Post on 12-Apr-2017
transcript
PowerPoint Presentation
1o Workshop de Tecnologias para Proteo de Informaes Sigilosas
Gesto Integrada de Ativos para Proteo de Informaes Sigilosas
Nilson Vianna | CEO Smartcyber nilson.vianna@modulo.comFernando Nery | Scio Fundador fnery@modulo.com
Gesto Integrada
Empresas
S e g u r a n a
Risco oEfeito daIncerteza nos ObjetivosISO 31000
Incerteza
RotinaAlertas
MundoOcorrnciasAbrangnciaProfundidade
5
GRC no Governo Federal
GRC no Governo Federal
Gesto da IncertezaIntegrao da Ciberntica com a Atividade-fim
Ativos HeterogneosIntegrao da Ciberntica com a rea-Fim
Sistemas, Banco de Dadose Big DataTelefone e RdioMensagem Instantnea e SMSAPPsRedes SociaisemailRelatriosDados Abertos
Gesto Integrada
APPs, Rdio, TelefoniaEmail, SMS,Mensagem InstantneaAlarmes, Cmeras, GPS, Sensores, RFID, NFC, IoT Sistemas, Bancos de Dados, Fontes AbertasPessoas, Ativos
Alguns Casos
Automatizao de Logstica e SeguranaVdeo Mdulo
Sistemas, Banco de Dados e Big DataSensores e Internet das CoisasMensagem Instantnea e SMSSistemas e Banco de Dados ExternosMapas e GeoprocessamentoRedes SociaisMdias AbertasemailInfraestrutura de TICAPPsRdiosCall Center e TelefoniaOrgos e Instituies ParceirasServidoresAlarmesCmerasDados AbertosSemforos e Equipamentos de TrnsitoVeculos e FrotasUnidades DistribudasPlantas BaixasRelatriosPainis e VideowallSociedadeColaborao, Integrao e Monitoramento
Gesto Integrada de AtivosInventariar os Ativos HeterogneosAnalisar a SeguranaGerenciar Riscos
Defesa Ciberntica Resiliente
n.
Motivaes24/06/16
Motivaes24/06/16
Proteo da informao sigilosaInventrio e classificaoProteo fsicaProteo da informao digitalArmazenamento e DLP (Data Loss Prevention)Processamento e memriaTrfegoNuvemMobileBackup
24/06/1620
Proteo Fsica24/06/1621
Armazenamento e DLP24/06/1622Criptografia com EscrowDiscosServidoresPendrivesAlgoritmosDLPControles de cpias, leituras, impresses, anexos, expirao, localidade etc.
Processamento e memria24/06/1623Chipset da placa meMemria RAMForenseProcessadores de ltima gerao (Ex. Intel SGX)Enclaves de processamento criptografado
Trfego24/06/1624VPN e SSLAutenticao em 02 fatoresCertificados digitais (ICP-Brasil)Email !!!ChatVoz (VoIP) e Video Conferncia
Nuvem24/06/1625Decreto 8.135/13Localizao dos Data centerCriptografia para NuvemCompartilhamento de arquivos
Mobile24/06/1626Android x IOSDual personasVolumes criptografadosApp confiveisMDMWipe remoto
Backup24/06/1627Backup em cofre ou criptografado.Backup em outro stio.Backup em nuvem ?Ransomwares
TOP 20 Critical Controls2008 NSA + DoD demandam ...2009 - Criado e Adotado pelo US DoSReduziu em 1 ano 88% das vulnerabilidadesRecomendado em 2016 pelo Governo da CAThe 20 controls in the Center for Internet Securitys Critical Security Controls identify a minimum level of information security that all organizations that collect or maintain personal information should meet. The failure to implement all the Controls that apply to an organizations environment constitutes a lack of reasonable security. https://oag.ca.gov/breachreport2016
24/06/1628
PrincpiosOffense informs defenseInteligncia Ciberntica Prioritization: Investimento com grande reduo de riscoMetrics: Indicadores com leitura executiva Continuous diagnostics and mitigation: Testar e validar os controlesAutomation: Otimiza o tempo de reao
Comece pelos 5 primeiros CSC
CSC 1Inventory of Authorized and Unauthorized Devices Inventrio ativo de todos os dispositivos de hardware na rede para que somente os autorizados possam ter acesso e impedindo que no autorizados ou no gerenciados ganhem acesso.
Compliance:
24/06/1631ISO 27002:2013A.8.1.1A.9.1.2A.13.1.1
PCI DSS 3.12,4
NIST 800-53 rev4CA-7: Continuous MonitoringCM-8: Information System Component InventoryIA-3: Device Identification and AuthenticationSA-4: Acquisition ProcessSC-17: Public Key Infrastructure CertificatesSI-4: Information System MonitoringPM-5: Information System Inventory
CSC 2Inventory of Authorized and Unauthorized SoftwareInventrio ativo de todos os softwares, a fim de somente permitir a instalao e execuo daqueles autorizados e gerenciados.
Compliance:
24/06/1632ISO 27002:2013A.12.5.1A.12.6.2
DHS CDM ProgramHWAM: Hardware Asset ManagementSWAM: Software Asset Management
CSC 3Secure Configurations for Hardware and Software on Mobile Devices, Laptops, Workstations, and Servers Estabelecer, implementar e gerenciar ativamente as configuraes de segurana dos ativos com gesto de mudanas (Hardening), a fim de prevenir a explorao de vulnerabilidades por atacantes.
Compliance:
24/06/1633NIST Core FrameworkPR.IP-1
HIPAA164.310(b): Workstation Use - R164.310(c): Workstation Security - R
CSC 4Continuous Vulnerability Assessment and Remediation Continuamente varrer, avaliar e tomar medidas remediadoras, a fim de identificar as vulnerabilidades, corrigir e minimizar a janela de oportunidade atacantes.
Compliance:
24/06/1634PCI DSS 3.16.16.211.2
UK Cyber EssentialsPatch Management
NIST 800-53 rev4CA-2: Security AssessmentsCA-7: Continuous MonitoringRA-5: Vulnerability ScanningSC-34: Non-Modifiable Executable ProgramsSI-4: Information System MonitoringSI-7: Software, Firmware, and Information Integrity
CSC 5Controlled Use of Administrative Privileges Processos e ferramentas utilizadas para detectar, controlar, evitar e corrigir o uso de cesso e configurao de privilgios administrativos em computadores, redes e aplicaes.
Compliance:
24/06/1635ISO 27002:2013A.9.1.1A.9.2.2 - A.9.2.6A.9.3.1A.9.4.1 - A.9.4.4
Australian Top 35491125
NSA Top 10Control Administrative Privileges
CSC 7Email and Web Browser Protections Minimizar a superfcie de ataque e as oportunidades de manipulao do comportamento humano atravs de sua interao com os navegadores e sistemas de e-mail (Eng. Social)
Compliance:
24/06/1636ISO 27002:2013
A.14.2.4A.14.2.8A.18.2.3
GCHQ 10 Steps
Secure Configuration
CSC 10Data Recovery Capability Processos e ferramentas usadas para realizao de backup de informaes crticas, com metodologias testadas de recuperao tempestivas (SLA)
Compliance:
24/06/1637PCI DSS 3.1
4.39.5 - 9.7
NSA MNP
Backup Strategy
CSC 13Data Protection Processos e ferramentas usados para prevenir exfiltrao de dados, mitigar os efeitos de vazamentos, garantindo a privacidade e a integridade de informaes sensveis.
Compliance:
24/06/1638ISO 27002:2013
A.8.3.1A.10.1.1 - A.10.1.2A.13.2.3A.18.1.5
PCI DSS 3.1
3.64.1 - 4.3
CSC 14Controlled Access Based on the Need to Know Processos e ferramentas utilizadas para rastrear / controlar/ impedir / corrigir o acesso seguro a ativos crticos (informaes, recursos, sistemas) de acordo com a necessidade de conhecer formalizada para pessoas, computadores e aplicaes, de acordo com a classificao e grau de sigilo.
Compliance:
24/06/1639PCI DSS 3.1
1.3 - 1.44.37.1 - 7.38.7
DHS CDM Program
TRUST: Access Control ManagementPRIV: Privileges
Cyber Maturity Gap AnalysisAnlise da maturidade ciberntica do cliente, fundamentado no grau de implementao dos 20 controles crticos do SANS; e
Para cada ponto gerada uma anlise com recomendaes e grficos de maturidade so plotados para projeo e acompanhamento da evoluo (Roadmap).
24/06/1640
Cyber Maturity Gap Analysis
n.
ConclusesO preo da liberdade a eterna vigilncia
Thomas Jefferson24/06/1642
Nilson Vianna | CEO Smartcyber nilson.vianna@modulo.comFernando Nery | Scio Fundador fnery@modulo.comOBRIGADO ! !
1o Workshop de Tecnologias para Proteo de Informaes Sigilosas
Gesto Integrada de Ativos para Proteo de Informaes Sigilosas