CSO:CYBER

O Brasil é um país de modelo para o mundo quando pensa em Segurança para Internet Banking. Por ter sofrido inúmeros ataques nestas aplicações, diversos tipos de código malicioso, phishing, ataques DDoS, podemos considerar que o mercado bancário brasileiro é considerado um dos mais seguros e respeitados do mundo. Nestes últimos anos surgiram grandes eventos para impulsionar o crescimento do mercado de segurança da informação em nosso país. Eventos como SecureBrasil da ISC2, Silver Bullet Security Conference, H2HC Conference, BlackHat, Bsides, RoadSec, Sacicon, Security Leaders, entre outros, são exemplos de grandes eventos respeitados que atraem muitos executivos de segurança, hackers, além de dividir em palestrantes nacionais e internacionais. Gostaria de compartilhar neste post o evento Security Leaders que aconteceu em Novembro de 2013 e uniu muitos executivos de segurança de diferentes áreas de atuação. Eu tive a oportunidade de visitar o evento, fazer networking e rever amigos,...

Quais são as habilidades esperadas em um CISO/CSO? Metade tecnológico e metade estrategista de negócios? Evidente que nos dias atuais se espera de um CISO a habilidade de ser um líder técnico para um excelente líder de negócios. Para ramificar mais este assunto, nada mais de que ouvir de CISOs e líderes de segurança de grandes empresas. Confira esta série de vídeos criados pela IBM: The Evolving Role of the Chief Information Security Officer http://youtu.be/JnxMsSpZoo8                                        Conversations with Security Leaders: Joanne Martin, VP IT of Risk at IBM http://youtu.be/yhCDEtuGQao David Pocznek, Director of IT Management at Williams Energy http://youtu.be/IJRaskkQokA John Taylor, Head of IT Security and Service Continuity at Bristish American Tobacco http://youtu.be/Y0weQfKHSGI Gary A. Toretti, Assista...

De acordo com este estudo os líderes de segurança reconhecem que uma parceria estratégica traz força para lutar contra as ameaças decorrentes. Uma parceria com uma empresa especializada em segurança permite o CISO agir com mais confiança na gestão de risco no ambiente corporativo. Olhando para o outro lado da moeda, as ameaças estão cada vez mais sofisticadas e as vulnerabilidades mais visíveis. Enquanto isso, não basta apenas contar com a equipe interna de especialistas, é necessário parcerias para gerenciar esta nova empreitada. Em outras palavras 50% das empresas utilizam um provedor de serviços de segurança para melhorar a capacidade de suas operações no que tange gerenciamento de segurança... Security leaders recognize partnership brings strength 

Este blog criado pela IBM tem um conteúdo bem interessante para líderes de segurança da informação, e tem compartilhado algumas dicas e tendências de mercado para as tecnologias de cloud e mobile, além de mostrar como não ser paralisado no processo de adoção destas tecnologias. Vejam algumas tendências e conselhos de CISOs e líderes de segurança: 68% vêem a segurança em cloud e a privacidade de dados como uma preocupação crítica para o negócio. 76% estão preocupados com o roubo de dispositivos móveis e a perda de dados sensíveis. Com isso os CISOs e líderes de segurança concluíram que a maturidade e uma boa governança é a chave de sucesso para a adoção das tecnologias de cloud e mobile. A maioria dos executivos de segurança tem usado a influência destas tecnologias para se aproximar ao negócio. Ainda apenas 1/3 das aplicações passaram por um processo de análise de vulnerabilidade, mesmo sabendo que são consideradas o principal alvo para ataques. Outro ponto interessante é que...

Neste último mês de 2013 tive a oportunidade de realizar uma Análise de Gaps em uma grande corporação já aplicando os controles da nova ISO 27002-2013 e fiquei completamente motivado por identificar novos controles no que tange aspectos de segurança para dispositivos móveis, cadeia de suprimento e desenvolvimento de software seguro. Para cobrir estes pontos eu costumava usar alguns  padrões como PCI-DSS e Cloud Security Alliance que já abordavam parcialmente estas demandas, mas agora com esta nova versão os CSO/CISO podem ficar mais tranquilizados. Para os CSO/CISO que buscam a implementação de um Sistema de Gestão de Segurança da Informação (SGSI) e consequentemente a certificação na ISO 27001 em suas empresas, respectivamente esta nova versão visa apresentar uma abordagem mais flexível e simplificada e proporciona uma "Gestão de Risco" mais efetiva. Achei interessante este comentário, pois ao meu ver uma das grandes preocupações de executivos de segurança da informação é ...

O impacto da consumerizacão de mobile computing na gestão de segurança e operações das empresas tem se tornado uma dor de cabeça para os executivos de segurança. De falto, os projetos de BYOD e Cloud ainda são um pouco imaturos para o roadmap de 2014, mas muitas corporações estão começando a ganhar experiência. Este artigo mostra uma pesquisa com executivos e especialista de segurança a respeito do impacto de mobile computing em suas organizações. Veja alguns dos pontos mais comentados nesta pesquisa: - 22% dos especialistas de segurança comentaram que primeiramente devem aplicar um risk assessment/análise de gaps antes de implementar as políticas de segurança direcionadas e distribuir controles de segurança eficazes. Como todo papel do CSO/CISO é tirar uma foto da real situação e depois definir um plano de ação. - 18% dos especialistas de segurança recomendaram a execução de uma avaliação de segurança nas aplicações internas desenvolvidas e aplicações desenvolvidas por ter...

Este paper da ISACA aborda algumas questões relevantes que os executivos devem fazer na contratação de um serviço de nuvem. Na medida que provedores de serviços de nuvem amadurecem, mais empresas utilizarão alguma forma de computação em nuvem. A grande sacada é saber como realizar benefícios, otimizar riscos e controlar os gastos, por meio do framework COBIT 5 pode auxiliar na implementação de práticas consistentes podendo contribuir na maximização do valor e controle do risco. Neste último ano tive a oportunidade de trabalhar como Security Officer em um provedora de cloud computing aqui no Brasil e me lembro que fiz um benchmarking com os provedores de cloud nos EUA e pude notar a diferença da aderência do mercado internacional com as melhores práticas de segurança da informação e governança de TI. Minha conclusão foi que temos muito o que fazer ainda aqui no Brasil e certamente precisamos de uma lei ou regulamentação para este mercado. Sugiro que leiam este paper no link abaixo e...

Artigo bem interessante que aborda um comparativo das responsabilidades de um CISO/CSO entre 2003 e 2013. Este artigo faz uma análise bem interessante a respeito da evolução e velocidade que a mudança da tecnologia tem impactado nas organizações de forma tão rápida. Lembro que na época eu trabalhava para um banco americano e uma das maiores preocupações era manter o ambiente atualizado com os últimos patchs de segurança, pois grande parte do ambiente era Windows e um pequena parte Linux e Unix e um vacilo poderia colocar seu ambiente de negócio em risco e rapidamente os crackers exploravam as falhas de segurança por falta de um patch de segurança ou uma configuração de segurança não aplicada no sistema operacional ou serviço específico. Um pouco mais tarde a atenção ficou para os ataques de DDoS (Distributed Denial of Service) em servidores web e o surgimento de algumas novas formas de roubo de informações por meio de arquivos infectados, etc. Passados 10 anos este cenário mudou e os...

Algum tempo atrás o site www.csoonline.com  publicou um podcast sobre a diferença entre o CSO vs. CISO em uma organização. Certamente as companhias estão contratando ou irão contratar nos próximos meses um profissional com este perfil, mas raramente você vai encontrar ambos em uma mesma empresa. Bill Brenner e mais um grupo de especialistas/executivos discutem sobre este assunto na nova série de "New CSO-CISO". Escute aqui o podcast:  http://www.csoonline.com/podcast/634873/cso-vs.-ciso-what-s-the-difference- CSO vs. CISO: What's the difference?

Artigo bem interessante para executivos de segurança: "Reflexões em segurança para 2014" escrito pelo Sócio-fundador e Consultor da iBLISS. Aproveito para fazer uma correção neste texto quando o autor menciona "O mercado entendeu que o site é a principal porta de entrada para os "hackers" , uma vez que ele permite acesso a documento, sistemas corporativos, banco de dados, inclusive, a rede interna,". Vamos deixar claro que hacker é diferente de cracker no que tange a intenção, conheço hackers motivados a transformar e colaborar com o nível de segurança nas organizações e da mesma forma crackers vigiando o território organizacional esperando uma brecha para entrar...Ressalto este ponto, pois todo o executivo de segurança deve entender esta diferença e a importância de se manter atualizado com os hackers, seja consultores externos ou empregados. Linke do artigo: http://www.ibliss.com.br/blog/quais-nao-serao-as-tendencias-para-2014-ou-o-que-voce-ja-dev...

Neste mês de Dezembro a ISC2 ( wwwi.isc2.org ) responsável pela certificação Certified Information Systems Security Professional (CISSP) disponibilizou para download a nova edição 24 da InfoSecurity Professional Magazine . Infelizmente esta revista está disponível somente para profissionais membros e profissionais certificados pela ISC2 que tem acesso a área de membros do site. Por hora, gostaria de compartilhar um pouco do conteúdo desta edição: - Ongoing Evolution - As mudanças decorridas nos papéis dos profissionais de segurança devido a consumerização da tecnologia, ameaças de segurança e o ambiente de trabalho. - Laying down the BYOD law - Quais são os desafios para implementar uma política para BYOD e como isso pode ser tornar lei e garantir a privacidade dos usuários. - What is in a Team? - Como criar um time efetivo e comprometido com a liderança, uma boa comunicação, trabalho em grupo e outros skills que são componentes vitais para um time de sucesso. Considero...

Toda a transição de ano esperamos mudanças significativas em nossas carreiras e vale a pergunta "O que você espera de mudanças para a posição de CSO, CISO, Chief Risk Officer, etc, em 2014?" Com a demanda de BYOD, mobile computing, cloud computing, controle de dispositivos móveis, entre outras demandas da Consumerizacão de TI. O CISO ou CSO deve se atentar em assegurar qual é a real situação da segurança da informação em sua organização, se existe um processo de gerenciamento de risco implementando, garantia de um processo efetivo/eficaz para reforço/monitoramento do cumprimento das política de segurança corporativa, existência de processo de awareness program, garantia de um plano eficaz de gestão de continuidade de negócios para os processos críticos de negócios, assegurar a proteção de dados e aplicações desenvolvidas por terceiros, desenvolvimento de software seguro, controle de acesso, segurança física para os ativos e supply chain como aborda a recente norma ISO 27...

Esta matéria foi publicada em 2006 pelo site ComputerWorld, apesar de ser antiga, por hora, aborda as qualidades e competências esperados para a posição de um CISO. Se você tiver interesse em saber um pouco mais deste mundo cheio de perguntas e desafios, clique no link abaixo: Link da matéria:  http://computerworld.uol.com.br/seguranca/2006/09/29/idgnoticia.2006-09-29.4655356039/ Conhecimento técnico, certificações e linguagem do negócio. Esse tripé de habilidades, somado às capacidades de comunicação, apresentação e confiabilidade, formam um profissional de segurança. Como se preparar para ocupar o cargo de CISO

Atualmente, a informação é considerada um ativo estratégico e de valor para a organização. O processo de Gerenciamento de Risco é usado pelas organizações para decidir em implementar ou não implementar um controle de segurança considerando a necessidade de negócio e o tempo é crucial para esta decisão. Este processo cria um janela de oportunidades para invasores conhecidos como crackers e/ou funcionários insatisfeitos que identificam as fraquezas nos pontos de entrada da corporação. Por hora, a segurança tem tido mais atenção nos últimos anos e as organizações tem se preocupado em estabelecer uma autoridade internamente com as responsabilidades de segurança. Os principais drivers meramente conhecidos são: - Regulamentações, leis criadas especialmente no mercado financeiro e cartão de crédito; - Algumas empresas vêem a importância do valor em ser reconhecida como uma Organização Segura valorizando a aplicação das melhores práticas; - O vazamento de informações que pode manchar a s...

Algumas pessoas já me perguntaram "Como se preparar para a posição de CISO?" De fato, no Brasil com o crescimento da economia e uma parcela considerável de empresas disponibilizando seus IPOs na bolsa de valores, estes drivers tem impulsionado as empresas a perceber a necessidade de ter um líder de segurança para assegurar a proteção de suas informações. A posição de um CISO ou CSO requer uma visão sistemática de gerenciamento de risco e uma integração com os negócios. Este profissional precisa manter um equilíbrio técnico e manter habilidades para se relacionar com o senior management. Neste artigo o escritor comenta a importância de se manter atualizado, seja por meio de certificações, cursos e eventos relacionados a segurança. Considere-se também, a capacidade de estar apto para explicar os benefícios da segurança em termos de ROI, os valores que podem trazer para a organização, a habilidade e o apetite de convencer e criar, skill para uma boa comunicação e construir u...

Gostaria de sugerir a leitura deste paper "A new standard for security leaders" disponível no site:  http://www-03.ibm.com/security/ciso/ . Este paper apresenta uma visão executiva de CISO de grandes corporações, compartilhando as suas estratégias, desafios, dificuldades e percepções que tiveram em 2013 e um checklist para ser aplicado "Chief Information Security Officer Assessment. Se você é um CSO/CISO que está precisando ter uma visão completa e tirar uma foto da real situação da Segurança da Informação em sua organização, não perca tempo, leia este paper e prepare um plano para 2014. A new standard for security leaders Qual a expectativa que os líderes de segurança dizem sobre atingir o sucesso em suas funções? Qual a visão do CEO, CIO, CFO e COO no que tange Segurança da Informação? Como combinar Infosec, Risk Management, Recursos de TI, Mobilidade, Negócio, Confiança...

Apesar de ser um leitura antiga escrita com carinho pelo executivo Marcos Sêmola ( www.semola.com.br ), o livro "Gestão da Segurança da Informação" apresenta uma visão executiva para implementação de um Sistema de Gestão de Segurança da Informação (SGSI) de forma clara e objetiva. Sugiro esta leitura para iniciantes, experientes, estudantes de segurança da informação e mantenha este livro guardado na gaveta, que um dia você vai precisar formar um time de segurança da informação e este livro é uma ferramenta de apoio.  Aproveito para ressaltar que o livro aborda uma linguagem conceitual e no dia-dia como CISO/CSO você terá que dar seus pulos para fazer acontecer. Um resumo do livro: Muitas pessoas pensam que Segurança da Informação se resume à compra de equipamentos e softwares, como firewalls, sistemas de detecção de intrusos ou antivírus. Outras acham que incluir a adoção de Políticas de Segurança e o estabelecimento de responsabilidades funcionais ao aparato tecnológi...

Recentemente foi lançado o COBIT 5 for "Information Security" que pode ajudar os CISO/CSO em suas empresas a manter e equilibrar os benefícios e gerenciar níveis de risco e recursos de TI. Através do COBIT 5 os CISO/CSO podem gerenciar com diligência toda a organização no que tange aspectos de TI, Segurança da Informação e requerimentos de negócios. São 5 princípios que o framework apresenta em alguns slides demonstrados abaixo. Acho que vale a pena um investimento e conhecer este novo framework... Mais detalhes confira neste link:  http://www.isaca.org/COBIT/pages/info-sec.aspx COBIT 5 Principles COBIT 5 Enables COBIT 5 Product Family Enabler: Principles, Policies and Frameworks Governance of Enterprise IT

Vídeo bem interessante com um painel de CISO/CSO de grandes corporações em um evento de Application Security promovida pela OWASP em NYC. Link:  http://www.youtube.com/watch?v=YANxBUkD0Gw

Véspera de Natal e estou aqui completamente empolgado em estudar materiais sobre segurança da informação. Aproveitando gostaria de compartilhar mais uma leitura interessante que aborda o tema "Gestão de Risco de TI" de uma forma bem prática. Acredito que seja um leitura interessante para profissionais que atuam diretamente com Gestão de Risco de TI, além de Gerentes e Diretores de TI, CSO, CISO, Consultores, CIO e CTO. De uma forma bem objetiva o livro apresenta alguns exemplos de eventos de segurança da informação ocorridos em grandes corporações desmostrando um modelo de "Gestão de Risco", um framework a ser aplicado e os autores aplicam um conceito de pirâmide classificando os principais fatores de risco de TI em quatro categorias:  Agilidade, Precisão, Acesso e Disponibilidade e ensina como converter estas ameaças em vantagem competitiva. Abaixo disponho de um resumo do livro: O tema deste livro objetiva proporcionar a técnicos e profissionais a prev...

Caros amigos, Tive a oportunidade de ler o livro "Management of Information Security" e com toda a humildade gostaria de ressaltar que esta foi uma leitura bem interessante e completa no que tange a implementação de um modelo de gestão de segurança da informação. Infelizmente no Brasil não existem livros desta qualidade. Por questões do desenvolvimento da área de inforsec e experiência do mercado americano na função de CSO/CISO temos aprendido muito com eles. Há 10 anos eu trabalhei em uma instituição financeira americana e na época a segurança da informação já era algo muito sério e tínhamos que correr para implementar e garantir a conformidade das melhores práticas de segurança da informação. Eu recomendo fortemente este livro por vivência e experiência que tive em 2010 implementando um processo de gestão de segurança da informação em una empresa de BPO como Security Officer. Asseguro que este livro me concedeu uma visão estratégica e cultural de segredos importantes ...

Uma excelente fonte de informação para CISO/CSO é o site da www.csoonline.com . Todo conteúdo do site está em Inglês, mas rico no que tange Gestão da Segurança da Informação. Se você estiver procurando uma vaga de CSO, CISO, Chief Risk Officer ou posição semelhante sugiro procurar diretamente pelo Linkedin no link "Jobs" e digite por exemplo: "Information Security Officer", vai aparecer uma quantidade imensa de oportunidades. Outra sugestão é usar o site www.carrerbuilder.com . Até mais... CSO Online - Security and Risk Jobs de Information Security no Linkedin

Navegando hoje pela Internet encontrei esta matéria que aborda o cuidado que os gestores de SI e TI devem ter quanto ao vazamento de informação para os serviços de Cloud Computing. Muitos gestores acabam se preocupando com o bloqueio para alguns serviços como Netflix, Dropbox, Skype, Apple ICloud, Skype, etc, mas olhando para o aspecto de performance/produtividade e não de segurança e acabam esquecendo de avaliar a segurança ou manter um processo de gestão de fornecedores junto aos seus provedores de Cloud Computing, independente do provedor de IaSS, PaSS e SaSS e o nível de segurança da nuvem, o papel do CSO é assegurar o due diligence nestes fornecedores. Vale ressaltar que os provedores de Cloud nos EUA a maioria seguem as melhores práticas de Segurança da Informação, enquanto no Brasil nem todos estão preparados para absorver regras de Segurança da Informação e isto é um ponto de atenção "Open your eyes CSO/CISO...take care". Tenho realizado alguns projetos de Gaps An...

Este é um fruto de um trabalho de MBA que fiz na FIA/USP em 2004 e gostaria de compartilhar com colegas que estejam buscando algum material de ajuda: Este é um trabalho acadêmico "Gestão da Segurança da Informação - CSO" que apresenta uma visão crítica de sucesso para os negócios das organizações e a importância da segurança da informação e um Chief Security Officer (CSO) para uma organização. Se tiver interesse pelo documento envie um e-mail para rangel@sk8.com.br  com o assunto "CSO - Monografia" que enviarei o documento por e-mail. Se você preferir acesse este documento pelo meu perfil no Linkedin. Navegue até "Education" em "Fundação Instituto Administração - FIA/USP": http://www.linkedin.com/profile/edit?trk=nav_responsive_sub_nav_edit_profile

Gostaria de compartilhar estes slides que representam um modelo que tenho utilizado em minha experiências como Security Officer. Se trata de um desenho do Sistema de Gestão de Segurança da Informação SGSI da ISO 27001, um framework que desenhei chamado Enterprise Security Management (ERM) agrupando os principais pontos de um modelo de Gestão de Segurança da Informação Corporativo e os principais drivers de SI que não podem faltar em um Plano Diretor de Segurança da Informação (PDSI) sugeridos por uma executiva de SI e ex-chefe que tive na Ernst & Young. ISMS ou SGSI da ISO 27001 Enterprise Security Management (ERM) Information Security Drivers que não podem faltar em um modelo de Gestão de SI para o CSO/CISO