a capacitação profissional e seu impacto na segurança da informação no brasil e no mundo
TRANSCRIPT
Bem-vindo ao Circuito de Palestras EXIN 2014 Conheça o novo Portfólio EXIN:
NOSSO TEMA DE HOJE: Segurança da Informação
Tópico:
A Capacitação profissional e seu impacto na Segurança da Informação no Brasil e no mundo.
Descrição: O Palestrante apresenta as orientações do Departamento de Segurança da Informação e Comunicações (DSIC) do Gabinete de Segurança Institucional da Presidência da República (GSI/PR) quanto ao fortalecimento da segurança da infomação através da sensibilização, conscientização, capacitação e especialização dos colaboradores e demonstra através um estudo baseado no cruzamento de dados entre os relatórios de segurança de grandes empresas como Microsoft, Symentec, Trend, Kasrpersky e institutos de certificação em segurança da informação como o EXIN, ISC2, ISACA e ISO, a relação entre o número de profissionais e empresas certificadas em segurança da informação e o número de ataques, botnets e incidentes reportados em cada país do mundo, estabelecendo sempre um paralelo com a situação brasileira.
Antebellum Capacitação Profissional
• Criada em 1997 com a finalidade de prestar serviços e treinamentos em Tecnologia da Informação, a Antebellum dedica-se exclusivamente a treinamentos com temas relacionados a Segurança da Informação, Cloud Computing, PCI e GRC
• Os cursos da Antebellum nasceram da observação de um grupo de instrutores e professores da área de Tecnologia da Informação e Segurança da Informação, sobre as mudanças nos cenários nacional e internacional e as dificuldades encontradas pelos profissionais dessas áreas para na contratação de treinamentos que se encaixassem em suas agendas, orçamentos e que além de apresentarem seu conteúdo de forma aprofundada e objetiva, refletissem essa qualidade no material do aluno, transformando-o em uma fonte de referências futuras e apoio ao estudo para certificações.
Antebellum Capacitação Profissional
• Editora Antebellum
• Exin Accredited Courseware Provider (ACP)
• Exin Accredited Training Provider (ATP)
• Exin Accredited Examination Center (AEC)
• Primeiro Global Training Provider do PCI Council no Mundo
Onlin
e
A Capacitação profissional e seu impacto na Segurança da Informação
no Brasil e no mundo.
• Quem faz a Segurança
• Normas do DSIC
• Certificações e certificados no Brasil e no mundo
• Empresas ISO 27001 no Brasil e no mundo
• Relatórios mundiais de segurança
• Considerações finais
Quem faz a segurança da informação?
Cada colaborador tem seu papel e suas responsabilidades dentro
da gestão da segurança da informação Todos!
Quais os papeis principais?
O Colaborador O Profissional de SI O Profissional de TIC
Qual sentimento essa foto lhe inspira?
O Colaborador
Colaboradores
Unidades carbono (humanos) são mais complexas que as de silício e na
maioria das vezes precisam ser convencidos para que sigam uma
determinada instrução.
Sensibilização;
Conscientização;
Avaliação;
Monitoração
Sensibilização e Conscientização de Segurança
É o conhecimento das ameaças em potencial para uma organização, que deve ser
compartilhado entre todos os colaboradores para que seja possível perceber falhas de
segurança e antecipar incidentes que poderiam ocorrer na funções do dia-a-dia.
A Tecnologia por si só não consegue garantir de forma adequada a segurança das
informações. Conscientização e senso de responsabilidade são fundamentais para o
sucesso de qualquer programa de segurança da informação
Segurança no Cotidiano
Qual sentimento essa foto lhe inspira?
Apresentação
Prenda a atenção de seu
público:
• Conte “Causos”
• Teatro
• Quadrinhos
• Etc...
Ambiente Organizacional
Segurança no Cotidiano
Qual sentimento essa foto lhe inspira?
O Profissional de TIC
Conscientização do Profissional de TIC
• Fundamentos de Segurança• Desenvolvimento Seguro• Fundamentos de Gerenciamento de TIC (ITIL)
O Profissional de Segurança
Norma Complementar 17/2013 Atuação dos Profissionais de SIC
5.1 Engajar-se na busca pelo conhecimento e promover ações no sentido de consolidar a cultura de SIC.
5.3 Buscar o melhor aproveitamento dos recursos e serviços disponíveis
5.4 Dedicar-se nos processos de formação em nível de capacitação, educação e conscientização, buscando atuar como disseminador das melhores práticas em SIC
5.6 Participar e contribuir na busca e compartilhamento do conhecimento, bem como na troca de experiências com outras entidades do governo, participando de grupos de trabalho, listas de discussões e eventos que tratem o tema SIC.
5.7 Buscar o conhecimento multidisciplinar, entendendo que a SIC abrange os contextos estratégico, tático e operacional dos órgãos e entidades da APF em que atuam.
5.8 Agir em conformidade com a legislação vigente, as normas internas e melhores práticas em SIC.
5.9 Empenhar-se para obter certificações profissionais, seguindo preferencialmente as recomendações propostas no ANEXO A.
5.5 Buscar a segurança dos ativos de informação.
5.2 Contribuir de forma ativa e constante no processo de melhoria da SIC nos órgãos e entidades da APF em que atuam.
Quais os riscos?
Quis custodiet ipsos custodes?
(Quem vigia os vigilantes?)
Juvenal (70 DC)
Norma Complementar 18/2013
Norma Complementar 18/2013
Norma Complementar 18/2013
Atividade de Ensino
Modelo da Atividade Duração Mínima
Sensibilização Ambientação em SIC 1 Hora
Conscientização Seminário de noções básicas em SIC 8 Horas
Noçoes de SIC nos cursos de formação nos órgãos e entidades da APF 6 Horas
Capacitação Curso de gestão em SIC – Presencial 40 Horas
Curso de gestão em SIC – EAD 120 Horas
Especialização Curso e especialização em SIC 360 Horas
Norma Complementar 18/2013
Norma Complementar 18/2013
Norma Complementar 17/2013
Entidade Sigla Descrição
ISACA CISM Certified Information Security Manager
ISC2 CISSP Certified Information Systems Security Professional
CISSP-ISSAP
Certified Information Systems Security Professional - Information Systems Security Architecture Professional
CISSP-ISSAP
Certified Information Systems Security Professional - Information Systems Security Engineering Professional
CISSP-ISSAP
Certified Information Systems Security Professional - Information Systems Security Management Professional
EXIN ISFS Information Security Foundation based on ISO/IEC 27002
ISMAS Information Security Management Advanced based on ISO/IEC 27002
ISMES Information Security Management Expert based on ISO/IEC 27002
Módulo MCSO Modulo Certified Security Officer
Gestão da Segurança da Informação
Segurança em Redes
Entidade Certificação
Descrição
CompTIA Security+
EC-Council ECSA Ec-Council Security Analyst
SANS GAWN GIAC Assessing Wireless Networks
GCIA GIAC Certified Intrusion Analyst
GPEN GIAC Penetration Tester
ISC2 SSCP Systems Security Certified Practitioner
Segurança em Redes / Gestão da SI
Entidade Certificação
Descrição
CompTIA CASP CompTIA Advanced Security Practitioner
Segurança em Redes e Segurança em Software
* Específica para Segurança no Desenvolvimento de Software
Entidade Certificação
Descrição
EC-Council CEH Certified Ethical Hacker
LPT Licensed Penetration Tester
SANS GWAPT GIAC Certified Web Application Penetration Tester
ISC2 CSSLP* Certified Secure Software Lifecycle Professional
Tratamento de Incidentes de Segurança Computacional
Porque o tratamento
correto de incidentes
é tão importante?
Entidade Certificação
Descrição
SANS GCIH GIAC Certified Incident Handler
Forense Computacional
Entidade Certificação
Descrição
SANS GCFA GIAC Certified Forensic Analyst
GCFE GIAC Certified Forensic Examiner
GREM GIAC Certified Reverse Engineering Malware
Gestão de Continuidade de Negócios
Entidade Certificação
Descrição
DRII ABCP Associate Business Continuity Professional
CFCP Certified Functional Continuity Professional
CBCP Certified Business Continuity Professional
MBCP Master Business Continuity Professional
BCI AMBCI Associate Member Business Continuity Institute
CBCI Certified Business Continuity Institute
SBCI Specialist Business Continuity Institute
Auditoria/Conformidade
Entidade Certificação
Descrição
RAC ou IRCA
ISO27001LA
Auditor Lider ISO 27001
ISACA CISA Certified Information Systems Auditor
Cobit Control Objectives for Information and related Technology
CRISC Risk and Information Systems Control
APMG ITIL Information Technology Infrastructure Library
Profissionais certificados pela ISC2
Certificação
Brasil
Canadá
EUA India Japão
UK Argentina
SSCP 9 92 1124 32 53 118 1CSSLP 18 83 773 27 3 62 2CISSP 390 4.290 60.695 1.564 1.329 4.607 118CISSP – ISSAP 10 82 933 9 2 110 -CISSP – ISSEP - 5 898 1 - 2 -CISSP - ISSMP 5 48 738 3 2 49 -
Profissionais certificados pelo Exin
ISMAS
Reflexo de nossa maturidade?
ISF S
Certificação Brasil
ITIL (2004-2014) 100.000ISFS (2010-2014) 3000ISMAS (2010-2014) 90
Investimentos em Hardware, Software e Capacitação
$$$$$$$$$$$
$$$$$$$$$$$
$$$$$$$$$$$
$$$$$$$$$$$
$
Empresas Certificadas ISO 27001
Uau! São mais de 50 empresas certificadas no Brasil!!!
Empresas Certificadas ISO 27001
Portugal tem menos Mas proporcionalmente será que isso é bom?
A Colômbia tem mais... Mas acho que eles levam esse negócio
de segurança muito à sério...
Empresas Certificadas ISO 27001
Hong Kong tem mais que o dobro e metade da população de Sampa!
Empresas Certificadas ISO 27001
A Itália tem 10 vezes mais...
Empresas Certificadas ISO 27001
A Romênia tem 15 vezes mais... E a população equivalente à de Minas Gerais
Empresas Certificadas ISO 27001
O Reino Unido tem 30 vezes mais... Mas eles inventaram a norma
Empresas Certificadas ISO 27001
India e China também tem 30 vezes mais...
Empresas Certificadas ISO 27001
Com o Japão não tem graça brincar...
Empresas Certificadas ISO 27001
Mas pelo menos ganhamos da Argentina... Mas somente em números absolutos
Empresas Certificadas ISO 27001
Percentual de Execução de Código Remoto (Microsoft)
Mic
roso
ft S
ecur
ity
Inte
llig
ence
Rep
ort V
olum
e 16
Número de vulnerabilidades em produtos MS e outros
Mic
roso
ft S
ecur
ity
Inte
llig
ence
Rep
ort V
olum
e 16
Sites de distribuição de MalwareS
yman
tec
Inte
rnet
Sec
urit
y T
hrea
t Rep
ort 2
014
Mic
roso
ft S
ecur
ity
Inte
llig
ence
Rep
ort V
olum
e 16
Percentual de detecção de Malwares
Computadores “limpos” por país (a cada mil)
Mic
roso
ft S
ecur
ity
Inte
llig
ence
Rep
ort V
olum
e 16
Tipos de ameaças nos países com mais infecções
Mic
roso
ft S
ecur
ity
Inte
llig
ence
Rep
ort V
olum
e 16
Motivos de bloqueio de mensagens no Exchange Online
Mic
roso
ft S
ecur
ity
Inte
llig
ence
Rep
ort V
olum
e 16
Sites de distribuição de MalwareM
icro
soft
Sec
urit
y In
tell
igen
ce R
epor
t Vol
ume
16
Principais AlvosS
yman
tec
Inte
rnet
Sec
urit
y T
hrea
t Rep
ort 2
014
Sym
ante
c In
tern
et S
ecur
ity
Thr
eat R
epor
t 201
4Principais Alvos
Considerações Finais
Não importa quantos
recursos você tem..
Se você não sabe usá-los
nunca será suficiente
Retorno do Investimento
Efetividade da Mensagem
Aconteça o que
acontecer...
Continue estudando
Porque mais cedo ou
mais tarde, você
poderá se
arrepender...
Desenvolvimento Profissional
Certificações Profissionais recomendadas pelo DSIC
Forense Computacional
...de não ser ou ter um profissional qualificado.
Dúvidas?
Vamos iniciar a sessão de PERGUNTAS. Utilize a ferramenta do chat (para digitar) ou do hands on (para pedir acesso e perguntar diretamente ao palestrante.
Fernando Fonsecawww.linkedin.com/in/[email protected]
ACESSO AO MATERIAL
• Disponibilizaremos o link com Cópia desta apresentação + Certificado de Participação para todos que responderem nossa pesquisa de satisfação e nos ajudarem a aprimorar nossas futuras ações (acesso imediato ao de desconectar da sessão ao final da apresentação).
• Você também pode acessar nosso canal do YouTube e Slide Share para ter acesso a todas as apresentações realizadas em 2012 e 2013.
• Mais Informações?
Milena AndradeRegional Manager
(11) 3280-2683 (3280-ANTE) E-mail: [email protected] www.linkedin.com/in/ferfonwww.antebellum.com.br
Fernando Fonseca, CISSP-ISSAP Diretor de EnsinoAntebellum Capacitação Profissional