Gestão de Riscos da Segurança da Informação – Uma questão Estratégica. O documento discute os desafios da segurança da informação e como a gestão de riscos pode beneficiar os negócios ao identificar riscos de segurança de forma preventiva e priorizar investimentos com base em análise transparente. O processo de análise de riscos da SETi é baseado na norma ISO 27005 e consiste em sete fases.

1. Gestão de Riscos
da Segurança da
Informação – Uma
questão Estratégica
Danilo Penna
danilo.penna@setibt.com
16-9101 2744

2. Agenda
 Desafios da Segurança da Informação.
 Por quê e como a gestão de risco pode beneficiar o
negócio?
 O processo de avaliação de riscos da SETi.

3. Por que o mercado de segurança é
dinâmico?
Ameaças Lei de Moore
Novos Produtos Troca de Dispositivos
Mudanças Constantes
Novas Tecnologias

4. Desafios de Segurança da
Informação
 Segurança de Rede
 Segurança de Dados
 Monitoramento de Segurança
 Consumerização / Mobilidade
 Gerenciamento de Identidade e Acesso
 Segurança em Nuvem
 Continuidade de Negócios e Recuperação de Desastres
 Privacidade
 Governança e Gestão de Risco
 Maturidade de Segurança da Informação

5. Segurança de Rede
http://www.crn.com/news/networking/240007163/godaddy-outage-caused-by-network-failure-not-anonymous-hack.htm

6. Segurança de Dados
http://arstechnica.com/security/2012/07/yahoo-service-hacked/

7. Segurança em Nuvem
http://news.cnet.com/8301-1023_3-57537499-93/amazon-cloud-outage-impacts-reddit-airbnb-flipboard/

8. Continuidade de Negócios e
Recuperação de Desastres
http://www.zdnet.com/hurricane-sandy-knocks-out-nyc-data-centers-websites-services-down-7000006588/

9. Privacidade
http://www.estadao.com.br/noticias/vidae,mec-vai-apurar-vazamento-de-dados-de-inscritos-no-enem,590248,0.htm

10. Governança e Gestão de Risco
http://www.institutocarbonobrasil.org.br/noticias2/noticia=731533

11. Quem são os atacantes?
 Internos
 Intencionais
 Não Intencionais
 Externos
 Intencionais
 Não Intencionais

12. Quem são os atacantes?

13. Origem dos ataques que causaram
um maior impacto, financeiro ou não

14. Objetivos mais comuns de atacantes
internos

15. Principais ameaças internas
 Cyber ataques
 Engenharia social
 Download de conteúdo malicioso pela
Internet
 Vazamento de Informação
 Atividades ilegais
http://www.zdnet.com/the-top-five-internal-security-threats-3039363097/

16. Como e por que a gestão de risco
pode beneficiar o negócio?

17. Como?
 Conhecimento e visão geral do ambiente
de TI
 Transparência
 Auxilia em tomada de decisões
estratégicas
 Reduz a subjetividade

18. Por quê?
Identificar riscos de segurança antes
que sejam explorados, ou seja de forma
preventiva.

19. Por quê?
Identificar, avaliar
e priorizar os
riscos e requisitos
de segurança da
organização.

20. Por quê?
Priorizar e justificar
os investimentos em
segurança da
informação de forma
clara e transparente.

21. O Processo de análise de riscos da
SETi

22. O Processo de análise de riscos da
SETi
 Baseado na ISO 27005
 Consiste em 7 Fases
 CARACTERIZAÇÃO DO AMBIENTE DE TI
 IDENTIFICAÇÃO DOS RISCOS
 ANÁLISE DOS CONTROLES
 DETERMINAÇÃO DA PROBABILIDADE DO RISCO
 ANÁLISE DO IMPACTO
 DETERMINAÇÃO DO RISCO
 RECOMENDAÇÕES

23. Obrigado!
WWW.SETI.INF.BR
R JOÃO PENTEADO 60
RIBEIRÃO PRETO SP
3505-3777