Download gratuito: Ferramenta do NIST de excelência em cibersegurança!

SABER É METADE DA BATALHA. Essa frase (que ouvi a primeira vez vendo G.I Joe / Comandos em ação!) pode até soar como o mais velho dos clichês, entretanto não deixa de ser uma recomendação bastante prudente, especialmente quando lidamos com disciplinas estratégicas como gestão de serviços de TI, governança, continuidade de negócios e cibersegurança.

gijoe

Em termos de publicações e boas práticas, as opções são bem diversificadas. O próprio Cobit 5 é bem abrangente e, quando falamos de Segurança da Informação o processo DSS05 Manage Security Services e suas práticas são uma ótima opção para medirmos a maturidade ou mesmo melhorarmos a gestão da segurança da informação como um todo.

cobit5dss05racichart
Cobit 5 – Enabling processes – DSS05 RACI Chart

Agora, se o seu foco é ter um bom entendimento de como anda a cibersegurança na sua organização, uma publicação razoavelmente recente do National Institute of Standards and Technology (NIST) vai chamar sua atenção!

O Baldrige Cybersecurity Excellence Builder é uma ferramenta gratuita para auto avaliação. Mesmo ainda estando em rascunho (a última versão publicada pelo NIST é de setembro de 2016) o conteúdo bastante maduro e efetivo.

A ideia básica é fornecer às organizações um meio prático para compreender melhor a efetividade dos esforços de gestão de riscos de cibersegurança, ajudando líderes das organizações a identificar oportunidades de melhoria com base nas suas necessidades e objetivos de cibersegurança, bem como em suas maiores necessidades, objetivos e resultados organizacionais.

Com a auto avaliação do Baldrige Cybersecurity Excellence Builder é possível:

  • Determinar atividades relacionadas à cibersegurança que são essenciais para a estratégia do negócio e prestação de serviços críticos;
  • Priorizar investimentos na gestão do risco de cibersegurança;
  • Determinar a melhor forma para garantir que colaboradores, clientes, fornecedores, e demais parceiros estejam conscientes de riscos e de segurança e cumpram seus papéis e responsabilidades na cibersegurança;
  • Avaliar a efetividade no uso de normas, diretrizes e boas práticas de cibersegurança;
  • Avaliar os resultados dos esforços de cibersegurança; e
  • Identificar prioridades de melhoria.

A abordagem é bastante pragmática e fácil de ser seguida, mas é importante lembrar que – como qualquer tipo de auto avaliação – os resultados devem ser avaliados criticamente por uma por alguém com razoável experiência no assunto, para evitar que ocorram falhas no entendimento.

nist01 nist02

Conforme mencionado, o Baldrige Cybersecurity Excellence Builder é uma ferramenta gratuita e pode ser obtida clicando AQUI.

Ponto importante: O guia está em consulta pública, comentários e sugestões podem ser enviados para BaldrigeCybersecurity@nist.gov

Bom proveito!

Fontes:

https://www.nist.gov/news-events/news/2016/09/nist-releases-baldrige-based-tool-cybersecurity-excellence

Comentários

Comentários

Fundamentos de Cloud Computing

Fundamentos de Cloud Computing

No dia 03/09 estarei ministrando em Fortaleza um workshop intensivo: Fundamentos de Cloud Computing com Segurança da Informação – computação na nuvem aplicada a gestão e segurança da informação.

O principal objetivo é apresentar uma visão pragmática dos conceitos básicos de Cloud Computing, qualificando os participantes para certificações como, por exemplo, o EXIN Cloud Computing Foundation. Esse workshop é realizado em parceira com a Secrelnet, e conseguimos um valor diferenciado de apenas R$ 280,00, que pode ser parcelado em até 10x nos cartões Visa ou Master ou pago através do PagSeguro! Não perca tempo e  Matricule-se online!

Workshop Fundamentos do Cloud Computing
Workshop Fundamentos do Cloud Computing

APRESENTAÇÃO
A computação na nuvem – Cloud Computing – é a mais forte tendência para revolucionar a TIC em organizações de todos os portes. Tendo como base o fornecimento de serviços relacionados a TI pela internet, a Cloud Computing permite que soluções flexíveis e econômicas apoiem o negócio, com base em acordos de serviço. Este treinamento promove uma visão geral do que é Cloud Computing e de sua relação com outras áreas do gerenciamento da informação. Serão discuti dos os conceitos fundamentais de Cloud Computing, sua arquitetura, desenho, implantação e sua incorporação à organização.

PÚBLICO ALVO
Esse conhecimento é fundamental a todos que desempenham um papel ou tem interesse no uso e gerenciamento de serviços baseados na internet, incluindo profissionais de TI, gerentes e auditores.

OBJETIVOS
Buscar relacionar e aliar o Cloud Computing com as outras áreas da informação e tonar o profissional cada vez mais capacitado.

PRÉ-REQUISITOS
Profissionais que atuam na área ou interessados no assunto.

AULAS
Sábado das 08:30 às 12h / 13h às 17h (Dia 03 de setembro de 2016).

INSTRUTOR: Cláudio Dodt

Profissional sênior e instrutor de segurança da informação, atua na área de tecnologia há mais de 10 anos, exercendo atividades como técnico e analista de suporte, analista de segurança Jr., security officer e supervisor de infraestrutura e segurança. Desenvolveu atividades em empresas brasileiras e multi nacionais, tendo participando no Brasil e no exterior em projetos de segurança de diversos segmentos como educacional, financeiro, saúde, agroindústria, indústria alimentícia, naval, metal-mecânica e têxtil.

CONTEÚDO PROGRAMÁTICO

Os seguintes módulos serão apresentados ao longo do treinamento:

Os princípios de Cloud Computing

• O conceito de Cloud Computing
• A evolução de Cloud Computing
• Arquiteturas de Cloud Computing
• Benefícios e limitações de Cloud Computing

Implementação e gerenciamento de Cloud Computing

• Desenvolvimento do ambiente em Cloud local
• Gerenciamento de serviços em Cloud

Uso de Cloud Computing

• Acesso à Cloud
• A Cloud e os processos de negócio
• Provedores de serviço e a Cloud

Segurança e conformidade

• Proteção da Cloud
• Identidade e privacidade

Avaliação de Cloud Computing

• O caso de negócio
• Avaliação de implementações

FORMAS DE PAGAMENTO

• Investimento: R$ 280,00 (Duzentos e Oitenta Reais)
• Desconto de 10% no pagamento a vista, ou parcelamento em até 10x sem juros nos cartões Visa e Mastercard.
• Pagamento online com PagSeguro. Matricule-se online!

MATRÍCULAS E MAIORES INFORMAÇÕES

Você pode obter maiores informações sobre o treinamento e realizar a sua matrícula através dos meios de contato abaixo:
• Telefone: (85) 3288-2022
• E-mail: contato@claudiododt.com ou  treinamento@secrel.net.br
• Formulário de Contato: CLIQUE AQUI

Comentários

Comentários

GRC+DRIDay 2016: Impressões do evento!

GRC+DRIDay 2016: Impressões do evento!

FALAR DE UM EVENTO ORGANIZADO PELA DARYUS, que é uma empresa onde trabalhei como consultor por 3 anos, pode até parecer parcial, já que é uma oportunidade de encontrar colegas e amigos que não vejo com tanta frequência. Pondo isso de lado, acredito que consigo reportar com total imparcialidade e concluir que o GRC+DRIDay continua um dos mais relevantes encontros para tratar – no nível estratégico – de Governança, Riscos, Conformidade, Segurança da Informação e Continuidade de Negócios.

Bem, vamos a minhas impressões sobre o evento!

5grc4driday-logo-com-data

DIA 1: O primeiro dia do evento é focado em GRC – Governança, Riscos e Conformidade e logo após a abertura oficial, começaram com apresentações bem interessantes.

Flávio Rímoli – Camargo Corrêa – Governança Corporativa

A primeira apresentação foi do Flávio Rímoli, Vice Presidente de Governança e Compliance na Camargo Corrêa, falando sobre o “Reposicionamento de Compliance na Estrutura Empresarial.”. Obviamente essa foi uma apresentação bem ousada, dado o cenário atual que passa a Camargo Corrêa no meio da operação Lava Jato.

grcdri01

Um dos pontos que mais me chamou a atenção foi Rímoli ter começado falando sobre Cultura Corporativa e o foco no “Tone from the top!”, algo que venho debatendo fortemente como a única maneira de se mudar a realidade e maturidade das empresas no Brasil.

A apresentação em si foi bastante pragmática e não deixa dúvidas que – se o que foi exposto for seguido de maneira séria e transparente – a Camargo Corrêa vai viver uma nova realidade que – talvez – em alguns anos possa conseguir recuperar parte do prestigio anterior.

Victor Oliveira – Grupo 3 Corações – Conformidade

O Grupo 3 Corações é uma empresa que vem crescendo na última década tanto em mercado quanto em maturidade corporativa. Não é a toa que a apresentação do CFO Victor Oliveira, demonstrou claramente a importância de se estar conforme com legislações e boas práticas.

grcdri02

Novamente, fiquei feliz em ouvir o termo Cultura Corporativa logo no começo da apresentação, e na visão bem pragmática do Victor que “Compliance se faz com pessoas, regras – são sim importantes – mas não podem ser seguidas de maneira cega e sem análise crítica”.

PAINEL: A Importância de GRC para a transparência e sustentabilidade das organizações no Brasil

A seguir tivemos o primeiro painel do evento, contando com Rony Vainzof da Opice Blum como moderador e os painelistas: Jeferson D’Addario (DARYUS), Carlos Campagnoli (SANOFI), Fay Diederichs Ivanovich e Mercedes Stinco (IBGC).

grcdri03

A discussão começou em torno do posicionamento reativo das empresas e novamente, da necessidade de se mudar a cultura das organizações para um modelo mais maduro e proativo. Essa é a única forma de se tratar incidentes de maneira adequada e reduzir o impacto para o negócio.

Camilla Do Vale Jimene – Opice Blum – GRC

Infelizmente, devido a um incidente envolvendo um copo de expresso da 3 Corações e meu terno, não pude acompanhar por inteiro a palestra da Dra. Camila.

grcdri04

Um dos pontos que me chamou a atenção – antes da minha retirada estratégica – foi a menção de pesquisas recentes que indicam que até 20% dos empregados não tem escrúpulos em violar regras de segurança, ou mesmo cometer crimes como vazamento /roubo de informações. Certamente esses números são bem assustadores para organizações de todos os portes.

Hélio Cordeiro – Grupo DARYUS – Inovação Disruptiva

Gosto muito do tema Inovação Disruptivaé uma mudança de paradigma que as organizações não podem fingir que não existe. O impacto de novas tecnologias e comportamentos é certo e só tende a crescer nos próximos anos. Hélio falou muito bem sobre a “Uberização” dos segmentos tradicionais de negócios, algo que deve ser cada vez mais comum e que – até certo ponto – cria o risco de reduzir a relevância de empresas tradicionais que não se adaptarem nos próximos anos.

grcdri05

Um dos pontos mais interessantes foi o conceito de “Supply Chain de Dados”, que se apropria de uma metodologia já bem estabelecida, portando-a a era digital. Olhando com a visão de cibersegurança, é interessante pensar em como proteger a informação em todo seu ciclo de vida, especialmente quando ela está fora do controle corporativo, mas ainda pode causar impactos.

Cláudio Yamashita – Intralinks – Conformidade

Empresa Compliant é empresa que cresce!“. Apesar de incluir um leve tom comercial, a palestra do Cláudio Yamashita da Intralinks mostrou de forma interessante que nenhuma empresa faz negócio sem colaborar com o “mundo externo”.

grc-intralinks

A tendência é que a importância da informação em tráfego só aumente, “Porém informação em tráfego é informação em risco!”. A melhor frase da apresentação é algo que concordo plenamente: “O conteúdo é o novo perímetro de segurança da informação!“. Essa é a realidade que as equipes de cibersegurança estão enfrentando diariamente.

Ricardo Tavares – DARYUS – CiberSegurança

Conheço o Tavares pessoalmente dos trabalhos que fizemos juntos na DARYUS. Conversar com ele é sempre uma diversão, pois o assunto muda constantemente, incluindo as últimas novidades de seginfo vindas da Defcon/BlackHat, a ufologia e hipnose (Sim! Esses dois últimos foram o ponto alto do almoço e renderam boas risadas na nossa mesa no segundo dia do evento!).

grcdri07

No palanque, o Ricardo falou sobre o amadurecimento do cibercrime e como hoje é fácil consumir o CaaS (Crime as a Service) através da DeepWeb/Darknet (veja os valores na imagem acima!).  Esse fato explica como o cybercrime foi considerada a maior ameaça – superando o terrorismo – no Fórum Mundial de Davos.

Quanto a boas práticas, Tavares falou dos Critical Security Controls da Center for Internet Security, que são uma abordagem interessante para montar uma defesa cibernética efetiva. A metodologia é gratuita e pode ser baixada aqui: https://www.cisecurity.org/critical-controls

PAINEL: GRC 2016 – Compliance frente à nova Era!

O primeiro dia foi encerrado com um excelente painel sobre conformidade. Em um tom razoavelmente descontraído, os especialistas Jeferson D’Addario (DARYUS),  ‎Marcos Assi (MASSI Consultoria), Flávio Rímoli (Camargo Corrêa), Cláudio Yamashita (Intralinks), ‎Ademar Albertin (EXIN) e‎ Pedro Nuno discutiram como as empresas devem encarar o temido Compliance.

grc-painel01

Novamente, o tema essencial é a mudança na cultura corporativa, junto de inovação, melhoria na legislação brasileira e como entender o Compliance como um diferencial competitivo viável para as organizações.

DIA 2 – O segundo dia do evento é denominado “DRIDay” e tem um foco maior em temas como Continuidade, Recuperação de Desastres, Cibersegurança.

Chloe Demrovsky – DRI – Resiliência

O Segundo dia do evento começou com a palestra da Chloe Demrovsky, Diretora Executiva na DRI International, uma instituição sem fins lucrativos que ajuda organizações a se preparar e lidar com desastres. Eles são sem dúvida os lideres globais em educação no ramo de Continuidade de Negócios, com presença em mais de 50 países.

grc-DRI

A apresentação de Chloe discutiu – dentre outros assuntos – um desastre ocorrido em uma fábrica em Bangladesh (veja mais aqui 2013 Savar building collapse) que vitimou tanto adultos e crianças que trabalhavam no local e gerou uma comoção em escala mundial e ampla discussão sobre responsabilidade social corporativa, mesmo através de cadeias de suprimento.

Novamente, cibersegurança também ganhou os holofotes como o tema que atualmente apresenta maior risco as organizações e eventos como, por exemplo, as olimpíadas Rio 2016.

Robert-Jan Willemsen – EXIN Netherlands – Educação

Infelizmente não tive como assistir toda a palestra do Robert-Jan, pois fui para a reunião dos painelistas. Nos 15 minutos iniciais que eu assisti, a discussão estava muito boa sobre o framework de capacitação da EXIN e como conseguir a pessoa certa, com a habilidade certa e no local certo.

grc-exin

Tive a oportunidade de assistir outra palestra do Robert no GRM Recife em 2014, com um tema bem similar, e acredito que é algo que as empresas precisam. Em especial a área de cibersegurança apresenta uma lacuna enorme quanto a profissionais bem capacitados.

PAINEL: Cyber Security – O desafio corporativo!

Enfim chegou a hora da minha primeira contribuição ao evento! A oportunidade de poder representar o Grupo Edson Queiroz e discutir cibersegurança o lado de nomes de peso como Chloe Demrovsky (DRI), Karol Cordeiro (DRI), Dr. Renato Opice Blum (Opice Blum advogados), Afonso Nassif (Intralinks) e Allan de Aveiro dos Santos (Even) foi um momento impar. O painel foi moderado por Ricardo Tavares (DARYUS), que na reunião prévia, havia prometido colocar fogo nos temas abordados!

grc-painel-dodt01

De minha parte, procurei manter o foco na mudança da Cultura Corporativa, desenvolvimento de equipes e em uma abordagem pragmática a cibersegurança. Agradeço aos membros do recém formado GPSI/CE – Grupo de Profissionais de Segurança da Informação do Estado do Ceará – pela sugestão de temas e desafios próximos a realidade  da nossa região (Skill Gap, Machine Leanrning, Threat Intelligence SIEM, dentre outros).

Dr. Renato fez algumas observações muito interessantes sobre casos recentes como – por exemplo – o whatsapp. Outro ponto de nota foi o entendimento que – mesmo estando compliant e seguindo boas práticas – não existem garantias que incidentes não vão ocorrer. Na verdade uma empresa em conformidade com legislações e normas ISO está apenas mais madura e preparada para tratar esses incidentes e ter um menor impacto.

Rafael Koike – Amazon Web Service – Cibersegurança/Continuidade

grc-aws

Infelizmente também não tive como acompanhar a apresentação do Rafael, pois novamente fui a reunião dos painelistas. Mas pelo que conversamos na hora do almoço, o tema me pareceu bastante interessante.

PAINEL: Como avaliar as ameaças de curto prazo que levam à interrupção dos negócios.

Novamente, subi ao palco junto de profissionais renomados como ‎Ricardo Tavares (DARYUS), ‎Alexandre Guindani (CAIXA), ‎Eduardo Hasegawa (HSBC),  ‎Carlos Campagnoli (SANOFI), ‎Fernando Carbone (Kroll). Dessa vez, o foco era gestão de riscos e continuidade de negócios.

grc-painel-dodt02

O tema central do painel gerou controvérsia desde a reunião feita entre os palestrantes, afinal o que são ameaças de curto prazo? Algo que pode interromper o negócio por um curto período com impacto elevado ou algo que está em eminente ocorrência? Na dúvida, os painelistas procuraram discutir com ambas as visões.

A discussão abordou pontos essenciais para tratar ameaças, dentre os quais ressalto a necessidade de conhecer o negócio, o seu apetite de risco e o contexto em que a organização está envolvida. Sem isso é impossível entender realmente a extensão de ameaças, sejam essas de curto ou longo prazo.

Um item interessante levantado pelo moderador Fernando Carbone, foi uma pesquisa recente que apontava como a “ameaça” mais relevante – no ponto de vista dos gestores – uma “interrupção prolongada dos negócios”, cibersegurança ficava apenas na 4 posição no mesmo ranking.

grc-selfie
Selfie dos painelistas junto a Jeferson D’Addario (CEO Daryus)

Meu argumento foi que, embora conceitualmente incorreto (a interrupção nos negócios é a concretização de uma ameaça e não uma ameaça em si), isso demonstra que gestores não estão especificamente preocupados com a causa da interrupção e sim de como isso afeta suas organizações.

Novamente, meu ponto de vista é que precisamos de uma abordagem pragmática para cruzar o abismo existente entre o negócio e áreas como Cibersegurança/GCN/Recuperação de Desastres.

Impressões finais

Infelizmente não pude ficar até o final do evento, pois existia uma ameaça de bloqueio do acesso ao aeroporto em Guarulhos por manifestações. De uma forma ou de outra, foi interessante sair da discussão teórica e ser lembrado, de maneira prática, da celeridade das ameaças, que surgem de forma inesperada e afetam não só negócios, mas também nossas vidas. Afinal, esse é o cerne do que estávamos discutimos nos dois dias de evento.

O fato é que organizações não podem mais usar a metodologia do avestruz  para tratar riscos. Meses atrás assistimos abismados ao maior desastre socioambiental da história brasileira, que roubou não apenas vidas, mas a existência de uma cidade inteira! Estamos vivendo um momento político altamente instável e inflamável, as olimpíadas já desapontam em meros meses (e claro, temos obras atrasadas e desastres e perdas de vidas humanas no histórico). Quantos casos poderiam ter sido evitados? Quantas pessoas salvas se levássemos GRC mais a sério? Infelizmente esse é um número depressivamente alto.

Por favor: #Não!
Por favor: #Não!

A meu ver – e prometo que essa é a última vez que menciono nesse artigo – nossa única esperança é mudarmos a cultura corporativa das empresas, fazer com que líderes estejam cientes das decisões e de suas implicações tanto no negócio, quanto em um contexto social. O que me deixou feliz durante o GRC+DRIDay 2016 foi ouvir, não só dos palestrantes, mas também da comunidade presente, que esse tema vem ganhando cada vez mais força nas grandes organizações. Ainda temos esperança!

Comentários

Comentários

Cláudio Dodt participa do GRC International + DRIDay 2016!

Cláudio Dodt participa do GRC International + DRIDay 2016!

Prezados colegas,

Nos dias 02 e 03 de Junho, estarei em São Paulo participando do maior evento brasileiro de Governança, Riscos, Conformidade, Continuidade de Negócios e Disaster Recovery, o GRC International + DRIDay 2016. Nesta edição faço parte dos seguintes painéis:

Cyber Security –  O desafio corporativo!
Moderador:

Ricardo Tavares (Sócio-diretor DARYUS)

Painelistas:

Chloe Demrovsky (Executive Director of DRI International)
Dr. Renato Opice Blum (Opice Blum, Bruno, Abrusio e Vainzof Advogados Associados)
Afonso Nassif (Diretor de Vendas Empresariais da Intralinks)
Cláudio Dodt (Líder da equipe de Segurança da Informação – Grupo Edson Queiroz)

Como avaliar as ameças de curto prazo que levam à interrupção dos negócios
Moderador:

à confirmar

Painelistas:

Ricardo Tavares (Sócio-diretor DARYUS)
Alexandre Guindani (Especialista em Continuidade de Negócios – Caixa Econômica Federal)
Cláudio Dodt (Líder da equipe de Segurança da Informação – Grupo Edson Queiroz)

O evento se destaca pelo foco no público de nível estratégico. Na última vez que participei, contei, entre CFOs, CEOs, CIOs, mais de 400 executivos de grandes empresas e servidores públicos de alto escalão. É uma excelente oportunidade para aprender, compartilhar ideias e fazer o velho e bom networking.

Quer participar? Ótimo! Siga esse link ou use o código GRC-EXCLUSIVO-DODT para ter um desconto especial!

inscricao_grc_2016

5grc4driday-logo-com-data

Veja mais detalhes sobre o GRC + DRIDAY 2016:

Tendo como principal objetivo fomentar as melhores práticas internacionais sobre Governança, Riscos, Conformidade, Continuidade de Negócios e Disaster Recovery. O evento é a união do GRC Internacional, criado pela DARYUS em 2010 e o DRIDAY um dos maiores eventos sobre Continuidade de Negócios do mundo, criado pelo DRII (Disaster Recovery Institute International).

Através de parceiros de empresas privadas e públicas reunimos especialistas para discutirem as novas necessidades empresariais, entender os controles internos, avaliar casos de sucesso, entender problemas e disseminar informações do mercado mundial frente as melhoras práticas e a importância da capacitação do profissional.

Palestrantes confirmados

palestrantes-grcdriday2016

Agenda

agenda_grcdriday_2016

 

Comentários

Comentários

CISM: Por que fazer e como se dar bem no exame de certificação!

CISM: Por que fazer e como se dar bem no exame de certificação!

Não é novidade que a cada dia surgem mais ameaças/vulnerabilidades e as empresas estão sentindo na pele no bolso o preço de não investir em profissionais experientes.

Essa nova perspectiva vem mudando gradualmente o mercado e pesquisas como o State of Cybersecurity: Implications for 2015 da ISACA deixam bem claro: A Cibersegurança conta cada vez mais com o apoio da alta direção (será?) e orçamentos maiores (SERÁ!?). Entretanto, existe uma enorme escassez de profissionais experientes e qualificados!

cyberrsecurity skill crisis

Fonte: ISACA – dados de 2014

Bem, enquanto experiência é algo que só se ganha na prática, existem amplas opões para obter destaque na área de Segurança da Informação através de qualificações profissionais. Pessoalmente, sempre gostei de investir em certificações vendor free, de instituições reconhecidas internacionalmente como, por exemplo, ISC², EXIN e APMG. Os resultados sempre foram os melhores possíveis.

isaca-career-oportunities

Fonte: ISACA

O CISM, Certified Information Security Professional, da ISACA é considerada uma das certificações mais demandadas pelo mercado. Não acredita? Que tal dar uma olhada na quantidade de vagas abertas nos USA que pedem credenciais:

certification-numbers

Fonte: http://www.tomsitpro.com/articles/information-security-certifications,2-205.html

O certo é que esse tipo de certificação é uma ótima maneira de se destacar e, apesar do exame parecer um pouco assustador no início, com uma preparação adequada e dedicação suficiente, qualquer um pode obter bons resultados.

Leia mais

Comentários

Comentários