outras normas e regulamentaccedilotildees
Atendimento a regulamentaccedilotildees
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Associaccedilotildees profissionais
ISSA
ISACA
ASIS
CSI
Grupos de trabalho
CB21 (Norma ABNT ISOIEC 17799)
Cerificaccedilotildees profissionais
CISSP
CISM
MCSO
CISA
CPP
Oportunidades de desenvolvimento do CSO
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
A Seguranccedila da Informaccedilatildeo natildeo deve ser um fim em si mesma
1 Melhor performance
2 Reduccedilatildeo de perdas
3 Compliance
4 Seguranccedila como agente habilitador de negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Capacitaccedilatildeo e
conscientizaccedilatildeo Monitoramento
Pessoas
Ferramentas e
mecanismos
bem configurados
Meacutetricas padrotildees
poliacuteticas e procedimentos Apoio da Alta
Administraccedilatildeo
Fatores Criacuteticos de Sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Endosso da Alta Administraccedilatildeo
Objetivo
Equipe
Independecircncia
Alinhamento ao Negoacutecio
Reporte Executivo Administraccedilatildeo e Controle
(Orccedilamento x meacutetricas de retorno da funccedilatildeo)
Comunicaccedilatildeo e Conscientizaccedilatildeo
Metodologia normas e modelos
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Outros fatores
Projetos
BAU (dia a dia)
Demonstrar o Sucesso
Benefiacutecios
Atuar mediante um plano
Coordenar atividades
Interagir melhor com deptos
Viabilizar continuidade
Integraccedilatildeo com o negoacutecio
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Princiacutepios que devem ser perseguidos
1 Proteger as pessoas e suas informaccedilotildees privadas (Funcionaacuterios
Clientes Fornecedores Acionistas Oacutergatildeos Reguladores)
2 Garantir Sistemas de Informaccedilatildeo integros e protegidos
3 Proteccedilatildeo perimetral da rede de computadores
4 Garantir soluccedilotildees tecnoloacutegicas seguras
5 Garantir soluccedilotildees de Continuidade de Negoacutecios
6 Promover conscientizaccedilatildeo contiacutenua sobre o tema
7 Proporcionar ambiente de negoacutecios alinhado agraves melhores praacuteticas
de Seguranccedila da Informaccedilatildeo internacionalmente aceitas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Funccedilotildees da Seguranccedila Digital
bull Proteccedilatildeo
bull Proteccedilatildeo do acervo ndash informaccedilatildeo e reputaccedilatildeo
bull Controle corporativo ndash obrigaccedilotildees legais
bull Viabilizaccedilatildeo de Negoacutecios
bull Competitividade e produtividade
bull Utilizar a Internet para atingir novos mercados
bull Estabelecer novas praacuteticas operacionais
bull e-Security estaacute baseado na credibilidade do usuaacuterio na empresa e nos serviccedilos que ela oferece
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Modelo de Seguranccedila Responsabilidade Civil do Executivo de
Negoacutecios (ISO 17799 12)
Responsabilidade Civil do CIO
(ISO 17799 12)
Conformidade com a
Lei e Regulamentaccedilatildeo
(ISO 17799 12)
Seguranccedila Fiacutesica
(ISO 17799 7)
Aplicaccedilatildeo Segura
(desenvolvimento
e produccedilatildeo)
(ISO 17799 10)
Seguranccedila da Infra-estrutura
(ISO 17799 589)
Conscientizaccedilatildeo e
Responsabilizaccedilatildeo dos
Usuaacuterios (ISO 17799 6)
Contratos com Fornecedores
(ISO 17799 4)
Continuidade do Negoacutecio
(ISO 17799 11)
Evidecircncias Forenses
(ISO 17799 12)
Monitoraccedilatildeo e Respostas a
Incidentes (ISO 17799 9)
Poliacutetica de Seguranccedila
(ISO 17799 3)
Infra-estrutura
Sistemas
Negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
O Modelo de Seguranccedila
Infra-estrutura
Sistemas
Negoacutecios
Clientes
Fornecedores
Agecircncias Reguladoras
Fazenda
Usuaacuterios
Judiciaacuterio
Melhores Praacuteticas
Integraccedilatildeo com o negoacutecio
Combate a Fraudes
Ambiente Heterogecircneo
Novas Tecnologias
Conformidade
Anaacutelise de Riscos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Perguntas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
RICARDO THEIL
Muito obrigado
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ecossistema Transacional Banco
Faacutebrica
Comprador A
Comprador B
vender
pagarreceber
pagar
Transportadores Comerciantes
Empresas
intermediar
A integraccedilatildeo das cadeias transacionais aumenta a exposiccedilatildeo de informaccedilotildees e dados e consequumlentemente os riscos digitais
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ecossistema Digital
bull A utilizaccedilatildeo crescente de tecnologias
eletrocircnicas digitais para aquisiccedilatildeo
processamento comunicaccedilatildeo e
armazenamento de dados e informaccedilotildees
exige o estabelecimento de MARCOS de
referecircncia visando assegurar
- Disponibilidade Integridade - Confiabilidade Autenticidade - Privacidade - Natildeo discriminaccedilatildeo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ecossistema Digital ndash Nossa Visatildeo
Haacute um ambiente propiacutecio agrave praacutetica de fraudes com o emprego de tecnologias da informaccedilatildeo (computadores em rede)
Natildeo estamos preparadas para combater estas praacuteticas pois na maioria dos casos os agentes fraudadores atuam internamente
A penetraccedilatildeo da Internet e o crescimento do seu uso atraveacutes do comeacutercio eletrocircnico e internet banking potencializam o problema
Os principais ativos migraram para o ambiente digital Conhecimento ndash Informaccedilotildees ndash Dados ndash Processos ndash Comunicaccedilotildees
Os ambientes digitais empregados satildeo inseguros por natureza micros redes locais e principalmente a Internet
Os sistemas de informaccedilotildees natildeo implementam controles adequados de seguranccedila e de detecccedilatildeo de fraudes
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Privacidade
Espionagem
Violaccedilatildeo da Propriedade Intelectual
Concorrecircncia desleal
Fraudes
Pirataria
Perdas e danos
Falsificaccedilotildees
Furto
Sabotagem Digital
Ciber Terrorismo
Guerra Ciberneacutetica
Ecossistema Digital ndash Ameaccedilas e Desafios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ameaccedilas Digitais
bull As ameaccedilas podem ser as mesmas mas o
CYBER-ESPACcedilO muda tudo bull A INTERNET possui 3 caracteriacutesticas novas
que tornam isso uma verdade Qualquer uma delas eacute ruim as 3 juntas satildeo horrorizantes
AUTOMACcedilAtildeO ACcedilAtildeO A DISTAcircNCIA e PROPAGACcedilAtildeO DA TEacuteCNICA
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Por que Seguranccedila
bull Evitar fraudes e perdas
bull Viabilizar aplicaccedilotildees e tecnologias
bull Atender agecircncias reguladoras
ndash Governanccedila Corporativa
ndash Conformidade
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Seguranccedila da Informaccedilatildeo no Brasil
bull Brasil maior nuacutemero de hackers
bull Projetos inovadores
ndash Eleiccedilotildees SPB Imposto de Renda Sistema financeiro
ndash ICP Brasil
bull Legislaccedilatildeo em desenvolvimento
ndash Especiacutefica
ndash Novo Coacutedigo Civil
bull Fortalecimento da atuaccedilatildeo de agecircncias
reguladoras
ndash Banco Central TCU CVM CFM
ndash Modelo da concessatildeo
bull Fortalecimento da accedilatildeo policial e judiciaacuteria
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Seguranccedila da Informaccedilatildeo no Brasil
bull + Inovaccedilatildeo
bull + Heterogeneidade
bull + Ataques
bull Legislaccedilatildeo
bull Accedilotildees policiais e de defesa especializados
bull Agecircncias de governo especializadas
bull Colaboraccedilatildeo entre as partes
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Os Desafios de Seguranccedila estatildeo
Crescendo
1 O ambiente de TI estaacute cada vez mais complexo
2 As accedilotildees de seguranccedila precisam estar integradas com a
legislaccedilatildeo e regulamentaccedilatildeo
3 A seguranccedila da informaccedilatildeo natildeo eacute soacute em computadores
4 Estaacute aumentando o valor financeiro da rede
5 O crime organizado tem aumentado sua atividade no meio
eletrocircnico
6 As tecnologias de ataque estatildeo se integrando
7 Crimes satildeo aleacutem-fronteiras
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Seguranccedila Tecnoloacutegica
Por que a Seguranccedila estaacute em Crescimento
1 O ambiente de TI estaacute cada vez mais
ndash Complexo
ndash Amplo
ndash Heterogecircneo
ndash Compacto multimiacutedia consumindo menos energia utilizando o
protocolo TCP-IP integrado com a rede de celulares
2 As accedilotildees de seguranccedila precisam estar integradas com a
legislaccedilatildeo e regulamentaccedilatildeo
ndash Responsabilidade Civil dos administradores e teacutecnicos
ndash Atendimento a Agecircncias Reguladoras
ndash Gestatildeo de Seguranccedila atraveacutes de normas e padrotildees
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Seguranccedila Tecnoloacutegica
Por que a Seguranccedila estaacute em Crescimento
3 A seguranccedila da informaccedilatildeo natildeo eacute soacute em computadores
deve considerar
ndash Sistemas de Telecomunicaccedilotildees
ndash Papel
ndash Conversas ndash pessoais e ao telefone
ndash Roubo de equipamentos
ndash Indeterminado
4 Estaacute aumentando o valor financeiro da rede
ndash Transaccedilotildees financeiras pela Internet
ndash Transaccedilotildees financeiras em sistemas internos
ndash Relacionamento pessoal
ndash Armazenamento de informaccedilotildees de valor
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Seguranccedila Tecnoloacutegica
Por que a Seguranccedila estaacute em Crescimento
5 O crime organizado tem aumentado sua atividade no
meio eletrocircnico
ndash Para usar novas tecnologias em crimes convencionais
ndash Para novos crimes tecnoloacutegicos
6 As tecnologias de ataque estatildeo se integrando
ndash Viacuterus Spam Spyware Invasatildeo
7 Crimes satildeo aleacutem-fronteiras
ndash CoreacuteiaBanda Larga ChinaQuantidade IndiaIPv6
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ameaccedilas Digitais
Novas Condutas
bull Acesso Indevido ao sistema de computador
bull Violaccedilatildeo ao sistema de computador
bull Furto de informaccedilotildees
bull Falsificaccedilatildeo de documentos com o uso do computador
bull Dano aos dados e informaccedilotildees arquivadas
bull Obtenccedilatildeo de segredos industriaiscomerciais
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ameaccedilas Digitais
Novas Condutas
bull Furto de tempo do sistema de informaacutetica
bull Coacutepia de programa
bull Violaccedilatildeo do Direito Autoral
bull Espionagem
bull Interceptaccedilatildeo indevida de informaccedilatildeo
bull Violaccedilatildeo de bases de dados pessoais
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
10 Anos de Spam
bull Dados divulgados mensalmente pela MessageLabs (empresa de filtragens de e-mails) mostra que em marccedilo deste ano 53 dos e-mails eram SPAM Em agosto uacuteltimo esse iacutendice foi de 842 tendo chegado a 945 em julho2004
SPAM
0
10
20
30
40
50
60
70
80
90
100
Marccedilo Abril Maio Junho Julho Agosto
SPAM
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Convergecircncia
bull Convergecircncia SPAM se tornou SCAM usando teacutecnicas de SPAM para propagar trojans e viacuterus
bull Criadores de viacuterus mais teacutecnicos motivaccedilatildeo era reconhecimento na ldquocomunidaderdquo
bull Spammers menos teacutecnicos focados no lucro
bull Novo cenaacuterio spammers mais teacutecnicos e criadores de viacuterus focados no lucro
bull Viacuterus criados com o objetivo de ajudar a espalhar mensagens ndash spam (ou controlar ativamente maacutequinas contaminadas) - DDoS
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Convergecircncia
bull Golpes financeiros na Internet combinam vaacuterias teacutecnicas
ndash SPAM no envio da mensagem
ndash Viacuterus na criaccedilatildeo e instalaccedilatildeo do Trojan
ndash Engenharia social
ndash Lavagem de dinheiro (pagamento de contas)
ndash Fraudes no comeacutercio eletrocircnico
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Por que proteger as informaccedilotildees
bull Perdas financeiras bull Comprometimento da imagem bull Perdas de clientes bull Perda de vantagem competitiva
O vazamento de informaccedilotildees pode causar
70 dos problemas de seguranccedila satildeo causados por desconhecimento dos procedimentos
2002 CSIFBI Computer Crime and Security Survey
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Instalaccedilatildeo
inadequada de
Software e
Hardware
Fontes das ameaccedilas
Acessos natildeo
autorizados a
sistemas
Vazamento de
Informaccedilotildees
Paralisaccedilatildeo dos
processos Descuido com
equipamentos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Engenharia Social
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Gerenciamento de Seguranccedila da Informaccedilatildeo
Metodologias de SI e Controle de Acesso
Seguranccedila em Redes e Telecomunicaccedilotildees
BCM (BIA BCP DRP)
Seguranccedila Fiacutesica das aacutereas de TI
Seguranccedila de Aplicaccedilotildees sistemas etc
Seguranccedila de Operaccedilotildees
Forensics (Leis Investigaccedilotildees e eacutetica)
Criptografia
Estruturaccedilatildeo da Aacuterea de
Seguranccedila da Informaccedilatildeo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
CBK ndash Common Body of Knowledge do (ISC)2
1 Metodologia e Sistemas de Controle de Acesso
2 Seguranccedila em Redes e Telecomunicaccedilotildees
3 Praacuteticas de Gerenciamento de Seguranccedila da Informaccedilatildeo
4 Seguranccedila de Aplicaccedilotildees sistemas (desenvolvimento e manutenccedilatildeo)
5 Uso controle e aplicaccedilatildeo de criptografia e PKI
6 Modelos e Arquitetura de Seguranccedila
7 Seguranccedila de Operaccedilotildees
8 Continuidade - BCM (BIA BCP DRP)
9 Forensics (Leis Investigaccedilotildees e Eacutetica)
10 Seguranccedila Fiacutesica das aacutereas de TI
Disciplinas de Seguranccedila da Informaccedilatildeo segundo o (ISC)2
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Novo Cenaacuterio Corporativo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Governanccedila Corporativa Gerenciamento do Risco Operacional
Conformidade
Qual a influecircncia da seguranccedila em TICs nesse novo cenaacuterio
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Novas necessidades regulatoacuterias
bull Gramm-Leach-Bliley Act (Privacidade das informaccedilotildees
financeiras) bull HIPAA - Health Insurance Portability and
Accountability Act (Privacidade das informaccedilotildees de sauacutede)
bull Sarbanes-Oxley (Retenccedilatildeo de informaccedilotildees contaacutebeis (principalmente))
bull Basileacuteia II (bancos)
bull Novo Coacutedigo Civil Brasileiro
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Novo papel do administrador de TI
Retenccedilatildeo de documentos eacute diferente
de backup
- faxes e-mails instant messages
- TODAS as versotildees de documentos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
- NBR ISOIEC 17799 e
- BS 7799-2
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
Seguranccedila em TICs
=
Tecnologia
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
Seguranccedila
=
Processo
Seguranccedila eacute processo tecnologia eacute ferramenta
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
O elo mais fraco da corrente eacute vocecirc
- apenas 48 das empresas americanas ministraram treinamento de
seguranccedila a seus empregados destas apenas 15 fizeram isso haacute menos de 6 meses
Fonte Human Firewall Security Awareness Index Survey 2003
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
BS 7799-2
bull Security policy
bull Organizational security
bull Asset classification and control
bull Personnel security
bull Physical and environmental security
bull Communications and operations management
bull Access control
bull Systems development and maintenance
bull Business continuity management
bull Compliance
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Papel da PESSOA na seguranccedila
bull Novas ameaccedilas surgem diariamente
bull Ferramentas teacutecnicas de seguranccedila com boa taxa de atualizaccedilatildeo
bull Grande investimento das corporaccedilotildees na seguranccedila da informaccedilatildeo
bull Pouco ou nenhum investimento em treinamento focado em seguranccedila
bull Todos satildeo responsaacuteveis ndash regras de conformidade
Sua casa tem fechadura e alarme certo
Mas vocecirc sabe usa-los
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Haacute algo de novo no Horizonte SIM Ciber Ataque e Sabotagem Digital
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Desastres naturais ou ataques fiacutesicos
X Ciber Ataque
bull Desastres naturais ou ataques fiacutesicos
- extensatildeo e dano imediato satildeo limitados
geograficamente
Ex Florianoacutepolis WTC
bull Cyber ataque
ndash natildeo localizado geograficamente
ndash pode ser dissipado com altiacutessima velocidade
ndash atinge todos e natildeo somente alvos especiacuteficos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Australian Sewage Attack
bull Marccedilo de 2000 ndash Brisbane Austraacutelia
bull Vitek Boden ndash consultor ndash sistema controlador de aacutegua
bull Marrochy Shire Council
bull Alterou as configuraccedilotildees das bombas das estaccedilotildees causando problemas em 2 estaccedilotildees
bull Boden foi capturado logo apoacutes o primeiro ataque com os equipamentos e programas que facilitaram o ataque que ateacute entatildeo era visto como um mal funcionamento do sistema
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Distributed denial of service attack bull Fevereiro de 2000
bull Anatomia
ndash Busca de hosts inseguros
ndash Instalaccedilatildeo de software para ataques tornado os servidores escravos do atacante
ndash Lanccedilamento do ataque remotamente ativando todos os sistemas simultaneamente
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Scaning Worms - The SQL Slammer attack bull Worms x viacuterus
ndash Viacuterus ficam latentes enquanto vocecirc natildeo faz alguma atividade para ativa-los
ndash Worms propaga-se automaticamente sem nenhuma atividade por parte do infectado
ndash Primeiro worm ndash 1989 ndash Morris worm
ndash Julho de 2001 ndash Code Red ndash 359000 sistemas ndash a cada 37 minutos dobrava sua capacidade de ataque
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Scaning Worms - The SQL Slammer attack
bull Janeiro de 2003 ndash SQL Slammer worm ndash Dobrava o numero de sistemas atacados a cada 85
segundos ndash Infectou 90 dos servidores vulneraacuteveis em apenas 10
minutos ndash Apenas 3 minutos apoacutes sua ativaccedilatildeo jaacute verificava os
servidores a uma velocidade de 55 milhotildees de verificaccedilotildees por segundo
ndash Infectou 75000 servidores com seacuterias consequumlecircncias bull 13000 ATM do Bank of America foram desabilitados bull O serviccedilo de emergecircncia 911 foi desabilitado afetando
680000 pessoas bull 14 corpos de bombeiros e 02 delegacias tambeacutem
foram afetados bull A Microsoft jaacute havia disponibilizado a correccedilatildeo a
6 meses
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Sabotagem Digital PDVSA
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Sabotagem Digital PDVSA
235
28
596
126 No petrolero
privado
Petrolero Puacuteblico
No petrolero
puacuteblico
Otros
-475 -112
-72 -10
D I
-236 -141
-27
Total -29
Queda do PIB Total 29 Primeiro Trimestre de 2003
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Norma NBR ISOIEC-17799 publicadas pela ABNT
CBK ndash Common Body of Knowledge do (ISC)2
TCSEC ndash Padratildeo US DoD (Orange Book)
ITSEC ndash Padratildeo Europeu
Common Criteria ndash ISO 15404
NIST 800 series
Melhores praacuteticas de seguranccedila de informaccedilotildees
Aderecircncia a Normas e padrotildees geralmente aceitos ndash GASSP
(Generally Accepted System Security Principles)
Adoccedilatildeo de Metodologias especiacuteficas para Seguranccedila da Informaccedilatildeo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Bacen
CVM
ANBID
C Civil
Basileacuteia II (RO)
HIPAA
SOx
outras normas e regulamentaccedilotildees
Atendimento a regulamentaccedilotildees
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Associaccedilotildees profissionais
ISSA
ISACA
ASIS
CSI
Grupos de trabalho
CB21 (Norma ABNT ISOIEC 17799)
Cerificaccedilotildees profissionais
CISSP
CISM
MCSO
CISA
CPP
Oportunidades de desenvolvimento do CSO
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
A Seguranccedila da Informaccedilatildeo natildeo deve ser um fim em si mesma
1 Melhor performance
2 Reduccedilatildeo de perdas
3 Compliance
4 Seguranccedila como agente habilitador de negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Capacitaccedilatildeo e
conscientizaccedilatildeo Monitoramento
Pessoas
Ferramentas e
mecanismos
bem configurados
Meacutetricas padrotildees
poliacuteticas e procedimentos Apoio da Alta
Administraccedilatildeo
Fatores Criacuteticos de Sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Endosso da Alta Administraccedilatildeo
Objetivo
Equipe
Independecircncia
Alinhamento ao Negoacutecio
Reporte Executivo Administraccedilatildeo e Controle
(Orccedilamento x meacutetricas de retorno da funccedilatildeo)
Comunicaccedilatildeo e Conscientizaccedilatildeo
Metodologia normas e modelos
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Outros fatores
Projetos
BAU (dia a dia)
Demonstrar o Sucesso
Benefiacutecios
Atuar mediante um plano
Coordenar atividades
Interagir melhor com deptos
Viabilizar continuidade
Integraccedilatildeo com o negoacutecio
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Princiacutepios que devem ser perseguidos
1 Proteger as pessoas e suas informaccedilotildees privadas (Funcionaacuterios
Clientes Fornecedores Acionistas Oacutergatildeos Reguladores)
2 Garantir Sistemas de Informaccedilatildeo integros e protegidos
3 Proteccedilatildeo perimetral da rede de computadores
4 Garantir soluccedilotildees tecnoloacutegicas seguras
5 Garantir soluccedilotildees de Continuidade de Negoacutecios
6 Promover conscientizaccedilatildeo contiacutenua sobre o tema
7 Proporcionar ambiente de negoacutecios alinhado agraves melhores praacuteticas
de Seguranccedila da Informaccedilatildeo internacionalmente aceitas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Funccedilotildees da Seguranccedila Digital
bull Proteccedilatildeo
bull Proteccedilatildeo do acervo ndash informaccedilatildeo e reputaccedilatildeo
bull Controle corporativo ndash obrigaccedilotildees legais
bull Viabilizaccedilatildeo de Negoacutecios
bull Competitividade e produtividade
bull Utilizar a Internet para atingir novos mercados
bull Estabelecer novas praacuteticas operacionais
bull e-Security estaacute baseado na credibilidade do usuaacuterio na empresa e nos serviccedilos que ela oferece
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Modelo de Seguranccedila Responsabilidade Civil do Executivo de
Negoacutecios (ISO 17799 12)
Responsabilidade Civil do CIO
(ISO 17799 12)
Conformidade com a
Lei e Regulamentaccedilatildeo
(ISO 17799 12)
Seguranccedila Fiacutesica
(ISO 17799 7)
Aplicaccedilatildeo Segura
(desenvolvimento
e produccedilatildeo)
(ISO 17799 10)
Seguranccedila da Infra-estrutura
(ISO 17799 589)
Conscientizaccedilatildeo e
Responsabilizaccedilatildeo dos
Usuaacuterios (ISO 17799 6)
Contratos com Fornecedores
(ISO 17799 4)
Continuidade do Negoacutecio
(ISO 17799 11)
Evidecircncias Forenses
(ISO 17799 12)
Monitoraccedilatildeo e Respostas a
Incidentes (ISO 17799 9)
Poliacutetica de Seguranccedila
(ISO 17799 3)
Infra-estrutura
Sistemas
Negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
O Modelo de Seguranccedila
Infra-estrutura
Sistemas
Negoacutecios
Clientes
Fornecedores
Agecircncias Reguladoras
Fazenda
Usuaacuterios
Judiciaacuterio
Melhores Praacuteticas
Integraccedilatildeo com o negoacutecio
Combate a Fraudes
Ambiente Heterogecircneo
Novas Tecnologias
Conformidade
Anaacutelise de Riscos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Perguntas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
RICARDO THEIL
Muito obrigado
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ecossistema Digital
bull A utilizaccedilatildeo crescente de tecnologias
eletrocircnicas digitais para aquisiccedilatildeo
processamento comunicaccedilatildeo e
armazenamento de dados e informaccedilotildees
exige o estabelecimento de MARCOS de
referecircncia visando assegurar
- Disponibilidade Integridade - Confiabilidade Autenticidade - Privacidade - Natildeo discriminaccedilatildeo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ecossistema Digital ndash Nossa Visatildeo
Haacute um ambiente propiacutecio agrave praacutetica de fraudes com o emprego de tecnologias da informaccedilatildeo (computadores em rede)
Natildeo estamos preparadas para combater estas praacuteticas pois na maioria dos casos os agentes fraudadores atuam internamente
A penetraccedilatildeo da Internet e o crescimento do seu uso atraveacutes do comeacutercio eletrocircnico e internet banking potencializam o problema
Os principais ativos migraram para o ambiente digital Conhecimento ndash Informaccedilotildees ndash Dados ndash Processos ndash Comunicaccedilotildees
Os ambientes digitais empregados satildeo inseguros por natureza micros redes locais e principalmente a Internet
Os sistemas de informaccedilotildees natildeo implementam controles adequados de seguranccedila e de detecccedilatildeo de fraudes
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Privacidade
Espionagem
Violaccedilatildeo da Propriedade Intelectual
Concorrecircncia desleal
Fraudes
Pirataria
Perdas e danos
Falsificaccedilotildees
Furto
Sabotagem Digital
Ciber Terrorismo
Guerra Ciberneacutetica
Ecossistema Digital ndash Ameaccedilas e Desafios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ameaccedilas Digitais
bull As ameaccedilas podem ser as mesmas mas o
CYBER-ESPACcedilO muda tudo bull A INTERNET possui 3 caracteriacutesticas novas
que tornam isso uma verdade Qualquer uma delas eacute ruim as 3 juntas satildeo horrorizantes
AUTOMACcedilAtildeO ACcedilAtildeO A DISTAcircNCIA e PROPAGACcedilAtildeO DA TEacuteCNICA
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Por que Seguranccedila
bull Evitar fraudes e perdas
bull Viabilizar aplicaccedilotildees e tecnologias
bull Atender agecircncias reguladoras
ndash Governanccedila Corporativa
ndash Conformidade
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Seguranccedila da Informaccedilatildeo no Brasil
bull Brasil maior nuacutemero de hackers
bull Projetos inovadores
ndash Eleiccedilotildees SPB Imposto de Renda Sistema financeiro
ndash ICP Brasil
bull Legislaccedilatildeo em desenvolvimento
ndash Especiacutefica
ndash Novo Coacutedigo Civil
bull Fortalecimento da atuaccedilatildeo de agecircncias
reguladoras
ndash Banco Central TCU CVM CFM
ndash Modelo da concessatildeo
bull Fortalecimento da accedilatildeo policial e judiciaacuteria
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Seguranccedila da Informaccedilatildeo no Brasil
bull + Inovaccedilatildeo
bull + Heterogeneidade
bull + Ataques
bull Legislaccedilatildeo
bull Accedilotildees policiais e de defesa especializados
bull Agecircncias de governo especializadas
bull Colaboraccedilatildeo entre as partes
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Os Desafios de Seguranccedila estatildeo
Crescendo
1 O ambiente de TI estaacute cada vez mais complexo
2 As accedilotildees de seguranccedila precisam estar integradas com a
legislaccedilatildeo e regulamentaccedilatildeo
3 A seguranccedila da informaccedilatildeo natildeo eacute soacute em computadores
4 Estaacute aumentando o valor financeiro da rede
5 O crime organizado tem aumentado sua atividade no meio
eletrocircnico
6 As tecnologias de ataque estatildeo se integrando
7 Crimes satildeo aleacutem-fronteiras
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Seguranccedila Tecnoloacutegica
Por que a Seguranccedila estaacute em Crescimento
1 O ambiente de TI estaacute cada vez mais
ndash Complexo
ndash Amplo
ndash Heterogecircneo
ndash Compacto multimiacutedia consumindo menos energia utilizando o
protocolo TCP-IP integrado com a rede de celulares
2 As accedilotildees de seguranccedila precisam estar integradas com a
legislaccedilatildeo e regulamentaccedilatildeo
ndash Responsabilidade Civil dos administradores e teacutecnicos
ndash Atendimento a Agecircncias Reguladoras
ndash Gestatildeo de Seguranccedila atraveacutes de normas e padrotildees
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Seguranccedila Tecnoloacutegica
Por que a Seguranccedila estaacute em Crescimento
3 A seguranccedila da informaccedilatildeo natildeo eacute soacute em computadores
deve considerar
ndash Sistemas de Telecomunicaccedilotildees
ndash Papel
ndash Conversas ndash pessoais e ao telefone
ndash Roubo de equipamentos
ndash Indeterminado
4 Estaacute aumentando o valor financeiro da rede
ndash Transaccedilotildees financeiras pela Internet
ndash Transaccedilotildees financeiras em sistemas internos
ndash Relacionamento pessoal
ndash Armazenamento de informaccedilotildees de valor
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Seguranccedila Tecnoloacutegica
Por que a Seguranccedila estaacute em Crescimento
5 O crime organizado tem aumentado sua atividade no
meio eletrocircnico
ndash Para usar novas tecnologias em crimes convencionais
ndash Para novos crimes tecnoloacutegicos
6 As tecnologias de ataque estatildeo se integrando
ndash Viacuterus Spam Spyware Invasatildeo
7 Crimes satildeo aleacutem-fronteiras
ndash CoreacuteiaBanda Larga ChinaQuantidade IndiaIPv6
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ameaccedilas Digitais
Novas Condutas
bull Acesso Indevido ao sistema de computador
bull Violaccedilatildeo ao sistema de computador
bull Furto de informaccedilotildees
bull Falsificaccedilatildeo de documentos com o uso do computador
bull Dano aos dados e informaccedilotildees arquivadas
bull Obtenccedilatildeo de segredos industriaiscomerciais
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ameaccedilas Digitais
Novas Condutas
bull Furto de tempo do sistema de informaacutetica
bull Coacutepia de programa
bull Violaccedilatildeo do Direito Autoral
bull Espionagem
bull Interceptaccedilatildeo indevida de informaccedilatildeo
bull Violaccedilatildeo de bases de dados pessoais
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
10 Anos de Spam
bull Dados divulgados mensalmente pela MessageLabs (empresa de filtragens de e-mails) mostra que em marccedilo deste ano 53 dos e-mails eram SPAM Em agosto uacuteltimo esse iacutendice foi de 842 tendo chegado a 945 em julho2004
SPAM
0
10
20
30
40
50
60
70
80
90
100
Marccedilo Abril Maio Junho Julho Agosto
SPAM
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Convergecircncia
bull Convergecircncia SPAM se tornou SCAM usando teacutecnicas de SPAM para propagar trojans e viacuterus
bull Criadores de viacuterus mais teacutecnicos motivaccedilatildeo era reconhecimento na ldquocomunidaderdquo
bull Spammers menos teacutecnicos focados no lucro
bull Novo cenaacuterio spammers mais teacutecnicos e criadores de viacuterus focados no lucro
bull Viacuterus criados com o objetivo de ajudar a espalhar mensagens ndash spam (ou controlar ativamente maacutequinas contaminadas) - DDoS
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Convergecircncia
bull Golpes financeiros na Internet combinam vaacuterias teacutecnicas
ndash SPAM no envio da mensagem
ndash Viacuterus na criaccedilatildeo e instalaccedilatildeo do Trojan
ndash Engenharia social
ndash Lavagem de dinheiro (pagamento de contas)
ndash Fraudes no comeacutercio eletrocircnico
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Por que proteger as informaccedilotildees
bull Perdas financeiras bull Comprometimento da imagem bull Perdas de clientes bull Perda de vantagem competitiva
O vazamento de informaccedilotildees pode causar
70 dos problemas de seguranccedila satildeo causados por desconhecimento dos procedimentos
2002 CSIFBI Computer Crime and Security Survey
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Instalaccedilatildeo
inadequada de
Software e
Hardware
Fontes das ameaccedilas
Acessos natildeo
autorizados a
sistemas
Vazamento de
Informaccedilotildees
Paralisaccedilatildeo dos
processos Descuido com
equipamentos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Engenharia Social
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Gerenciamento de Seguranccedila da Informaccedilatildeo
Metodologias de SI e Controle de Acesso
Seguranccedila em Redes e Telecomunicaccedilotildees
BCM (BIA BCP DRP)
Seguranccedila Fiacutesica das aacutereas de TI
Seguranccedila de Aplicaccedilotildees sistemas etc
Seguranccedila de Operaccedilotildees
Forensics (Leis Investigaccedilotildees e eacutetica)
Criptografia
Estruturaccedilatildeo da Aacuterea de
Seguranccedila da Informaccedilatildeo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
CBK ndash Common Body of Knowledge do (ISC)2
1 Metodologia e Sistemas de Controle de Acesso
2 Seguranccedila em Redes e Telecomunicaccedilotildees
3 Praacuteticas de Gerenciamento de Seguranccedila da Informaccedilatildeo
4 Seguranccedila de Aplicaccedilotildees sistemas (desenvolvimento e manutenccedilatildeo)
5 Uso controle e aplicaccedilatildeo de criptografia e PKI
6 Modelos e Arquitetura de Seguranccedila
7 Seguranccedila de Operaccedilotildees
8 Continuidade - BCM (BIA BCP DRP)
9 Forensics (Leis Investigaccedilotildees e Eacutetica)
10 Seguranccedila Fiacutesica das aacutereas de TI
Disciplinas de Seguranccedila da Informaccedilatildeo segundo o (ISC)2
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Novo Cenaacuterio Corporativo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Governanccedila Corporativa Gerenciamento do Risco Operacional
Conformidade
Qual a influecircncia da seguranccedila em TICs nesse novo cenaacuterio
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Novas necessidades regulatoacuterias
bull Gramm-Leach-Bliley Act (Privacidade das informaccedilotildees
financeiras) bull HIPAA - Health Insurance Portability and
Accountability Act (Privacidade das informaccedilotildees de sauacutede)
bull Sarbanes-Oxley (Retenccedilatildeo de informaccedilotildees contaacutebeis (principalmente))
bull Basileacuteia II (bancos)
bull Novo Coacutedigo Civil Brasileiro
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Novo papel do administrador de TI
Retenccedilatildeo de documentos eacute diferente
de backup
- faxes e-mails instant messages
- TODAS as versotildees de documentos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
- NBR ISOIEC 17799 e
- BS 7799-2
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
Seguranccedila em TICs
=
Tecnologia
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
Seguranccedila
=
Processo
Seguranccedila eacute processo tecnologia eacute ferramenta
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
O elo mais fraco da corrente eacute vocecirc
- apenas 48 das empresas americanas ministraram treinamento de
seguranccedila a seus empregados destas apenas 15 fizeram isso haacute menos de 6 meses
Fonte Human Firewall Security Awareness Index Survey 2003
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
BS 7799-2
bull Security policy
bull Organizational security
bull Asset classification and control
bull Personnel security
bull Physical and environmental security
bull Communications and operations management
bull Access control
bull Systems development and maintenance
bull Business continuity management
bull Compliance
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Papel da PESSOA na seguranccedila
bull Novas ameaccedilas surgem diariamente
bull Ferramentas teacutecnicas de seguranccedila com boa taxa de atualizaccedilatildeo
bull Grande investimento das corporaccedilotildees na seguranccedila da informaccedilatildeo
bull Pouco ou nenhum investimento em treinamento focado em seguranccedila
bull Todos satildeo responsaacuteveis ndash regras de conformidade
Sua casa tem fechadura e alarme certo
Mas vocecirc sabe usa-los
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Haacute algo de novo no Horizonte SIM Ciber Ataque e Sabotagem Digital
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Desastres naturais ou ataques fiacutesicos
X Ciber Ataque
bull Desastres naturais ou ataques fiacutesicos
- extensatildeo e dano imediato satildeo limitados
geograficamente
Ex Florianoacutepolis WTC
bull Cyber ataque
ndash natildeo localizado geograficamente
ndash pode ser dissipado com altiacutessima velocidade
ndash atinge todos e natildeo somente alvos especiacuteficos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Australian Sewage Attack
bull Marccedilo de 2000 ndash Brisbane Austraacutelia
bull Vitek Boden ndash consultor ndash sistema controlador de aacutegua
bull Marrochy Shire Council
bull Alterou as configuraccedilotildees das bombas das estaccedilotildees causando problemas em 2 estaccedilotildees
bull Boden foi capturado logo apoacutes o primeiro ataque com os equipamentos e programas que facilitaram o ataque que ateacute entatildeo era visto como um mal funcionamento do sistema
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Distributed denial of service attack bull Fevereiro de 2000
bull Anatomia
ndash Busca de hosts inseguros
ndash Instalaccedilatildeo de software para ataques tornado os servidores escravos do atacante
ndash Lanccedilamento do ataque remotamente ativando todos os sistemas simultaneamente
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Scaning Worms - The SQL Slammer attack bull Worms x viacuterus
ndash Viacuterus ficam latentes enquanto vocecirc natildeo faz alguma atividade para ativa-los
ndash Worms propaga-se automaticamente sem nenhuma atividade por parte do infectado
ndash Primeiro worm ndash 1989 ndash Morris worm
ndash Julho de 2001 ndash Code Red ndash 359000 sistemas ndash a cada 37 minutos dobrava sua capacidade de ataque
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Scaning Worms - The SQL Slammer attack
bull Janeiro de 2003 ndash SQL Slammer worm ndash Dobrava o numero de sistemas atacados a cada 85
segundos ndash Infectou 90 dos servidores vulneraacuteveis em apenas 10
minutos ndash Apenas 3 minutos apoacutes sua ativaccedilatildeo jaacute verificava os
servidores a uma velocidade de 55 milhotildees de verificaccedilotildees por segundo
ndash Infectou 75000 servidores com seacuterias consequumlecircncias bull 13000 ATM do Bank of America foram desabilitados bull O serviccedilo de emergecircncia 911 foi desabilitado afetando
680000 pessoas bull 14 corpos de bombeiros e 02 delegacias tambeacutem
foram afetados bull A Microsoft jaacute havia disponibilizado a correccedilatildeo a
6 meses
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Sabotagem Digital PDVSA
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Sabotagem Digital PDVSA
235
28
596
126 No petrolero
privado
Petrolero Puacuteblico
No petrolero
puacuteblico
Otros
-475 -112
-72 -10
D I
-236 -141
-27
Total -29
Queda do PIB Total 29 Primeiro Trimestre de 2003
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Norma NBR ISOIEC-17799 publicadas pela ABNT
CBK ndash Common Body of Knowledge do (ISC)2
TCSEC ndash Padratildeo US DoD (Orange Book)
ITSEC ndash Padratildeo Europeu
Common Criteria ndash ISO 15404
NIST 800 series
Melhores praacuteticas de seguranccedila de informaccedilotildees
Aderecircncia a Normas e padrotildees geralmente aceitos ndash GASSP
(Generally Accepted System Security Principles)
Adoccedilatildeo de Metodologias especiacuteficas para Seguranccedila da Informaccedilatildeo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Bacen
CVM
ANBID
C Civil
Basileacuteia II (RO)
HIPAA
SOx
outras normas e regulamentaccedilotildees
Atendimento a regulamentaccedilotildees
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Associaccedilotildees profissionais
ISSA
ISACA
ASIS
CSI
Grupos de trabalho
CB21 (Norma ABNT ISOIEC 17799)
Cerificaccedilotildees profissionais
CISSP
CISM
MCSO
CISA
CPP
Oportunidades de desenvolvimento do CSO
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
A Seguranccedila da Informaccedilatildeo natildeo deve ser um fim em si mesma
1 Melhor performance
2 Reduccedilatildeo de perdas
3 Compliance
4 Seguranccedila como agente habilitador de negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Capacitaccedilatildeo e
conscientizaccedilatildeo Monitoramento
Pessoas
Ferramentas e
mecanismos
bem configurados
Meacutetricas padrotildees
poliacuteticas e procedimentos Apoio da Alta
Administraccedilatildeo
Fatores Criacuteticos de Sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Endosso da Alta Administraccedilatildeo
Objetivo
Equipe
Independecircncia
Alinhamento ao Negoacutecio
Reporte Executivo Administraccedilatildeo e Controle
(Orccedilamento x meacutetricas de retorno da funccedilatildeo)
Comunicaccedilatildeo e Conscientizaccedilatildeo
Metodologia normas e modelos
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Outros fatores
Projetos
BAU (dia a dia)
Demonstrar o Sucesso
Benefiacutecios
Atuar mediante um plano
Coordenar atividades
Interagir melhor com deptos
Viabilizar continuidade
Integraccedilatildeo com o negoacutecio
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Princiacutepios que devem ser perseguidos
1 Proteger as pessoas e suas informaccedilotildees privadas (Funcionaacuterios
Clientes Fornecedores Acionistas Oacutergatildeos Reguladores)
2 Garantir Sistemas de Informaccedilatildeo integros e protegidos
3 Proteccedilatildeo perimetral da rede de computadores
4 Garantir soluccedilotildees tecnoloacutegicas seguras
5 Garantir soluccedilotildees de Continuidade de Negoacutecios
6 Promover conscientizaccedilatildeo contiacutenua sobre o tema
7 Proporcionar ambiente de negoacutecios alinhado agraves melhores praacuteticas
de Seguranccedila da Informaccedilatildeo internacionalmente aceitas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Funccedilotildees da Seguranccedila Digital
bull Proteccedilatildeo
bull Proteccedilatildeo do acervo ndash informaccedilatildeo e reputaccedilatildeo
bull Controle corporativo ndash obrigaccedilotildees legais
bull Viabilizaccedilatildeo de Negoacutecios
bull Competitividade e produtividade
bull Utilizar a Internet para atingir novos mercados
bull Estabelecer novas praacuteticas operacionais
bull e-Security estaacute baseado na credibilidade do usuaacuterio na empresa e nos serviccedilos que ela oferece
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Modelo de Seguranccedila Responsabilidade Civil do Executivo de
Negoacutecios (ISO 17799 12)
Responsabilidade Civil do CIO
(ISO 17799 12)
Conformidade com a
Lei e Regulamentaccedilatildeo
(ISO 17799 12)
Seguranccedila Fiacutesica
(ISO 17799 7)
Aplicaccedilatildeo Segura
(desenvolvimento
e produccedilatildeo)
(ISO 17799 10)
Seguranccedila da Infra-estrutura
(ISO 17799 589)
Conscientizaccedilatildeo e
Responsabilizaccedilatildeo dos
Usuaacuterios (ISO 17799 6)
Contratos com Fornecedores
(ISO 17799 4)
Continuidade do Negoacutecio
(ISO 17799 11)
Evidecircncias Forenses
(ISO 17799 12)
Monitoraccedilatildeo e Respostas a
Incidentes (ISO 17799 9)
Poliacutetica de Seguranccedila
(ISO 17799 3)
Infra-estrutura
Sistemas
Negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
O Modelo de Seguranccedila
Infra-estrutura
Sistemas
Negoacutecios
Clientes
Fornecedores
Agecircncias Reguladoras
Fazenda
Usuaacuterios
Judiciaacuterio
Melhores Praacuteticas
Integraccedilatildeo com o negoacutecio
Combate a Fraudes
Ambiente Heterogecircneo
Novas Tecnologias
Conformidade
Anaacutelise de Riscos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Perguntas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
RICARDO THEIL
Muito obrigado
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ecossistema Digital ndash Nossa Visatildeo
Haacute um ambiente propiacutecio agrave praacutetica de fraudes com o emprego de tecnologias da informaccedilatildeo (computadores em rede)
Natildeo estamos preparadas para combater estas praacuteticas pois na maioria dos casos os agentes fraudadores atuam internamente
A penetraccedilatildeo da Internet e o crescimento do seu uso atraveacutes do comeacutercio eletrocircnico e internet banking potencializam o problema
Os principais ativos migraram para o ambiente digital Conhecimento ndash Informaccedilotildees ndash Dados ndash Processos ndash Comunicaccedilotildees
Os ambientes digitais empregados satildeo inseguros por natureza micros redes locais e principalmente a Internet
Os sistemas de informaccedilotildees natildeo implementam controles adequados de seguranccedila e de detecccedilatildeo de fraudes
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Privacidade
Espionagem
Violaccedilatildeo da Propriedade Intelectual
Concorrecircncia desleal
Fraudes
Pirataria
Perdas e danos
Falsificaccedilotildees
Furto
Sabotagem Digital
Ciber Terrorismo
Guerra Ciberneacutetica
Ecossistema Digital ndash Ameaccedilas e Desafios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ameaccedilas Digitais
bull As ameaccedilas podem ser as mesmas mas o
CYBER-ESPACcedilO muda tudo bull A INTERNET possui 3 caracteriacutesticas novas
que tornam isso uma verdade Qualquer uma delas eacute ruim as 3 juntas satildeo horrorizantes
AUTOMACcedilAtildeO ACcedilAtildeO A DISTAcircNCIA e PROPAGACcedilAtildeO DA TEacuteCNICA
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Por que Seguranccedila
bull Evitar fraudes e perdas
bull Viabilizar aplicaccedilotildees e tecnologias
bull Atender agecircncias reguladoras
ndash Governanccedila Corporativa
ndash Conformidade
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Seguranccedila da Informaccedilatildeo no Brasil
bull Brasil maior nuacutemero de hackers
bull Projetos inovadores
ndash Eleiccedilotildees SPB Imposto de Renda Sistema financeiro
ndash ICP Brasil
bull Legislaccedilatildeo em desenvolvimento
ndash Especiacutefica
ndash Novo Coacutedigo Civil
bull Fortalecimento da atuaccedilatildeo de agecircncias
reguladoras
ndash Banco Central TCU CVM CFM
ndash Modelo da concessatildeo
bull Fortalecimento da accedilatildeo policial e judiciaacuteria
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Seguranccedila da Informaccedilatildeo no Brasil
bull + Inovaccedilatildeo
bull + Heterogeneidade
bull + Ataques
bull Legislaccedilatildeo
bull Accedilotildees policiais e de defesa especializados
bull Agecircncias de governo especializadas
bull Colaboraccedilatildeo entre as partes
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Os Desafios de Seguranccedila estatildeo
Crescendo
1 O ambiente de TI estaacute cada vez mais complexo
2 As accedilotildees de seguranccedila precisam estar integradas com a
legislaccedilatildeo e regulamentaccedilatildeo
3 A seguranccedila da informaccedilatildeo natildeo eacute soacute em computadores
4 Estaacute aumentando o valor financeiro da rede
5 O crime organizado tem aumentado sua atividade no meio
eletrocircnico
6 As tecnologias de ataque estatildeo se integrando
7 Crimes satildeo aleacutem-fronteiras
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Seguranccedila Tecnoloacutegica
Por que a Seguranccedila estaacute em Crescimento
1 O ambiente de TI estaacute cada vez mais
ndash Complexo
ndash Amplo
ndash Heterogecircneo
ndash Compacto multimiacutedia consumindo menos energia utilizando o
protocolo TCP-IP integrado com a rede de celulares
2 As accedilotildees de seguranccedila precisam estar integradas com a
legislaccedilatildeo e regulamentaccedilatildeo
ndash Responsabilidade Civil dos administradores e teacutecnicos
ndash Atendimento a Agecircncias Reguladoras
ndash Gestatildeo de Seguranccedila atraveacutes de normas e padrotildees
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Seguranccedila Tecnoloacutegica
Por que a Seguranccedila estaacute em Crescimento
3 A seguranccedila da informaccedilatildeo natildeo eacute soacute em computadores
deve considerar
ndash Sistemas de Telecomunicaccedilotildees
ndash Papel
ndash Conversas ndash pessoais e ao telefone
ndash Roubo de equipamentos
ndash Indeterminado
4 Estaacute aumentando o valor financeiro da rede
ndash Transaccedilotildees financeiras pela Internet
ndash Transaccedilotildees financeiras em sistemas internos
ndash Relacionamento pessoal
ndash Armazenamento de informaccedilotildees de valor
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Seguranccedila Tecnoloacutegica
Por que a Seguranccedila estaacute em Crescimento
5 O crime organizado tem aumentado sua atividade no
meio eletrocircnico
ndash Para usar novas tecnologias em crimes convencionais
ndash Para novos crimes tecnoloacutegicos
6 As tecnologias de ataque estatildeo se integrando
ndash Viacuterus Spam Spyware Invasatildeo
7 Crimes satildeo aleacutem-fronteiras
ndash CoreacuteiaBanda Larga ChinaQuantidade IndiaIPv6
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ameaccedilas Digitais
Novas Condutas
bull Acesso Indevido ao sistema de computador
bull Violaccedilatildeo ao sistema de computador
bull Furto de informaccedilotildees
bull Falsificaccedilatildeo de documentos com o uso do computador
bull Dano aos dados e informaccedilotildees arquivadas
bull Obtenccedilatildeo de segredos industriaiscomerciais
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ameaccedilas Digitais
Novas Condutas
bull Furto de tempo do sistema de informaacutetica
bull Coacutepia de programa
bull Violaccedilatildeo do Direito Autoral
bull Espionagem
bull Interceptaccedilatildeo indevida de informaccedilatildeo
bull Violaccedilatildeo de bases de dados pessoais
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
10 Anos de Spam
bull Dados divulgados mensalmente pela MessageLabs (empresa de filtragens de e-mails) mostra que em marccedilo deste ano 53 dos e-mails eram SPAM Em agosto uacuteltimo esse iacutendice foi de 842 tendo chegado a 945 em julho2004
SPAM
0
10
20
30
40
50
60
70
80
90
100
Marccedilo Abril Maio Junho Julho Agosto
SPAM
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Convergecircncia
bull Convergecircncia SPAM se tornou SCAM usando teacutecnicas de SPAM para propagar trojans e viacuterus
bull Criadores de viacuterus mais teacutecnicos motivaccedilatildeo era reconhecimento na ldquocomunidaderdquo
bull Spammers menos teacutecnicos focados no lucro
bull Novo cenaacuterio spammers mais teacutecnicos e criadores de viacuterus focados no lucro
bull Viacuterus criados com o objetivo de ajudar a espalhar mensagens ndash spam (ou controlar ativamente maacutequinas contaminadas) - DDoS
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Convergecircncia
bull Golpes financeiros na Internet combinam vaacuterias teacutecnicas
ndash SPAM no envio da mensagem
ndash Viacuterus na criaccedilatildeo e instalaccedilatildeo do Trojan
ndash Engenharia social
ndash Lavagem de dinheiro (pagamento de contas)
ndash Fraudes no comeacutercio eletrocircnico
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Por que proteger as informaccedilotildees
bull Perdas financeiras bull Comprometimento da imagem bull Perdas de clientes bull Perda de vantagem competitiva
O vazamento de informaccedilotildees pode causar
70 dos problemas de seguranccedila satildeo causados por desconhecimento dos procedimentos
2002 CSIFBI Computer Crime and Security Survey
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Instalaccedilatildeo
inadequada de
Software e
Hardware
Fontes das ameaccedilas
Acessos natildeo
autorizados a
sistemas
Vazamento de
Informaccedilotildees
Paralisaccedilatildeo dos
processos Descuido com
equipamentos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Engenharia Social
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Gerenciamento de Seguranccedila da Informaccedilatildeo
Metodologias de SI e Controle de Acesso
Seguranccedila em Redes e Telecomunicaccedilotildees
BCM (BIA BCP DRP)
Seguranccedila Fiacutesica das aacutereas de TI
Seguranccedila de Aplicaccedilotildees sistemas etc
Seguranccedila de Operaccedilotildees
Forensics (Leis Investigaccedilotildees e eacutetica)
Criptografia
Estruturaccedilatildeo da Aacuterea de
Seguranccedila da Informaccedilatildeo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
CBK ndash Common Body of Knowledge do (ISC)2
1 Metodologia e Sistemas de Controle de Acesso
2 Seguranccedila em Redes e Telecomunicaccedilotildees
3 Praacuteticas de Gerenciamento de Seguranccedila da Informaccedilatildeo
4 Seguranccedila de Aplicaccedilotildees sistemas (desenvolvimento e manutenccedilatildeo)
5 Uso controle e aplicaccedilatildeo de criptografia e PKI
6 Modelos e Arquitetura de Seguranccedila
7 Seguranccedila de Operaccedilotildees
8 Continuidade - BCM (BIA BCP DRP)
9 Forensics (Leis Investigaccedilotildees e Eacutetica)
10 Seguranccedila Fiacutesica das aacutereas de TI
Disciplinas de Seguranccedila da Informaccedilatildeo segundo o (ISC)2
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Novo Cenaacuterio Corporativo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Governanccedila Corporativa Gerenciamento do Risco Operacional
Conformidade
Qual a influecircncia da seguranccedila em TICs nesse novo cenaacuterio
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Novas necessidades regulatoacuterias
bull Gramm-Leach-Bliley Act (Privacidade das informaccedilotildees
financeiras) bull HIPAA - Health Insurance Portability and
Accountability Act (Privacidade das informaccedilotildees de sauacutede)
bull Sarbanes-Oxley (Retenccedilatildeo de informaccedilotildees contaacutebeis (principalmente))
bull Basileacuteia II (bancos)
bull Novo Coacutedigo Civil Brasileiro
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Novo papel do administrador de TI
Retenccedilatildeo de documentos eacute diferente
de backup
- faxes e-mails instant messages
- TODAS as versotildees de documentos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
- NBR ISOIEC 17799 e
- BS 7799-2
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
Seguranccedila em TICs
=
Tecnologia
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
Seguranccedila
=
Processo
Seguranccedila eacute processo tecnologia eacute ferramenta
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
O elo mais fraco da corrente eacute vocecirc
- apenas 48 das empresas americanas ministraram treinamento de
seguranccedila a seus empregados destas apenas 15 fizeram isso haacute menos de 6 meses
Fonte Human Firewall Security Awareness Index Survey 2003
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
BS 7799-2
bull Security policy
bull Organizational security
bull Asset classification and control
bull Personnel security
bull Physical and environmental security
bull Communications and operations management
bull Access control
bull Systems development and maintenance
bull Business continuity management
bull Compliance
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Papel da PESSOA na seguranccedila
bull Novas ameaccedilas surgem diariamente
bull Ferramentas teacutecnicas de seguranccedila com boa taxa de atualizaccedilatildeo
bull Grande investimento das corporaccedilotildees na seguranccedila da informaccedilatildeo
bull Pouco ou nenhum investimento em treinamento focado em seguranccedila
bull Todos satildeo responsaacuteveis ndash regras de conformidade
Sua casa tem fechadura e alarme certo
Mas vocecirc sabe usa-los
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Haacute algo de novo no Horizonte SIM Ciber Ataque e Sabotagem Digital
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Desastres naturais ou ataques fiacutesicos
X Ciber Ataque
bull Desastres naturais ou ataques fiacutesicos
- extensatildeo e dano imediato satildeo limitados
geograficamente
Ex Florianoacutepolis WTC
bull Cyber ataque
ndash natildeo localizado geograficamente
ndash pode ser dissipado com altiacutessima velocidade
ndash atinge todos e natildeo somente alvos especiacuteficos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Australian Sewage Attack
bull Marccedilo de 2000 ndash Brisbane Austraacutelia
bull Vitek Boden ndash consultor ndash sistema controlador de aacutegua
bull Marrochy Shire Council
bull Alterou as configuraccedilotildees das bombas das estaccedilotildees causando problemas em 2 estaccedilotildees
bull Boden foi capturado logo apoacutes o primeiro ataque com os equipamentos e programas que facilitaram o ataque que ateacute entatildeo era visto como um mal funcionamento do sistema
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Distributed denial of service attack bull Fevereiro de 2000
bull Anatomia
ndash Busca de hosts inseguros
ndash Instalaccedilatildeo de software para ataques tornado os servidores escravos do atacante
ndash Lanccedilamento do ataque remotamente ativando todos os sistemas simultaneamente
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Scaning Worms - The SQL Slammer attack bull Worms x viacuterus
ndash Viacuterus ficam latentes enquanto vocecirc natildeo faz alguma atividade para ativa-los
ndash Worms propaga-se automaticamente sem nenhuma atividade por parte do infectado
ndash Primeiro worm ndash 1989 ndash Morris worm
ndash Julho de 2001 ndash Code Red ndash 359000 sistemas ndash a cada 37 minutos dobrava sua capacidade de ataque
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Scaning Worms - The SQL Slammer attack
bull Janeiro de 2003 ndash SQL Slammer worm ndash Dobrava o numero de sistemas atacados a cada 85
segundos ndash Infectou 90 dos servidores vulneraacuteveis em apenas 10
minutos ndash Apenas 3 minutos apoacutes sua ativaccedilatildeo jaacute verificava os
servidores a uma velocidade de 55 milhotildees de verificaccedilotildees por segundo
ndash Infectou 75000 servidores com seacuterias consequumlecircncias bull 13000 ATM do Bank of America foram desabilitados bull O serviccedilo de emergecircncia 911 foi desabilitado afetando
680000 pessoas bull 14 corpos de bombeiros e 02 delegacias tambeacutem
foram afetados bull A Microsoft jaacute havia disponibilizado a correccedilatildeo a
6 meses
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Sabotagem Digital PDVSA
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Sabotagem Digital PDVSA
235
28
596
126 No petrolero
privado
Petrolero Puacuteblico
No petrolero
puacuteblico
Otros
-475 -112
-72 -10
D I
-236 -141
-27
Total -29
Queda do PIB Total 29 Primeiro Trimestre de 2003
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Norma NBR ISOIEC-17799 publicadas pela ABNT
CBK ndash Common Body of Knowledge do (ISC)2
TCSEC ndash Padratildeo US DoD (Orange Book)
ITSEC ndash Padratildeo Europeu
Common Criteria ndash ISO 15404
NIST 800 series
Melhores praacuteticas de seguranccedila de informaccedilotildees
Aderecircncia a Normas e padrotildees geralmente aceitos ndash GASSP
(Generally Accepted System Security Principles)
Adoccedilatildeo de Metodologias especiacuteficas para Seguranccedila da Informaccedilatildeo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Bacen
CVM
ANBID
C Civil
Basileacuteia II (RO)
HIPAA
SOx
outras normas e regulamentaccedilotildees
Atendimento a regulamentaccedilotildees
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Associaccedilotildees profissionais
ISSA
ISACA
ASIS
CSI
Grupos de trabalho
CB21 (Norma ABNT ISOIEC 17799)
Cerificaccedilotildees profissionais
CISSP
CISM
MCSO
CISA
CPP
Oportunidades de desenvolvimento do CSO
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
A Seguranccedila da Informaccedilatildeo natildeo deve ser um fim em si mesma
1 Melhor performance
2 Reduccedilatildeo de perdas
3 Compliance
4 Seguranccedila como agente habilitador de negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Capacitaccedilatildeo e
conscientizaccedilatildeo Monitoramento
Pessoas
Ferramentas e
mecanismos
bem configurados
Meacutetricas padrotildees
poliacuteticas e procedimentos Apoio da Alta
Administraccedilatildeo
Fatores Criacuteticos de Sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Endosso da Alta Administraccedilatildeo
Objetivo
Equipe
Independecircncia
Alinhamento ao Negoacutecio
Reporte Executivo Administraccedilatildeo e Controle
(Orccedilamento x meacutetricas de retorno da funccedilatildeo)
Comunicaccedilatildeo e Conscientizaccedilatildeo
Metodologia normas e modelos
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Outros fatores
Projetos
BAU (dia a dia)
Demonstrar o Sucesso
Benefiacutecios
Atuar mediante um plano
Coordenar atividades
Interagir melhor com deptos
Viabilizar continuidade
Integraccedilatildeo com o negoacutecio
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Princiacutepios que devem ser perseguidos
1 Proteger as pessoas e suas informaccedilotildees privadas (Funcionaacuterios
Clientes Fornecedores Acionistas Oacutergatildeos Reguladores)
2 Garantir Sistemas de Informaccedilatildeo integros e protegidos
3 Proteccedilatildeo perimetral da rede de computadores
4 Garantir soluccedilotildees tecnoloacutegicas seguras
5 Garantir soluccedilotildees de Continuidade de Negoacutecios
6 Promover conscientizaccedilatildeo contiacutenua sobre o tema
7 Proporcionar ambiente de negoacutecios alinhado agraves melhores praacuteticas
de Seguranccedila da Informaccedilatildeo internacionalmente aceitas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Funccedilotildees da Seguranccedila Digital
bull Proteccedilatildeo
bull Proteccedilatildeo do acervo ndash informaccedilatildeo e reputaccedilatildeo
bull Controle corporativo ndash obrigaccedilotildees legais
bull Viabilizaccedilatildeo de Negoacutecios
bull Competitividade e produtividade
bull Utilizar a Internet para atingir novos mercados
bull Estabelecer novas praacuteticas operacionais
bull e-Security estaacute baseado na credibilidade do usuaacuterio na empresa e nos serviccedilos que ela oferece
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Modelo de Seguranccedila Responsabilidade Civil do Executivo de
Negoacutecios (ISO 17799 12)
Responsabilidade Civil do CIO
(ISO 17799 12)
Conformidade com a
Lei e Regulamentaccedilatildeo
(ISO 17799 12)
Seguranccedila Fiacutesica
(ISO 17799 7)
Aplicaccedilatildeo Segura
(desenvolvimento
e produccedilatildeo)
(ISO 17799 10)
Seguranccedila da Infra-estrutura
(ISO 17799 589)
Conscientizaccedilatildeo e
Responsabilizaccedilatildeo dos
Usuaacuterios (ISO 17799 6)
Contratos com Fornecedores
(ISO 17799 4)
Continuidade do Negoacutecio
(ISO 17799 11)
Evidecircncias Forenses
(ISO 17799 12)
Monitoraccedilatildeo e Respostas a
Incidentes (ISO 17799 9)
Poliacutetica de Seguranccedila
(ISO 17799 3)
Infra-estrutura
Sistemas
Negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
O Modelo de Seguranccedila
Infra-estrutura
Sistemas
Negoacutecios
Clientes
Fornecedores
Agecircncias Reguladoras
Fazenda
Usuaacuterios
Judiciaacuterio
Melhores Praacuteticas
Integraccedilatildeo com o negoacutecio
Combate a Fraudes
Ambiente Heterogecircneo
Novas Tecnologias
Conformidade
Anaacutelise de Riscos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Perguntas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
RICARDO THEIL
Muito obrigado
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Privacidade
Espionagem
Violaccedilatildeo da Propriedade Intelectual
Concorrecircncia desleal
Fraudes
Pirataria
Perdas e danos
Falsificaccedilotildees
Furto
Sabotagem Digital
Ciber Terrorismo
Guerra Ciberneacutetica
Ecossistema Digital ndash Ameaccedilas e Desafios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ameaccedilas Digitais
bull As ameaccedilas podem ser as mesmas mas o
CYBER-ESPACcedilO muda tudo bull A INTERNET possui 3 caracteriacutesticas novas
que tornam isso uma verdade Qualquer uma delas eacute ruim as 3 juntas satildeo horrorizantes
AUTOMACcedilAtildeO ACcedilAtildeO A DISTAcircNCIA e PROPAGACcedilAtildeO DA TEacuteCNICA
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Por que Seguranccedila
bull Evitar fraudes e perdas
bull Viabilizar aplicaccedilotildees e tecnologias
bull Atender agecircncias reguladoras
ndash Governanccedila Corporativa
ndash Conformidade
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Seguranccedila da Informaccedilatildeo no Brasil
bull Brasil maior nuacutemero de hackers
bull Projetos inovadores
ndash Eleiccedilotildees SPB Imposto de Renda Sistema financeiro
ndash ICP Brasil
bull Legislaccedilatildeo em desenvolvimento
ndash Especiacutefica
ndash Novo Coacutedigo Civil
bull Fortalecimento da atuaccedilatildeo de agecircncias
reguladoras
ndash Banco Central TCU CVM CFM
ndash Modelo da concessatildeo
bull Fortalecimento da accedilatildeo policial e judiciaacuteria
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Seguranccedila da Informaccedilatildeo no Brasil
bull + Inovaccedilatildeo
bull + Heterogeneidade
bull + Ataques
bull Legislaccedilatildeo
bull Accedilotildees policiais e de defesa especializados
bull Agecircncias de governo especializadas
bull Colaboraccedilatildeo entre as partes
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Os Desafios de Seguranccedila estatildeo
Crescendo
1 O ambiente de TI estaacute cada vez mais complexo
2 As accedilotildees de seguranccedila precisam estar integradas com a
legislaccedilatildeo e regulamentaccedilatildeo
3 A seguranccedila da informaccedilatildeo natildeo eacute soacute em computadores
4 Estaacute aumentando o valor financeiro da rede
5 O crime organizado tem aumentado sua atividade no meio
eletrocircnico
6 As tecnologias de ataque estatildeo se integrando
7 Crimes satildeo aleacutem-fronteiras
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Seguranccedila Tecnoloacutegica
Por que a Seguranccedila estaacute em Crescimento
1 O ambiente de TI estaacute cada vez mais
ndash Complexo
ndash Amplo
ndash Heterogecircneo
ndash Compacto multimiacutedia consumindo menos energia utilizando o
protocolo TCP-IP integrado com a rede de celulares
2 As accedilotildees de seguranccedila precisam estar integradas com a
legislaccedilatildeo e regulamentaccedilatildeo
ndash Responsabilidade Civil dos administradores e teacutecnicos
ndash Atendimento a Agecircncias Reguladoras
ndash Gestatildeo de Seguranccedila atraveacutes de normas e padrotildees
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Seguranccedila Tecnoloacutegica
Por que a Seguranccedila estaacute em Crescimento
3 A seguranccedila da informaccedilatildeo natildeo eacute soacute em computadores
deve considerar
ndash Sistemas de Telecomunicaccedilotildees
ndash Papel
ndash Conversas ndash pessoais e ao telefone
ndash Roubo de equipamentos
ndash Indeterminado
4 Estaacute aumentando o valor financeiro da rede
ndash Transaccedilotildees financeiras pela Internet
ndash Transaccedilotildees financeiras em sistemas internos
ndash Relacionamento pessoal
ndash Armazenamento de informaccedilotildees de valor
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Seguranccedila Tecnoloacutegica
Por que a Seguranccedila estaacute em Crescimento
5 O crime organizado tem aumentado sua atividade no
meio eletrocircnico
ndash Para usar novas tecnologias em crimes convencionais
ndash Para novos crimes tecnoloacutegicos
6 As tecnologias de ataque estatildeo se integrando
ndash Viacuterus Spam Spyware Invasatildeo
7 Crimes satildeo aleacutem-fronteiras
ndash CoreacuteiaBanda Larga ChinaQuantidade IndiaIPv6
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ameaccedilas Digitais
Novas Condutas
bull Acesso Indevido ao sistema de computador
bull Violaccedilatildeo ao sistema de computador
bull Furto de informaccedilotildees
bull Falsificaccedilatildeo de documentos com o uso do computador
bull Dano aos dados e informaccedilotildees arquivadas
bull Obtenccedilatildeo de segredos industriaiscomerciais
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ameaccedilas Digitais
Novas Condutas
bull Furto de tempo do sistema de informaacutetica
bull Coacutepia de programa
bull Violaccedilatildeo do Direito Autoral
bull Espionagem
bull Interceptaccedilatildeo indevida de informaccedilatildeo
bull Violaccedilatildeo de bases de dados pessoais
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
10 Anos de Spam
bull Dados divulgados mensalmente pela MessageLabs (empresa de filtragens de e-mails) mostra que em marccedilo deste ano 53 dos e-mails eram SPAM Em agosto uacuteltimo esse iacutendice foi de 842 tendo chegado a 945 em julho2004
SPAM
0
10
20
30
40
50
60
70
80
90
100
Marccedilo Abril Maio Junho Julho Agosto
SPAM
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Convergecircncia
bull Convergecircncia SPAM se tornou SCAM usando teacutecnicas de SPAM para propagar trojans e viacuterus
bull Criadores de viacuterus mais teacutecnicos motivaccedilatildeo era reconhecimento na ldquocomunidaderdquo
bull Spammers menos teacutecnicos focados no lucro
bull Novo cenaacuterio spammers mais teacutecnicos e criadores de viacuterus focados no lucro
bull Viacuterus criados com o objetivo de ajudar a espalhar mensagens ndash spam (ou controlar ativamente maacutequinas contaminadas) - DDoS
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Convergecircncia
bull Golpes financeiros na Internet combinam vaacuterias teacutecnicas
ndash SPAM no envio da mensagem
ndash Viacuterus na criaccedilatildeo e instalaccedilatildeo do Trojan
ndash Engenharia social
ndash Lavagem de dinheiro (pagamento de contas)
ndash Fraudes no comeacutercio eletrocircnico
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Por que proteger as informaccedilotildees
bull Perdas financeiras bull Comprometimento da imagem bull Perdas de clientes bull Perda de vantagem competitiva
O vazamento de informaccedilotildees pode causar
70 dos problemas de seguranccedila satildeo causados por desconhecimento dos procedimentos
2002 CSIFBI Computer Crime and Security Survey
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Instalaccedilatildeo
inadequada de
Software e
Hardware
Fontes das ameaccedilas
Acessos natildeo
autorizados a
sistemas
Vazamento de
Informaccedilotildees
Paralisaccedilatildeo dos
processos Descuido com
equipamentos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Engenharia Social
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Gerenciamento de Seguranccedila da Informaccedilatildeo
Metodologias de SI e Controle de Acesso
Seguranccedila em Redes e Telecomunicaccedilotildees
BCM (BIA BCP DRP)
Seguranccedila Fiacutesica das aacutereas de TI
Seguranccedila de Aplicaccedilotildees sistemas etc
Seguranccedila de Operaccedilotildees
Forensics (Leis Investigaccedilotildees e eacutetica)
Criptografia
Estruturaccedilatildeo da Aacuterea de
Seguranccedila da Informaccedilatildeo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
CBK ndash Common Body of Knowledge do (ISC)2
1 Metodologia e Sistemas de Controle de Acesso
2 Seguranccedila em Redes e Telecomunicaccedilotildees
3 Praacuteticas de Gerenciamento de Seguranccedila da Informaccedilatildeo
4 Seguranccedila de Aplicaccedilotildees sistemas (desenvolvimento e manutenccedilatildeo)
5 Uso controle e aplicaccedilatildeo de criptografia e PKI
6 Modelos e Arquitetura de Seguranccedila
7 Seguranccedila de Operaccedilotildees
8 Continuidade - BCM (BIA BCP DRP)
9 Forensics (Leis Investigaccedilotildees e Eacutetica)
10 Seguranccedila Fiacutesica das aacutereas de TI
Disciplinas de Seguranccedila da Informaccedilatildeo segundo o (ISC)2
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Novo Cenaacuterio Corporativo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Governanccedila Corporativa Gerenciamento do Risco Operacional
Conformidade
Qual a influecircncia da seguranccedila em TICs nesse novo cenaacuterio
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Novas necessidades regulatoacuterias
bull Gramm-Leach-Bliley Act (Privacidade das informaccedilotildees
financeiras) bull HIPAA - Health Insurance Portability and
Accountability Act (Privacidade das informaccedilotildees de sauacutede)
bull Sarbanes-Oxley (Retenccedilatildeo de informaccedilotildees contaacutebeis (principalmente))
bull Basileacuteia II (bancos)
bull Novo Coacutedigo Civil Brasileiro
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Novo papel do administrador de TI
Retenccedilatildeo de documentos eacute diferente
de backup
- faxes e-mails instant messages
- TODAS as versotildees de documentos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
- NBR ISOIEC 17799 e
- BS 7799-2
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
Seguranccedila em TICs
=
Tecnologia
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
Seguranccedila
=
Processo
Seguranccedila eacute processo tecnologia eacute ferramenta
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
O elo mais fraco da corrente eacute vocecirc
- apenas 48 das empresas americanas ministraram treinamento de
seguranccedila a seus empregados destas apenas 15 fizeram isso haacute menos de 6 meses
Fonte Human Firewall Security Awareness Index Survey 2003
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
BS 7799-2
bull Security policy
bull Organizational security
bull Asset classification and control
bull Personnel security
bull Physical and environmental security
bull Communications and operations management
bull Access control
bull Systems development and maintenance
bull Business continuity management
bull Compliance
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Papel da PESSOA na seguranccedila
bull Novas ameaccedilas surgem diariamente
bull Ferramentas teacutecnicas de seguranccedila com boa taxa de atualizaccedilatildeo
bull Grande investimento das corporaccedilotildees na seguranccedila da informaccedilatildeo
bull Pouco ou nenhum investimento em treinamento focado em seguranccedila
bull Todos satildeo responsaacuteveis ndash regras de conformidade
Sua casa tem fechadura e alarme certo
Mas vocecirc sabe usa-los
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Haacute algo de novo no Horizonte SIM Ciber Ataque e Sabotagem Digital
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Desastres naturais ou ataques fiacutesicos
X Ciber Ataque
bull Desastres naturais ou ataques fiacutesicos
- extensatildeo e dano imediato satildeo limitados
geograficamente
Ex Florianoacutepolis WTC
bull Cyber ataque
ndash natildeo localizado geograficamente
ndash pode ser dissipado com altiacutessima velocidade
ndash atinge todos e natildeo somente alvos especiacuteficos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Australian Sewage Attack
bull Marccedilo de 2000 ndash Brisbane Austraacutelia
bull Vitek Boden ndash consultor ndash sistema controlador de aacutegua
bull Marrochy Shire Council
bull Alterou as configuraccedilotildees das bombas das estaccedilotildees causando problemas em 2 estaccedilotildees
bull Boden foi capturado logo apoacutes o primeiro ataque com os equipamentos e programas que facilitaram o ataque que ateacute entatildeo era visto como um mal funcionamento do sistema
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Distributed denial of service attack bull Fevereiro de 2000
bull Anatomia
ndash Busca de hosts inseguros
ndash Instalaccedilatildeo de software para ataques tornado os servidores escravos do atacante
ndash Lanccedilamento do ataque remotamente ativando todos os sistemas simultaneamente
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Scaning Worms - The SQL Slammer attack bull Worms x viacuterus
ndash Viacuterus ficam latentes enquanto vocecirc natildeo faz alguma atividade para ativa-los
ndash Worms propaga-se automaticamente sem nenhuma atividade por parte do infectado
ndash Primeiro worm ndash 1989 ndash Morris worm
ndash Julho de 2001 ndash Code Red ndash 359000 sistemas ndash a cada 37 minutos dobrava sua capacidade de ataque
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Scaning Worms - The SQL Slammer attack
bull Janeiro de 2003 ndash SQL Slammer worm ndash Dobrava o numero de sistemas atacados a cada 85
segundos ndash Infectou 90 dos servidores vulneraacuteveis em apenas 10
minutos ndash Apenas 3 minutos apoacutes sua ativaccedilatildeo jaacute verificava os
servidores a uma velocidade de 55 milhotildees de verificaccedilotildees por segundo
ndash Infectou 75000 servidores com seacuterias consequumlecircncias bull 13000 ATM do Bank of America foram desabilitados bull O serviccedilo de emergecircncia 911 foi desabilitado afetando
680000 pessoas bull 14 corpos de bombeiros e 02 delegacias tambeacutem
foram afetados bull A Microsoft jaacute havia disponibilizado a correccedilatildeo a
6 meses
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Sabotagem Digital PDVSA
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Sabotagem Digital PDVSA
235
28
596
126 No petrolero
privado
Petrolero Puacuteblico
No petrolero
puacuteblico
Otros
-475 -112
-72 -10
D I
-236 -141
-27
Total -29
Queda do PIB Total 29 Primeiro Trimestre de 2003
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Norma NBR ISOIEC-17799 publicadas pela ABNT
CBK ndash Common Body of Knowledge do (ISC)2
TCSEC ndash Padratildeo US DoD (Orange Book)
ITSEC ndash Padratildeo Europeu
Common Criteria ndash ISO 15404
NIST 800 series
Melhores praacuteticas de seguranccedila de informaccedilotildees
Aderecircncia a Normas e padrotildees geralmente aceitos ndash GASSP
(Generally Accepted System Security Principles)
Adoccedilatildeo de Metodologias especiacuteficas para Seguranccedila da Informaccedilatildeo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Bacen
CVM
ANBID
C Civil
Basileacuteia II (RO)
HIPAA
SOx
outras normas e regulamentaccedilotildees
Atendimento a regulamentaccedilotildees
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Associaccedilotildees profissionais
ISSA
ISACA
ASIS
CSI
Grupos de trabalho
CB21 (Norma ABNT ISOIEC 17799)
Cerificaccedilotildees profissionais
CISSP
CISM
MCSO
CISA
CPP
Oportunidades de desenvolvimento do CSO
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
A Seguranccedila da Informaccedilatildeo natildeo deve ser um fim em si mesma
1 Melhor performance
2 Reduccedilatildeo de perdas
3 Compliance
4 Seguranccedila como agente habilitador de negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Capacitaccedilatildeo e
conscientizaccedilatildeo Monitoramento
Pessoas
Ferramentas e
mecanismos
bem configurados
Meacutetricas padrotildees
poliacuteticas e procedimentos Apoio da Alta
Administraccedilatildeo
Fatores Criacuteticos de Sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Endosso da Alta Administraccedilatildeo
Objetivo
Equipe
Independecircncia
Alinhamento ao Negoacutecio
Reporte Executivo Administraccedilatildeo e Controle
(Orccedilamento x meacutetricas de retorno da funccedilatildeo)
Comunicaccedilatildeo e Conscientizaccedilatildeo
Metodologia normas e modelos
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Outros fatores
Projetos
BAU (dia a dia)
Demonstrar o Sucesso
Benefiacutecios
Atuar mediante um plano
Coordenar atividades
Interagir melhor com deptos
Viabilizar continuidade
Integraccedilatildeo com o negoacutecio
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Princiacutepios que devem ser perseguidos
1 Proteger as pessoas e suas informaccedilotildees privadas (Funcionaacuterios
Clientes Fornecedores Acionistas Oacutergatildeos Reguladores)
2 Garantir Sistemas de Informaccedilatildeo integros e protegidos
3 Proteccedilatildeo perimetral da rede de computadores
4 Garantir soluccedilotildees tecnoloacutegicas seguras
5 Garantir soluccedilotildees de Continuidade de Negoacutecios
6 Promover conscientizaccedilatildeo contiacutenua sobre o tema
7 Proporcionar ambiente de negoacutecios alinhado agraves melhores praacuteticas
de Seguranccedila da Informaccedilatildeo internacionalmente aceitas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Funccedilotildees da Seguranccedila Digital
bull Proteccedilatildeo
bull Proteccedilatildeo do acervo ndash informaccedilatildeo e reputaccedilatildeo
bull Controle corporativo ndash obrigaccedilotildees legais
bull Viabilizaccedilatildeo de Negoacutecios
bull Competitividade e produtividade
bull Utilizar a Internet para atingir novos mercados
bull Estabelecer novas praacuteticas operacionais
bull e-Security estaacute baseado na credibilidade do usuaacuterio na empresa e nos serviccedilos que ela oferece
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Modelo de Seguranccedila Responsabilidade Civil do Executivo de
Negoacutecios (ISO 17799 12)
Responsabilidade Civil do CIO
(ISO 17799 12)
Conformidade com a
Lei e Regulamentaccedilatildeo
(ISO 17799 12)
Seguranccedila Fiacutesica
(ISO 17799 7)
Aplicaccedilatildeo Segura
(desenvolvimento
e produccedilatildeo)
(ISO 17799 10)
Seguranccedila da Infra-estrutura
(ISO 17799 589)
Conscientizaccedilatildeo e
Responsabilizaccedilatildeo dos
Usuaacuterios (ISO 17799 6)
Contratos com Fornecedores
(ISO 17799 4)
Continuidade do Negoacutecio
(ISO 17799 11)
Evidecircncias Forenses
(ISO 17799 12)
Monitoraccedilatildeo e Respostas a
Incidentes (ISO 17799 9)
Poliacutetica de Seguranccedila
(ISO 17799 3)
Infra-estrutura
Sistemas
Negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
O Modelo de Seguranccedila
Infra-estrutura
Sistemas
Negoacutecios
Clientes
Fornecedores
Agecircncias Reguladoras
Fazenda
Usuaacuterios
Judiciaacuterio
Melhores Praacuteticas
Integraccedilatildeo com o negoacutecio
Combate a Fraudes
Ambiente Heterogecircneo
Novas Tecnologias
Conformidade
Anaacutelise de Riscos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Perguntas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
RICARDO THEIL
Muito obrigado
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ameaccedilas Digitais
bull As ameaccedilas podem ser as mesmas mas o
CYBER-ESPACcedilO muda tudo bull A INTERNET possui 3 caracteriacutesticas novas
que tornam isso uma verdade Qualquer uma delas eacute ruim as 3 juntas satildeo horrorizantes
AUTOMACcedilAtildeO ACcedilAtildeO A DISTAcircNCIA e PROPAGACcedilAtildeO DA TEacuteCNICA
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Por que Seguranccedila
bull Evitar fraudes e perdas
bull Viabilizar aplicaccedilotildees e tecnologias
bull Atender agecircncias reguladoras
ndash Governanccedila Corporativa
ndash Conformidade
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Seguranccedila da Informaccedilatildeo no Brasil
bull Brasil maior nuacutemero de hackers
bull Projetos inovadores
ndash Eleiccedilotildees SPB Imposto de Renda Sistema financeiro
ndash ICP Brasil
bull Legislaccedilatildeo em desenvolvimento
ndash Especiacutefica
ndash Novo Coacutedigo Civil
bull Fortalecimento da atuaccedilatildeo de agecircncias
reguladoras
ndash Banco Central TCU CVM CFM
ndash Modelo da concessatildeo
bull Fortalecimento da accedilatildeo policial e judiciaacuteria
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Seguranccedila da Informaccedilatildeo no Brasil
bull + Inovaccedilatildeo
bull + Heterogeneidade
bull + Ataques
bull Legislaccedilatildeo
bull Accedilotildees policiais e de defesa especializados
bull Agecircncias de governo especializadas
bull Colaboraccedilatildeo entre as partes
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Os Desafios de Seguranccedila estatildeo
Crescendo
1 O ambiente de TI estaacute cada vez mais complexo
2 As accedilotildees de seguranccedila precisam estar integradas com a
legislaccedilatildeo e regulamentaccedilatildeo
3 A seguranccedila da informaccedilatildeo natildeo eacute soacute em computadores
4 Estaacute aumentando o valor financeiro da rede
5 O crime organizado tem aumentado sua atividade no meio
eletrocircnico
6 As tecnologias de ataque estatildeo se integrando
7 Crimes satildeo aleacutem-fronteiras
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Seguranccedila Tecnoloacutegica
Por que a Seguranccedila estaacute em Crescimento
1 O ambiente de TI estaacute cada vez mais
ndash Complexo
ndash Amplo
ndash Heterogecircneo
ndash Compacto multimiacutedia consumindo menos energia utilizando o
protocolo TCP-IP integrado com a rede de celulares
2 As accedilotildees de seguranccedila precisam estar integradas com a
legislaccedilatildeo e regulamentaccedilatildeo
ndash Responsabilidade Civil dos administradores e teacutecnicos
ndash Atendimento a Agecircncias Reguladoras
ndash Gestatildeo de Seguranccedila atraveacutes de normas e padrotildees
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Seguranccedila Tecnoloacutegica
Por que a Seguranccedila estaacute em Crescimento
3 A seguranccedila da informaccedilatildeo natildeo eacute soacute em computadores
deve considerar
ndash Sistemas de Telecomunicaccedilotildees
ndash Papel
ndash Conversas ndash pessoais e ao telefone
ndash Roubo de equipamentos
ndash Indeterminado
4 Estaacute aumentando o valor financeiro da rede
ndash Transaccedilotildees financeiras pela Internet
ndash Transaccedilotildees financeiras em sistemas internos
ndash Relacionamento pessoal
ndash Armazenamento de informaccedilotildees de valor
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Seguranccedila Tecnoloacutegica
Por que a Seguranccedila estaacute em Crescimento
5 O crime organizado tem aumentado sua atividade no
meio eletrocircnico
ndash Para usar novas tecnologias em crimes convencionais
ndash Para novos crimes tecnoloacutegicos
6 As tecnologias de ataque estatildeo se integrando
ndash Viacuterus Spam Spyware Invasatildeo
7 Crimes satildeo aleacutem-fronteiras
ndash CoreacuteiaBanda Larga ChinaQuantidade IndiaIPv6
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ameaccedilas Digitais
Novas Condutas
bull Acesso Indevido ao sistema de computador
bull Violaccedilatildeo ao sistema de computador
bull Furto de informaccedilotildees
bull Falsificaccedilatildeo de documentos com o uso do computador
bull Dano aos dados e informaccedilotildees arquivadas
bull Obtenccedilatildeo de segredos industriaiscomerciais
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ameaccedilas Digitais
Novas Condutas
bull Furto de tempo do sistema de informaacutetica
bull Coacutepia de programa
bull Violaccedilatildeo do Direito Autoral
bull Espionagem
bull Interceptaccedilatildeo indevida de informaccedilatildeo
bull Violaccedilatildeo de bases de dados pessoais
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
10 Anos de Spam
bull Dados divulgados mensalmente pela MessageLabs (empresa de filtragens de e-mails) mostra que em marccedilo deste ano 53 dos e-mails eram SPAM Em agosto uacuteltimo esse iacutendice foi de 842 tendo chegado a 945 em julho2004
SPAM
0
10
20
30
40
50
60
70
80
90
100
Marccedilo Abril Maio Junho Julho Agosto
SPAM
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Convergecircncia
bull Convergecircncia SPAM se tornou SCAM usando teacutecnicas de SPAM para propagar trojans e viacuterus
bull Criadores de viacuterus mais teacutecnicos motivaccedilatildeo era reconhecimento na ldquocomunidaderdquo
bull Spammers menos teacutecnicos focados no lucro
bull Novo cenaacuterio spammers mais teacutecnicos e criadores de viacuterus focados no lucro
bull Viacuterus criados com o objetivo de ajudar a espalhar mensagens ndash spam (ou controlar ativamente maacutequinas contaminadas) - DDoS
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Convergecircncia
bull Golpes financeiros na Internet combinam vaacuterias teacutecnicas
ndash SPAM no envio da mensagem
ndash Viacuterus na criaccedilatildeo e instalaccedilatildeo do Trojan
ndash Engenharia social
ndash Lavagem de dinheiro (pagamento de contas)
ndash Fraudes no comeacutercio eletrocircnico
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Por que proteger as informaccedilotildees
bull Perdas financeiras bull Comprometimento da imagem bull Perdas de clientes bull Perda de vantagem competitiva
O vazamento de informaccedilotildees pode causar
70 dos problemas de seguranccedila satildeo causados por desconhecimento dos procedimentos
2002 CSIFBI Computer Crime and Security Survey
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Instalaccedilatildeo
inadequada de
Software e
Hardware
Fontes das ameaccedilas
Acessos natildeo
autorizados a
sistemas
Vazamento de
Informaccedilotildees
Paralisaccedilatildeo dos
processos Descuido com
equipamentos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Engenharia Social
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Gerenciamento de Seguranccedila da Informaccedilatildeo
Metodologias de SI e Controle de Acesso
Seguranccedila em Redes e Telecomunicaccedilotildees
BCM (BIA BCP DRP)
Seguranccedila Fiacutesica das aacutereas de TI
Seguranccedila de Aplicaccedilotildees sistemas etc
Seguranccedila de Operaccedilotildees
Forensics (Leis Investigaccedilotildees e eacutetica)
Criptografia
Estruturaccedilatildeo da Aacuterea de
Seguranccedila da Informaccedilatildeo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
CBK ndash Common Body of Knowledge do (ISC)2
1 Metodologia e Sistemas de Controle de Acesso
2 Seguranccedila em Redes e Telecomunicaccedilotildees
3 Praacuteticas de Gerenciamento de Seguranccedila da Informaccedilatildeo
4 Seguranccedila de Aplicaccedilotildees sistemas (desenvolvimento e manutenccedilatildeo)
5 Uso controle e aplicaccedilatildeo de criptografia e PKI
6 Modelos e Arquitetura de Seguranccedila
7 Seguranccedila de Operaccedilotildees
8 Continuidade - BCM (BIA BCP DRP)
9 Forensics (Leis Investigaccedilotildees e Eacutetica)
10 Seguranccedila Fiacutesica das aacutereas de TI
Disciplinas de Seguranccedila da Informaccedilatildeo segundo o (ISC)2
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Novo Cenaacuterio Corporativo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Governanccedila Corporativa Gerenciamento do Risco Operacional
Conformidade
Qual a influecircncia da seguranccedila em TICs nesse novo cenaacuterio
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Novas necessidades regulatoacuterias
bull Gramm-Leach-Bliley Act (Privacidade das informaccedilotildees
financeiras) bull HIPAA - Health Insurance Portability and
Accountability Act (Privacidade das informaccedilotildees de sauacutede)
bull Sarbanes-Oxley (Retenccedilatildeo de informaccedilotildees contaacutebeis (principalmente))
bull Basileacuteia II (bancos)
bull Novo Coacutedigo Civil Brasileiro
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Novo papel do administrador de TI
Retenccedilatildeo de documentos eacute diferente
de backup
- faxes e-mails instant messages
- TODAS as versotildees de documentos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
- NBR ISOIEC 17799 e
- BS 7799-2
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
Seguranccedila em TICs
=
Tecnologia
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
Seguranccedila
=
Processo
Seguranccedila eacute processo tecnologia eacute ferramenta
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
O elo mais fraco da corrente eacute vocecirc
- apenas 48 das empresas americanas ministraram treinamento de
seguranccedila a seus empregados destas apenas 15 fizeram isso haacute menos de 6 meses
Fonte Human Firewall Security Awareness Index Survey 2003
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
BS 7799-2
bull Security policy
bull Organizational security
bull Asset classification and control
bull Personnel security
bull Physical and environmental security
bull Communications and operations management
bull Access control
bull Systems development and maintenance
bull Business continuity management
bull Compliance
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Papel da PESSOA na seguranccedila
bull Novas ameaccedilas surgem diariamente
bull Ferramentas teacutecnicas de seguranccedila com boa taxa de atualizaccedilatildeo
bull Grande investimento das corporaccedilotildees na seguranccedila da informaccedilatildeo
bull Pouco ou nenhum investimento em treinamento focado em seguranccedila
bull Todos satildeo responsaacuteveis ndash regras de conformidade
Sua casa tem fechadura e alarme certo
Mas vocecirc sabe usa-los
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Haacute algo de novo no Horizonte SIM Ciber Ataque e Sabotagem Digital
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Desastres naturais ou ataques fiacutesicos
X Ciber Ataque
bull Desastres naturais ou ataques fiacutesicos
- extensatildeo e dano imediato satildeo limitados
geograficamente
Ex Florianoacutepolis WTC
bull Cyber ataque
ndash natildeo localizado geograficamente
ndash pode ser dissipado com altiacutessima velocidade
ndash atinge todos e natildeo somente alvos especiacuteficos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Australian Sewage Attack
bull Marccedilo de 2000 ndash Brisbane Austraacutelia
bull Vitek Boden ndash consultor ndash sistema controlador de aacutegua
bull Marrochy Shire Council
bull Alterou as configuraccedilotildees das bombas das estaccedilotildees causando problemas em 2 estaccedilotildees
bull Boden foi capturado logo apoacutes o primeiro ataque com os equipamentos e programas que facilitaram o ataque que ateacute entatildeo era visto como um mal funcionamento do sistema
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Distributed denial of service attack bull Fevereiro de 2000
bull Anatomia
ndash Busca de hosts inseguros
ndash Instalaccedilatildeo de software para ataques tornado os servidores escravos do atacante
ndash Lanccedilamento do ataque remotamente ativando todos os sistemas simultaneamente
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Scaning Worms - The SQL Slammer attack bull Worms x viacuterus
ndash Viacuterus ficam latentes enquanto vocecirc natildeo faz alguma atividade para ativa-los
ndash Worms propaga-se automaticamente sem nenhuma atividade por parte do infectado
ndash Primeiro worm ndash 1989 ndash Morris worm
ndash Julho de 2001 ndash Code Red ndash 359000 sistemas ndash a cada 37 minutos dobrava sua capacidade de ataque
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Scaning Worms - The SQL Slammer attack
bull Janeiro de 2003 ndash SQL Slammer worm ndash Dobrava o numero de sistemas atacados a cada 85
segundos ndash Infectou 90 dos servidores vulneraacuteveis em apenas 10
minutos ndash Apenas 3 minutos apoacutes sua ativaccedilatildeo jaacute verificava os
servidores a uma velocidade de 55 milhotildees de verificaccedilotildees por segundo
ndash Infectou 75000 servidores com seacuterias consequumlecircncias bull 13000 ATM do Bank of America foram desabilitados bull O serviccedilo de emergecircncia 911 foi desabilitado afetando
680000 pessoas bull 14 corpos de bombeiros e 02 delegacias tambeacutem
foram afetados bull A Microsoft jaacute havia disponibilizado a correccedilatildeo a
6 meses
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Sabotagem Digital PDVSA
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Sabotagem Digital PDVSA
235
28
596
126 No petrolero
privado
Petrolero Puacuteblico
No petrolero
puacuteblico
Otros
-475 -112
-72 -10
D I
-236 -141
-27
Total -29
Queda do PIB Total 29 Primeiro Trimestre de 2003
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Norma NBR ISOIEC-17799 publicadas pela ABNT
CBK ndash Common Body of Knowledge do (ISC)2
TCSEC ndash Padratildeo US DoD (Orange Book)
ITSEC ndash Padratildeo Europeu
Common Criteria ndash ISO 15404
NIST 800 series
Melhores praacuteticas de seguranccedila de informaccedilotildees
Aderecircncia a Normas e padrotildees geralmente aceitos ndash GASSP
(Generally Accepted System Security Principles)
Adoccedilatildeo de Metodologias especiacuteficas para Seguranccedila da Informaccedilatildeo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Bacen
CVM
ANBID
C Civil
Basileacuteia II (RO)
HIPAA
SOx
outras normas e regulamentaccedilotildees
Atendimento a regulamentaccedilotildees
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Associaccedilotildees profissionais
ISSA
ISACA
ASIS
CSI
Grupos de trabalho
CB21 (Norma ABNT ISOIEC 17799)
Cerificaccedilotildees profissionais
CISSP
CISM
MCSO
CISA
CPP
Oportunidades de desenvolvimento do CSO
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
A Seguranccedila da Informaccedilatildeo natildeo deve ser um fim em si mesma
1 Melhor performance
2 Reduccedilatildeo de perdas
3 Compliance
4 Seguranccedila como agente habilitador de negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Capacitaccedilatildeo e
conscientizaccedilatildeo Monitoramento
Pessoas
Ferramentas e
mecanismos
bem configurados
Meacutetricas padrotildees
poliacuteticas e procedimentos Apoio da Alta
Administraccedilatildeo
Fatores Criacuteticos de Sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Endosso da Alta Administraccedilatildeo
Objetivo
Equipe
Independecircncia
Alinhamento ao Negoacutecio
Reporte Executivo Administraccedilatildeo e Controle
(Orccedilamento x meacutetricas de retorno da funccedilatildeo)
Comunicaccedilatildeo e Conscientizaccedilatildeo
Metodologia normas e modelos
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Outros fatores
Projetos
BAU (dia a dia)
Demonstrar o Sucesso
Benefiacutecios
Atuar mediante um plano
Coordenar atividades
Interagir melhor com deptos
Viabilizar continuidade
Integraccedilatildeo com o negoacutecio
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Princiacutepios que devem ser perseguidos
1 Proteger as pessoas e suas informaccedilotildees privadas (Funcionaacuterios
Clientes Fornecedores Acionistas Oacutergatildeos Reguladores)
2 Garantir Sistemas de Informaccedilatildeo integros e protegidos
3 Proteccedilatildeo perimetral da rede de computadores
4 Garantir soluccedilotildees tecnoloacutegicas seguras
5 Garantir soluccedilotildees de Continuidade de Negoacutecios
6 Promover conscientizaccedilatildeo contiacutenua sobre o tema
7 Proporcionar ambiente de negoacutecios alinhado agraves melhores praacuteticas
de Seguranccedila da Informaccedilatildeo internacionalmente aceitas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Funccedilotildees da Seguranccedila Digital
bull Proteccedilatildeo
bull Proteccedilatildeo do acervo ndash informaccedilatildeo e reputaccedilatildeo
bull Controle corporativo ndash obrigaccedilotildees legais
bull Viabilizaccedilatildeo de Negoacutecios
bull Competitividade e produtividade
bull Utilizar a Internet para atingir novos mercados
bull Estabelecer novas praacuteticas operacionais
bull e-Security estaacute baseado na credibilidade do usuaacuterio na empresa e nos serviccedilos que ela oferece
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Modelo de Seguranccedila Responsabilidade Civil do Executivo de
Negoacutecios (ISO 17799 12)
Responsabilidade Civil do CIO
(ISO 17799 12)
Conformidade com a
Lei e Regulamentaccedilatildeo
(ISO 17799 12)
Seguranccedila Fiacutesica
(ISO 17799 7)
Aplicaccedilatildeo Segura
(desenvolvimento
e produccedilatildeo)
(ISO 17799 10)
Seguranccedila da Infra-estrutura
(ISO 17799 589)
Conscientizaccedilatildeo e
Responsabilizaccedilatildeo dos
Usuaacuterios (ISO 17799 6)
Contratos com Fornecedores
(ISO 17799 4)
Continuidade do Negoacutecio
(ISO 17799 11)
Evidecircncias Forenses
(ISO 17799 12)
Monitoraccedilatildeo e Respostas a
Incidentes (ISO 17799 9)
Poliacutetica de Seguranccedila
(ISO 17799 3)
Infra-estrutura
Sistemas
Negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
O Modelo de Seguranccedila
Infra-estrutura
Sistemas
Negoacutecios
Clientes
Fornecedores
Agecircncias Reguladoras
Fazenda
Usuaacuterios
Judiciaacuterio
Melhores Praacuteticas
Integraccedilatildeo com o negoacutecio
Combate a Fraudes
Ambiente Heterogecircneo
Novas Tecnologias
Conformidade
Anaacutelise de Riscos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Perguntas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
RICARDO THEIL
Muito obrigado
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Por que Seguranccedila
bull Evitar fraudes e perdas
bull Viabilizar aplicaccedilotildees e tecnologias
bull Atender agecircncias reguladoras
ndash Governanccedila Corporativa
ndash Conformidade
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Seguranccedila da Informaccedilatildeo no Brasil
bull Brasil maior nuacutemero de hackers
bull Projetos inovadores
ndash Eleiccedilotildees SPB Imposto de Renda Sistema financeiro
ndash ICP Brasil
bull Legislaccedilatildeo em desenvolvimento
ndash Especiacutefica
ndash Novo Coacutedigo Civil
bull Fortalecimento da atuaccedilatildeo de agecircncias
reguladoras
ndash Banco Central TCU CVM CFM
ndash Modelo da concessatildeo
bull Fortalecimento da accedilatildeo policial e judiciaacuteria
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Seguranccedila da Informaccedilatildeo no Brasil
bull + Inovaccedilatildeo
bull + Heterogeneidade
bull + Ataques
bull Legislaccedilatildeo
bull Accedilotildees policiais e de defesa especializados
bull Agecircncias de governo especializadas
bull Colaboraccedilatildeo entre as partes
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Os Desafios de Seguranccedila estatildeo
Crescendo
1 O ambiente de TI estaacute cada vez mais complexo
2 As accedilotildees de seguranccedila precisam estar integradas com a
legislaccedilatildeo e regulamentaccedilatildeo
3 A seguranccedila da informaccedilatildeo natildeo eacute soacute em computadores
4 Estaacute aumentando o valor financeiro da rede
5 O crime organizado tem aumentado sua atividade no meio
eletrocircnico
6 As tecnologias de ataque estatildeo se integrando
7 Crimes satildeo aleacutem-fronteiras
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Seguranccedila Tecnoloacutegica
Por que a Seguranccedila estaacute em Crescimento
1 O ambiente de TI estaacute cada vez mais
ndash Complexo
ndash Amplo
ndash Heterogecircneo
ndash Compacto multimiacutedia consumindo menos energia utilizando o
protocolo TCP-IP integrado com a rede de celulares
2 As accedilotildees de seguranccedila precisam estar integradas com a
legislaccedilatildeo e regulamentaccedilatildeo
ndash Responsabilidade Civil dos administradores e teacutecnicos
ndash Atendimento a Agecircncias Reguladoras
ndash Gestatildeo de Seguranccedila atraveacutes de normas e padrotildees
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Seguranccedila Tecnoloacutegica
Por que a Seguranccedila estaacute em Crescimento
3 A seguranccedila da informaccedilatildeo natildeo eacute soacute em computadores
deve considerar
ndash Sistemas de Telecomunicaccedilotildees
ndash Papel
ndash Conversas ndash pessoais e ao telefone
ndash Roubo de equipamentos
ndash Indeterminado
4 Estaacute aumentando o valor financeiro da rede
ndash Transaccedilotildees financeiras pela Internet
ndash Transaccedilotildees financeiras em sistemas internos
ndash Relacionamento pessoal
ndash Armazenamento de informaccedilotildees de valor
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Seguranccedila Tecnoloacutegica
Por que a Seguranccedila estaacute em Crescimento
5 O crime organizado tem aumentado sua atividade no
meio eletrocircnico
ndash Para usar novas tecnologias em crimes convencionais
ndash Para novos crimes tecnoloacutegicos
6 As tecnologias de ataque estatildeo se integrando
ndash Viacuterus Spam Spyware Invasatildeo
7 Crimes satildeo aleacutem-fronteiras
ndash CoreacuteiaBanda Larga ChinaQuantidade IndiaIPv6
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ameaccedilas Digitais
Novas Condutas
bull Acesso Indevido ao sistema de computador
bull Violaccedilatildeo ao sistema de computador
bull Furto de informaccedilotildees
bull Falsificaccedilatildeo de documentos com o uso do computador
bull Dano aos dados e informaccedilotildees arquivadas
bull Obtenccedilatildeo de segredos industriaiscomerciais
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ameaccedilas Digitais
Novas Condutas
bull Furto de tempo do sistema de informaacutetica
bull Coacutepia de programa
bull Violaccedilatildeo do Direito Autoral
bull Espionagem
bull Interceptaccedilatildeo indevida de informaccedilatildeo
bull Violaccedilatildeo de bases de dados pessoais
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
10 Anos de Spam
bull Dados divulgados mensalmente pela MessageLabs (empresa de filtragens de e-mails) mostra que em marccedilo deste ano 53 dos e-mails eram SPAM Em agosto uacuteltimo esse iacutendice foi de 842 tendo chegado a 945 em julho2004
SPAM
0
10
20
30
40
50
60
70
80
90
100
Marccedilo Abril Maio Junho Julho Agosto
SPAM
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Convergecircncia
bull Convergecircncia SPAM se tornou SCAM usando teacutecnicas de SPAM para propagar trojans e viacuterus
bull Criadores de viacuterus mais teacutecnicos motivaccedilatildeo era reconhecimento na ldquocomunidaderdquo
bull Spammers menos teacutecnicos focados no lucro
bull Novo cenaacuterio spammers mais teacutecnicos e criadores de viacuterus focados no lucro
bull Viacuterus criados com o objetivo de ajudar a espalhar mensagens ndash spam (ou controlar ativamente maacutequinas contaminadas) - DDoS
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Convergecircncia
bull Golpes financeiros na Internet combinam vaacuterias teacutecnicas
ndash SPAM no envio da mensagem
ndash Viacuterus na criaccedilatildeo e instalaccedilatildeo do Trojan
ndash Engenharia social
ndash Lavagem de dinheiro (pagamento de contas)
ndash Fraudes no comeacutercio eletrocircnico
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Por que proteger as informaccedilotildees
bull Perdas financeiras bull Comprometimento da imagem bull Perdas de clientes bull Perda de vantagem competitiva
O vazamento de informaccedilotildees pode causar
70 dos problemas de seguranccedila satildeo causados por desconhecimento dos procedimentos
2002 CSIFBI Computer Crime and Security Survey
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Instalaccedilatildeo
inadequada de
Software e
Hardware
Fontes das ameaccedilas
Acessos natildeo
autorizados a
sistemas
Vazamento de
Informaccedilotildees
Paralisaccedilatildeo dos
processos Descuido com
equipamentos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Engenharia Social
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Gerenciamento de Seguranccedila da Informaccedilatildeo
Metodologias de SI e Controle de Acesso
Seguranccedila em Redes e Telecomunicaccedilotildees
BCM (BIA BCP DRP)
Seguranccedila Fiacutesica das aacutereas de TI
Seguranccedila de Aplicaccedilotildees sistemas etc
Seguranccedila de Operaccedilotildees
Forensics (Leis Investigaccedilotildees e eacutetica)
Criptografia
Estruturaccedilatildeo da Aacuterea de
Seguranccedila da Informaccedilatildeo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
CBK ndash Common Body of Knowledge do (ISC)2
1 Metodologia e Sistemas de Controle de Acesso
2 Seguranccedila em Redes e Telecomunicaccedilotildees
3 Praacuteticas de Gerenciamento de Seguranccedila da Informaccedilatildeo
4 Seguranccedila de Aplicaccedilotildees sistemas (desenvolvimento e manutenccedilatildeo)
5 Uso controle e aplicaccedilatildeo de criptografia e PKI
6 Modelos e Arquitetura de Seguranccedila
7 Seguranccedila de Operaccedilotildees
8 Continuidade - BCM (BIA BCP DRP)
9 Forensics (Leis Investigaccedilotildees e Eacutetica)
10 Seguranccedila Fiacutesica das aacutereas de TI
Disciplinas de Seguranccedila da Informaccedilatildeo segundo o (ISC)2
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Novo Cenaacuterio Corporativo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Governanccedila Corporativa Gerenciamento do Risco Operacional
Conformidade
Qual a influecircncia da seguranccedila em TICs nesse novo cenaacuterio
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Novas necessidades regulatoacuterias
bull Gramm-Leach-Bliley Act (Privacidade das informaccedilotildees
financeiras) bull HIPAA - Health Insurance Portability and
Accountability Act (Privacidade das informaccedilotildees de sauacutede)
bull Sarbanes-Oxley (Retenccedilatildeo de informaccedilotildees contaacutebeis (principalmente))
bull Basileacuteia II (bancos)
bull Novo Coacutedigo Civil Brasileiro
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Novo papel do administrador de TI
Retenccedilatildeo de documentos eacute diferente
de backup
- faxes e-mails instant messages
- TODAS as versotildees de documentos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
- NBR ISOIEC 17799 e
- BS 7799-2
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
Seguranccedila em TICs
=
Tecnologia
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
Seguranccedila
=
Processo
Seguranccedila eacute processo tecnologia eacute ferramenta
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
O elo mais fraco da corrente eacute vocecirc
- apenas 48 das empresas americanas ministraram treinamento de
seguranccedila a seus empregados destas apenas 15 fizeram isso haacute menos de 6 meses
Fonte Human Firewall Security Awareness Index Survey 2003
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
BS 7799-2
bull Security policy
bull Organizational security
bull Asset classification and control
bull Personnel security
bull Physical and environmental security
bull Communications and operations management
bull Access control
bull Systems development and maintenance
bull Business continuity management
bull Compliance
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Papel da PESSOA na seguranccedila
bull Novas ameaccedilas surgem diariamente
bull Ferramentas teacutecnicas de seguranccedila com boa taxa de atualizaccedilatildeo
bull Grande investimento das corporaccedilotildees na seguranccedila da informaccedilatildeo
bull Pouco ou nenhum investimento em treinamento focado em seguranccedila
bull Todos satildeo responsaacuteveis ndash regras de conformidade
Sua casa tem fechadura e alarme certo
Mas vocecirc sabe usa-los
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Haacute algo de novo no Horizonte SIM Ciber Ataque e Sabotagem Digital
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Desastres naturais ou ataques fiacutesicos
X Ciber Ataque
bull Desastres naturais ou ataques fiacutesicos
- extensatildeo e dano imediato satildeo limitados
geograficamente
Ex Florianoacutepolis WTC
bull Cyber ataque
ndash natildeo localizado geograficamente
ndash pode ser dissipado com altiacutessima velocidade
ndash atinge todos e natildeo somente alvos especiacuteficos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Australian Sewage Attack
bull Marccedilo de 2000 ndash Brisbane Austraacutelia
bull Vitek Boden ndash consultor ndash sistema controlador de aacutegua
bull Marrochy Shire Council
bull Alterou as configuraccedilotildees das bombas das estaccedilotildees causando problemas em 2 estaccedilotildees
bull Boden foi capturado logo apoacutes o primeiro ataque com os equipamentos e programas que facilitaram o ataque que ateacute entatildeo era visto como um mal funcionamento do sistema
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Distributed denial of service attack bull Fevereiro de 2000
bull Anatomia
ndash Busca de hosts inseguros
ndash Instalaccedilatildeo de software para ataques tornado os servidores escravos do atacante
ndash Lanccedilamento do ataque remotamente ativando todos os sistemas simultaneamente
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Scaning Worms - The SQL Slammer attack bull Worms x viacuterus
ndash Viacuterus ficam latentes enquanto vocecirc natildeo faz alguma atividade para ativa-los
ndash Worms propaga-se automaticamente sem nenhuma atividade por parte do infectado
ndash Primeiro worm ndash 1989 ndash Morris worm
ndash Julho de 2001 ndash Code Red ndash 359000 sistemas ndash a cada 37 minutos dobrava sua capacidade de ataque
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Scaning Worms - The SQL Slammer attack
bull Janeiro de 2003 ndash SQL Slammer worm ndash Dobrava o numero de sistemas atacados a cada 85
segundos ndash Infectou 90 dos servidores vulneraacuteveis em apenas 10
minutos ndash Apenas 3 minutos apoacutes sua ativaccedilatildeo jaacute verificava os
servidores a uma velocidade de 55 milhotildees de verificaccedilotildees por segundo
ndash Infectou 75000 servidores com seacuterias consequumlecircncias bull 13000 ATM do Bank of America foram desabilitados bull O serviccedilo de emergecircncia 911 foi desabilitado afetando
680000 pessoas bull 14 corpos de bombeiros e 02 delegacias tambeacutem
foram afetados bull A Microsoft jaacute havia disponibilizado a correccedilatildeo a
6 meses
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Sabotagem Digital PDVSA
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Sabotagem Digital PDVSA
235
28
596
126 No petrolero
privado
Petrolero Puacuteblico
No petrolero
puacuteblico
Otros
-475 -112
-72 -10
D I
-236 -141
-27
Total -29
Queda do PIB Total 29 Primeiro Trimestre de 2003
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Norma NBR ISOIEC-17799 publicadas pela ABNT
CBK ndash Common Body of Knowledge do (ISC)2
TCSEC ndash Padratildeo US DoD (Orange Book)
ITSEC ndash Padratildeo Europeu
Common Criteria ndash ISO 15404
NIST 800 series
Melhores praacuteticas de seguranccedila de informaccedilotildees
Aderecircncia a Normas e padrotildees geralmente aceitos ndash GASSP
(Generally Accepted System Security Principles)
Adoccedilatildeo de Metodologias especiacuteficas para Seguranccedila da Informaccedilatildeo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Bacen
CVM
ANBID
C Civil
Basileacuteia II (RO)
HIPAA
SOx
outras normas e regulamentaccedilotildees
Atendimento a regulamentaccedilotildees
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Associaccedilotildees profissionais
ISSA
ISACA
ASIS
CSI
Grupos de trabalho
CB21 (Norma ABNT ISOIEC 17799)
Cerificaccedilotildees profissionais
CISSP
CISM
MCSO
CISA
CPP
Oportunidades de desenvolvimento do CSO
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
A Seguranccedila da Informaccedilatildeo natildeo deve ser um fim em si mesma
1 Melhor performance
2 Reduccedilatildeo de perdas
3 Compliance
4 Seguranccedila como agente habilitador de negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Capacitaccedilatildeo e
conscientizaccedilatildeo Monitoramento
Pessoas
Ferramentas e
mecanismos
bem configurados
Meacutetricas padrotildees
poliacuteticas e procedimentos Apoio da Alta
Administraccedilatildeo
Fatores Criacuteticos de Sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Endosso da Alta Administraccedilatildeo
Objetivo
Equipe
Independecircncia
Alinhamento ao Negoacutecio
Reporte Executivo Administraccedilatildeo e Controle
(Orccedilamento x meacutetricas de retorno da funccedilatildeo)
Comunicaccedilatildeo e Conscientizaccedilatildeo
Metodologia normas e modelos
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Outros fatores
Projetos
BAU (dia a dia)
Demonstrar o Sucesso
Benefiacutecios
Atuar mediante um plano
Coordenar atividades
Interagir melhor com deptos
Viabilizar continuidade
Integraccedilatildeo com o negoacutecio
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Princiacutepios que devem ser perseguidos
1 Proteger as pessoas e suas informaccedilotildees privadas (Funcionaacuterios
Clientes Fornecedores Acionistas Oacutergatildeos Reguladores)
2 Garantir Sistemas de Informaccedilatildeo integros e protegidos
3 Proteccedilatildeo perimetral da rede de computadores
4 Garantir soluccedilotildees tecnoloacutegicas seguras
5 Garantir soluccedilotildees de Continuidade de Negoacutecios
6 Promover conscientizaccedilatildeo contiacutenua sobre o tema
7 Proporcionar ambiente de negoacutecios alinhado agraves melhores praacuteticas
de Seguranccedila da Informaccedilatildeo internacionalmente aceitas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Funccedilotildees da Seguranccedila Digital
bull Proteccedilatildeo
bull Proteccedilatildeo do acervo ndash informaccedilatildeo e reputaccedilatildeo
bull Controle corporativo ndash obrigaccedilotildees legais
bull Viabilizaccedilatildeo de Negoacutecios
bull Competitividade e produtividade
bull Utilizar a Internet para atingir novos mercados
bull Estabelecer novas praacuteticas operacionais
bull e-Security estaacute baseado na credibilidade do usuaacuterio na empresa e nos serviccedilos que ela oferece
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Modelo de Seguranccedila Responsabilidade Civil do Executivo de
Negoacutecios (ISO 17799 12)
Responsabilidade Civil do CIO
(ISO 17799 12)
Conformidade com a
Lei e Regulamentaccedilatildeo
(ISO 17799 12)
Seguranccedila Fiacutesica
(ISO 17799 7)
Aplicaccedilatildeo Segura
(desenvolvimento
e produccedilatildeo)
(ISO 17799 10)
Seguranccedila da Infra-estrutura
(ISO 17799 589)
Conscientizaccedilatildeo e
Responsabilizaccedilatildeo dos
Usuaacuterios (ISO 17799 6)
Contratos com Fornecedores
(ISO 17799 4)
Continuidade do Negoacutecio
(ISO 17799 11)
Evidecircncias Forenses
(ISO 17799 12)
Monitoraccedilatildeo e Respostas a
Incidentes (ISO 17799 9)
Poliacutetica de Seguranccedila
(ISO 17799 3)
Infra-estrutura
Sistemas
Negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
O Modelo de Seguranccedila
Infra-estrutura
Sistemas
Negoacutecios
Clientes
Fornecedores
Agecircncias Reguladoras
Fazenda
Usuaacuterios
Judiciaacuterio
Melhores Praacuteticas
Integraccedilatildeo com o negoacutecio
Combate a Fraudes
Ambiente Heterogecircneo
Novas Tecnologias
Conformidade
Anaacutelise de Riscos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Perguntas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
RICARDO THEIL
Muito obrigado
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Seguranccedila da Informaccedilatildeo no Brasil
bull Brasil maior nuacutemero de hackers
bull Projetos inovadores
ndash Eleiccedilotildees SPB Imposto de Renda Sistema financeiro
ndash ICP Brasil
bull Legislaccedilatildeo em desenvolvimento
ndash Especiacutefica
ndash Novo Coacutedigo Civil
bull Fortalecimento da atuaccedilatildeo de agecircncias
reguladoras
ndash Banco Central TCU CVM CFM
ndash Modelo da concessatildeo
bull Fortalecimento da accedilatildeo policial e judiciaacuteria
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Seguranccedila da Informaccedilatildeo no Brasil
bull + Inovaccedilatildeo
bull + Heterogeneidade
bull + Ataques
bull Legislaccedilatildeo
bull Accedilotildees policiais e de defesa especializados
bull Agecircncias de governo especializadas
bull Colaboraccedilatildeo entre as partes
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Os Desafios de Seguranccedila estatildeo
Crescendo
1 O ambiente de TI estaacute cada vez mais complexo
2 As accedilotildees de seguranccedila precisam estar integradas com a
legislaccedilatildeo e regulamentaccedilatildeo
3 A seguranccedila da informaccedilatildeo natildeo eacute soacute em computadores
4 Estaacute aumentando o valor financeiro da rede
5 O crime organizado tem aumentado sua atividade no meio
eletrocircnico
6 As tecnologias de ataque estatildeo se integrando
7 Crimes satildeo aleacutem-fronteiras
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Seguranccedila Tecnoloacutegica
Por que a Seguranccedila estaacute em Crescimento
1 O ambiente de TI estaacute cada vez mais
ndash Complexo
ndash Amplo
ndash Heterogecircneo
ndash Compacto multimiacutedia consumindo menos energia utilizando o
protocolo TCP-IP integrado com a rede de celulares
2 As accedilotildees de seguranccedila precisam estar integradas com a
legislaccedilatildeo e regulamentaccedilatildeo
ndash Responsabilidade Civil dos administradores e teacutecnicos
ndash Atendimento a Agecircncias Reguladoras
ndash Gestatildeo de Seguranccedila atraveacutes de normas e padrotildees
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Seguranccedila Tecnoloacutegica
Por que a Seguranccedila estaacute em Crescimento
3 A seguranccedila da informaccedilatildeo natildeo eacute soacute em computadores
deve considerar
ndash Sistemas de Telecomunicaccedilotildees
ndash Papel
ndash Conversas ndash pessoais e ao telefone
ndash Roubo de equipamentos
ndash Indeterminado
4 Estaacute aumentando o valor financeiro da rede
ndash Transaccedilotildees financeiras pela Internet
ndash Transaccedilotildees financeiras em sistemas internos
ndash Relacionamento pessoal
ndash Armazenamento de informaccedilotildees de valor
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Seguranccedila Tecnoloacutegica
Por que a Seguranccedila estaacute em Crescimento
5 O crime organizado tem aumentado sua atividade no
meio eletrocircnico
ndash Para usar novas tecnologias em crimes convencionais
ndash Para novos crimes tecnoloacutegicos
6 As tecnologias de ataque estatildeo se integrando
ndash Viacuterus Spam Spyware Invasatildeo
7 Crimes satildeo aleacutem-fronteiras
ndash CoreacuteiaBanda Larga ChinaQuantidade IndiaIPv6
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ameaccedilas Digitais
Novas Condutas
bull Acesso Indevido ao sistema de computador
bull Violaccedilatildeo ao sistema de computador
bull Furto de informaccedilotildees
bull Falsificaccedilatildeo de documentos com o uso do computador
bull Dano aos dados e informaccedilotildees arquivadas
bull Obtenccedilatildeo de segredos industriaiscomerciais
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ameaccedilas Digitais
Novas Condutas
bull Furto de tempo do sistema de informaacutetica
bull Coacutepia de programa
bull Violaccedilatildeo do Direito Autoral
bull Espionagem
bull Interceptaccedilatildeo indevida de informaccedilatildeo
bull Violaccedilatildeo de bases de dados pessoais
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
10 Anos de Spam
bull Dados divulgados mensalmente pela MessageLabs (empresa de filtragens de e-mails) mostra que em marccedilo deste ano 53 dos e-mails eram SPAM Em agosto uacuteltimo esse iacutendice foi de 842 tendo chegado a 945 em julho2004
SPAM
0
10
20
30
40
50
60
70
80
90
100
Marccedilo Abril Maio Junho Julho Agosto
SPAM
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Convergecircncia
bull Convergecircncia SPAM se tornou SCAM usando teacutecnicas de SPAM para propagar trojans e viacuterus
bull Criadores de viacuterus mais teacutecnicos motivaccedilatildeo era reconhecimento na ldquocomunidaderdquo
bull Spammers menos teacutecnicos focados no lucro
bull Novo cenaacuterio spammers mais teacutecnicos e criadores de viacuterus focados no lucro
bull Viacuterus criados com o objetivo de ajudar a espalhar mensagens ndash spam (ou controlar ativamente maacutequinas contaminadas) - DDoS
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Convergecircncia
bull Golpes financeiros na Internet combinam vaacuterias teacutecnicas
ndash SPAM no envio da mensagem
ndash Viacuterus na criaccedilatildeo e instalaccedilatildeo do Trojan
ndash Engenharia social
ndash Lavagem de dinheiro (pagamento de contas)
ndash Fraudes no comeacutercio eletrocircnico
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Por que proteger as informaccedilotildees
bull Perdas financeiras bull Comprometimento da imagem bull Perdas de clientes bull Perda de vantagem competitiva
O vazamento de informaccedilotildees pode causar
70 dos problemas de seguranccedila satildeo causados por desconhecimento dos procedimentos
2002 CSIFBI Computer Crime and Security Survey
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Instalaccedilatildeo
inadequada de
Software e
Hardware
Fontes das ameaccedilas
Acessos natildeo
autorizados a
sistemas
Vazamento de
Informaccedilotildees
Paralisaccedilatildeo dos
processos Descuido com
equipamentos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Engenharia Social
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Gerenciamento de Seguranccedila da Informaccedilatildeo
Metodologias de SI e Controle de Acesso
Seguranccedila em Redes e Telecomunicaccedilotildees
BCM (BIA BCP DRP)
Seguranccedila Fiacutesica das aacutereas de TI
Seguranccedila de Aplicaccedilotildees sistemas etc
Seguranccedila de Operaccedilotildees
Forensics (Leis Investigaccedilotildees e eacutetica)
Criptografia
Estruturaccedilatildeo da Aacuterea de
Seguranccedila da Informaccedilatildeo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
CBK ndash Common Body of Knowledge do (ISC)2
1 Metodologia e Sistemas de Controle de Acesso
2 Seguranccedila em Redes e Telecomunicaccedilotildees
3 Praacuteticas de Gerenciamento de Seguranccedila da Informaccedilatildeo
4 Seguranccedila de Aplicaccedilotildees sistemas (desenvolvimento e manutenccedilatildeo)
5 Uso controle e aplicaccedilatildeo de criptografia e PKI
6 Modelos e Arquitetura de Seguranccedila
7 Seguranccedila de Operaccedilotildees
8 Continuidade - BCM (BIA BCP DRP)
9 Forensics (Leis Investigaccedilotildees e Eacutetica)
10 Seguranccedila Fiacutesica das aacutereas de TI
Disciplinas de Seguranccedila da Informaccedilatildeo segundo o (ISC)2
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Novo Cenaacuterio Corporativo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Governanccedila Corporativa Gerenciamento do Risco Operacional
Conformidade
Qual a influecircncia da seguranccedila em TICs nesse novo cenaacuterio
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Novas necessidades regulatoacuterias
bull Gramm-Leach-Bliley Act (Privacidade das informaccedilotildees
financeiras) bull HIPAA - Health Insurance Portability and
Accountability Act (Privacidade das informaccedilotildees de sauacutede)
bull Sarbanes-Oxley (Retenccedilatildeo de informaccedilotildees contaacutebeis (principalmente))
bull Basileacuteia II (bancos)
bull Novo Coacutedigo Civil Brasileiro
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Novo papel do administrador de TI
Retenccedilatildeo de documentos eacute diferente
de backup
- faxes e-mails instant messages
- TODAS as versotildees de documentos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
- NBR ISOIEC 17799 e
- BS 7799-2
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
Seguranccedila em TICs
=
Tecnologia
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
Seguranccedila
=
Processo
Seguranccedila eacute processo tecnologia eacute ferramenta
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
O elo mais fraco da corrente eacute vocecirc
- apenas 48 das empresas americanas ministraram treinamento de
seguranccedila a seus empregados destas apenas 15 fizeram isso haacute menos de 6 meses
Fonte Human Firewall Security Awareness Index Survey 2003
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
BS 7799-2
bull Security policy
bull Organizational security
bull Asset classification and control
bull Personnel security
bull Physical and environmental security
bull Communications and operations management
bull Access control
bull Systems development and maintenance
bull Business continuity management
bull Compliance
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Papel da PESSOA na seguranccedila
bull Novas ameaccedilas surgem diariamente
bull Ferramentas teacutecnicas de seguranccedila com boa taxa de atualizaccedilatildeo
bull Grande investimento das corporaccedilotildees na seguranccedila da informaccedilatildeo
bull Pouco ou nenhum investimento em treinamento focado em seguranccedila
bull Todos satildeo responsaacuteveis ndash regras de conformidade
Sua casa tem fechadura e alarme certo
Mas vocecirc sabe usa-los
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Haacute algo de novo no Horizonte SIM Ciber Ataque e Sabotagem Digital
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Desastres naturais ou ataques fiacutesicos
X Ciber Ataque
bull Desastres naturais ou ataques fiacutesicos
- extensatildeo e dano imediato satildeo limitados
geograficamente
Ex Florianoacutepolis WTC
bull Cyber ataque
ndash natildeo localizado geograficamente
ndash pode ser dissipado com altiacutessima velocidade
ndash atinge todos e natildeo somente alvos especiacuteficos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Australian Sewage Attack
bull Marccedilo de 2000 ndash Brisbane Austraacutelia
bull Vitek Boden ndash consultor ndash sistema controlador de aacutegua
bull Marrochy Shire Council
bull Alterou as configuraccedilotildees das bombas das estaccedilotildees causando problemas em 2 estaccedilotildees
bull Boden foi capturado logo apoacutes o primeiro ataque com os equipamentos e programas que facilitaram o ataque que ateacute entatildeo era visto como um mal funcionamento do sistema
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Distributed denial of service attack bull Fevereiro de 2000
bull Anatomia
ndash Busca de hosts inseguros
ndash Instalaccedilatildeo de software para ataques tornado os servidores escravos do atacante
ndash Lanccedilamento do ataque remotamente ativando todos os sistemas simultaneamente
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Scaning Worms - The SQL Slammer attack bull Worms x viacuterus
ndash Viacuterus ficam latentes enquanto vocecirc natildeo faz alguma atividade para ativa-los
ndash Worms propaga-se automaticamente sem nenhuma atividade por parte do infectado
ndash Primeiro worm ndash 1989 ndash Morris worm
ndash Julho de 2001 ndash Code Red ndash 359000 sistemas ndash a cada 37 minutos dobrava sua capacidade de ataque
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Scaning Worms - The SQL Slammer attack
bull Janeiro de 2003 ndash SQL Slammer worm ndash Dobrava o numero de sistemas atacados a cada 85
segundos ndash Infectou 90 dos servidores vulneraacuteveis em apenas 10
minutos ndash Apenas 3 minutos apoacutes sua ativaccedilatildeo jaacute verificava os
servidores a uma velocidade de 55 milhotildees de verificaccedilotildees por segundo
ndash Infectou 75000 servidores com seacuterias consequumlecircncias bull 13000 ATM do Bank of America foram desabilitados bull O serviccedilo de emergecircncia 911 foi desabilitado afetando
680000 pessoas bull 14 corpos de bombeiros e 02 delegacias tambeacutem
foram afetados bull A Microsoft jaacute havia disponibilizado a correccedilatildeo a
6 meses
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Sabotagem Digital PDVSA
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Sabotagem Digital PDVSA
235
28
596
126 No petrolero
privado
Petrolero Puacuteblico
No petrolero
puacuteblico
Otros
-475 -112
-72 -10
D I
-236 -141
-27
Total -29
Queda do PIB Total 29 Primeiro Trimestre de 2003
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Norma NBR ISOIEC-17799 publicadas pela ABNT
CBK ndash Common Body of Knowledge do (ISC)2
TCSEC ndash Padratildeo US DoD (Orange Book)
ITSEC ndash Padratildeo Europeu
Common Criteria ndash ISO 15404
NIST 800 series
Melhores praacuteticas de seguranccedila de informaccedilotildees
Aderecircncia a Normas e padrotildees geralmente aceitos ndash GASSP
(Generally Accepted System Security Principles)
Adoccedilatildeo de Metodologias especiacuteficas para Seguranccedila da Informaccedilatildeo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Bacen
CVM
ANBID
C Civil
Basileacuteia II (RO)
HIPAA
SOx
outras normas e regulamentaccedilotildees
Atendimento a regulamentaccedilotildees
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Associaccedilotildees profissionais
ISSA
ISACA
ASIS
CSI
Grupos de trabalho
CB21 (Norma ABNT ISOIEC 17799)
Cerificaccedilotildees profissionais
CISSP
CISM
MCSO
CISA
CPP
Oportunidades de desenvolvimento do CSO
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
A Seguranccedila da Informaccedilatildeo natildeo deve ser um fim em si mesma
1 Melhor performance
2 Reduccedilatildeo de perdas
3 Compliance
4 Seguranccedila como agente habilitador de negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Capacitaccedilatildeo e
conscientizaccedilatildeo Monitoramento
Pessoas
Ferramentas e
mecanismos
bem configurados
Meacutetricas padrotildees
poliacuteticas e procedimentos Apoio da Alta
Administraccedilatildeo
Fatores Criacuteticos de Sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Endosso da Alta Administraccedilatildeo
Objetivo
Equipe
Independecircncia
Alinhamento ao Negoacutecio
Reporte Executivo Administraccedilatildeo e Controle
(Orccedilamento x meacutetricas de retorno da funccedilatildeo)
Comunicaccedilatildeo e Conscientizaccedilatildeo
Metodologia normas e modelos
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Outros fatores
Projetos
BAU (dia a dia)
Demonstrar o Sucesso
Benefiacutecios
Atuar mediante um plano
Coordenar atividades
Interagir melhor com deptos
Viabilizar continuidade
Integraccedilatildeo com o negoacutecio
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Princiacutepios que devem ser perseguidos
1 Proteger as pessoas e suas informaccedilotildees privadas (Funcionaacuterios
Clientes Fornecedores Acionistas Oacutergatildeos Reguladores)
2 Garantir Sistemas de Informaccedilatildeo integros e protegidos
3 Proteccedilatildeo perimetral da rede de computadores
4 Garantir soluccedilotildees tecnoloacutegicas seguras
5 Garantir soluccedilotildees de Continuidade de Negoacutecios
6 Promover conscientizaccedilatildeo contiacutenua sobre o tema
7 Proporcionar ambiente de negoacutecios alinhado agraves melhores praacuteticas
de Seguranccedila da Informaccedilatildeo internacionalmente aceitas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Funccedilotildees da Seguranccedila Digital
bull Proteccedilatildeo
bull Proteccedilatildeo do acervo ndash informaccedilatildeo e reputaccedilatildeo
bull Controle corporativo ndash obrigaccedilotildees legais
bull Viabilizaccedilatildeo de Negoacutecios
bull Competitividade e produtividade
bull Utilizar a Internet para atingir novos mercados
bull Estabelecer novas praacuteticas operacionais
bull e-Security estaacute baseado na credibilidade do usuaacuterio na empresa e nos serviccedilos que ela oferece
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Modelo de Seguranccedila Responsabilidade Civil do Executivo de
Negoacutecios (ISO 17799 12)
Responsabilidade Civil do CIO
(ISO 17799 12)
Conformidade com a
Lei e Regulamentaccedilatildeo
(ISO 17799 12)
Seguranccedila Fiacutesica
(ISO 17799 7)
Aplicaccedilatildeo Segura
(desenvolvimento
e produccedilatildeo)
(ISO 17799 10)
Seguranccedila da Infra-estrutura
(ISO 17799 589)
Conscientizaccedilatildeo e
Responsabilizaccedilatildeo dos
Usuaacuterios (ISO 17799 6)
Contratos com Fornecedores
(ISO 17799 4)
Continuidade do Negoacutecio
(ISO 17799 11)
Evidecircncias Forenses
(ISO 17799 12)
Monitoraccedilatildeo e Respostas a
Incidentes (ISO 17799 9)
Poliacutetica de Seguranccedila
(ISO 17799 3)
Infra-estrutura
Sistemas
Negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
O Modelo de Seguranccedila
Infra-estrutura
Sistemas
Negoacutecios
Clientes
Fornecedores
Agecircncias Reguladoras
Fazenda
Usuaacuterios
Judiciaacuterio
Melhores Praacuteticas
Integraccedilatildeo com o negoacutecio
Combate a Fraudes
Ambiente Heterogecircneo
Novas Tecnologias
Conformidade
Anaacutelise de Riscos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Perguntas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
RICARDO THEIL
Muito obrigado
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Seguranccedila da Informaccedilatildeo no Brasil
bull + Inovaccedilatildeo
bull + Heterogeneidade
bull + Ataques
bull Legislaccedilatildeo
bull Accedilotildees policiais e de defesa especializados
bull Agecircncias de governo especializadas
bull Colaboraccedilatildeo entre as partes
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Os Desafios de Seguranccedila estatildeo
Crescendo
1 O ambiente de TI estaacute cada vez mais complexo
2 As accedilotildees de seguranccedila precisam estar integradas com a
legislaccedilatildeo e regulamentaccedilatildeo
3 A seguranccedila da informaccedilatildeo natildeo eacute soacute em computadores
4 Estaacute aumentando o valor financeiro da rede
5 O crime organizado tem aumentado sua atividade no meio
eletrocircnico
6 As tecnologias de ataque estatildeo se integrando
7 Crimes satildeo aleacutem-fronteiras
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Seguranccedila Tecnoloacutegica
Por que a Seguranccedila estaacute em Crescimento
1 O ambiente de TI estaacute cada vez mais
ndash Complexo
ndash Amplo
ndash Heterogecircneo
ndash Compacto multimiacutedia consumindo menos energia utilizando o
protocolo TCP-IP integrado com a rede de celulares
2 As accedilotildees de seguranccedila precisam estar integradas com a
legislaccedilatildeo e regulamentaccedilatildeo
ndash Responsabilidade Civil dos administradores e teacutecnicos
ndash Atendimento a Agecircncias Reguladoras
ndash Gestatildeo de Seguranccedila atraveacutes de normas e padrotildees
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Seguranccedila Tecnoloacutegica
Por que a Seguranccedila estaacute em Crescimento
3 A seguranccedila da informaccedilatildeo natildeo eacute soacute em computadores
deve considerar
ndash Sistemas de Telecomunicaccedilotildees
ndash Papel
ndash Conversas ndash pessoais e ao telefone
ndash Roubo de equipamentos
ndash Indeterminado
4 Estaacute aumentando o valor financeiro da rede
ndash Transaccedilotildees financeiras pela Internet
ndash Transaccedilotildees financeiras em sistemas internos
ndash Relacionamento pessoal
ndash Armazenamento de informaccedilotildees de valor
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Seguranccedila Tecnoloacutegica
Por que a Seguranccedila estaacute em Crescimento
5 O crime organizado tem aumentado sua atividade no
meio eletrocircnico
ndash Para usar novas tecnologias em crimes convencionais
ndash Para novos crimes tecnoloacutegicos
6 As tecnologias de ataque estatildeo se integrando
ndash Viacuterus Spam Spyware Invasatildeo
7 Crimes satildeo aleacutem-fronteiras
ndash CoreacuteiaBanda Larga ChinaQuantidade IndiaIPv6
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ameaccedilas Digitais
Novas Condutas
bull Acesso Indevido ao sistema de computador
bull Violaccedilatildeo ao sistema de computador
bull Furto de informaccedilotildees
bull Falsificaccedilatildeo de documentos com o uso do computador
bull Dano aos dados e informaccedilotildees arquivadas
bull Obtenccedilatildeo de segredos industriaiscomerciais
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ameaccedilas Digitais
Novas Condutas
bull Furto de tempo do sistema de informaacutetica
bull Coacutepia de programa
bull Violaccedilatildeo do Direito Autoral
bull Espionagem
bull Interceptaccedilatildeo indevida de informaccedilatildeo
bull Violaccedilatildeo de bases de dados pessoais
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
10 Anos de Spam
bull Dados divulgados mensalmente pela MessageLabs (empresa de filtragens de e-mails) mostra que em marccedilo deste ano 53 dos e-mails eram SPAM Em agosto uacuteltimo esse iacutendice foi de 842 tendo chegado a 945 em julho2004
SPAM
0
10
20
30
40
50
60
70
80
90
100
Marccedilo Abril Maio Junho Julho Agosto
SPAM
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Convergecircncia
bull Convergecircncia SPAM se tornou SCAM usando teacutecnicas de SPAM para propagar trojans e viacuterus
bull Criadores de viacuterus mais teacutecnicos motivaccedilatildeo era reconhecimento na ldquocomunidaderdquo
bull Spammers menos teacutecnicos focados no lucro
bull Novo cenaacuterio spammers mais teacutecnicos e criadores de viacuterus focados no lucro
bull Viacuterus criados com o objetivo de ajudar a espalhar mensagens ndash spam (ou controlar ativamente maacutequinas contaminadas) - DDoS
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Convergecircncia
bull Golpes financeiros na Internet combinam vaacuterias teacutecnicas
ndash SPAM no envio da mensagem
ndash Viacuterus na criaccedilatildeo e instalaccedilatildeo do Trojan
ndash Engenharia social
ndash Lavagem de dinheiro (pagamento de contas)
ndash Fraudes no comeacutercio eletrocircnico
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Por que proteger as informaccedilotildees
bull Perdas financeiras bull Comprometimento da imagem bull Perdas de clientes bull Perda de vantagem competitiva
O vazamento de informaccedilotildees pode causar
70 dos problemas de seguranccedila satildeo causados por desconhecimento dos procedimentos
2002 CSIFBI Computer Crime and Security Survey
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Instalaccedilatildeo
inadequada de
Software e
Hardware
Fontes das ameaccedilas
Acessos natildeo
autorizados a
sistemas
Vazamento de
Informaccedilotildees
Paralisaccedilatildeo dos
processos Descuido com
equipamentos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Engenharia Social
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Gerenciamento de Seguranccedila da Informaccedilatildeo
Metodologias de SI e Controle de Acesso
Seguranccedila em Redes e Telecomunicaccedilotildees
BCM (BIA BCP DRP)
Seguranccedila Fiacutesica das aacutereas de TI
Seguranccedila de Aplicaccedilotildees sistemas etc
Seguranccedila de Operaccedilotildees
Forensics (Leis Investigaccedilotildees e eacutetica)
Criptografia
Estruturaccedilatildeo da Aacuterea de
Seguranccedila da Informaccedilatildeo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
CBK ndash Common Body of Knowledge do (ISC)2
1 Metodologia e Sistemas de Controle de Acesso
2 Seguranccedila em Redes e Telecomunicaccedilotildees
3 Praacuteticas de Gerenciamento de Seguranccedila da Informaccedilatildeo
4 Seguranccedila de Aplicaccedilotildees sistemas (desenvolvimento e manutenccedilatildeo)
5 Uso controle e aplicaccedilatildeo de criptografia e PKI
6 Modelos e Arquitetura de Seguranccedila
7 Seguranccedila de Operaccedilotildees
8 Continuidade - BCM (BIA BCP DRP)
9 Forensics (Leis Investigaccedilotildees e Eacutetica)
10 Seguranccedila Fiacutesica das aacutereas de TI
Disciplinas de Seguranccedila da Informaccedilatildeo segundo o (ISC)2
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Novo Cenaacuterio Corporativo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Governanccedila Corporativa Gerenciamento do Risco Operacional
Conformidade
Qual a influecircncia da seguranccedila em TICs nesse novo cenaacuterio
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Novas necessidades regulatoacuterias
bull Gramm-Leach-Bliley Act (Privacidade das informaccedilotildees
financeiras) bull HIPAA - Health Insurance Portability and
Accountability Act (Privacidade das informaccedilotildees de sauacutede)
bull Sarbanes-Oxley (Retenccedilatildeo de informaccedilotildees contaacutebeis (principalmente))
bull Basileacuteia II (bancos)
bull Novo Coacutedigo Civil Brasileiro
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Novo papel do administrador de TI
Retenccedilatildeo de documentos eacute diferente
de backup
- faxes e-mails instant messages
- TODAS as versotildees de documentos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
- NBR ISOIEC 17799 e
- BS 7799-2
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
Seguranccedila em TICs
=
Tecnologia
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
Seguranccedila
=
Processo
Seguranccedila eacute processo tecnologia eacute ferramenta
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
O elo mais fraco da corrente eacute vocecirc
- apenas 48 das empresas americanas ministraram treinamento de
seguranccedila a seus empregados destas apenas 15 fizeram isso haacute menos de 6 meses
Fonte Human Firewall Security Awareness Index Survey 2003
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
BS 7799-2
bull Security policy
bull Organizational security
bull Asset classification and control
bull Personnel security
bull Physical and environmental security
bull Communications and operations management
bull Access control
bull Systems development and maintenance
bull Business continuity management
bull Compliance
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Papel da PESSOA na seguranccedila
bull Novas ameaccedilas surgem diariamente
bull Ferramentas teacutecnicas de seguranccedila com boa taxa de atualizaccedilatildeo
bull Grande investimento das corporaccedilotildees na seguranccedila da informaccedilatildeo
bull Pouco ou nenhum investimento em treinamento focado em seguranccedila
bull Todos satildeo responsaacuteveis ndash regras de conformidade
Sua casa tem fechadura e alarme certo
Mas vocecirc sabe usa-los
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Haacute algo de novo no Horizonte SIM Ciber Ataque e Sabotagem Digital
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Desastres naturais ou ataques fiacutesicos
X Ciber Ataque
bull Desastres naturais ou ataques fiacutesicos
- extensatildeo e dano imediato satildeo limitados
geograficamente
Ex Florianoacutepolis WTC
bull Cyber ataque
ndash natildeo localizado geograficamente
ndash pode ser dissipado com altiacutessima velocidade
ndash atinge todos e natildeo somente alvos especiacuteficos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Australian Sewage Attack
bull Marccedilo de 2000 ndash Brisbane Austraacutelia
bull Vitek Boden ndash consultor ndash sistema controlador de aacutegua
bull Marrochy Shire Council
bull Alterou as configuraccedilotildees das bombas das estaccedilotildees causando problemas em 2 estaccedilotildees
bull Boden foi capturado logo apoacutes o primeiro ataque com os equipamentos e programas que facilitaram o ataque que ateacute entatildeo era visto como um mal funcionamento do sistema
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Distributed denial of service attack bull Fevereiro de 2000
bull Anatomia
ndash Busca de hosts inseguros
ndash Instalaccedilatildeo de software para ataques tornado os servidores escravos do atacante
ndash Lanccedilamento do ataque remotamente ativando todos os sistemas simultaneamente
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Scaning Worms - The SQL Slammer attack bull Worms x viacuterus
ndash Viacuterus ficam latentes enquanto vocecirc natildeo faz alguma atividade para ativa-los
ndash Worms propaga-se automaticamente sem nenhuma atividade por parte do infectado
ndash Primeiro worm ndash 1989 ndash Morris worm
ndash Julho de 2001 ndash Code Red ndash 359000 sistemas ndash a cada 37 minutos dobrava sua capacidade de ataque
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Scaning Worms - The SQL Slammer attack
bull Janeiro de 2003 ndash SQL Slammer worm ndash Dobrava o numero de sistemas atacados a cada 85
segundos ndash Infectou 90 dos servidores vulneraacuteveis em apenas 10
minutos ndash Apenas 3 minutos apoacutes sua ativaccedilatildeo jaacute verificava os
servidores a uma velocidade de 55 milhotildees de verificaccedilotildees por segundo
ndash Infectou 75000 servidores com seacuterias consequumlecircncias bull 13000 ATM do Bank of America foram desabilitados bull O serviccedilo de emergecircncia 911 foi desabilitado afetando
680000 pessoas bull 14 corpos de bombeiros e 02 delegacias tambeacutem
foram afetados bull A Microsoft jaacute havia disponibilizado a correccedilatildeo a
6 meses
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Sabotagem Digital PDVSA
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Sabotagem Digital PDVSA
235
28
596
126 No petrolero
privado
Petrolero Puacuteblico
No petrolero
puacuteblico
Otros
-475 -112
-72 -10
D I
-236 -141
-27
Total -29
Queda do PIB Total 29 Primeiro Trimestre de 2003
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Norma NBR ISOIEC-17799 publicadas pela ABNT
CBK ndash Common Body of Knowledge do (ISC)2
TCSEC ndash Padratildeo US DoD (Orange Book)
ITSEC ndash Padratildeo Europeu
Common Criteria ndash ISO 15404
NIST 800 series
Melhores praacuteticas de seguranccedila de informaccedilotildees
Aderecircncia a Normas e padrotildees geralmente aceitos ndash GASSP
(Generally Accepted System Security Principles)
Adoccedilatildeo de Metodologias especiacuteficas para Seguranccedila da Informaccedilatildeo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Bacen
CVM
ANBID
C Civil
Basileacuteia II (RO)
HIPAA
SOx
outras normas e regulamentaccedilotildees
Atendimento a regulamentaccedilotildees
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Associaccedilotildees profissionais
ISSA
ISACA
ASIS
CSI
Grupos de trabalho
CB21 (Norma ABNT ISOIEC 17799)
Cerificaccedilotildees profissionais
CISSP
CISM
MCSO
CISA
CPP
Oportunidades de desenvolvimento do CSO
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
A Seguranccedila da Informaccedilatildeo natildeo deve ser um fim em si mesma
1 Melhor performance
2 Reduccedilatildeo de perdas
3 Compliance
4 Seguranccedila como agente habilitador de negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Capacitaccedilatildeo e
conscientizaccedilatildeo Monitoramento
Pessoas
Ferramentas e
mecanismos
bem configurados
Meacutetricas padrotildees
poliacuteticas e procedimentos Apoio da Alta
Administraccedilatildeo
Fatores Criacuteticos de Sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Endosso da Alta Administraccedilatildeo
Objetivo
Equipe
Independecircncia
Alinhamento ao Negoacutecio
Reporte Executivo Administraccedilatildeo e Controle
(Orccedilamento x meacutetricas de retorno da funccedilatildeo)
Comunicaccedilatildeo e Conscientizaccedilatildeo
Metodologia normas e modelos
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Outros fatores
Projetos
BAU (dia a dia)
Demonstrar o Sucesso
Benefiacutecios
Atuar mediante um plano
Coordenar atividades
Interagir melhor com deptos
Viabilizar continuidade
Integraccedilatildeo com o negoacutecio
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Princiacutepios que devem ser perseguidos
1 Proteger as pessoas e suas informaccedilotildees privadas (Funcionaacuterios
Clientes Fornecedores Acionistas Oacutergatildeos Reguladores)
2 Garantir Sistemas de Informaccedilatildeo integros e protegidos
3 Proteccedilatildeo perimetral da rede de computadores
4 Garantir soluccedilotildees tecnoloacutegicas seguras
5 Garantir soluccedilotildees de Continuidade de Negoacutecios
6 Promover conscientizaccedilatildeo contiacutenua sobre o tema
7 Proporcionar ambiente de negoacutecios alinhado agraves melhores praacuteticas
de Seguranccedila da Informaccedilatildeo internacionalmente aceitas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Funccedilotildees da Seguranccedila Digital
bull Proteccedilatildeo
bull Proteccedilatildeo do acervo ndash informaccedilatildeo e reputaccedilatildeo
bull Controle corporativo ndash obrigaccedilotildees legais
bull Viabilizaccedilatildeo de Negoacutecios
bull Competitividade e produtividade
bull Utilizar a Internet para atingir novos mercados
bull Estabelecer novas praacuteticas operacionais
bull e-Security estaacute baseado na credibilidade do usuaacuterio na empresa e nos serviccedilos que ela oferece
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Modelo de Seguranccedila Responsabilidade Civil do Executivo de
Negoacutecios (ISO 17799 12)
Responsabilidade Civil do CIO
(ISO 17799 12)
Conformidade com a
Lei e Regulamentaccedilatildeo
(ISO 17799 12)
Seguranccedila Fiacutesica
(ISO 17799 7)
Aplicaccedilatildeo Segura
(desenvolvimento
e produccedilatildeo)
(ISO 17799 10)
Seguranccedila da Infra-estrutura
(ISO 17799 589)
Conscientizaccedilatildeo e
Responsabilizaccedilatildeo dos
Usuaacuterios (ISO 17799 6)
Contratos com Fornecedores
(ISO 17799 4)
Continuidade do Negoacutecio
(ISO 17799 11)
Evidecircncias Forenses
(ISO 17799 12)
Monitoraccedilatildeo e Respostas a
Incidentes (ISO 17799 9)
Poliacutetica de Seguranccedila
(ISO 17799 3)
Infra-estrutura
Sistemas
Negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
O Modelo de Seguranccedila
Infra-estrutura
Sistemas
Negoacutecios
Clientes
Fornecedores
Agecircncias Reguladoras
Fazenda
Usuaacuterios
Judiciaacuterio
Melhores Praacuteticas
Integraccedilatildeo com o negoacutecio
Combate a Fraudes
Ambiente Heterogecircneo
Novas Tecnologias
Conformidade
Anaacutelise de Riscos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Perguntas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
RICARDO THEIL
Muito obrigado
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Os Desafios de Seguranccedila estatildeo
Crescendo
1 O ambiente de TI estaacute cada vez mais complexo
2 As accedilotildees de seguranccedila precisam estar integradas com a
legislaccedilatildeo e regulamentaccedilatildeo
3 A seguranccedila da informaccedilatildeo natildeo eacute soacute em computadores
4 Estaacute aumentando o valor financeiro da rede
5 O crime organizado tem aumentado sua atividade no meio
eletrocircnico
6 As tecnologias de ataque estatildeo se integrando
7 Crimes satildeo aleacutem-fronteiras
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Seguranccedila Tecnoloacutegica
Por que a Seguranccedila estaacute em Crescimento
1 O ambiente de TI estaacute cada vez mais
ndash Complexo
ndash Amplo
ndash Heterogecircneo
ndash Compacto multimiacutedia consumindo menos energia utilizando o
protocolo TCP-IP integrado com a rede de celulares
2 As accedilotildees de seguranccedila precisam estar integradas com a
legislaccedilatildeo e regulamentaccedilatildeo
ndash Responsabilidade Civil dos administradores e teacutecnicos
ndash Atendimento a Agecircncias Reguladoras
ndash Gestatildeo de Seguranccedila atraveacutes de normas e padrotildees
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Seguranccedila Tecnoloacutegica
Por que a Seguranccedila estaacute em Crescimento
3 A seguranccedila da informaccedilatildeo natildeo eacute soacute em computadores
deve considerar
ndash Sistemas de Telecomunicaccedilotildees
ndash Papel
ndash Conversas ndash pessoais e ao telefone
ndash Roubo de equipamentos
ndash Indeterminado
4 Estaacute aumentando o valor financeiro da rede
ndash Transaccedilotildees financeiras pela Internet
ndash Transaccedilotildees financeiras em sistemas internos
ndash Relacionamento pessoal
ndash Armazenamento de informaccedilotildees de valor
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Seguranccedila Tecnoloacutegica
Por que a Seguranccedila estaacute em Crescimento
5 O crime organizado tem aumentado sua atividade no
meio eletrocircnico
ndash Para usar novas tecnologias em crimes convencionais
ndash Para novos crimes tecnoloacutegicos
6 As tecnologias de ataque estatildeo se integrando
ndash Viacuterus Spam Spyware Invasatildeo
7 Crimes satildeo aleacutem-fronteiras
ndash CoreacuteiaBanda Larga ChinaQuantidade IndiaIPv6
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ameaccedilas Digitais
Novas Condutas
bull Acesso Indevido ao sistema de computador
bull Violaccedilatildeo ao sistema de computador
bull Furto de informaccedilotildees
bull Falsificaccedilatildeo de documentos com o uso do computador
bull Dano aos dados e informaccedilotildees arquivadas
bull Obtenccedilatildeo de segredos industriaiscomerciais
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ameaccedilas Digitais
Novas Condutas
bull Furto de tempo do sistema de informaacutetica
bull Coacutepia de programa
bull Violaccedilatildeo do Direito Autoral
bull Espionagem
bull Interceptaccedilatildeo indevida de informaccedilatildeo
bull Violaccedilatildeo de bases de dados pessoais
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
10 Anos de Spam
bull Dados divulgados mensalmente pela MessageLabs (empresa de filtragens de e-mails) mostra que em marccedilo deste ano 53 dos e-mails eram SPAM Em agosto uacuteltimo esse iacutendice foi de 842 tendo chegado a 945 em julho2004
SPAM
0
10
20
30
40
50
60
70
80
90
100
Marccedilo Abril Maio Junho Julho Agosto
SPAM
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Convergecircncia
bull Convergecircncia SPAM se tornou SCAM usando teacutecnicas de SPAM para propagar trojans e viacuterus
bull Criadores de viacuterus mais teacutecnicos motivaccedilatildeo era reconhecimento na ldquocomunidaderdquo
bull Spammers menos teacutecnicos focados no lucro
bull Novo cenaacuterio spammers mais teacutecnicos e criadores de viacuterus focados no lucro
bull Viacuterus criados com o objetivo de ajudar a espalhar mensagens ndash spam (ou controlar ativamente maacutequinas contaminadas) - DDoS
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Convergecircncia
bull Golpes financeiros na Internet combinam vaacuterias teacutecnicas
ndash SPAM no envio da mensagem
ndash Viacuterus na criaccedilatildeo e instalaccedilatildeo do Trojan
ndash Engenharia social
ndash Lavagem de dinheiro (pagamento de contas)
ndash Fraudes no comeacutercio eletrocircnico
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Por que proteger as informaccedilotildees
bull Perdas financeiras bull Comprometimento da imagem bull Perdas de clientes bull Perda de vantagem competitiva
O vazamento de informaccedilotildees pode causar
70 dos problemas de seguranccedila satildeo causados por desconhecimento dos procedimentos
2002 CSIFBI Computer Crime and Security Survey
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Instalaccedilatildeo
inadequada de
Software e
Hardware
Fontes das ameaccedilas
Acessos natildeo
autorizados a
sistemas
Vazamento de
Informaccedilotildees
Paralisaccedilatildeo dos
processos Descuido com
equipamentos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Engenharia Social
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Gerenciamento de Seguranccedila da Informaccedilatildeo
Metodologias de SI e Controle de Acesso
Seguranccedila em Redes e Telecomunicaccedilotildees
BCM (BIA BCP DRP)
Seguranccedila Fiacutesica das aacutereas de TI
Seguranccedila de Aplicaccedilotildees sistemas etc
Seguranccedila de Operaccedilotildees
Forensics (Leis Investigaccedilotildees e eacutetica)
Criptografia
Estruturaccedilatildeo da Aacuterea de
Seguranccedila da Informaccedilatildeo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
CBK ndash Common Body of Knowledge do (ISC)2
1 Metodologia e Sistemas de Controle de Acesso
2 Seguranccedila em Redes e Telecomunicaccedilotildees
3 Praacuteticas de Gerenciamento de Seguranccedila da Informaccedilatildeo
4 Seguranccedila de Aplicaccedilotildees sistemas (desenvolvimento e manutenccedilatildeo)
5 Uso controle e aplicaccedilatildeo de criptografia e PKI
6 Modelos e Arquitetura de Seguranccedila
7 Seguranccedila de Operaccedilotildees
8 Continuidade - BCM (BIA BCP DRP)
9 Forensics (Leis Investigaccedilotildees e Eacutetica)
10 Seguranccedila Fiacutesica das aacutereas de TI
Disciplinas de Seguranccedila da Informaccedilatildeo segundo o (ISC)2
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Novo Cenaacuterio Corporativo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Governanccedila Corporativa Gerenciamento do Risco Operacional
Conformidade
Qual a influecircncia da seguranccedila em TICs nesse novo cenaacuterio
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Novas necessidades regulatoacuterias
bull Gramm-Leach-Bliley Act (Privacidade das informaccedilotildees
financeiras) bull HIPAA - Health Insurance Portability and
Accountability Act (Privacidade das informaccedilotildees de sauacutede)
bull Sarbanes-Oxley (Retenccedilatildeo de informaccedilotildees contaacutebeis (principalmente))
bull Basileacuteia II (bancos)
bull Novo Coacutedigo Civil Brasileiro
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Novo papel do administrador de TI
Retenccedilatildeo de documentos eacute diferente
de backup
- faxes e-mails instant messages
- TODAS as versotildees de documentos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
- NBR ISOIEC 17799 e
- BS 7799-2
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
Seguranccedila em TICs
=
Tecnologia
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
Seguranccedila
=
Processo
Seguranccedila eacute processo tecnologia eacute ferramenta
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
O elo mais fraco da corrente eacute vocecirc
- apenas 48 das empresas americanas ministraram treinamento de
seguranccedila a seus empregados destas apenas 15 fizeram isso haacute menos de 6 meses
Fonte Human Firewall Security Awareness Index Survey 2003
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
BS 7799-2
bull Security policy
bull Organizational security
bull Asset classification and control
bull Personnel security
bull Physical and environmental security
bull Communications and operations management
bull Access control
bull Systems development and maintenance
bull Business continuity management
bull Compliance
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Papel da PESSOA na seguranccedila
bull Novas ameaccedilas surgem diariamente
bull Ferramentas teacutecnicas de seguranccedila com boa taxa de atualizaccedilatildeo
bull Grande investimento das corporaccedilotildees na seguranccedila da informaccedilatildeo
bull Pouco ou nenhum investimento em treinamento focado em seguranccedila
bull Todos satildeo responsaacuteveis ndash regras de conformidade
Sua casa tem fechadura e alarme certo
Mas vocecirc sabe usa-los
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Haacute algo de novo no Horizonte SIM Ciber Ataque e Sabotagem Digital
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Desastres naturais ou ataques fiacutesicos
X Ciber Ataque
bull Desastres naturais ou ataques fiacutesicos
- extensatildeo e dano imediato satildeo limitados
geograficamente
Ex Florianoacutepolis WTC
bull Cyber ataque
ndash natildeo localizado geograficamente
ndash pode ser dissipado com altiacutessima velocidade
ndash atinge todos e natildeo somente alvos especiacuteficos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Australian Sewage Attack
bull Marccedilo de 2000 ndash Brisbane Austraacutelia
bull Vitek Boden ndash consultor ndash sistema controlador de aacutegua
bull Marrochy Shire Council
bull Alterou as configuraccedilotildees das bombas das estaccedilotildees causando problemas em 2 estaccedilotildees
bull Boden foi capturado logo apoacutes o primeiro ataque com os equipamentos e programas que facilitaram o ataque que ateacute entatildeo era visto como um mal funcionamento do sistema
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Distributed denial of service attack bull Fevereiro de 2000
bull Anatomia
ndash Busca de hosts inseguros
ndash Instalaccedilatildeo de software para ataques tornado os servidores escravos do atacante
ndash Lanccedilamento do ataque remotamente ativando todos os sistemas simultaneamente
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Scaning Worms - The SQL Slammer attack bull Worms x viacuterus
ndash Viacuterus ficam latentes enquanto vocecirc natildeo faz alguma atividade para ativa-los
ndash Worms propaga-se automaticamente sem nenhuma atividade por parte do infectado
ndash Primeiro worm ndash 1989 ndash Morris worm
ndash Julho de 2001 ndash Code Red ndash 359000 sistemas ndash a cada 37 minutos dobrava sua capacidade de ataque
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Scaning Worms - The SQL Slammer attack
bull Janeiro de 2003 ndash SQL Slammer worm ndash Dobrava o numero de sistemas atacados a cada 85
segundos ndash Infectou 90 dos servidores vulneraacuteveis em apenas 10
minutos ndash Apenas 3 minutos apoacutes sua ativaccedilatildeo jaacute verificava os
servidores a uma velocidade de 55 milhotildees de verificaccedilotildees por segundo
ndash Infectou 75000 servidores com seacuterias consequumlecircncias bull 13000 ATM do Bank of America foram desabilitados bull O serviccedilo de emergecircncia 911 foi desabilitado afetando
680000 pessoas bull 14 corpos de bombeiros e 02 delegacias tambeacutem
foram afetados bull A Microsoft jaacute havia disponibilizado a correccedilatildeo a
6 meses
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Sabotagem Digital PDVSA
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Sabotagem Digital PDVSA
235
28
596
126 No petrolero
privado
Petrolero Puacuteblico
No petrolero
puacuteblico
Otros
-475 -112
-72 -10
D I
-236 -141
-27
Total -29
Queda do PIB Total 29 Primeiro Trimestre de 2003
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Norma NBR ISOIEC-17799 publicadas pela ABNT
CBK ndash Common Body of Knowledge do (ISC)2
TCSEC ndash Padratildeo US DoD (Orange Book)
ITSEC ndash Padratildeo Europeu
Common Criteria ndash ISO 15404
NIST 800 series
Melhores praacuteticas de seguranccedila de informaccedilotildees
Aderecircncia a Normas e padrotildees geralmente aceitos ndash GASSP
(Generally Accepted System Security Principles)
Adoccedilatildeo de Metodologias especiacuteficas para Seguranccedila da Informaccedilatildeo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Bacen
CVM
ANBID
C Civil
Basileacuteia II (RO)
HIPAA
SOx
outras normas e regulamentaccedilotildees
Atendimento a regulamentaccedilotildees
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Associaccedilotildees profissionais
ISSA
ISACA
ASIS
CSI
Grupos de trabalho
CB21 (Norma ABNT ISOIEC 17799)
Cerificaccedilotildees profissionais
CISSP
CISM
MCSO
CISA
CPP
Oportunidades de desenvolvimento do CSO
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
A Seguranccedila da Informaccedilatildeo natildeo deve ser um fim em si mesma
1 Melhor performance
2 Reduccedilatildeo de perdas
3 Compliance
4 Seguranccedila como agente habilitador de negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Capacitaccedilatildeo e
conscientizaccedilatildeo Monitoramento
Pessoas
Ferramentas e
mecanismos
bem configurados
Meacutetricas padrotildees
poliacuteticas e procedimentos Apoio da Alta
Administraccedilatildeo
Fatores Criacuteticos de Sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Endosso da Alta Administraccedilatildeo
Objetivo
Equipe
Independecircncia
Alinhamento ao Negoacutecio
Reporte Executivo Administraccedilatildeo e Controle
(Orccedilamento x meacutetricas de retorno da funccedilatildeo)
Comunicaccedilatildeo e Conscientizaccedilatildeo
Metodologia normas e modelos
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Outros fatores
Projetos
BAU (dia a dia)
Demonstrar o Sucesso
Benefiacutecios
Atuar mediante um plano
Coordenar atividades
Interagir melhor com deptos
Viabilizar continuidade
Integraccedilatildeo com o negoacutecio
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Princiacutepios que devem ser perseguidos
1 Proteger as pessoas e suas informaccedilotildees privadas (Funcionaacuterios
Clientes Fornecedores Acionistas Oacutergatildeos Reguladores)
2 Garantir Sistemas de Informaccedilatildeo integros e protegidos
3 Proteccedilatildeo perimetral da rede de computadores
4 Garantir soluccedilotildees tecnoloacutegicas seguras
5 Garantir soluccedilotildees de Continuidade de Negoacutecios
6 Promover conscientizaccedilatildeo contiacutenua sobre o tema
7 Proporcionar ambiente de negoacutecios alinhado agraves melhores praacuteticas
de Seguranccedila da Informaccedilatildeo internacionalmente aceitas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Funccedilotildees da Seguranccedila Digital
bull Proteccedilatildeo
bull Proteccedilatildeo do acervo ndash informaccedilatildeo e reputaccedilatildeo
bull Controle corporativo ndash obrigaccedilotildees legais
bull Viabilizaccedilatildeo de Negoacutecios
bull Competitividade e produtividade
bull Utilizar a Internet para atingir novos mercados
bull Estabelecer novas praacuteticas operacionais
bull e-Security estaacute baseado na credibilidade do usuaacuterio na empresa e nos serviccedilos que ela oferece
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Modelo de Seguranccedila Responsabilidade Civil do Executivo de
Negoacutecios (ISO 17799 12)
Responsabilidade Civil do CIO
(ISO 17799 12)
Conformidade com a
Lei e Regulamentaccedilatildeo
(ISO 17799 12)
Seguranccedila Fiacutesica
(ISO 17799 7)
Aplicaccedilatildeo Segura
(desenvolvimento
e produccedilatildeo)
(ISO 17799 10)
Seguranccedila da Infra-estrutura
(ISO 17799 589)
Conscientizaccedilatildeo e
Responsabilizaccedilatildeo dos
Usuaacuterios (ISO 17799 6)
Contratos com Fornecedores
(ISO 17799 4)
Continuidade do Negoacutecio
(ISO 17799 11)
Evidecircncias Forenses
(ISO 17799 12)
Monitoraccedilatildeo e Respostas a
Incidentes (ISO 17799 9)
Poliacutetica de Seguranccedila
(ISO 17799 3)
Infra-estrutura
Sistemas
Negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
O Modelo de Seguranccedila
Infra-estrutura
Sistemas
Negoacutecios
Clientes
Fornecedores
Agecircncias Reguladoras
Fazenda
Usuaacuterios
Judiciaacuterio
Melhores Praacuteticas
Integraccedilatildeo com o negoacutecio
Combate a Fraudes
Ambiente Heterogecircneo
Novas Tecnologias
Conformidade
Anaacutelise de Riscos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Perguntas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
RICARDO THEIL
Muito obrigado
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Seguranccedila Tecnoloacutegica
Por que a Seguranccedila estaacute em Crescimento
1 O ambiente de TI estaacute cada vez mais
ndash Complexo
ndash Amplo
ndash Heterogecircneo
ndash Compacto multimiacutedia consumindo menos energia utilizando o
protocolo TCP-IP integrado com a rede de celulares
2 As accedilotildees de seguranccedila precisam estar integradas com a
legislaccedilatildeo e regulamentaccedilatildeo
ndash Responsabilidade Civil dos administradores e teacutecnicos
ndash Atendimento a Agecircncias Reguladoras
ndash Gestatildeo de Seguranccedila atraveacutes de normas e padrotildees
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Seguranccedila Tecnoloacutegica
Por que a Seguranccedila estaacute em Crescimento
3 A seguranccedila da informaccedilatildeo natildeo eacute soacute em computadores
deve considerar
ndash Sistemas de Telecomunicaccedilotildees
ndash Papel
ndash Conversas ndash pessoais e ao telefone
ndash Roubo de equipamentos
ndash Indeterminado
4 Estaacute aumentando o valor financeiro da rede
ndash Transaccedilotildees financeiras pela Internet
ndash Transaccedilotildees financeiras em sistemas internos
ndash Relacionamento pessoal
ndash Armazenamento de informaccedilotildees de valor
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Seguranccedila Tecnoloacutegica
Por que a Seguranccedila estaacute em Crescimento
5 O crime organizado tem aumentado sua atividade no
meio eletrocircnico
ndash Para usar novas tecnologias em crimes convencionais
ndash Para novos crimes tecnoloacutegicos
6 As tecnologias de ataque estatildeo se integrando
ndash Viacuterus Spam Spyware Invasatildeo
7 Crimes satildeo aleacutem-fronteiras
ndash CoreacuteiaBanda Larga ChinaQuantidade IndiaIPv6
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ameaccedilas Digitais
Novas Condutas
bull Acesso Indevido ao sistema de computador
bull Violaccedilatildeo ao sistema de computador
bull Furto de informaccedilotildees
bull Falsificaccedilatildeo de documentos com o uso do computador
bull Dano aos dados e informaccedilotildees arquivadas
bull Obtenccedilatildeo de segredos industriaiscomerciais
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ameaccedilas Digitais
Novas Condutas
bull Furto de tempo do sistema de informaacutetica
bull Coacutepia de programa
bull Violaccedilatildeo do Direito Autoral
bull Espionagem
bull Interceptaccedilatildeo indevida de informaccedilatildeo
bull Violaccedilatildeo de bases de dados pessoais
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
10 Anos de Spam
bull Dados divulgados mensalmente pela MessageLabs (empresa de filtragens de e-mails) mostra que em marccedilo deste ano 53 dos e-mails eram SPAM Em agosto uacuteltimo esse iacutendice foi de 842 tendo chegado a 945 em julho2004
SPAM
0
10
20
30
40
50
60
70
80
90
100
Marccedilo Abril Maio Junho Julho Agosto
SPAM
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Convergecircncia
bull Convergecircncia SPAM se tornou SCAM usando teacutecnicas de SPAM para propagar trojans e viacuterus
bull Criadores de viacuterus mais teacutecnicos motivaccedilatildeo era reconhecimento na ldquocomunidaderdquo
bull Spammers menos teacutecnicos focados no lucro
bull Novo cenaacuterio spammers mais teacutecnicos e criadores de viacuterus focados no lucro
bull Viacuterus criados com o objetivo de ajudar a espalhar mensagens ndash spam (ou controlar ativamente maacutequinas contaminadas) - DDoS
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Convergecircncia
bull Golpes financeiros na Internet combinam vaacuterias teacutecnicas
ndash SPAM no envio da mensagem
ndash Viacuterus na criaccedilatildeo e instalaccedilatildeo do Trojan
ndash Engenharia social
ndash Lavagem de dinheiro (pagamento de contas)
ndash Fraudes no comeacutercio eletrocircnico
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Por que proteger as informaccedilotildees
bull Perdas financeiras bull Comprometimento da imagem bull Perdas de clientes bull Perda de vantagem competitiva
O vazamento de informaccedilotildees pode causar
70 dos problemas de seguranccedila satildeo causados por desconhecimento dos procedimentos
2002 CSIFBI Computer Crime and Security Survey
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Instalaccedilatildeo
inadequada de
Software e
Hardware
Fontes das ameaccedilas
Acessos natildeo
autorizados a
sistemas
Vazamento de
Informaccedilotildees
Paralisaccedilatildeo dos
processos Descuido com
equipamentos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Engenharia Social
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Gerenciamento de Seguranccedila da Informaccedilatildeo
Metodologias de SI e Controle de Acesso
Seguranccedila em Redes e Telecomunicaccedilotildees
BCM (BIA BCP DRP)
Seguranccedila Fiacutesica das aacutereas de TI
Seguranccedila de Aplicaccedilotildees sistemas etc
Seguranccedila de Operaccedilotildees
Forensics (Leis Investigaccedilotildees e eacutetica)
Criptografia
Estruturaccedilatildeo da Aacuterea de
Seguranccedila da Informaccedilatildeo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
CBK ndash Common Body of Knowledge do (ISC)2
1 Metodologia e Sistemas de Controle de Acesso
2 Seguranccedila em Redes e Telecomunicaccedilotildees
3 Praacuteticas de Gerenciamento de Seguranccedila da Informaccedilatildeo
4 Seguranccedila de Aplicaccedilotildees sistemas (desenvolvimento e manutenccedilatildeo)
5 Uso controle e aplicaccedilatildeo de criptografia e PKI
6 Modelos e Arquitetura de Seguranccedila
7 Seguranccedila de Operaccedilotildees
8 Continuidade - BCM (BIA BCP DRP)
9 Forensics (Leis Investigaccedilotildees e Eacutetica)
10 Seguranccedila Fiacutesica das aacutereas de TI
Disciplinas de Seguranccedila da Informaccedilatildeo segundo o (ISC)2
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Novo Cenaacuterio Corporativo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Governanccedila Corporativa Gerenciamento do Risco Operacional
Conformidade
Qual a influecircncia da seguranccedila em TICs nesse novo cenaacuterio
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Novas necessidades regulatoacuterias
bull Gramm-Leach-Bliley Act (Privacidade das informaccedilotildees
financeiras) bull HIPAA - Health Insurance Portability and
Accountability Act (Privacidade das informaccedilotildees de sauacutede)
bull Sarbanes-Oxley (Retenccedilatildeo de informaccedilotildees contaacutebeis (principalmente))
bull Basileacuteia II (bancos)
bull Novo Coacutedigo Civil Brasileiro
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Novo papel do administrador de TI
Retenccedilatildeo de documentos eacute diferente
de backup
- faxes e-mails instant messages
- TODAS as versotildees de documentos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
- NBR ISOIEC 17799 e
- BS 7799-2
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
Seguranccedila em TICs
=
Tecnologia
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
Seguranccedila
=
Processo
Seguranccedila eacute processo tecnologia eacute ferramenta
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
O elo mais fraco da corrente eacute vocecirc
- apenas 48 das empresas americanas ministraram treinamento de
seguranccedila a seus empregados destas apenas 15 fizeram isso haacute menos de 6 meses
Fonte Human Firewall Security Awareness Index Survey 2003
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
BS 7799-2
bull Security policy
bull Organizational security
bull Asset classification and control
bull Personnel security
bull Physical and environmental security
bull Communications and operations management
bull Access control
bull Systems development and maintenance
bull Business continuity management
bull Compliance
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Papel da PESSOA na seguranccedila
bull Novas ameaccedilas surgem diariamente
bull Ferramentas teacutecnicas de seguranccedila com boa taxa de atualizaccedilatildeo
bull Grande investimento das corporaccedilotildees na seguranccedila da informaccedilatildeo
bull Pouco ou nenhum investimento em treinamento focado em seguranccedila
bull Todos satildeo responsaacuteveis ndash regras de conformidade
Sua casa tem fechadura e alarme certo
Mas vocecirc sabe usa-los
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Haacute algo de novo no Horizonte SIM Ciber Ataque e Sabotagem Digital
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Desastres naturais ou ataques fiacutesicos
X Ciber Ataque
bull Desastres naturais ou ataques fiacutesicos
- extensatildeo e dano imediato satildeo limitados
geograficamente
Ex Florianoacutepolis WTC
bull Cyber ataque
ndash natildeo localizado geograficamente
ndash pode ser dissipado com altiacutessima velocidade
ndash atinge todos e natildeo somente alvos especiacuteficos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Australian Sewage Attack
bull Marccedilo de 2000 ndash Brisbane Austraacutelia
bull Vitek Boden ndash consultor ndash sistema controlador de aacutegua
bull Marrochy Shire Council
bull Alterou as configuraccedilotildees das bombas das estaccedilotildees causando problemas em 2 estaccedilotildees
bull Boden foi capturado logo apoacutes o primeiro ataque com os equipamentos e programas que facilitaram o ataque que ateacute entatildeo era visto como um mal funcionamento do sistema
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Distributed denial of service attack bull Fevereiro de 2000
bull Anatomia
ndash Busca de hosts inseguros
ndash Instalaccedilatildeo de software para ataques tornado os servidores escravos do atacante
ndash Lanccedilamento do ataque remotamente ativando todos os sistemas simultaneamente
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Scaning Worms - The SQL Slammer attack bull Worms x viacuterus
ndash Viacuterus ficam latentes enquanto vocecirc natildeo faz alguma atividade para ativa-los
ndash Worms propaga-se automaticamente sem nenhuma atividade por parte do infectado
ndash Primeiro worm ndash 1989 ndash Morris worm
ndash Julho de 2001 ndash Code Red ndash 359000 sistemas ndash a cada 37 minutos dobrava sua capacidade de ataque
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Scaning Worms - The SQL Slammer attack
bull Janeiro de 2003 ndash SQL Slammer worm ndash Dobrava o numero de sistemas atacados a cada 85
segundos ndash Infectou 90 dos servidores vulneraacuteveis em apenas 10
minutos ndash Apenas 3 minutos apoacutes sua ativaccedilatildeo jaacute verificava os
servidores a uma velocidade de 55 milhotildees de verificaccedilotildees por segundo
ndash Infectou 75000 servidores com seacuterias consequumlecircncias bull 13000 ATM do Bank of America foram desabilitados bull O serviccedilo de emergecircncia 911 foi desabilitado afetando
680000 pessoas bull 14 corpos de bombeiros e 02 delegacias tambeacutem
foram afetados bull A Microsoft jaacute havia disponibilizado a correccedilatildeo a
6 meses
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Sabotagem Digital PDVSA
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Sabotagem Digital PDVSA
235
28
596
126 No petrolero
privado
Petrolero Puacuteblico
No petrolero
puacuteblico
Otros
-475 -112
-72 -10
D I
-236 -141
-27
Total -29
Queda do PIB Total 29 Primeiro Trimestre de 2003
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Norma NBR ISOIEC-17799 publicadas pela ABNT
CBK ndash Common Body of Knowledge do (ISC)2
TCSEC ndash Padratildeo US DoD (Orange Book)
ITSEC ndash Padratildeo Europeu
Common Criteria ndash ISO 15404
NIST 800 series
Melhores praacuteticas de seguranccedila de informaccedilotildees
Aderecircncia a Normas e padrotildees geralmente aceitos ndash GASSP
(Generally Accepted System Security Principles)
Adoccedilatildeo de Metodologias especiacuteficas para Seguranccedila da Informaccedilatildeo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Bacen
CVM
ANBID
C Civil
Basileacuteia II (RO)
HIPAA
SOx
outras normas e regulamentaccedilotildees
Atendimento a regulamentaccedilotildees
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Associaccedilotildees profissionais
ISSA
ISACA
ASIS
CSI
Grupos de trabalho
CB21 (Norma ABNT ISOIEC 17799)
Cerificaccedilotildees profissionais
CISSP
CISM
MCSO
CISA
CPP
Oportunidades de desenvolvimento do CSO
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
A Seguranccedila da Informaccedilatildeo natildeo deve ser um fim em si mesma
1 Melhor performance
2 Reduccedilatildeo de perdas
3 Compliance
4 Seguranccedila como agente habilitador de negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Capacitaccedilatildeo e
conscientizaccedilatildeo Monitoramento
Pessoas
Ferramentas e
mecanismos
bem configurados
Meacutetricas padrotildees
poliacuteticas e procedimentos Apoio da Alta
Administraccedilatildeo
Fatores Criacuteticos de Sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Endosso da Alta Administraccedilatildeo
Objetivo
Equipe
Independecircncia
Alinhamento ao Negoacutecio
Reporte Executivo Administraccedilatildeo e Controle
(Orccedilamento x meacutetricas de retorno da funccedilatildeo)
Comunicaccedilatildeo e Conscientizaccedilatildeo
Metodologia normas e modelos
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Outros fatores
Projetos
BAU (dia a dia)
Demonstrar o Sucesso
Benefiacutecios
Atuar mediante um plano
Coordenar atividades
Interagir melhor com deptos
Viabilizar continuidade
Integraccedilatildeo com o negoacutecio
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Princiacutepios que devem ser perseguidos
1 Proteger as pessoas e suas informaccedilotildees privadas (Funcionaacuterios
Clientes Fornecedores Acionistas Oacutergatildeos Reguladores)
2 Garantir Sistemas de Informaccedilatildeo integros e protegidos
3 Proteccedilatildeo perimetral da rede de computadores
4 Garantir soluccedilotildees tecnoloacutegicas seguras
5 Garantir soluccedilotildees de Continuidade de Negoacutecios
6 Promover conscientizaccedilatildeo contiacutenua sobre o tema
7 Proporcionar ambiente de negoacutecios alinhado agraves melhores praacuteticas
de Seguranccedila da Informaccedilatildeo internacionalmente aceitas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Funccedilotildees da Seguranccedila Digital
bull Proteccedilatildeo
bull Proteccedilatildeo do acervo ndash informaccedilatildeo e reputaccedilatildeo
bull Controle corporativo ndash obrigaccedilotildees legais
bull Viabilizaccedilatildeo de Negoacutecios
bull Competitividade e produtividade
bull Utilizar a Internet para atingir novos mercados
bull Estabelecer novas praacuteticas operacionais
bull e-Security estaacute baseado na credibilidade do usuaacuterio na empresa e nos serviccedilos que ela oferece
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Modelo de Seguranccedila Responsabilidade Civil do Executivo de
Negoacutecios (ISO 17799 12)
Responsabilidade Civil do CIO
(ISO 17799 12)
Conformidade com a
Lei e Regulamentaccedilatildeo
(ISO 17799 12)
Seguranccedila Fiacutesica
(ISO 17799 7)
Aplicaccedilatildeo Segura
(desenvolvimento
e produccedilatildeo)
(ISO 17799 10)
Seguranccedila da Infra-estrutura
(ISO 17799 589)
Conscientizaccedilatildeo e
Responsabilizaccedilatildeo dos
Usuaacuterios (ISO 17799 6)
Contratos com Fornecedores
(ISO 17799 4)
Continuidade do Negoacutecio
(ISO 17799 11)
Evidecircncias Forenses
(ISO 17799 12)
Monitoraccedilatildeo e Respostas a
Incidentes (ISO 17799 9)
Poliacutetica de Seguranccedila
(ISO 17799 3)
Infra-estrutura
Sistemas
Negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
O Modelo de Seguranccedila
Infra-estrutura
Sistemas
Negoacutecios
Clientes
Fornecedores
Agecircncias Reguladoras
Fazenda
Usuaacuterios
Judiciaacuterio
Melhores Praacuteticas
Integraccedilatildeo com o negoacutecio
Combate a Fraudes
Ambiente Heterogecircneo
Novas Tecnologias
Conformidade
Anaacutelise de Riscos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Perguntas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
RICARDO THEIL
Muito obrigado
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Seguranccedila Tecnoloacutegica
Por que a Seguranccedila estaacute em Crescimento
3 A seguranccedila da informaccedilatildeo natildeo eacute soacute em computadores
deve considerar
ndash Sistemas de Telecomunicaccedilotildees
ndash Papel
ndash Conversas ndash pessoais e ao telefone
ndash Roubo de equipamentos
ndash Indeterminado
4 Estaacute aumentando o valor financeiro da rede
ndash Transaccedilotildees financeiras pela Internet
ndash Transaccedilotildees financeiras em sistemas internos
ndash Relacionamento pessoal
ndash Armazenamento de informaccedilotildees de valor
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Seguranccedila Tecnoloacutegica
Por que a Seguranccedila estaacute em Crescimento
5 O crime organizado tem aumentado sua atividade no
meio eletrocircnico
ndash Para usar novas tecnologias em crimes convencionais
ndash Para novos crimes tecnoloacutegicos
6 As tecnologias de ataque estatildeo se integrando
ndash Viacuterus Spam Spyware Invasatildeo
7 Crimes satildeo aleacutem-fronteiras
ndash CoreacuteiaBanda Larga ChinaQuantidade IndiaIPv6
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ameaccedilas Digitais
Novas Condutas
bull Acesso Indevido ao sistema de computador
bull Violaccedilatildeo ao sistema de computador
bull Furto de informaccedilotildees
bull Falsificaccedilatildeo de documentos com o uso do computador
bull Dano aos dados e informaccedilotildees arquivadas
bull Obtenccedilatildeo de segredos industriaiscomerciais
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ameaccedilas Digitais
Novas Condutas
bull Furto de tempo do sistema de informaacutetica
bull Coacutepia de programa
bull Violaccedilatildeo do Direito Autoral
bull Espionagem
bull Interceptaccedilatildeo indevida de informaccedilatildeo
bull Violaccedilatildeo de bases de dados pessoais
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
10 Anos de Spam
bull Dados divulgados mensalmente pela MessageLabs (empresa de filtragens de e-mails) mostra que em marccedilo deste ano 53 dos e-mails eram SPAM Em agosto uacuteltimo esse iacutendice foi de 842 tendo chegado a 945 em julho2004
SPAM
0
10
20
30
40
50
60
70
80
90
100
Marccedilo Abril Maio Junho Julho Agosto
SPAM
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Convergecircncia
bull Convergecircncia SPAM se tornou SCAM usando teacutecnicas de SPAM para propagar trojans e viacuterus
bull Criadores de viacuterus mais teacutecnicos motivaccedilatildeo era reconhecimento na ldquocomunidaderdquo
bull Spammers menos teacutecnicos focados no lucro
bull Novo cenaacuterio spammers mais teacutecnicos e criadores de viacuterus focados no lucro
bull Viacuterus criados com o objetivo de ajudar a espalhar mensagens ndash spam (ou controlar ativamente maacutequinas contaminadas) - DDoS
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Convergecircncia
bull Golpes financeiros na Internet combinam vaacuterias teacutecnicas
ndash SPAM no envio da mensagem
ndash Viacuterus na criaccedilatildeo e instalaccedilatildeo do Trojan
ndash Engenharia social
ndash Lavagem de dinheiro (pagamento de contas)
ndash Fraudes no comeacutercio eletrocircnico
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Por que proteger as informaccedilotildees
bull Perdas financeiras bull Comprometimento da imagem bull Perdas de clientes bull Perda de vantagem competitiva
O vazamento de informaccedilotildees pode causar
70 dos problemas de seguranccedila satildeo causados por desconhecimento dos procedimentos
2002 CSIFBI Computer Crime and Security Survey
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Instalaccedilatildeo
inadequada de
Software e
Hardware
Fontes das ameaccedilas
Acessos natildeo
autorizados a
sistemas
Vazamento de
Informaccedilotildees
Paralisaccedilatildeo dos
processos Descuido com
equipamentos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Engenharia Social
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Gerenciamento de Seguranccedila da Informaccedilatildeo
Metodologias de SI e Controle de Acesso
Seguranccedila em Redes e Telecomunicaccedilotildees
BCM (BIA BCP DRP)
Seguranccedila Fiacutesica das aacutereas de TI
Seguranccedila de Aplicaccedilotildees sistemas etc
Seguranccedila de Operaccedilotildees
Forensics (Leis Investigaccedilotildees e eacutetica)
Criptografia
Estruturaccedilatildeo da Aacuterea de
Seguranccedila da Informaccedilatildeo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
CBK ndash Common Body of Knowledge do (ISC)2
1 Metodologia e Sistemas de Controle de Acesso
2 Seguranccedila em Redes e Telecomunicaccedilotildees
3 Praacuteticas de Gerenciamento de Seguranccedila da Informaccedilatildeo
4 Seguranccedila de Aplicaccedilotildees sistemas (desenvolvimento e manutenccedilatildeo)
5 Uso controle e aplicaccedilatildeo de criptografia e PKI
6 Modelos e Arquitetura de Seguranccedila
7 Seguranccedila de Operaccedilotildees
8 Continuidade - BCM (BIA BCP DRP)
9 Forensics (Leis Investigaccedilotildees e Eacutetica)
10 Seguranccedila Fiacutesica das aacutereas de TI
Disciplinas de Seguranccedila da Informaccedilatildeo segundo o (ISC)2
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Novo Cenaacuterio Corporativo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Governanccedila Corporativa Gerenciamento do Risco Operacional
Conformidade
Qual a influecircncia da seguranccedila em TICs nesse novo cenaacuterio
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Novas necessidades regulatoacuterias
bull Gramm-Leach-Bliley Act (Privacidade das informaccedilotildees
financeiras) bull HIPAA - Health Insurance Portability and
Accountability Act (Privacidade das informaccedilotildees de sauacutede)
bull Sarbanes-Oxley (Retenccedilatildeo de informaccedilotildees contaacutebeis (principalmente))
bull Basileacuteia II (bancos)
bull Novo Coacutedigo Civil Brasileiro
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Novo papel do administrador de TI
Retenccedilatildeo de documentos eacute diferente
de backup
- faxes e-mails instant messages
- TODAS as versotildees de documentos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
- NBR ISOIEC 17799 e
- BS 7799-2
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
Seguranccedila em TICs
=
Tecnologia
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
Seguranccedila
=
Processo
Seguranccedila eacute processo tecnologia eacute ferramenta
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
O elo mais fraco da corrente eacute vocecirc
- apenas 48 das empresas americanas ministraram treinamento de
seguranccedila a seus empregados destas apenas 15 fizeram isso haacute menos de 6 meses
Fonte Human Firewall Security Awareness Index Survey 2003
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
BS 7799-2
bull Security policy
bull Organizational security
bull Asset classification and control
bull Personnel security
bull Physical and environmental security
bull Communications and operations management
bull Access control
bull Systems development and maintenance
bull Business continuity management
bull Compliance
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Papel da PESSOA na seguranccedila
bull Novas ameaccedilas surgem diariamente
bull Ferramentas teacutecnicas de seguranccedila com boa taxa de atualizaccedilatildeo
bull Grande investimento das corporaccedilotildees na seguranccedila da informaccedilatildeo
bull Pouco ou nenhum investimento em treinamento focado em seguranccedila
bull Todos satildeo responsaacuteveis ndash regras de conformidade
Sua casa tem fechadura e alarme certo
Mas vocecirc sabe usa-los
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Haacute algo de novo no Horizonte SIM Ciber Ataque e Sabotagem Digital
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Desastres naturais ou ataques fiacutesicos
X Ciber Ataque
bull Desastres naturais ou ataques fiacutesicos
- extensatildeo e dano imediato satildeo limitados
geograficamente
Ex Florianoacutepolis WTC
bull Cyber ataque
ndash natildeo localizado geograficamente
ndash pode ser dissipado com altiacutessima velocidade
ndash atinge todos e natildeo somente alvos especiacuteficos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Australian Sewage Attack
bull Marccedilo de 2000 ndash Brisbane Austraacutelia
bull Vitek Boden ndash consultor ndash sistema controlador de aacutegua
bull Marrochy Shire Council
bull Alterou as configuraccedilotildees das bombas das estaccedilotildees causando problemas em 2 estaccedilotildees
bull Boden foi capturado logo apoacutes o primeiro ataque com os equipamentos e programas que facilitaram o ataque que ateacute entatildeo era visto como um mal funcionamento do sistema
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Distributed denial of service attack bull Fevereiro de 2000
bull Anatomia
ndash Busca de hosts inseguros
ndash Instalaccedilatildeo de software para ataques tornado os servidores escravos do atacante
ndash Lanccedilamento do ataque remotamente ativando todos os sistemas simultaneamente
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Scaning Worms - The SQL Slammer attack bull Worms x viacuterus
ndash Viacuterus ficam latentes enquanto vocecirc natildeo faz alguma atividade para ativa-los
ndash Worms propaga-se automaticamente sem nenhuma atividade por parte do infectado
ndash Primeiro worm ndash 1989 ndash Morris worm
ndash Julho de 2001 ndash Code Red ndash 359000 sistemas ndash a cada 37 minutos dobrava sua capacidade de ataque
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Scaning Worms - The SQL Slammer attack
bull Janeiro de 2003 ndash SQL Slammer worm ndash Dobrava o numero de sistemas atacados a cada 85
segundos ndash Infectou 90 dos servidores vulneraacuteveis em apenas 10
minutos ndash Apenas 3 minutos apoacutes sua ativaccedilatildeo jaacute verificava os
servidores a uma velocidade de 55 milhotildees de verificaccedilotildees por segundo
ndash Infectou 75000 servidores com seacuterias consequumlecircncias bull 13000 ATM do Bank of America foram desabilitados bull O serviccedilo de emergecircncia 911 foi desabilitado afetando
680000 pessoas bull 14 corpos de bombeiros e 02 delegacias tambeacutem
foram afetados bull A Microsoft jaacute havia disponibilizado a correccedilatildeo a
6 meses
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Sabotagem Digital PDVSA
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Sabotagem Digital PDVSA
235
28
596
126 No petrolero
privado
Petrolero Puacuteblico
No petrolero
puacuteblico
Otros
-475 -112
-72 -10
D I
-236 -141
-27
Total -29
Queda do PIB Total 29 Primeiro Trimestre de 2003
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Norma NBR ISOIEC-17799 publicadas pela ABNT
CBK ndash Common Body of Knowledge do (ISC)2
TCSEC ndash Padratildeo US DoD (Orange Book)
ITSEC ndash Padratildeo Europeu
Common Criteria ndash ISO 15404
NIST 800 series
Melhores praacuteticas de seguranccedila de informaccedilotildees
Aderecircncia a Normas e padrotildees geralmente aceitos ndash GASSP
(Generally Accepted System Security Principles)
Adoccedilatildeo de Metodologias especiacuteficas para Seguranccedila da Informaccedilatildeo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Bacen
CVM
ANBID
C Civil
Basileacuteia II (RO)
HIPAA
SOx
outras normas e regulamentaccedilotildees
Atendimento a regulamentaccedilotildees
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Associaccedilotildees profissionais
ISSA
ISACA
ASIS
CSI
Grupos de trabalho
CB21 (Norma ABNT ISOIEC 17799)
Cerificaccedilotildees profissionais
CISSP
CISM
MCSO
CISA
CPP
Oportunidades de desenvolvimento do CSO
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
A Seguranccedila da Informaccedilatildeo natildeo deve ser um fim em si mesma
1 Melhor performance
2 Reduccedilatildeo de perdas
3 Compliance
4 Seguranccedila como agente habilitador de negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Capacitaccedilatildeo e
conscientizaccedilatildeo Monitoramento
Pessoas
Ferramentas e
mecanismos
bem configurados
Meacutetricas padrotildees
poliacuteticas e procedimentos Apoio da Alta
Administraccedilatildeo
Fatores Criacuteticos de Sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Endosso da Alta Administraccedilatildeo
Objetivo
Equipe
Independecircncia
Alinhamento ao Negoacutecio
Reporte Executivo Administraccedilatildeo e Controle
(Orccedilamento x meacutetricas de retorno da funccedilatildeo)
Comunicaccedilatildeo e Conscientizaccedilatildeo
Metodologia normas e modelos
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Outros fatores
Projetos
BAU (dia a dia)
Demonstrar o Sucesso
Benefiacutecios
Atuar mediante um plano
Coordenar atividades
Interagir melhor com deptos
Viabilizar continuidade
Integraccedilatildeo com o negoacutecio
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Princiacutepios que devem ser perseguidos
1 Proteger as pessoas e suas informaccedilotildees privadas (Funcionaacuterios
Clientes Fornecedores Acionistas Oacutergatildeos Reguladores)
2 Garantir Sistemas de Informaccedilatildeo integros e protegidos
3 Proteccedilatildeo perimetral da rede de computadores
4 Garantir soluccedilotildees tecnoloacutegicas seguras
5 Garantir soluccedilotildees de Continuidade de Negoacutecios
6 Promover conscientizaccedilatildeo contiacutenua sobre o tema
7 Proporcionar ambiente de negoacutecios alinhado agraves melhores praacuteticas
de Seguranccedila da Informaccedilatildeo internacionalmente aceitas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Funccedilotildees da Seguranccedila Digital
bull Proteccedilatildeo
bull Proteccedilatildeo do acervo ndash informaccedilatildeo e reputaccedilatildeo
bull Controle corporativo ndash obrigaccedilotildees legais
bull Viabilizaccedilatildeo de Negoacutecios
bull Competitividade e produtividade
bull Utilizar a Internet para atingir novos mercados
bull Estabelecer novas praacuteticas operacionais
bull e-Security estaacute baseado na credibilidade do usuaacuterio na empresa e nos serviccedilos que ela oferece
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Modelo de Seguranccedila Responsabilidade Civil do Executivo de
Negoacutecios (ISO 17799 12)
Responsabilidade Civil do CIO
(ISO 17799 12)
Conformidade com a
Lei e Regulamentaccedilatildeo
(ISO 17799 12)
Seguranccedila Fiacutesica
(ISO 17799 7)
Aplicaccedilatildeo Segura
(desenvolvimento
e produccedilatildeo)
(ISO 17799 10)
Seguranccedila da Infra-estrutura
(ISO 17799 589)
Conscientizaccedilatildeo e
Responsabilizaccedilatildeo dos
Usuaacuterios (ISO 17799 6)
Contratos com Fornecedores
(ISO 17799 4)
Continuidade do Negoacutecio
(ISO 17799 11)
Evidecircncias Forenses
(ISO 17799 12)
Monitoraccedilatildeo e Respostas a
Incidentes (ISO 17799 9)
Poliacutetica de Seguranccedila
(ISO 17799 3)
Infra-estrutura
Sistemas
Negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
O Modelo de Seguranccedila
Infra-estrutura
Sistemas
Negoacutecios
Clientes
Fornecedores
Agecircncias Reguladoras
Fazenda
Usuaacuterios
Judiciaacuterio
Melhores Praacuteticas
Integraccedilatildeo com o negoacutecio
Combate a Fraudes
Ambiente Heterogecircneo
Novas Tecnologias
Conformidade
Anaacutelise de Riscos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Perguntas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
RICARDO THEIL
Muito obrigado
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Seguranccedila Tecnoloacutegica
Por que a Seguranccedila estaacute em Crescimento
5 O crime organizado tem aumentado sua atividade no
meio eletrocircnico
ndash Para usar novas tecnologias em crimes convencionais
ndash Para novos crimes tecnoloacutegicos
6 As tecnologias de ataque estatildeo se integrando
ndash Viacuterus Spam Spyware Invasatildeo
7 Crimes satildeo aleacutem-fronteiras
ndash CoreacuteiaBanda Larga ChinaQuantidade IndiaIPv6
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ameaccedilas Digitais
Novas Condutas
bull Acesso Indevido ao sistema de computador
bull Violaccedilatildeo ao sistema de computador
bull Furto de informaccedilotildees
bull Falsificaccedilatildeo de documentos com o uso do computador
bull Dano aos dados e informaccedilotildees arquivadas
bull Obtenccedilatildeo de segredos industriaiscomerciais
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ameaccedilas Digitais
Novas Condutas
bull Furto de tempo do sistema de informaacutetica
bull Coacutepia de programa
bull Violaccedilatildeo do Direito Autoral
bull Espionagem
bull Interceptaccedilatildeo indevida de informaccedilatildeo
bull Violaccedilatildeo de bases de dados pessoais
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
10 Anos de Spam
bull Dados divulgados mensalmente pela MessageLabs (empresa de filtragens de e-mails) mostra que em marccedilo deste ano 53 dos e-mails eram SPAM Em agosto uacuteltimo esse iacutendice foi de 842 tendo chegado a 945 em julho2004
SPAM
0
10
20
30
40
50
60
70
80
90
100
Marccedilo Abril Maio Junho Julho Agosto
SPAM
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Convergecircncia
bull Convergecircncia SPAM se tornou SCAM usando teacutecnicas de SPAM para propagar trojans e viacuterus
bull Criadores de viacuterus mais teacutecnicos motivaccedilatildeo era reconhecimento na ldquocomunidaderdquo
bull Spammers menos teacutecnicos focados no lucro
bull Novo cenaacuterio spammers mais teacutecnicos e criadores de viacuterus focados no lucro
bull Viacuterus criados com o objetivo de ajudar a espalhar mensagens ndash spam (ou controlar ativamente maacutequinas contaminadas) - DDoS
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Convergecircncia
bull Golpes financeiros na Internet combinam vaacuterias teacutecnicas
ndash SPAM no envio da mensagem
ndash Viacuterus na criaccedilatildeo e instalaccedilatildeo do Trojan
ndash Engenharia social
ndash Lavagem de dinheiro (pagamento de contas)
ndash Fraudes no comeacutercio eletrocircnico
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Por que proteger as informaccedilotildees
bull Perdas financeiras bull Comprometimento da imagem bull Perdas de clientes bull Perda de vantagem competitiva
O vazamento de informaccedilotildees pode causar
70 dos problemas de seguranccedila satildeo causados por desconhecimento dos procedimentos
2002 CSIFBI Computer Crime and Security Survey
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Instalaccedilatildeo
inadequada de
Software e
Hardware
Fontes das ameaccedilas
Acessos natildeo
autorizados a
sistemas
Vazamento de
Informaccedilotildees
Paralisaccedilatildeo dos
processos Descuido com
equipamentos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Engenharia Social
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Gerenciamento de Seguranccedila da Informaccedilatildeo
Metodologias de SI e Controle de Acesso
Seguranccedila em Redes e Telecomunicaccedilotildees
BCM (BIA BCP DRP)
Seguranccedila Fiacutesica das aacutereas de TI
Seguranccedila de Aplicaccedilotildees sistemas etc
Seguranccedila de Operaccedilotildees
Forensics (Leis Investigaccedilotildees e eacutetica)
Criptografia
Estruturaccedilatildeo da Aacuterea de
Seguranccedila da Informaccedilatildeo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
CBK ndash Common Body of Knowledge do (ISC)2
1 Metodologia e Sistemas de Controle de Acesso
2 Seguranccedila em Redes e Telecomunicaccedilotildees
3 Praacuteticas de Gerenciamento de Seguranccedila da Informaccedilatildeo
4 Seguranccedila de Aplicaccedilotildees sistemas (desenvolvimento e manutenccedilatildeo)
5 Uso controle e aplicaccedilatildeo de criptografia e PKI
6 Modelos e Arquitetura de Seguranccedila
7 Seguranccedila de Operaccedilotildees
8 Continuidade - BCM (BIA BCP DRP)
9 Forensics (Leis Investigaccedilotildees e Eacutetica)
10 Seguranccedila Fiacutesica das aacutereas de TI
Disciplinas de Seguranccedila da Informaccedilatildeo segundo o (ISC)2
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Novo Cenaacuterio Corporativo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Governanccedila Corporativa Gerenciamento do Risco Operacional
Conformidade
Qual a influecircncia da seguranccedila em TICs nesse novo cenaacuterio
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Novas necessidades regulatoacuterias
bull Gramm-Leach-Bliley Act (Privacidade das informaccedilotildees
financeiras) bull HIPAA - Health Insurance Portability and
Accountability Act (Privacidade das informaccedilotildees de sauacutede)
bull Sarbanes-Oxley (Retenccedilatildeo de informaccedilotildees contaacutebeis (principalmente))
bull Basileacuteia II (bancos)
bull Novo Coacutedigo Civil Brasileiro
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Novo papel do administrador de TI
Retenccedilatildeo de documentos eacute diferente
de backup
- faxes e-mails instant messages
- TODAS as versotildees de documentos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
- NBR ISOIEC 17799 e
- BS 7799-2
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
Seguranccedila em TICs
=
Tecnologia
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
Seguranccedila
=
Processo
Seguranccedila eacute processo tecnologia eacute ferramenta
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
O elo mais fraco da corrente eacute vocecirc
- apenas 48 das empresas americanas ministraram treinamento de
seguranccedila a seus empregados destas apenas 15 fizeram isso haacute menos de 6 meses
Fonte Human Firewall Security Awareness Index Survey 2003
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
BS 7799-2
bull Security policy
bull Organizational security
bull Asset classification and control
bull Personnel security
bull Physical and environmental security
bull Communications and operations management
bull Access control
bull Systems development and maintenance
bull Business continuity management
bull Compliance
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Papel da PESSOA na seguranccedila
bull Novas ameaccedilas surgem diariamente
bull Ferramentas teacutecnicas de seguranccedila com boa taxa de atualizaccedilatildeo
bull Grande investimento das corporaccedilotildees na seguranccedila da informaccedilatildeo
bull Pouco ou nenhum investimento em treinamento focado em seguranccedila
bull Todos satildeo responsaacuteveis ndash regras de conformidade
Sua casa tem fechadura e alarme certo
Mas vocecirc sabe usa-los
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Haacute algo de novo no Horizonte SIM Ciber Ataque e Sabotagem Digital
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Desastres naturais ou ataques fiacutesicos
X Ciber Ataque
bull Desastres naturais ou ataques fiacutesicos
- extensatildeo e dano imediato satildeo limitados
geograficamente
Ex Florianoacutepolis WTC
bull Cyber ataque
ndash natildeo localizado geograficamente
ndash pode ser dissipado com altiacutessima velocidade
ndash atinge todos e natildeo somente alvos especiacuteficos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Australian Sewage Attack
bull Marccedilo de 2000 ndash Brisbane Austraacutelia
bull Vitek Boden ndash consultor ndash sistema controlador de aacutegua
bull Marrochy Shire Council
bull Alterou as configuraccedilotildees das bombas das estaccedilotildees causando problemas em 2 estaccedilotildees
bull Boden foi capturado logo apoacutes o primeiro ataque com os equipamentos e programas que facilitaram o ataque que ateacute entatildeo era visto como um mal funcionamento do sistema
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Distributed denial of service attack bull Fevereiro de 2000
bull Anatomia
ndash Busca de hosts inseguros
ndash Instalaccedilatildeo de software para ataques tornado os servidores escravos do atacante
ndash Lanccedilamento do ataque remotamente ativando todos os sistemas simultaneamente
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Scaning Worms - The SQL Slammer attack bull Worms x viacuterus
ndash Viacuterus ficam latentes enquanto vocecirc natildeo faz alguma atividade para ativa-los
ndash Worms propaga-se automaticamente sem nenhuma atividade por parte do infectado
ndash Primeiro worm ndash 1989 ndash Morris worm
ndash Julho de 2001 ndash Code Red ndash 359000 sistemas ndash a cada 37 minutos dobrava sua capacidade de ataque
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Scaning Worms - The SQL Slammer attack
bull Janeiro de 2003 ndash SQL Slammer worm ndash Dobrava o numero de sistemas atacados a cada 85
segundos ndash Infectou 90 dos servidores vulneraacuteveis em apenas 10
minutos ndash Apenas 3 minutos apoacutes sua ativaccedilatildeo jaacute verificava os
servidores a uma velocidade de 55 milhotildees de verificaccedilotildees por segundo
ndash Infectou 75000 servidores com seacuterias consequumlecircncias bull 13000 ATM do Bank of America foram desabilitados bull O serviccedilo de emergecircncia 911 foi desabilitado afetando
680000 pessoas bull 14 corpos de bombeiros e 02 delegacias tambeacutem
foram afetados bull A Microsoft jaacute havia disponibilizado a correccedilatildeo a
6 meses
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Sabotagem Digital PDVSA
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Sabotagem Digital PDVSA
235
28
596
126 No petrolero
privado
Petrolero Puacuteblico
No petrolero
puacuteblico
Otros
-475 -112
-72 -10
D I
-236 -141
-27
Total -29
Queda do PIB Total 29 Primeiro Trimestre de 2003
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Norma NBR ISOIEC-17799 publicadas pela ABNT
CBK ndash Common Body of Knowledge do (ISC)2
TCSEC ndash Padratildeo US DoD (Orange Book)
ITSEC ndash Padratildeo Europeu
Common Criteria ndash ISO 15404
NIST 800 series
Melhores praacuteticas de seguranccedila de informaccedilotildees
Aderecircncia a Normas e padrotildees geralmente aceitos ndash GASSP
(Generally Accepted System Security Principles)
Adoccedilatildeo de Metodologias especiacuteficas para Seguranccedila da Informaccedilatildeo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Bacen
CVM
ANBID
C Civil
Basileacuteia II (RO)
HIPAA
SOx
outras normas e regulamentaccedilotildees
Atendimento a regulamentaccedilotildees
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Associaccedilotildees profissionais
ISSA
ISACA
ASIS
CSI
Grupos de trabalho
CB21 (Norma ABNT ISOIEC 17799)
Cerificaccedilotildees profissionais
CISSP
CISM
MCSO
CISA
CPP
Oportunidades de desenvolvimento do CSO
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
A Seguranccedila da Informaccedilatildeo natildeo deve ser um fim em si mesma
1 Melhor performance
2 Reduccedilatildeo de perdas
3 Compliance
4 Seguranccedila como agente habilitador de negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Capacitaccedilatildeo e
conscientizaccedilatildeo Monitoramento
Pessoas
Ferramentas e
mecanismos
bem configurados
Meacutetricas padrotildees
poliacuteticas e procedimentos Apoio da Alta
Administraccedilatildeo
Fatores Criacuteticos de Sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Endosso da Alta Administraccedilatildeo
Objetivo
Equipe
Independecircncia
Alinhamento ao Negoacutecio
Reporte Executivo Administraccedilatildeo e Controle
(Orccedilamento x meacutetricas de retorno da funccedilatildeo)
Comunicaccedilatildeo e Conscientizaccedilatildeo
Metodologia normas e modelos
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Outros fatores
Projetos
BAU (dia a dia)
Demonstrar o Sucesso
Benefiacutecios
Atuar mediante um plano
Coordenar atividades
Interagir melhor com deptos
Viabilizar continuidade
Integraccedilatildeo com o negoacutecio
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Princiacutepios que devem ser perseguidos
1 Proteger as pessoas e suas informaccedilotildees privadas (Funcionaacuterios
Clientes Fornecedores Acionistas Oacutergatildeos Reguladores)
2 Garantir Sistemas de Informaccedilatildeo integros e protegidos
3 Proteccedilatildeo perimetral da rede de computadores
4 Garantir soluccedilotildees tecnoloacutegicas seguras
5 Garantir soluccedilotildees de Continuidade de Negoacutecios
6 Promover conscientizaccedilatildeo contiacutenua sobre o tema
7 Proporcionar ambiente de negoacutecios alinhado agraves melhores praacuteticas
de Seguranccedila da Informaccedilatildeo internacionalmente aceitas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Funccedilotildees da Seguranccedila Digital
bull Proteccedilatildeo
bull Proteccedilatildeo do acervo ndash informaccedilatildeo e reputaccedilatildeo
bull Controle corporativo ndash obrigaccedilotildees legais
bull Viabilizaccedilatildeo de Negoacutecios
bull Competitividade e produtividade
bull Utilizar a Internet para atingir novos mercados
bull Estabelecer novas praacuteticas operacionais
bull e-Security estaacute baseado na credibilidade do usuaacuterio na empresa e nos serviccedilos que ela oferece
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Modelo de Seguranccedila Responsabilidade Civil do Executivo de
Negoacutecios (ISO 17799 12)
Responsabilidade Civil do CIO
(ISO 17799 12)
Conformidade com a
Lei e Regulamentaccedilatildeo
(ISO 17799 12)
Seguranccedila Fiacutesica
(ISO 17799 7)
Aplicaccedilatildeo Segura
(desenvolvimento
e produccedilatildeo)
(ISO 17799 10)
Seguranccedila da Infra-estrutura
(ISO 17799 589)
Conscientizaccedilatildeo e
Responsabilizaccedilatildeo dos
Usuaacuterios (ISO 17799 6)
Contratos com Fornecedores
(ISO 17799 4)
Continuidade do Negoacutecio
(ISO 17799 11)
Evidecircncias Forenses
(ISO 17799 12)
Monitoraccedilatildeo e Respostas a
Incidentes (ISO 17799 9)
Poliacutetica de Seguranccedila
(ISO 17799 3)
Infra-estrutura
Sistemas
Negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
O Modelo de Seguranccedila
Infra-estrutura
Sistemas
Negoacutecios
Clientes
Fornecedores
Agecircncias Reguladoras
Fazenda
Usuaacuterios
Judiciaacuterio
Melhores Praacuteticas
Integraccedilatildeo com o negoacutecio
Combate a Fraudes
Ambiente Heterogecircneo
Novas Tecnologias
Conformidade
Anaacutelise de Riscos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Perguntas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
RICARDO THEIL
Muito obrigado
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ameaccedilas Digitais
Novas Condutas
bull Acesso Indevido ao sistema de computador
bull Violaccedilatildeo ao sistema de computador
bull Furto de informaccedilotildees
bull Falsificaccedilatildeo de documentos com o uso do computador
bull Dano aos dados e informaccedilotildees arquivadas
bull Obtenccedilatildeo de segredos industriaiscomerciais
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ameaccedilas Digitais
Novas Condutas
bull Furto de tempo do sistema de informaacutetica
bull Coacutepia de programa
bull Violaccedilatildeo do Direito Autoral
bull Espionagem
bull Interceptaccedilatildeo indevida de informaccedilatildeo
bull Violaccedilatildeo de bases de dados pessoais
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
10 Anos de Spam
bull Dados divulgados mensalmente pela MessageLabs (empresa de filtragens de e-mails) mostra que em marccedilo deste ano 53 dos e-mails eram SPAM Em agosto uacuteltimo esse iacutendice foi de 842 tendo chegado a 945 em julho2004
SPAM
0
10
20
30
40
50
60
70
80
90
100
Marccedilo Abril Maio Junho Julho Agosto
SPAM
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Convergecircncia
bull Convergecircncia SPAM se tornou SCAM usando teacutecnicas de SPAM para propagar trojans e viacuterus
bull Criadores de viacuterus mais teacutecnicos motivaccedilatildeo era reconhecimento na ldquocomunidaderdquo
bull Spammers menos teacutecnicos focados no lucro
bull Novo cenaacuterio spammers mais teacutecnicos e criadores de viacuterus focados no lucro
bull Viacuterus criados com o objetivo de ajudar a espalhar mensagens ndash spam (ou controlar ativamente maacutequinas contaminadas) - DDoS
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Convergecircncia
bull Golpes financeiros na Internet combinam vaacuterias teacutecnicas
ndash SPAM no envio da mensagem
ndash Viacuterus na criaccedilatildeo e instalaccedilatildeo do Trojan
ndash Engenharia social
ndash Lavagem de dinheiro (pagamento de contas)
ndash Fraudes no comeacutercio eletrocircnico
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Por que proteger as informaccedilotildees
bull Perdas financeiras bull Comprometimento da imagem bull Perdas de clientes bull Perda de vantagem competitiva
O vazamento de informaccedilotildees pode causar
70 dos problemas de seguranccedila satildeo causados por desconhecimento dos procedimentos
2002 CSIFBI Computer Crime and Security Survey
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Instalaccedilatildeo
inadequada de
Software e
Hardware
Fontes das ameaccedilas
Acessos natildeo
autorizados a
sistemas
Vazamento de
Informaccedilotildees
Paralisaccedilatildeo dos
processos Descuido com
equipamentos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Engenharia Social
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Gerenciamento de Seguranccedila da Informaccedilatildeo
Metodologias de SI e Controle de Acesso
Seguranccedila em Redes e Telecomunicaccedilotildees
BCM (BIA BCP DRP)
Seguranccedila Fiacutesica das aacutereas de TI
Seguranccedila de Aplicaccedilotildees sistemas etc
Seguranccedila de Operaccedilotildees
Forensics (Leis Investigaccedilotildees e eacutetica)
Criptografia
Estruturaccedilatildeo da Aacuterea de
Seguranccedila da Informaccedilatildeo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
CBK ndash Common Body of Knowledge do (ISC)2
1 Metodologia e Sistemas de Controle de Acesso
2 Seguranccedila em Redes e Telecomunicaccedilotildees
3 Praacuteticas de Gerenciamento de Seguranccedila da Informaccedilatildeo
4 Seguranccedila de Aplicaccedilotildees sistemas (desenvolvimento e manutenccedilatildeo)
5 Uso controle e aplicaccedilatildeo de criptografia e PKI
6 Modelos e Arquitetura de Seguranccedila
7 Seguranccedila de Operaccedilotildees
8 Continuidade - BCM (BIA BCP DRP)
9 Forensics (Leis Investigaccedilotildees e Eacutetica)
10 Seguranccedila Fiacutesica das aacutereas de TI
Disciplinas de Seguranccedila da Informaccedilatildeo segundo o (ISC)2
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Novo Cenaacuterio Corporativo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Governanccedila Corporativa Gerenciamento do Risco Operacional
Conformidade
Qual a influecircncia da seguranccedila em TICs nesse novo cenaacuterio
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Novas necessidades regulatoacuterias
bull Gramm-Leach-Bliley Act (Privacidade das informaccedilotildees
financeiras) bull HIPAA - Health Insurance Portability and
Accountability Act (Privacidade das informaccedilotildees de sauacutede)
bull Sarbanes-Oxley (Retenccedilatildeo de informaccedilotildees contaacutebeis (principalmente))
bull Basileacuteia II (bancos)
bull Novo Coacutedigo Civil Brasileiro
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Novo papel do administrador de TI
Retenccedilatildeo de documentos eacute diferente
de backup
- faxes e-mails instant messages
- TODAS as versotildees de documentos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
- NBR ISOIEC 17799 e
- BS 7799-2
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
Seguranccedila em TICs
=
Tecnologia
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
Seguranccedila
=
Processo
Seguranccedila eacute processo tecnologia eacute ferramenta
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
O elo mais fraco da corrente eacute vocecirc
- apenas 48 das empresas americanas ministraram treinamento de
seguranccedila a seus empregados destas apenas 15 fizeram isso haacute menos de 6 meses
Fonte Human Firewall Security Awareness Index Survey 2003
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
BS 7799-2
bull Security policy
bull Organizational security
bull Asset classification and control
bull Personnel security
bull Physical and environmental security
bull Communications and operations management
bull Access control
bull Systems development and maintenance
bull Business continuity management
bull Compliance
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Papel da PESSOA na seguranccedila
bull Novas ameaccedilas surgem diariamente
bull Ferramentas teacutecnicas de seguranccedila com boa taxa de atualizaccedilatildeo
bull Grande investimento das corporaccedilotildees na seguranccedila da informaccedilatildeo
bull Pouco ou nenhum investimento em treinamento focado em seguranccedila
bull Todos satildeo responsaacuteveis ndash regras de conformidade
Sua casa tem fechadura e alarme certo
Mas vocecirc sabe usa-los
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Haacute algo de novo no Horizonte SIM Ciber Ataque e Sabotagem Digital
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Desastres naturais ou ataques fiacutesicos
X Ciber Ataque
bull Desastres naturais ou ataques fiacutesicos
- extensatildeo e dano imediato satildeo limitados
geograficamente
Ex Florianoacutepolis WTC
bull Cyber ataque
ndash natildeo localizado geograficamente
ndash pode ser dissipado com altiacutessima velocidade
ndash atinge todos e natildeo somente alvos especiacuteficos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Australian Sewage Attack
bull Marccedilo de 2000 ndash Brisbane Austraacutelia
bull Vitek Boden ndash consultor ndash sistema controlador de aacutegua
bull Marrochy Shire Council
bull Alterou as configuraccedilotildees das bombas das estaccedilotildees causando problemas em 2 estaccedilotildees
bull Boden foi capturado logo apoacutes o primeiro ataque com os equipamentos e programas que facilitaram o ataque que ateacute entatildeo era visto como um mal funcionamento do sistema
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Distributed denial of service attack bull Fevereiro de 2000
bull Anatomia
ndash Busca de hosts inseguros
ndash Instalaccedilatildeo de software para ataques tornado os servidores escravos do atacante
ndash Lanccedilamento do ataque remotamente ativando todos os sistemas simultaneamente
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Scaning Worms - The SQL Slammer attack bull Worms x viacuterus
ndash Viacuterus ficam latentes enquanto vocecirc natildeo faz alguma atividade para ativa-los
ndash Worms propaga-se automaticamente sem nenhuma atividade por parte do infectado
ndash Primeiro worm ndash 1989 ndash Morris worm
ndash Julho de 2001 ndash Code Red ndash 359000 sistemas ndash a cada 37 minutos dobrava sua capacidade de ataque
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Scaning Worms - The SQL Slammer attack
bull Janeiro de 2003 ndash SQL Slammer worm ndash Dobrava o numero de sistemas atacados a cada 85
segundos ndash Infectou 90 dos servidores vulneraacuteveis em apenas 10
minutos ndash Apenas 3 minutos apoacutes sua ativaccedilatildeo jaacute verificava os
servidores a uma velocidade de 55 milhotildees de verificaccedilotildees por segundo
ndash Infectou 75000 servidores com seacuterias consequumlecircncias bull 13000 ATM do Bank of America foram desabilitados bull O serviccedilo de emergecircncia 911 foi desabilitado afetando
680000 pessoas bull 14 corpos de bombeiros e 02 delegacias tambeacutem
foram afetados bull A Microsoft jaacute havia disponibilizado a correccedilatildeo a
6 meses
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Sabotagem Digital PDVSA
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Sabotagem Digital PDVSA
235
28
596
126 No petrolero
privado
Petrolero Puacuteblico
No petrolero
puacuteblico
Otros
-475 -112
-72 -10
D I
-236 -141
-27
Total -29
Queda do PIB Total 29 Primeiro Trimestre de 2003
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Norma NBR ISOIEC-17799 publicadas pela ABNT
CBK ndash Common Body of Knowledge do (ISC)2
TCSEC ndash Padratildeo US DoD (Orange Book)
ITSEC ndash Padratildeo Europeu
Common Criteria ndash ISO 15404
NIST 800 series
Melhores praacuteticas de seguranccedila de informaccedilotildees
Aderecircncia a Normas e padrotildees geralmente aceitos ndash GASSP
(Generally Accepted System Security Principles)
Adoccedilatildeo de Metodologias especiacuteficas para Seguranccedila da Informaccedilatildeo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Bacen
CVM
ANBID
C Civil
Basileacuteia II (RO)
HIPAA
SOx
outras normas e regulamentaccedilotildees
Atendimento a regulamentaccedilotildees
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Associaccedilotildees profissionais
ISSA
ISACA
ASIS
CSI
Grupos de trabalho
CB21 (Norma ABNT ISOIEC 17799)
Cerificaccedilotildees profissionais
CISSP
CISM
MCSO
CISA
CPP
Oportunidades de desenvolvimento do CSO
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
A Seguranccedila da Informaccedilatildeo natildeo deve ser um fim em si mesma
1 Melhor performance
2 Reduccedilatildeo de perdas
3 Compliance
4 Seguranccedila como agente habilitador de negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Capacitaccedilatildeo e
conscientizaccedilatildeo Monitoramento
Pessoas
Ferramentas e
mecanismos
bem configurados
Meacutetricas padrotildees
poliacuteticas e procedimentos Apoio da Alta
Administraccedilatildeo
Fatores Criacuteticos de Sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Endosso da Alta Administraccedilatildeo
Objetivo
Equipe
Independecircncia
Alinhamento ao Negoacutecio
Reporte Executivo Administraccedilatildeo e Controle
(Orccedilamento x meacutetricas de retorno da funccedilatildeo)
Comunicaccedilatildeo e Conscientizaccedilatildeo
Metodologia normas e modelos
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Outros fatores
Projetos
BAU (dia a dia)
Demonstrar o Sucesso
Benefiacutecios
Atuar mediante um plano
Coordenar atividades
Interagir melhor com deptos
Viabilizar continuidade
Integraccedilatildeo com o negoacutecio
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Princiacutepios que devem ser perseguidos
1 Proteger as pessoas e suas informaccedilotildees privadas (Funcionaacuterios
Clientes Fornecedores Acionistas Oacutergatildeos Reguladores)
2 Garantir Sistemas de Informaccedilatildeo integros e protegidos
3 Proteccedilatildeo perimetral da rede de computadores
4 Garantir soluccedilotildees tecnoloacutegicas seguras
5 Garantir soluccedilotildees de Continuidade de Negoacutecios
6 Promover conscientizaccedilatildeo contiacutenua sobre o tema
7 Proporcionar ambiente de negoacutecios alinhado agraves melhores praacuteticas
de Seguranccedila da Informaccedilatildeo internacionalmente aceitas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Funccedilotildees da Seguranccedila Digital
bull Proteccedilatildeo
bull Proteccedilatildeo do acervo ndash informaccedilatildeo e reputaccedilatildeo
bull Controle corporativo ndash obrigaccedilotildees legais
bull Viabilizaccedilatildeo de Negoacutecios
bull Competitividade e produtividade
bull Utilizar a Internet para atingir novos mercados
bull Estabelecer novas praacuteticas operacionais
bull e-Security estaacute baseado na credibilidade do usuaacuterio na empresa e nos serviccedilos que ela oferece
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Modelo de Seguranccedila Responsabilidade Civil do Executivo de
Negoacutecios (ISO 17799 12)
Responsabilidade Civil do CIO
(ISO 17799 12)
Conformidade com a
Lei e Regulamentaccedilatildeo
(ISO 17799 12)
Seguranccedila Fiacutesica
(ISO 17799 7)
Aplicaccedilatildeo Segura
(desenvolvimento
e produccedilatildeo)
(ISO 17799 10)
Seguranccedila da Infra-estrutura
(ISO 17799 589)
Conscientizaccedilatildeo e
Responsabilizaccedilatildeo dos
Usuaacuterios (ISO 17799 6)
Contratos com Fornecedores
(ISO 17799 4)
Continuidade do Negoacutecio
(ISO 17799 11)
Evidecircncias Forenses
(ISO 17799 12)
Monitoraccedilatildeo e Respostas a
Incidentes (ISO 17799 9)
Poliacutetica de Seguranccedila
(ISO 17799 3)
Infra-estrutura
Sistemas
Negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
O Modelo de Seguranccedila
Infra-estrutura
Sistemas
Negoacutecios
Clientes
Fornecedores
Agecircncias Reguladoras
Fazenda
Usuaacuterios
Judiciaacuterio
Melhores Praacuteticas
Integraccedilatildeo com o negoacutecio
Combate a Fraudes
Ambiente Heterogecircneo
Novas Tecnologias
Conformidade
Anaacutelise de Riscos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Perguntas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
RICARDO THEIL
Muito obrigado
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ameaccedilas Digitais
Novas Condutas
bull Furto de tempo do sistema de informaacutetica
bull Coacutepia de programa
bull Violaccedilatildeo do Direito Autoral
bull Espionagem
bull Interceptaccedilatildeo indevida de informaccedilatildeo
bull Violaccedilatildeo de bases de dados pessoais
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
10 Anos de Spam
bull Dados divulgados mensalmente pela MessageLabs (empresa de filtragens de e-mails) mostra que em marccedilo deste ano 53 dos e-mails eram SPAM Em agosto uacuteltimo esse iacutendice foi de 842 tendo chegado a 945 em julho2004
SPAM
0
10
20
30
40
50
60
70
80
90
100
Marccedilo Abril Maio Junho Julho Agosto
SPAM
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Convergecircncia
bull Convergecircncia SPAM se tornou SCAM usando teacutecnicas de SPAM para propagar trojans e viacuterus
bull Criadores de viacuterus mais teacutecnicos motivaccedilatildeo era reconhecimento na ldquocomunidaderdquo
bull Spammers menos teacutecnicos focados no lucro
bull Novo cenaacuterio spammers mais teacutecnicos e criadores de viacuterus focados no lucro
bull Viacuterus criados com o objetivo de ajudar a espalhar mensagens ndash spam (ou controlar ativamente maacutequinas contaminadas) - DDoS
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Convergecircncia
bull Golpes financeiros na Internet combinam vaacuterias teacutecnicas
ndash SPAM no envio da mensagem
ndash Viacuterus na criaccedilatildeo e instalaccedilatildeo do Trojan
ndash Engenharia social
ndash Lavagem de dinheiro (pagamento de contas)
ndash Fraudes no comeacutercio eletrocircnico
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Por que proteger as informaccedilotildees
bull Perdas financeiras bull Comprometimento da imagem bull Perdas de clientes bull Perda de vantagem competitiva
O vazamento de informaccedilotildees pode causar
70 dos problemas de seguranccedila satildeo causados por desconhecimento dos procedimentos
2002 CSIFBI Computer Crime and Security Survey
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Instalaccedilatildeo
inadequada de
Software e
Hardware
Fontes das ameaccedilas
Acessos natildeo
autorizados a
sistemas
Vazamento de
Informaccedilotildees
Paralisaccedilatildeo dos
processos Descuido com
equipamentos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Engenharia Social
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Gerenciamento de Seguranccedila da Informaccedilatildeo
Metodologias de SI e Controle de Acesso
Seguranccedila em Redes e Telecomunicaccedilotildees
BCM (BIA BCP DRP)
Seguranccedila Fiacutesica das aacutereas de TI
Seguranccedila de Aplicaccedilotildees sistemas etc
Seguranccedila de Operaccedilotildees
Forensics (Leis Investigaccedilotildees e eacutetica)
Criptografia
Estruturaccedilatildeo da Aacuterea de
Seguranccedila da Informaccedilatildeo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
CBK ndash Common Body of Knowledge do (ISC)2
1 Metodologia e Sistemas de Controle de Acesso
2 Seguranccedila em Redes e Telecomunicaccedilotildees
3 Praacuteticas de Gerenciamento de Seguranccedila da Informaccedilatildeo
4 Seguranccedila de Aplicaccedilotildees sistemas (desenvolvimento e manutenccedilatildeo)
5 Uso controle e aplicaccedilatildeo de criptografia e PKI
6 Modelos e Arquitetura de Seguranccedila
7 Seguranccedila de Operaccedilotildees
8 Continuidade - BCM (BIA BCP DRP)
9 Forensics (Leis Investigaccedilotildees e Eacutetica)
10 Seguranccedila Fiacutesica das aacutereas de TI
Disciplinas de Seguranccedila da Informaccedilatildeo segundo o (ISC)2
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Novo Cenaacuterio Corporativo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Governanccedila Corporativa Gerenciamento do Risco Operacional
Conformidade
Qual a influecircncia da seguranccedila em TICs nesse novo cenaacuterio
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Novas necessidades regulatoacuterias
bull Gramm-Leach-Bliley Act (Privacidade das informaccedilotildees
financeiras) bull HIPAA - Health Insurance Portability and
Accountability Act (Privacidade das informaccedilotildees de sauacutede)
bull Sarbanes-Oxley (Retenccedilatildeo de informaccedilotildees contaacutebeis (principalmente))
bull Basileacuteia II (bancos)
bull Novo Coacutedigo Civil Brasileiro
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Novo papel do administrador de TI
Retenccedilatildeo de documentos eacute diferente
de backup
- faxes e-mails instant messages
- TODAS as versotildees de documentos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
- NBR ISOIEC 17799 e
- BS 7799-2
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
Seguranccedila em TICs
=
Tecnologia
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
Seguranccedila
=
Processo
Seguranccedila eacute processo tecnologia eacute ferramenta
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
O elo mais fraco da corrente eacute vocecirc
- apenas 48 das empresas americanas ministraram treinamento de
seguranccedila a seus empregados destas apenas 15 fizeram isso haacute menos de 6 meses
Fonte Human Firewall Security Awareness Index Survey 2003
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
BS 7799-2
bull Security policy
bull Organizational security
bull Asset classification and control
bull Personnel security
bull Physical and environmental security
bull Communications and operations management
bull Access control
bull Systems development and maintenance
bull Business continuity management
bull Compliance
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Papel da PESSOA na seguranccedila
bull Novas ameaccedilas surgem diariamente
bull Ferramentas teacutecnicas de seguranccedila com boa taxa de atualizaccedilatildeo
bull Grande investimento das corporaccedilotildees na seguranccedila da informaccedilatildeo
bull Pouco ou nenhum investimento em treinamento focado em seguranccedila
bull Todos satildeo responsaacuteveis ndash regras de conformidade
Sua casa tem fechadura e alarme certo
Mas vocecirc sabe usa-los
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Haacute algo de novo no Horizonte SIM Ciber Ataque e Sabotagem Digital
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Desastres naturais ou ataques fiacutesicos
X Ciber Ataque
bull Desastres naturais ou ataques fiacutesicos
- extensatildeo e dano imediato satildeo limitados
geograficamente
Ex Florianoacutepolis WTC
bull Cyber ataque
ndash natildeo localizado geograficamente
ndash pode ser dissipado com altiacutessima velocidade
ndash atinge todos e natildeo somente alvos especiacuteficos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Australian Sewage Attack
bull Marccedilo de 2000 ndash Brisbane Austraacutelia
bull Vitek Boden ndash consultor ndash sistema controlador de aacutegua
bull Marrochy Shire Council
bull Alterou as configuraccedilotildees das bombas das estaccedilotildees causando problemas em 2 estaccedilotildees
bull Boden foi capturado logo apoacutes o primeiro ataque com os equipamentos e programas que facilitaram o ataque que ateacute entatildeo era visto como um mal funcionamento do sistema
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Distributed denial of service attack bull Fevereiro de 2000
bull Anatomia
ndash Busca de hosts inseguros
ndash Instalaccedilatildeo de software para ataques tornado os servidores escravos do atacante
ndash Lanccedilamento do ataque remotamente ativando todos os sistemas simultaneamente
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Scaning Worms - The SQL Slammer attack bull Worms x viacuterus
ndash Viacuterus ficam latentes enquanto vocecirc natildeo faz alguma atividade para ativa-los
ndash Worms propaga-se automaticamente sem nenhuma atividade por parte do infectado
ndash Primeiro worm ndash 1989 ndash Morris worm
ndash Julho de 2001 ndash Code Red ndash 359000 sistemas ndash a cada 37 minutos dobrava sua capacidade de ataque
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Scaning Worms - The SQL Slammer attack
bull Janeiro de 2003 ndash SQL Slammer worm ndash Dobrava o numero de sistemas atacados a cada 85
segundos ndash Infectou 90 dos servidores vulneraacuteveis em apenas 10
minutos ndash Apenas 3 minutos apoacutes sua ativaccedilatildeo jaacute verificava os
servidores a uma velocidade de 55 milhotildees de verificaccedilotildees por segundo
ndash Infectou 75000 servidores com seacuterias consequumlecircncias bull 13000 ATM do Bank of America foram desabilitados bull O serviccedilo de emergecircncia 911 foi desabilitado afetando
680000 pessoas bull 14 corpos de bombeiros e 02 delegacias tambeacutem
foram afetados bull A Microsoft jaacute havia disponibilizado a correccedilatildeo a
6 meses
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Sabotagem Digital PDVSA
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Sabotagem Digital PDVSA
235
28
596
126 No petrolero
privado
Petrolero Puacuteblico
No petrolero
puacuteblico
Otros
-475 -112
-72 -10
D I
-236 -141
-27
Total -29
Queda do PIB Total 29 Primeiro Trimestre de 2003
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Norma NBR ISOIEC-17799 publicadas pela ABNT
CBK ndash Common Body of Knowledge do (ISC)2
TCSEC ndash Padratildeo US DoD (Orange Book)
ITSEC ndash Padratildeo Europeu
Common Criteria ndash ISO 15404
NIST 800 series
Melhores praacuteticas de seguranccedila de informaccedilotildees
Aderecircncia a Normas e padrotildees geralmente aceitos ndash GASSP
(Generally Accepted System Security Principles)
Adoccedilatildeo de Metodologias especiacuteficas para Seguranccedila da Informaccedilatildeo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Bacen
CVM
ANBID
C Civil
Basileacuteia II (RO)
HIPAA
SOx
outras normas e regulamentaccedilotildees
Atendimento a regulamentaccedilotildees
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Associaccedilotildees profissionais
ISSA
ISACA
ASIS
CSI
Grupos de trabalho
CB21 (Norma ABNT ISOIEC 17799)
Cerificaccedilotildees profissionais
CISSP
CISM
MCSO
CISA
CPP
Oportunidades de desenvolvimento do CSO
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
A Seguranccedila da Informaccedilatildeo natildeo deve ser um fim em si mesma
1 Melhor performance
2 Reduccedilatildeo de perdas
3 Compliance
4 Seguranccedila como agente habilitador de negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Capacitaccedilatildeo e
conscientizaccedilatildeo Monitoramento
Pessoas
Ferramentas e
mecanismos
bem configurados
Meacutetricas padrotildees
poliacuteticas e procedimentos Apoio da Alta
Administraccedilatildeo
Fatores Criacuteticos de Sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Endosso da Alta Administraccedilatildeo
Objetivo
Equipe
Independecircncia
Alinhamento ao Negoacutecio
Reporte Executivo Administraccedilatildeo e Controle
(Orccedilamento x meacutetricas de retorno da funccedilatildeo)
Comunicaccedilatildeo e Conscientizaccedilatildeo
Metodologia normas e modelos
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Outros fatores
Projetos
BAU (dia a dia)
Demonstrar o Sucesso
Benefiacutecios
Atuar mediante um plano
Coordenar atividades
Interagir melhor com deptos
Viabilizar continuidade
Integraccedilatildeo com o negoacutecio
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Princiacutepios que devem ser perseguidos
1 Proteger as pessoas e suas informaccedilotildees privadas (Funcionaacuterios
Clientes Fornecedores Acionistas Oacutergatildeos Reguladores)
2 Garantir Sistemas de Informaccedilatildeo integros e protegidos
3 Proteccedilatildeo perimetral da rede de computadores
4 Garantir soluccedilotildees tecnoloacutegicas seguras
5 Garantir soluccedilotildees de Continuidade de Negoacutecios
6 Promover conscientizaccedilatildeo contiacutenua sobre o tema
7 Proporcionar ambiente de negoacutecios alinhado agraves melhores praacuteticas
de Seguranccedila da Informaccedilatildeo internacionalmente aceitas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Funccedilotildees da Seguranccedila Digital
bull Proteccedilatildeo
bull Proteccedilatildeo do acervo ndash informaccedilatildeo e reputaccedilatildeo
bull Controle corporativo ndash obrigaccedilotildees legais
bull Viabilizaccedilatildeo de Negoacutecios
bull Competitividade e produtividade
bull Utilizar a Internet para atingir novos mercados
bull Estabelecer novas praacuteticas operacionais
bull e-Security estaacute baseado na credibilidade do usuaacuterio na empresa e nos serviccedilos que ela oferece
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Modelo de Seguranccedila Responsabilidade Civil do Executivo de
Negoacutecios (ISO 17799 12)
Responsabilidade Civil do CIO
(ISO 17799 12)
Conformidade com a
Lei e Regulamentaccedilatildeo
(ISO 17799 12)
Seguranccedila Fiacutesica
(ISO 17799 7)
Aplicaccedilatildeo Segura
(desenvolvimento
e produccedilatildeo)
(ISO 17799 10)
Seguranccedila da Infra-estrutura
(ISO 17799 589)
Conscientizaccedilatildeo e
Responsabilizaccedilatildeo dos
Usuaacuterios (ISO 17799 6)
Contratos com Fornecedores
(ISO 17799 4)
Continuidade do Negoacutecio
(ISO 17799 11)
Evidecircncias Forenses
(ISO 17799 12)
Monitoraccedilatildeo e Respostas a
Incidentes (ISO 17799 9)
Poliacutetica de Seguranccedila
(ISO 17799 3)
Infra-estrutura
Sistemas
Negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
O Modelo de Seguranccedila
Infra-estrutura
Sistemas
Negoacutecios
Clientes
Fornecedores
Agecircncias Reguladoras
Fazenda
Usuaacuterios
Judiciaacuterio
Melhores Praacuteticas
Integraccedilatildeo com o negoacutecio
Combate a Fraudes
Ambiente Heterogecircneo
Novas Tecnologias
Conformidade
Anaacutelise de Riscos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Perguntas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
RICARDO THEIL
Muito obrigado
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
10 Anos de Spam
bull Dados divulgados mensalmente pela MessageLabs (empresa de filtragens de e-mails) mostra que em marccedilo deste ano 53 dos e-mails eram SPAM Em agosto uacuteltimo esse iacutendice foi de 842 tendo chegado a 945 em julho2004
SPAM
0
10
20
30
40
50
60
70
80
90
100
Marccedilo Abril Maio Junho Julho Agosto
SPAM
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Convergecircncia
bull Convergecircncia SPAM se tornou SCAM usando teacutecnicas de SPAM para propagar trojans e viacuterus
bull Criadores de viacuterus mais teacutecnicos motivaccedilatildeo era reconhecimento na ldquocomunidaderdquo
bull Spammers menos teacutecnicos focados no lucro
bull Novo cenaacuterio spammers mais teacutecnicos e criadores de viacuterus focados no lucro
bull Viacuterus criados com o objetivo de ajudar a espalhar mensagens ndash spam (ou controlar ativamente maacutequinas contaminadas) - DDoS
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Convergecircncia
bull Golpes financeiros na Internet combinam vaacuterias teacutecnicas
ndash SPAM no envio da mensagem
ndash Viacuterus na criaccedilatildeo e instalaccedilatildeo do Trojan
ndash Engenharia social
ndash Lavagem de dinheiro (pagamento de contas)
ndash Fraudes no comeacutercio eletrocircnico
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Por que proteger as informaccedilotildees
bull Perdas financeiras bull Comprometimento da imagem bull Perdas de clientes bull Perda de vantagem competitiva
O vazamento de informaccedilotildees pode causar
70 dos problemas de seguranccedila satildeo causados por desconhecimento dos procedimentos
2002 CSIFBI Computer Crime and Security Survey
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Instalaccedilatildeo
inadequada de
Software e
Hardware
Fontes das ameaccedilas
Acessos natildeo
autorizados a
sistemas
Vazamento de
Informaccedilotildees
Paralisaccedilatildeo dos
processos Descuido com
equipamentos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Engenharia Social
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Gerenciamento de Seguranccedila da Informaccedilatildeo
Metodologias de SI e Controle de Acesso
Seguranccedila em Redes e Telecomunicaccedilotildees
BCM (BIA BCP DRP)
Seguranccedila Fiacutesica das aacutereas de TI
Seguranccedila de Aplicaccedilotildees sistemas etc
Seguranccedila de Operaccedilotildees
Forensics (Leis Investigaccedilotildees e eacutetica)
Criptografia
Estruturaccedilatildeo da Aacuterea de
Seguranccedila da Informaccedilatildeo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
CBK ndash Common Body of Knowledge do (ISC)2
1 Metodologia e Sistemas de Controle de Acesso
2 Seguranccedila em Redes e Telecomunicaccedilotildees
3 Praacuteticas de Gerenciamento de Seguranccedila da Informaccedilatildeo
4 Seguranccedila de Aplicaccedilotildees sistemas (desenvolvimento e manutenccedilatildeo)
5 Uso controle e aplicaccedilatildeo de criptografia e PKI
6 Modelos e Arquitetura de Seguranccedila
7 Seguranccedila de Operaccedilotildees
8 Continuidade - BCM (BIA BCP DRP)
9 Forensics (Leis Investigaccedilotildees e Eacutetica)
10 Seguranccedila Fiacutesica das aacutereas de TI
Disciplinas de Seguranccedila da Informaccedilatildeo segundo o (ISC)2
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Novo Cenaacuterio Corporativo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Governanccedila Corporativa Gerenciamento do Risco Operacional
Conformidade
Qual a influecircncia da seguranccedila em TICs nesse novo cenaacuterio
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Novas necessidades regulatoacuterias
bull Gramm-Leach-Bliley Act (Privacidade das informaccedilotildees
financeiras) bull HIPAA - Health Insurance Portability and
Accountability Act (Privacidade das informaccedilotildees de sauacutede)
bull Sarbanes-Oxley (Retenccedilatildeo de informaccedilotildees contaacutebeis (principalmente))
bull Basileacuteia II (bancos)
bull Novo Coacutedigo Civil Brasileiro
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Novo papel do administrador de TI
Retenccedilatildeo de documentos eacute diferente
de backup
- faxes e-mails instant messages
- TODAS as versotildees de documentos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
- NBR ISOIEC 17799 e
- BS 7799-2
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
Seguranccedila em TICs
=
Tecnologia
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
Seguranccedila
=
Processo
Seguranccedila eacute processo tecnologia eacute ferramenta
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
O elo mais fraco da corrente eacute vocecirc
- apenas 48 das empresas americanas ministraram treinamento de
seguranccedila a seus empregados destas apenas 15 fizeram isso haacute menos de 6 meses
Fonte Human Firewall Security Awareness Index Survey 2003
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
BS 7799-2
bull Security policy
bull Organizational security
bull Asset classification and control
bull Personnel security
bull Physical and environmental security
bull Communications and operations management
bull Access control
bull Systems development and maintenance
bull Business continuity management
bull Compliance
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Papel da PESSOA na seguranccedila
bull Novas ameaccedilas surgem diariamente
bull Ferramentas teacutecnicas de seguranccedila com boa taxa de atualizaccedilatildeo
bull Grande investimento das corporaccedilotildees na seguranccedila da informaccedilatildeo
bull Pouco ou nenhum investimento em treinamento focado em seguranccedila
bull Todos satildeo responsaacuteveis ndash regras de conformidade
Sua casa tem fechadura e alarme certo
Mas vocecirc sabe usa-los
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Haacute algo de novo no Horizonte SIM Ciber Ataque e Sabotagem Digital
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Desastres naturais ou ataques fiacutesicos
X Ciber Ataque
bull Desastres naturais ou ataques fiacutesicos
- extensatildeo e dano imediato satildeo limitados
geograficamente
Ex Florianoacutepolis WTC
bull Cyber ataque
ndash natildeo localizado geograficamente
ndash pode ser dissipado com altiacutessima velocidade
ndash atinge todos e natildeo somente alvos especiacuteficos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Australian Sewage Attack
bull Marccedilo de 2000 ndash Brisbane Austraacutelia
bull Vitek Boden ndash consultor ndash sistema controlador de aacutegua
bull Marrochy Shire Council
bull Alterou as configuraccedilotildees das bombas das estaccedilotildees causando problemas em 2 estaccedilotildees
bull Boden foi capturado logo apoacutes o primeiro ataque com os equipamentos e programas que facilitaram o ataque que ateacute entatildeo era visto como um mal funcionamento do sistema
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Distributed denial of service attack bull Fevereiro de 2000
bull Anatomia
ndash Busca de hosts inseguros
ndash Instalaccedilatildeo de software para ataques tornado os servidores escravos do atacante
ndash Lanccedilamento do ataque remotamente ativando todos os sistemas simultaneamente
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Scaning Worms - The SQL Slammer attack bull Worms x viacuterus
ndash Viacuterus ficam latentes enquanto vocecirc natildeo faz alguma atividade para ativa-los
ndash Worms propaga-se automaticamente sem nenhuma atividade por parte do infectado
ndash Primeiro worm ndash 1989 ndash Morris worm
ndash Julho de 2001 ndash Code Red ndash 359000 sistemas ndash a cada 37 minutos dobrava sua capacidade de ataque
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Scaning Worms - The SQL Slammer attack
bull Janeiro de 2003 ndash SQL Slammer worm ndash Dobrava o numero de sistemas atacados a cada 85
segundos ndash Infectou 90 dos servidores vulneraacuteveis em apenas 10
minutos ndash Apenas 3 minutos apoacutes sua ativaccedilatildeo jaacute verificava os
servidores a uma velocidade de 55 milhotildees de verificaccedilotildees por segundo
ndash Infectou 75000 servidores com seacuterias consequumlecircncias bull 13000 ATM do Bank of America foram desabilitados bull O serviccedilo de emergecircncia 911 foi desabilitado afetando
680000 pessoas bull 14 corpos de bombeiros e 02 delegacias tambeacutem
foram afetados bull A Microsoft jaacute havia disponibilizado a correccedilatildeo a
6 meses
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Sabotagem Digital PDVSA
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Sabotagem Digital PDVSA
235
28
596
126 No petrolero
privado
Petrolero Puacuteblico
No petrolero
puacuteblico
Otros
-475 -112
-72 -10
D I
-236 -141
-27
Total -29
Queda do PIB Total 29 Primeiro Trimestre de 2003
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Norma NBR ISOIEC-17799 publicadas pela ABNT
CBK ndash Common Body of Knowledge do (ISC)2
TCSEC ndash Padratildeo US DoD (Orange Book)
ITSEC ndash Padratildeo Europeu
Common Criteria ndash ISO 15404
NIST 800 series
Melhores praacuteticas de seguranccedila de informaccedilotildees
Aderecircncia a Normas e padrotildees geralmente aceitos ndash GASSP
(Generally Accepted System Security Principles)
Adoccedilatildeo de Metodologias especiacuteficas para Seguranccedila da Informaccedilatildeo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Bacen
CVM
ANBID
C Civil
Basileacuteia II (RO)
HIPAA
SOx
outras normas e regulamentaccedilotildees
Atendimento a regulamentaccedilotildees
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Associaccedilotildees profissionais
ISSA
ISACA
ASIS
CSI
Grupos de trabalho
CB21 (Norma ABNT ISOIEC 17799)
Cerificaccedilotildees profissionais
CISSP
CISM
MCSO
CISA
CPP
Oportunidades de desenvolvimento do CSO
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
A Seguranccedila da Informaccedilatildeo natildeo deve ser um fim em si mesma
1 Melhor performance
2 Reduccedilatildeo de perdas
3 Compliance
4 Seguranccedila como agente habilitador de negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Capacitaccedilatildeo e
conscientizaccedilatildeo Monitoramento
Pessoas
Ferramentas e
mecanismos
bem configurados
Meacutetricas padrotildees
poliacuteticas e procedimentos Apoio da Alta
Administraccedilatildeo
Fatores Criacuteticos de Sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Endosso da Alta Administraccedilatildeo
Objetivo
Equipe
Independecircncia
Alinhamento ao Negoacutecio
Reporte Executivo Administraccedilatildeo e Controle
(Orccedilamento x meacutetricas de retorno da funccedilatildeo)
Comunicaccedilatildeo e Conscientizaccedilatildeo
Metodologia normas e modelos
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Outros fatores
Projetos
BAU (dia a dia)
Demonstrar o Sucesso
Benefiacutecios
Atuar mediante um plano
Coordenar atividades
Interagir melhor com deptos
Viabilizar continuidade
Integraccedilatildeo com o negoacutecio
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Princiacutepios que devem ser perseguidos
1 Proteger as pessoas e suas informaccedilotildees privadas (Funcionaacuterios
Clientes Fornecedores Acionistas Oacutergatildeos Reguladores)
2 Garantir Sistemas de Informaccedilatildeo integros e protegidos
3 Proteccedilatildeo perimetral da rede de computadores
4 Garantir soluccedilotildees tecnoloacutegicas seguras
5 Garantir soluccedilotildees de Continuidade de Negoacutecios
6 Promover conscientizaccedilatildeo contiacutenua sobre o tema
7 Proporcionar ambiente de negoacutecios alinhado agraves melhores praacuteticas
de Seguranccedila da Informaccedilatildeo internacionalmente aceitas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Funccedilotildees da Seguranccedila Digital
bull Proteccedilatildeo
bull Proteccedilatildeo do acervo ndash informaccedilatildeo e reputaccedilatildeo
bull Controle corporativo ndash obrigaccedilotildees legais
bull Viabilizaccedilatildeo de Negoacutecios
bull Competitividade e produtividade
bull Utilizar a Internet para atingir novos mercados
bull Estabelecer novas praacuteticas operacionais
bull e-Security estaacute baseado na credibilidade do usuaacuterio na empresa e nos serviccedilos que ela oferece
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Modelo de Seguranccedila Responsabilidade Civil do Executivo de
Negoacutecios (ISO 17799 12)
Responsabilidade Civil do CIO
(ISO 17799 12)
Conformidade com a
Lei e Regulamentaccedilatildeo
(ISO 17799 12)
Seguranccedila Fiacutesica
(ISO 17799 7)
Aplicaccedilatildeo Segura
(desenvolvimento
e produccedilatildeo)
(ISO 17799 10)
Seguranccedila da Infra-estrutura
(ISO 17799 589)
Conscientizaccedilatildeo e
Responsabilizaccedilatildeo dos
Usuaacuterios (ISO 17799 6)
Contratos com Fornecedores
(ISO 17799 4)
Continuidade do Negoacutecio
(ISO 17799 11)
Evidecircncias Forenses
(ISO 17799 12)
Monitoraccedilatildeo e Respostas a
Incidentes (ISO 17799 9)
Poliacutetica de Seguranccedila
(ISO 17799 3)
Infra-estrutura
Sistemas
Negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
O Modelo de Seguranccedila
Infra-estrutura
Sistemas
Negoacutecios
Clientes
Fornecedores
Agecircncias Reguladoras
Fazenda
Usuaacuterios
Judiciaacuterio
Melhores Praacuteticas
Integraccedilatildeo com o negoacutecio
Combate a Fraudes
Ambiente Heterogecircneo
Novas Tecnologias
Conformidade
Anaacutelise de Riscos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Perguntas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
RICARDO THEIL
Muito obrigado
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Convergecircncia
bull Convergecircncia SPAM se tornou SCAM usando teacutecnicas de SPAM para propagar trojans e viacuterus
bull Criadores de viacuterus mais teacutecnicos motivaccedilatildeo era reconhecimento na ldquocomunidaderdquo
bull Spammers menos teacutecnicos focados no lucro
bull Novo cenaacuterio spammers mais teacutecnicos e criadores de viacuterus focados no lucro
bull Viacuterus criados com o objetivo de ajudar a espalhar mensagens ndash spam (ou controlar ativamente maacutequinas contaminadas) - DDoS
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Convergecircncia
bull Golpes financeiros na Internet combinam vaacuterias teacutecnicas
ndash SPAM no envio da mensagem
ndash Viacuterus na criaccedilatildeo e instalaccedilatildeo do Trojan
ndash Engenharia social
ndash Lavagem de dinheiro (pagamento de contas)
ndash Fraudes no comeacutercio eletrocircnico
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Por que proteger as informaccedilotildees
bull Perdas financeiras bull Comprometimento da imagem bull Perdas de clientes bull Perda de vantagem competitiva
O vazamento de informaccedilotildees pode causar
70 dos problemas de seguranccedila satildeo causados por desconhecimento dos procedimentos
2002 CSIFBI Computer Crime and Security Survey
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Instalaccedilatildeo
inadequada de
Software e
Hardware
Fontes das ameaccedilas
Acessos natildeo
autorizados a
sistemas
Vazamento de
Informaccedilotildees
Paralisaccedilatildeo dos
processos Descuido com
equipamentos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Engenharia Social
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Gerenciamento de Seguranccedila da Informaccedilatildeo
Metodologias de SI e Controle de Acesso
Seguranccedila em Redes e Telecomunicaccedilotildees
BCM (BIA BCP DRP)
Seguranccedila Fiacutesica das aacutereas de TI
Seguranccedila de Aplicaccedilotildees sistemas etc
Seguranccedila de Operaccedilotildees
Forensics (Leis Investigaccedilotildees e eacutetica)
Criptografia
Estruturaccedilatildeo da Aacuterea de
Seguranccedila da Informaccedilatildeo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
CBK ndash Common Body of Knowledge do (ISC)2
1 Metodologia e Sistemas de Controle de Acesso
2 Seguranccedila em Redes e Telecomunicaccedilotildees
3 Praacuteticas de Gerenciamento de Seguranccedila da Informaccedilatildeo
4 Seguranccedila de Aplicaccedilotildees sistemas (desenvolvimento e manutenccedilatildeo)
5 Uso controle e aplicaccedilatildeo de criptografia e PKI
6 Modelos e Arquitetura de Seguranccedila
7 Seguranccedila de Operaccedilotildees
8 Continuidade - BCM (BIA BCP DRP)
9 Forensics (Leis Investigaccedilotildees e Eacutetica)
10 Seguranccedila Fiacutesica das aacutereas de TI
Disciplinas de Seguranccedila da Informaccedilatildeo segundo o (ISC)2
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Novo Cenaacuterio Corporativo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Governanccedila Corporativa Gerenciamento do Risco Operacional
Conformidade
Qual a influecircncia da seguranccedila em TICs nesse novo cenaacuterio
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Novas necessidades regulatoacuterias
bull Gramm-Leach-Bliley Act (Privacidade das informaccedilotildees
financeiras) bull HIPAA - Health Insurance Portability and
Accountability Act (Privacidade das informaccedilotildees de sauacutede)
bull Sarbanes-Oxley (Retenccedilatildeo de informaccedilotildees contaacutebeis (principalmente))
bull Basileacuteia II (bancos)
bull Novo Coacutedigo Civil Brasileiro
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Novo papel do administrador de TI
Retenccedilatildeo de documentos eacute diferente
de backup
- faxes e-mails instant messages
- TODAS as versotildees de documentos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
- NBR ISOIEC 17799 e
- BS 7799-2
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
Seguranccedila em TICs
=
Tecnologia
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
Seguranccedila
=
Processo
Seguranccedila eacute processo tecnologia eacute ferramenta
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
O elo mais fraco da corrente eacute vocecirc
- apenas 48 das empresas americanas ministraram treinamento de
seguranccedila a seus empregados destas apenas 15 fizeram isso haacute menos de 6 meses
Fonte Human Firewall Security Awareness Index Survey 2003
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
BS 7799-2
bull Security policy
bull Organizational security
bull Asset classification and control
bull Personnel security
bull Physical and environmental security
bull Communications and operations management
bull Access control
bull Systems development and maintenance
bull Business continuity management
bull Compliance
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Papel da PESSOA na seguranccedila
bull Novas ameaccedilas surgem diariamente
bull Ferramentas teacutecnicas de seguranccedila com boa taxa de atualizaccedilatildeo
bull Grande investimento das corporaccedilotildees na seguranccedila da informaccedilatildeo
bull Pouco ou nenhum investimento em treinamento focado em seguranccedila
bull Todos satildeo responsaacuteveis ndash regras de conformidade
Sua casa tem fechadura e alarme certo
Mas vocecirc sabe usa-los
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Haacute algo de novo no Horizonte SIM Ciber Ataque e Sabotagem Digital
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Desastres naturais ou ataques fiacutesicos
X Ciber Ataque
bull Desastres naturais ou ataques fiacutesicos
- extensatildeo e dano imediato satildeo limitados
geograficamente
Ex Florianoacutepolis WTC
bull Cyber ataque
ndash natildeo localizado geograficamente
ndash pode ser dissipado com altiacutessima velocidade
ndash atinge todos e natildeo somente alvos especiacuteficos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Australian Sewage Attack
bull Marccedilo de 2000 ndash Brisbane Austraacutelia
bull Vitek Boden ndash consultor ndash sistema controlador de aacutegua
bull Marrochy Shire Council
bull Alterou as configuraccedilotildees das bombas das estaccedilotildees causando problemas em 2 estaccedilotildees
bull Boden foi capturado logo apoacutes o primeiro ataque com os equipamentos e programas que facilitaram o ataque que ateacute entatildeo era visto como um mal funcionamento do sistema
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Distributed denial of service attack bull Fevereiro de 2000
bull Anatomia
ndash Busca de hosts inseguros
ndash Instalaccedilatildeo de software para ataques tornado os servidores escravos do atacante
ndash Lanccedilamento do ataque remotamente ativando todos os sistemas simultaneamente
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Scaning Worms - The SQL Slammer attack bull Worms x viacuterus
ndash Viacuterus ficam latentes enquanto vocecirc natildeo faz alguma atividade para ativa-los
ndash Worms propaga-se automaticamente sem nenhuma atividade por parte do infectado
ndash Primeiro worm ndash 1989 ndash Morris worm
ndash Julho de 2001 ndash Code Red ndash 359000 sistemas ndash a cada 37 minutos dobrava sua capacidade de ataque
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Scaning Worms - The SQL Slammer attack
bull Janeiro de 2003 ndash SQL Slammer worm ndash Dobrava o numero de sistemas atacados a cada 85
segundos ndash Infectou 90 dos servidores vulneraacuteveis em apenas 10
minutos ndash Apenas 3 minutos apoacutes sua ativaccedilatildeo jaacute verificava os
servidores a uma velocidade de 55 milhotildees de verificaccedilotildees por segundo
ndash Infectou 75000 servidores com seacuterias consequumlecircncias bull 13000 ATM do Bank of America foram desabilitados bull O serviccedilo de emergecircncia 911 foi desabilitado afetando
680000 pessoas bull 14 corpos de bombeiros e 02 delegacias tambeacutem
foram afetados bull A Microsoft jaacute havia disponibilizado a correccedilatildeo a
6 meses
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Sabotagem Digital PDVSA
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Sabotagem Digital PDVSA
235
28
596
126 No petrolero
privado
Petrolero Puacuteblico
No petrolero
puacuteblico
Otros
-475 -112
-72 -10
D I
-236 -141
-27
Total -29
Queda do PIB Total 29 Primeiro Trimestre de 2003
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Norma NBR ISOIEC-17799 publicadas pela ABNT
CBK ndash Common Body of Knowledge do (ISC)2
TCSEC ndash Padratildeo US DoD (Orange Book)
ITSEC ndash Padratildeo Europeu
Common Criteria ndash ISO 15404
NIST 800 series
Melhores praacuteticas de seguranccedila de informaccedilotildees
Aderecircncia a Normas e padrotildees geralmente aceitos ndash GASSP
(Generally Accepted System Security Principles)
Adoccedilatildeo de Metodologias especiacuteficas para Seguranccedila da Informaccedilatildeo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Bacen
CVM
ANBID
C Civil
Basileacuteia II (RO)
HIPAA
SOx
outras normas e regulamentaccedilotildees
Atendimento a regulamentaccedilotildees
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Associaccedilotildees profissionais
ISSA
ISACA
ASIS
CSI
Grupos de trabalho
CB21 (Norma ABNT ISOIEC 17799)
Cerificaccedilotildees profissionais
CISSP
CISM
MCSO
CISA
CPP
Oportunidades de desenvolvimento do CSO
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
A Seguranccedila da Informaccedilatildeo natildeo deve ser um fim em si mesma
1 Melhor performance
2 Reduccedilatildeo de perdas
3 Compliance
4 Seguranccedila como agente habilitador de negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Capacitaccedilatildeo e
conscientizaccedilatildeo Monitoramento
Pessoas
Ferramentas e
mecanismos
bem configurados
Meacutetricas padrotildees
poliacuteticas e procedimentos Apoio da Alta
Administraccedilatildeo
Fatores Criacuteticos de Sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Endosso da Alta Administraccedilatildeo
Objetivo
Equipe
Independecircncia
Alinhamento ao Negoacutecio
Reporte Executivo Administraccedilatildeo e Controle
(Orccedilamento x meacutetricas de retorno da funccedilatildeo)
Comunicaccedilatildeo e Conscientizaccedilatildeo
Metodologia normas e modelos
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Outros fatores
Projetos
BAU (dia a dia)
Demonstrar o Sucesso
Benefiacutecios
Atuar mediante um plano
Coordenar atividades
Interagir melhor com deptos
Viabilizar continuidade
Integraccedilatildeo com o negoacutecio
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Princiacutepios que devem ser perseguidos
1 Proteger as pessoas e suas informaccedilotildees privadas (Funcionaacuterios
Clientes Fornecedores Acionistas Oacutergatildeos Reguladores)
2 Garantir Sistemas de Informaccedilatildeo integros e protegidos
3 Proteccedilatildeo perimetral da rede de computadores
4 Garantir soluccedilotildees tecnoloacutegicas seguras
5 Garantir soluccedilotildees de Continuidade de Negoacutecios
6 Promover conscientizaccedilatildeo contiacutenua sobre o tema
7 Proporcionar ambiente de negoacutecios alinhado agraves melhores praacuteticas
de Seguranccedila da Informaccedilatildeo internacionalmente aceitas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Funccedilotildees da Seguranccedila Digital
bull Proteccedilatildeo
bull Proteccedilatildeo do acervo ndash informaccedilatildeo e reputaccedilatildeo
bull Controle corporativo ndash obrigaccedilotildees legais
bull Viabilizaccedilatildeo de Negoacutecios
bull Competitividade e produtividade
bull Utilizar a Internet para atingir novos mercados
bull Estabelecer novas praacuteticas operacionais
bull e-Security estaacute baseado na credibilidade do usuaacuterio na empresa e nos serviccedilos que ela oferece
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Modelo de Seguranccedila Responsabilidade Civil do Executivo de
Negoacutecios (ISO 17799 12)
Responsabilidade Civil do CIO
(ISO 17799 12)
Conformidade com a
Lei e Regulamentaccedilatildeo
(ISO 17799 12)
Seguranccedila Fiacutesica
(ISO 17799 7)
Aplicaccedilatildeo Segura
(desenvolvimento
e produccedilatildeo)
(ISO 17799 10)
Seguranccedila da Infra-estrutura
(ISO 17799 589)
Conscientizaccedilatildeo e
Responsabilizaccedilatildeo dos
Usuaacuterios (ISO 17799 6)
Contratos com Fornecedores
(ISO 17799 4)
Continuidade do Negoacutecio
(ISO 17799 11)
Evidecircncias Forenses
(ISO 17799 12)
Monitoraccedilatildeo e Respostas a
Incidentes (ISO 17799 9)
Poliacutetica de Seguranccedila
(ISO 17799 3)
Infra-estrutura
Sistemas
Negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
O Modelo de Seguranccedila
Infra-estrutura
Sistemas
Negoacutecios
Clientes
Fornecedores
Agecircncias Reguladoras
Fazenda
Usuaacuterios
Judiciaacuterio
Melhores Praacuteticas
Integraccedilatildeo com o negoacutecio
Combate a Fraudes
Ambiente Heterogecircneo
Novas Tecnologias
Conformidade
Anaacutelise de Riscos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Perguntas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
RICARDO THEIL
Muito obrigado
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Convergecircncia
bull Golpes financeiros na Internet combinam vaacuterias teacutecnicas
ndash SPAM no envio da mensagem
ndash Viacuterus na criaccedilatildeo e instalaccedilatildeo do Trojan
ndash Engenharia social
ndash Lavagem de dinheiro (pagamento de contas)
ndash Fraudes no comeacutercio eletrocircnico
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Por que proteger as informaccedilotildees
bull Perdas financeiras bull Comprometimento da imagem bull Perdas de clientes bull Perda de vantagem competitiva
O vazamento de informaccedilotildees pode causar
70 dos problemas de seguranccedila satildeo causados por desconhecimento dos procedimentos
2002 CSIFBI Computer Crime and Security Survey
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Instalaccedilatildeo
inadequada de
Software e
Hardware
Fontes das ameaccedilas
Acessos natildeo
autorizados a
sistemas
Vazamento de
Informaccedilotildees
Paralisaccedilatildeo dos
processos Descuido com
equipamentos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Engenharia Social
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Gerenciamento de Seguranccedila da Informaccedilatildeo
Metodologias de SI e Controle de Acesso
Seguranccedila em Redes e Telecomunicaccedilotildees
BCM (BIA BCP DRP)
Seguranccedila Fiacutesica das aacutereas de TI
Seguranccedila de Aplicaccedilotildees sistemas etc
Seguranccedila de Operaccedilotildees
Forensics (Leis Investigaccedilotildees e eacutetica)
Criptografia
Estruturaccedilatildeo da Aacuterea de
Seguranccedila da Informaccedilatildeo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
CBK ndash Common Body of Knowledge do (ISC)2
1 Metodologia e Sistemas de Controle de Acesso
2 Seguranccedila em Redes e Telecomunicaccedilotildees
3 Praacuteticas de Gerenciamento de Seguranccedila da Informaccedilatildeo
4 Seguranccedila de Aplicaccedilotildees sistemas (desenvolvimento e manutenccedilatildeo)
5 Uso controle e aplicaccedilatildeo de criptografia e PKI
6 Modelos e Arquitetura de Seguranccedila
7 Seguranccedila de Operaccedilotildees
8 Continuidade - BCM (BIA BCP DRP)
9 Forensics (Leis Investigaccedilotildees e Eacutetica)
10 Seguranccedila Fiacutesica das aacutereas de TI
Disciplinas de Seguranccedila da Informaccedilatildeo segundo o (ISC)2
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Novo Cenaacuterio Corporativo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Governanccedila Corporativa Gerenciamento do Risco Operacional
Conformidade
Qual a influecircncia da seguranccedila em TICs nesse novo cenaacuterio
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Novas necessidades regulatoacuterias
bull Gramm-Leach-Bliley Act (Privacidade das informaccedilotildees
financeiras) bull HIPAA - Health Insurance Portability and
Accountability Act (Privacidade das informaccedilotildees de sauacutede)
bull Sarbanes-Oxley (Retenccedilatildeo de informaccedilotildees contaacutebeis (principalmente))
bull Basileacuteia II (bancos)
bull Novo Coacutedigo Civil Brasileiro
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Novo papel do administrador de TI
Retenccedilatildeo de documentos eacute diferente
de backup
- faxes e-mails instant messages
- TODAS as versotildees de documentos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
- NBR ISOIEC 17799 e
- BS 7799-2
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
Seguranccedila em TICs
=
Tecnologia
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
Seguranccedila
=
Processo
Seguranccedila eacute processo tecnologia eacute ferramenta
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
O elo mais fraco da corrente eacute vocecirc
- apenas 48 das empresas americanas ministraram treinamento de
seguranccedila a seus empregados destas apenas 15 fizeram isso haacute menos de 6 meses
Fonte Human Firewall Security Awareness Index Survey 2003
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
BS 7799-2
bull Security policy
bull Organizational security
bull Asset classification and control
bull Personnel security
bull Physical and environmental security
bull Communications and operations management
bull Access control
bull Systems development and maintenance
bull Business continuity management
bull Compliance
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Papel da PESSOA na seguranccedila
bull Novas ameaccedilas surgem diariamente
bull Ferramentas teacutecnicas de seguranccedila com boa taxa de atualizaccedilatildeo
bull Grande investimento das corporaccedilotildees na seguranccedila da informaccedilatildeo
bull Pouco ou nenhum investimento em treinamento focado em seguranccedila
bull Todos satildeo responsaacuteveis ndash regras de conformidade
Sua casa tem fechadura e alarme certo
Mas vocecirc sabe usa-los
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Haacute algo de novo no Horizonte SIM Ciber Ataque e Sabotagem Digital
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Desastres naturais ou ataques fiacutesicos
X Ciber Ataque
bull Desastres naturais ou ataques fiacutesicos
- extensatildeo e dano imediato satildeo limitados
geograficamente
Ex Florianoacutepolis WTC
bull Cyber ataque
ndash natildeo localizado geograficamente
ndash pode ser dissipado com altiacutessima velocidade
ndash atinge todos e natildeo somente alvos especiacuteficos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Australian Sewage Attack
bull Marccedilo de 2000 ndash Brisbane Austraacutelia
bull Vitek Boden ndash consultor ndash sistema controlador de aacutegua
bull Marrochy Shire Council
bull Alterou as configuraccedilotildees das bombas das estaccedilotildees causando problemas em 2 estaccedilotildees
bull Boden foi capturado logo apoacutes o primeiro ataque com os equipamentos e programas que facilitaram o ataque que ateacute entatildeo era visto como um mal funcionamento do sistema
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Distributed denial of service attack bull Fevereiro de 2000
bull Anatomia
ndash Busca de hosts inseguros
ndash Instalaccedilatildeo de software para ataques tornado os servidores escravos do atacante
ndash Lanccedilamento do ataque remotamente ativando todos os sistemas simultaneamente
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Scaning Worms - The SQL Slammer attack bull Worms x viacuterus
ndash Viacuterus ficam latentes enquanto vocecirc natildeo faz alguma atividade para ativa-los
ndash Worms propaga-se automaticamente sem nenhuma atividade por parte do infectado
ndash Primeiro worm ndash 1989 ndash Morris worm
ndash Julho de 2001 ndash Code Red ndash 359000 sistemas ndash a cada 37 minutos dobrava sua capacidade de ataque
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Scaning Worms - The SQL Slammer attack
bull Janeiro de 2003 ndash SQL Slammer worm ndash Dobrava o numero de sistemas atacados a cada 85
segundos ndash Infectou 90 dos servidores vulneraacuteveis em apenas 10
minutos ndash Apenas 3 minutos apoacutes sua ativaccedilatildeo jaacute verificava os
servidores a uma velocidade de 55 milhotildees de verificaccedilotildees por segundo
ndash Infectou 75000 servidores com seacuterias consequumlecircncias bull 13000 ATM do Bank of America foram desabilitados bull O serviccedilo de emergecircncia 911 foi desabilitado afetando
680000 pessoas bull 14 corpos de bombeiros e 02 delegacias tambeacutem
foram afetados bull A Microsoft jaacute havia disponibilizado a correccedilatildeo a
6 meses
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Sabotagem Digital PDVSA
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Sabotagem Digital PDVSA
235
28
596
126 No petrolero
privado
Petrolero Puacuteblico
No petrolero
puacuteblico
Otros
-475 -112
-72 -10
D I
-236 -141
-27
Total -29
Queda do PIB Total 29 Primeiro Trimestre de 2003
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Norma NBR ISOIEC-17799 publicadas pela ABNT
CBK ndash Common Body of Knowledge do (ISC)2
TCSEC ndash Padratildeo US DoD (Orange Book)
ITSEC ndash Padratildeo Europeu
Common Criteria ndash ISO 15404
NIST 800 series
Melhores praacuteticas de seguranccedila de informaccedilotildees
Aderecircncia a Normas e padrotildees geralmente aceitos ndash GASSP
(Generally Accepted System Security Principles)
Adoccedilatildeo de Metodologias especiacuteficas para Seguranccedila da Informaccedilatildeo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Bacen
CVM
ANBID
C Civil
Basileacuteia II (RO)
HIPAA
SOx
outras normas e regulamentaccedilotildees
Atendimento a regulamentaccedilotildees
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Associaccedilotildees profissionais
ISSA
ISACA
ASIS
CSI
Grupos de trabalho
CB21 (Norma ABNT ISOIEC 17799)
Cerificaccedilotildees profissionais
CISSP
CISM
MCSO
CISA
CPP
Oportunidades de desenvolvimento do CSO
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
A Seguranccedila da Informaccedilatildeo natildeo deve ser um fim em si mesma
1 Melhor performance
2 Reduccedilatildeo de perdas
3 Compliance
4 Seguranccedila como agente habilitador de negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Capacitaccedilatildeo e
conscientizaccedilatildeo Monitoramento
Pessoas
Ferramentas e
mecanismos
bem configurados
Meacutetricas padrotildees
poliacuteticas e procedimentos Apoio da Alta
Administraccedilatildeo
Fatores Criacuteticos de Sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Endosso da Alta Administraccedilatildeo
Objetivo
Equipe
Independecircncia
Alinhamento ao Negoacutecio
Reporte Executivo Administraccedilatildeo e Controle
(Orccedilamento x meacutetricas de retorno da funccedilatildeo)
Comunicaccedilatildeo e Conscientizaccedilatildeo
Metodologia normas e modelos
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Outros fatores
Projetos
BAU (dia a dia)
Demonstrar o Sucesso
Benefiacutecios
Atuar mediante um plano
Coordenar atividades
Interagir melhor com deptos
Viabilizar continuidade
Integraccedilatildeo com o negoacutecio
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Princiacutepios que devem ser perseguidos
1 Proteger as pessoas e suas informaccedilotildees privadas (Funcionaacuterios
Clientes Fornecedores Acionistas Oacutergatildeos Reguladores)
2 Garantir Sistemas de Informaccedilatildeo integros e protegidos
3 Proteccedilatildeo perimetral da rede de computadores
4 Garantir soluccedilotildees tecnoloacutegicas seguras
5 Garantir soluccedilotildees de Continuidade de Negoacutecios
6 Promover conscientizaccedilatildeo contiacutenua sobre o tema
7 Proporcionar ambiente de negoacutecios alinhado agraves melhores praacuteticas
de Seguranccedila da Informaccedilatildeo internacionalmente aceitas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Funccedilotildees da Seguranccedila Digital
bull Proteccedilatildeo
bull Proteccedilatildeo do acervo ndash informaccedilatildeo e reputaccedilatildeo
bull Controle corporativo ndash obrigaccedilotildees legais
bull Viabilizaccedilatildeo de Negoacutecios
bull Competitividade e produtividade
bull Utilizar a Internet para atingir novos mercados
bull Estabelecer novas praacuteticas operacionais
bull e-Security estaacute baseado na credibilidade do usuaacuterio na empresa e nos serviccedilos que ela oferece
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Modelo de Seguranccedila Responsabilidade Civil do Executivo de
Negoacutecios (ISO 17799 12)
Responsabilidade Civil do CIO
(ISO 17799 12)
Conformidade com a
Lei e Regulamentaccedilatildeo
(ISO 17799 12)
Seguranccedila Fiacutesica
(ISO 17799 7)
Aplicaccedilatildeo Segura
(desenvolvimento
e produccedilatildeo)
(ISO 17799 10)
Seguranccedila da Infra-estrutura
(ISO 17799 589)
Conscientizaccedilatildeo e
Responsabilizaccedilatildeo dos
Usuaacuterios (ISO 17799 6)
Contratos com Fornecedores
(ISO 17799 4)
Continuidade do Negoacutecio
(ISO 17799 11)
Evidecircncias Forenses
(ISO 17799 12)
Monitoraccedilatildeo e Respostas a
Incidentes (ISO 17799 9)
Poliacutetica de Seguranccedila
(ISO 17799 3)
Infra-estrutura
Sistemas
Negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
O Modelo de Seguranccedila
Infra-estrutura
Sistemas
Negoacutecios
Clientes
Fornecedores
Agecircncias Reguladoras
Fazenda
Usuaacuterios
Judiciaacuterio
Melhores Praacuteticas
Integraccedilatildeo com o negoacutecio
Combate a Fraudes
Ambiente Heterogecircneo
Novas Tecnologias
Conformidade
Anaacutelise de Riscos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Perguntas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
RICARDO THEIL
Muito obrigado
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Por que proteger as informaccedilotildees
bull Perdas financeiras bull Comprometimento da imagem bull Perdas de clientes bull Perda de vantagem competitiva
O vazamento de informaccedilotildees pode causar
70 dos problemas de seguranccedila satildeo causados por desconhecimento dos procedimentos
2002 CSIFBI Computer Crime and Security Survey
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Instalaccedilatildeo
inadequada de
Software e
Hardware
Fontes das ameaccedilas
Acessos natildeo
autorizados a
sistemas
Vazamento de
Informaccedilotildees
Paralisaccedilatildeo dos
processos Descuido com
equipamentos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Engenharia Social
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Gerenciamento de Seguranccedila da Informaccedilatildeo
Metodologias de SI e Controle de Acesso
Seguranccedila em Redes e Telecomunicaccedilotildees
BCM (BIA BCP DRP)
Seguranccedila Fiacutesica das aacutereas de TI
Seguranccedila de Aplicaccedilotildees sistemas etc
Seguranccedila de Operaccedilotildees
Forensics (Leis Investigaccedilotildees e eacutetica)
Criptografia
Estruturaccedilatildeo da Aacuterea de
Seguranccedila da Informaccedilatildeo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
CBK ndash Common Body of Knowledge do (ISC)2
1 Metodologia e Sistemas de Controle de Acesso
2 Seguranccedila em Redes e Telecomunicaccedilotildees
3 Praacuteticas de Gerenciamento de Seguranccedila da Informaccedilatildeo
4 Seguranccedila de Aplicaccedilotildees sistemas (desenvolvimento e manutenccedilatildeo)
5 Uso controle e aplicaccedilatildeo de criptografia e PKI
6 Modelos e Arquitetura de Seguranccedila
7 Seguranccedila de Operaccedilotildees
8 Continuidade - BCM (BIA BCP DRP)
9 Forensics (Leis Investigaccedilotildees e Eacutetica)
10 Seguranccedila Fiacutesica das aacutereas de TI
Disciplinas de Seguranccedila da Informaccedilatildeo segundo o (ISC)2
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Novo Cenaacuterio Corporativo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Governanccedila Corporativa Gerenciamento do Risco Operacional
Conformidade
Qual a influecircncia da seguranccedila em TICs nesse novo cenaacuterio
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Novas necessidades regulatoacuterias
bull Gramm-Leach-Bliley Act (Privacidade das informaccedilotildees
financeiras) bull HIPAA - Health Insurance Portability and
Accountability Act (Privacidade das informaccedilotildees de sauacutede)
bull Sarbanes-Oxley (Retenccedilatildeo de informaccedilotildees contaacutebeis (principalmente))
bull Basileacuteia II (bancos)
bull Novo Coacutedigo Civil Brasileiro
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Novo papel do administrador de TI
Retenccedilatildeo de documentos eacute diferente
de backup
- faxes e-mails instant messages
- TODAS as versotildees de documentos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
- NBR ISOIEC 17799 e
- BS 7799-2
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
Seguranccedila em TICs
=
Tecnologia
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
Seguranccedila
=
Processo
Seguranccedila eacute processo tecnologia eacute ferramenta
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
O elo mais fraco da corrente eacute vocecirc
- apenas 48 das empresas americanas ministraram treinamento de
seguranccedila a seus empregados destas apenas 15 fizeram isso haacute menos de 6 meses
Fonte Human Firewall Security Awareness Index Survey 2003
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
BS 7799-2
bull Security policy
bull Organizational security
bull Asset classification and control
bull Personnel security
bull Physical and environmental security
bull Communications and operations management
bull Access control
bull Systems development and maintenance
bull Business continuity management
bull Compliance
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Papel da PESSOA na seguranccedila
bull Novas ameaccedilas surgem diariamente
bull Ferramentas teacutecnicas de seguranccedila com boa taxa de atualizaccedilatildeo
bull Grande investimento das corporaccedilotildees na seguranccedila da informaccedilatildeo
bull Pouco ou nenhum investimento em treinamento focado em seguranccedila
bull Todos satildeo responsaacuteveis ndash regras de conformidade
Sua casa tem fechadura e alarme certo
Mas vocecirc sabe usa-los
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Haacute algo de novo no Horizonte SIM Ciber Ataque e Sabotagem Digital
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Desastres naturais ou ataques fiacutesicos
X Ciber Ataque
bull Desastres naturais ou ataques fiacutesicos
- extensatildeo e dano imediato satildeo limitados
geograficamente
Ex Florianoacutepolis WTC
bull Cyber ataque
ndash natildeo localizado geograficamente
ndash pode ser dissipado com altiacutessima velocidade
ndash atinge todos e natildeo somente alvos especiacuteficos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Australian Sewage Attack
bull Marccedilo de 2000 ndash Brisbane Austraacutelia
bull Vitek Boden ndash consultor ndash sistema controlador de aacutegua
bull Marrochy Shire Council
bull Alterou as configuraccedilotildees das bombas das estaccedilotildees causando problemas em 2 estaccedilotildees
bull Boden foi capturado logo apoacutes o primeiro ataque com os equipamentos e programas que facilitaram o ataque que ateacute entatildeo era visto como um mal funcionamento do sistema
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Distributed denial of service attack bull Fevereiro de 2000
bull Anatomia
ndash Busca de hosts inseguros
ndash Instalaccedilatildeo de software para ataques tornado os servidores escravos do atacante
ndash Lanccedilamento do ataque remotamente ativando todos os sistemas simultaneamente
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Scaning Worms - The SQL Slammer attack bull Worms x viacuterus
ndash Viacuterus ficam latentes enquanto vocecirc natildeo faz alguma atividade para ativa-los
ndash Worms propaga-se automaticamente sem nenhuma atividade por parte do infectado
ndash Primeiro worm ndash 1989 ndash Morris worm
ndash Julho de 2001 ndash Code Red ndash 359000 sistemas ndash a cada 37 minutos dobrava sua capacidade de ataque
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Scaning Worms - The SQL Slammer attack
bull Janeiro de 2003 ndash SQL Slammer worm ndash Dobrava o numero de sistemas atacados a cada 85
segundos ndash Infectou 90 dos servidores vulneraacuteveis em apenas 10
minutos ndash Apenas 3 minutos apoacutes sua ativaccedilatildeo jaacute verificava os
servidores a uma velocidade de 55 milhotildees de verificaccedilotildees por segundo
ndash Infectou 75000 servidores com seacuterias consequumlecircncias bull 13000 ATM do Bank of America foram desabilitados bull O serviccedilo de emergecircncia 911 foi desabilitado afetando
680000 pessoas bull 14 corpos de bombeiros e 02 delegacias tambeacutem
foram afetados bull A Microsoft jaacute havia disponibilizado a correccedilatildeo a
6 meses
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Sabotagem Digital PDVSA
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Sabotagem Digital PDVSA
235
28
596
126 No petrolero
privado
Petrolero Puacuteblico
No petrolero
puacuteblico
Otros
-475 -112
-72 -10
D I
-236 -141
-27
Total -29
Queda do PIB Total 29 Primeiro Trimestre de 2003
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Norma NBR ISOIEC-17799 publicadas pela ABNT
CBK ndash Common Body of Knowledge do (ISC)2
TCSEC ndash Padratildeo US DoD (Orange Book)
ITSEC ndash Padratildeo Europeu
Common Criteria ndash ISO 15404
NIST 800 series
Melhores praacuteticas de seguranccedila de informaccedilotildees
Aderecircncia a Normas e padrotildees geralmente aceitos ndash GASSP
(Generally Accepted System Security Principles)
Adoccedilatildeo de Metodologias especiacuteficas para Seguranccedila da Informaccedilatildeo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Bacen
CVM
ANBID
C Civil
Basileacuteia II (RO)
HIPAA
SOx
outras normas e regulamentaccedilotildees
Atendimento a regulamentaccedilotildees
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Associaccedilotildees profissionais
ISSA
ISACA
ASIS
CSI
Grupos de trabalho
CB21 (Norma ABNT ISOIEC 17799)
Cerificaccedilotildees profissionais
CISSP
CISM
MCSO
CISA
CPP
Oportunidades de desenvolvimento do CSO
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
A Seguranccedila da Informaccedilatildeo natildeo deve ser um fim em si mesma
1 Melhor performance
2 Reduccedilatildeo de perdas
3 Compliance
4 Seguranccedila como agente habilitador de negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Capacitaccedilatildeo e
conscientizaccedilatildeo Monitoramento
Pessoas
Ferramentas e
mecanismos
bem configurados
Meacutetricas padrotildees
poliacuteticas e procedimentos Apoio da Alta
Administraccedilatildeo
Fatores Criacuteticos de Sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Endosso da Alta Administraccedilatildeo
Objetivo
Equipe
Independecircncia
Alinhamento ao Negoacutecio
Reporte Executivo Administraccedilatildeo e Controle
(Orccedilamento x meacutetricas de retorno da funccedilatildeo)
Comunicaccedilatildeo e Conscientizaccedilatildeo
Metodologia normas e modelos
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Outros fatores
Projetos
BAU (dia a dia)
Demonstrar o Sucesso
Benefiacutecios
Atuar mediante um plano
Coordenar atividades
Interagir melhor com deptos
Viabilizar continuidade
Integraccedilatildeo com o negoacutecio
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Princiacutepios que devem ser perseguidos
1 Proteger as pessoas e suas informaccedilotildees privadas (Funcionaacuterios
Clientes Fornecedores Acionistas Oacutergatildeos Reguladores)
2 Garantir Sistemas de Informaccedilatildeo integros e protegidos
3 Proteccedilatildeo perimetral da rede de computadores
4 Garantir soluccedilotildees tecnoloacutegicas seguras
5 Garantir soluccedilotildees de Continuidade de Negoacutecios
6 Promover conscientizaccedilatildeo contiacutenua sobre o tema
7 Proporcionar ambiente de negoacutecios alinhado agraves melhores praacuteticas
de Seguranccedila da Informaccedilatildeo internacionalmente aceitas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Funccedilotildees da Seguranccedila Digital
bull Proteccedilatildeo
bull Proteccedilatildeo do acervo ndash informaccedilatildeo e reputaccedilatildeo
bull Controle corporativo ndash obrigaccedilotildees legais
bull Viabilizaccedilatildeo de Negoacutecios
bull Competitividade e produtividade
bull Utilizar a Internet para atingir novos mercados
bull Estabelecer novas praacuteticas operacionais
bull e-Security estaacute baseado na credibilidade do usuaacuterio na empresa e nos serviccedilos que ela oferece
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Modelo de Seguranccedila Responsabilidade Civil do Executivo de
Negoacutecios (ISO 17799 12)
Responsabilidade Civil do CIO
(ISO 17799 12)
Conformidade com a
Lei e Regulamentaccedilatildeo
(ISO 17799 12)
Seguranccedila Fiacutesica
(ISO 17799 7)
Aplicaccedilatildeo Segura
(desenvolvimento
e produccedilatildeo)
(ISO 17799 10)
Seguranccedila da Infra-estrutura
(ISO 17799 589)
Conscientizaccedilatildeo e
Responsabilizaccedilatildeo dos
Usuaacuterios (ISO 17799 6)
Contratos com Fornecedores
(ISO 17799 4)
Continuidade do Negoacutecio
(ISO 17799 11)
Evidecircncias Forenses
(ISO 17799 12)
Monitoraccedilatildeo e Respostas a
Incidentes (ISO 17799 9)
Poliacutetica de Seguranccedila
(ISO 17799 3)
Infra-estrutura
Sistemas
Negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
O Modelo de Seguranccedila
Infra-estrutura
Sistemas
Negoacutecios
Clientes
Fornecedores
Agecircncias Reguladoras
Fazenda
Usuaacuterios
Judiciaacuterio
Melhores Praacuteticas
Integraccedilatildeo com o negoacutecio
Combate a Fraudes
Ambiente Heterogecircneo
Novas Tecnologias
Conformidade
Anaacutelise de Riscos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Perguntas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
RICARDO THEIL
Muito obrigado
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Instalaccedilatildeo
inadequada de
Software e
Hardware
Fontes das ameaccedilas
Acessos natildeo
autorizados a
sistemas
Vazamento de
Informaccedilotildees
Paralisaccedilatildeo dos
processos Descuido com
equipamentos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Engenharia Social
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Gerenciamento de Seguranccedila da Informaccedilatildeo
Metodologias de SI e Controle de Acesso
Seguranccedila em Redes e Telecomunicaccedilotildees
BCM (BIA BCP DRP)
Seguranccedila Fiacutesica das aacutereas de TI
Seguranccedila de Aplicaccedilotildees sistemas etc
Seguranccedila de Operaccedilotildees
Forensics (Leis Investigaccedilotildees e eacutetica)
Criptografia
Estruturaccedilatildeo da Aacuterea de
Seguranccedila da Informaccedilatildeo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
CBK ndash Common Body of Knowledge do (ISC)2
1 Metodologia e Sistemas de Controle de Acesso
2 Seguranccedila em Redes e Telecomunicaccedilotildees
3 Praacuteticas de Gerenciamento de Seguranccedila da Informaccedilatildeo
4 Seguranccedila de Aplicaccedilotildees sistemas (desenvolvimento e manutenccedilatildeo)
5 Uso controle e aplicaccedilatildeo de criptografia e PKI
6 Modelos e Arquitetura de Seguranccedila
7 Seguranccedila de Operaccedilotildees
8 Continuidade - BCM (BIA BCP DRP)
9 Forensics (Leis Investigaccedilotildees e Eacutetica)
10 Seguranccedila Fiacutesica das aacutereas de TI
Disciplinas de Seguranccedila da Informaccedilatildeo segundo o (ISC)2
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Novo Cenaacuterio Corporativo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Governanccedila Corporativa Gerenciamento do Risco Operacional
Conformidade
Qual a influecircncia da seguranccedila em TICs nesse novo cenaacuterio
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Novas necessidades regulatoacuterias
bull Gramm-Leach-Bliley Act (Privacidade das informaccedilotildees
financeiras) bull HIPAA - Health Insurance Portability and
Accountability Act (Privacidade das informaccedilotildees de sauacutede)
bull Sarbanes-Oxley (Retenccedilatildeo de informaccedilotildees contaacutebeis (principalmente))
bull Basileacuteia II (bancos)
bull Novo Coacutedigo Civil Brasileiro
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Novo papel do administrador de TI
Retenccedilatildeo de documentos eacute diferente
de backup
- faxes e-mails instant messages
- TODAS as versotildees de documentos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
- NBR ISOIEC 17799 e
- BS 7799-2
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
Seguranccedila em TICs
=
Tecnologia
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
Seguranccedila
=
Processo
Seguranccedila eacute processo tecnologia eacute ferramenta
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
O elo mais fraco da corrente eacute vocecirc
- apenas 48 das empresas americanas ministraram treinamento de
seguranccedila a seus empregados destas apenas 15 fizeram isso haacute menos de 6 meses
Fonte Human Firewall Security Awareness Index Survey 2003
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
BS 7799-2
bull Security policy
bull Organizational security
bull Asset classification and control
bull Personnel security
bull Physical and environmental security
bull Communications and operations management
bull Access control
bull Systems development and maintenance
bull Business continuity management
bull Compliance
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Papel da PESSOA na seguranccedila
bull Novas ameaccedilas surgem diariamente
bull Ferramentas teacutecnicas de seguranccedila com boa taxa de atualizaccedilatildeo
bull Grande investimento das corporaccedilotildees na seguranccedila da informaccedilatildeo
bull Pouco ou nenhum investimento em treinamento focado em seguranccedila
bull Todos satildeo responsaacuteveis ndash regras de conformidade
Sua casa tem fechadura e alarme certo
Mas vocecirc sabe usa-los
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Haacute algo de novo no Horizonte SIM Ciber Ataque e Sabotagem Digital
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Desastres naturais ou ataques fiacutesicos
X Ciber Ataque
bull Desastres naturais ou ataques fiacutesicos
- extensatildeo e dano imediato satildeo limitados
geograficamente
Ex Florianoacutepolis WTC
bull Cyber ataque
ndash natildeo localizado geograficamente
ndash pode ser dissipado com altiacutessima velocidade
ndash atinge todos e natildeo somente alvos especiacuteficos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Australian Sewage Attack
bull Marccedilo de 2000 ndash Brisbane Austraacutelia
bull Vitek Boden ndash consultor ndash sistema controlador de aacutegua
bull Marrochy Shire Council
bull Alterou as configuraccedilotildees das bombas das estaccedilotildees causando problemas em 2 estaccedilotildees
bull Boden foi capturado logo apoacutes o primeiro ataque com os equipamentos e programas que facilitaram o ataque que ateacute entatildeo era visto como um mal funcionamento do sistema
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Distributed denial of service attack bull Fevereiro de 2000
bull Anatomia
ndash Busca de hosts inseguros
ndash Instalaccedilatildeo de software para ataques tornado os servidores escravos do atacante
ndash Lanccedilamento do ataque remotamente ativando todos os sistemas simultaneamente
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Scaning Worms - The SQL Slammer attack bull Worms x viacuterus
ndash Viacuterus ficam latentes enquanto vocecirc natildeo faz alguma atividade para ativa-los
ndash Worms propaga-se automaticamente sem nenhuma atividade por parte do infectado
ndash Primeiro worm ndash 1989 ndash Morris worm
ndash Julho de 2001 ndash Code Red ndash 359000 sistemas ndash a cada 37 minutos dobrava sua capacidade de ataque
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Scaning Worms - The SQL Slammer attack
bull Janeiro de 2003 ndash SQL Slammer worm ndash Dobrava o numero de sistemas atacados a cada 85
segundos ndash Infectou 90 dos servidores vulneraacuteveis em apenas 10
minutos ndash Apenas 3 minutos apoacutes sua ativaccedilatildeo jaacute verificava os
servidores a uma velocidade de 55 milhotildees de verificaccedilotildees por segundo
ndash Infectou 75000 servidores com seacuterias consequumlecircncias bull 13000 ATM do Bank of America foram desabilitados bull O serviccedilo de emergecircncia 911 foi desabilitado afetando
680000 pessoas bull 14 corpos de bombeiros e 02 delegacias tambeacutem
foram afetados bull A Microsoft jaacute havia disponibilizado a correccedilatildeo a
6 meses
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Sabotagem Digital PDVSA
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Sabotagem Digital PDVSA
235
28
596
126 No petrolero
privado
Petrolero Puacuteblico
No petrolero
puacuteblico
Otros
-475 -112
-72 -10
D I
-236 -141
-27
Total -29
Queda do PIB Total 29 Primeiro Trimestre de 2003
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Norma NBR ISOIEC-17799 publicadas pela ABNT
CBK ndash Common Body of Knowledge do (ISC)2
TCSEC ndash Padratildeo US DoD (Orange Book)
ITSEC ndash Padratildeo Europeu
Common Criteria ndash ISO 15404
NIST 800 series
Melhores praacuteticas de seguranccedila de informaccedilotildees
Aderecircncia a Normas e padrotildees geralmente aceitos ndash GASSP
(Generally Accepted System Security Principles)
Adoccedilatildeo de Metodologias especiacuteficas para Seguranccedila da Informaccedilatildeo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Bacen
CVM
ANBID
C Civil
Basileacuteia II (RO)
HIPAA
SOx
outras normas e regulamentaccedilotildees
Atendimento a regulamentaccedilotildees
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Associaccedilotildees profissionais
ISSA
ISACA
ASIS
CSI
Grupos de trabalho
CB21 (Norma ABNT ISOIEC 17799)
Cerificaccedilotildees profissionais
CISSP
CISM
MCSO
CISA
CPP
Oportunidades de desenvolvimento do CSO
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
A Seguranccedila da Informaccedilatildeo natildeo deve ser um fim em si mesma
1 Melhor performance
2 Reduccedilatildeo de perdas
3 Compliance
4 Seguranccedila como agente habilitador de negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Capacitaccedilatildeo e
conscientizaccedilatildeo Monitoramento
Pessoas
Ferramentas e
mecanismos
bem configurados
Meacutetricas padrotildees
poliacuteticas e procedimentos Apoio da Alta
Administraccedilatildeo
Fatores Criacuteticos de Sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Endosso da Alta Administraccedilatildeo
Objetivo
Equipe
Independecircncia
Alinhamento ao Negoacutecio
Reporte Executivo Administraccedilatildeo e Controle
(Orccedilamento x meacutetricas de retorno da funccedilatildeo)
Comunicaccedilatildeo e Conscientizaccedilatildeo
Metodologia normas e modelos
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Outros fatores
Projetos
BAU (dia a dia)
Demonstrar o Sucesso
Benefiacutecios
Atuar mediante um plano
Coordenar atividades
Interagir melhor com deptos
Viabilizar continuidade
Integraccedilatildeo com o negoacutecio
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Princiacutepios que devem ser perseguidos
1 Proteger as pessoas e suas informaccedilotildees privadas (Funcionaacuterios
Clientes Fornecedores Acionistas Oacutergatildeos Reguladores)
2 Garantir Sistemas de Informaccedilatildeo integros e protegidos
3 Proteccedilatildeo perimetral da rede de computadores
4 Garantir soluccedilotildees tecnoloacutegicas seguras
5 Garantir soluccedilotildees de Continuidade de Negoacutecios
6 Promover conscientizaccedilatildeo contiacutenua sobre o tema
7 Proporcionar ambiente de negoacutecios alinhado agraves melhores praacuteticas
de Seguranccedila da Informaccedilatildeo internacionalmente aceitas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Funccedilotildees da Seguranccedila Digital
bull Proteccedilatildeo
bull Proteccedilatildeo do acervo ndash informaccedilatildeo e reputaccedilatildeo
bull Controle corporativo ndash obrigaccedilotildees legais
bull Viabilizaccedilatildeo de Negoacutecios
bull Competitividade e produtividade
bull Utilizar a Internet para atingir novos mercados
bull Estabelecer novas praacuteticas operacionais
bull e-Security estaacute baseado na credibilidade do usuaacuterio na empresa e nos serviccedilos que ela oferece
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Modelo de Seguranccedila Responsabilidade Civil do Executivo de
Negoacutecios (ISO 17799 12)
Responsabilidade Civil do CIO
(ISO 17799 12)
Conformidade com a
Lei e Regulamentaccedilatildeo
(ISO 17799 12)
Seguranccedila Fiacutesica
(ISO 17799 7)
Aplicaccedilatildeo Segura
(desenvolvimento
e produccedilatildeo)
(ISO 17799 10)
Seguranccedila da Infra-estrutura
(ISO 17799 589)
Conscientizaccedilatildeo e
Responsabilizaccedilatildeo dos
Usuaacuterios (ISO 17799 6)
Contratos com Fornecedores
(ISO 17799 4)
Continuidade do Negoacutecio
(ISO 17799 11)
Evidecircncias Forenses
(ISO 17799 12)
Monitoraccedilatildeo e Respostas a
Incidentes (ISO 17799 9)
Poliacutetica de Seguranccedila
(ISO 17799 3)
Infra-estrutura
Sistemas
Negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
O Modelo de Seguranccedila
Infra-estrutura
Sistemas
Negoacutecios
Clientes
Fornecedores
Agecircncias Reguladoras
Fazenda
Usuaacuterios
Judiciaacuterio
Melhores Praacuteticas
Integraccedilatildeo com o negoacutecio
Combate a Fraudes
Ambiente Heterogecircneo
Novas Tecnologias
Conformidade
Anaacutelise de Riscos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Perguntas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
RICARDO THEIL
Muito obrigado
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Engenharia Social
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Gerenciamento de Seguranccedila da Informaccedilatildeo
Metodologias de SI e Controle de Acesso
Seguranccedila em Redes e Telecomunicaccedilotildees
BCM (BIA BCP DRP)
Seguranccedila Fiacutesica das aacutereas de TI
Seguranccedila de Aplicaccedilotildees sistemas etc
Seguranccedila de Operaccedilotildees
Forensics (Leis Investigaccedilotildees e eacutetica)
Criptografia
Estruturaccedilatildeo da Aacuterea de
Seguranccedila da Informaccedilatildeo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
CBK ndash Common Body of Knowledge do (ISC)2
1 Metodologia e Sistemas de Controle de Acesso
2 Seguranccedila em Redes e Telecomunicaccedilotildees
3 Praacuteticas de Gerenciamento de Seguranccedila da Informaccedilatildeo
4 Seguranccedila de Aplicaccedilotildees sistemas (desenvolvimento e manutenccedilatildeo)
5 Uso controle e aplicaccedilatildeo de criptografia e PKI
6 Modelos e Arquitetura de Seguranccedila
7 Seguranccedila de Operaccedilotildees
8 Continuidade - BCM (BIA BCP DRP)
9 Forensics (Leis Investigaccedilotildees e Eacutetica)
10 Seguranccedila Fiacutesica das aacutereas de TI
Disciplinas de Seguranccedila da Informaccedilatildeo segundo o (ISC)2
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Novo Cenaacuterio Corporativo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Governanccedila Corporativa Gerenciamento do Risco Operacional
Conformidade
Qual a influecircncia da seguranccedila em TICs nesse novo cenaacuterio
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Novas necessidades regulatoacuterias
bull Gramm-Leach-Bliley Act (Privacidade das informaccedilotildees
financeiras) bull HIPAA - Health Insurance Portability and
Accountability Act (Privacidade das informaccedilotildees de sauacutede)
bull Sarbanes-Oxley (Retenccedilatildeo de informaccedilotildees contaacutebeis (principalmente))
bull Basileacuteia II (bancos)
bull Novo Coacutedigo Civil Brasileiro
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Novo papel do administrador de TI
Retenccedilatildeo de documentos eacute diferente
de backup
- faxes e-mails instant messages
- TODAS as versotildees de documentos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
- NBR ISOIEC 17799 e
- BS 7799-2
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
Seguranccedila em TICs
=
Tecnologia
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
Seguranccedila
=
Processo
Seguranccedila eacute processo tecnologia eacute ferramenta
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
O elo mais fraco da corrente eacute vocecirc
- apenas 48 das empresas americanas ministraram treinamento de
seguranccedila a seus empregados destas apenas 15 fizeram isso haacute menos de 6 meses
Fonte Human Firewall Security Awareness Index Survey 2003
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
BS 7799-2
bull Security policy
bull Organizational security
bull Asset classification and control
bull Personnel security
bull Physical and environmental security
bull Communications and operations management
bull Access control
bull Systems development and maintenance
bull Business continuity management
bull Compliance
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Papel da PESSOA na seguranccedila
bull Novas ameaccedilas surgem diariamente
bull Ferramentas teacutecnicas de seguranccedila com boa taxa de atualizaccedilatildeo
bull Grande investimento das corporaccedilotildees na seguranccedila da informaccedilatildeo
bull Pouco ou nenhum investimento em treinamento focado em seguranccedila
bull Todos satildeo responsaacuteveis ndash regras de conformidade
Sua casa tem fechadura e alarme certo
Mas vocecirc sabe usa-los
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Haacute algo de novo no Horizonte SIM Ciber Ataque e Sabotagem Digital
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Desastres naturais ou ataques fiacutesicos
X Ciber Ataque
bull Desastres naturais ou ataques fiacutesicos
- extensatildeo e dano imediato satildeo limitados
geograficamente
Ex Florianoacutepolis WTC
bull Cyber ataque
ndash natildeo localizado geograficamente
ndash pode ser dissipado com altiacutessima velocidade
ndash atinge todos e natildeo somente alvos especiacuteficos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Australian Sewage Attack
bull Marccedilo de 2000 ndash Brisbane Austraacutelia
bull Vitek Boden ndash consultor ndash sistema controlador de aacutegua
bull Marrochy Shire Council
bull Alterou as configuraccedilotildees das bombas das estaccedilotildees causando problemas em 2 estaccedilotildees
bull Boden foi capturado logo apoacutes o primeiro ataque com os equipamentos e programas que facilitaram o ataque que ateacute entatildeo era visto como um mal funcionamento do sistema
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Distributed denial of service attack bull Fevereiro de 2000
bull Anatomia
ndash Busca de hosts inseguros
ndash Instalaccedilatildeo de software para ataques tornado os servidores escravos do atacante
ndash Lanccedilamento do ataque remotamente ativando todos os sistemas simultaneamente
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Scaning Worms - The SQL Slammer attack bull Worms x viacuterus
ndash Viacuterus ficam latentes enquanto vocecirc natildeo faz alguma atividade para ativa-los
ndash Worms propaga-se automaticamente sem nenhuma atividade por parte do infectado
ndash Primeiro worm ndash 1989 ndash Morris worm
ndash Julho de 2001 ndash Code Red ndash 359000 sistemas ndash a cada 37 minutos dobrava sua capacidade de ataque
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Scaning Worms - The SQL Slammer attack
bull Janeiro de 2003 ndash SQL Slammer worm ndash Dobrava o numero de sistemas atacados a cada 85
segundos ndash Infectou 90 dos servidores vulneraacuteveis em apenas 10
minutos ndash Apenas 3 minutos apoacutes sua ativaccedilatildeo jaacute verificava os
servidores a uma velocidade de 55 milhotildees de verificaccedilotildees por segundo
ndash Infectou 75000 servidores com seacuterias consequumlecircncias bull 13000 ATM do Bank of America foram desabilitados bull O serviccedilo de emergecircncia 911 foi desabilitado afetando
680000 pessoas bull 14 corpos de bombeiros e 02 delegacias tambeacutem
foram afetados bull A Microsoft jaacute havia disponibilizado a correccedilatildeo a
6 meses
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Sabotagem Digital PDVSA
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Sabotagem Digital PDVSA
235
28
596
126 No petrolero
privado
Petrolero Puacuteblico
No petrolero
puacuteblico
Otros
-475 -112
-72 -10
D I
-236 -141
-27
Total -29
Queda do PIB Total 29 Primeiro Trimestre de 2003
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Norma NBR ISOIEC-17799 publicadas pela ABNT
CBK ndash Common Body of Knowledge do (ISC)2
TCSEC ndash Padratildeo US DoD (Orange Book)
ITSEC ndash Padratildeo Europeu
Common Criteria ndash ISO 15404
NIST 800 series
Melhores praacuteticas de seguranccedila de informaccedilotildees
Aderecircncia a Normas e padrotildees geralmente aceitos ndash GASSP
(Generally Accepted System Security Principles)
Adoccedilatildeo de Metodologias especiacuteficas para Seguranccedila da Informaccedilatildeo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Bacen
CVM
ANBID
C Civil
Basileacuteia II (RO)
HIPAA
SOx
outras normas e regulamentaccedilotildees
Atendimento a regulamentaccedilotildees
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Associaccedilotildees profissionais
ISSA
ISACA
ASIS
CSI
Grupos de trabalho
CB21 (Norma ABNT ISOIEC 17799)
Cerificaccedilotildees profissionais
CISSP
CISM
MCSO
CISA
CPP
Oportunidades de desenvolvimento do CSO
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
A Seguranccedila da Informaccedilatildeo natildeo deve ser um fim em si mesma
1 Melhor performance
2 Reduccedilatildeo de perdas
3 Compliance
4 Seguranccedila como agente habilitador de negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Capacitaccedilatildeo e
conscientizaccedilatildeo Monitoramento
Pessoas
Ferramentas e
mecanismos
bem configurados
Meacutetricas padrotildees
poliacuteticas e procedimentos Apoio da Alta
Administraccedilatildeo
Fatores Criacuteticos de Sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Endosso da Alta Administraccedilatildeo
Objetivo
Equipe
Independecircncia
Alinhamento ao Negoacutecio
Reporte Executivo Administraccedilatildeo e Controle
(Orccedilamento x meacutetricas de retorno da funccedilatildeo)
Comunicaccedilatildeo e Conscientizaccedilatildeo
Metodologia normas e modelos
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Outros fatores
Projetos
BAU (dia a dia)
Demonstrar o Sucesso
Benefiacutecios
Atuar mediante um plano
Coordenar atividades
Interagir melhor com deptos
Viabilizar continuidade
Integraccedilatildeo com o negoacutecio
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Princiacutepios que devem ser perseguidos
1 Proteger as pessoas e suas informaccedilotildees privadas (Funcionaacuterios
Clientes Fornecedores Acionistas Oacutergatildeos Reguladores)
2 Garantir Sistemas de Informaccedilatildeo integros e protegidos
3 Proteccedilatildeo perimetral da rede de computadores
4 Garantir soluccedilotildees tecnoloacutegicas seguras
5 Garantir soluccedilotildees de Continuidade de Negoacutecios
6 Promover conscientizaccedilatildeo contiacutenua sobre o tema
7 Proporcionar ambiente de negoacutecios alinhado agraves melhores praacuteticas
de Seguranccedila da Informaccedilatildeo internacionalmente aceitas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Funccedilotildees da Seguranccedila Digital
bull Proteccedilatildeo
bull Proteccedilatildeo do acervo ndash informaccedilatildeo e reputaccedilatildeo
bull Controle corporativo ndash obrigaccedilotildees legais
bull Viabilizaccedilatildeo de Negoacutecios
bull Competitividade e produtividade
bull Utilizar a Internet para atingir novos mercados
bull Estabelecer novas praacuteticas operacionais
bull e-Security estaacute baseado na credibilidade do usuaacuterio na empresa e nos serviccedilos que ela oferece
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Modelo de Seguranccedila Responsabilidade Civil do Executivo de
Negoacutecios (ISO 17799 12)
Responsabilidade Civil do CIO
(ISO 17799 12)
Conformidade com a
Lei e Regulamentaccedilatildeo
(ISO 17799 12)
Seguranccedila Fiacutesica
(ISO 17799 7)
Aplicaccedilatildeo Segura
(desenvolvimento
e produccedilatildeo)
(ISO 17799 10)
Seguranccedila da Infra-estrutura
(ISO 17799 589)
Conscientizaccedilatildeo e
Responsabilizaccedilatildeo dos
Usuaacuterios (ISO 17799 6)
Contratos com Fornecedores
(ISO 17799 4)
Continuidade do Negoacutecio
(ISO 17799 11)
Evidecircncias Forenses
(ISO 17799 12)
Monitoraccedilatildeo e Respostas a
Incidentes (ISO 17799 9)
Poliacutetica de Seguranccedila
(ISO 17799 3)
Infra-estrutura
Sistemas
Negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
O Modelo de Seguranccedila
Infra-estrutura
Sistemas
Negoacutecios
Clientes
Fornecedores
Agecircncias Reguladoras
Fazenda
Usuaacuterios
Judiciaacuterio
Melhores Praacuteticas
Integraccedilatildeo com o negoacutecio
Combate a Fraudes
Ambiente Heterogecircneo
Novas Tecnologias
Conformidade
Anaacutelise de Riscos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Perguntas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
RICARDO THEIL
Muito obrigado
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Gerenciamento de Seguranccedila da Informaccedilatildeo
Metodologias de SI e Controle de Acesso
Seguranccedila em Redes e Telecomunicaccedilotildees
BCM (BIA BCP DRP)
Seguranccedila Fiacutesica das aacutereas de TI
Seguranccedila de Aplicaccedilotildees sistemas etc
Seguranccedila de Operaccedilotildees
Forensics (Leis Investigaccedilotildees e eacutetica)
Criptografia
Estruturaccedilatildeo da Aacuterea de
Seguranccedila da Informaccedilatildeo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
CBK ndash Common Body of Knowledge do (ISC)2
1 Metodologia e Sistemas de Controle de Acesso
2 Seguranccedila em Redes e Telecomunicaccedilotildees
3 Praacuteticas de Gerenciamento de Seguranccedila da Informaccedilatildeo
4 Seguranccedila de Aplicaccedilotildees sistemas (desenvolvimento e manutenccedilatildeo)
5 Uso controle e aplicaccedilatildeo de criptografia e PKI
6 Modelos e Arquitetura de Seguranccedila
7 Seguranccedila de Operaccedilotildees
8 Continuidade - BCM (BIA BCP DRP)
9 Forensics (Leis Investigaccedilotildees e Eacutetica)
10 Seguranccedila Fiacutesica das aacutereas de TI
Disciplinas de Seguranccedila da Informaccedilatildeo segundo o (ISC)2
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Novo Cenaacuterio Corporativo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Governanccedila Corporativa Gerenciamento do Risco Operacional
Conformidade
Qual a influecircncia da seguranccedila em TICs nesse novo cenaacuterio
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Novas necessidades regulatoacuterias
bull Gramm-Leach-Bliley Act (Privacidade das informaccedilotildees
financeiras) bull HIPAA - Health Insurance Portability and
Accountability Act (Privacidade das informaccedilotildees de sauacutede)
bull Sarbanes-Oxley (Retenccedilatildeo de informaccedilotildees contaacutebeis (principalmente))
bull Basileacuteia II (bancos)
bull Novo Coacutedigo Civil Brasileiro
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Novo papel do administrador de TI
Retenccedilatildeo de documentos eacute diferente
de backup
- faxes e-mails instant messages
- TODAS as versotildees de documentos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
- NBR ISOIEC 17799 e
- BS 7799-2
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
Seguranccedila em TICs
=
Tecnologia
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
Seguranccedila
=
Processo
Seguranccedila eacute processo tecnologia eacute ferramenta
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
O elo mais fraco da corrente eacute vocecirc
- apenas 48 das empresas americanas ministraram treinamento de
seguranccedila a seus empregados destas apenas 15 fizeram isso haacute menos de 6 meses
Fonte Human Firewall Security Awareness Index Survey 2003
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
BS 7799-2
bull Security policy
bull Organizational security
bull Asset classification and control
bull Personnel security
bull Physical and environmental security
bull Communications and operations management
bull Access control
bull Systems development and maintenance
bull Business continuity management
bull Compliance
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Papel da PESSOA na seguranccedila
bull Novas ameaccedilas surgem diariamente
bull Ferramentas teacutecnicas de seguranccedila com boa taxa de atualizaccedilatildeo
bull Grande investimento das corporaccedilotildees na seguranccedila da informaccedilatildeo
bull Pouco ou nenhum investimento em treinamento focado em seguranccedila
bull Todos satildeo responsaacuteveis ndash regras de conformidade
Sua casa tem fechadura e alarme certo
Mas vocecirc sabe usa-los
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Haacute algo de novo no Horizonte SIM Ciber Ataque e Sabotagem Digital
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Desastres naturais ou ataques fiacutesicos
X Ciber Ataque
bull Desastres naturais ou ataques fiacutesicos
- extensatildeo e dano imediato satildeo limitados
geograficamente
Ex Florianoacutepolis WTC
bull Cyber ataque
ndash natildeo localizado geograficamente
ndash pode ser dissipado com altiacutessima velocidade
ndash atinge todos e natildeo somente alvos especiacuteficos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Australian Sewage Attack
bull Marccedilo de 2000 ndash Brisbane Austraacutelia
bull Vitek Boden ndash consultor ndash sistema controlador de aacutegua
bull Marrochy Shire Council
bull Alterou as configuraccedilotildees das bombas das estaccedilotildees causando problemas em 2 estaccedilotildees
bull Boden foi capturado logo apoacutes o primeiro ataque com os equipamentos e programas que facilitaram o ataque que ateacute entatildeo era visto como um mal funcionamento do sistema
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Distributed denial of service attack bull Fevereiro de 2000
bull Anatomia
ndash Busca de hosts inseguros
ndash Instalaccedilatildeo de software para ataques tornado os servidores escravos do atacante
ndash Lanccedilamento do ataque remotamente ativando todos os sistemas simultaneamente
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Scaning Worms - The SQL Slammer attack bull Worms x viacuterus
ndash Viacuterus ficam latentes enquanto vocecirc natildeo faz alguma atividade para ativa-los
ndash Worms propaga-se automaticamente sem nenhuma atividade por parte do infectado
ndash Primeiro worm ndash 1989 ndash Morris worm
ndash Julho de 2001 ndash Code Red ndash 359000 sistemas ndash a cada 37 minutos dobrava sua capacidade de ataque
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Scaning Worms - The SQL Slammer attack
bull Janeiro de 2003 ndash SQL Slammer worm ndash Dobrava o numero de sistemas atacados a cada 85
segundos ndash Infectou 90 dos servidores vulneraacuteveis em apenas 10
minutos ndash Apenas 3 minutos apoacutes sua ativaccedilatildeo jaacute verificava os
servidores a uma velocidade de 55 milhotildees de verificaccedilotildees por segundo
ndash Infectou 75000 servidores com seacuterias consequumlecircncias bull 13000 ATM do Bank of America foram desabilitados bull O serviccedilo de emergecircncia 911 foi desabilitado afetando
680000 pessoas bull 14 corpos de bombeiros e 02 delegacias tambeacutem
foram afetados bull A Microsoft jaacute havia disponibilizado a correccedilatildeo a
6 meses
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Sabotagem Digital PDVSA
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Sabotagem Digital PDVSA
235
28
596
126 No petrolero
privado
Petrolero Puacuteblico
No petrolero
puacuteblico
Otros
-475 -112
-72 -10
D I
-236 -141
-27
Total -29
Queda do PIB Total 29 Primeiro Trimestre de 2003
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Norma NBR ISOIEC-17799 publicadas pela ABNT
CBK ndash Common Body of Knowledge do (ISC)2
TCSEC ndash Padratildeo US DoD (Orange Book)
ITSEC ndash Padratildeo Europeu
Common Criteria ndash ISO 15404
NIST 800 series
Melhores praacuteticas de seguranccedila de informaccedilotildees
Aderecircncia a Normas e padrotildees geralmente aceitos ndash GASSP
(Generally Accepted System Security Principles)
Adoccedilatildeo de Metodologias especiacuteficas para Seguranccedila da Informaccedilatildeo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Bacen
CVM
ANBID
C Civil
Basileacuteia II (RO)
HIPAA
SOx
outras normas e regulamentaccedilotildees
Atendimento a regulamentaccedilotildees
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Associaccedilotildees profissionais
ISSA
ISACA
ASIS
CSI
Grupos de trabalho
CB21 (Norma ABNT ISOIEC 17799)
Cerificaccedilotildees profissionais
CISSP
CISM
MCSO
CISA
CPP
Oportunidades de desenvolvimento do CSO
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
A Seguranccedila da Informaccedilatildeo natildeo deve ser um fim em si mesma
1 Melhor performance
2 Reduccedilatildeo de perdas
3 Compliance
4 Seguranccedila como agente habilitador de negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Capacitaccedilatildeo e
conscientizaccedilatildeo Monitoramento
Pessoas
Ferramentas e
mecanismos
bem configurados
Meacutetricas padrotildees
poliacuteticas e procedimentos Apoio da Alta
Administraccedilatildeo
Fatores Criacuteticos de Sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Endosso da Alta Administraccedilatildeo
Objetivo
Equipe
Independecircncia
Alinhamento ao Negoacutecio
Reporte Executivo Administraccedilatildeo e Controle
(Orccedilamento x meacutetricas de retorno da funccedilatildeo)
Comunicaccedilatildeo e Conscientizaccedilatildeo
Metodologia normas e modelos
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Outros fatores
Projetos
BAU (dia a dia)
Demonstrar o Sucesso
Benefiacutecios
Atuar mediante um plano
Coordenar atividades
Interagir melhor com deptos
Viabilizar continuidade
Integraccedilatildeo com o negoacutecio
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Princiacutepios que devem ser perseguidos
1 Proteger as pessoas e suas informaccedilotildees privadas (Funcionaacuterios
Clientes Fornecedores Acionistas Oacutergatildeos Reguladores)
2 Garantir Sistemas de Informaccedilatildeo integros e protegidos
3 Proteccedilatildeo perimetral da rede de computadores
4 Garantir soluccedilotildees tecnoloacutegicas seguras
5 Garantir soluccedilotildees de Continuidade de Negoacutecios
6 Promover conscientizaccedilatildeo contiacutenua sobre o tema
7 Proporcionar ambiente de negoacutecios alinhado agraves melhores praacuteticas
de Seguranccedila da Informaccedilatildeo internacionalmente aceitas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Funccedilotildees da Seguranccedila Digital
bull Proteccedilatildeo
bull Proteccedilatildeo do acervo ndash informaccedilatildeo e reputaccedilatildeo
bull Controle corporativo ndash obrigaccedilotildees legais
bull Viabilizaccedilatildeo de Negoacutecios
bull Competitividade e produtividade
bull Utilizar a Internet para atingir novos mercados
bull Estabelecer novas praacuteticas operacionais
bull e-Security estaacute baseado na credibilidade do usuaacuterio na empresa e nos serviccedilos que ela oferece
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Modelo de Seguranccedila Responsabilidade Civil do Executivo de
Negoacutecios (ISO 17799 12)
Responsabilidade Civil do CIO
(ISO 17799 12)
Conformidade com a
Lei e Regulamentaccedilatildeo
(ISO 17799 12)
Seguranccedila Fiacutesica
(ISO 17799 7)
Aplicaccedilatildeo Segura
(desenvolvimento
e produccedilatildeo)
(ISO 17799 10)
Seguranccedila da Infra-estrutura
(ISO 17799 589)
Conscientizaccedilatildeo e
Responsabilizaccedilatildeo dos
Usuaacuterios (ISO 17799 6)
Contratos com Fornecedores
(ISO 17799 4)
Continuidade do Negoacutecio
(ISO 17799 11)
Evidecircncias Forenses
(ISO 17799 12)
Monitoraccedilatildeo e Respostas a
Incidentes (ISO 17799 9)
Poliacutetica de Seguranccedila
(ISO 17799 3)
Infra-estrutura
Sistemas
Negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
O Modelo de Seguranccedila
Infra-estrutura
Sistemas
Negoacutecios
Clientes
Fornecedores
Agecircncias Reguladoras
Fazenda
Usuaacuterios
Judiciaacuterio
Melhores Praacuteticas
Integraccedilatildeo com o negoacutecio
Combate a Fraudes
Ambiente Heterogecircneo
Novas Tecnologias
Conformidade
Anaacutelise de Riscos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Perguntas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
RICARDO THEIL
Muito obrigado
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
CBK ndash Common Body of Knowledge do (ISC)2
1 Metodologia e Sistemas de Controle de Acesso
2 Seguranccedila em Redes e Telecomunicaccedilotildees
3 Praacuteticas de Gerenciamento de Seguranccedila da Informaccedilatildeo
4 Seguranccedila de Aplicaccedilotildees sistemas (desenvolvimento e manutenccedilatildeo)
5 Uso controle e aplicaccedilatildeo de criptografia e PKI
6 Modelos e Arquitetura de Seguranccedila
7 Seguranccedila de Operaccedilotildees
8 Continuidade - BCM (BIA BCP DRP)
9 Forensics (Leis Investigaccedilotildees e Eacutetica)
10 Seguranccedila Fiacutesica das aacutereas de TI
Disciplinas de Seguranccedila da Informaccedilatildeo segundo o (ISC)2
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Novo Cenaacuterio Corporativo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Governanccedila Corporativa Gerenciamento do Risco Operacional
Conformidade
Qual a influecircncia da seguranccedila em TICs nesse novo cenaacuterio
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Novas necessidades regulatoacuterias
bull Gramm-Leach-Bliley Act (Privacidade das informaccedilotildees
financeiras) bull HIPAA - Health Insurance Portability and
Accountability Act (Privacidade das informaccedilotildees de sauacutede)
bull Sarbanes-Oxley (Retenccedilatildeo de informaccedilotildees contaacutebeis (principalmente))
bull Basileacuteia II (bancos)
bull Novo Coacutedigo Civil Brasileiro
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Novo papel do administrador de TI
Retenccedilatildeo de documentos eacute diferente
de backup
- faxes e-mails instant messages
- TODAS as versotildees de documentos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
- NBR ISOIEC 17799 e
- BS 7799-2
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
Seguranccedila em TICs
=
Tecnologia
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
Seguranccedila
=
Processo
Seguranccedila eacute processo tecnologia eacute ferramenta
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
O elo mais fraco da corrente eacute vocecirc
- apenas 48 das empresas americanas ministraram treinamento de
seguranccedila a seus empregados destas apenas 15 fizeram isso haacute menos de 6 meses
Fonte Human Firewall Security Awareness Index Survey 2003
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
BS 7799-2
bull Security policy
bull Organizational security
bull Asset classification and control
bull Personnel security
bull Physical and environmental security
bull Communications and operations management
bull Access control
bull Systems development and maintenance
bull Business continuity management
bull Compliance
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Papel da PESSOA na seguranccedila
bull Novas ameaccedilas surgem diariamente
bull Ferramentas teacutecnicas de seguranccedila com boa taxa de atualizaccedilatildeo
bull Grande investimento das corporaccedilotildees na seguranccedila da informaccedilatildeo
bull Pouco ou nenhum investimento em treinamento focado em seguranccedila
bull Todos satildeo responsaacuteveis ndash regras de conformidade
Sua casa tem fechadura e alarme certo
Mas vocecirc sabe usa-los
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Haacute algo de novo no Horizonte SIM Ciber Ataque e Sabotagem Digital
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Desastres naturais ou ataques fiacutesicos
X Ciber Ataque
bull Desastres naturais ou ataques fiacutesicos
- extensatildeo e dano imediato satildeo limitados
geograficamente
Ex Florianoacutepolis WTC
bull Cyber ataque
ndash natildeo localizado geograficamente
ndash pode ser dissipado com altiacutessima velocidade
ndash atinge todos e natildeo somente alvos especiacuteficos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Australian Sewage Attack
bull Marccedilo de 2000 ndash Brisbane Austraacutelia
bull Vitek Boden ndash consultor ndash sistema controlador de aacutegua
bull Marrochy Shire Council
bull Alterou as configuraccedilotildees das bombas das estaccedilotildees causando problemas em 2 estaccedilotildees
bull Boden foi capturado logo apoacutes o primeiro ataque com os equipamentos e programas que facilitaram o ataque que ateacute entatildeo era visto como um mal funcionamento do sistema
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Distributed denial of service attack bull Fevereiro de 2000
bull Anatomia
ndash Busca de hosts inseguros
ndash Instalaccedilatildeo de software para ataques tornado os servidores escravos do atacante
ndash Lanccedilamento do ataque remotamente ativando todos os sistemas simultaneamente
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Scaning Worms - The SQL Slammer attack bull Worms x viacuterus
ndash Viacuterus ficam latentes enquanto vocecirc natildeo faz alguma atividade para ativa-los
ndash Worms propaga-se automaticamente sem nenhuma atividade por parte do infectado
ndash Primeiro worm ndash 1989 ndash Morris worm
ndash Julho de 2001 ndash Code Red ndash 359000 sistemas ndash a cada 37 minutos dobrava sua capacidade de ataque
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Scaning Worms - The SQL Slammer attack
bull Janeiro de 2003 ndash SQL Slammer worm ndash Dobrava o numero de sistemas atacados a cada 85
segundos ndash Infectou 90 dos servidores vulneraacuteveis em apenas 10
minutos ndash Apenas 3 minutos apoacutes sua ativaccedilatildeo jaacute verificava os
servidores a uma velocidade de 55 milhotildees de verificaccedilotildees por segundo
ndash Infectou 75000 servidores com seacuterias consequumlecircncias bull 13000 ATM do Bank of America foram desabilitados bull O serviccedilo de emergecircncia 911 foi desabilitado afetando
680000 pessoas bull 14 corpos de bombeiros e 02 delegacias tambeacutem
foram afetados bull A Microsoft jaacute havia disponibilizado a correccedilatildeo a
6 meses
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Sabotagem Digital PDVSA
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Sabotagem Digital PDVSA
235
28
596
126 No petrolero
privado
Petrolero Puacuteblico
No petrolero
puacuteblico
Otros
-475 -112
-72 -10
D I
-236 -141
-27
Total -29
Queda do PIB Total 29 Primeiro Trimestre de 2003
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Norma NBR ISOIEC-17799 publicadas pela ABNT
CBK ndash Common Body of Knowledge do (ISC)2
TCSEC ndash Padratildeo US DoD (Orange Book)
ITSEC ndash Padratildeo Europeu
Common Criteria ndash ISO 15404
NIST 800 series
Melhores praacuteticas de seguranccedila de informaccedilotildees
Aderecircncia a Normas e padrotildees geralmente aceitos ndash GASSP
(Generally Accepted System Security Principles)
Adoccedilatildeo de Metodologias especiacuteficas para Seguranccedila da Informaccedilatildeo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Bacen
CVM
ANBID
C Civil
Basileacuteia II (RO)
HIPAA
SOx
outras normas e regulamentaccedilotildees
Atendimento a regulamentaccedilotildees
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Associaccedilotildees profissionais
ISSA
ISACA
ASIS
CSI
Grupos de trabalho
CB21 (Norma ABNT ISOIEC 17799)
Cerificaccedilotildees profissionais
CISSP
CISM
MCSO
CISA
CPP
Oportunidades de desenvolvimento do CSO
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
A Seguranccedila da Informaccedilatildeo natildeo deve ser um fim em si mesma
1 Melhor performance
2 Reduccedilatildeo de perdas
3 Compliance
4 Seguranccedila como agente habilitador de negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Capacitaccedilatildeo e
conscientizaccedilatildeo Monitoramento
Pessoas
Ferramentas e
mecanismos
bem configurados
Meacutetricas padrotildees
poliacuteticas e procedimentos Apoio da Alta
Administraccedilatildeo
Fatores Criacuteticos de Sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Endosso da Alta Administraccedilatildeo
Objetivo
Equipe
Independecircncia
Alinhamento ao Negoacutecio
Reporte Executivo Administraccedilatildeo e Controle
(Orccedilamento x meacutetricas de retorno da funccedilatildeo)
Comunicaccedilatildeo e Conscientizaccedilatildeo
Metodologia normas e modelos
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Outros fatores
Projetos
BAU (dia a dia)
Demonstrar o Sucesso
Benefiacutecios
Atuar mediante um plano
Coordenar atividades
Interagir melhor com deptos
Viabilizar continuidade
Integraccedilatildeo com o negoacutecio
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Princiacutepios que devem ser perseguidos
1 Proteger as pessoas e suas informaccedilotildees privadas (Funcionaacuterios
Clientes Fornecedores Acionistas Oacutergatildeos Reguladores)
2 Garantir Sistemas de Informaccedilatildeo integros e protegidos
3 Proteccedilatildeo perimetral da rede de computadores
4 Garantir soluccedilotildees tecnoloacutegicas seguras
5 Garantir soluccedilotildees de Continuidade de Negoacutecios
6 Promover conscientizaccedilatildeo contiacutenua sobre o tema
7 Proporcionar ambiente de negoacutecios alinhado agraves melhores praacuteticas
de Seguranccedila da Informaccedilatildeo internacionalmente aceitas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Funccedilotildees da Seguranccedila Digital
bull Proteccedilatildeo
bull Proteccedilatildeo do acervo ndash informaccedilatildeo e reputaccedilatildeo
bull Controle corporativo ndash obrigaccedilotildees legais
bull Viabilizaccedilatildeo de Negoacutecios
bull Competitividade e produtividade
bull Utilizar a Internet para atingir novos mercados
bull Estabelecer novas praacuteticas operacionais
bull e-Security estaacute baseado na credibilidade do usuaacuterio na empresa e nos serviccedilos que ela oferece
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Modelo de Seguranccedila Responsabilidade Civil do Executivo de
Negoacutecios (ISO 17799 12)
Responsabilidade Civil do CIO
(ISO 17799 12)
Conformidade com a
Lei e Regulamentaccedilatildeo
(ISO 17799 12)
Seguranccedila Fiacutesica
(ISO 17799 7)
Aplicaccedilatildeo Segura
(desenvolvimento
e produccedilatildeo)
(ISO 17799 10)
Seguranccedila da Infra-estrutura
(ISO 17799 589)
Conscientizaccedilatildeo e
Responsabilizaccedilatildeo dos
Usuaacuterios (ISO 17799 6)
Contratos com Fornecedores
(ISO 17799 4)
Continuidade do Negoacutecio
(ISO 17799 11)
Evidecircncias Forenses
(ISO 17799 12)
Monitoraccedilatildeo e Respostas a
Incidentes (ISO 17799 9)
Poliacutetica de Seguranccedila
(ISO 17799 3)
Infra-estrutura
Sistemas
Negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
O Modelo de Seguranccedila
Infra-estrutura
Sistemas
Negoacutecios
Clientes
Fornecedores
Agecircncias Reguladoras
Fazenda
Usuaacuterios
Judiciaacuterio
Melhores Praacuteticas
Integraccedilatildeo com o negoacutecio
Combate a Fraudes
Ambiente Heterogecircneo
Novas Tecnologias
Conformidade
Anaacutelise de Riscos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Perguntas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
RICARDO THEIL
Muito obrigado
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Novo Cenaacuterio Corporativo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Governanccedila Corporativa Gerenciamento do Risco Operacional
Conformidade
Qual a influecircncia da seguranccedila em TICs nesse novo cenaacuterio
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Novas necessidades regulatoacuterias
bull Gramm-Leach-Bliley Act (Privacidade das informaccedilotildees
financeiras) bull HIPAA - Health Insurance Portability and
Accountability Act (Privacidade das informaccedilotildees de sauacutede)
bull Sarbanes-Oxley (Retenccedilatildeo de informaccedilotildees contaacutebeis (principalmente))
bull Basileacuteia II (bancos)
bull Novo Coacutedigo Civil Brasileiro
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Novo papel do administrador de TI
Retenccedilatildeo de documentos eacute diferente
de backup
- faxes e-mails instant messages
- TODAS as versotildees de documentos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
- NBR ISOIEC 17799 e
- BS 7799-2
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
Seguranccedila em TICs
=
Tecnologia
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
Seguranccedila
=
Processo
Seguranccedila eacute processo tecnologia eacute ferramenta
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
O elo mais fraco da corrente eacute vocecirc
- apenas 48 das empresas americanas ministraram treinamento de
seguranccedila a seus empregados destas apenas 15 fizeram isso haacute menos de 6 meses
Fonte Human Firewall Security Awareness Index Survey 2003
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
BS 7799-2
bull Security policy
bull Organizational security
bull Asset classification and control
bull Personnel security
bull Physical and environmental security
bull Communications and operations management
bull Access control
bull Systems development and maintenance
bull Business continuity management
bull Compliance
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Papel da PESSOA na seguranccedila
bull Novas ameaccedilas surgem diariamente
bull Ferramentas teacutecnicas de seguranccedila com boa taxa de atualizaccedilatildeo
bull Grande investimento das corporaccedilotildees na seguranccedila da informaccedilatildeo
bull Pouco ou nenhum investimento em treinamento focado em seguranccedila
bull Todos satildeo responsaacuteveis ndash regras de conformidade
Sua casa tem fechadura e alarme certo
Mas vocecirc sabe usa-los
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Haacute algo de novo no Horizonte SIM Ciber Ataque e Sabotagem Digital
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Desastres naturais ou ataques fiacutesicos
X Ciber Ataque
bull Desastres naturais ou ataques fiacutesicos
- extensatildeo e dano imediato satildeo limitados
geograficamente
Ex Florianoacutepolis WTC
bull Cyber ataque
ndash natildeo localizado geograficamente
ndash pode ser dissipado com altiacutessima velocidade
ndash atinge todos e natildeo somente alvos especiacuteficos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Australian Sewage Attack
bull Marccedilo de 2000 ndash Brisbane Austraacutelia
bull Vitek Boden ndash consultor ndash sistema controlador de aacutegua
bull Marrochy Shire Council
bull Alterou as configuraccedilotildees das bombas das estaccedilotildees causando problemas em 2 estaccedilotildees
bull Boden foi capturado logo apoacutes o primeiro ataque com os equipamentos e programas que facilitaram o ataque que ateacute entatildeo era visto como um mal funcionamento do sistema
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Distributed denial of service attack bull Fevereiro de 2000
bull Anatomia
ndash Busca de hosts inseguros
ndash Instalaccedilatildeo de software para ataques tornado os servidores escravos do atacante
ndash Lanccedilamento do ataque remotamente ativando todos os sistemas simultaneamente
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Scaning Worms - The SQL Slammer attack bull Worms x viacuterus
ndash Viacuterus ficam latentes enquanto vocecirc natildeo faz alguma atividade para ativa-los
ndash Worms propaga-se automaticamente sem nenhuma atividade por parte do infectado
ndash Primeiro worm ndash 1989 ndash Morris worm
ndash Julho de 2001 ndash Code Red ndash 359000 sistemas ndash a cada 37 minutos dobrava sua capacidade de ataque
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Scaning Worms - The SQL Slammer attack
bull Janeiro de 2003 ndash SQL Slammer worm ndash Dobrava o numero de sistemas atacados a cada 85
segundos ndash Infectou 90 dos servidores vulneraacuteveis em apenas 10
minutos ndash Apenas 3 minutos apoacutes sua ativaccedilatildeo jaacute verificava os
servidores a uma velocidade de 55 milhotildees de verificaccedilotildees por segundo
ndash Infectou 75000 servidores com seacuterias consequumlecircncias bull 13000 ATM do Bank of America foram desabilitados bull O serviccedilo de emergecircncia 911 foi desabilitado afetando
680000 pessoas bull 14 corpos de bombeiros e 02 delegacias tambeacutem
foram afetados bull A Microsoft jaacute havia disponibilizado a correccedilatildeo a
6 meses
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Sabotagem Digital PDVSA
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Sabotagem Digital PDVSA
235
28
596
126 No petrolero
privado
Petrolero Puacuteblico
No petrolero
puacuteblico
Otros
-475 -112
-72 -10
D I
-236 -141
-27
Total -29
Queda do PIB Total 29 Primeiro Trimestre de 2003
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Norma NBR ISOIEC-17799 publicadas pela ABNT
CBK ndash Common Body of Knowledge do (ISC)2
TCSEC ndash Padratildeo US DoD (Orange Book)
ITSEC ndash Padratildeo Europeu
Common Criteria ndash ISO 15404
NIST 800 series
Melhores praacuteticas de seguranccedila de informaccedilotildees
Aderecircncia a Normas e padrotildees geralmente aceitos ndash GASSP
(Generally Accepted System Security Principles)
Adoccedilatildeo de Metodologias especiacuteficas para Seguranccedila da Informaccedilatildeo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Bacen
CVM
ANBID
C Civil
Basileacuteia II (RO)
HIPAA
SOx
outras normas e regulamentaccedilotildees
Atendimento a regulamentaccedilotildees
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Associaccedilotildees profissionais
ISSA
ISACA
ASIS
CSI
Grupos de trabalho
CB21 (Norma ABNT ISOIEC 17799)
Cerificaccedilotildees profissionais
CISSP
CISM
MCSO
CISA
CPP
Oportunidades de desenvolvimento do CSO
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
A Seguranccedila da Informaccedilatildeo natildeo deve ser um fim em si mesma
1 Melhor performance
2 Reduccedilatildeo de perdas
3 Compliance
4 Seguranccedila como agente habilitador de negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Capacitaccedilatildeo e
conscientizaccedilatildeo Monitoramento
Pessoas
Ferramentas e
mecanismos
bem configurados
Meacutetricas padrotildees
poliacuteticas e procedimentos Apoio da Alta
Administraccedilatildeo
Fatores Criacuteticos de Sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Endosso da Alta Administraccedilatildeo
Objetivo
Equipe
Independecircncia
Alinhamento ao Negoacutecio
Reporte Executivo Administraccedilatildeo e Controle
(Orccedilamento x meacutetricas de retorno da funccedilatildeo)
Comunicaccedilatildeo e Conscientizaccedilatildeo
Metodologia normas e modelos
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Outros fatores
Projetos
BAU (dia a dia)
Demonstrar o Sucesso
Benefiacutecios
Atuar mediante um plano
Coordenar atividades
Interagir melhor com deptos
Viabilizar continuidade
Integraccedilatildeo com o negoacutecio
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Princiacutepios que devem ser perseguidos
1 Proteger as pessoas e suas informaccedilotildees privadas (Funcionaacuterios
Clientes Fornecedores Acionistas Oacutergatildeos Reguladores)
2 Garantir Sistemas de Informaccedilatildeo integros e protegidos
3 Proteccedilatildeo perimetral da rede de computadores
4 Garantir soluccedilotildees tecnoloacutegicas seguras
5 Garantir soluccedilotildees de Continuidade de Negoacutecios
6 Promover conscientizaccedilatildeo contiacutenua sobre o tema
7 Proporcionar ambiente de negoacutecios alinhado agraves melhores praacuteticas
de Seguranccedila da Informaccedilatildeo internacionalmente aceitas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Funccedilotildees da Seguranccedila Digital
bull Proteccedilatildeo
bull Proteccedilatildeo do acervo ndash informaccedilatildeo e reputaccedilatildeo
bull Controle corporativo ndash obrigaccedilotildees legais
bull Viabilizaccedilatildeo de Negoacutecios
bull Competitividade e produtividade
bull Utilizar a Internet para atingir novos mercados
bull Estabelecer novas praacuteticas operacionais
bull e-Security estaacute baseado na credibilidade do usuaacuterio na empresa e nos serviccedilos que ela oferece
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Modelo de Seguranccedila Responsabilidade Civil do Executivo de
Negoacutecios (ISO 17799 12)
Responsabilidade Civil do CIO
(ISO 17799 12)
Conformidade com a
Lei e Regulamentaccedilatildeo
(ISO 17799 12)
Seguranccedila Fiacutesica
(ISO 17799 7)
Aplicaccedilatildeo Segura
(desenvolvimento
e produccedilatildeo)
(ISO 17799 10)
Seguranccedila da Infra-estrutura
(ISO 17799 589)
Conscientizaccedilatildeo e
Responsabilizaccedilatildeo dos
Usuaacuterios (ISO 17799 6)
Contratos com Fornecedores
(ISO 17799 4)
Continuidade do Negoacutecio
(ISO 17799 11)
Evidecircncias Forenses
(ISO 17799 12)
Monitoraccedilatildeo e Respostas a
Incidentes (ISO 17799 9)
Poliacutetica de Seguranccedila
(ISO 17799 3)
Infra-estrutura
Sistemas
Negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
O Modelo de Seguranccedila
Infra-estrutura
Sistemas
Negoacutecios
Clientes
Fornecedores
Agecircncias Reguladoras
Fazenda
Usuaacuterios
Judiciaacuterio
Melhores Praacuteticas
Integraccedilatildeo com o negoacutecio
Combate a Fraudes
Ambiente Heterogecircneo
Novas Tecnologias
Conformidade
Anaacutelise de Riscos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Perguntas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
RICARDO THEIL
Muito obrigado
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Governanccedila Corporativa Gerenciamento do Risco Operacional
Conformidade
Qual a influecircncia da seguranccedila em TICs nesse novo cenaacuterio
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Novas necessidades regulatoacuterias
bull Gramm-Leach-Bliley Act (Privacidade das informaccedilotildees
financeiras) bull HIPAA - Health Insurance Portability and
Accountability Act (Privacidade das informaccedilotildees de sauacutede)
bull Sarbanes-Oxley (Retenccedilatildeo de informaccedilotildees contaacutebeis (principalmente))
bull Basileacuteia II (bancos)
bull Novo Coacutedigo Civil Brasileiro
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Novo papel do administrador de TI
Retenccedilatildeo de documentos eacute diferente
de backup
- faxes e-mails instant messages
- TODAS as versotildees de documentos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
- NBR ISOIEC 17799 e
- BS 7799-2
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
Seguranccedila em TICs
=
Tecnologia
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
Seguranccedila
=
Processo
Seguranccedila eacute processo tecnologia eacute ferramenta
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
O elo mais fraco da corrente eacute vocecirc
- apenas 48 das empresas americanas ministraram treinamento de
seguranccedila a seus empregados destas apenas 15 fizeram isso haacute menos de 6 meses
Fonte Human Firewall Security Awareness Index Survey 2003
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
BS 7799-2
bull Security policy
bull Organizational security
bull Asset classification and control
bull Personnel security
bull Physical and environmental security
bull Communications and operations management
bull Access control
bull Systems development and maintenance
bull Business continuity management
bull Compliance
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Papel da PESSOA na seguranccedila
bull Novas ameaccedilas surgem diariamente
bull Ferramentas teacutecnicas de seguranccedila com boa taxa de atualizaccedilatildeo
bull Grande investimento das corporaccedilotildees na seguranccedila da informaccedilatildeo
bull Pouco ou nenhum investimento em treinamento focado em seguranccedila
bull Todos satildeo responsaacuteveis ndash regras de conformidade
Sua casa tem fechadura e alarme certo
Mas vocecirc sabe usa-los
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Haacute algo de novo no Horizonte SIM Ciber Ataque e Sabotagem Digital
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Desastres naturais ou ataques fiacutesicos
X Ciber Ataque
bull Desastres naturais ou ataques fiacutesicos
- extensatildeo e dano imediato satildeo limitados
geograficamente
Ex Florianoacutepolis WTC
bull Cyber ataque
ndash natildeo localizado geograficamente
ndash pode ser dissipado com altiacutessima velocidade
ndash atinge todos e natildeo somente alvos especiacuteficos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Australian Sewage Attack
bull Marccedilo de 2000 ndash Brisbane Austraacutelia
bull Vitek Boden ndash consultor ndash sistema controlador de aacutegua
bull Marrochy Shire Council
bull Alterou as configuraccedilotildees das bombas das estaccedilotildees causando problemas em 2 estaccedilotildees
bull Boden foi capturado logo apoacutes o primeiro ataque com os equipamentos e programas que facilitaram o ataque que ateacute entatildeo era visto como um mal funcionamento do sistema
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Distributed denial of service attack bull Fevereiro de 2000
bull Anatomia
ndash Busca de hosts inseguros
ndash Instalaccedilatildeo de software para ataques tornado os servidores escravos do atacante
ndash Lanccedilamento do ataque remotamente ativando todos os sistemas simultaneamente
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Scaning Worms - The SQL Slammer attack bull Worms x viacuterus
ndash Viacuterus ficam latentes enquanto vocecirc natildeo faz alguma atividade para ativa-los
ndash Worms propaga-se automaticamente sem nenhuma atividade por parte do infectado
ndash Primeiro worm ndash 1989 ndash Morris worm
ndash Julho de 2001 ndash Code Red ndash 359000 sistemas ndash a cada 37 minutos dobrava sua capacidade de ataque
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Scaning Worms - The SQL Slammer attack
bull Janeiro de 2003 ndash SQL Slammer worm ndash Dobrava o numero de sistemas atacados a cada 85
segundos ndash Infectou 90 dos servidores vulneraacuteveis em apenas 10
minutos ndash Apenas 3 minutos apoacutes sua ativaccedilatildeo jaacute verificava os
servidores a uma velocidade de 55 milhotildees de verificaccedilotildees por segundo
ndash Infectou 75000 servidores com seacuterias consequumlecircncias bull 13000 ATM do Bank of America foram desabilitados bull O serviccedilo de emergecircncia 911 foi desabilitado afetando
680000 pessoas bull 14 corpos de bombeiros e 02 delegacias tambeacutem
foram afetados bull A Microsoft jaacute havia disponibilizado a correccedilatildeo a
6 meses
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Sabotagem Digital PDVSA
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Sabotagem Digital PDVSA
235
28
596
126 No petrolero
privado
Petrolero Puacuteblico
No petrolero
puacuteblico
Otros
-475 -112
-72 -10
D I
-236 -141
-27
Total -29
Queda do PIB Total 29 Primeiro Trimestre de 2003
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Norma NBR ISOIEC-17799 publicadas pela ABNT
CBK ndash Common Body of Knowledge do (ISC)2
TCSEC ndash Padratildeo US DoD (Orange Book)
ITSEC ndash Padratildeo Europeu
Common Criteria ndash ISO 15404
NIST 800 series
Melhores praacuteticas de seguranccedila de informaccedilotildees
Aderecircncia a Normas e padrotildees geralmente aceitos ndash GASSP
(Generally Accepted System Security Principles)
Adoccedilatildeo de Metodologias especiacuteficas para Seguranccedila da Informaccedilatildeo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Bacen
CVM
ANBID
C Civil
Basileacuteia II (RO)
HIPAA
SOx
outras normas e regulamentaccedilotildees
Atendimento a regulamentaccedilotildees
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Associaccedilotildees profissionais
ISSA
ISACA
ASIS
CSI
Grupos de trabalho
CB21 (Norma ABNT ISOIEC 17799)
Cerificaccedilotildees profissionais
CISSP
CISM
MCSO
CISA
CPP
Oportunidades de desenvolvimento do CSO
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
A Seguranccedila da Informaccedilatildeo natildeo deve ser um fim em si mesma
1 Melhor performance
2 Reduccedilatildeo de perdas
3 Compliance
4 Seguranccedila como agente habilitador de negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Capacitaccedilatildeo e
conscientizaccedilatildeo Monitoramento
Pessoas
Ferramentas e
mecanismos
bem configurados
Meacutetricas padrotildees
poliacuteticas e procedimentos Apoio da Alta
Administraccedilatildeo
Fatores Criacuteticos de Sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Endosso da Alta Administraccedilatildeo
Objetivo
Equipe
Independecircncia
Alinhamento ao Negoacutecio
Reporte Executivo Administraccedilatildeo e Controle
(Orccedilamento x meacutetricas de retorno da funccedilatildeo)
Comunicaccedilatildeo e Conscientizaccedilatildeo
Metodologia normas e modelos
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Outros fatores
Projetos
BAU (dia a dia)
Demonstrar o Sucesso
Benefiacutecios
Atuar mediante um plano
Coordenar atividades
Interagir melhor com deptos
Viabilizar continuidade
Integraccedilatildeo com o negoacutecio
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Princiacutepios que devem ser perseguidos
1 Proteger as pessoas e suas informaccedilotildees privadas (Funcionaacuterios
Clientes Fornecedores Acionistas Oacutergatildeos Reguladores)
2 Garantir Sistemas de Informaccedilatildeo integros e protegidos
3 Proteccedilatildeo perimetral da rede de computadores
4 Garantir soluccedilotildees tecnoloacutegicas seguras
5 Garantir soluccedilotildees de Continuidade de Negoacutecios
6 Promover conscientizaccedilatildeo contiacutenua sobre o tema
7 Proporcionar ambiente de negoacutecios alinhado agraves melhores praacuteticas
de Seguranccedila da Informaccedilatildeo internacionalmente aceitas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Funccedilotildees da Seguranccedila Digital
bull Proteccedilatildeo
bull Proteccedilatildeo do acervo ndash informaccedilatildeo e reputaccedilatildeo
bull Controle corporativo ndash obrigaccedilotildees legais
bull Viabilizaccedilatildeo de Negoacutecios
bull Competitividade e produtividade
bull Utilizar a Internet para atingir novos mercados
bull Estabelecer novas praacuteticas operacionais
bull e-Security estaacute baseado na credibilidade do usuaacuterio na empresa e nos serviccedilos que ela oferece
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Modelo de Seguranccedila Responsabilidade Civil do Executivo de
Negoacutecios (ISO 17799 12)
Responsabilidade Civil do CIO
(ISO 17799 12)
Conformidade com a
Lei e Regulamentaccedilatildeo
(ISO 17799 12)
Seguranccedila Fiacutesica
(ISO 17799 7)
Aplicaccedilatildeo Segura
(desenvolvimento
e produccedilatildeo)
(ISO 17799 10)
Seguranccedila da Infra-estrutura
(ISO 17799 589)
Conscientizaccedilatildeo e
Responsabilizaccedilatildeo dos
Usuaacuterios (ISO 17799 6)
Contratos com Fornecedores
(ISO 17799 4)
Continuidade do Negoacutecio
(ISO 17799 11)
Evidecircncias Forenses
(ISO 17799 12)
Monitoraccedilatildeo e Respostas a
Incidentes (ISO 17799 9)
Poliacutetica de Seguranccedila
(ISO 17799 3)
Infra-estrutura
Sistemas
Negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
O Modelo de Seguranccedila
Infra-estrutura
Sistemas
Negoacutecios
Clientes
Fornecedores
Agecircncias Reguladoras
Fazenda
Usuaacuterios
Judiciaacuterio
Melhores Praacuteticas
Integraccedilatildeo com o negoacutecio
Combate a Fraudes
Ambiente Heterogecircneo
Novas Tecnologias
Conformidade
Anaacutelise de Riscos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Perguntas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
RICARDO THEIL
Muito obrigado
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Novas necessidades regulatoacuterias
bull Gramm-Leach-Bliley Act (Privacidade das informaccedilotildees
financeiras) bull HIPAA - Health Insurance Portability and
Accountability Act (Privacidade das informaccedilotildees de sauacutede)
bull Sarbanes-Oxley (Retenccedilatildeo de informaccedilotildees contaacutebeis (principalmente))
bull Basileacuteia II (bancos)
bull Novo Coacutedigo Civil Brasileiro
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Novo papel do administrador de TI
Retenccedilatildeo de documentos eacute diferente
de backup
- faxes e-mails instant messages
- TODAS as versotildees de documentos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
- NBR ISOIEC 17799 e
- BS 7799-2
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
Seguranccedila em TICs
=
Tecnologia
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
Seguranccedila
=
Processo
Seguranccedila eacute processo tecnologia eacute ferramenta
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
O elo mais fraco da corrente eacute vocecirc
- apenas 48 das empresas americanas ministraram treinamento de
seguranccedila a seus empregados destas apenas 15 fizeram isso haacute menos de 6 meses
Fonte Human Firewall Security Awareness Index Survey 2003
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
BS 7799-2
bull Security policy
bull Organizational security
bull Asset classification and control
bull Personnel security
bull Physical and environmental security
bull Communications and operations management
bull Access control
bull Systems development and maintenance
bull Business continuity management
bull Compliance
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Papel da PESSOA na seguranccedila
bull Novas ameaccedilas surgem diariamente
bull Ferramentas teacutecnicas de seguranccedila com boa taxa de atualizaccedilatildeo
bull Grande investimento das corporaccedilotildees na seguranccedila da informaccedilatildeo
bull Pouco ou nenhum investimento em treinamento focado em seguranccedila
bull Todos satildeo responsaacuteveis ndash regras de conformidade
Sua casa tem fechadura e alarme certo
Mas vocecirc sabe usa-los
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Haacute algo de novo no Horizonte SIM Ciber Ataque e Sabotagem Digital
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Desastres naturais ou ataques fiacutesicos
X Ciber Ataque
bull Desastres naturais ou ataques fiacutesicos
- extensatildeo e dano imediato satildeo limitados
geograficamente
Ex Florianoacutepolis WTC
bull Cyber ataque
ndash natildeo localizado geograficamente
ndash pode ser dissipado com altiacutessima velocidade
ndash atinge todos e natildeo somente alvos especiacuteficos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Australian Sewage Attack
bull Marccedilo de 2000 ndash Brisbane Austraacutelia
bull Vitek Boden ndash consultor ndash sistema controlador de aacutegua
bull Marrochy Shire Council
bull Alterou as configuraccedilotildees das bombas das estaccedilotildees causando problemas em 2 estaccedilotildees
bull Boden foi capturado logo apoacutes o primeiro ataque com os equipamentos e programas que facilitaram o ataque que ateacute entatildeo era visto como um mal funcionamento do sistema
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Distributed denial of service attack bull Fevereiro de 2000
bull Anatomia
ndash Busca de hosts inseguros
ndash Instalaccedilatildeo de software para ataques tornado os servidores escravos do atacante
ndash Lanccedilamento do ataque remotamente ativando todos os sistemas simultaneamente
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Scaning Worms - The SQL Slammer attack bull Worms x viacuterus
ndash Viacuterus ficam latentes enquanto vocecirc natildeo faz alguma atividade para ativa-los
ndash Worms propaga-se automaticamente sem nenhuma atividade por parte do infectado
ndash Primeiro worm ndash 1989 ndash Morris worm
ndash Julho de 2001 ndash Code Red ndash 359000 sistemas ndash a cada 37 minutos dobrava sua capacidade de ataque
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Scaning Worms - The SQL Slammer attack
bull Janeiro de 2003 ndash SQL Slammer worm ndash Dobrava o numero de sistemas atacados a cada 85
segundos ndash Infectou 90 dos servidores vulneraacuteveis em apenas 10
minutos ndash Apenas 3 minutos apoacutes sua ativaccedilatildeo jaacute verificava os
servidores a uma velocidade de 55 milhotildees de verificaccedilotildees por segundo
ndash Infectou 75000 servidores com seacuterias consequumlecircncias bull 13000 ATM do Bank of America foram desabilitados bull O serviccedilo de emergecircncia 911 foi desabilitado afetando
680000 pessoas bull 14 corpos de bombeiros e 02 delegacias tambeacutem
foram afetados bull A Microsoft jaacute havia disponibilizado a correccedilatildeo a
6 meses
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Sabotagem Digital PDVSA
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Sabotagem Digital PDVSA
235
28
596
126 No petrolero
privado
Petrolero Puacuteblico
No petrolero
puacuteblico
Otros
-475 -112
-72 -10
D I
-236 -141
-27
Total -29
Queda do PIB Total 29 Primeiro Trimestre de 2003
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Norma NBR ISOIEC-17799 publicadas pela ABNT
CBK ndash Common Body of Knowledge do (ISC)2
TCSEC ndash Padratildeo US DoD (Orange Book)
ITSEC ndash Padratildeo Europeu
Common Criteria ndash ISO 15404
NIST 800 series
Melhores praacuteticas de seguranccedila de informaccedilotildees
Aderecircncia a Normas e padrotildees geralmente aceitos ndash GASSP
(Generally Accepted System Security Principles)
Adoccedilatildeo de Metodologias especiacuteficas para Seguranccedila da Informaccedilatildeo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Bacen
CVM
ANBID
C Civil
Basileacuteia II (RO)
HIPAA
SOx
outras normas e regulamentaccedilotildees
Atendimento a regulamentaccedilotildees
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Associaccedilotildees profissionais
ISSA
ISACA
ASIS
CSI
Grupos de trabalho
CB21 (Norma ABNT ISOIEC 17799)
Cerificaccedilotildees profissionais
CISSP
CISM
MCSO
CISA
CPP
Oportunidades de desenvolvimento do CSO
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
A Seguranccedila da Informaccedilatildeo natildeo deve ser um fim em si mesma
1 Melhor performance
2 Reduccedilatildeo de perdas
3 Compliance
4 Seguranccedila como agente habilitador de negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Capacitaccedilatildeo e
conscientizaccedilatildeo Monitoramento
Pessoas
Ferramentas e
mecanismos
bem configurados
Meacutetricas padrotildees
poliacuteticas e procedimentos Apoio da Alta
Administraccedilatildeo
Fatores Criacuteticos de Sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Endosso da Alta Administraccedilatildeo
Objetivo
Equipe
Independecircncia
Alinhamento ao Negoacutecio
Reporte Executivo Administraccedilatildeo e Controle
(Orccedilamento x meacutetricas de retorno da funccedilatildeo)
Comunicaccedilatildeo e Conscientizaccedilatildeo
Metodologia normas e modelos
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Outros fatores
Projetos
BAU (dia a dia)
Demonstrar o Sucesso
Benefiacutecios
Atuar mediante um plano
Coordenar atividades
Interagir melhor com deptos
Viabilizar continuidade
Integraccedilatildeo com o negoacutecio
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Princiacutepios que devem ser perseguidos
1 Proteger as pessoas e suas informaccedilotildees privadas (Funcionaacuterios
Clientes Fornecedores Acionistas Oacutergatildeos Reguladores)
2 Garantir Sistemas de Informaccedilatildeo integros e protegidos
3 Proteccedilatildeo perimetral da rede de computadores
4 Garantir soluccedilotildees tecnoloacutegicas seguras
5 Garantir soluccedilotildees de Continuidade de Negoacutecios
6 Promover conscientizaccedilatildeo contiacutenua sobre o tema
7 Proporcionar ambiente de negoacutecios alinhado agraves melhores praacuteticas
de Seguranccedila da Informaccedilatildeo internacionalmente aceitas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Funccedilotildees da Seguranccedila Digital
bull Proteccedilatildeo
bull Proteccedilatildeo do acervo ndash informaccedilatildeo e reputaccedilatildeo
bull Controle corporativo ndash obrigaccedilotildees legais
bull Viabilizaccedilatildeo de Negoacutecios
bull Competitividade e produtividade
bull Utilizar a Internet para atingir novos mercados
bull Estabelecer novas praacuteticas operacionais
bull e-Security estaacute baseado na credibilidade do usuaacuterio na empresa e nos serviccedilos que ela oferece
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Modelo de Seguranccedila Responsabilidade Civil do Executivo de
Negoacutecios (ISO 17799 12)
Responsabilidade Civil do CIO
(ISO 17799 12)
Conformidade com a
Lei e Regulamentaccedilatildeo
(ISO 17799 12)
Seguranccedila Fiacutesica
(ISO 17799 7)
Aplicaccedilatildeo Segura
(desenvolvimento
e produccedilatildeo)
(ISO 17799 10)
Seguranccedila da Infra-estrutura
(ISO 17799 589)
Conscientizaccedilatildeo e
Responsabilizaccedilatildeo dos
Usuaacuterios (ISO 17799 6)
Contratos com Fornecedores
(ISO 17799 4)
Continuidade do Negoacutecio
(ISO 17799 11)
Evidecircncias Forenses
(ISO 17799 12)
Monitoraccedilatildeo e Respostas a
Incidentes (ISO 17799 9)
Poliacutetica de Seguranccedila
(ISO 17799 3)
Infra-estrutura
Sistemas
Negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
O Modelo de Seguranccedila
Infra-estrutura
Sistemas
Negoacutecios
Clientes
Fornecedores
Agecircncias Reguladoras
Fazenda
Usuaacuterios
Judiciaacuterio
Melhores Praacuteticas
Integraccedilatildeo com o negoacutecio
Combate a Fraudes
Ambiente Heterogecircneo
Novas Tecnologias
Conformidade
Anaacutelise de Riscos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Perguntas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
RICARDO THEIL
Muito obrigado
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Novo papel do administrador de TI
Retenccedilatildeo de documentos eacute diferente
de backup
- faxes e-mails instant messages
- TODAS as versotildees de documentos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
- NBR ISOIEC 17799 e
- BS 7799-2
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
Seguranccedila em TICs
=
Tecnologia
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
Seguranccedila
=
Processo
Seguranccedila eacute processo tecnologia eacute ferramenta
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
O elo mais fraco da corrente eacute vocecirc
- apenas 48 das empresas americanas ministraram treinamento de
seguranccedila a seus empregados destas apenas 15 fizeram isso haacute menos de 6 meses
Fonte Human Firewall Security Awareness Index Survey 2003
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
BS 7799-2
bull Security policy
bull Organizational security
bull Asset classification and control
bull Personnel security
bull Physical and environmental security
bull Communications and operations management
bull Access control
bull Systems development and maintenance
bull Business continuity management
bull Compliance
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Papel da PESSOA na seguranccedila
bull Novas ameaccedilas surgem diariamente
bull Ferramentas teacutecnicas de seguranccedila com boa taxa de atualizaccedilatildeo
bull Grande investimento das corporaccedilotildees na seguranccedila da informaccedilatildeo
bull Pouco ou nenhum investimento em treinamento focado em seguranccedila
bull Todos satildeo responsaacuteveis ndash regras de conformidade
Sua casa tem fechadura e alarme certo
Mas vocecirc sabe usa-los
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Haacute algo de novo no Horizonte SIM Ciber Ataque e Sabotagem Digital
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Desastres naturais ou ataques fiacutesicos
X Ciber Ataque
bull Desastres naturais ou ataques fiacutesicos
- extensatildeo e dano imediato satildeo limitados
geograficamente
Ex Florianoacutepolis WTC
bull Cyber ataque
ndash natildeo localizado geograficamente
ndash pode ser dissipado com altiacutessima velocidade
ndash atinge todos e natildeo somente alvos especiacuteficos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Australian Sewage Attack
bull Marccedilo de 2000 ndash Brisbane Austraacutelia
bull Vitek Boden ndash consultor ndash sistema controlador de aacutegua
bull Marrochy Shire Council
bull Alterou as configuraccedilotildees das bombas das estaccedilotildees causando problemas em 2 estaccedilotildees
bull Boden foi capturado logo apoacutes o primeiro ataque com os equipamentos e programas que facilitaram o ataque que ateacute entatildeo era visto como um mal funcionamento do sistema
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Distributed denial of service attack bull Fevereiro de 2000
bull Anatomia
ndash Busca de hosts inseguros
ndash Instalaccedilatildeo de software para ataques tornado os servidores escravos do atacante
ndash Lanccedilamento do ataque remotamente ativando todos os sistemas simultaneamente
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Scaning Worms - The SQL Slammer attack bull Worms x viacuterus
ndash Viacuterus ficam latentes enquanto vocecirc natildeo faz alguma atividade para ativa-los
ndash Worms propaga-se automaticamente sem nenhuma atividade por parte do infectado
ndash Primeiro worm ndash 1989 ndash Morris worm
ndash Julho de 2001 ndash Code Red ndash 359000 sistemas ndash a cada 37 minutos dobrava sua capacidade de ataque
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Scaning Worms - The SQL Slammer attack
bull Janeiro de 2003 ndash SQL Slammer worm ndash Dobrava o numero de sistemas atacados a cada 85
segundos ndash Infectou 90 dos servidores vulneraacuteveis em apenas 10
minutos ndash Apenas 3 minutos apoacutes sua ativaccedilatildeo jaacute verificava os
servidores a uma velocidade de 55 milhotildees de verificaccedilotildees por segundo
ndash Infectou 75000 servidores com seacuterias consequumlecircncias bull 13000 ATM do Bank of America foram desabilitados bull O serviccedilo de emergecircncia 911 foi desabilitado afetando
680000 pessoas bull 14 corpos de bombeiros e 02 delegacias tambeacutem
foram afetados bull A Microsoft jaacute havia disponibilizado a correccedilatildeo a
6 meses
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Sabotagem Digital PDVSA
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Sabotagem Digital PDVSA
235
28
596
126 No petrolero
privado
Petrolero Puacuteblico
No petrolero
puacuteblico
Otros
-475 -112
-72 -10
D I
-236 -141
-27
Total -29
Queda do PIB Total 29 Primeiro Trimestre de 2003
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Norma NBR ISOIEC-17799 publicadas pela ABNT
CBK ndash Common Body of Knowledge do (ISC)2
TCSEC ndash Padratildeo US DoD (Orange Book)
ITSEC ndash Padratildeo Europeu
Common Criteria ndash ISO 15404
NIST 800 series
Melhores praacuteticas de seguranccedila de informaccedilotildees
Aderecircncia a Normas e padrotildees geralmente aceitos ndash GASSP
(Generally Accepted System Security Principles)
Adoccedilatildeo de Metodologias especiacuteficas para Seguranccedila da Informaccedilatildeo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Bacen
CVM
ANBID
C Civil
Basileacuteia II (RO)
HIPAA
SOx
outras normas e regulamentaccedilotildees
Atendimento a regulamentaccedilotildees
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Associaccedilotildees profissionais
ISSA
ISACA
ASIS
CSI
Grupos de trabalho
CB21 (Norma ABNT ISOIEC 17799)
Cerificaccedilotildees profissionais
CISSP
CISM
MCSO
CISA
CPP
Oportunidades de desenvolvimento do CSO
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
A Seguranccedila da Informaccedilatildeo natildeo deve ser um fim em si mesma
1 Melhor performance
2 Reduccedilatildeo de perdas
3 Compliance
4 Seguranccedila como agente habilitador de negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Capacitaccedilatildeo e
conscientizaccedilatildeo Monitoramento
Pessoas
Ferramentas e
mecanismos
bem configurados
Meacutetricas padrotildees
poliacuteticas e procedimentos Apoio da Alta
Administraccedilatildeo
Fatores Criacuteticos de Sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Endosso da Alta Administraccedilatildeo
Objetivo
Equipe
Independecircncia
Alinhamento ao Negoacutecio
Reporte Executivo Administraccedilatildeo e Controle
(Orccedilamento x meacutetricas de retorno da funccedilatildeo)
Comunicaccedilatildeo e Conscientizaccedilatildeo
Metodologia normas e modelos
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Outros fatores
Projetos
BAU (dia a dia)
Demonstrar o Sucesso
Benefiacutecios
Atuar mediante um plano
Coordenar atividades
Interagir melhor com deptos
Viabilizar continuidade
Integraccedilatildeo com o negoacutecio
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Princiacutepios que devem ser perseguidos
1 Proteger as pessoas e suas informaccedilotildees privadas (Funcionaacuterios
Clientes Fornecedores Acionistas Oacutergatildeos Reguladores)
2 Garantir Sistemas de Informaccedilatildeo integros e protegidos
3 Proteccedilatildeo perimetral da rede de computadores
4 Garantir soluccedilotildees tecnoloacutegicas seguras
5 Garantir soluccedilotildees de Continuidade de Negoacutecios
6 Promover conscientizaccedilatildeo contiacutenua sobre o tema
7 Proporcionar ambiente de negoacutecios alinhado agraves melhores praacuteticas
de Seguranccedila da Informaccedilatildeo internacionalmente aceitas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Funccedilotildees da Seguranccedila Digital
bull Proteccedilatildeo
bull Proteccedilatildeo do acervo ndash informaccedilatildeo e reputaccedilatildeo
bull Controle corporativo ndash obrigaccedilotildees legais
bull Viabilizaccedilatildeo de Negoacutecios
bull Competitividade e produtividade
bull Utilizar a Internet para atingir novos mercados
bull Estabelecer novas praacuteticas operacionais
bull e-Security estaacute baseado na credibilidade do usuaacuterio na empresa e nos serviccedilos que ela oferece
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Modelo de Seguranccedila Responsabilidade Civil do Executivo de
Negoacutecios (ISO 17799 12)
Responsabilidade Civil do CIO
(ISO 17799 12)
Conformidade com a
Lei e Regulamentaccedilatildeo
(ISO 17799 12)
Seguranccedila Fiacutesica
(ISO 17799 7)
Aplicaccedilatildeo Segura
(desenvolvimento
e produccedilatildeo)
(ISO 17799 10)
Seguranccedila da Infra-estrutura
(ISO 17799 589)
Conscientizaccedilatildeo e
Responsabilizaccedilatildeo dos
Usuaacuterios (ISO 17799 6)
Contratos com Fornecedores
(ISO 17799 4)
Continuidade do Negoacutecio
(ISO 17799 11)
Evidecircncias Forenses
(ISO 17799 12)
Monitoraccedilatildeo e Respostas a
Incidentes (ISO 17799 9)
Poliacutetica de Seguranccedila
(ISO 17799 3)
Infra-estrutura
Sistemas
Negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
O Modelo de Seguranccedila
Infra-estrutura
Sistemas
Negoacutecios
Clientes
Fornecedores
Agecircncias Reguladoras
Fazenda
Usuaacuterios
Judiciaacuterio
Melhores Praacuteticas
Integraccedilatildeo com o negoacutecio
Combate a Fraudes
Ambiente Heterogecircneo
Novas Tecnologias
Conformidade
Anaacutelise de Riscos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Perguntas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
RICARDO THEIL
Muito obrigado
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
- NBR ISOIEC 17799 e
- BS 7799-2
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
Seguranccedila em TICs
=
Tecnologia
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
Seguranccedila
=
Processo
Seguranccedila eacute processo tecnologia eacute ferramenta
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
O elo mais fraco da corrente eacute vocecirc
- apenas 48 das empresas americanas ministraram treinamento de
seguranccedila a seus empregados destas apenas 15 fizeram isso haacute menos de 6 meses
Fonte Human Firewall Security Awareness Index Survey 2003
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
BS 7799-2
bull Security policy
bull Organizational security
bull Asset classification and control
bull Personnel security
bull Physical and environmental security
bull Communications and operations management
bull Access control
bull Systems development and maintenance
bull Business continuity management
bull Compliance
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Papel da PESSOA na seguranccedila
bull Novas ameaccedilas surgem diariamente
bull Ferramentas teacutecnicas de seguranccedila com boa taxa de atualizaccedilatildeo
bull Grande investimento das corporaccedilotildees na seguranccedila da informaccedilatildeo
bull Pouco ou nenhum investimento em treinamento focado em seguranccedila
bull Todos satildeo responsaacuteveis ndash regras de conformidade
Sua casa tem fechadura e alarme certo
Mas vocecirc sabe usa-los
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Haacute algo de novo no Horizonte SIM Ciber Ataque e Sabotagem Digital
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Desastres naturais ou ataques fiacutesicos
X Ciber Ataque
bull Desastres naturais ou ataques fiacutesicos
- extensatildeo e dano imediato satildeo limitados
geograficamente
Ex Florianoacutepolis WTC
bull Cyber ataque
ndash natildeo localizado geograficamente
ndash pode ser dissipado com altiacutessima velocidade
ndash atinge todos e natildeo somente alvos especiacuteficos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Australian Sewage Attack
bull Marccedilo de 2000 ndash Brisbane Austraacutelia
bull Vitek Boden ndash consultor ndash sistema controlador de aacutegua
bull Marrochy Shire Council
bull Alterou as configuraccedilotildees das bombas das estaccedilotildees causando problemas em 2 estaccedilotildees
bull Boden foi capturado logo apoacutes o primeiro ataque com os equipamentos e programas que facilitaram o ataque que ateacute entatildeo era visto como um mal funcionamento do sistema
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Distributed denial of service attack bull Fevereiro de 2000
bull Anatomia
ndash Busca de hosts inseguros
ndash Instalaccedilatildeo de software para ataques tornado os servidores escravos do atacante
ndash Lanccedilamento do ataque remotamente ativando todos os sistemas simultaneamente
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Scaning Worms - The SQL Slammer attack bull Worms x viacuterus
ndash Viacuterus ficam latentes enquanto vocecirc natildeo faz alguma atividade para ativa-los
ndash Worms propaga-se automaticamente sem nenhuma atividade por parte do infectado
ndash Primeiro worm ndash 1989 ndash Morris worm
ndash Julho de 2001 ndash Code Red ndash 359000 sistemas ndash a cada 37 minutos dobrava sua capacidade de ataque
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Scaning Worms - The SQL Slammer attack
bull Janeiro de 2003 ndash SQL Slammer worm ndash Dobrava o numero de sistemas atacados a cada 85
segundos ndash Infectou 90 dos servidores vulneraacuteveis em apenas 10
minutos ndash Apenas 3 minutos apoacutes sua ativaccedilatildeo jaacute verificava os
servidores a uma velocidade de 55 milhotildees de verificaccedilotildees por segundo
ndash Infectou 75000 servidores com seacuterias consequumlecircncias bull 13000 ATM do Bank of America foram desabilitados bull O serviccedilo de emergecircncia 911 foi desabilitado afetando
680000 pessoas bull 14 corpos de bombeiros e 02 delegacias tambeacutem
foram afetados bull A Microsoft jaacute havia disponibilizado a correccedilatildeo a
6 meses
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Sabotagem Digital PDVSA
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Sabotagem Digital PDVSA
235
28
596
126 No petrolero
privado
Petrolero Puacuteblico
No petrolero
puacuteblico
Otros
-475 -112
-72 -10
D I
-236 -141
-27
Total -29
Queda do PIB Total 29 Primeiro Trimestre de 2003
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Norma NBR ISOIEC-17799 publicadas pela ABNT
CBK ndash Common Body of Knowledge do (ISC)2
TCSEC ndash Padratildeo US DoD (Orange Book)
ITSEC ndash Padratildeo Europeu
Common Criteria ndash ISO 15404
NIST 800 series
Melhores praacuteticas de seguranccedila de informaccedilotildees
Aderecircncia a Normas e padrotildees geralmente aceitos ndash GASSP
(Generally Accepted System Security Principles)
Adoccedilatildeo de Metodologias especiacuteficas para Seguranccedila da Informaccedilatildeo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Bacen
CVM
ANBID
C Civil
Basileacuteia II (RO)
HIPAA
SOx
outras normas e regulamentaccedilotildees
Atendimento a regulamentaccedilotildees
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Associaccedilotildees profissionais
ISSA
ISACA
ASIS
CSI
Grupos de trabalho
CB21 (Norma ABNT ISOIEC 17799)
Cerificaccedilotildees profissionais
CISSP
CISM
MCSO
CISA
CPP
Oportunidades de desenvolvimento do CSO
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
A Seguranccedila da Informaccedilatildeo natildeo deve ser um fim em si mesma
1 Melhor performance
2 Reduccedilatildeo de perdas
3 Compliance
4 Seguranccedila como agente habilitador de negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Capacitaccedilatildeo e
conscientizaccedilatildeo Monitoramento
Pessoas
Ferramentas e
mecanismos
bem configurados
Meacutetricas padrotildees
poliacuteticas e procedimentos Apoio da Alta
Administraccedilatildeo
Fatores Criacuteticos de Sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Endosso da Alta Administraccedilatildeo
Objetivo
Equipe
Independecircncia
Alinhamento ao Negoacutecio
Reporte Executivo Administraccedilatildeo e Controle
(Orccedilamento x meacutetricas de retorno da funccedilatildeo)
Comunicaccedilatildeo e Conscientizaccedilatildeo
Metodologia normas e modelos
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Outros fatores
Projetos
BAU (dia a dia)
Demonstrar o Sucesso
Benefiacutecios
Atuar mediante um plano
Coordenar atividades
Interagir melhor com deptos
Viabilizar continuidade
Integraccedilatildeo com o negoacutecio
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Princiacutepios que devem ser perseguidos
1 Proteger as pessoas e suas informaccedilotildees privadas (Funcionaacuterios
Clientes Fornecedores Acionistas Oacutergatildeos Reguladores)
2 Garantir Sistemas de Informaccedilatildeo integros e protegidos
3 Proteccedilatildeo perimetral da rede de computadores
4 Garantir soluccedilotildees tecnoloacutegicas seguras
5 Garantir soluccedilotildees de Continuidade de Negoacutecios
6 Promover conscientizaccedilatildeo contiacutenua sobre o tema
7 Proporcionar ambiente de negoacutecios alinhado agraves melhores praacuteticas
de Seguranccedila da Informaccedilatildeo internacionalmente aceitas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Funccedilotildees da Seguranccedila Digital
bull Proteccedilatildeo
bull Proteccedilatildeo do acervo ndash informaccedilatildeo e reputaccedilatildeo
bull Controle corporativo ndash obrigaccedilotildees legais
bull Viabilizaccedilatildeo de Negoacutecios
bull Competitividade e produtividade
bull Utilizar a Internet para atingir novos mercados
bull Estabelecer novas praacuteticas operacionais
bull e-Security estaacute baseado na credibilidade do usuaacuterio na empresa e nos serviccedilos que ela oferece
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Modelo de Seguranccedila Responsabilidade Civil do Executivo de
Negoacutecios (ISO 17799 12)
Responsabilidade Civil do CIO
(ISO 17799 12)
Conformidade com a
Lei e Regulamentaccedilatildeo
(ISO 17799 12)
Seguranccedila Fiacutesica
(ISO 17799 7)
Aplicaccedilatildeo Segura
(desenvolvimento
e produccedilatildeo)
(ISO 17799 10)
Seguranccedila da Infra-estrutura
(ISO 17799 589)
Conscientizaccedilatildeo e
Responsabilizaccedilatildeo dos
Usuaacuterios (ISO 17799 6)
Contratos com Fornecedores
(ISO 17799 4)
Continuidade do Negoacutecio
(ISO 17799 11)
Evidecircncias Forenses
(ISO 17799 12)
Monitoraccedilatildeo e Respostas a
Incidentes (ISO 17799 9)
Poliacutetica de Seguranccedila
(ISO 17799 3)
Infra-estrutura
Sistemas
Negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
O Modelo de Seguranccedila
Infra-estrutura
Sistemas
Negoacutecios
Clientes
Fornecedores
Agecircncias Reguladoras
Fazenda
Usuaacuterios
Judiciaacuterio
Melhores Praacuteticas
Integraccedilatildeo com o negoacutecio
Combate a Fraudes
Ambiente Heterogecircneo
Novas Tecnologias
Conformidade
Anaacutelise de Riscos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Perguntas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
RICARDO THEIL
Muito obrigado
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
Seguranccedila em TICs
=
Tecnologia
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
Seguranccedila
=
Processo
Seguranccedila eacute processo tecnologia eacute ferramenta
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
O elo mais fraco da corrente eacute vocecirc
- apenas 48 das empresas americanas ministraram treinamento de
seguranccedila a seus empregados destas apenas 15 fizeram isso haacute menos de 6 meses
Fonte Human Firewall Security Awareness Index Survey 2003
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
BS 7799-2
bull Security policy
bull Organizational security
bull Asset classification and control
bull Personnel security
bull Physical and environmental security
bull Communications and operations management
bull Access control
bull Systems development and maintenance
bull Business continuity management
bull Compliance
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Papel da PESSOA na seguranccedila
bull Novas ameaccedilas surgem diariamente
bull Ferramentas teacutecnicas de seguranccedila com boa taxa de atualizaccedilatildeo
bull Grande investimento das corporaccedilotildees na seguranccedila da informaccedilatildeo
bull Pouco ou nenhum investimento em treinamento focado em seguranccedila
bull Todos satildeo responsaacuteveis ndash regras de conformidade
Sua casa tem fechadura e alarme certo
Mas vocecirc sabe usa-los
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Haacute algo de novo no Horizonte SIM Ciber Ataque e Sabotagem Digital
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Desastres naturais ou ataques fiacutesicos
X Ciber Ataque
bull Desastres naturais ou ataques fiacutesicos
- extensatildeo e dano imediato satildeo limitados
geograficamente
Ex Florianoacutepolis WTC
bull Cyber ataque
ndash natildeo localizado geograficamente
ndash pode ser dissipado com altiacutessima velocidade
ndash atinge todos e natildeo somente alvos especiacuteficos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Australian Sewage Attack
bull Marccedilo de 2000 ndash Brisbane Austraacutelia
bull Vitek Boden ndash consultor ndash sistema controlador de aacutegua
bull Marrochy Shire Council
bull Alterou as configuraccedilotildees das bombas das estaccedilotildees causando problemas em 2 estaccedilotildees
bull Boden foi capturado logo apoacutes o primeiro ataque com os equipamentos e programas que facilitaram o ataque que ateacute entatildeo era visto como um mal funcionamento do sistema
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Distributed denial of service attack bull Fevereiro de 2000
bull Anatomia
ndash Busca de hosts inseguros
ndash Instalaccedilatildeo de software para ataques tornado os servidores escravos do atacante
ndash Lanccedilamento do ataque remotamente ativando todos os sistemas simultaneamente
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Scaning Worms - The SQL Slammer attack bull Worms x viacuterus
ndash Viacuterus ficam latentes enquanto vocecirc natildeo faz alguma atividade para ativa-los
ndash Worms propaga-se automaticamente sem nenhuma atividade por parte do infectado
ndash Primeiro worm ndash 1989 ndash Morris worm
ndash Julho de 2001 ndash Code Red ndash 359000 sistemas ndash a cada 37 minutos dobrava sua capacidade de ataque
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Scaning Worms - The SQL Slammer attack
bull Janeiro de 2003 ndash SQL Slammer worm ndash Dobrava o numero de sistemas atacados a cada 85
segundos ndash Infectou 90 dos servidores vulneraacuteveis em apenas 10
minutos ndash Apenas 3 minutos apoacutes sua ativaccedilatildeo jaacute verificava os
servidores a uma velocidade de 55 milhotildees de verificaccedilotildees por segundo
ndash Infectou 75000 servidores com seacuterias consequumlecircncias bull 13000 ATM do Bank of America foram desabilitados bull O serviccedilo de emergecircncia 911 foi desabilitado afetando
680000 pessoas bull 14 corpos de bombeiros e 02 delegacias tambeacutem
foram afetados bull A Microsoft jaacute havia disponibilizado a correccedilatildeo a
6 meses
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Sabotagem Digital PDVSA
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Sabotagem Digital PDVSA
235
28
596
126 No petrolero
privado
Petrolero Puacuteblico
No petrolero
puacuteblico
Otros
-475 -112
-72 -10
D I
-236 -141
-27
Total -29
Queda do PIB Total 29 Primeiro Trimestre de 2003
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Norma NBR ISOIEC-17799 publicadas pela ABNT
CBK ndash Common Body of Knowledge do (ISC)2
TCSEC ndash Padratildeo US DoD (Orange Book)
ITSEC ndash Padratildeo Europeu
Common Criteria ndash ISO 15404
NIST 800 series
Melhores praacuteticas de seguranccedila de informaccedilotildees
Aderecircncia a Normas e padrotildees geralmente aceitos ndash GASSP
(Generally Accepted System Security Principles)
Adoccedilatildeo de Metodologias especiacuteficas para Seguranccedila da Informaccedilatildeo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Bacen
CVM
ANBID
C Civil
Basileacuteia II (RO)
HIPAA
SOx
outras normas e regulamentaccedilotildees
Atendimento a regulamentaccedilotildees
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Associaccedilotildees profissionais
ISSA
ISACA
ASIS
CSI
Grupos de trabalho
CB21 (Norma ABNT ISOIEC 17799)
Cerificaccedilotildees profissionais
CISSP
CISM
MCSO
CISA
CPP
Oportunidades de desenvolvimento do CSO
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
A Seguranccedila da Informaccedilatildeo natildeo deve ser um fim em si mesma
1 Melhor performance
2 Reduccedilatildeo de perdas
3 Compliance
4 Seguranccedila como agente habilitador de negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Capacitaccedilatildeo e
conscientizaccedilatildeo Monitoramento
Pessoas
Ferramentas e
mecanismos
bem configurados
Meacutetricas padrotildees
poliacuteticas e procedimentos Apoio da Alta
Administraccedilatildeo
Fatores Criacuteticos de Sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Endosso da Alta Administraccedilatildeo
Objetivo
Equipe
Independecircncia
Alinhamento ao Negoacutecio
Reporte Executivo Administraccedilatildeo e Controle
(Orccedilamento x meacutetricas de retorno da funccedilatildeo)
Comunicaccedilatildeo e Conscientizaccedilatildeo
Metodologia normas e modelos
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Outros fatores
Projetos
BAU (dia a dia)
Demonstrar o Sucesso
Benefiacutecios
Atuar mediante um plano
Coordenar atividades
Interagir melhor com deptos
Viabilizar continuidade
Integraccedilatildeo com o negoacutecio
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Princiacutepios que devem ser perseguidos
1 Proteger as pessoas e suas informaccedilotildees privadas (Funcionaacuterios
Clientes Fornecedores Acionistas Oacutergatildeos Reguladores)
2 Garantir Sistemas de Informaccedilatildeo integros e protegidos
3 Proteccedilatildeo perimetral da rede de computadores
4 Garantir soluccedilotildees tecnoloacutegicas seguras
5 Garantir soluccedilotildees de Continuidade de Negoacutecios
6 Promover conscientizaccedilatildeo contiacutenua sobre o tema
7 Proporcionar ambiente de negoacutecios alinhado agraves melhores praacuteticas
de Seguranccedila da Informaccedilatildeo internacionalmente aceitas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Funccedilotildees da Seguranccedila Digital
bull Proteccedilatildeo
bull Proteccedilatildeo do acervo ndash informaccedilatildeo e reputaccedilatildeo
bull Controle corporativo ndash obrigaccedilotildees legais
bull Viabilizaccedilatildeo de Negoacutecios
bull Competitividade e produtividade
bull Utilizar a Internet para atingir novos mercados
bull Estabelecer novas praacuteticas operacionais
bull e-Security estaacute baseado na credibilidade do usuaacuterio na empresa e nos serviccedilos que ela oferece
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Modelo de Seguranccedila Responsabilidade Civil do Executivo de
Negoacutecios (ISO 17799 12)
Responsabilidade Civil do CIO
(ISO 17799 12)
Conformidade com a
Lei e Regulamentaccedilatildeo
(ISO 17799 12)
Seguranccedila Fiacutesica
(ISO 17799 7)
Aplicaccedilatildeo Segura
(desenvolvimento
e produccedilatildeo)
(ISO 17799 10)
Seguranccedila da Infra-estrutura
(ISO 17799 589)
Conscientizaccedilatildeo e
Responsabilizaccedilatildeo dos
Usuaacuterios (ISO 17799 6)
Contratos com Fornecedores
(ISO 17799 4)
Continuidade do Negoacutecio
(ISO 17799 11)
Evidecircncias Forenses
(ISO 17799 12)
Monitoraccedilatildeo e Respostas a
Incidentes (ISO 17799 9)
Poliacutetica de Seguranccedila
(ISO 17799 3)
Infra-estrutura
Sistemas
Negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
O Modelo de Seguranccedila
Infra-estrutura
Sistemas
Negoacutecios
Clientes
Fornecedores
Agecircncias Reguladoras
Fazenda
Usuaacuterios
Judiciaacuterio
Melhores Praacuteticas
Integraccedilatildeo com o negoacutecio
Combate a Fraudes
Ambiente Heterogecircneo
Novas Tecnologias
Conformidade
Anaacutelise de Riscos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Perguntas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
RICARDO THEIL
Muito obrigado
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
Seguranccedila
=
Processo
Seguranccedila eacute processo tecnologia eacute ferramenta
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
O elo mais fraco da corrente eacute vocecirc
- apenas 48 das empresas americanas ministraram treinamento de
seguranccedila a seus empregados destas apenas 15 fizeram isso haacute menos de 6 meses
Fonte Human Firewall Security Awareness Index Survey 2003
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
BS 7799-2
bull Security policy
bull Organizational security
bull Asset classification and control
bull Personnel security
bull Physical and environmental security
bull Communications and operations management
bull Access control
bull Systems development and maintenance
bull Business continuity management
bull Compliance
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Papel da PESSOA na seguranccedila
bull Novas ameaccedilas surgem diariamente
bull Ferramentas teacutecnicas de seguranccedila com boa taxa de atualizaccedilatildeo
bull Grande investimento das corporaccedilotildees na seguranccedila da informaccedilatildeo
bull Pouco ou nenhum investimento em treinamento focado em seguranccedila
bull Todos satildeo responsaacuteveis ndash regras de conformidade
Sua casa tem fechadura e alarme certo
Mas vocecirc sabe usa-los
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Haacute algo de novo no Horizonte SIM Ciber Ataque e Sabotagem Digital
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Desastres naturais ou ataques fiacutesicos
X Ciber Ataque
bull Desastres naturais ou ataques fiacutesicos
- extensatildeo e dano imediato satildeo limitados
geograficamente
Ex Florianoacutepolis WTC
bull Cyber ataque
ndash natildeo localizado geograficamente
ndash pode ser dissipado com altiacutessima velocidade
ndash atinge todos e natildeo somente alvos especiacuteficos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Australian Sewage Attack
bull Marccedilo de 2000 ndash Brisbane Austraacutelia
bull Vitek Boden ndash consultor ndash sistema controlador de aacutegua
bull Marrochy Shire Council
bull Alterou as configuraccedilotildees das bombas das estaccedilotildees causando problemas em 2 estaccedilotildees
bull Boden foi capturado logo apoacutes o primeiro ataque com os equipamentos e programas que facilitaram o ataque que ateacute entatildeo era visto como um mal funcionamento do sistema
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Distributed denial of service attack bull Fevereiro de 2000
bull Anatomia
ndash Busca de hosts inseguros
ndash Instalaccedilatildeo de software para ataques tornado os servidores escravos do atacante
ndash Lanccedilamento do ataque remotamente ativando todos os sistemas simultaneamente
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Scaning Worms - The SQL Slammer attack bull Worms x viacuterus
ndash Viacuterus ficam latentes enquanto vocecirc natildeo faz alguma atividade para ativa-los
ndash Worms propaga-se automaticamente sem nenhuma atividade por parte do infectado
ndash Primeiro worm ndash 1989 ndash Morris worm
ndash Julho de 2001 ndash Code Red ndash 359000 sistemas ndash a cada 37 minutos dobrava sua capacidade de ataque
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Scaning Worms - The SQL Slammer attack
bull Janeiro de 2003 ndash SQL Slammer worm ndash Dobrava o numero de sistemas atacados a cada 85
segundos ndash Infectou 90 dos servidores vulneraacuteveis em apenas 10
minutos ndash Apenas 3 minutos apoacutes sua ativaccedilatildeo jaacute verificava os
servidores a uma velocidade de 55 milhotildees de verificaccedilotildees por segundo
ndash Infectou 75000 servidores com seacuterias consequumlecircncias bull 13000 ATM do Bank of America foram desabilitados bull O serviccedilo de emergecircncia 911 foi desabilitado afetando
680000 pessoas bull 14 corpos de bombeiros e 02 delegacias tambeacutem
foram afetados bull A Microsoft jaacute havia disponibilizado a correccedilatildeo a
6 meses
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Sabotagem Digital PDVSA
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Sabotagem Digital PDVSA
235
28
596
126 No petrolero
privado
Petrolero Puacuteblico
No petrolero
puacuteblico
Otros
-475 -112
-72 -10
D I
-236 -141
-27
Total -29
Queda do PIB Total 29 Primeiro Trimestre de 2003
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Norma NBR ISOIEC-17799 publicadas pela ABNT
CBK ndash Common Body of Knowledge do (ISC)2
TCSEC ndash Padratildeo US DoD (Orange Book)
ITSEC ndash Padratildeo Europeu
Common Criteria ndash ISO 15404
NIST 800 series
Melhores praacuteticas de seguranccedila de informaccedilotildees
Aderecircncia a Normas e padrotildees geralmente aceitos ndash GASSP
(Generally Accepted System Security Principles)
Adoccedilatildeo de Metodologias especiacuteficas para Seguranccedila da Informaccedilatildeo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Bacen
CVM
ANBID
C Civil
Basileacuteia II (RO)
HIPAA
SOx
outras normas e regulamentaccedilotildees
Atendimento a regulamentaccedilotildees
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Associaccedilotildees profissionais
ISSA
ISACA
ASIS
CSI
Grupos de trabalho
CB21 (Norma ABNT ISOIEC 17799)
Cerificaccedilotildees profissionais
CISSP
CISM
MCSO
CISA
CPP
Oportunidades de desenvolvimento do CSO
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
A Seguranccedila da Informaccedilatildeo natildeo deve ser um fim em si mesma
1 Melhor performance
2 Reduccedilatildeo de perdas
3 Compliance
4 Seguranccedila como agente habilitador de negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Capacitaccedilatildeo e
conscientizaccedilatildeo Monitoramento
Pessoas
Ferramentas e
mecanismos
bem configurados
Meacutetricas padrotildees
poliacuteticas e procedimentos Apoio da Alta
Administraccedilatildeo
Fatores Criacuteticos de Sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Endosso da Alta Administraccedilatildeo
Objetivo
Equipe
Independecircncia
Alinhamento ao Negoacutecio
Reporte Executivo Administraccedilatildeo e Controle
(Orccedilamento x meacutetricas de retorno da funccedilatildeo)
Comunicaccedilatildeo e Conscientizaccedilatildeo
Metodologia normas e modelos
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Outros fatores
Projetos
BAU (dia a dia)
Demonstrar o Sucesso
Benefiacutecios
Atuar mediante um plano
Coordenar atividades
Interagir melhor com deptos
Viabilizar continuidade
Integraccedilatildeo com o negoacutecio
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Princiacutepios que devem ser perseguidos
1 Proteger as pessoas e suas informaccedilotildees privadas (Funcionaacuterios
Clientes Fornecedores Acionistas Oacutergatildeos Reguladores)
2 Garantir Sistemas de Informaccedilatildeo integros e protegidos
3 Proteccedilatildeo perimetral da rede de computadores
4 Garantir soluccedilotildees tecnoloacutegicas seguras
5 Garantir soluccedilotildees de Continuidade de Negoacutecios
6 Promover conscientizaccedilatildeo contiacutenua sobre o tema
7 Proporcionar ambiente de negoacutecios alinhado agraves melhores praacuteticas
de Seguranccedila da Informaccedilatildeo internacionalmente aceitas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Funccedilotildees da Seguranccedila Digital
bull Proteccedilatildeo
bull Proteccedilatildeo do acervo ndash informaccedilatildeo e reputaccedilatildeo
bull Controle corporativo ndash obrigaccedilotildees legais
bull Viabilizaccedilatildeo de Negoacutecios
bull Competitividade e produtividade
bull Utilizar a Internet para atingir novos mercados
bull Estabelecer novas praacuteticas operacionais
bull e-Security estaacute baseado na credibilidade do usuaacuterio na empresa e nos serviccedilos que ela oferece
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Modelo de Seguranccedila Responsabilidade Civil do Executivo de
Negoacutecios (ISO 17799 12)
Responsabilidade Civil do CIO
(ISO 17799 12)
Conformidade com a
Lei e Regulamentaccedilatildeo
(ISO 17799 12)
Seguranccedila Fiacutesica
(ISO 17799 7)
Aplicaccedilatildeo Segura
(desenvolvimento
e produccedilatildeo)
(ISO 17799 10)
Seguranccedila da Infra-estrutura
(ISO 17799 589)
Conscientizaccedilatildeo e
Responsabilizaccedilatildeo dos
Usuaacuterios (ISO 17799 6)
Contratos com Fornecedores
(ISO 17799 4)
Continuidade do Negoacutecio
(ISO 17799 11)
Evidecircncias Forenses
(ISO 17799 12)
Monitoraccedilatildeo e Respostas a
Incidentes (ISO 17799 9)
Poliacutetica de Seguranccedila
(ISO 17799 3)
Infra-estrutura
Sistemas
Negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
O Modelo de Seguranccedila
Infra-estrutura
Sistemas
Negoacutecios
Clientes
Fornecedores
Agecircncias Reguladoras
Fazenda
Usuaacuterios
Judiciaacuterio
Melhores Praacuteticas
Integraccedilatildeo com o negoacutecio
Combate a Fraudes
Ambiente Heterogecircneo
Novas Tecnologias
Conformidade
Anaacutelise de Riscos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Perguntas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
RICARDO THEIL
Muito obrigado
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Principais Recomendaccedilotildees de
DEFESA
O elo mais fraco da corrente eacute vocecirc
- apenas 48 das empresas americanas ministraram treinamento de
seguranccedila a seus empregados destas apenas 15 fizeram isso haacute menos de 6 meses
Fonte Human Firewall Security Awareness Index Survey 2003
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
BS 7799-2
bull Security policy
bull Organizational security
bull Asset classification and control
bull Personnel security
bull Physical and environmental security
bull Communications and operations management
bull Access control
bull Systems development and maintenance
bull Business continuity management
bull Compliance
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Papel da PESSOA na seguranccedila
bull Novas ameaccedilas surgem diariamente
bull Ferramentas teacutecnicas de seguranccedila com boa taxa de atualizaccedilatildeo
bull Grande investimento das corporaccedilotildees na seguranccedila da informaccedilatildeo
bull Pouco ou nenhum investimento em treinamento focado em seguranccedila
bull Todos satildeo responsaacuteveis ndash regras de conformidade
Sua casa tem fechadura e alarme certo
Mas vocecirc sabe usa-los
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Haacute algo de novo no Horizonte SIM Ciber Ataque e Sabotagem Digital
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Desastres naturais ou ataques fiacutesicos
X Ciber Ataque
bull Desastres naturais ou ataques fiacutesicos
- extensatildeo e dano imediato satildeo limitados
geograficamente
Ex Florianoacutepolis WTC
bull Cyber ataque
ndash natildeo localizado geograficamente
ndash pode ser dissipado com altiacutessima velocidade
ndash atinge todos e natildeo somente alvos especiacuteficos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Australian Sewage Attack
bull Marccedilo de 2000 ndash Brisbane Austraacutelia
bull Vitek Boden ndash consultor ndash sistema controlador de aacutegua
bull Marrochy Shire Council
bull Alterou as configuraccedilotildees das bombas das estaccedilotildees causando problemas em 2 estaccedilotildees
bull Boden foi capturado logo apoacutes o primeiro ataque com os equipamentos e programas que facilitaram o ataque que ateacute entatildeo era visto como um mal funcionamento do sistema
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Distributed denial of service attack bull Fevereiro de 2000
bull Anatomia
ndash Busca de hosts inseguros
ndash Instalaccedilatildeo de software para ataques tornado os servidores escravos do atacante
ndash Lanccedilamento do ataque remotamente ativando todos os sistemas simultaneamente
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Scaning Worms - The SQL Slammer attack bull Worms x viacuterus
ndash Viacuterus ficam latentes enquanto vocecirc natildeo faz alguma atividade para ativa-los
ndash Worms propaga-se automaticamente sem nenhuma atividade por parte do infectado
ndash Primeiro worm ndash 1989 ndash Morris worm
ndash Julho de 2001 ndash Code Red ndash 359000 sistemas ndash a cada 37 minutos dobrava sua capacidade de ataque
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Scaning Worms - The SQL Slammer attack
bull Janeiro de 2003 ndash SQL Slammer worm ndash Dobrava o numero de sistemas atacados a cada 85
segundos ndash Infectou 90 dos servidores vulneraacuteveis em apenas 10
minutos ndash Apenas 3 minutos apoacutes sua ativaccedilatildeo jaacute verificava os
servidores a uma velocidade de 55 milhotildees de verificaccedilotildees por segundo
ndash Infectou 75000 servidores com seacuterias consequumlecircncias bull 13000 ATM do Bank of America foram desabilitados bull O serviccedilo de emergecircncia 911 foi desabilitado afetando
680000 pessoas bull 14 corpos de bombeiros e 02 delegacias tambeacutem
foram afetados bull A Microsoft jaacute havia disponibilizado a correccedilatildeo a
6 meses
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Sabotagem Digital PDVSA
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Sabotagem Digital PDVSA
235
28
596
126 No petrolero
privado
Petrolero Puacuteblico
No petrolero
puacuteblico
Otros
-475 -112
-72 -10
D I
-236 -141
-27
Total -29
Queda do PIB Total 29 Primeiro Trimestre de 2003
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Norma NBR ISOIEC-17799 publicadas pela ABNT
CBK ndash Common Body of Knowledge do (ISC)2
TCSEC ndash Padratildeo US DoD (Orange Book)
ITSEC ndash Padratildeo Europeu
Common Criteria ndash ISO 15404
NIST 800 series
Melhores praacuteticas de seguranccedila de informaccedilotildees
Aderecircncia a Normas e padrotildees geralmente aceitos ndash GASSP
(Generally Accepted System Security Principles)
Adoccedilatildeo de Metodologias especiacuteficas para Seguranccedila da Informaccedilatildeo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Bacen
CVM
ANBID
C Civil
Basileacuteia II (RO)
HIPAA
SOx
outras normas e regulamentaccedilotildees
Atendimento a regulamentaccedilotildees
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Associaccedilotildees profissionais
ISSA
ISACA
ASIS
CSI
Grupos de trabalho
CB21 (Norma ABNT ISOIEC 17799)
Cerificaccedilotildees profissionais
CISSP
CISM
MCSO
CISA
CPP
Oportunidades de desenvolvimento do CSO
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
A Seguranccedila da Informaccedilatildeo natildeo deve ser um fim em si mesma
1 Melhor performance
2 Reduccedilatildeo de perdas
3 Compliance
4 Seguranccedila como agente habilitador de negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Capacitaccedilatildeo e
conscientizaccedilatildeo Monitoramento
Pessoas
Ferramentas e
mecanismos
bem configurados
Meacutetricas padrotildees
poliacuteticas e procedimentos Apoio da Alta
Administraccedilatildeo
Fatores Criacuteticos de Sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Endosso da Alta Administraccedilatildeo
Objetivo
Equipe
Independecircncia
Alinhamento ao Negoacutecio
Reporte Executivo Administraccedilatildeo e Controle
(Orccedilamento x meacutetricas de retorno da funccedilatildeo)
Comunicaccedilatildeo e Conscientizaccedilatildeo
Metodologia normas e modelos
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Outros fatores
Projetos
BAU (dia a dia)
Demonstrar o Sucesso
Benefiacutecios
Atuar mediante um plano
Coordenar atividades
Interagir melhor com deptos
Viabilizar continuidade
Integraccedilatildeo com o negoacutecio
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Princiacutepios que devem ser perseguidos
1 Proteger as pessoas e suas informaccedilotildees privadas (Funcionaacuterios
Clientes Fornecedores Acionistas Oacutergatildeos Reguladores)
2 Garantir Sistemas de Informaccedilatildeo integros e protegidos
3 Proteccedilatildeo perimetral da rede de computadores
4 Garantir soluccedilotildees tecnoloacutegicas seguras
5 Garantir soluccedilotildees de Continuidade de Negoacutecios
6 Promover conscientizaccedilatildeo contiacutenua sobre o tema
7 Proporcionar ambiente de negoacutecios alinhado agraves melhores praacuteticas
de Seguranccedila da Informaccedilatildeo internacionalmente aceitas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Funccedilotildees da Seguranccedila Digital
bull Proteccedilatildeo
bull Proteccedilatildeo do acervo ndash informaccedilatildeo e reputaccedilatildeo
bull Controle corporativo ndash obrigaccedilotildees legais
bull Viabilizaccedilatildeo de Negoacutecios
bull Competitividade e produtividade
bull Utilizar a Internet para atingir novos mercados
bull Estabelecer novas praacuteticas operacionais
bull e-Security estaacute baseado na credibilidade do usuaacuterio na empresa e nos serviccedilos que ela oferece
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Modelo de Seguranccedila Responsabilidade Civil do Executivo de
Negoacutecios (ISO 17799 12)
Responsabilidade Civil do CIO
(ISO 17799 12)
Conformidade com a
Lei e Regulamentaccedilatildeo
(ISO 17799 12)
Seguranccedila Fiacutesica
(ISO 17799 7)
Aplicaccedilatildeo Segura
(desenvolvimento
e produccedilatildeo)
(ISO 17799 10)
Seguranccedila da Infra-estrutura
(ISO 17799 589)
Conscientizaccedilatildeo e
Responsabilizaccedilatildeo dos
Usuaacuterios (ISO 17799 6)
Contratos com Fornecedores
(ISO 17799 4)
Continuidade do Negoacutecio
(ISO 17799 11)
Evidecircncias Forenses
(ISO 17799 12)
Monitoraccedilatildeo e Respostas a
Incidentes (ISO 17799 9)
Poliacutetica de Seguranccedila
(ISO 17799 3)
Infra-estrutura
Sistemas
Negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
O Modelo de Seguranccedila
Infra-estrutura
Sistemas
Negoacutecios
Clientes
Fornecedores
Agecircncias Reguladoras
Fazenda
Usuaacuterios
Judiciaacuterio
Melhores Praacuteticas
Integraccedilatildeo com o negoacutecio
Combate a Fraudes
Ambiente Heterogecircneo
Novas Tecnologias
Conformidade
Anaacutelise de Riscos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Perguntas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
RICARDO THEIL
Muito obrigado
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
BS 7799-2
bull Security policy
bull Organizational security
bull Asset classification and control
bull Personnel security
bull Physical and environmental security
bull Communications and operations management
bull Access control
bull Systems development and maintenance
bull Business continuity management
bull Compliance
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Papel da PESSOA na seguranccedila
bull Novas ameaccedilas surgem diariamente
bull Ferramentas teacutecnicas de seguranccedila com boa taxa de atualizaccedilatildeo
bull Grande investimento das corporaccedilotildees na seguranccedila da informaccedilatildeo
bull Pouco ou nenhum investimento em treinamento focado em seguranccedila
bull Todos satildeo responsaacuteveis ndash regras de conformidade
Sua casa tem fechadura e alarme certo
Mas vocecirc sabe usa-los
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Haacute algo de novo no Horizonte SIM Ciber Ataque e Sabotagem Digital
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Desastres naturais ou ataques fiacutesicos
X Ciber Ataque
bull Desastres naturais ou ataques fiacutesicos
- extensatildeo e dano imediato satildeo limitados
geograficamente
Ex Florianoacutepolis WTC
bull Cyber ataque
ndash natildeo localizado geograficamente
ndash pode ser dissipado com altiacutessima velocidade
ndash atinge todos e natildeo somente alvos especiacuteficos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Australian Sewage Attack
bull Marccedilo de 2000 ndash Brisbane Austraacutelia
bull Vitek Boden ndash consultor ndash sistema controlador de aacutegua
bull Marrochy Shire Council
bull Alterou as configuraccedilotildees das bombas das estaccedilotildees causando problemas em 2 estaccedilotildees
bull Boden foi capturado logo apoacutes o primeiro ataque com os equipamentos e programas que facilitaram o ataque que ateacute entatildeo era visto como um mal funcionamento do sistema
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Distributed denial of service attack bull Fevereiro de 2000
bull Anatomia
ndash Busca de hosts inseguros
ndash Instalaccedilatildeo de software para ataques tornado os servidores escravos do atacante
ndash Lanccedilamento do ataque remotamente ativando todos os sistemas simultaneamente
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Scaning Worms - The SQL Slammer attack bull Worms x viacuterus
ndash Viacuterus ficam latentes enquanto vocecirc natildeo faz alguma atividade para ativa-los
ndash Worms propaga-se automaticamente sem nenhuma atividade por parte do infectado
ndash Primeiro worm ndash 1989 ndash Morris worm
ndash Julho de 2001 ndash Code Red ndash 359000 sistemas ndash a cada 37 minutos dobrava sua capacidade de ataque
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Scaning Worms - The SQL Slammer attack
bull Janeiro de 2003 ndash SQL Slammer worm ndash Dobrava o numero de sistemas atacados a cada 85
segundos ndash Infectou 90 dos servidores vulneraacuteveis em apenas 10
minutos ndash Apenas 3 minutos apoacutes sua ativaccedilatildeo jaacute verificava os
servidores a uma velocidade de 55 milhotildees de verificaccedilotildees por segundo
ndash Infectou 75000 servidores com seacuterias consequumlecircncias bull 13000 ATM do Bank of America foram desabilitados bull O serviccedilo de emergecircncia 911 foi desabilitado afetando
680000 pessoas bull 14 corpos de bombeiros e 02 delegacias tambeacutem
foram afetados bull A Microsoft jaacute havia disponibilizado a correccedilatildeo a
6 meses
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Sabotagem Digital PDVSA
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Sabotagem Digital PDVSA
235
28
596
126 No petrolero
privado
Petrolero Puacuteblico
No petrolero
puacuteblico
Otros
-475 -112
-72 -10
D I
-236 -141
-27
Total -29
Queda do PIB Total 29 Primeiro Trimestre de 2003
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Norma NBR ISOIEC-17799 publicadas pela ABNT
CBK ndash Common Body of Knowledge do (ISC)2
TCSEC ndash Padratildeo US DoD (Orange Book)
ITSEC ndash Padratildeo Europeu
Common Criteria ndash ISO 15404
NIST 800 series
Melhores praacuteticas de seguranccedila de informaccedilotildees
Aderecircncia a Normas e padrotildees geralmente aceitos ndash GASSP
(Generally Accepted System Security Principles)
Adoccedilatildeo de Metodologias especiacuteficas para Seguranccedila da Informaccedilatildeo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Bacen
CVM
ANBID
C Civil
Basileacuteia II (RO)
HIPAA
SOx
outras normas e regulamentaccedilotildees
Atendimento a regulamentaccedilotildees
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Associaccedilotildees profissionais
ISSA
ISACA
ASIS
CSI
Grupos de trabalho
CB21 (Norma ABNT ISOIEC 17799)
Cerificaccedilotildees profissionais
CISSP
CISM
MCSO
CISA
CPP
Oportunidades de desenvolvimento do CSO
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
A Seguranccedila da Informaccedilatildeo natildeo deve ser um fim em si mesma
1 Melhor performance
2 Reduccedilatildeo de perdas
3 Compliance
4 Seguranccedila como agente habilitador de negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Capacitaccedilatildeo e
conscientizaccedilatildeo Monitoramento
Pessoas
Ferramentas e
mecanismos
bem configurados
Meacutetricas padrotildees
poliacuteticas e procedimentos Apoio da Alta
Administraccedilatildeo
Fatores Criacuteticos de Sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Endosso da Alta Administraccedilatildeo
Objetivo
Equipe
Independecircncia
Alinhamento ao Negoacutecio
Reporte Executivo Administraccedilatildeo e Controle
(Orccedilamento x meacutetricas de retorno da funccedilatildeo)
Comunicaccedilatildeo e Conscientizaccedilatildeo
Metodologia normas e modelos
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Outros fatores
Projetos
BAU (dia a dia)
Demonstrar o Sucesso
Benefiacutecios
Atuar mediante um plano
Coordenar atividades
Interagir melhor com deptos
Viabilizar continuidade
Integraccedilatildeo com o negoacutecio
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Princiacutepios que devem ser perseguidos
1 Proteger as pessoas e suas informaccedilotildees privadas (Funcionaacuterios
Clientes Fornecedores Acionistas Oacutergatildeos Reguladores)
2 Garantir Sistemas de Informaccedilatildeo integros e protegidos
3 Proteccedilatildeo perimetral da rede de computadores
4 Garantir soluccedilotildees tecnoloacutegicas seguras
5 Garantir soluccedilotildees de Continuidade de Negoacutecios
6 Promover conscientizaccedilatildeo contiacutenua sobre o tema
7 Proporcionar ambiente de negoacutecios alinhado agraves melhores praacuteticas
de Seguranccedila da Informaccedilatildeo internacionalmente aceitas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Funccedilotildees da Seguranccedila Digital
bull Proteccedilatildeo
bull Proteccedilatildeo do acervo ndash informaccedilatildeo e reputaccedilatildeo
bull Controle corporativo ndash obrigaccedilotildees legais
bull Viabilizaccedilatildeo de Negoacutecios
bull Competitividade e produtividade
bull Utilizar a Internet para atingir novos mercados
bull Estabelecer novas praacuteticas operacionais
bull e-Security estaacute baseado na credibilidade do usuaacuterio na empresa e nos serviccedilos que ela oferece
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Modelo de Seguranccedila Responsabilidade Civil do Executivo de
Negoacutecios (ISO 17799 12)
Responsabilidade Civil do CIO
(ISO 17799 12)
Conformidade com a
Lei e Regulamentaccedilatildeo
(ISO 17799 12)
Seguranccedila Fiacutesica
(ISO 17799 7)
Aplicaccedilatildeo Segura
(desenvolvimento
e produccedilatildeo)
(ISO 17799 10)
Seguranccedila da Infra-estrutura
(ISO 17799 589)
Conscientizaccedilatildeo e
Responsabilizaccedilatildeo dos
Usuaacuterios (ISO 17799 6)
Contratos com Fornecedores
(ISO 17799 4)
Continuidade do Negoacutecio
(ISO 17799 11)
Evidecircncias Forenses
(ISO 17799 12)
Monitoraccedilatildeo e Respostas a
Incidentes (ISO 17799 9)
Poliacutetica de Seguranccedila
(ISO 17799 3)
Infra-estrutura
Sistemas
Negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
O Modelo de Seguranccedila
Infra-estrutura
Sistemas
Negoacutecios
Clientes
Fornecedores
Agecircncias Reguladoras
Fazenda
Usuaacuterios
Judiciaacuterio
Melhores Praacuteticas
Integraccedilatildeo com o negoacutecio
Combate a Fraudes
Ambiente Heterogecircneo
Novas Tecnologias
Conformidade
Anaacutelise de Riscos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Perguntas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
RICARDO THEIL
Muito obrigado
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
SEGURANCcedilA DA INFORMACcedilAtildeO
Papel da PESSOA na seguranccedila
bull Novas ameaccedilas surgem diariamente
bull Ferramentas teacutecnicas de seguranccedila com boa taxa de atualizaccedilatildeo
bull Grande investimento das corporaccedilotildees na seguranccedila da informaccedilatildeo
bull Pouco ou nenhum investimento em treinamento focado em seguranccedila
bull Todos satildeo responsaacuteveis ndash regras de conformidade
Sua casa tem fechadura e alarme certo
Mas vocecirc sabe usa-los
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Haacute algo de novo no Horizonte SIM Ciber Ataque e Sabotagem Digital
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Desastres naturais ou ataques fiacutesicos
X Ciber Ataque
bull Desastres naturais ou ataques fiacutesicos
- extensatildeo e dano imediato satildeo limitados
geograficamente
Ex Florianoacutepolis WTC
bull Cyber ataque
ndash natildeo localizado geograficamente
ndash pode ser dissipado com altiacutessima velocidade
ndash atinge todos e natildeo somente alvos especiacuteficos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Australian Sewage Attack
bull Marccedilo de 2000 ndash Brisbane Austraacutelia
bull Vitek Boden ndash consultor ndash sistema controlador de aacutegua
bull Marrochy Shire Council
bull Alterou as configuraccedilotildees das bombas das estaccedilotildees causando problemas em 2 estaccedilotildees
bull Boden foi capturado logo apoacutes o primeiro ataque com os equipamentos e programas que facilitaram o ataque que ateacute entatildeo era visto como um mal funcionamento do sistema
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Distributed denial of service attack bull Fevereiro de 2000
bull Anatomia
ndash Busca de hosts inseguros
ndash Instalaccedilatildeo de software para ataques tornado os servidores escravos do atacante
ndash Lanccedilamento do ataque remotamente ativando todos os sistemas simultaneamente
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Scaning Worms - The SQL Slammer attack bull Worms x viacuterus
ndash Viacuterus ficam latentes enquanto vocecirc natildeo faz alguma atividade para ativa-los
ndash Worms propaga-se automaticamente sem nenhuma atividade por parte do infectado
ndash Primeiro worm ndash 1989 ndash Morris worm
ndash Julho de 2001 ndash Code Red ndash 359000 sistemas ndash a cada 37 minutos dobrava sua capacidade de ataque
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Scaning Worms - The SQL Slammer attack
bull Janeiro de 2003 ndash SQL Slammer worm ndash Dobrava o numero de sistemas atacados a cada 85
segundos ndash Infectou 90 dos servidores vulneraacuteveis em apenas 10
minutos ndash Apenas 3 minutos apoacutes sua ativaccedilatildeo jaacute verificava os
servidores a uma velocidade de 55 milhotildees de verificaccedilotildees por segundo
ndash Infectou 75000 servidores com seacuterias consequumlecircncias bull 13000 ATM do Bank of America foram desabilitados bull O serviccedilo de emergecircncia 911 foi desabilitado afetando
680000 pessoas bull 14 corpos de bombeiros e 02 delegacias tambeacutem
foram afetados bull A Microsoft jaacute havia disponibilizado a correccedilatildeo a
6 meses
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Sabotagem Digital PDVSA
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Sabotagem Digital PDVSA
235
28
596
126 No petrolero
privado
Petrolero Puacuteblico
No petrolero
puacuteblico
Otros
-475 -112
-72 -10
D I
-236 -141
-27
Total -29
Queda do PIB Total 29 Primeiro Trimestre de 2003
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Norma NBR ISOIEC-17799 publicadas pela ABNT
CBK ndash Common Body of Knowledge do (ISC)2
TCSEC ndash Padratildeo US DoD (Orange Book)
ITSEC ndash Padratildeo Europeu
Common Criteria ndash ISO 15404
NIST 800 series
Melhores praacuteticas de seguranccedila de informaccedilotildees
Aderecircncia a Normas e padrotildees geralmente aceitos ndash GASSP
(Generally Accepted System Security Principles)
Adoccedilatildeo de Metodologias especiacuteficas para Seguranccedila da Informaccedilatildeo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Bacen
CVM
ANBID
C Civil
Basileacuteia II (RO)
HIPAA
SOx
outras normas e regulamentaccedilotildees
Atendimento a regulamentaccedilotildees
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Associaccedilotildees profissionais
ISSA
ISACA
ASIS
CSI
Grupos de trabalho
CB21 (Norma ABNT ISOIEC 17799)
Cerificaccedilotildees profissionais
CISSP
CISM
MCSO
CISA
CPP
Oportunidades de desenvolvimento do CSO
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
A Seguranccedila da Informaccedilatildeo natildeo deve ser um fim em si mesma
1 Melhor performance
2 Reduccedilatildeo de perdas
3 Compliance
4 Seguranccedila como agente habilitador de negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Capacitaccedilatildeo e
conscientizaccedilatildeo Monitoramento
Pessoas
Ferramentas e
mecanismos
bem configurados
Meacutetricas padrotildees
poliacuteticas e procedimentos Apoio da Alta
Administraccedilatildeo
Fatores Criacuteticos de Sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Endosso da Alta Administraccedilatildeo
Objetivo
Equipe
Independecircncia
Alinhamento ao Negoacutecio
Reporte Executivo Administraccedilatildeo e Controle
(Orccedilamento x meacutetricas de retorno da funccedilatildeo)
Comunicaccedilatildeo e Conscientizaccedilatildeo
Metodologia normas e modelos
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Outros fatores
Projetos
BAU (dia a dia)
Demonstrar o Sucesso
Benefiacutecios
Atuar mediante um plano
Coordenar atividades
Interagir melhor com deptos
Viabilizar continuidade
Integraccedilatildeo com o negoacutecio
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Princiacutepios que devem ser perseguidos
1 Proteger as pessoas e suas informaccedilotildees privadas (Funcionaacuterios
Clientes Fornecedores Acionistas Oacutergatildeos Reguladores)
2 Garantir Sistemas de Informaccedilatildeo integros e protegidos
3 Proteccedilatildeo perimetral da rede de computadores
4 Garantir soluccedilotildees tecnoloacutegicas seguras
5 Garantir soluccedilotildees de Continuidade de Negoacutecios
6 Promover conscientizaccedilatildeo contiacutenua sobre o tema
7 Proporcionar ambiente de negoacutecios alinhado agraves melhores praacuteticas
de Seguranccedila da Informaccedilatildeo internacionalmente aceitas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Funccedilotildees da Seguranccedila Digital
bull Proteccedilatildeo
bull Proteccedilatildeo do acervo ndash informaccedilatildeo e reputaccedilatildeo
bull Controle corporativo ndash obrigaccedilotildees legais
bull Viabilizaccedilatildeo de Negoacutecios
bull Competitividade e produtividade
bull Utilizar a Internet para atingir novos mercados
bull Estabelecer novas praacuteticas operacionais
bull e-Security estaacute baseado na credibilidade do usuaacuterio na empresa e nos serviccedilos que ela oferece
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Modelo de Seguranccedila Responsabilidade Civil do Executivo de
Negoacutecios (ISO 17799 12)
Responsabilidade Civil do CIO
(ISO 17799 12)
Conformidade com a
Lei e Regulamentaccedilatildeo
(ISO 17799 12)
Seguranccedila Fiacutesica
(ISO 17799 7)
Aplicaccedilatildeo Segura
(desenvolvimento
e produccedilatildeo)
(ISO 17799 10)
Seguranccedila da Infra-estrutura
(ISO 17799 589)
Conscientizaccedilatildeo e
Responsabilizaccedilatildeo dos
Usuaacuterios (ISO 17799 6)
Contratos com Fornecedores
(ISO 17799 4)
Continuidade do Negoacutecio
(ISO 17799 11)
Evidecircncias Forenses
(ISO 17799 12)
Monitoraccedilatildeo e Respostas a
Incidentes (ISO 17799 9)
Poliacutetica de Seguranccedila
(ISO 17799 3)
Infra-estrutura
Sistemas
Negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
O Modelo de Seguranccedila
Infra-estrutura
Sistemas
Negoacutecios
Clientes
Fornecedores
Agecircncias Reguladoras
Fazenda
Usuaacuterios
Judiciaacuterio
Melhores Praacuteticas
Integraccedilatildeo com o negoacutecio
Combate a Fraudes
Ambiente Heterogecircneo
Novas Tecnologias
Conformidade
Anaacutelise de Riscos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Perguntas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
RICARDO THEIL
Muito obrigado
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Haacute algo de novo no Horizonte SIM Ciber Ataque e Sabotagem Digital
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Desastres naturais ou ataques fiacutesicos
X Ciber Ataque
bull Desastres naturais ou ataques fiacutesicos
- extensatildeo e dano imediato satildeo limitados
geograficamente
Ex Florianoacutepolis WTC
bull Cyber ataque
ndash natildeo localizado geograficamente
ndash pode ser dissipado com altiacutessima velocidade
ndash atinge todos e natildeo somente alvos especiacuteficos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Australian Sewage Attack
bull Marccedilo de 2000 ndash Brisbane Austraacutelia
bull Vitek Boden ndash consultor ndash sistema controlador de aacutegua
bull Marrochy Shire Council
bull Alterou as configuraccedilotildees das bombas das estaccedilotildees causando problemas em 2 estaccedilotildees
bull Boden foi capturado logo apoacutes o primeiro ataque com os equipamentos e programas que facilitaram o ataque que ateacute entatildeo era visto como um mal funcionamento do sistema
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Distributed denial of service attack bull Fevereiro de 2000
bull Anatomia
ndash Busca de hosts inseguros
ndash Instalaccedilatildeo de software para ataques tornado os servidores escravos do atacante
ndash Lanccedilamento do ataque remotamente ativando todos os sistemas simultaneamente
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Scaning Worms - The SQL Slammer attack bull Worms x viacuterus
ndash Viacuterus ficam latentes enquanto vocecirc natildeo faz alguma atividade para ativa-los
ndash Worms propaga-se automaticamente sem nenhuma atividade por parte do infectado
ndash Primeiro worm ndash 1989 ndash Morris worm
ndash Julho de 2001 ndash Code Red ndash 359000 sistemas ndash a cada 37 minutos dobrava sua capacidade de ataque
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Scaning Worms - The SQL Slammer attack
bull Janeiro de 2003 ndash SQL Slammer worm ndash Dobrava o numero de sistemas atacados a cada 85
segundos ndash Infectou 90 dos servidores vulneraacuteveis em apenas 10
minutos ndash Apenas 3 minutos apoacutes sua ativaccedilatildeo jaacute verificava os
servidores a uma velocidade de 55 milhotildees de verificaccedilotildees por segundo
ndash Infectou 75000 servidores com seacuterias consequumlecircncias bull 13000 ATM do Bank of America foram desabilitados bull O serviccedilo de emergecircncia 911 foi desabilitado afetando
680000 pessoas bull 14 corpos de bombeiros e 02 delegacias tambeacutem
foram afetados bull A Microsoft jaacute havia disponibilizado a correccedilatildeo a
6 meses
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Sabotagem Digital PDVSA
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Sabotagem Digital PDVSA
235
28
596
126 No petrolero
privado
Petrolero Puacuteblico
No petrolero
puacuteblico
Otros
-475 -112
-72 -10
D I
-236 -141
-27
Total -29
Queda do PIB Total 29 Primeiro Trimestre de 2003
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Norma NBR ISOIEC-17799 publicadas pela ABNT
CBK ndash Common Body of Knowledge do (ISC)2
TCSEC ndash Padratildeo US DoD (Orange Book)
ITSEC ndash Padratildeo Europeu
Common Criteria ndash ISO 15404
NIST 800 series
Melhores praacuteticas de seguranccedila de informaccedilotildees
Aderecircncia a Normas e padrotildees geralmente aceitos ndash GASSP
(Generally Accepted System Security Principles)
Adoccedilatildeo de Metodologias especiacuteficas para Seguranccedila da Informaccedilatildeo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Bacen
CVM
ANBID
C Civil
Basileacuteia II (RO)
HIPAA
SOx
outras normas e regulamentaccedilotildees
Atendimento a regulamentaccedilotildees
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Associaccedilotildees profissionais
ISSA
ISACA
ASIS
CSI
Grupos de trabalho
CB21 (Norma ABNT ISOIEC 17799)
Cerificaccedilotildees profissionais
CISSP
CISM
MCSO
CISA
CPP
Oportunidades de desenvolvimento do CSO
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
A Seguranccedila da Informaccedilatildeo natildeo deve ser um fim em si mesma
1 Melhor performance
2 Reduccedilatildeo de perdas
3 Compliance
4 Seguranccedila como agente habilitador de negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Capacitaccedilatildeo e
conscientizaccedilatildeo Monitoramento
Pessoas
Ferramentas e
mecanismos
bem configurados
Meacutetricas padrotildees
poliacuteticas e procedimentos Apoio da Alta
Administraccedilatildeo
Fatores Criacuteticos de Sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Endosso da Alta Administraccedilatildeo
Objetivo
Equipe
Independecircncia
Alinhamento ao Negoacutecio
Reporte Executivo Administraccedilatildeo e Controle
(Orccedilamento x meacutetricas de retorno da funccedilatildeo)
Comunicaccedilatildeo e Conscientizaccedilatildeo
Metodologia normas e modelos
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Outros fatores
Projetos
BAU (dia a dia)
Demonstrar o Sucesso
Benefiacutecios
Atuar mediante um plano
Coordenar atividades
Interagir melhor com deptos
Viabilizar continuidade
Integraccedilatildeo com o negoacutecio
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Princiacutepios que devem ser perseguidos
1 Proteger as pessoas e suas informaccedilotildees privadas (Funcionaacuterios
Clientes Fornecedores Acionistas Oacutergatildeos Reguladores)
2 Garantir Sistemas de Informaccedilatildeo integros e protegidos
3 Proteccedilatildeo perimetral da rede de computadores
4 Garantir soluccedilotildees tecnoloacutegicas seguras
5 Garantir soluccedilotildees de Continuidade de Negoacutecios
6 Promover conscientizaccedilatildeo contiacutenua sobre o tema
7 Proporcionar ambiente de negoacutecios alinhado agraves melhores praacuteticas
de Seguranccedila da Informaccedilatildeo internacionalmente aceitas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Funccedilotildees da Seguranccedila Digital
bull Proteccedilatildeo
bull Proteccedilatildeo do acervo ndash informaccedilatildeo e reputaccedilatildeo
bull Controle corporativo ndash obrigaccedilotildees legais
bull Viabilizaccedilatildeo de Negoacutecios
bull Competitividade e produtividade
bull Utilizar a Internet para atingir novos mercados
bull Estabelecer novas praacuteticas operacionais
bull e-Security estaacute baseado na credibilidade do usuaacuterio na empresa e nos serviccedilos que ela oferece
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Modelo de Seguranccedila Responsabilidade Civil do Executivo de
Negoacutecios (ISO 17799 12)
Responsabilidade Civil do CIO
(ISO 17799 12)
Conformidade com a
Lei e Regulamentaccedilatildeo
(ISO 17799 12)
Seguranccedila Fiacutesica
(ISO 17799 7)
Aplicaccedilatildeo Segura
(desenvolvimento
e produccedilatildeo)
(ISO 17799 10)
Seguranccedila da Infra-estrutura
(ISO 17799 589)
Conscientizaccedilatildeo e
Responsabilizaccedilatildeo dos
Usuaacuterios (ISO 17799 6)
Contratos com Fornecedores
(ISO 17799 4)
Continuidade do Negoacutecio
(ISO 17799 11)
Evidecircncias Forenses
(ISO 17799 12)
Monitoraccedilatildeo e Respostas a
Incidentes (ISO 17799 9)
Poliacutetica de Seguranccedila
(ISO 17799 3)
Infra-estrutura
Sistemas
Negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
O Modelo de Seguranccedila
Infra-estrutura
Sistemas
Negoacutecios
Clientes
Fornecedores
Agecircncias Reguladoras
Fazenda
Usuaacuterios
Judiciaacuterio
Melhores Praacuteticas
Integraccedilatildeo com o negoacutecio
Combate a Fraudes
Ambiente Heterogecircneo
Novas Tecnologias
Conformidade
Anaacutelise de Riscos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Perguntas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
RICARDO THEIL
Muito obrigado
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Desastres naturais ou ataques fiacutesicos
X Ciber Ataque
bull Desastres naturais ou ataques fiacutesicos
- extensatildeo e dano imediato satildeo limitados
geograficamente
Ex Florianoacutepolis WTC
bull Cyber ataque
ndash natildeo localizado geograficamente
ndash pode ser dissipado com altiacutessima velocidade
ndash atinge todos e natildeo somente alvos especiacuteficos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Australian Sewage Attack
bull Marccedilo de 2000 ndash Brisbane Austraacutelia
bull Vitek Boden ndash consultor ndash sistema controlador de aacutegua
bull Marrochy Shire Council
bull Alterou as configuraccedilotildees das bombas das estaccedilotildees causando problemas em 2 estaccedilotildees
bull Boden foi capturado logo apoacutes o primeiro ataque com os equipamentos e programas que facilitaram o ataque que ateacute entatildeo era visto como um mal funcionamento do sistema
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Distributed denial of service attack bull Fevereiro de 2000
bull Anatomia
ndash Busca de hosts inseguros
ndash Instalaccedilatildeo de software para ataques tornado os servidores escravos do atacante
ndash Lanccedilamento do ataque remotamente ativando todos os sistemas simultaneamente
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Scaning Worms - The SQL Slammer attack bull Worms x viacuterus
ndash Viacuterus ficam latentes enquanto vocecirc natildeo faz alguma atividade para ativa-los
ndash Worms propaga-se automaticamente sem nenhuma atividade por parte do infectado
ndash Primeiro worm ndash 1989 ndash Morris worm
ndash Julho de 2001 ndash Code Red ndash 359000 sistemas ndash a cada 37 minutos dobrava sua capacidade de ataque
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Scaning Worms - The SQL Slammer attack
bull Janeiro de 2003 ndash SQL Slammer worm ndash Dobrava o numero de sistemas atacados a cada 85
segundos ndash Infectou 90 dos servidores vulneraacuteveis em apenas 10
minutos ndash Apenas 3 minutos apoacutes sua ativaccedilatildeo jaacute verificava os
servidores a uma velocidade de 55 milhotildees de verificaccedilotildees por segundo
ndash Infectou 75000 servidores com seacuterias consequumlecircncias bull 13000 ATM do Bank of America foram desabilitados bull O serviccedilo de emergecircncia 911 foi desabilitado afetando
680000 pessoas bull 14 corpos de bombeiros e 02 delegacias tambeacutem
foram afetados bull A Microsoft jaacute havia disponibilizado a correccedilatildeo a
6 meses
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Sabotagem Digital PDVSA
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Sabotagem Digital PDVSA
235
28
596
126 No petrolero
privado
Petrolero Puacuteblico
No petrolero
puacuteblico
Otros
-475 -112
-72 -10
D I
-236 -141
-27
Total -29
Queda do PIB Total 29 Primeiro Trimestre de 2003
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Norma NBR ISOIEC-17799 publicadas pela ABNT
CBK ndash Common Body of Knowledge do (ISC)2
TCSEC ndash Padratildeo US DoD (Orange Book)
ITSEC ndash Padratildeo Europeu
Common Criteria ndash ISO 15404
NIST 800 series
Melhores praacuteticas de seguranccedila de informaccedilotildees
Aderecircncia a Normas e padrotildees geralmente aceitos ndash GASSP
(Generally Accepted System Security Principles)
Adoccedilatildeo de Metodologias especiacuteficas para Seguranccedila da Informaccedilatildeo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Bacen
CVM
ANBID
C Civil
Basileacuteia II (RO)
HIPAA
SOx
outras normas e regulamentaccedilotildees
Atendimento a regulamentaccedilotildees
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Associaccedilotildees profissionais
ISSA
ISACA
ASIS
CSI
Grupos de trabalho
CB21 (Norma ABNT ISOIEC 17799)
Cerificaccedilotildees profissionais
CISSP
CISM
MCSO
CISA
CPP
Oportunidades de desenvolvimento do CSO
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
A Seguranccedila da Informaccedilatildeo natildeo deve ser um fim em si mesma
1 Melhor performance
2 Reduccedilatildeo de perdas
3 Compliance
4 Seguranccedila como agente habilitador de negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Capacitaccedilatildeo e
conscientizaccedilatildeo Monitoramento
Pessoas
Ferramentas e
mecanismos
bem configurados
Meacutetricas padrotildees
poliacuteticas e procedimentos Apoio da Alta
Administraccedilatildeo
Fatores Criacuteticos de Sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Endosso da Alta Administraccedilatildeo
Objetivo
Equipe
Independecircncia
Alinhamento ao Negoacutecio
Reporte Executivo Administraccedilatildeo e Controle
(Orccedilamento x meacutetricas de retorno da funccedilatildeo)
Comunicaccedilatildeo e Conscientizaccedilatildeo
Metodologia normas e modelos
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Outros fatores
Projetos
BAU (dia a dia)
Demonstrar o Sucesso
Benefiacutecios
Atuar mediante um plano
Coordenar atividades
Interagir melhor com deptos
Viabilizar continuidade
Integraccedilatildeo com o negoacutecio
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Princiacutepios que devem ser perseguidos
1 Proteger as pessoas e suas informaccedilotildees privadas (Funcionaacuterios
Clientes Fornecedores Acionistas Oacutergatildeos Reguladores)
2 Garantir Sistemas de Informaccedilatildeo integros e protegidos
3 Proteccedilatildeo perimetral da rede de computadores
4 Garantir soluccedilotildees tecnoloacutegicas seguras
5 Garantir soluccedilotildees de Continuidade de Negoacutecios
6 Promover conscientizaccedilatildeo contiacutenua sobre o tema
7 Proporcionar ambiente de negoacutecios alinhado agraves melhores praacuteticas
de Seguranccedila da Informaccedilatildeo internacionalmente aceitas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Funccedilotildees da Seguranccedila Digital
bull Proteccedilatildeo
bull Proteccedilatildeo do acervo ndash informaccedilatildeo e reputaccedilatildeo
bull Controle corporativo ndash obrigaccedilotildees legais
bull Viabilizaccedilatildeo de Negoacutecios
bull Competitividade e produtividade
bull Utilizar a Internet para atingir novos mercados
bull Estabelecer novas praacuteticas operacionais
bull e-Security estaacute baseado na credibilidade do usuaacuterio na empresa e nos serviccedilos que ela oferece
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Modelo de Seguranccedila Responsabilidade Civil do Executivo de
Negoacutecios (ISO 17799 12)
Responsabilidade Civil do CIO
(ISO 17799 12)
Conformidade com a
Lei e Regulamentaccedilatildeo
(ISO 17799 12)
Seguranccedila Fiacutesica
(ISO 17799 7)
Aplicaccedilatildeo Segura
(desenvolvimento
e produccedilatildeo)
(ISO 17799 10)
Seguranccedila da Infra-estrutura
(ISO 17799 589)
Conscientizaccedilatildeo e
Responsabilizaccedilatildeo dos
Usuaacuterios (ISO 17799 6)
Contratos com Fornecedores
(ISO 17799 4)
Continuidade do Negoacutecio
(ISO 17799 11)
Evidecircncias Forenses
(ISO 17799 12)
Monitoraccedilatildeo e Respostas a
Incidentes (ISO 17799 9)
Poliacutetica de Seguranccedila
(ISO 17799 3)
Infra-estrutura
Sistemas
Negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
O Modelo de Seguranccedila
Infra-estrutura
Sistemas
Negoacutecios
Clientes
Fornecedores
Agecircncias Reguladoras
Fazenda
Usuaacuterios
Judiciaacuterio
Melhores Praacuteticas
Integraccedilatildeo com o negoacutecio
Combate a Fraudes
Ambiente Heterogecircneo
Novas Tecnologias
Conformidade
Anaacutelise de Riscos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Perguntas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
RICARDO THEIL
Muito obrigado
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Australian Sewage Attack
bull Marccedilo de 2000 ndash Brisbane Austraacutelia
bull Vitek Boden ndash consultor ndash sistema controlador de aacutegua
bull Marrochy Shire Council
bull Alterou as configuraccedilotildees das bombas das estaccedilotildees causando problemas em 2 estaccedilotildees
bull Boden foi capturado logo apoacutes o primeiro ataque com os equipamentos e programas que facilitaram o ataque que ateacute entatildeo era visto como um mal funcionamento do sistema
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Distributed denial of service attack bull Fevereiro de 2000
bull Anatomia
ndash Busca de hosts inseguros
ndash Instalaccedilatildeo de software para ataques tornado os servidores escravos do atacante
ndash Lanccedilamento do ataque remotamente ativando todos os sistemas simultaneamente
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Scaning Worms - The SQL Slammer attack bull Worms x viacuterus
ndash Viacuterus ficam latentes enquanto vocecirc natildeo faz alguma atividade para ativa-los
ndash Worms propaga-se automaticamente sem nenhuma atividade por parte do infectado
ndash Primeiro worm ndash 1989 ndash Morris worm
ndash Julho de 2001 ndash Code Red ndash 359000 sistemas ndash a cada 37 minutos dobrava sua capacidade de ataque
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Scaning Worms - The SQL Slammer attack
bull Janeiro de 2003 ndash SQL Slammer worm ndash Dobrava o numero de sistemas atacados a cada 85
segundos ndash Infectou 90 dos servidores vulneraacuteveis em apenas 10
minutos ndash Apenas 3 minutos apoacutes sua ativaccedilatildeo jaacute verificava os
servidores a uma velocidade de 55 milhotildees de verificaccedilotildees por segundo
ndash Infectou 75000 servidores com seacuterias consequumlecircncias bull 13000 ATM do Bank of America foram desabilitados bull O serviccedilo de emergecircncia 911 foi desabilitado afetando
680000 pessoas bull 14 corpos de bombeiros e 02 delegacias tambeacutem
foram afetados bull A Microsoft jaacute havia disponibilizado a correccedilatildeo a
6 meses
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Sabotagem Digital PDVSA
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Sabotagem Digital PDVSA
235
28
596
126 No petrolero
privado
Petrolero Puacuteblico
No petrolero
puacuteblico
Otros
-475 -112
-72 -10
D I
-236 -141
-27
Total -29
Queda do PIB Total 29 Primeiro Trimestre de 2003
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Norma NBR ISOIEC-17799 publicadas pela ABNT
CBK ndash Common Body of Knowledge do (ISC)2
TCSEC ndash Padratildeo US DoD (Orange Book)
ITSEC ndash Padratildeo Europeu
Common Criteria ndash ISO 15404
NIST 800 series
Melhores praacuteticas de seguranccedila de informaccedilotildees
Aderecircncia a Normas e padrotildees geralmente aceitos ndash GASSP
(Generally Accepted System Security Principles)
Adoccedilatildeo de Metodologias especiacuteficas para Seguranccedila da Informaccedilatildeo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Bacen
CVM
ANBID
C Civil
Basileacuteia II (RO)
HIPAA
SOx
outras normas e regulamentaccedilotildees
Atendimento a regulamentaccedilotildees
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Associaccedilotildees profissionais
ISSA
ISACA
ASIS
CSI
Grupos de trabalho
CB21 (Norma ABNT ISOIEC 17799)
Cerificaccedilotildees profissionais
CISSP
CISM
MCSO
CISA
CPP
Oportunidades de desenvolvimento do CSO
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
A Seguranccedila da Informaccedilatildeo natildeo deve ser um fim em si mesma
1 Melhor performance
2 Reduccedilatildeo de perdas
3 Compliance
4 Seguranccedila como agente habilitador de negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Capacitaccedilatildeo e
conscientizaccedilatildeo Monitoramento
Pessoas
Ferramentas e
mecanismos
bem configurados
Meacutetricas padrotildees
poliacuteticas e procedimentos Apoio da Alta
Administraccedilatildeo
Fatores Criacuteticos de Sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Endosso da Alta Administraccedilatildeo
Objetivo
Equipe
Independecircncia
Alinhamento ao Negoacutecio
Reporte Executivo Administraccedilatildeo e Controle
(Orccedilamento x meacutetricas de retorno da funccedilatildeo)
Comunicaccedilatildeo e Conscientizaccedilatildeo
Metodologia normas e modelos
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Outros fatores
Projetos
BAU (dia a dia)
Demonstrar o Sucesso
Benefiacutecios
Atuar mediante um plano
Coordenar atividades
Interagir melhor com deptos
Viabilizar continuidade
Integraccedilatildeo com o negoacutecio
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Princiacutepios que devem ser perseguidos
1 Proteger as pessoas e suas informaccedilotildees privadas (Funcionaacuterios
Clientes Fornecedores Acionistas Oacutergatildeos Reguladores)
2 Garantir Sistemas de Informaccedilatildeo integros e protegidos
3 Proteccedilatildeo perimetral da rede de computadores
4 Garantir soluccedilotildees tecnoloacutegicas seguras
5 Garantir soluccedilotildees de Continuidade de Negoacutecios
6 Promover conscientizaccedilatildeo contiacutenua sobre o tema
7 Proporcionar ambiente de negoacutecios alinhado agraves melhores praacuteticas
de Seguranccedila da Informaccedilatildeo internacionalmente aceitas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Funccedilotildees da Seguranccedila Digital
bull Proteccedilatildeo
bull Proteccedilatildeo do acervo ndash informaccedilatildeo e reputaccedilatildeo
bull Controle corporativo ndash obrigaccedilotildees legais
bull Viabilizaccedilatildeo de Negoacutecios
bull Competitividade e produtividade
bull Utilizar a Internet para atingir novos mercados
bull Estabelecer novas praacuteticas operacionais
bull e-Security estaacute baseado na credibilidade do usuaacuterio na empresa e nos serviccedilos que ela oferece
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Modelo de Seguranccedila Responsabilidade Civil do Executivo de
Negoacutecios (ISO 17799 12)
Responsabilidade Civil do CIO
(ISO 17799 12)
Conformidade com a
Lei e Regulamentaccedilatildeo
(ISO 17799 12)
Seguranccedila Fiacutesica
(ISO 17799 7)
Aplicaccedilatildeo Segura
(desenvolvimento
e produccedilatildeo)
(ISO 17799 10)
Seguranccedila da Infra-estrutura
(ISO 17799 589)
Conscientizaccedilatildeo e
Responsabilizaccedilatildeo dos
Usuaacuterios (ISO 17799 6)
Contratos com Fornecedores
(ISO 17799 4)
Continuidade do Negoacutecio
(ISO 17799 11)
Evidecircncias Forenses
(ISO 17799 12)
Monitoraccedilatildeo e Respostas a
Incidentes (ISO 17799 9)
Poliacutetica de Seguranccedila
(ISO 17799 3)
Infra-estrutura
Sistemas
Negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
O Modelo de Seguranccedila
Infra-estrutura
Sistemas
Negoacutecios
Clientes
Fornecedores
Agecircncias Reguladoras
Fazenda
Usuaacuterios
Judiciaacuterio
Melhores Praacuteticas
Integraccedilatildeo com o negoacutecio
Combate a Fraudes
Ambiente Heterogecircneo
Novas Tecnologias
Conformidade
Anaacutelise de Riscos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Perguntas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
RICARDO THEIL
Muito obrigado
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Distributed denial of service attack bull Fevereiro de 2000
bull Anatomia
ndash Busca de hosts inseguros
ndash Instalaccedilatildeo de software para ataques tornado os servidores escravos do atacante
ndash Lanccedilamento do ataque remotamente ativando todos os sistemas simultaneamente
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Scaning Worms - The SQL Slammer attack bull Worms x viacuterus
ndash Viacuterus ficam latentes enquanto vocecirc natildeo faz alguma atividade para ativa-los
ndash Worms propaga-se automaticamente sem nenhuma atividade por parte do infectado
ndash Primeiro worm ndash 1989 ndash Morris worm
ndash Julho de 2001 ndash Code Red ndash 359000 sistemas ndash a cada 37 minutos dobrava sua capacidade de ataque
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Scaning Worms - The SQL Slammer attack
bull Janeiro de 2003 ndash SQL Slammer worm ndash Dobrava o numero de sistemas atacados a cada 85
segundos ndash Infectou 90 dos servidores vulneraacuteveis em apenas 10
minutos ndash Apenas 3 minutos apoacutes sua ativaccedilatildeo jaacute verificava os
servidores a uma velocidade de 55 milhotildees de verificaccedilotildees por segundo
ndash Infectou 75000 servidores com seacuterias consequumlecircncias bull 13000 ATM do Bank of America foram desabilitados bull O serviccedilo de emergecircncia 911 foi desabilitado afetando
680000 pessoas bull 14 corpos de bombeiros e 02 delegacias tambeacutem
foram afetados bull A Microsoft jaacute havia disponibilizado a correccedilatildeo a
6 meses
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Sabotagem Digital PDVSA
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Sabotagem Digital PDVSA
235
28
596
126 No petrolero
privado
Petrolero Puacuteblico
No petrolero
puacuteblico
Otros
-475 -112
-72 -10
D I
-236 -141
-27
Total -29
Queda do PIB Total 29 Primeiro Trimestre de 2003
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Norma NBR ISOIEC-17799 publicadas pela ABNT
CBK ndash Common Body of Knowledge do (ISC)2
TCSEC ndash Padratildeo US DoD (Orange Book)
ITSEC ndash Padratildeo Europeu
Common Criteria ndash ISO 15404
NIST 800 series
Melhores praacuteticas de seguranccedila de informaccedilotildees
Aderecircncia a Normas e padrotildees geralmente aceitos ndash GASSP
(Generally Accepted System Security Principles)
Adoccedilatildeo de Metodologias especiacuteficas para Seguranccedila da Informaccedilatildeo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Bacen
CVM
ANBID
C Civil
Basileacuteia II (RO)
HIPAA
SOx
outras normas e regulamentaccedilotildees
Atendimento a regulamentaccedilotildees
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Associaccedilotildees profissionais
ISSA
ISACA
ASIS
CSI
Grupos de trabalho
CB21 (Norma ABNT ISOIEC 17799)
Cerificaccedilotildees profissionais
CISSP
CISM
MCSO
CISA
CPP
Oportunidades de desenvolvimento do CSO
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
A Seguranccedila da Informaccedilatildeo natildeo deve ser um fim em si mesma
1 Melhor performance
2 Reduccedilatildeo de perdas
3 Compliance
4 Seguranccedila como agente habilitador de negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Capacitaccedilatildeo e
conscientizaccedilatildeo Monitoramento
Pessoas
Ferramentas e
mecanismos
bem configurados
Meacutetricas padrotildees
poliacuteticas e procedimentos Apoio da Alta
Administraccedilatildeo
Fatores Criacuteticos de Sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Endosso da Alta Administraccedilatildeo
Objetivo
Equipe
Independecircncia
Alinhamento ao Negoacutecio
Reporte Executivo Administraccedilatildeo e Controle
(Orccedilamento x meacutetricas de retorno da funccedilatildeo)
Comunicaccedilatildeo e Conscientizaccedilatildeo
Metodologia normas e modelos
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Outros fatores
Projetos
BAU (dia a dia)
Demonstrar o Sucesso
Benefiacutecios
Atuar mediante um plano
Coordenar atividades
Interagir melhor com deptos
Viabilizar continuidade
Integraccedilatildeo com o negoacutecio
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Princiacutepios que devem ser perseguidos
1 Proteger as pessoas e suas informaccedilotildees privadas (Funcionaacuterios
Clientes Fornecedores Acionistas Oacutergatildeos Reguladores)
2 Garantir Sistemas de Informaccedilatildeo integros e protegidos
3 Proteccedilatildeo perimetral da rede de computadores
4 Garantir soluccedilotildees tecnoloacutegicas seguras
5 Garantir soluccedilotildees de Continuidade de Negoacutecios
6 Promover conscientizaccedilatildeo contiacutenua sobre o tema
7 Proporcionar ambiente de negoacutecios alinhado agraves melhores praacuteticas
de Seguranccedila da Informaccedilatildeo internacionalmente aceitas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Funccedilotildees da Seguranccedila Digital
bull Proteccedilatildeo
bull Proteccedilatildeo do acervo ndash informaccedilatildeo e reputaccedilatildeo
bull Controle corporativo ndash obrigaccedilotildees legais
bull Viabilizaccedilatildeo de Negoacutecios
bull Competitividade e produtividade
bull Utilizar a Internet para atingir novos mercados
bull Estabelecer novas praacuteticas operacionais
bull e-Security estaacute baseado na credibilidade do usuaacuterio na empresa e nos serviccedilos que ela oferece
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Modelo de Seguranccedila Responsabilidade Civil do Executivo de
Negoacutecios (ISO 17799 12)
Responsabilidade Civil do CIO
(ISO 17799 12)
Conformidade com a
Lei e Regulamentaccedilatildeo
(ISO 17799 12)
Seguranccedila Fiacutesica
(ISO 17799 7)
Aplicaccedilatildeo Segura
(desenvolvimento
e produccedilatildeo)
(ISO 17799 10)
Seguranccedila da Infra-estrutura
(ISO 17799 589)
Conscientizaccedilatildeo e
Responsabilizaccedilatildeo dos
Usuaacuterios (ISO 17799 6)
Contratos com Fornecedores
(ISO 17799 4)
Continuidade do Negoacutecio
(ISO 17799 11)
Evidecircncias Forenses
(ISO 17799 12)
Monitoraccedilatildeo e Respostas a
Incidentes (ISO 17799 9)
Poliacutetica de Seguranccedila
(ISO 17799 3)
Infra-estrutura
Sistemas
Negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
O Modelo de Seguranccedila
Infra-estrutura
Sistemas
Negoacutecios
Clientes
Fornecedores
Agecircncias Reguladoras
Fazenda
Usuaacuterios
Judiciaacuterio
Melhores Praacuteticas
Integraccedilatildeo com o negoacutecio
Combate a Fraudes
Ambiente Heterogecircneo
Novas Tecnologias
Conformidade
Anaacutelise de Riscos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Perguntas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
RICARDO THEIL
Muito obrigado
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Scaning Worms - The SQL Slammer attack bull Worms x viacuterus
ndash Viacuterus ficam latentes enquanto vocecirc natildeo faz alguma atividade para ativa-los
ndash Worms propaga-se automaticamente sem nenhuma atividade por parte do infectado
ndash Primeiro worm ndash 1989 ndash Morris worm
ndash Julho de 2001 ndash Code Red ndash 359000 sistemas ndash a cada 37 minutos dobrava sua capacidade de ataque
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Scaning Worms - The SQL Slammer attack
bull Janeiro de 2003 ndash SQL Slammer worm ndash Dobrava o numero de sistemas atacados a cada 85
segundos ndash Infectou 90 dos servidores vulneraacuteveis em apenas 10
minutos ndash Apenas 3 minutos apoacutes sua ativaccedilatildeo jaacute verificava os
servidores a uma velocidade de 55 milhotildees de verificaccedilotildees por segundo
ndash Infectou 75000 servidores com seacuterias consequumlecircncias bull 13000 ATM do Bank of America foram desabilitados bull O serviccedilo de emergecircncia 911 foi desabilitado afetando
680000 pessoas bull 14 corpos de bombeiros e 02 delegacias tambeacutem
foram afetados bull A Microsoft jaacute havia disponibilizado a correccedilatildeo a
6 meses
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Sabotagem Digital PDVSA
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Sabotagem Digital PDVSA
235
28
596
126 No petrolero
privado
Petrolero Puacuteblico
No petrolero
puacuteblico
Otros
-475 -112
-72 -10
D I
-236 -141
-27
Total -29
Queda do PIB Total 29 Primeiro Trimestre de 2003
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Norma NBR ISOIEC-17799 publicadas pela ABNT
CBK ndash Common Body of Knowledge do (ISC)2
TCSEC ndash Padratildeo US DoD (Orange Book)
ITSEC ndash Padratildeo Europeu
Common Criteria ndash ISO 15404
NIST 800 series
Melhores praacuteticas de seguranccedila de informaccedilotildees
Aderecircncia a Normas e padrotildees geralmente aceitos ndash GASSP
(Generally Accepted System Security Principles)
Adoccedilatildeo de Metodologias especiacuteficas para Seguranccedila da Informaccedilatildeo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Bacen
CVM
ANBID
C Civil
Basileacuteia II (RO)
HIPAA
SOx
outras normas e regulamentaccedilotildees
Atendimento a regulamentaccedilotildees
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Associaccedilotildees profissionais
ISSA
ISACA
ASIS
CSI
Grupos de trabalho
CB21 (Norma ABNT ISOIEC 17799)
Cerificaccedilotildees profissionais
CISSP
CISM
MCSO
CISA
CPP
Oportunidades de desenvolvimento do CSO
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
A Seguranccedila da Informaccedilatildeo natildeo deve ser um fim em si mesma
1 Melhor performance
2 Reduccedilatildeo de perdas
3 Compliance
4 Seguranccedila como agente habilitador de negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Capacitaccedilatildeo e
conscientizaccedilatildeo Monitoramento
Pessoas
Ferramentas e
mecanismos
bem configurados
Meacutetricas padrotildees
poliacuteticas e procedimentos Apoio da Alta
Administraccedilatildeo
Fatores Criacuteticos de Sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Endosso da Alta Administraccedilatildeo
Objetivo
Equipe
Independecircncia
Alinhamento ao Negoacutecio
Reporte Executivo Administraccedilatildeo e Controle
(Orccedilamento x meacutetricas de retorno da funccedilatildeo)
Comunicaccedilatildeo e Conscientizaccedilatildeo
Metodologia normas e modelos
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Outros fatores
Projetos
BAU (dia a dia)
Demonstrar o Sucesso
Benefiacutecios
Atuar mediante um plano
Coordenar atividades
Interagir melhor com deptos
Viabilizar continuidade
Integraccedilatildeo com o negoacutecio
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Princiacutepios que devem ser perseguidos
1 Proteger as pessoas e suas informaccedilotildees privadas (Funcionaacuterios
Clientes Fornecedores Acionistas Oacutergatildeos Reguladores)
2 Garantir Sistemas de Informaccedilatildeo integros e protegidos
3 Proteccedilatildeo perimetral da rede de computadores
4 Garantir soluccedilotildees tecnoloacutegicas seguras
5 Garantir soluccedilotildees de Continuidade de Negoacutecios
6 Promover conscientizaccedilatildeo contiacutenua sobre o tema
7 Proporcionar ambiente de negoacutecios alinhado agraves melhores praacuteticas
de Seguranccedila da Informaccedilatildeo internacionalmente aceitas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Funccedilotildees da Seguranccedila Digital
bull Proteccedilatildeo
bull Proteccedilatildeo do acervo ndash informaccedilatildeo e reputaccedilatildeo
bull Controle corporativo ndash obrigaccedilotildees legais
bull Viabilizaccedilatildeo de Negoacutecios
bull Competitividade e produtividade
bull Utilizar a Internet para atingir novos mercados
bull Estabelecer novas praacuteticas operacionais
bull e-Security estaacute baseado na credibilidade do usuaacuterio na empresa e nos serviccedilos que ela oferece
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Modelo de Seguranccedila Responsabilidade Civil do Executivo de
Negoacutecios (ISO 17799 12)
Responsabilidade Civil do CIO
(ISO 17799 12)
Conformidade com a
Lei e Regulamentaccedilatildeo
(ISO 17799 12)
Seguranccedila Fiacutesica
(ISO 17799 7)
Aplicaccedilatildeo Segura
(desenvolvimento
e produccedilatildeo)
(ISO 17799 10)
Seguranccedila da Infra-estrutura
(ISO 17799 589)
Conscientizaccedilatildeo e
Responsabilizaccedilatildeo dos
Usuaacuterios (ISO 17799 6)
Contratos com Fornecedores
(ISO 17799 4)
Continuidade do Negoacutecio
(ISO 17799 11)
Evidecircncias Forenses
(ISO 17799 12)
Monitoraccedilatildeo e Respostas a
Incidentes (ISO 17799 9)
Poliacutetica de Seguranccedila
(ISO 17799 3)
Infra-estrutura
Sistemas
Negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
O Modelo de Seguranccedila
Infra-estrutura
Sistemas
Negoacutecios
Clientes
Fornecedores
Agecircncias Reguladoras
Fazenda
Usuaacuterios
Judiciaacuterio
Melhores Praacuteticas
Integraccedilatildeo com o negoacutecio
Combate a Fraudes
Ambiente Heterogecircneo
Novas Tecnologias
Conformidade
Anaacutelise de Riscos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Perguntas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
RICARDO THEIL
Muito obrigado
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Ciber Ataque existe sim
Scaning Worms - The SQL Slammer attack
bull Janeiro de 2003 ndash SQL Slammer worm ndash Dobrava o numero de sistemas atacados a cada 85
segundos ndash Infectou 90 dos servidores vulneraacuteveis em apenas 10
minutos ndash Apenas 3 minutos apoacutes sua ativaccedilatildeo jaacute verificava os
servidores a uma velocidade de 55 milhotildees de verificaccedilotildees por segundo
ndash Infectou 75000 servidores com seacuterias consequumlecircncias bull 13000 ATM do Bank of America foram desabilitados bull O serviccedilo de emergecircncia 911 foi desabilitado afetando
680000 pessoas bull 14 corpos de bombeiros e 02 delegacias tambeacutem
foram afetados bull A Microsoft jaacute havia disponibilizado a correccedilatildeo a
6 meses
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Sabotagem Digital PDVSA
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Sabotagem Digital PDVSA
235
28
596
126 No petrolero
privado
Petrolero Puacuteblico
No petrolero
puacuteblico
Otros
-475 -112
-72 -10
D I
-236 -141
-27
Total -29
Queda do PIB Total 29 Primeiro Trimestre de 2003
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Norma NBR ISOIEC-17799 publicadas pela ABNT
CBK ndash Common Body of Knowledge do (ISC)2
TCSEC ndash Padratildeo US DoD (Orange Book)
ITSEC ndash Padratildeo Europeu
Common Criteria ndash ISO 15404
NIST 800 series
Melhores praacuteticas de seguranccedila de informaccedilotildees
Aderecircncia a Normas e padrotildees geralmente aceitos ndash GASSP
(Generally Accepted System Security Principles)
Adoccedilatildeo de Metodologias especiacuteficas para Seguranccedila da Informaccedilatildeo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Bacen
CVM
ANBID
C Civil
Basileacuteia II (RO)
HIPAA
SOx
outras normas e regulamentaccedilotildees
Atendimento a regulamentaccedilotildees
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Associaccedilotildees profissionais
ISSA
ISACA
ASIS
CSI
Grupos de trabalho
CB21 (Norma ABNT ISOIEC 17799)
Cerificaccedilotildees profissionais
CISSP
CISM
MCSO
CISA
CPP
Oportunidades de desenvolvimento do CSO
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
A Seguranccedila da Informaccedilatildeo natildeo deve ser um fim em si mesma
1 Melhor performance
2 Reduccedilatildeo de perdas
3 Compliance
4 Seguranccedila como agente habilitador de negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Capacitaccedilatildeo e
conscientizaccedilatildeo Monitoramento
Pessoas
Ferramentas e
mecanismos
bem configurados
Meacutetricas padrotildees
poliacuteticas e procedimentos Apoio da Alta
Administraccedilatildeo
Fatores Criacuteticos de Sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Endosso da Alta Administraccedilatildeo
Objetivo
Equipe
Independecircncia
Alinhamento ao Negoacutecio
Reporte Executivo Administraccedilatildeo e Controle
(Orccedilamento x meacutetricas de retorno da funccedilatildeo)
Comunicaccedilatildeo e Conscientizaccedilatildeo
Metodologia normas e modelos
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Outros fatores
Projetos
BAU (dia a dia)
Demonstrar o Sucesso
Benefiacutecios
Atuar mediante um plano
Coordenar atividades
Interagir melhor com deptos
Viabilizar continuidade
Integraccedilatildeo com o negoacutecio
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Princiacutepios que devem ser perseguidos
1 Proteger as pessoas e suas informaccedilotildees privadas (Funcionaacuterios
Clientes Fornecedores Acionistas Oacutergatildeos Reguladores)
2 Garantir Sistemas de Informaccedilatildeo integros e protegidos
3 Proteccedilatildeo perimetral da rede de computadores
4 Garantir soluccedilotildees tecnoloacutegicas seguras
5 Garantir soluccedilotildees de Continuidade de Negoacutecios
6 Promover conscientizaccedilatildeo contiacutenua sobre o tema
7 Proporcionar ambiente de negoacutecios alinhado agraves melhores praacuteticas
de Seguranccedila da Informaccedilatildeo internacionalmente aceitas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Funccedilotildees da Seguranccedila Digital
bull Proteccedilatildeo
bull Proteccedilatildeo do acervo ndash informaccedilatildeo e reputaccedilatildeo
bull Controle corporativo ndash obrigaccedilotildees legais
bull Viabilizaccedilatildeo de Negoacutecios
bull Competitividade e produtividade
bull Utilizar a Internet para atingir novos mercados
bull Estabelecer novas praacuteticas operacionais
bull e-Security estaacute baseado na credibilidade do usuaacuterio na empresa e nos serviccedilos que ela oferece
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Modelo de Seguranccedila Responsabilidade Civil do Executivo de
Negoacutecios (ISO 17799 12)
Responsabilidade Civil do CIO
(ISO 17799 12)
Conformidade com a
Lei e Regulamentaccedilatildeo
(ISO 17799 12)
Seguranccedila Fiacutesica
(ISO 17799 7)
Aplicaccedilatildeo Segura
(desenvolvimento
e produccedilatildeo)
(ISO 17799 10)
Seguranccedila da Infra-estrutura
(ISO 17799 589)
Conscientizaccedilatildeo e
Responsabilizaccedilatildeo dos
Usuaacuterios (ISO 17799 6)
Contratos com Fornecedores
(ISO 17799 4)
Continuidade do Negoacutecio
(ISO 17799 11)
Evidecircncias Forenses
(ISO 17799 12)
Monitoraccedilatildeo e Respostas a
Incidentes (ISO 17799 9)
Poliacutetica de Seguranccedila
(ISO 17799 3)
Infra-estrutura
Sistemas
Negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
O Modelo de Seguranccedila
Infra-estrutura
Sistemas
Negoacutecios
Clientes
Fornecedores
Agecircncias Reguladoras
Fazenda
Usuaacuterios
Judiciaacuterio
Melhores Praacuteticas
Integraccedilatildeo com o negoacutecio
Combate a Fraudes
Ambiente Heterogecircneo
Novas Tecnologias
Conformidade
Anaacutelise de Riscos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Perguntas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
RICARDO THEIL
Muito obrigado
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Sabotagem Digital PDVSA
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Sabotagem Digital PDVSA
235
28
596
126 No petrolero
privado
Petrolero Puacuteblico
No petrolero
puacuteblico
Otros
-475 -112
-72 -10
D I
-236 -141
-27
Total -29
Queda do PIB Total 29 Primeiro Trimestre de 2003
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Norma NBR ISOIEC-17799 publicadas pela ABNT
CBK ndash Common Body of Knowledge do (ISC)2
TCSEC ndash Padratildeo US DoD (Orange Book)
ITSEC ndash Padratildeo Europeu
Common Criteria ndash ISO 15404
NIST 800 series
Melhores praacuteticas de seguranccedila de informaccedilotildees
Aderecircncia a Normas e padrotildees geralmente aceitos ndash GASSP
(Generally Accepted System Security Principles)
Adoccedilatildeo de Metodologias especiacuteficas para Seguranccedila da Informaccedilatildeo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Bacen
CVM
ANBID
C Civil
Basileacuteia II (RO)
HIPAA
SOx
outras normas e regulamentaccedilotildees
Atendimento a regulamentaccedilotildees
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Associaccedilotildees profissionais
ISSA
ISACA
ASIS
CSI
Grupos de trabalho
CB21 (Norma ABNT ISOIEC 17799)
Cerificaccedilotildees profissionais
CISSP
CISM
MCSO
CISA
CPP
Oportunidades de desenvolvimento do CSO
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
A Seguranccedila da Informaccedilatildeo natildeo deve ser um fim em si mesma
1 Melhor performance
2 Reduccedilatildeo de perdas
3 Compliance
4 Seguranccedila como agente habilitador de negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Capacitaccedilatildeo e
conscientizaccedilatildeo Monitoramento
Pessoas
Ferramentas e
mecanismos
bem configurados
Meacutetricas padrotildees
poliacuteticas e procedimentos Apoio da Alta
Administraccedilatildeo
Fatores Criacuteticos de Sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Endosso da Alta Administraccedilatildeo
Objetivo
Equipe
Independecircncia
Alinhamento ao Negoacutecio
Reporte Executivo Administraccedilatildeo e Controle
(Orccedilamento x meacutetricas de retorno da funccedilatildeo)
Comunicaccedilatildeo e Conscientizaccedilatildeo
Metodologia normas e modelos
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Outros fatores
Projetos
BAU (dia a dia)
Demonstrar o Sucesso
Benefiacutecios
Atuar mediante um plano
Coordenar atividades
Interagir melhor com deptos
Viabilizar continuidade
Integraccedilatildeo com o negoacutecio
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Princiacutepios que devem ser perseguidos
1 Proteger as pessoas e suas informaccedilotildees privadas (Funcionaacuterios
Clientes Fornecedores Acionistas Oacutergatildeos Reguladores)
2 Garantir Sistemas de Informaccedilatildeo integros e protegidos
3 Proteccedilatildeo perimetral da rede de computadores
4 Garantir soluccedilotildees tecnoloacutegicas seguras
5 Garantir soluccedilotildees de Continuidade de Negoacutecios
6 Promover conscientizaccedilatildeo contiacutenua sobre o tema
7 Proporcionar ambiente de negoacutecios alinhado agraves melhores praacuteticas
de Seguranccedila da Informaccedilatildeo internacionalmente aceitas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Funccedilotildees da Seguranccedila Digital
bull Proteccedilatildeo
bull Proteccedilatildeo do acervo ndash informaccedilatildeo e reputaccedilatildeo
bull Controle corporativo ndash obrigaccedilotildees legais
bull Viabilizaccedilatildeo de Negoacutecios
bull Competitividade e produtividade
bull Utilizar a Internet para atingir novos mercados
bull Estabelecer novas praacuteticas operacionais
bull e-Security estaacute baseado na credibilidade do usuaacuterio na empresa e nos serviccedilos que ela oferece
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Modelo de Seguranccedila Responsabilidade Civil do Executivo de
Negoacutecios (ISO 17799 12)
Responsabilidade Civil do CIO
(ISO 17799 12)
Conformidade com a
Lei e Regulamentaccedilatildeo
(ISO 17799 12)
Seguranccedila Fiacutesica
(ISO 17799 7)
Aplicaccedilatildeo Segura
(desenvolvimento
e produccedilatildeo)
(ISO 17799 10)
Seguranccedila da Infra-estrutura
(ISO 17799 589)
Conscientizaccedilatildeo e
Responsabilizaccedilatildeo dos
Usuaacuterios (ISO 17799 6)
Contratos com Fornecedores
(ISO 17799 4)
Continuidade do Negoacutecio
(ISO 17799 11)
Evidecircncias Forenses
(ISO 17799 12)
Monitoraccedilatildeo e Respostas a
Incidentes (ISO 17799 9)
Poliacutetica de Seguranccedila
(ISO 17799 3)
Infra-estrutura
Sistemas
Negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
O Modelo de Seguranccedila
Infra-estrutura
Sistemas
Negoacutecios
Clientes
Fornecedores
Agecircncias Reguladoras
Fazenda
Usuaacuterios
Judiciaacuterio
Melhores Praacuteticas
Integraccedilatildeo com o negoacutecio
Combate a Fraudes
Ambiente Heterogecircneo
Novas Tecnologias
Conformidade
Anaacutelise de Riscos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Perguntas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
RICARDO THEIL
Muito obrigado
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Sabotagem Digital PDVSA
235
28
596
126 No petrolero
privado
Petrolero Puacuteblico
No petrolero
puacuteblico
Otros
-475 -112
-72 -10
D I
-236 -141
-27
Total -29
Queda do PIB Total 29 Primeiro Trimestre de 2003
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Norma NBR ISOIEC-17799 publicadas pela ABNT
CBK ndash Common Body of Knowledge do (ISC)2
TCSEC ndash Padratildeo US DoD (Orange Book)
ITSEC ndash Padratildeo Europeu
Common Criteria ndash ISO 15404
NIST 800 series
Melhores praacuteticas de seguranccedila de informaccedilotildees
Aderecircncia a Normas e padrotildees geralmente aceitos ndash GASSP
(Generally Accepted System Security Principles)
Adoccedilatildeo de Metodologias especiacuteficas para Seguranccedila da Informaccedilatildeo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Bacen
CVM
ANBID
C Civil
Basileacuteia II (RO)
HIPAA
SOx
outras normas e regulamentaccedilotildees
Atendimento a regulamentaccedilotildees
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Associaccedilotildees profissionais
ISSA
ISACA
ASIS
CSI
Grupos de trabalho
CB21 (Norma ABNT ISOIEC 17799)
Cerificaccedilotildees profissionais
CISSP
CISM
MCSO
CISA
CPP
Oportunidades de desenvolvimento do CSO
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
A Seguranccedila da Informaccedilatildeo natildeo deve ser um fim em si mesma
1 Melhor performance
2 Reduccedilatildeo de perdas
3 Compliance
4 Seguranccedila como agente habilitador de negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Capacitaccedilatildeo e
conscientizaccedilatildeo Monitoramento
Pessoas
Ferramentas e
mecanismos
bem configurados
Meacutetricas padrotildees
poliacuteticas e procedimentos Apoio da Alta
Administraccedilatildeo
Fatores Criacuteticos de Sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Endosso da Alta Administraccedilatildeo
Objetivo
Equipe
Independecircncia
Alinhamento ao Negoacutecio
Reporte Executivo Administraccedilatildeo e Controle
(Orccedilamento x meacutetricas de retorno da funccedilatildeo)
Comunicaccedilatildeo e Conscientizaccedilatildeo
Metodologia normas e modelos
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Outros fatores
Projetos
BAU (dia a dia)
Demonstrar o Sucesso
Benefiacutecios
Atuar mediante um plano
Coordenar atividades
Interagir melhor com deptos
Viabilizar continuidade
Integraccedilatildeo com o negoacutecio
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Princiacutepios que devem ser perseguidos
1 Proteger as pessoas e suas informaccedilotildees privadas (Funcionaacuterios
Clientes Fornecedores Acionistas Oacutergatildeos Reguladores)
2 Garantir Sistemas de Informaccedilatildeo integros e protegidos
3 Proteccedilatildeo perimetral da rede de computadores
4 Garantir soluccedilotildees tecnoloacutegicas seguras
5 Garantir soluccedilotildees de Continuidade de Negoacutecios
6 Promover conscientizaccedilatildeo contiacutenua sobre o tema
7 Proporcionar ambiente de negoacutecios alinhado agraves melhores praacuteticas
de Seguranccedila da Informaccedilatildeo internacionalmente aceitas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Funccedilotildees da Seguranccedila Digital
bull Proteccedilatildeo
bull Proteccedilatildeo do acervo ndash informaccedilatildeo e reputaccedilatildeo
bull Controle corporativo ndash obrigaccedilotildees legais
bull Viabilizaccedilatildeo de Negoacutecios
bull Competitividade e produtividade
bull Utilizar a Internet para atingir novos mercados
bull Estabelecer novas praacuteticas operacionais
bull e-Security estaacute baseado na credibilidade do usuaacuterio na empresa e nos serviccedilos que ela oferece
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Modelo de Seguranccedila Responsabilidade Civil do Executivo de
Negoacutecios (ISO 17799 12)
Responsabilidade Civil do CIO
(ISO 17799 12)
Conformidade com a
Lei e Regulamentaccedilatildeo
(ISO 17799 12)
Seguranccedila Fiacutesica
(ISO 17799 7)
Aplicaccedilatildeo Segura
(desenvolvimento
e produccedilatildeo)
(ISO 17799 10)
Seguranccedila da Infra-estrutura
(ISO 17799 589)
Conscientizaccedilatildeo e
Responsabilizaccedilatildeo dos
Usuaacuterios (ISO 17799 6)
Contratos com Fornecedores
(ISO 17799 4)
Continuidade do Negoacutecio
(ISO 17799 11)
Evidecircncias Forenses
(ISO 17799 12)
Monitoraccedilatildeo e Respostas a
Incidentes (ISO 17799 9)
Poliacutetica de Seguranccedila
(ISO 17799 3)
Infra-estrutura
Sistemas
Negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
O Modelo de Seguranccedila
Infra-estrutura
Sistemas
Negoacutecios
Clientes
Fornecedores
Agecircncias Reguladoras
Fazenda
Usuaacuterios
Judiciaacuterio
Melhores Praacuteticas
Integraccedilatildeo com o negoacutecio
Combate a Fraudes
Ambiente Heterogecircneo
Novas Tecnologias
Conformidade
Anaacutelise de Riscos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Perguntas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
RICARDO THEIL
Muito obrigado
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Norma NBR ISOIEC-17799 publicadas pela ABNT
CBK ndash Common Body of Knowledge do (ISC)2
TCSEC ndash Padratildeo US DoD (Orange Book)
ITSEC ndash Padratildeo Europeu
Common Criteria ndash ISO 15404
NIST 800 series
Melhores praacuteticas de seguranccedila de informaccedilotildees
Aderecircncia a Normas e padrotildees geralmente aceitos ndash GASSP
(Generally Accepted System Security Principles)
Adoccedilatildeo de Metodologias especiacuteficas para Seguranccedila da Informaccedilatildeo
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Bacen
CVM
ANBID
C Civil
Basileacuteia II (RO)
HIPAA
SOx
outras normas e regulamentaccedilotildees
Atendimento a regulamentaccedilotildees
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Associaccedilotildees profissionais
ISSA
ISACA
ASIS
CSI
Grupos de trabalho
CB21 (Norma ABNT ISOIEC 17799)
Cerificaccedilotildees profissionais
CISSP
CISM
MCSO
CISA
CPP
Oportunidades de desenvolvimento do CSO
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
A Seguranccedila da Informaccedilatildeo natildeo deve ser um fim em si mesma
1 Melhor performance
2 Reduccedilatildeo de perdas
3 Compliance
4 Seguranccedila como agente habilitador de negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Capacitaccedilatildeo e
conscientizaccedilatildeo Monitoramento
Pessoas
Ferramentas e
mecanismos
bem configurados
Meacutetricas padrotildees
poliacuteticas e procedimentos Apoio da Alta
Administraccedilatildeo
Fatores Criacuteticos de Sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Endosso da Alta Administraccedilatildeo
Objetivo
Equipe
Independecircncia
Alinhamento ao Negoacutecio
Reporte Executivo Administraccedilatildeo e Controle
(Orccedilamento x meacutetricas de retorno da funccedilatildeo)
Comunicaccedilatildeo e Conscientizaccedilatildeo
Metodologia normas e modelos
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Outros fatores
Projetos
BAU (dia a dia)
Demonstrar o Sucesso
Benefiacutecios
Atuar mediante um plano
Coordenar atividades
Interagir melhor com deptos
Viabilizar continuidade
Integraccedilatildeo com o negoacutecio
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Princiacutepios que devem ser perseguidos
1 Proteger as pessoas e suas informaccedilotildees privadas (Funcionaacuterios
Clientes Fornecedores Acionistas Oacutergatildeos Reguladores)
2 Garantir Sistemas de Informaccedilatildeo integros e protegidos
3 Proteccedilatildeo perimetral da rede de computadores
4 Garantir soluccedilotildees tecnoloacutegicas seguras
5 Garantir soluccedilotildees de Continuidade de Negoacutecios
6 Promover conscientizaccedilatildeo contiacutenua sobre o tema
7 Proporcionar ambiente de negoacutecios alinhado agraves melhores praacuteticas
de Seguranccedila da Informaccedilatildeo internacionalmente aceitas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Funccedilotildees da Seguranccedila Digital
bull Proteccedilatildeo
bull Proteccedilatildeo do acervo ndash informaccedilatildeo e reputaccedilatildeo
bull Controle corporativo ndash obrigaccedilotildees legais
bull Viabilizaccedilatildeo de Negoacutecios
bull Competitividade e produtividade
bull Utilizar a Internet para atingir novos mercados
bull Estabelecer novas praacuteticas operacionais
bull e-Security estaacute baseado na credibilidade do usuaacuterio na empresa e nos serviccedilos que ela oferece
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Modelo de Seguranccedila Responsabilidade Civil do Executivo de
Negoacutecios (ISO 17799 12)
Responsabilidade Civil do CIO
(ISO 17799 12)
Conformidade com a
Lei e Regulamentaccedilatildeo
(ISO 17799 12)
Seguranccedila Fiacutesica
(ISO 17799 7)
Aplicaccedilatildeo Segura
(desenvolvimento
e produccedilatildeo)
(ISO 17799 10)
Seguranccedila da Infra-estrutura
(ISO 17799 589)
Conscientizaccedilatildeo e
Responsabilizaccedilatildeo dos
Usuaacuterios (ISO 17799 6)
Contratos com Fornecedores
(ISO 17799 4)
Continuidade do Negoacutecio
(ISO 17799 11)
Evidecircncias Forenses
(ISO 17799 12)
Monitoraccedilatildeo e Respostas a
Incidentes (ISO 17799 9)
Poliacutetica de Seguranccedila
(ISO 17799 3)
Infra-estrutura
Sistemas
Negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
O Modelo de Seguranccedila
Infra-estrutura
Sistemas
Negoacutecios
Clientes
Fornecedores
Agecircncias Reguladoras
Fazenda
Usuaacuterios
Judiciaacuterio
Melhores Praacuteticas
Integraccedilatildeo com o negoacutecio
Combate a Fraudes
Ambiente Heterogecircneo
Novas Tecnologias
Conformidade
Anaacutelise de Riscos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Perguntas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
RICARDO THEIL
Muito obrigado
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Bacen
CVM
ANBID
C Civil
Basileacuteia II (RO)
HIPAA
SOx
outras normas e regulamentaccedilotildees
Atendimento a regulamentaccedilotildees
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Associaccedilotildees profissionais
ISSA
ISACA
ASIS
CSI
Grupos de trabalho
CB21 (Norma ABNT ISOIEC 17799)
Cerificaccedilotildees profissionais
CISSP
CISM
MCSO
CISA
CPP
Oportunidades de desenvolvimento do CSO
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
A Seguranccedila da Informaccedilatildeo natildeo deve ser um fim em si mesma
1 Melhor performance
2 Reduccedilatildeo de perdas
3 Compliance
4 Seguranccedila como agente habilitador de negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Capacitaccedilatildeo e
conscientizaccedilatildeo Monitoramento
Pessoas
Ferramentas e
mecanismos
bem configurados
Meacutetricas padrotildees
poliacuteticas e procedimentos Apoio da Alta
Administraccedilatildeo
Fatores Criacuteticos de Sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Endosso da Alta Administraccedilatildeo
Objetivo
Equipe
Independecircncia
Alinhamento ao Negoacutecio
Reporte Executivo Administraccedilatildeo e Controle
(Orccedilamento x meacutetricas de retorno da funccedilatildeo)
Comunicaccedilatildeo e Conscientizaccedilatildeo
Metodologia normas e modelos
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Outros fatores
Projetos
BAU (dia a dia)
Demonstrar o Sucesso
Benefiacutecios
Atuar mediante um plano
Coordenar atividades
Interagir melhor com deptos
Viabilizar continuidade
Integraccedilatildeo com o negoacutecio
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Princiacutepios que devem ser perseguidos
1 Proteger as pessoas e suas informaccedilotildees privadas (Funcionaacuterios
Clientes Fornecedores Acionistas Oacutergatildeos Reguladores)
2 Garantir Sistemas de Informaccedilatildeo integros e protegidos
3 Proteccedilatildeo perimetral da rede de computadores
4 Garantir soluccedilotildees tecnoloacutegicas seguras
5 Garantir soluccedilotildees de Continuidade de Negoacutecios
6 Promover conscientizaccedilatildeo contiacutenua sobre o tema
7 Proporcionar ambiente de negoacutecios alinhado agraves melhores praacuteticas
de Seguranccedila da Informaccedilatildeo internacionalmente aceitas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Funccedilotildees da Seguranccedila Digital
bull Proteccedilatildeo
bull Proteccedilatildeo do acervo ndash informaccedilatildeo e reputaccedilatildeo
bull Controle corporativo ndash obrigaccedilotildees legais
bull Viabilizaccedilatildeo de Negoacutecios
bull Competitividade e produtividade
bull Utilizar a Internet para atingir novos mercados
bull Estabelecer novas praacuteticas operacionais
bull e-Security estaacute baseado na credibilidade do usuaacuterio na empresa e nos serviccedilos que ela oferece
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Modelo de Seguranccedila Responsabilidade Civil do Executivo de
Negoacutecios (ISO 17799 12)
Responsabilidade Civil do CIO
(ISO 17799 12)
Conformidade com a
Lei e Regulamentaccedilatildeo
(ISO 17799 12)
Seguranccedila Fiacutesica
(ISO 17799 7)
Aplicaccedilatildeo Segura
(desenvolvimento
e produccedilatildeo)
(ISO 17799 10)
Seguranccedila da Infra-estrutura
(ISO 17799 589)
Conscientizaccedilatildeo e
Responsabilizaccedilatildeo dos
Usuaacuterios (ISO 17799 6)
Contratos com Fornecedores
(ISO 17799 4)
Continuidade do Negoacutecio
(ISO 17799 11)
Evidecircncias Forenses
(ISO 17799 12)
Monitoraccedilatildeo e Respostas a
Incidentes (ISO 17799 9)
Poliacutetica de Seguranccedila
(ISO 17799 3)
Infra-estrutura
Sistemas
Negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
O Modelo de Seguranccedila
Infra-estrutura
Sistemas
Negoacutecios
Clientes
Fornecedores
Agecircncias Reguladoras
Fazenda
Usuaacuterios
Judiciaacuterio
Melhores Praacuteticas
Integraccedilatildeo com o negoacutecio
Combate a Fraudes
Ambiente Heterogecircneo
Novas Tecnologias
Conformidade
Anaacutelise de Riscos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Perguntas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
RICARDO THEIL
Muito obrigado
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Associaccedilotildees profissionais
ISSA
ISACA
ASIS
CSI
Grupos de trabalho
CB21 (Norma ABNT ISOIEC 17799)
Cerificaccedilotildees profissionais
CISSP
CISM
MCSO
CISA
CPP
Oportunidades de desenvolvimento do CSO
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
A Seguranccedila da Informaccedilatildeo natildeo deve ser um fim em si mesma
1 Melhor performance
2 Reduccedilatildeo de perdas
3 Compliance
4 Seguranccedila como agente habilitador de negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Capacitaccedilatildeo e
conscientizaccedilatildeo Monitoramento
Pessoas
Ferramentas e
mecanismos
bem configurados
Meacutetricas padrotildees
poliacuteticas e procedimentos Apoio da Alta
Administraccedilatildeo
Fatores Criacuteticos de Sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Endosso da Alta Administraccedilatildeo
Objetivo
Equipe
Independecircncia
Alinhamento ao Negoacutecio
Reporte Executivo Administraccedilatildeo e Controle
(Orccedilamento x meacutetricas de retorno da funccedilatildeo)
Comunicaccedilatildeo e Conscientizaccedilatildeo
Metodologia normas e modelos
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Outros fatores
Projetos
BAU (dia a dia)
Demonstrar o Sucesso
Benefiacutecios
Atuar mediante um plano
Coordenar atividades
Interagir melhor com deptos
Viabilizar continuidade
Integraccedilatildeo com o negoacutecio
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Princiacutepios que devem ser perseguidos
1 Proteger as pessoas e suas informaccedilotildees privadas (Funcionaacuterios
Clientes Fornecedores Acionistas Oacutergatildeos Reguladores)
2 Garantir Sistemas de Informaccedilatildeo integros e protegidos
3 Proteccedilatildeo perimetral da rede de computadores
4 Garantir soluccedilotildees tecnoloacutegicas seguras
5 Garantir soluccedilotildees de Continuidade de Negoacutecios
6 Promover conscientizaccedilatildeo contiacutenua sobre o tema
7 Proporcionar ambiente de negoacutecios alinhado agraves melhores praacuteticas
de Seguranccedila da Informaccedilatildeo internacionalmente aceitas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Funccedilotildees da Seguranccedila Digital
bull Proteccedilatildeo
bull Proteccedilatildeo do acervo ndash informaccedilatildeo e reputaccedilatildeo
bull Controle corporativo ndash obrigaccedilotildees legais
bull Viabilizaccedilatildeo de Negoacutecios
bull Competitividade e produtividade
bull Utilizar a Internet para atingir novos mercados
bull Estabelecer novas praacuteticas operacionais
bull e-Security estaacute baseado na credibilidade do usuaacuterio na empresa e nos serviccedilos que ela oferece
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Modelo de Seguranccedila Responsabilidade Civil do Executivo de
Negoacutecios (ISO 17799 12)
Responsabilidade Civil do CIO
(ISO 17799 12)
Conformidade com a
Lei e Regulamentaccedilatildeo
(ISO 17799 12)
Seguranccedila Fiacutesica
(ISO 17799 7)
Aplicaccedilatildeo Segura
(desenvolvimento
e produccedilatildeo)
(ISO 17799 10)
Seguranccedila da Infra-estrutura
(ISO 17799 589)
Conscientizaccedilatildeo e
Responsabilizaccedilatildeo dos
Usuaacuterios (ISO 17799 6)
Contratos com Fornecedores
(ISO 17799 4)
Continuidade do Negoacutecio
(ISO 17799 11)
Evidecircncias Forenses
(ISO 17799 12)
Monitoraccedilatildeo e Respostas a
Incidentes (ISO 17799 9)
Poliacutetica de Seguranccedila
(ISO 17799 3)
Infra-estrutura
Sistemas
Negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
O Modelo de Seguranccedila
Infra-estrutura
Sistemas
Negoacutecios
Clientes
Fornecedores
Agecircncias Reguladoras
Fazenda
Usuaacuterios
Judiciaacuterio
Melhores Praacuteticas
Integraccedilatildeo com o negoacutecio
Combate a Fraudes
Ambiente Heterogecircneo
Novas Tecnologias
Conformidade
Anaacutelise de Riscos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Perguntas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
RICARDO THEIL
Muito obrigado
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
A Seguranccedila da Informaccedilatildeo natildeo deve ser um fim em si mesma
1 Melhor performance
2 Reduccedilatildeo de perdas
3 Compliance
4 Seguranccedila como agente habilitador de negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Capacitaccedilatildeo e
conscientizaccedilatildeo Monitoramento
Pessoas
Ferramentas e
mecanismos
bem configurados
Meacutetricas padrotildees
poliacuteticas e procedimentos Apoio da Alta
Administraccedilatildeo
Fatores Criacuteticos de Sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Endosso da Alta Administraccedilatildeo
Objetivo
Equipe
Independecircncia
Alinhamento ao Negoacutecio
Reporte Executivo Administraccedilatildeo e Controle
(Orccedilamento x meacutetricas de retorno da funccedilatildeo)
Comunicaccedilatildeo e Conscientizaccedilatildeo
Metodologia normas e modelos
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Outros fatores
Projetos
BAU (dia a dia)
Demonstrar o Sucesso
Benefiacutecios
Atuar mediante um plano
Coordenar atividades
Interagir melhor com deptos
Viabilizar continuidade
Integraccedilatildeo com o negoacutecio
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Princiacutepios que devem ser perseguidos
1 Proteger as pessoas e suas informaccedilotildees privadas (Funcionaacuterios
Clientes Fornecedores Acionistas Oacutergatildeos Reguladores)
2 Garantir Sistemas de Informaccedilatildeo integros e protegidos
3 Proteccedilatildeo perimetral da rede de computadores
4 Garantir soluccedilotildees tecnoloacutegicas seguras
5 Garantir soluccedilotildees de Continuidade de Negoacutecios
6 Promover conscientizaccedilatildeo contiacutenua sobre o tema
7 Proporcionar ambiente de negoacutecios alinhado agraves melhores praacuteticas
de Seguranccedila da Informaccedilatildeo internacionalmente aceitas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Funccedilotildees da Seguranccedila Digital
bull Proteccedilatildeo
bull Proteccedilatildeo do acervo ndash informaccedilatildeo e reputaccedilatildeo
bull Controle corporativo ndash obrigaccedilotildees legais
bull Viabilizaccedilatildeo de Negoacutecios
bull Competitividade e produtividade
bull Utilizar a Internet para atingir novos mercados
bull Estabelecer novas praacuteticas operacionais
bull e-Security estaacute baseado na credibilidade do usuaacuterio na empresa e nos serviccedilos que ela oferece
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Modelo de Seguranccedila Responsabilidade Civil do Executivo de
Negoacutecios (ISO 17799 12)
Responsabilidade Civil do CIO
(ISO 17799 12)
Conformidade com a
Lei e Regulamentaccedilatildeo
(ISO 17799 12)
Seguranccedila Fiacutesica
(ISO 17799 7)
Aplicaccedilatildeo Segura
(desenvolvimento
e produccedilatildeo)
(ISO 17799 10)
Seguranccedila da Infra-estrutura
(ISO 17799 589)
Conscientizaccedilatildeo e
Responsabilizaccedilatildeo dos
Usuaacuterios (ISO 17799 6)
Contratos com Fornecedores
(ISO 17799 4)
Continuidade do Negoacutecio
(ISO 17799 11)
Evidecircncias Forenses
(ISO 17799 12)
Monitoraccedilatildeo e Respostas a
Incidentes (ISO 17799 9)
Poliacutetica de Seguranccedila
(ISO 17799 3)
Infra-estrutura
Sistemas
Negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
O Modelo de Seguranccedila
Infra-estrutura
Sistemas
Negoacutecios
Clientes
Fornecedores
Agecircncias Reguladoras
Fazenda
Usuaacuterios
Judiciaacuterio
Melhores Praacuteticas
Integraccedilatildeo com o negoacutecio
Combate a Fraudes
Ambiente Heterogecircneo
Novas Tecnologias
Conformidade
Anaacutelise de Riscos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Perguntas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
RICARDO THEIL
Muito obrigado
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Capacitaccedilatildeo e
conscientizaccedilatildeo Monitoramento
Pessoas
Ferramentas e
mecanismos
bem configurados
Meacutetricas padrotildees
poliacuteticas e procedimentos Apoio da Alta
Administraccedilatildeo
Fatores Criacuteticos de Sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Endosso da Alta Administraccedilatildeo
Objetivo
Equipe
Independecircncia
Alinhamento ao Negoacutecio
Reporte Executivo Administraccedilatildeo e Controle
(Orccedilamento x meacutetricas de retorno da funccedilatildeo)
Comunicaccedilatildeo e Conscientizaccedilatildeo
Metodologia normas e modelos
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Outros fatores
Projetos
BAU (dia a dia)
Demonstrar o Sucesso
Benefiacutecios
Atuar mediante um plano
Coordenar atividades
Interagir melhor com deptos
Viabilizar continuidade
Integraccedilatildeo com o negoacutecio
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Princiacutepios que devem ser perseguidos
1 Proteger as pessoas e suas informaccedilotildees privadas (Funcionaacuterios
Clientes Fornecedores Acionistas Oacutergatildeos Reguladores)
2 Garantir Sistemas de Informaccedilatildeo integros e protegidos
3 Proteccedilatildeo perimetral da rede de computadores
4 Garantir soluccedilotildees tecnoloacutegicas seguras
5 Garantir soluccedilotildees de Continuidade de Negoacutecios
6 Promover conscientizaccedilatildeo contiacutenua sobre o tema
7 Proporcionar ambiente de negoacutecios alinhado agraves melhores praacuteticas
de Seguranccedila da Informaccedilatildeo internacionalmente aceitas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Funccedilotildees da Seguranccedila Digital
bull Proteccedilatildeo
bull Proteccedilatildeo do acervo ndash informaccedilatildeo e reputaccedilatildeo
bull Controle corporativo ndash obrigaccedilotildees legais
bull Viabilizaccedilatildeo de Negoacutecios
bull Competitividade e produtividade
bull Utilizar a Internet para atingir novos mercados
bull Estabelecer novas praacuteticas operacionais
bull e-Security estaacute baseado na credibilidade do usuaacuterio na empresa e nos serviccedilos que ela oferece
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Modelo de Seguranccedila Responsabilidade Civil do Executivo de
Negoacutecios (ISO 17799 12)
Responsabilidade Civil do CIO
(ISO 17799 12)
Conformidade com a
Lei e Regulamentaccedilatildeo
(ISO 17799 12)
Seguranccedila Fiacutesica
(ISO 17799 7)
Aplicaccedilatildeo Segura
(desenvolvimento
e produccedilatildeo)
(ISO 17799 10)
Seguranccedila da Infra-estrutura
(ISO 17799 589)
Conscientizaccedilatildeo e
Responsabilizaccedilatildeo dos
Usuaacuterios (ISO 17799 6)
Contratos com Fornecedores
(ISO 17799 4)
Continuidade do Negoacutecio
(ISO 17799 11)
Evidecircncias Forenses
(ISO 17799 12)
Monitoraccedilatildeo e Respostas a
Incidentes (ISO 17799 9)
Poliacutetica de Seguranccedila
(ISO 17799 3)
Infra-estrutura
Sistemas
Negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
O Modelo de Seguranccedila
Infra-estrutura
Sistemas
Negoacutecios
Clientes
Fornecedores
Agecircncias Reguladoras
Fazenda
Usuaacuterios
Judiciaacuterio
Melhores Praacuteticas
Integraccedilatildeo com o negoacutecio
Combate a Fraudes
Ambiente Heterogecircneo
Novas Tecnologias
Conformidade
Anaacutelise de Riscos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Perguntas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
RICARDO THEIL
Muito obrigado
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Endosso da Alta Administraccedilatildeo
Objetivo
Equipe
Independecircncia
Alinhamento ao Negoacutecio
Reporte Executivo Administraccedilatildeo e Controle
(Orccedilamento x meacutetricas de retorno da funccedilatildeo)
Comunicaccedilatildeo e Conscientizaccedilatildeo
Metodologia normas e modelos
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Outros fatores
Projetos
BAU (dia a dia)
Demonstrar o Sucesso
Benefiacutecios
Atuar mediante um plano
Coordenar atividades
Interagir melhor com deptos
Viabilizar continuidade
Integraccedilatildeo com o negoacutecio
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Princiacutepios que devem ser perseguidos
1 Proteger as pessoas e suas informaccedilotildees privadas (Funcionaacuterios
Clientes Fornecedores Acionistas Oacutergatildeos Reguladores)
2 Garantir Sistemas de Informaccedilatildeo integros e protegidos
3 Proteccedilatildeo perimetral da rede de computadores
4 Garantir soluccedilotildees tecnoloacutegicas seguras
5 Garantir soluccedilotildees de Continuidade de Negoacutecios
6 Promover conscientizaccedilatildeo contiacutenua sobre o tema
7 Proporcionar ambiente de negoacutecios alinhado agraves melhores praacuteticas
de Seguranccedila da Informaccedilatildeo internacionalmente aceitas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Funccedilotildees da Seguranccedila Digital
bull Proteccedilatildeo
bull Proteccedilatildeo do acervo ndash informaccedilatildeo e reputaccedilatildeo
bull Controle corporativo ndash obrigaccedilotildees legais
bull Viabilizaccedilatildeo de Negoacutecios
bull Competitividade e produtividade
bull Utilizar a Internet para atingir novos mercados
bull Estabelecer novas praacuteticas operacionais
bull e-Security estaacute baseado na credibilidade do usuaacuterio na empresa e nos serviccedilos que ela oferece
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Modelo de Seguranccedila Responsabilidade Civil do Executivo de
Negoacutecios (ISO 17799 12)
Responsabilidade Civil do CIO
(ISO 17799 12)
Conformidade com a
Lei e Regulamentaccedilatildeo
(ISO 17799 12)
Seguranccedila Fiacutesica
(ISO 17799 7)
Aplicaccedilatildeo Segura
(desenvolvimento
e produccedilatildeo)
(ISO 17799 10)
Seguranccedila da Infra-estrutura
(ISO 17799 589)
Conscientizaccedilatildeo e
Responsabilizaccedilatildeo dos
Usuaacuterios (ISO 17799 6)
Contratos com Fornecedores
(ISO 17799 4)
Continuidade do Negoacutecio
(ISO 17799 11)
Evidecircncias Forenses
(ISO 17799 12)
Monitoraccedilatildeo e Respostas a
Incidentes (ISO 17799 9)
Poliacutetica de Seguranccedila
(ISO 17799 3)
Infra-estrutura
Sistemas
Negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
O Modelo de Seguranccedila
Infra-estrutura
Sistemas
Negoacutecios
Clientes
Fornecedores
Agecircncias Reguladoras
Fazenda
Usuaacuterios
Judiciaacuterio
Melhores Praacuteticas
Integraccedilatildeo com o negoacutecio
Combate a Fraudes
Ambiente Heterogecircneo
Novas Tecnologias
Conformidade
Anaacutelise de Riscos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Perguntas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
RICARDO THEIL
Muito obrigado
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Outros fatores
Projetos
BAU (dia a dia)
Demonstrar o Sucesso
Benefiacutecios
Atuar mediante um plano
Coordenar atividades
Interagir melhor com deptos
Viabilizar continuidade
Integraccedilatildeo com o negoacutecio
Fatores criacuteticos de sucesso
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Princiacutepios que devem ser perseguidos
1 Proteger as pessoas e suas informaccedilotildees privadas (Funcionaacuterios
Clientes Fornecedores Acionistas Oacutergatildeos Reguladores)
2 Garantir Sistemas de Informaccedilatildeo integros e protegidos
3 Proteccedilatildeo perimetral da rede de computadores
4 Garantir soluccedilotildees tecnoloacutegicas seguras
5 Garantir soluccedilotildees de Continuidade de Negoacutecios
6 Promover conscientizaccedilatildeo contiacutenua sobre o tema
7 Proporcionar ambiente de negoacutecios alinhado agraves melhores praacuteticas
de Seguranccedila da Informaccedilatildeo internacionalmente aceitas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Funccedilotildees da Seguranccedila Digital
bull Proteccedilatildeo
bull Proteccedilatildeo do acervo ndash informaccedilatildeo e reputaccedilatildeo
bull Controle corporativo ndash obrigaccedilotildees legais
bull Viabilizaccedilatildeo de Negoacutecios
bull Competitividade e produtividade
bull Utilizar a Internet para atingir novos mercados
bull Estabelecer novas praacuteticas operacionais
bull e-Security estaacute baseado na credibilidade do usuaacuterio na empresa e nos serviccedilos que ela oferece
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Modelo de Seguranccedila Responsabilidade Civil do Executivo de
Negoacutecios (ISO 17799 12)
Responsabilidade Civil do CIO
(ISO 17799 12)
Conformidade com a
Lei e Regulamentaccedilatildeo
(ISO 17799 12)
Seguranccedila Fiacutesica
(ISO 17799 7)
Aplicaccedilatildeo Segura
(desenvolvimento
e produccedilatildeo)
(ISO 17799 10)
Seguranccedila da Infra-estrutura
(ISO 17799 589)
Conscientizaccedilatildeo e
Responsabilizaccedilatildeo dos
Usuaacuterios (ISO 17799 6)
Contratos com Fornecedores
(ISO 17799 4)
Continuidade do Negoacutecio
(ISO 17799 11)
Evidecircncias Forenses
(ISO 17799 12)
Monitoraccedilatildeo e Respostas a
Incidentes (ISO 17799 9)
Poliacutetica de Seguranccedila
(ISO 17799 3)
Infra-estrutura
Sistemas
Negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
O Modelo de Seguranccedila
Infra-estrutura
Sistemas
Negoacutecios
Clientes
Fornecedores
Agecircncias Reguladoras
Fazenda
Usuaacuterios
Judiciaacuterio
Melhores Praacuteticas
Integraccedilatildeo com o negoacutecio
Combate a Fraudes
Ambiente Heterogecircneo
Novas Tecnologias
Conformidade
Anaacutelise de Riscos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Perguntas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
RICARDO THEIL
Muito obrigado
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Princiacutepios que devem ser perseguidos
1 Proteger as pessoas e suas informaccedilotildees privadas (Funcionaacuterios
Clientes Fornecedores Acionistas Oacutergatildeos Reguladores)
2 Garantir Sistemas de Informaccedilatildeo integros e protegidos
3 Proteccedilatildeo perimetral da rede de computadores
4 Garantir soluccedilotildees tecnoloacutegicas seguras
5 Garantir soluccedilotildees de Continuidade de Negoacutecios
6 Promover conscientizaccedilatildeo contiacutenua sobre o tema
7 Proporcionar ambiente de negoacutecios alinhado agraves melhores praacuteticas
de Seguranccedila da Informaccedilatildeo internacionalmente aceitas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Funccedilotildees da Seguranccedila Digital
bull Proteccedilatildeo
bull Proteccedilatildeo do acervo ndash informaccedilatildeo e reputaccedilatildeo
bull Controle corporativo ndash obrigaccedilotildees legais
bull Viabilizaccedilatildeo de Negoacutecios
bull Competitividade e produtividade
bull Utilizar a Internet para atingir novos mercados
bull Estabelecer novas praacuteticas operacionais
bull e-Security estaacute baseado na credibilidade do usuaacuterio na empresa e nos serviccedilos que ela oferece
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Modelo de Seguranccedila Responsabilidade Civil do Executivo de
Negoacutecios (ISO 17799 12)
Responsabilidade Civil do CIO
(ISO 17799 12)
Conformidade com a
Lei e Regulamentaccedilatildeo
(ISO 17799 12)
Seguranccedila Fiacutesica
(ISO 17799 7)
Aplicaccedilatildeo Segura
(desenvolvimento
e produccedilatildeo)
(ISO 17799 10)
Seguranccedila da Infra-estrutura
(ISO 17799 589)
Conscientizaccedilatildeo e
Responsabilizaccedilatildeo dos
Usuaacuterios (ISO 17799 6)
Contratos com Fornecedores
(ISO 17799 4)
Continuidade do Negoacutecio
(ISO 17799 11)
Evidecircncias Forenses
(ISO 17799 12)
Monitoraccedilatildeo e Respostas a
Incidentes (ISO 17799 9)
Poliacutetica de Seguranccedila
(ISO 17799 3)
Infra-estrutura
Sistemas
Negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
O Modelo de Seguranccedila
Infra-estrutura
Sistemas
Negoacutecios
Clientes
Fornecedores
Agecircncias Reguladoras
Fazenda
Usuaacuterios
Judiciaacuterio
Melhores Praacuteticas
Integraccedilatildeo com o negoacutecio
Combate a Fraudes
Ambiente Heterogecircneo
Novas Tecnologias
Conformidade
Anaacutelise de Riscos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Perguntas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
RICARDO THEIL
Muito obrigado
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Funccedilotildees da Seguranccedila Digital
bull Proteccedilatildeo
bull Proteccedilatildeo do acervo ndash informaccedilatildeo e reputaccedilatildeo
bull Controle corporativo ndash obrigaccedilotildees legais
bull Viabilizaccedilatildeo de Negoacutecios
bull Competitividade e produtividade
bull Utilizar a Internet para atingir novos mercados
bull Estabelecer novas praacuteticas operacionais
bull e-Security estaacute baseado na credibilidade do usuaacuterio na empresa e nos serviccedilos que ela oferece
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Modelo de Seguranccedila Responsabilidade Civil do Executivo de
Negoacutecios (ISO 17799 12)
Responsabilidade Civil do CIO
(ISO 17799 12)
Conformidade com a
Lei e Regulamentaccedilatildeo
(ISO 17799 12)
Seguranccedila Fiacutesica
(ISO 17799 7)
Aplicaccedilatildeo Segura
(desenvolvimento
e produccedilatildeo)
(ISO 17799 10)
Seguranccedila da Infra-estrutura
(ISO 17799 589)
Conscientizaccedilatildeo e
Responsabilizaccedilatildeo dos
Usuaacuterios (ISO 17799 6)
Contratos com Fornecedores
(ISO 17799 4)
Continuidade do Negoacutecio
(ISO 17799 11)
Evidecircncias Forenses
(ISO 17799 12)
Monitoraccedilatildeo e Respostas a
Incidentes (ISO 17799 9)
Poliacutetica de Seguranccedila
(ISO 17799 3)
Infra-estrutura
Sistemas
Negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
O Modelo de Seguranccedila
Infra-estrutura
Sistemas
Negoacutecios
Clientes
Fornecedores
Agecircncias Reguladoras
Fazenda
Usuaacuterios
Judiciaacuterio
Melhores Praacuteticas
Integraccedilatildeo com o negoacutecio
Combate a Fraudes
Ambiente Heterogecircneo
Novas Tecnologias
Conformidade
Anaacutelise de Riscos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Perguntas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
RICARDO THEIL
Muito obrigado
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Modelo de Seguranccedila Responsabilidade Civil do Executivo de
Negoacutecios (ISO 17799 12)
Responsabilidade Civil do CIO
(ISO 17799 12)
Conformidade com a
Lei e Regulamentaccedilatildeo
(ISO 17799 12)
Seguranccedila Fiacutesica
(ISO 17799 7)
Aplicaccedilatildeo Segura
(desenvolvimento
e produccedilatildeo)
(ISO 17799 10)
Seguranccedila da Infra-estrutura
(ISO 17799 589)
Conscientizaccedilatildeo e
Responsabilizaccedilatildeo dos
Usuaacuterios (ISO 17799 6)
Contratos com Fornecedores
(ISO 17799 4)
Continuidade do Negoacutecio
(ISO 17799 11)
Evidecircncias Forenses
(ISO 17799 12)
Monitoraccedilatildeo e Respostas a
Incidentes (ISO 17799 9)
Poliacutetica de Seguranccedila
(ISO 17799 3)
Infra-estrutura
Sistemas
Negoacutecios
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
O Modelo de Seguranccedila
Infra-estrutura
Sistemas
Negoacutecios
Clientes
Fornecedores
Agecircncias Reguladoras
Fazenda
Usuaacuterios
Judiciaacuterio
Melhores Praacuteticas
Integraccedilatildeo com o negoacutecio
Combate a Fraudes
Ambiente Heterogecircneo
Novas Tecnologias
Conformidade
Anaacutelise de Riscos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Perguntas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
RICARDO THEIL
Muito obrigado
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
O Modelo de Seguranccedila
Infra-estrutura
Sistemas
Negoacutecios
Clientes
Fornecedores
Agecircncias Reguladoras
Fazenda
Usuaacuterios
Judiciaacuterio
Melhores Praacuteticas
Integraccedilatildeo com o negoacutecio
Combate a Fraudes
Ambiente Heterogecircneo
Novas Tecnologias
Conformidade
Anaacutelise de Riscos
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Perguntas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
RICARDO THEIL
Muito obrigado
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
Perguntas
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
RICARDO THEIL
Muito obrigado
2o SIMPOacuteSIO LATINO AMERICANO DE SEGURANCcedilA MICROSOFT
RICARDO THEIL
Muito obrigado