370 likes | 467 Views
Perfil da Segurança de Sistemas Ernani Elias de Souza. Relação TI X PIB. Situação das empresas em relação a TI. O uso da TI na publicidade. Comércio Eletrônico. Bilhões $. Source: International Data Corporation. Comércio Eletrônico Varejo - Brasil. Fonte: e-Consulting.
E N D
Comércio Eletrônico Bilhões $ Source: International Data Corporation
Comércio Eletrônico Varejo - Brasil Fonte: e-Consulting
Incidentes Reportados ao CERT.br -- Julho a Setembro de 2008 • Observação: • Este gráfico não inclui os dados referentes a worms.
Incidentes Reportados ao CERT.br -- Julho a Setembro de 2008
Incidentes de Segurança - 2005 Fonte: www.cert.br
2010 Incidentes Reportados ao CERT.br -- Julho a Setembro de 2008
Incidentes Reportados ao CERT.br -- Julho a Setembro de 2008
Incidentes Reportados ao CERT.br -- Julho a Setembro de 2008
Comparativo de Custo por tipo de Transação Source: Frans Hesp ABN-AMRO 11/99 110¢ 55¢ 35¢ 11¢
Fatores que Afetam o crescimento das transações eletrônicas Legislação Tecnologia Aplicações Culturais Confiança
Sugestões de Melhores Práticas • 1. A segurança da informação deve ser elaborada de forma ativa e preventiva, ou seja, o trabalho deve ser feito antecipadamente a uma perda de informação, os profissionais de segurança geralmente CSOs (Chief Security Officers), devem identificar padrões, vulnerabilidades e contramedidas para evitar a fuga e tornar eficaz o processo de gestão. • 2. O modelo de segurança da informação proposto deve ser alicerçado em medidas ativas. Estas são métodos para reduzir as vulnerabilidades no processo de produção, armazenamento e compartilhamento das informações. Devem ser vistas sob o prisma antecipatório, ou seja, preventivo. É por esta razão que a identificação da intrusão deve ser antes e não depois da perda de informação ou evento.
3. Os responsáveis pela proteção das informações e conhecimentos corporativos, CSOs, precisam adotar procedimentos para conduzir uma avaliação periódica sobre segurança, revisar os resultados com sua equipe e comunicar o resultado para a alta gestão; • 4. Os CSOs precisam planejar, patrocinar e incentivar a adoção de boas práticas corporativas para segurança computacional, sendo municiados com indicadores objetivos que permitam avaliar as ameaças e vulnerabilidades;
5. As organizações devem conduzir periodicamente uma avaliação de riscos relacionada a informações e conhecimentos corporativos como parte do programa de gerenciamento de riscos empresariais; • 6. As organizações precisam desenvolver e adotar políticas e procedimentos baseados na análise de riscos para garantir a segurança das informações e conhecimentos corporativos; • 7. As organizações precisam estabelecer uma estrutura de gerenciamento da segurança empresarial para definir explicitamente o que se espera de cada indivíduo (papéis e responsabilidades);
8. As organizações precisam desenvolver um planejamento estratégico e tomar medidas efetivas para prover a segurança adequada para a sua rede de telecomunicações e seus sistemas computacionais por onde trafegam as informações e os conhecimentos corporativos; • 9. As organizações precisam tratar a segurança empresarial como parte integral da gestão além de ser uma importante área de negócios e não apenas uma área que evita perdas; • 10. As organizações precisam divulgar as informações sobre segurança empresarial, treinando e educando os empregados;
11. As organizações precisam conduzir testes periódicos e avaliar a eficiência das políticas e procedimentos relacionados à segurança das informações e conhecimentos corporativos; • 12. As organizações precisam definir e pôr em prática um plano para avaliar e mitigar vulnerabilidades ou deficiências que comprometam a segurança empresarial; • 13. As organizações precisam desenvolver e colocar em prática ações e procedimentos de resposta imediata a incidentes;
14. As organizações precisam definir um plano de continuidade de negócios e testar sua funcionalidade, mantendo-o sempre atualizado; • 15. As organizações precisam adotar frameworks com as melhores práticas relacionadas à segurança da informação, como o COBIT, o ITIL e a ISO 17799, para medir o nível de maturidade dos processos alcançado com relação à segurança da informação.
“O sucesso é feito de 30% de esforço, 30% de talento e 40% de trabalho de aperfeiçoamento (foco)” “Creio na habilidade de se focar em algo e aí você pode extrair muito mais disso. Foi assim em toda a minha vida. E foi só uma questão de melhorar essa técnica e aprender mais e mais; é algo que não tem fim. Você sempre encontra novas coisas para aprender. É muito interessante. É fascinante!”
Ayrton Senna Obrigado!