PowerPoint Presentation
1o Workshop de Tecnologias para Proteo de Informaes
Sigilosas
Gesto Integrada de Ativos para Proteo de Informaes Sigilosas
Nilson Vianna | CEO Smartcyber [email protected]
Nery | Scio Fundador [email protected]
Gesto Integrada
Empresas
S e g u r a n a
Risco oEfeito daIncerteza nos ObjetivosISO 31000
Incerteza
RotinaAlertas
MundoOcorrnciasAbrangnciaProfundidade
5
GRC no Governo Federal
GRC no Governo Federal
Gesto da IncertezaIntegrao da Ciberntica com a Atividade-fim
Ativos HeterogneosIntegrao da Ciberntica com a rea-Fim
Sistemas, Banco de Dadose Big DataTelefone e RdioMensagem
Instantnea e SMSAPPsRedes SociaisemailRelatriosDados Abertos
Gesto Integrada
APPs, Rdio, TelefoniaEmail, SMS,Mensagem InstantneaAlarmes,
Cmeras, GPS, Sensores, RFID, NFC, IoT Sistemas, Bancos de Dados,
Fontes AbertasPessoas, Ativos
Alguns Casos
Automatizao de Logstica e SeguranaVdeo Mdulo
Sistemas, Banco de Dados e Big DataSensores e Internet das
CoisasMensagem Instantnea e SMSSistemas e Banco de Dados
ExternosMapas e GeoprocessamentoRedes SociaisMdias
AbertasemailInfraestrutura de TICAPPsRdiosCall Center e
TelefoniaOrgos e Instituies ParceirasServidoresAlarmesCmerasDados
AbertosSemforos e Equipamentos de TrnsitoVeculos e FrotasUnidades
DistribudasPlantas BaixasRelatriosPainis e
VideowallSociedadeColaborao, Integrao e Monitoramento
Gesto Integrada de AtivosInventariar os Ativos
HeterogneosAnalisar a SeguranaGerenciar Riscos
Defesa Ciberntica Resiliente
n.
Motivaes24/06/16
Motivaes24/06/16
Proteo da informao sigilosaInventrio e classificaoProteo
fsicaProteo da informao digitalArmazenamento e DLP (Data Loss
Prevention)Processamento e memriaTrfegoNuvemMobileBackup
24/06/1620
Proteo Fsica24/06/1621
Armazenamento e DLP24/06/1622Criptografia com
EscrowDiscosServidoresPendrivesAlgoritmosDLPControles de cpias,
leituras, impresses, anexos, expirao, localidade etc.
Processamento e memria24/06/1623Chipset da placa meMemria
RAMForenseProcessadores de ltima gerao (Ex. Intel SGX)Enclaves de
processamento criptografado
Trfego24/06/1624VPN e SSLAutenticao em 02 fatoresCertificados
digitais (ICP-Brasil)Email !!!ChatVoz (VoIP) e Video Conferncia
Nuvem24/06/1625Decreto 8.135/13Localizao dos Data
centerCriptografia para NuvemCompartilhamento de arquivos
Mobile24/06/1626Android x IOSDual personasVolumes
criptografadosApp confiveisMDMWipe remoto
Backup24/06/1627Backup em cofre ou criptografado.Backup em outro
stio.Backup em nuvem ?Ransomwares
TOP 20 Critical Controls2008 NSA + DoD demandam ...2009 - Criado
e Adotado pelo US DoSReduziu em 1 ano 88% das
vulnerabilidadesRecomendado em 2016 pelo Governo da CAThe 20
controls in the Center for Internet Securitys Critical Security
Controls identify a minimum level of information security that all
organizations that collect or maintain personal information should
meet. The failure to implement all the Controls that apply to an
organizations environment constitutes a lack of reasonable
security. https://oag.ca.gov/breachreport2016
24/06/1628
PrincpiosOffense informs defenseInteligncia Ciberntica
Prioritization: Investimento com grande reduo de riscoMetrics:
Indicadores com leitura executiva Continuous diagnostics and
mitigation: Testar e validar os controlesAutomation: Otimiza o
tempo de reao
Comece pelos 5 primeiros CSC
CSC 1Inventory of Authorized and Unauthorized Devices Inventrio
ativo de todos os dispositivos de hardware na rede para que somente
os autorizados possam ter acesso e impedindo que no autorizados ou
no gerenciados ganhem acesso.
Compliance:
24/06/1631ISO 27002:2013A.8.1.1A.9.1.2A.13.1.1
PCI DSS 3.12,4
NIST 800-53 rev4CA-7: Continuous MonitoringCM-8: Information
System Component InventoryIA-3: Device Identification and
AuthenticationSA-4: Acquisition ProcessSC-17: Public Key
Infrastructure CertificatesSI-4: Information System MonitoringPM-5:
Information System Inventory
CSC 2Inventory of Authorized and Unauthorized SoftwareInventrio
ativo de todos os softwares, a fim de somente permitir a instalao e
execuo daqueles autorizados e gerenciados.
Compliance:
24/06/1632ISO 27002:2013A.12.5.1A.12.6.2
DHS CDM ProgramHWAM: Hardware Asset ManagementSWAM: Software
Asset Management
CSC 3Secure Configurations for Hardware and Software on Mobile
Devices, Laptops, Workstations, and Servers Estabelecer,
implementar e gerenciar ativamente as configuraes de segurana dos
ativos com gesto de mudanas (Hardening), a fim de prevenir a
explorao de vulnerabilidades por atacantes.
Compliance:
24/06/1633NIST Core FrameworkPR.IP-1
HIPAA164.310(b): Workstation Use - R164.310(c): Workstation
Security - R
CSC 4Continuous Vulnerability Assessment and Remediation
Continuamente varrer, avaliar e tomar medidas remediadoras, a fim
de identificar as vulnerabilidades, corrigir e minimizar a janela
de oportunidade atacantes.
Compliance:
24/06/1634PCI DSS 3.16.16.211.2
UK Cyber EssentialsPatch Management
NIST 800-53 rev4CA-2: Security AssessmentsCA-7: Continuous
MonitoringRA-5: Vulnerability ScanningSC-34: Non-Modifiable
Executable ProgramsSI-4: Information System MonitoringSI-7:
Software, Firmware, and Information Integrity
CSC 5Controlled Use of Administrative Privileges Processos e
ferramentas utilizadas para detectar, controlar, evitar e corrigir
o uso de cesso e configurao de privilgios administrativos em
computadores, redes e aplicaes.
Compliance:
24/06/1635ISO 27002:2013A.9.1.1A.9.2.2 - A.9.2.6A.9.3.1A.9.4.1 -
A.9.4.4
Australian Top 35491125
NSA Top 10Control Administrative Privileges
CSC 7Email and Web Browser Protections Minimizar a superfcie de
ataque e as oportunidades de manipulao do comportamento humano
atravs de sua interao com os navegadores e sistemas de e-mail (Eng.
Social)
Compliance:
24/06/1636ISO 27002:2013
A.14.2.4A.14.2.8A.18.2.3
GCHQ 10 Steps
Secure Configuration
CSC 10Data Recovery Capability Processos e ferramentas usadas
para realizao de backup de informaes crticas, com metodologias
testadas de recuperao tempestivas (SLA)
Compliance:
24/06/1637PCI DSS 3.1
4.39.5 - 9.7
NSA MNP
Backup Strategy
CSC 13Data Protection Processos e ferramentas usados para
prevenir exfiltrao de dados, mitigar os efeitos de vazamentos,
garantindo a privacidade e a integridade de informaes sensveis.
Compliance:
24/06/1638ISO 27002:2013
A.8.3.1A.10.1.1 - A.10.1.2A.13.2.3A.18.1.5
PCI DSS 3.1
3.64.1 - 4.3
CSC 14Controlled Access Based on the Need to Know Processos e
ferramentas utilizadas para rastrear / controlar/ impedir /
corrigir o acesso seguro a ativos crticos (informaes, recursos,
sistemas) de acordo com a necessidade de conhecer formalizada para
pessoas, computadores e aplicaes, de acordo com a classificao e
grau de sigilo.
Compliance:
24/06/1639PCI DSS 3.1
1.3 - 1.44.37.1 - 7.38.7
DHS CDM Program
TRUST: Access Control ManagementPRIV: Privileges
Cyber Maturity Gap AnalysisAnlise da maturidade ciberntica do
cliente, fundamentado no grau de implementao dos 20 controles
crticos do SANS; e
Para cada ponto gerada uma anlise com recomendaes e grficos de
maturidade so plotados para projeo e acompanhamento da evoluo
(Roadmap).
24/06/1640
Cyber Maturity Gap Analysis
n.
ConclusesO preo da liberdade a eterna vigilncia
Thomas Jefferson24/06/1642
Nilson Vianna | CEO Smartcyber [email protected]
Nery | Scio Fundador [email protected] ! !
1o Workshop de Tecnologias para Proteo de Informaes
Sigilosas
Gesto Integrada de Ativos para Proteo de Informaes Sigilosas
