CSO:CYBER

Tenho grande orgulho em compartilhar com vocês este artigo escrito pelo meu amigo Felipe Prado  a respeito de um artigo que retrata a vida dos profissionais de segurança da informação. Confira na íntegra os caminhos a serem percorridos pelos profissionais de segurança. Um ponto a ressaltar é que este artigo foi escrito com um profissional com uma bagagem bem vasta em gestão de segurança da informação trazendo uma ótica de um verdadeiro CSO/CISO. Clique aqui para ler o artigo completo...

Organizations need to examine the current reporting role of information security and the level of access to business executives to create clear visibility into all areas of cyber risk. Click here for read full article.  

The debate rages on whether gaining  security certifications means much . Regardless of whether you think they aren't even worth the paper they are printed on, there are others who believe certifications prove the individual knows what they are doing. With that, here are a group of vendors who offer security certifications.

Gaining the Confidence to Fly: Cloud Insights From the 2014 IBM CISO Assessment. This is a tool created by IBM and very useful for Chief Information Security Officer (CIS) and Chief Security Officer (CSO). Clique here for more information.

Pelo quinto ano consecutivo, o Congresso Security Leaders premiou os líderes de Segurança da Informação e Risco, além de três melhores cases do ano. Promovido pela Conteúdo Editorial em parceria com a IDC, o prêmio avaliou o trabalho dos profissionais do setor e enfatizou a importância do papel que os líderes vêm desempenhando dentro das organizações brasileiras. Com grande alegria fui premiado na categoria Indústria de Bens de Consumo, confira a lista abaixo ou clique aqui para ver a matéria completa. Abaixo, segue a lista dos security leaders em cada categoria: - Banco Varejista: Aurélio Conrado Boni, vice-presidente de TI do Bradesco - Contact Center e Serviços: Fernando Malta, Security and IT Governance Manager da Teleperformance Brasil - Educação e Treinamento: João Carlos Lopes Fernandes, coordenador da Fatec São Caetano do Sul - Governo: Flavio Hirota, engenheiro da Sabesp - Indústria: Valdinei Ruella, regional Security Officer da Alcoa Alumínio - Indústria de Bens d...

O CISO/CSO precisam de habilidades certas para sobreviver  nos próximos anos. Confira neste artigo 5 dicas importantes para um executivo de segurança... Five CISO skills critical to you success in the next five years

What is the information security triad? Just about everyone knows the answer to this question is CIA – Confidentiality, Integrity, and Availability. Security professionals, service providers, and technology vendors are responsible for these three infosec pillars in one way or another... Click here to see the full article...

What skills, background and education does a security executive need if they want their career to evolve? What does the future hold for enterprise security? What will programs, roles, technologies and policies look like in five years or so? Prognosticating can be tricky, especially in such a fast-changing digital environment. But part of the security executive’s job is to not only keep up with the latest developments, but also to anticipate what might come next so companies can prepare to handle challenges.  CSO  interviewed security executives about the future and where they see their discipline headed. Here are some of the major trends they expect to see...Click in link below to see the article... Changing role of the security officer

Some of the largest U.S. companies are looking to hire cybersecurity experts in newly elevated positions and bring technologists on to their boards, a sign that corporate America is increasingly worried about hacking threats. Corporate America is increasingly focusing on cybersecurity and Fortune 500s are hiring more CISOs to incorporate security into development plans..  As companies look for CISOs, many boards are seeking directors with technology know-how so that they can better understand cyber risks. Check out this news here .

Está preocupado que suas soluções pontuais não estejam dando conta do recado? De acordo com o Enterprise Strategy Group, muitos CISOs não sabem ao certo se devem lidar com as ameaças de malware avançado com controle baseados em rede ou em host. O ESG acredita que eles acabarão precisando dos dois tipos de tecnologias de segurança para obter defesa aprofundada, análise de malware e análise. Leitura obrigatória para CISOs, clique aqui para ler o relatório completo do ESG.

Tops vulnerabilidades web conhecidas como SQL Injection, Configuration Issues, Weak Encryption Ciphers, vulnerable software, unpatched, botned victims, em geral estes key insights relatado neste relatório da Trustwave deveria ser lido por todo profissional que está na posição de CSO ou CISO. Se você é um CSO/CISO e tiver interesse em saber um pouco mais clique no link abaixo: 2014 Trustwave Global Security Report

Este paper desenvolvido pela RSA Security apresenta um contexto de transformação da segurança da informação no meio corporativo focando em estratégia e tecnologia. Em geral, são recomendações compartilhada por 1000 líderes de segurança. Sugiro a leitura deste paper por todo líder de segurança, CSO, CISO, CIO, CTO, etc...

According this report from Trustwave/Cenzic 96 percent of tested apps contain a vulnerability. I recommend any CSO/CISO to read this paper that show a vision interesting about last threats in apps web and mobile. For example, this report helps the CSO find the response for questions below. How do organizations respond today? What explains this? Why CSO are concerned?  This report bring top ten vulnerabilities from OWASP and Mobile App Vulnerabilities. Click here to read the paper.

A maioria das organizações vem adotando a tecnologia de Cloud em seus ambientes para redução de custo, velocidade, flexibilidade e nesta hora entra o papel do CISO para assegurar a aderência com as melhores práticas de segurança da informação com os fornecedores de Cloud. A gigante americana DocuSign inovadora e provedora em serviços de assinatura digital alerta alguns pontos de atenção para o CISO, CSO, CIO e CEO. Confira este artigo no link abaixo. No Hiding in the Cloud “With the increasing demand and expansion of the global role of security, the role of a modern CISO is evolving from simply being a tech- nical officer to a leader in business strategy.” 

Para Alessandro Figueiredo, da SulAmérica, é preciso planejar ações de mitigação de risco para Mobilidade, Cloud, Big Data e Rede Sociais. Recomendo fortemente a leitura deste artigo no qual o CSO apresenta uma ótima bem interessante para gerir risco... Clique neste link para ler a matéria completa Em busca da mitigacão do risco

Este artigo escrito por Marcos Semola é bem interessante..Semola que é líder de TI da Shell adverte sobre o risco que as empresas instaladas no Brasil estão correndo em tempos de Copa do Mundo. "O problema é que nosso nível de visibilidade fica muito alto e passamos todos a ser alvo potencial de ataques dos mais variados". Fica aqui registrado um ponto de atenção para o CSO, CISO e executivos de TI no que tange a segurança da informação. Clique no link abaixo para ler o artigo completo... Um questão de apetite de risco

Este artigo postado em um site sobre segurança aborda um assunto bem interessante e muito comentando nestes últimos anos em congressos, pelos executivos de segurança e TI.  Alguns destes issues pode se tornar um sério problema para a sua organização. Fique atento com estes 10 issues de gestão de risco de TI que são frequentemente negligenciado pelo executivo de segurança e TI. 1. Perda de pessoas chaves em áreas importantes 2. Precipitação no processo de fusão e aquisição 3. Comunicação pobre 4. Descuido com fornecedores 5. Falta de engajamento da gestão na tomada de decisão 6. Servidores distribuidos em locais remotos 7. Ser mais sábio que seus próprios olhos... 8. Relacionamento entre empregados (namoro e conjugues) 9. Falta de documentação 10. Ausência de um DRP e BCP eficaz Clique aqui para ler a matéria completa.

Gostaria de compartilhar este matéria publicada recentemente que ressalta o crescimento na demanda por profissionais de segurança com conhecimento em segurança & negócios. Leia e entenda os componentes importantes e esperados neste profissional. O  especialista que atua no desenvolvimento de soluções de segurança baseadas em Tecnologia da Informação (TI) precisa estar sempre atento às novidades da área, principalmente às ameaças que surgem no dia a dia e são cada vez mais complexas . 

Queridos executivos de segurança, vem aí, o Congresso Security Leaders , o maior evento de Segurança da Informação e Risco do Brasil e América Latina, e agora ganhou uma versão regional! Data: 27 de Março Local: Hotel Windsor, Copacabana Mais informações em: Security Leaders

A Segurança da Informação pode estar ganhando mais respeito na mesa executiva, mas quanto um título de um CSO / CISO realmente significa quando se trata de ter o poder de proteger a organização? Esta e outras questões pode ser respondidas no artigo publicado no site www.csoonline.com . Clique aqui para ler o artigo completo e be interessante. Security may be getting more respect at the executive table, but how much does a C-level security title really mean when it comes to having the power to secure an organization? Does your title match your authority?

Segurança é um grande negócio agora..Aqui estão algumas dicas de George Viegas sobre como CSO 2.0 pode ter uma abordagem mais eficaz para a segurança da informação em 2014 e para o futuro. Clique aqui para ler o artigo completo. January 21, 2014  —  CSO  — Information security is changing rapidly. At each new security conference it seems as though there are almost twice as many new tools and new vendors than at the previous edition. Security incidents are occurring more often and with increased financial or reputational impact. CSO 2.0: How to take you security program to the next level

Riscos relacionado a TI são muito mais do que você imagina, em outras palavras, risco de TI é risco de negócio. Especificamente, o risco de negócio está associado com o uso, propriedade, operação, envolvimento e adoção de TI dentro em uma empresa e abrange todos os riscos relacionado a TI . Em resumo Risco de TI não está limitado a segurança da informação... Confira a nova visão para os profissionais envolvido com Risk Management . Watch Out CISOs and CSOs: CRO My Be Gaining on You

Trata-se uma das principais certificações em segurança. O exame de competência da CISSP incluem diversos temas de segurança, gestão de riscos, cloud computing, segurança móvel, desenvolvimento de aplicação de segurança, entre outros. Sua larga abrangência é o que a diferencia de outros exame de certificação...Confira esta matéria que abrange também outras certificações que pode agregar ao profissional de SI. Certificações para profissionais de TI e Segurança... Detalhes sobre a certificação CISSP clique aqui . Sete certificações para profissionais de TI

Confira estes conselhos de experts para se tornar um líder influenciado e para isso o CISO precisa ter/saber: 1. Encontre um mentor; 2. Receber uma revisão externa; 3. Desenvolver métricas; 4. Criar um comitê de risco. Em uma entrevista exclusiva sobre um estudo realizado pela IBM, Van Zadelhoff discute: - A evolução do papel do CISO; - Características de um influente CISO; - Conselho para líderes de segurança para ajudar a ser mais estratégico e efetivo em suas organizações. Clique aqui para ler o artigo completo. 4 Tips for Being an Effective CISO

Mobilidade e big data devem monopolizar as atenções da área de segurança este ano. A conclusão é de líderes de segurança que estiveram reunidos pela TVDecision em um painel de debates com um grupo os CSOs de diversas verticais de negócio. Considere-se que tendências como nuvem e redes sociais também seguem avançando e todas estas questões de Segurança da Informação é um ponto crítico. Para entender o impacto dessas tecnologias nas diretrizes de proteção dos ambientes corporativos clique aqui para ler o artigo completo... Segurança em 2014, na visão dos CSOs

Assista na íntegra toda a programação do Security Leaders que aconteceu em Novembro de 2013. O Security Leaders é considerado o maior evento no Brasil destinado a líderes de segurança da informação, governança e auditoria de TI. Se você perdeu este evento aproveite e clique aqui para assistir todos os vídeos com a cobertura especial do evento feito para CSO, CISO e profissionais de segurança da informação. Security Leaders 2013

2014 será um grande ano para o cyber security. Como a tecnologia tem evoluído mais e mais novos dispositivos são conectados na Internet e crackers estão procurando mais caminhos para explorar vulnerabilidades e roubar informações valiosas de indivíduos e organizacões. A área de negócio terá que fazer o seu melhor para lidar com todos os novos desafios pela frente. Este documento apresenta o que o IT Governance acredita que serão as Top 11 Cyber Security & IT Governance Challenges in 2014 . Um excelente documento para leitura de um CISO, CSO, CRO, CTO, CIO e todos profissionais de segurança. CISOs will have  to broaden the skills and tools available in their teams in order to respond to this range of challenges.  Clique aqui para ler o paper. Top 11 challenges to address in 2014

A conferência CSO Magazine's CSO40 Security Confab + Awards Conference esta chegando...serão apresentações de líderes e executivos de segurança, CSOe CISO irão demonstrar como eles estão lidando com as necessidades em suas empresas e se preparando para o futuro. Se você é um executivo de segurança, CSO , CISO ou CRO não espere muito e participe deste grande evento promovido pela revista CSO Magazine .... Veja os itens que serão discutidos: - Advance Threats and Cybersecurity; - Identity and Access Management; - Security Intelligence / Leveraging Big Data for Security; - Mobile and BYOD Risks - Privacy Clique aqui para mais detalhes do evento. Sessions at the CSO40 Security Confab + Awards are unlike anything you’ve seen before. Our program of fast-moving, rapid fire presentations delivered by leading CSO and CISO thought leaders demonstrate how forward-thinking organizations are embracing today’s challenges and preparing for the future. Register now. http://www.csoco...

Quando se trata de trabalhar com Segurança da Informação, há um exagero de equívocos entre os profissionais de segurança e as outras áreas como Negócio e TI. Qual é o real papel e responsabilidade deste profissional. O que realmente eles precisam discernir? Se você é um CISO , CSO ou similar conheça os 10 equívocos comuns sobre o profissional de segurança, open your mind! 1. Os profissionais de segurança limitam a mobilidade de crescimento; 2. Todos que trabalham com segurança são realmente experts? 3. Os profissionais de segurança são paranóicos; 4. Os profissionais de segurança pensam que compliance significa segurança; 5. Segurança e infra-estrutura/operações nunca vão ser dar... 6. Segurança da Informação é uma disciplina muito técnica; 7. Hacking, invasões, roubo, fraude são apenas reais em filmes; 8. Profissionais de segurança precisam balancear a produtividade; 9. Não existe emprego tedioso e maçante... 10. Segurança é apenas prevenção de ataques; Clique  aq...

No ambiente de segurança atual muito se fala em ferramentas que vão paralisar ou neutralizar ameaças como malware e outros tipos de ataques, mas muito pouco é dedicado no perímetro de defesa das organizações. O time de Infosec trabalha arduamente ganhando terreno contra estes invasores e isto significa mais do que ter a tecnologia certa. Neste cenário a empresa pode precisar da pessoa certa com a mentalidade certa e isto começa com o CISO .  O artigo "Being great: Five critical CISO traits" mostra 5 traços importantes que um CISO  precisa ter em seu perfil, são estes abaixo: - Ser visionário; - Espirito capaz de determinar métricas; - Foco nas pessoas; - Conhecimento de negócios; - Ser humilde e honesto. Clique aqui para ler o artigo completo. Being great: Five critical CISO traits

O papel do CISO é agora trabalhar diretamente com as linhas de negócio, diz Arthur Lessard, CISO da Universal Music Group . Este artigo publicado no site da SC Magazine relata que a responsabilidade do CISO requer equilíbrio e perspicácia a fundo de negócio e ser menos técnico. Perceba a opinião de alguns CISOs neste artigo: " O principal papel do CISO é aconselhar a alta direção sobre os riscos existentes e saber como mitigar" , "O CISO precisa entender o que a organização espera dele" , "Alguns dos CISOs mais bem sucedidos foram aqueles polivalentes trabalhando com diversas áreas tendo o mesmo rendimento" . De acordo com a pesquisa, o papel do CISO realmente mudou nos últimos 18 meses.  Antes o CISO costumava a tratar somente questões relacionadas a I T Security , mas agora o foco mudou para o negócio e temos que entender que a segurança é uma decisão de negócio e não podemos gastar mais tempo com atividades sem direção... O artigo é bem intere...

No mundo da Segurança da Informação, a única coisa que as pessoas concordam é a necessidade de mudança.  De acordo com a Forrrester , indica que 50% dos CISOs chegaram nesta posição vindo da área de TI. Isto significa que eles se identificaram com o mundo de TI e menos com a área de negócio, o que pode causar problemas nesta posição se a adequada mudança não ocorrer... O que é essencial para o sucesso do CISO? Menos habilidades técnicas e mais entendimento de negócio? Capacidade de equilibrio emocional e inteligência? O CISO jamais pode levar seu mundo no ombro, abrace com muita energia e uma boa estratégia... Clique aqui para ler este artigo escrito por Eddie Shanahan For CISOs, It's Grow or Go

Deveria um CISO ser um Chief Risk Officer ? Saiba como identificar o papel de um CISO na gestão de risco na esfera empresarial. Pense nisso, o governo e as empresas do setor privado precisam proteger suas informações sensíveis em um ambiente de tecnologia complexo. Entender o que precisa manter a operação de TI é a chave para o sucesso de uma empresa... Confira neste artigo mais detalhes sobre o papel e o envolvimento do CISO nos negócios. Clique aqui para ler o artigo.

Quais são os pontos chaves que CSOs e CISOs precisam saber para garantir a sua sobrevivência em um mundo de constante mudanças, hostil e cyber attacks ? O que faz a confiabilidade ser tão importante para uma liderança futura no cyber security ? Evidente que todos nós sabemos que as coisas serão diferentes no futuro. O que fazer para se preparar? Neste artigo escrito por um executivo de segurança do site CSOOnline.com  compartilha suas percepções do futuro da segurança nas organizações. I decided not to talk about BYOD or cloud computing or the many challenges associated with securing virtualized data centers. Nor did I discuss the rising cyber threat from organized crime, growing numbers of domestic (bad guy) hackers or foreign experts who are attacking our critical infrastructure, the consumerization of IT, FUD headlines or a long list of other hot topics that can keep CISOs up at night. Clique aqui para ler o arquivo: CISO 2020: Will you be ready? CISO 2020...

Com mais profissionais entrando no mercado de segurança da informação, o valor das certificações tende a declinar. As certificações ainda são muito válidas, ou elas são simplesmente mandatória para assegurar a empregabilidade? Neste artigo o autor compartilha os “Pros” e “Cons” para as certificações de segurança. Na minha humilde opinião o processo de estudo para obter uma certificação é um investimento de conhecimento e aprimoramento, o investimento de horas de estudo gera oportunidades de networking e asseguro que muitos conceitos você acaba aplicando no seu dia-dia como CISO/CSO. Tive a oportunidade de me certificar como Certified Information Systems Security Professional (CISSP) e durante o tempo que estudei tive a alegria de fazer novos amigos, expandir meu conhecimento, atuar como proctor e supervisor das provas da ISC2 , que pra mim, foi uma grande experiência que não me arrependo. Acredito que as certificações são complementos para a sua carreira, mas acima de tudo você ...

Neste artigo publicado no site www.csoonline.com  fala a respeito do papel do CISO nas organizações e quem é a pessoa certa para ser um CISO . O autor diz que o papel do CISO  enfrenta um pouco de crise de identidade, sem uma clara definição no seu papel ou em que lugar o CISO deve ser posicionado na organização. O especialista Matej Saksida acredita que o papel do CISO ainda não é reconhecido em muitas organizações, pelo menos, na região da Europa, e podemos assegurar que aqui no Brasil não é diferente, é ainda pior! As áreas de RH e o senior management ainda acreditam, que o CISO é um Administrador de TI com conhecimento em risk assessment e política de segurança. Matej menciona que a pessoa certa para ser um CISO é alguém que esteja apto para entender de negócio, comunicação, liderança e regulamentações, além de ter conhecimentos de TI, RH, segurança física, fire protection, standards, etc. Sempre mantenha em mente que Segurança da Informação não é Segurança de TI...

O blog "The Next CISO" tem alguns posts bem interessantes e fiquei maravilhado com este aqui  "10 Golden Rules of the Outstanding CISO" . Como em toda área espera-se que um CISO tenha qualidades e características importantes em seu perfil, caráter e integridade são premissas para a carreira deste executivo de segurança. Aproveito para compartilhar estas dicas para CISOs publicada no blog The Next CISO : 1. Assegure sempre em primeiro lugar a sua integridade. Seja honesto e mostre as pessoas que elas podem confiar em você. 2. Volte para o básico. Largue o jargão técnico e de negócio e seja simples em exemplos práticos principalmente em campanhas de conscientização. 3. Priorize a qualidade. Faça do seu trabalho uma arte e não seja perfeccionista e simplesmente melhore seus resultados em etapas. 4. Não entre em pânico. Em momentos de crise seja calmo e responsável. 5. Seja um mestre da comunicação. Ser comunicativo é premissa no mundo corporativo, escreva...

Como em qualquer profissão, as bons recursos e ferramentas disponíveis para ajudar no processo de gerenciamento de riscos são apenas a metade do trabalho, enquanto que a outra metade é ter a ferramenta certa, no momento certo e de maneira certa. Especialmente para os novos CISOs podem querer investir tempo em criar um toolkit  adequado, mas antes tentam aplicar patchs de segurança em sistemas como um martelo.  A pergunta aqui é: Quais são as ferramentas que todo CISO deveria saber? Este artigo escrito por um especialista de segurança e criador do blog "The Next CISO" apresenta um conjunto de dicas para o CISO ou CSO montar um bom Security Plan . Confira abaixo os temas abordados: - Visão geral dos ativos críticos para o negócio; - Organograma; - Visão geral do orçamento "budget"; - Business Continuity Plan & Disaster Recovery Plan; - Visão geral do processo de conformidade e gerenciamento de risco; - Ricos mapeados. - Visão dos projetos, programas...

Este paper "Mixing Technology and Business: The Roles and Responsibilities of the Chief Information Security Officer" descreve os papéis e responsabilidades de um Chief Information Security Officer (CISO) e a importância deste profissional nas organizações públicas e privadas ao redor do mundo misturando tecnologia e negócio. O paper explica a importância de Return on Investment (ROI) e o relacionamento com o CISO. Trata-se de uma pesquisa realizada pelo SANS Institute em 2003, porém é um documento rico de informações e relevante para a leitura de um CISO/CSO. Boa leitura:  https://www.sans.org/reading-room/whitepapers/assurance/mixing-technology-business-roles-responsibilities-chief-information-security-of-1044 The Roles and Responsibilities of the CISO

O site CSOOnline.com  publicou já algum tempo algumas dicas para o CSO bilhar em suas carreiras. Complementando o post anterior gostaria de sugerir a leitura do artigo "CSO resumes: 5 tips make yours shine" . Atualmente, para os CISO, CSO e outros líderes de segurança as suas certificações de segurança podem não ser suficientes, descubra o que mais você precisa ter... 1. Seja um líder de negócios em primeiro lugar. Se for necessário faça um MBA em Gestão de Negócios e/ou similiar para agregar skills em seu perfil. 2. Saiba fazer o seu marketing , é necessário promover a sua marca demostrando o seu potencial e capacidade como líder com uma visão de negócios. Existem cursos complementares que podem ajudar no marketing pessoal. 3. Enfatize e saiba apresentar as suas realizações. Não basta apenas mostrar as suas certificações ou habilidades de realizar treinamentos, é necessário identificar aquilo que é importante para o alto executivo, aprenda a discernir resultados rele...

V ocê tem 5 minutos para explicar porque você "CISO" é importante e relevante para o negócio e definir a postura de risco da sua organização. Se você é um executivo de segurança já deve ter passado por isso, você tem 5 slides de .ppt para passar em segundos/minutos de maneira bem objetiva e convincente. Quais técnicas e estratégias usar nesta hora para conquistar o apoio do senior management? Certamente a segurança da informação tem se tornado mais importante para as organizações no que tange o nível de maturidade do processo de Risk Management. Fato agora é que os executivos estão mais abertos a ouvir os CISO/CSOs, mas esperam destes profissionais um diferente nível de comunicação na hora de fazer uma apresentação, o CISO/CSO precisa ser claro e objetivo e evitar não pecar nesta hora! O site The State of Security da Tripwire traz algumas dicas que podem ajudar CSOs quando tiverem que apresentar algo ao board executivo: 1. Sempre tenha em mente "O negócio é mais ...

O CISOHandbook.com   é um site com uma diversidades de recursos para CISO's, CSO's e profissionais de segurança. CISOHandbook.com é um lugar onde executivos de segurança, gerentes e patrocinadores podem compartilhar idéias, desafios e oportunidades ligadas ao desenvolvimento, que participam e gerenciam um Enterprise Security Program . Neste site você pode encontrar métricas, ferramentas, opiniões e o mais importante manter o acesso direto com CISO's, CSO's, especialistas e outros profissionais que atuam com segurança.  Uma das partes mais interessantes do site é compartilhamento de informações idéais, dicas e técnicas para lidar com os problemas de segurança que estes profissionais enfrentam diariamente. Todo o conteúdo do site CISOHandbook.com  é gratuito, mas requer o registro de acesso em algumas áreas. O registro é rápido, grátis e fácil, aproveite e faça seu cadastro e aproveito o conteúdo rico de informações. Aproveito para sugerir a leitura destes dois liv...

A pesquisa realizada em 2013 pela Ernst & Young com executivos de tecnologia e executivos de segurança teve como objetivo explorar as tendências e ameaças emergentes e a consumerização de novas tecnologias como cloud, mobile, rede sociais, BYOD, Big Data, além de outros pontos primordiais para um plano diretor de segurança. O paper é bem completo e como eu disse, o assunto foi bem explorado através de uma metodologia "Improve, Expand e Innovate". Tive a oportunidade de trabalhar para a Ernst & Young na área de Advisory Services and Risk e conhecer excelentes profissionais do antigo grupo conhecido Tiger Team , que era especializado e reconhecido em aplicar Pen Test para grandes empresas e posso assegurar que conhecimento e fundamento existem para tornar este relatório uma ferramenta de apoio para os CISO//CSO. O relatório foi divulgado em Outubro de 2013 e abrange as percepções para as áreas de Governança, Risco e Compliance. Aproveite e leia a pesquisa e não esqu...

Este paper criado pela EDCAR uma associação sem fins lucrativos voltado ao meio educacional realizou uma pesquisa sobre a figura do IT Security Officer ou Information Security Officer como você preferir a chamar. O documento foi denominado de "The Carrer of the IT Security Officer in Higher Education"  e foi elaborado em 2009. Apesar de ser um documento antigo acho que vale a pena dar uma olhada, pois é bem interessante para profissionais interessados em assumir a posição de CSO//CISO em suas carreiras. O documento contempla os temas: - Introdução e Metodologia de Pesquisa Utilizada; - A Posição e a Pessoa "Security Officer"; - Responsabilidades, Conjuntos de Habilidades e Desenvolvimento Profissional; - Autoridade, Desafios e Estratégias do Programa; e - Conclusão do estudo... Link para o paper:  https://net.educause.edu/ir/library/pdf/ECP0901.pdf

Falar sobre budget de segurança é um desafio, quando chega o mês de dezembro o CISO/CSO precisa definir a receita adequada para atender as necessidades de segurança, estar preparado para tratar dos problemas não esperados e atender os requerimentos de segurança de uma nova regulamentação como o PCI-DSS, é um trabalho árduo e uma luta contra o tempo. Me lembro que em 2009 trabalhei para uma credenciadora de cartão de crédito e estávamos nos preparando para a obter a certificação PCI-DSS e assegurar que todos os estabelecimentos estivessem em compliance com a norma, além disso tínhamos que garantir a certificação PA-DSS para aplicações  de cartão desenvolvidas pelas fábricas de software e aplicar o padrão PCI-PED (regras para os equipamentos de PoS e PIN-PED). Como eu era responsável pela conformidade do PCI-DSS junto a rede de serviços tive a oportunidade de conversar com diversos CSO, CISO e CIO responsáveis por gerir o budget em suas empresas. Percebi a grande dificuldad...