CSO:CYBER

Uma das principais tarefas para qualquer CISO é realizar a conscientização na organização. Eles devem convencer o board sobre a alocação de recursos necessários para deixar a empresa em conformidade com regulamentações, adequadas medidas de proteção para a proteção de dados sensíveis e educar os colaboradores sobre as boas práticas de segurança. O maior problema do CISO é o esforço para aumentar o nível de conscientização na organização versus a falta de tempo, orçamento e recursos, de acordo com o SANS 2018 Security Awareness Report . O report explica que orçamentos não alocados ou não claros para programas de conscientização que desempenham um papel importante, assim como os obstáculos na comunicação de programas de conscientização aos empregados tem sido um pesadelo. Segue um novo artigo sobre o que é ser um CISO publicado no site da Forbers .

O artigo publicado no site da revista Forbes sobre era de Cybersecurity vs o novo CISO sinalizando que este expert é o enigma da liderança em prol da segurança. O novo CISO deve saber como quantificar o risco e entender do negócio tão bem como as tecnologias em  cibersegurança . Eles deveriam ter paixão por tecnologia e segurança, além disso eles precisam ser um campeão, aconselhar e educar a organização sobre as últimas estratégias, tecnologias e métodos. O artigo é bem rico sendo uma leitura fundamental. Clique na imagem para ler o artigo.

Dicas sobre como escrever um CV podemos encontrar na Internet em diferentes modelos para distintas posições, mas o CISO expert em Cybersecurity , Gary Hayslip publicou um artigo super interessante em seu Linkedin sobre como escrever um currículo para um executivo em Cybersecurity . As dicas são ricas e estão em inglês, mas eu já li o artigo e só falta você! Para ler o artigo clique na imagem abaixo ou nos links ativos nesta mensagem.

O blog Minuto da Segurança publicou um artigo sobre o que é ser um CISO e ressalta as atribuições, responsabilidades, skills e conhecimentos que um profissional precisa para assumir a posição. O artigo ainda relata alguns depoimentos de  CISOs de grandes corporações. Recomendo a leitura deste artigo e conheça um pouco mais sobre o CISO. Clique na imagem abaixo para ler o artigo completo.

O site da CSOonline publicou uma entrevista com a CISO da GE, Nasrin Reazin é responsável por todos os aspectos de estratégias em cybersecurity e operações para a GE, incluíndo resposta a incidentes, inteligência de ameaças, arquitetura, compliance, etc. Nesta entrevista Nasrin compartilha um pouco sobre a sua trajetória em sua carreira e como chegou a posição de CISO . Ela está muito orgulhosa pelo avanço em sua carreira, pois é a primeira mulher a ser tornar CISO na GE. Clique aqui ou na imagem para ler a entrevista.

Alguns anos atrás tive a oportunidade de trabalhar como consultor de segurança na E&Y com alguns feras de Cybersecurity como Thompson Veras ,   Alberto Favero ,  Felipe Prado , Andréa Thomé ,  Demetrio. Carrión , Paulo Braga e Marlon Jabbur . Foram muitos projetos de gaps analysis, auditoria, pen test, análise de maturidade, elaboração de modelo de gestão de risco e gestão da segurança da informação. Esta semana a E&Y Brasil anunciou a criação do Cybersecurity Center em São Paulo um centro de serviços especializado em cibersegurança, visando desmistificar a segurança da informação como um tema técnico e restritivo. A iniciativa tem o propósito de trazer inteligência cibernética ao mercado, antecipar possíveis ameaças e auxiliar as empresas na proteção de seus dados e estratégias. Por hora, fiquei muito feliz por um dia ter passado por lá. Aproveito para compartihar um relatório que mostra como Entender o Terreno das Ameças em Cybersecurity . Cliqu...

O objetivo deste briefing é promover uma melhor compressão de segurança da informação entre os board, executivos, CISOs e aquele em posições semelhantes. Vários líderes de segurança da informação que participaram do CISO Forums concordaram em destacar-se neste briefing.  Seus depoimentos estão resumidos em cada tópico como um guideline para outros líderes. A ISACA publicou este brieng em 2017 depois de um evento que uniu vários líderes de segurança. Mesmo sabendo que as ameaças avançam a cada ano sempre procuro explorar o histórico destes arquivos. Se preferir clique aqui ou na imagem abaixo para ler o briefing.

O negócio digital desafia os princípios básicos do gerenciamento de riscos e segurança da informação. Os líderes de risco e segurança devem compreender os riscos associados à inovação da unidade de negócios e equilibrar o imperativo para proteger a empresa com a necessidade de adotar abordagens tecnológicas inovadoras. Este artigo publicado por um analista do Gartner apresenta uma estratégia para implementar um modelo de Enterprise Risk Management que pode ser uma ferramenta crucial para sobrevivência nas empresas. Clique na imagem abaixo para ler o artigo publicado em Agosto de 2017.

Um artigo interessante publicado pelo Gartner mostra quanto um líder de segurança precisa estar preparado para explicar ao board depois da ocorrência de um sério incidente de cibersegurança . A falta de energia foi um experiência ocorrida em 3 empresas de energia elétrica na Ucrânia em 23 de Dezembro de 2015. Foi um cyberattack programado na infraestrutura que significou um impacto para milhões de usuários que ficaram sem energia. O artigo diretamente atesta que em 2020 as maiores organizações terão que reportar para o board de diretores sobre os riscos de tecnologia e cibersegurança pelo menos anualmente. Em resumo o líderes de segurança devem: Alinhar a segurança com o impacto ao negócio; O que não dizer ao board; O que dizer ao board; Para mais detalhes clique na imagem abaixo para ler o artigo:

A COMPUTERWORD e CSO irão promover no dia 2 3 de Agosto um Live Webinar com o tema "Buiding an Effective Human Firewall" . O melhor de tudo é totalmente gratuito! Como um advisor em segurança e também ter atuado como CSO tive a oportunidade de realizar diversas Campanhas de Segurança e sei como é difícil conscientizar os colaboradores. Construir uma parede efetiva com pessoas para barrar todos os tipos de ameças é um grande desafio! Depois de assistir este Live Webinar , você terá aprendido: Por que é tão difícil mudar as práticas de segurança dos colaboradores; Por que tanto programa de conscientização falham? As práticas comuns que deixam as informações da organizações expostas; O que é necessário para contruir um efetivo regime para treinamentos de usuários; Como promover uma cultura de segurança contínua depois que o treinamento é realizado. Aproveite e faça o registro para o Live Webinar neste link ou na imagem.

Este artigo publicado no site CSOonline.com aponta algumas estratégias para proteger um ambietne de cloud . Muitos prayers de segurança tem divulgado relatórios que apontam os riscos em cloud pública, privada e híbrida. O artigo relata e compartilha alguns conselhos de como implantar uma estratégia bem sucedida de segurança em uma cloud . Para ler o artigo clique aqui ou na imagem. Confira alguns tópicos deste artigo: O que é um risco de Cybersecurity? 6 tipos de ameaças em Cloud; Como proteger uma Cloud? Problemas de visibilidade em Cloud; Políticas e práticas e segurança vs adoção de uma Cloud? Será que Machine Learning pode ajudar? Quem é o dono da Cloud Security?

Este ano escrevi um artigo sobre o Bug Bounty Program sinalizando o quanto é importante que os líderes de segurança deveriam avaliar a viabilidade de aderir a estes programas, pois, além de ajudar e incentivar a comunidade hacker a utilizar seus conhecimentos para proteger a sociedade, ainda podem receber um bom prêmio. A Hackeone publicou esta semana um paper sobre Bug Bounty Program com evidências de CISOs de grandes corporações alegando a importância para aderir um programa destes.  Veja abaixo como exemplos de como estabilizar uma Vulnerability Disclosure Policy para um Bug Bounty Program . Clique aqui  para ler o paper.

Para analista, líderes de SI deveriam apoiar o novo papel desempenhado pelos profissionais de TI nas empresas e aproveitar todas as oportunidades que isso traz, inclusive tratando a segurança como um negócio; objetivo é alterar a visão de problema técnico para um entendimento de prioridade estratégica.  Para ler o artigo publicado no portal Security Report clique neste link ou na imagem abaixo.

Este artigo piblicado no site WhiteSource  aborda 3 premissas que todo o CISO deveria considerar. A pergunta que deve ser respondida pelo  CISO é se está pronto para 2018?  A idéia do artigo é dar visibilidade ao CISO  que deve priorizar a proteção do desenvolvimento e operações no ambiente de cloud. Literalmente o CISO deve saber levar este tema crítico de forma clara e objetiva para o board de executivos. Apesar do artigo ter sido publicado no final de 2017 achei interessante compartilhar aqui no blog. Tive a oportunidade de atuar com CSO para um provedor de cloud e uma das grandes dificuldades que encontrava era garantir que os servidores de cloud estivessem atualizados com os últimos updates de segurança. Infelizmente os sysadmins negligenciavam o processo de gestão de vulnerabilidades, por ser um ambiente complexo requer de profissionais com profundos conhecimentos nesta tecnologia, além da resistência do board aprovar um budget. Abaixo se...

Neste webcast promovido pela WhiteSource fala sobre  5 pontos que todo o CISO precisa saber sobre a segurança no ambiente Open Source. O expert fala sobre os gaps de riscos em segurança e a alocação de recursos que tem sido negligenciado. Será que o CISO está gastando o suficente em AppSec ? O nível de risco e brechas (CVEs) descobertos em 2017 multiplicaram severamente e por teste motivo o CISO deve mudar a sua mentalidade sobre o riscos e levar isso ao board de forma clara. Tive a oportudade de atuar com CSO para um provedor de cloud e umas das grandes dificuldades que encontrava era assegurar que os servidores na cloud estivessem todos atualizados, pois os sys admin negligenciavam e de fato o ambiente de open source é extremamente complexo para gerir um processo de gestão de vulnerabilidade de forma manual. Ter uma security tool que auxilie tal processo não é simples e requer um investimento e nem sempre o board está disposto a investir. Abaixo eluciei os pontos a...

O famoso site InfoSecurit y publicou um excelente artigo sobre qual a postura de um CISO diante das ciber ameaça s e o suporte que a organização deve considerar para o tema. Literalmente a demanda global por CISOs experientes tem crescido e infelizmente muitos CISOs não estão prontos para o desafios apresentados para ele, e em muitos casos, os times de segurança estão falhando efetivamente em proteger os interesses do negócio. Se uma organização não oferece um suporte efetivo ao CISO s, eles nunca estarão aptos para reverter um dano e fato que a posição do CISO tem movido para um nível mais estratégico tornando-se efetivamente um executivo do time de lideração da organização. Aproveite para ler este artigo a Parte 1 e a Parte 2 .

Diaramente tenho acompanhado as notícias sobre Cybersecurity e o que espanta é encontrar nomes de grandes corporações quem sofreram ataques com vazamento de dados de clientes. O caso da Equifax foi um vazamento de 143 milhões de registros PII. No ponto de vista do mercado a culpa foi do CSO e do CIO sobre a fragilidade do programa de  Cybersecurity e então fica a pergunta: Será que o CSO foi realmente o culpado pela brecha de segurança? Sabemos que um vazamento de dados pode causar um impacto muito grande na imagem e reputação da organização e por este motivo o CSO é o primeiro a ser despedido. Procurei compartilhar este artigo aqui no blog, a fim de passar uma visão abscura da real brecha do caso Equifax. Leia o artigo e leve como lesson learning para a sua carreira como um CSO ou CISO .

O Gartner publicou hoje um paper com alguns Estudos de Caso com Líderes de Segurança que obetiveram sucesso em seus projetos e iniciativas de segurança. Confira abaixo um resumo e clique na imagem para acessar os cases. Saiba em primeira mão sobre implementações realizadas por líderes de Segurança e Gestão de Risco de empresas usuárias que obtiveram sucesso em seus projetos, aproveite a oportunidade na conferência para verificar as estratégias e aplicar benchmarking nos processos de gestão de segurança, controle, proteção de dados, identidades e acessos. Confira abaixo o pdf com tema, descrição e biografia de cada palestra: Indústria: Renault. Seguradora: Porto Seguro. Finanças: BI&P Varejo: Lojas Renner Ao participar da Conferência Gartner Segurança e Gestão de Risco 2018 , nos dias 14 e 15 de Agosto, em São Paulo, você se conectará a uma comunidade focada em encontrar soluções para o seu próximo grande desafio . 

O especialista Marcos Sêmola em um artigo publicado pelo site InfoSecurity menciona o grande desafio que o CISO e CIO carregam para andarem alinhados. Ambos precisam ser estratégicos, mas acima de tudo devem andar juntos ou nada irá funcionar. Muito se fala da diferença de atribuições entre estas dus posições executivas, mas o que todos precisam discernir é que ambos precisam estar bem alinhados com as demanas de cibersegurança o quanto podem influenciar no negócio de suas organizações. Sêmola faz um overview sobre o cenário de Cybersecurity alguns atrás com o momento atual, e isto faz deste artigo bem rico em conhecimento e lesson learned feito pelo executivo. Se tiver interesse em ler o artigo clique aqui ou na figura abaixo.

O site InfoSecurity publicou no ano passo um artigo sobre o tema GDPR . Como todos já sabem esta regulamentação entrou em vigor em 25 de Maio deste ano e visa proteger dados de cidadãos europeus. Em outras palavras se sua empresa irá coletar, processar e armazenar dados relacionados  a cidadãos da União Européia, como CISO você deverá garantir que todos os controles sejam atendidos. É uma mudança de paradigma para o CEO da organização, pois uma não conformidade pode ocasionar uma severa multa de até 4% do faturamento que pode levar a falência. Neste artigo Marcos Sêmola um especialista em segurança da informação e autor do livro Gestão da Segurança da Informação , além de atuar como professor na FGV , escreveu este artigo resumindo os pontos que um CISO deve ter atenção em sua organização. Mesmo que seja um assunto já bem falado na Internet, procurei compartilhar este artigo por se tratar de um assunto bem direcionado ao CISO . Para ler o artigo clique na figura abaixo...

Tive a oportunidade de conhecer o Augusto Barro s em meados do ano 2000 em um curso de Hackers e Segurança da Informação no qual ele estava ministrando. Uma pouco mais tarde trabalhamos juntos no BankBoston e atualmente Augusto mora no Canadá e trabalha como VP de Pesquisas do Gartner  e será um Chairman da Conferência Gartner Segurança e Gestão de Risco 2018 em São Paulo. Neste entrevista publicada no website do Gartner, Augusto Barros , fala sobre tecnologias inovadoras, ciberataques, proteção ao supply chain digital, novos desafios em compliance e muito mais. Veja alguns tópicos discutidos neste artigo : Os grandes ciberataques estão ganhando cada vez mais atenção da mídia e vem sendo noticiados com bastante frequência. O que essa ampla exposição significa para os líderes de segurança? Assim como os ecossistemas de negócios digitais se expandem, a exposição ao risco também se elevou. Como as organizações podem proteger todo o supply chain digital? Novos desafios em ...

O fortalecimento das medidas de segurança, o pensamento estratégico e a boa formulação de políticas são alguns dos principais fatores que definem o Cyber Security Forum . Este evento vai te ajudar a melhorar as capacidades de defesa cibernética face às crescentes ameaças resultantes das atividades dos estados modernos no ciberespaço. O Cyber Security Forum será totalmente Online e irá acontecer no dia 21 de Agosto, e será transmitido pela platafoma GoBrunch. Clique no logo abaixo e acesse a plataforma: Obs: O evento contará com a presença de vários líderes de segurança: Cassia Carmonario, Galeno Garbe, Kleber Melo, Wolmer Godoy, entre outros.

A  Accenture publicou o report "The Cyber Security Leap: From Lagard to Leader" . O report relata como as organizações australianas podem aprender com "Leapfrogs" .  O termo que significa em português "Dar um Salto", mas precisamente significa se a empresa está pronta para dar um salto em segurança. De acordo com o relatório a Segurança é um assunto de alta prioridade para que as organizações deêm um salto, para isso devem estar alinhadas com as metas estratégicas do negócio. Isto é evidenciado através do foco para atingir a postura saudável em segurança mantendo um canal aberto com o CEO e o Board quanto aos incidentes de segurança e a implantação de procedimentos para um efetivo Enterprise Risk Management. Por fim, o relatório atesta que o CISO é uma posição estratégica. Confira abaixo um overview sobre a pesquisa realizada sobre o papel do CISO : CISO é responsável pela definição de estratégias e iniciativas de segurança; CISO deve report...

A CISOMAG publicou uma entrevita com o Regional Director da Cyberbit , um provedor de serviços de soluções de segurança para IT, IoT e Cybersecurity. Rakesh Viswanathan fala sobre as estratégias de segurança para IoT, patch management e caminhos para contruir um bom time de infosec, e muito mais. Ele relata sua experiência com estas novas tecnologias em grandes clientes na Índia. Por hora, sempre comento com meus colegas da área que os indianos são feras em tecnologia e acho que vale como uma boa lição de casa e ler esta entrevista. Firstly, I would congratulate him or her on choosing a challenging, important career. Cybersecurity is one of the fastest growing highly skilled technology fields and the demand is only going to continue to grow. My advice would be to constantly continue learning, through reading, online course, managers and senior team members, conference and industry events. Whenever you have an opportunity to learn or practice, grab on to that opportunity wi...

Que problemas as mulheres enfrentam em Cybersecurity ? Como recrutar e reter mulheres em Cybersecurity ? Este artigo mostra 6 dicas para recrutar e reter mulheres em posições de segurança. Particularmente já tive duas chefes mulheres e aprendi muito com elas como é aplicada a estratégia, abordagem e a tática que as mulheres usam em infosec. Veja abaixo o resumos destas 6 dicas e clique no link para ler o artigo Parceria com instituições educacionais; Olhar internamente para os agentes de mudança; Vendo além da tecnologia, ciência, engenharia e matemática (STEM); Tornando o RH um aliado; Estabelecendo um programa de mentoring; Priorizando o recrutamento em eventos. There’s a shortage of women in security roles — and this is just one of the many challenges the cybersecurity industry is facing. There will also be 3.5 million unfilled cybersecurity positions by 2021, according to a 2017 report from Cybersecurity Ventures.

Todos sabem que na era atual  Cibersegurança precisa ser tratada como uma função importante para o negócio. O tema precisa ser apresentado para o board de executivos como qualquer outra função prioritária para negócio da organização. Este artigo traz uma ponto de vista sobre o problema que alguns líderes de segurança falham quando precisam contestar com o board a importância de investir em segurança. Tipicamente o problema é que a segurança quase sempre compete com outras prioridades operacionais na organiação e se o líder não souber levar isso ao board com precisão poderá perder a grande chance de mudar o paradigna. Entretanto é importante que o  CISO saíba falar diligentemente a linguagem do business, usando métricas visuais e ser um bom evangelista interno fará a diferença. Apesar do artigo ter sido publicado no final de 2017 no portal  CSOonline.com não deixar de ser um assunto crucial para a leitura de todo líder de segurança. Clique aqui ou na fig...

Imagine você um CSO ou CISO a frente de uma grande organização, seu projeto de segurança está sendo reconhecido e recebe do CEO um aumento no budget de segurança para investir mais em cibersegurança. Este artigo publicado no CSOOnline.com simplifica alguns pontos que deve ser considerado para usar o budget de forma apropriada: i) Use um framework para determinar a alocação e ii) Medir o ROI . Clique no link abaixo para ler o artigo. You’ve been rewarded with a cybersecurity budget increase. But how do you decide how to allocate your new funds? It’s vital that you use a standards-based approach to measure your return on investment and get optimal improvement.

A posição de CISO continua em alta nas empresas que tem levado a sério a questão de segurança da informação e cibersegurança . Por hora, quais são os atributos para esta posição e quais são as características imprescindíveis para um executivo deste porte? Este artigo publicado no CSOOnline.com apontou um pesquisa realizada pela Information Systems Security Association (ISSA) e mostra alguns dados importantes sobre esta posição: 54% dos CISOs acreditam que o sucesso do CISO depende de habilidades de liderança; 49% dos CISOs acreditam que o sucesso do CISO depende de habilidades de comunicação; 44% dos CISOs acreditam que o sucesso do CISO depende de um forte relacionamento com os executivos de negócios; 33% dos CISOs acreditam que o sucesso do CISO depende de habilidades de gestão; 21% dos CISOs acreditam que o sucesso do CISO depende de habilidades técnicas. Por fim, o artigo apresenta uma resumo destes pontos e uma visão final sobre o contexto. Clique ...

O Gartner irá realizar uma conferência sobre Segurança e Gestão de Risco , nos dias 14 e 15 de agosto , em São Paulo , para saber como adaptar sua estratégia, tecnologia, organização e parcerias para atender às necessidades dos negócios digitais. Os ataques cibernéticos provaram ter consequências significativas para as empresas – e muitos outros virão. É necessário que os líderes e suas equipes avancem em seus programas de segurança, risco e compliance. São mais de 40 sessões lideradas por 13 analistas do Gartner e keynotes convidados, além de networking com 600 participantes. Veja a agenda e inscreva-se hoje mesmo com desconto.

De acordo com este artigo publicado no portal CSOOnline.com , o CSO será mais satisfeito em uma organização que leva a segurança seriamente onde o CSO tem acesso direto a liderança. Se uma brecha de segurança paralizar o negócio, o executivo deveria reportar diretamente para o CEO. Quanto a um  CISO reportar diretamente para o CEO, o fluxo de informação é direta e imediata. Eis a razão que o CISO ou CSO precisa de independência e objetividade. Caso ao contrário, qualquer trabalho de avaliação de segurança potencialmente seria rigidamente controlada ou restrita acabando como um trabalho inútil. Tive uma experiência semelhante em minha carreira e o aprendizado foi valioso para avaliar muito bem uma futura proposta de emprego antes de aceita-lá. Como um security leader sugiro a leitura deste excelente artigo. Reporting relationships are more than lines on an org chart, they're lines of authority. Ultimately, who the CISO reports to may say more about an organization's m...

O Cyber Security Summit 2018 acontece esta semana em São Paulo nos dais 27 e 28 de Julho . O especialista em segurança de dados no setor finaceiro  Rafael Narezzi é o idealizar do evento que organizou uma agenda bem interessante. Confira abaixo um resumo do evento e clique no link para acessar o website oficial da conferência. Sobre a conferência: Empresas do mundo todo enfrentam grandes ameaças cibernéticas. Uma espantosa gama de interesses maldosos recaem sobre elas, que vão desde casos de fraude, roubo de identidade pessoal ou de propriedade intelectual até espionagem industrial, interrupção de serviços, danos físicos, chantagem, entre outros. Para discutir os desafios desse ramo, a Cyber ​​Security Summit Brasil,   conferência de cibersegurança  no país, reunirá profissionais de alto escalão (CEO, CIO, CISO, CTO, CRO), funcionários do governo, diretores, gerentes e analistas de TI, especialistas em segurança e em tecnologia para debater sobre os de...

Robert Herjavec escreveu este artigo em seu Linkedin para ilucidar o que os CISOs precisam fazer para ter uma boa noite de sono. Com base em sua experiência ele coloca 3 razões que estão relacionada ao risco do negócio que o CISO precisar estar ligado: Responsabilização com a  liderança - CISO precisa atender as expectativas do board que fornece os investimentos em segurança; Capacidade - CISO precisa ter as habilidades certas, as pessoas certas, para fazer as coisas certas; Compliance & Privacidade - CISO precisa conhecer e considerar as regras de privacidade, regulamentações e assegurar a conformidade. No geral os CISOs estão um pouco sonolentos porque eles estão constantemente preocupados por ser responsáveis pela liderança, gerir as suas capacidades e cumprir os requerimentos de conformidade. No atual cenário de hoje o CISO precisa equilibrar estes 3 pontos com o perfil de risco da organização. E como eles comunicam ao board o estado atual vs um estad...

O gigante Citigroup em 1994 sofreu um séries de ataques pelo hacker russo Vladimir Levin. Nesta época o banco criou a primeira posição de  CyberScurity Executive  que foi assumida por Steve Katz que hoje trabalha como consultor. O que chama atenção neste artigo é abordagem sobre os cargos e atribuições em Cybersecurity : O que o CISO faz, as posições em Operações de Segurança, Cyber Risk, Cyber Intelligence, entre outras. Se divirta nesta leitura clicando neste link abaixo: The CISO role dates back to 1994, when banking giant  Citigroup  (then Citi Corp. Inc.) suffered a series of cyberattacks from a Russian hacker named Vladimir Levin. The bank created the world’s first formal cybersecurity executive office, and hired Steve Katz to run it.

A evolução e o crescimento na demanda por CISOs tem sido impulsionado por regulamentações e tecnologia como block chain e cloud computing. Nesta entrevista feita pelo site Information Age com Matt Palmer um CISO que recentemente assumiu outra posição de Cyber Risk Management Director na Willis Towers Watson's. Nesta entrevista é discutido os fatores de crescimento em que o  CISO  tem sido levado a participar da mesa do senior management (c-suite). Confira abaixo alguns assuntos discutidos: O novo posicionamento e o que é esperado do CISO; Como a segurança pode ser priordade para uma organização; Principais preocupações sobre o aumento de cyber threats contra as organizações; O complexo terreno das regulamentações é uma boa oportunidade para o negócio; Conselhos para navegar neste ambiente complexo de regulamentações; Como a indústria financeira está mudando com as tecnologias como blockchain e IoT? Para ser o artigo clique no link abaixo: In an increasing...

Este artigo publicado no portal InformationAge mostra um ponto de vista sobre quem deve ter responsabilidade final em Cybersecurity ? CTO ou CISO ! De acordo com o especialista depende do tamanho e tipo da organização. Algumas organizações tipo startups acham que o processo de gestão da segurança da informação pode engessar o processo de negócio enquanto que outras concordam que a segurança é fundamental. Particularmente por experiência acho que o CISO é aquele que deve ser responsável por Cybersecurity , pois o CTO não consegue ter visibilidade total e tratar com mais paixão o assunto. Digo isso, porque já fiz vários due diligence em provedores de serviços e sempre encontro a ausência ou deficiência de processos importantes como a concscientização da segurança da informação para os colaboradores. Não adianta implantar milhões de controles se não fazer o básico e cuidar da consciência dos colaboradores. Bom, como conselho sugiro a leitura deste artigo para reflexão: However, ...

A “third party” é uma das grandes preocupações dos líderes, considerando a dificuldade de gerir de forma adequada o compartilhamento de dados da sua empresa com os serviços terceirizados, seja em cloud ou conexões externas A Gestão de Risco em Fornecedores é um tema delicado e de muita importância para alguns líderes de segurança como um CSO, dada a mudança das empresas em massa para a cloud. Tenho discutido tal tema com alguns líderes em mesas de cafés e eventos de segurança e o que tenho ouvido é que a preocupação com a proteção de dados na nuvem é o principal vilão. Há alguns meses, escutei de uma CISO que ela não está tão preocupada com os dados dentro da empresa, mas com os dados que estão armazenados em parceiros e especialmente em provedores de cloud. A “third party” é uma das grandes preocupações, considerando a dificuldade de gerir de forma adequada o compartilhamento de dados da sua empresa com serviços terceirizados, seja em cloud ou conexões externas. O famoso NetPe...

O site CSO da IDG publicou um artigo interessante escrito por Gary HaySlip . Gary é um CISO renomado na área de Cybersecurity com muita experiência na função de CISO . O artigo aborda o termo hack nos olhos de um CISO de forma que venha utilizar recursos e ferramentas apropriadas para alavancar a segurança na organização. Ele diz que como um CISO experiente por mais de 10 anos tem desenvolvido técnicas de hacks de como lhe dar com suas atribuições dsenvolvendo um Programa de Segurança e gerenciando times e protegendo a organização. Um hack pode ser uma estratégia ou atividade e começa por testes e erros, nunca o sucesso virá na primeira vez. Ele ressalta ainda como um executivo de segurança você precisa saber lhe dar com falhas, ou seja, ser resiliente. Assim poderá aprender como alcançará o sucesso na próxima tentativa. Confira os pontos abordados por Gary: Hack no. 1:   Gaste tempo com seu time para entender e documentar os processos que estão beneficiando ...

O grupo de Inteligência de Ameaças e Tendências da Checkpoint publicou um relatório destacando as melhores proteções que os especialistas em segurança devem aplicar para lhe dar com as últimas ameaças e novos métodos de ataques. O relatório fornece um compreensivo overview sobre malware a ameaças em alguma categorias como Cryptominers  e  Ransomware que tem ocorrido em bancos e mobile apps. Como um advisor em segurança da informação e cibersegurança recomendo a leitura deste relatório. Veja abaixo um resumo sobre o report e clique no link para acessar o documento. To provide organizations with the best level of protection, security experts must be attuned to the ever-changing landscape and the latest threats and attack methods. The Check Point Global Threat Intelligence Trends report provides a comprehensive overview of the malware landscape in the top categories of Cryptominers, Ransomware, banking and mobile threats, based on threat intelligence data drawn from ...

EC-Council dona da certificação Certified Chief Informatin Security Officer ( C|CISO)  irá realizar o Global CISO Forum 2018 em Setembro na cidade de Atlanta, Geórgia. O evento contará com a presença de líderes de segurança de grandes organizações. Se você tem um budget para gastar não perca esta chance de trocar experiência com profissionais do globo. Clique aqui   para acessar a agenda do evento ou neste link para registro . Vídeo do evento: Global CISO Forum 2018 https://www.youtube.com/watch?v=MogvalLMknk&feature=youtu.be

O Prof. e especialista em segurança da informação  Edison Fontes publicou um artigo em seu Linkedin sobre a nova Lei Proteção de Dados Pessoais para os CEOs e Executivos de Segurança com os principais conceitos e controles que impactam diretamente à organização. Como sabem a lei aguarda a promulgação pela Presidência da República, após a sua aprovação no Congresso Nacional . É importante que o corpo diretivo da organização entenda os principais controles exigidos. Ela será aplicável em 18 meses. Clqiue no link abaixo para ler a matéria. Lei Proteção de Dados Pessoais BR - Resumo para CEOs e Executivos

O NIST publicou um infográfico sobre o valor que as  certificações  tem para os profissionais em Cybersecurity . O documento aborda que as certificações em Cybersecurity tem sido usado para avaliar o conhecimento e habilidades necessárias para os papéis chaves em IT e Cybersecurit y. O infográfico mostra o resultado de uma pesquisa sobre a quantidade de profissionais nos EUA que carregam uma credencial, mostra um comparativo sobre o aumento do salário quando se obtém um certificação, a valorização no mercado de trabalho, etc. Por exemplo, veja quanto uma certificação por aumentar no seu salário: Aumento de 10% para certificações intemediárias como Security+, etc; Aumento de 26% para certificações avançadas como CISSP; Aumento de 45% para certificações como CISM. Lógico que isso é muito relativo aqui no Brasil, mas que pode ajudar em um processo seletivo entre um candidato com ou sem certificação tenha certeza que o profissional certificado terá mais chance. Se ...

Shubhagata Kuma é uma  CISO de uma grande organização na Índia e compartilha neste artigo como foi complexo implantar diversas soluções de segurança para proteger o negócio da sua organização. Literalmente ela aborda os desafios de implantar o Cybersecurity Framework sugerido pelo NIST fundamental para proteger os negócios nesta era digital. É preciso também entender que o Cybersecurity Framework é um guideline e não se compara com outros standards como a ISO 27001. Entretanto, é importante considerar que o Cybersecurity Framework  esteja alinhado com o modelo de negócio para garantir total proteção e adotar demais processos de segurança da informação como a Gestão de Risco . Kuma também falou sobre a dificuldade para explicar o conceito de risco residual para o board. Veja alguns pontos importantes na implantação de um Cybersecurity Framework : Garantir que os entregáveis de TI estejam alinhados com os objetivos de negócio; Melhor entendimento para gerenci...