CSO:CYBER

Segurança é um grande negócio agora..Aqui estão algumas dicas de George Viegas sobre como CSO 2.0 pode ter uma abordagem mais eficaz para a segurança da informação em 2014 e para o futuro. Clique aqui para ler o artigo completo. January 21, 2014  —  CSO  — Information security is changing rapidly. At each new security conference it seems as though there are almost twice as many new tools and new vendors than at the previous edition. Security incidents are occurring more often and with increased financial or reputational impact. CSO 2.0: How to take you security program to the next level

Riscos relacionado a TI são muito mais do que você imagina, em outras palavras, risco de TI é risco de negócio. Especificamente, o risco de negócio está associado com o uso, propriedade, operação, envolvimento e adoção de TI dentro em uma empresa e abrange todos os riscos relacionado a TI . Em resumo Risco de TI não está limitado a segurança da informação... Confira a nova visão para os profissionais envolvido com Risk Management . Watch Out CISOs and CSOs: CRO My Be Gaining on You

Trata-se uma das principais certificações em segurança. O exame de competência da CISSP incluem diversos temas de segurança, gestão de riscos, cloud computing, segurança móvel, desenvolvimento de aplicação de segurança, entre outros. Sua larga abrangência é o que a diferencia de outros exame de certificação...Confira esta matéria que abrange também outras certificações que pode agregar ao profissional de SI. Certificações para profissionais de TI e Segurança... Detalhes sobre a certificação CISSP clique aqui . Sete certificações para profissionais de TI

Confira estes conselhos de experts para se tornar um líder influenciado e para isso o CISO precisa ter/saber: 1. Encontre um mentor; 2. Receber uma revisão externa; 3. Desenvolver métricas; 4. Criar um comitê de risco. Em uma entrevista exclusiva sobre um estudo realizado pela IBM, Van Zadelhoff discute: - A evolução do papel do CISO; - Características de um influente CISO; - Conselho para líderes de segurança para ajudar a ser mais estratégico e efetivo em suas organizações. Clique aqui para ler o artigo completo. 4 Tips for Being an Effective CISO

Mobilidade e big data devem monopolizar as atenções da área de segurança este ano. A conclusão é de líderes de segurança que estiveram reunidos pela TVDecision em um painel de debates com um grupo os CSOs de diversas verticais de negócio. Considere-se que tendências como nuvem e redes sociais também seguem avançando e todas estas questões de Segurança da Informação é um ponto crítico. Para entender o impacto dessas tecnologias nas diretrizes de proteção dos ambientes corporativos clique aqui para ler o artigo completo... Segurança em 2014, na visão dos CSOs

Assista na íntegra toda a programação do Security Leaders que aconteceu em Novembro de 2013. O Security Leaders é considerado o maior evento no Brasil destinado a líderes de segurança da informação, governança e auditoria de TI. Se você perdeu este evento aproveite e clique aqui para assistir todos os vídeos com a cobertura especial do evento feito para CSO, CISO e profissionais de segurança da informação. Security Leaders 2013

2014 será um grande ano para o cyber security. Como a tecnologia tem evoluído mais e mais novos dispositivos são conectados na Internet e crackers estão procurando mais caminhos para explorar vulnerabilidades e roubar informações valiosas de indivíduos e organizacões. A área de negócio terá que fazer o seu melhor para lidar com todos os novos desafios pela frente. Este documento apresenta o que o IT Governance acredita que serão as Top 11 Cyber Security & IT Governance Challenges in 2014 . Um excelente documento para leitura de um CISO, CSO, CRO, CTO, CIO e todos profissionais de segurança. CISOs will have  to broaden the skills and tools available in their teams in order to respond to this range of challenges.  Clique aqui para ler o paper. Top 11 challenges to address in 2014

A conferência CSO Magazine's CSO40 Security Confab + Awards Conference esta chegando...serão apresentações de líderes e executivos de segurança, CSOe CISO irão demonstrar como eles estão lidando com as necessidades em suas empresas e se preparando para o futuro. Se você é um executivo de segurança, CSO , CISO ou CRO não espere muito e participe deste grande evento promovido pela revista CSO Magazine .... Veja os itens que serão discutidos: - Advance Threats and Cybersecurity; - Identity and Access Management; - Security Intelligence / Leveraging Big Data for Security; - Mobile and BYOD Risks - Privacy Clique aqui para mais detalhes do evento. Sessions at the CSO40 Security Confab + Awards are unlike anything you’ve seen before. Our program of fast-moving, rapid fire presentations delivered by leading CSO and CISO thought leaders demonstrate how forward-thinking organizations are embracing today’s challenges and preparing for the future. Register now. http://www.csoco...

Quando se trata de trabalhar com Segurança da Informação, há um exagero de equívocos entre os profissionais de segurança e as outras áreas como Negócio e TI. Qual é o real papel e responsabilidade deste profissional. O que realmente eles precisam discernir? Se você é um CISO , CSO ou similar conheça os 10 equívocos comuns sobre o profissional de segurança, open your mind! 1. Os profissionais de segurança limitam a mobilidade de crescimento; 2. Todos que trabalham com segurança são realmente experts? 3. Os profissionais de segurança são paranóicos; 4. Os profissionais de segurança pensam que compliance significa segurança; 5. Segurança e infra-estrutura/operações nunca vão ser dar... 6. Segurança da Informação é uma disciplina muito técnica; 7. Hacking, invasões, roubo, fraude são apenas reais em filmes; 8. Profissionais de segurança precisam balancear a produtividade; 9. Não existe emprego tedioso e maçante... 10. Segurança é apenas prevenção de ataques; Clique  aq...

No ambiente de segurança atual muito se fala em ferramentas que vão paralisar ou neutralizar ameaças como malware e outros tipos de ataques, mas muito pouco é dedicado no perímetro de defesa das organizações. O time de Infosec trabalha arduamente ganhando terreno contra estes invasores e isto significa mais do que ter a tecnologia certa. Neste cenário a empresa pode precisar da pessoa certa com a mentalidade certa e isto começa com o CISO .  O artigo "Being great: Five critical CISO traits" mostra 5 traços importantes que um CISO  precisa ter em seu perfil, são estes abaixo: - Ser visionário; - Espirito capaz de determinar métricas; - Foco nas pessoas; - Conhecimento de negócios; - Ser humilde e honesto. Clique aqui para ler o artigo completo. Being great: Five critical CISO traits

O papel do CISO é agora trabalhar diretamente com as linhas de negócio, diz Arthur Lessard, CISO da Universal Music Group . Este artigo publicado no site da SC Magazine relata que a responsabilidade do CISO requer equilíbrio e perspicácia a fundo de negócio e ser menos técnico. Perceba a opinião de alguns CISOs neste artigo: " O principal papel do CISO é aconselhar a alta direção sobre os riscos existentes e saber como mitigar" , "O CISO precisa entender o que a organização espera dele" , "Alguns dos CISOs mais bem sucedidos foram aqueles polivalentes trabalhando com diversas áreas tendo o mesmo rendimento" . De acordo com a pesquisa, o papel do CISO realmente mudou nos últimos 18 meses.  Antes o CISO costumava a tratar somente questões relacionadas a I T Security , mas agora o foco mudou para o negócio e temos que entender que a segurança é uma decisão de negócio e não podemos gastar mais tempo com atividades sem direção... O artigo é bem intere...

No mundo da Segurança da Informação, a única coisa que as pessoas concordam é a necessidade de mudança.  De acordo com a Forrrester , indica que 50% dos CISOs chegaram nesta posição vindo da área de TI. Isto significa que eles se identificaram com o mundo de TI e menos com a área de negócio, o que pode causar problemas nesta posição se a adequada mudança não ocorrer... O que é essencial para o sucesso do CISO? Menos habilidades técnicas e mais entendimento de negócio? Capacidade de equilibrio emocional e inteligência? O CISO jamais pode levar seu mundo no ombro, abrace com muita energia e uma boa estratégia... Clique aqui para ler este artigo escrito por Eddie Shanahan For CISOs, It's Grow or Go

Deveria um CISO ser um Chief Risk Officer ? Saiba como identificar o papel de um CISO na gestão de risco na esfera empresarial. Pense nisso, o governo e as empresas do setor privado precisam proteger suas informações sensíveis em um ambiente de tecnologia complexo. Entender o que precisa manter a operação de TI é a chave para o sucesso de uma empresa... Confira neste artigo mais detalhes sobre o papel e o envolvimento do CISO nos negócios. Clique aqui para ler o artigo.

Quais são os pontos chaves que CSOs e CISOs precisam saber para garantir a sua sobrevivência em um mundo de constante mudanças, hostil e cyber attacks ? O que faz a confiabilidade ser tão importante para uma liderança futura no cyber security ? Evidente que todos nós sabemos que as coisas serão diferentes no futuro. O que fazer para se preparar? Neste artigo escrito por um executivo de segurança do site CSOOnline.com  compartilha suas percepções do futuro da segurança nas organizações. I decided not to talk about BYOD or cloud computing or the many challenges associated with securing virtualized data centers. Nor did I discuss the rising cyber threat from organized crime, growing numbers of domestic (bad guy) hackers or foreign experts who are attacking our critical infrastructure, the consumerization of IT, FUD headlines or a long list of other hot topics that can keep CISOs up at night. Clique aqui para ler o arquivo: CISO 2020: Will you be ready? CISO 2020...

Com mais profissionais entrando no mercado de segurança da informação, o valor das certificações tende a declinar. As certificações ainda são muito válidas, ou elas são simplesmente mandatória para assegurar a empregabilidade? Neste artigo o autor compartilha os “Pros” e “Cons” para as certificações de segurança. Na minha humilde opinião o processo de estudo para obter uma certificação é um investimento de conhecimento e aprimoramento, o investimento de horas de estudo gera oportunidades de networking e asseguro que muitos conceitos você acaba aplicando no seu dia-dia como CISO/CSO. Tive a oportunidade de me certificar como Certified Information Systems Security Professional (CISSP) e durante o tempo que estudei tive a alegria de fazer novos amigos, expandir meu conhecimento, atuar como proctor e supervisor das provas da ISC2 , que pra mim, foi uma grande experiência que não me arrependo. Acredito que as certificações são complementos para a sua carreira, mas acima de tudo você ...

Neste artigo publicado no site www.csoonline.com  fala a respeito do papel do CISO nas organizações e quem é a pessoa certa para ser um CISO . O autor diz que o papel do CISO  enfrenta um pouco de crise de identidade, sem uma clara definição no seu papel ou em que lugar o CISO deve ser posicionado na organização. O especialista Matej Saksida acredita que o papel do CISO ainda não é reconhecido em muitas organizações, pelo menos, na região da Europa, e podemos assegurar que aqui no Brasil não é diferente, é ainda pior! As áreas de RH e o senior management ainda acreditam, que o CISO é um Administrador de TI com conhecimento em risk assessment e política de segurança. Matej menciona que a pessoa certa para ser um CISO é alguém que esteja apto para entender de negócio, comunicação, liderança e regulamentações, além de ter conhecimentos de TI, RH, segurança física, fire protection, standards, etc. Sempre mantenha em mente que Segurança da Informação não é Segurança de TI...

O blog "The Next CISO" tem alguns posts bem interessantes e fiquei maravilhado com este aqui  "10 Golden Rules of the Outstanding CISO" . Como em toda área espera-se que um CISO tenha qualidades e características importantes em seu perfil, caráter e integridade são premissas para a carreira deste executivo de segurança. Aproveito para compartilhar estas dicas para CISOs publicada no blog The Next CISO : 1. Assegure sempre em primeiro lugar a sua integridade. Seja honesto e mostre as pessoas que elas podem confiar em você. 2. Volte para o básico. Largue o jargão técnico e de negócio e seja simples em exemplos práticos principalmente em campanhas de conscientização. 3. Priorize a qualidade. Faça do seu trabalho uma arte e não seja perfeccionista e simplesmente melhore seus resultados em etapas. 4. Não entre em pânico. Em momentos de crise seja calmo e responsável. 5. Seja um mestre da comunicação. Ser comunicativo é premissa no mundo corporativo, escreva...

Como em qualquer profissão, as bons recursos e ferramentas disponíveis para ajudar no processo de gerenciamento de riscos são apenas a metade do trabalho, enquanto que a outra metade é ter a ferramenta certa, no momento certo e de maneira certa. Especialmente para os novos CISOs podem querer investir tempo em criar um toolkit  adequado, mas antes tentam aplicar patchs de segurança em sistemas como um martelo.  A pergunta aqui é: Quais são as ferramentas que todo CISO deveria saber? Este artigo escrito por um especialista de segurança e criador do blog "The Next CISO" apresenta um conjunto de dicas para o CISO ou CSO montar um bom Security Plan . Confira abaixo os temas abordados: - Visão geral dos ativos críticos para o negócio; - Organograma; - Visão geral do orçamento "budget"; - Business Continuity Plan & Disaster Recovery Plan; - Visão geral do processo de conformidade e gerenciamento de risco; - Ricos mapeados. - Visão dos projetos, programas...

Este paper "Mixing Technology and Business: The Roles and Responsibilities of the Chief Information Security Officer" descreve os papéis e responsabilidades de um Chief Information Security Officer (CISO) e a importância deste profissional nas organizações públicas e privadas ao redor do mundo misturando tecnologia e negócio. O paper explica a importância de Return on Investment (ROI) e o relacionamento com o CISO. Trata-se de uma pesquisa realizada pelo SANS Institute em 2003, porém é um documento rico de informações e relevante para a leitura de um CISO/CSO. Boa leitura:  https://www.sans.org/reading-room/whitepapers/assurance/mixing-technology-business-roles-responsibilities-chief-information-security-of-1044 The Roles and Responsibilities of the CISO

O site CSOOnline.com  publicou já algum tempo algumas dicas para o CSO bilhar em suas carreiras. Complementando o post anterior gostaria de sugerir a leitura do artigo "CSO resumes: 5 tips make yours shine" . Atualmente, para os CISO, CSO e outros líderes de segurança as suas certificações de segurança podem não ser suficientes, descubra o que mais você precisa ter... 1. Seja um líder de negócios em primeiro lugar. Se for necessário faça um MBA em Gestão de Negócios e/ou similiar para agregar skills em seu perfil. 2. Saiba fazer o seu marketing , é necessário promover a sua marca demostrando o seu potencial e capacidade como líder com uma visão de negócios. Existem cursos complementares que podem ajudar no marketing pessoal. 3. Enfatize e saiba apresentar as suas realizações. Não basta apenas mostrar as suas certificações ou habilidades de realizar treinamentos, é necessário identificar aquilo que é importante para o alto executivo, aprenda a discernir resultados rele...

V ocê tem 5 minutos para explicar porque você "CISO" é importante e relevante para o negócio e definir a postura de risco da sua organização. Se você é um executivo de segurança já deve ter passado por isso, você tem 5 slides de .ppt para passar em segundos/minutos de maneira bem objetiva e convincente. Quais técnicas e estratégias usar nesta hora para conquistar o apoio do senior management? Certamente a segurança da informação tem se tornado mais importante para as organizações no que tange o nível de maturidade do processo de Risk Management. Fato agora é que os executivos estão mais abertos a ouvir os CISO/CSOs, mas esperam destes profissionais um diferente nível de comunicação na hora de fazer uma apresentação, o CISO/CSO precisa ser claro e objetivo e evitar não pecar nesta hora! O site The State of Security da Tripwire traz algumas dicas que podem ajudar CSOs quando tiverem que apresentar algo ao board executivo: 1. Sempre tenha em mente "O negócio é mais ...

O CISOHandbook.com   é um site com uma diversidades de recursos para CISO's, CSO's e profissionais de segurança. CISOHandbook.com é um lugar onde executivos de segurança, gerentes e patrocinadores podem compartilhar idéias, desafios e oportunidades ligadas ao desenvolvimento, que participam e gerenciam um Enterprise Security Program . Neste site você pode encontrar métricas, ferramentas, opiniões e o mais importante manter o acesso direto com CISO's, CSO's, especialistas e outros profissionais que atuam com segurança.  Uma das partes mais interessantes do site é compartilhamento de informações idéais, dicas e técnicas para lidar com os problemas de segurança que estes profissionais enfrentam diariamente. Todo o conteúdo do site CISOHandbook.com  é gratuito, mas requer o registro de acesso em algumas áreas. O registro é rápido, grátis e fácil, aproveite e faça seu cadastro e aproveito o conteúdo rico de informações. Aproveito para sugerir a leitura destes dois liv...

A pesquisa realizada em 2013 pela Ernst & Young com executivos de tecnologia e executivos de segurança teve como objetivo explorar as tendências e ameaças emergentes e a consumerização de novas tecnologias como cloud, mobile, rede sociais, BYOD, Big Data, além de outros pontos primordiais para um plano diretor de segurança. O paper é bem completo e como eu disse, o assunto foi bem explorado através de uma metodologia "Improve, Expand e Innovate". Tive a oportunidade de trabalhar para a Ernst & Young na área de Advisory Services and Risk e conhecer excelentes profissionais do antigo grupo conhecido Tiger Team , que era especializado e reconhecido em aplicar Pen Test para grandes empresas e posso assegurar que conhecimento e fundamento existem para tornar este relatório uma ferramenta de apoio para os CISO//CSO. O relatório foi divulgado em Outubro de 2013 e abrange as percepções para as áreas de Governança, Risco e Compliance. Aproveite e leia a pesquisa e não esqu...

Este paper criado pela EDCAR uma associação sem fins lucrativos voltado ao meio educacional realizou uma pesquisa sobre a figura do IT Security Officer ou Information Security Officer como você preferir a chamar. O documento foi denominado de "The Carrer of the IT Security Officer in Higher Education"  e foi elaborado em 2009. Apesar de ser um documento antigo acho que vale a pena dar uma olhada, pois é bem interessante para profissionais interessados em assumir a posição de CSO//CISO em suas carreiras. O documento contempla os temas: - Introdução e Metodologia de Pesquisa Utilizada; - A Posição e a Pessoa "Security Officer"; - Responsabilidades, Conjuntos de Habilidades e Desenvolvimento Profissional; - Autoridade, Desafios e Estratégias do Programa; e - Conclusão do estudo... Link para o paper:  https://net.educause.edu/ir/library/pdf/ECP0901.pdf

Falar sobre budget de segurança é um desafio, quando chega o mês de dezembro o CISO/CSO precisa definir a receita adequada para atender as necessidades de segurança, estar preparado para tratar dos problemas não esperados e atender os requerimentos de segurança de uma nova regulamentação como o PCI-DSS, é um trabalho árduo e uma luta contra o tempo. Me lembro que em 2009 trabalhei para uma credenciadora de cartão de crédito e estávamos nos preparando para a obter a certificação PCI-DSS e assegurar que todos os estabelecimentos estivessem em compliance com a norma, além disso tínhamos que garantir a certificação PA-DSS para aplicações  de cartão desenvolvidas pelas fábricas de software e aplicar o padrão PCI-PED (regras para os equipamentos de PoS e PIN-PED). Como eu era responsável pela conformidade do PCI-DSS junto a rede de serviços tive a oportunidade de conversar com diversos CSO, CISO e CIO responsáveis por gerir o budget em suas empresas. Percebi a grande dificuldad...

Este artigo escrito por Brian Nichols que é Chief IT Security and Policy Officer na Louisiana State University , compartilha um checklist a fazer para os novos CISO's. Se você é um novo CISO/CSO e/ou recebeu a missão de melhorar o nível de segurança da informação em sua organização, anote estas dicas e monte seu plano: 10 - Descubra o que os outros estão fazendo. O importante aqui é se relacionar com outros executivos de segurança e entender como estão planejando e lhe dando com o assunto. 9 - Estabeleça intercâmbio de informações relativas a área de segurança em comunidades, grupos e eventos. 8 - Conquiste a sua independência e confiança dos executivos em sua organização.  Neste caso a área de auditoria deverá prover um benchmark das melhores práticas no campo de atuação enquanto que o CISO/CSO deverá ter em mãos um roadmap para garantir o sucesso do security plan. 7 - Defina um time de especialistas de segurança para TI com uma boa visão de negócio e defina políticas ...

O ano de 2014 já começa com todo vapor, o CISO Plataform irá premiar os Top 100 CISO Awards 2014 no dia 25 de Abril. Esta será a quarta edição deste evento e terá como ofício premiar os melhores CISO's, muito semelhante com a premiação feita pela evento Security Leaders aqui no Brasil para CSO's. Os CISO's premiados serão aqueles que sabem conciliar a segurança da informação com a tecnologia em inovações assegurando a proteção dos negócios em suas empresas de maneira efetiva, entregando valor a organização, criando vantagem competitiva, optimizando os processos de negócios, permitindo crescimento e melhoria no relacionamento com os clientes. Confira as categorias: Defesa, Governo e Empresa Top Implementation Award (3 de cada categoria) - GRC - Data Security - Vulnerability - APT Security - Web Security - Innovation - Community Maiores informações confira no site oficial:   http://www.cisoplatform.com/page/top-100-ciso-awards-2014

Uma wiki bem interessante para executivos de segurança é o blog criado pela Higher Education Information Security Council . Nesta wiki você pode encontrar inúmeros materiais sobre Information Security Management para aplicar diariamente em suas organizações. Aproveito pra citar aqui alguns dos temas que podem ser mais explorados: - Business Continuity Planning e Desaster Recovery Planning; - CyberSecurity Awareness; - Data Classification; - Data Protection Contractual; - Information Security Governance; - Mobile Security; - IT Security Trainning; - Model Security Policy; - Risk Management; - Communications and Operations Management; - Access Control; - Information Security Development; - Information Security Incident; - Compliance. Link para a wiki CISOs:  https://wiki.internet2.edu/confluence/display/itsg2/Toolkit+for+New+CISOs