CSO:CYBER

O Brasil é um país de modelo para o mundo quando pensa em Segurança para Internet Banking. Por ter sofrido inúmeros ataques nestas aplicações, diversos tipos de código malicioso, phishing, ataques DDoS, podemos considerar que o mercado bancário brasileiro é considerado um dos mais seguros e respeitados do mundo. Nestes últimos anos surgiram grandes eventos para impulsionar o crescimento do mercado de segurança da informação em nosso país. Eventos como SecureBrasil da ISC2, Silver Bullet Security Conference, H2HC Conference, BlackHat, Bsides, RoadSec, Sacicon, Security Leaders, entre outros, são exemplos de grandes eventos respeitados que atraem muitos executivos de segurança, hackers, além de dividir em palestrantes nacionais e internacionais. Gostaria de compartilhar neste post o evento Security Leaders que aconteceu em Novembro de 2013 e uniu muitos executivos de segurança de diferentes áreas de atuação. Eu tive a oportunidade de visitar o evento, fazer networking e rever amigos,...

Quais são as habilidades esperadas em um CISO/CSO? Metade tecnológico e metade estrategista de negócios? Evidente que nos dias atuais se espera de um CISO a habilidade de ser um líder técnico para um excelente líder de negócios. Para ramificar mais este assunto, nada mais de que ouvir de CISOs e líderes de segurança de grandes empresas. Confira esta série de vídeos criados pela IBM: The Evolving Role of the Chief Information Security Officer http://youtu.be/JnxMsSpZoo8                                        Conversations with Security Leaders: Joanne Martin, VP IT of Risk at IBM http://youtu.be/yhCDEtuGQao David Pocznek, Director of IT Management at Williams Energy http://youtu.be/IJRaskkQokA John Taylor, Head of IT Security and Service Continuity at Bristish American Tobacco http://youtu.be/Y0weQfKHSGI Gary A. Toretti, Assista...

De acordo com este estudo os líderes de segurança reconhecem que uma parceria estratégica traz força para lutar contra as ameaças decorrentes. Uma parceria com uma empresa especializada em segurança permite o CISO agir com mais confiança na gestão de risco no ambiente corporativo. Olhando para o outro lado da moeda, as ameaças estão cada vez mais sofisticadas e as vulnerabilidades mais visíveis. Enquanto isso, não basta apenas contar com a equipe interna de especialistas, é necessário parcerias para gerenciar esta nova empreitada. Em outras palavras 50% das empresas utilizam um provedor de serviços de segurança para melhorar a capacidade de suas operações no que tange gerenciamento de segurança... Security leaders recognize partnership brings strength 

Este blog criado pela IBM tem um conteúdo bem interessante para líderes de segurança da informação, e tem compartilhado algumas dicas e tendências de mercado para as tecnologias de cloud e mobile, além de mostrar como não ser paralisado no processo de adoção destas tecnologias. Vejam algumas tendências e conselhos de CISOs e líderes de segurança: 68% vêem a segurança em cloud e a privacidade de dados como uma preocupação crítica para o negócio. 76% estão preocupados com o roubo de dispositivos móveis e a perda de dados sensíveis. Com isso os CISOs e líderes de segurança concluíram que a maturidade e uma boa governança é a chave de sucesso para a adoção das tecnologias de cloud e mobile. A maioria dos executivos de segurança tem usado a influência destas tecnologias para se aproximar ao negócio. Ainda apenas 1/3 das aplicações passaram por um processo de análise de vulnerabilidade, mesmo sabendo que são consideradas o principal alvo para ataques. Outro ponto interessante é que...

Neste último mês de 2013 tive a oportunidade de realizar uma Análise de Gaps em uma grande corporação já aplicando os controles da nova ISO 27002-2013 e fiquei completamente motivado por identificar novos controles no que tange aspectos de segurança para dispositivos móveis, cadeia de suprimento e desenvolvimento de software seguro. Para cobrir estes pontos eu costumava usar alguns  padrões como PCI-DSS e Cloud Security Alliance que já abordavam parcialmente estas demandas, mas agora com esta nova versão os CSO/CISO podem ficar mais tranquilizados. Para os CSO/CISO que buscam a implementação de um Sistema de Gestão de Segurança da Informação (SGSI) e consequentemente a certificação na ISO 27001 em suas empresas, respectivamente esta nova versão visa apresentar uma abordagem mais flexível e simplificada e proporciona uma "Gestão de Risco" mais efetiva. Achei interessante este comentário, pois ao meu ver uma das grandes preocupações de executivos de segurança da informação é ...

O impacto da consumerizacão de mobile computing na gestão de segurança e operações das empresas tem se tornado uma dor de cabeça para os executivos de segurança. De falto, os projetos de BYOD e Cloud ainda são um pouco imaturos para o roadmap de 2014, mas muitas corporações estão começando a ganhar experiência. Este artigo mostra uma pesquisa com executivos e especialista de segurança a respeito do impacto de mobile computing em suas organizações. Veja alguns dos pontos mais comentados nesta pesquisa: - 22% dos especialistas de segurança comentaram que primeiramente devem aplicar um risk assessment/análise de gaps antes de implementar as políticas de segurança direcionadas e distribuir controles de segurança eficazes. Como todo papel do CSO/CISO é tirar uma foto da real situação e depois definir um plano de ação. - 18% dos especialistas de segurança recomendaram a execução de uma avaliação de segurança nas aplicações internas desenvolvidas e aplicações desenvolvidas por ter...

Este paper da ISACA aborda algumas questões relevantes que os executivos devem fazer na contratação de um serviço de nuvem. Na medida que provedores de serviços de nuvem amadurecem, mais empresas utilizarão alguma forma de computação em nuvem. A grande sacada é saber como realizar benefícios, otimizar riscos e controlar os gastos, por meio do framework COBIT 5 pode auxiliar na implementação de práticas consistentes podendo contribuir na maximização do valor e controle do risco. Neste último ano tive a oportunidade de trabalhar como Security Officer em um provedora de cloud computing aqui no Brasil e me lembro que fiz um benchmarking com os provedores de cloud nos EUA e pude notar a diferença da aderência do mercado internacional com as melhores práticas de segurança da informação e governança de TI. Minha conclusão foi que temos muito o que fazer ainda aqui no Brasil e certamente precisamos de uma lei ou regulamentação para este mercado. Sugiro que leiam este paper no link abaixo e...