13/10/17

Modelo Integrado de Atividades de um

Chief Information Security Officer (CISO)

CIIWA - 12 de Outubro 2017 © José Martins

Agenda

1. Enquadramento

2. Problema

3. Modelo Integrado

4. Considerações Finais

© José Martins
© José Martins

1
 13/10/17

CISO (Perfil) CISO AT EXECUNET (EXAMPLE)

If you are a small to medium-sized company

Chief Information Security Officer is a business /
without dedicated security leadership technology executive who will be responsible
(yet), you probably are wondering when is for providing leadership in establishing a
the right time to hire your first Chief comprehensive Information Security and Data
Information Security Officer (CISO). There Privacy program and ensuring compliance.
are a few benchmarks that can help your
company determine if it is ready for this Primary Responsibilities:
next level of leadership and
ü Program Structure and Execution (security
organizational commitment to
security.
vision across the company);
Fonte: Forbes (19jan17) ü Planning (Develop tangible plans to drive
strategy into an operational capability);
ü Day-to-Day Security Operations (Ensure
operational procedures enforcing security
are effective and optimal);
ü Incident Response (Respond to and resolve
security exposures and incidents);
ü Security Engineering (Work directly the
business units and CTO);
ü Third Party Management (Participate in the
development, implementation and ongoing
compliance monitoring of information
privacy requirements) Posted: 10/6/2017
© José Martins
© José Martins

Atividades de um CISO

Funções de um Gestor
Ø Planear
Ø Organizar
Ø Dirigir (Liderar)
Ø Controlar

Preocupação com a verdadeira Segurança! J

© José Martins
© José Martins

2
 13/10/17

Objetivo

Apresentar um modelo que identifica e agrupa as principais

atividades que contribuem nas Organizações para a “Gestão da
Segurança da Informação, a Cibersegurança e a Proteção de Dados
Pessoais”.

ü Identificar alguns dos principais métodos, técnicas e

ferramentas de suporte às atividades de um CISO.

© José Martins
© José Martins

Considerações do Modelo

ü Abordagem top-down, sistémica e multidisciplinar

ü Interpretativista (visão própria, logo sujeita a erros)

ü Atividades comuns às várias temáticas

ü Partilha a minha experiência (foco gestão SegInfo)

ü Técnicas e ferramentas utilizadas pela minha equipa

ü Originalidade (sistematização e integração)

© José Martins
© José Martins

3
 13/10/17

Nível de Abordagem - Organização

Âmbito – Organização
Bottom-Up

HUMANO ▪ Competências
& ▪ Ética Profissional
TECNOLOGIA ▪ Instruções de Trabalho
▪ Ciência dos Computadores
▪ …..

ORGANIZAÇÃO Sistema
(Tecnologia - Processos - Pessoas)

▪ Estratégia
▪ Arte da Guerra
ESTADO ▪ Cooperação Público-Privado
▪ Legislação e Regulamentação
▪ …..
Top-Down

© José Martins
© José Martins

O porquê acreditar no Orador J

Docência Académica CISO - Gestão de Projetos

Formação, Sensibilização e Treino Auditorias e Implementações

Formação Académica e Publicações

© José Martins
© José Martins

4
 13/10/17

2. Problema

© José Martins

2.1 Múltiplas Perspetivas

Gestão de Segurança
Segurança dos Sistemas de
da Informação Informação

Cibersegurança Proteção de
e Ciberdefesa Dados Pessoais

© José Martins
© José Martins

5
 13/10/17

2.2 Gestão de Segurança da Informação

Consiste na proteção da informação armazenada,

processada ou transmitida contra a perda de
confidencialidade, integridade e disponibilidade, através
da implementação de um variado conjunto de controlos
técnicos, administrativos e físicos.

© José Martins
© José Martins

2.3 Cibersegurança
Cybersecurity
Information Security preservation of confidentiality,
integrity and availability of
Application Security information in the Cyberspace.

(other properties can be involved)

Cyber
Security

Network Internet Cyberspace

Security Security complex environment resulting from
the interaction of people, software
and services on the Internet by means
Critical Information Infrastructure Protection of technology devices and networks
connected do it, which does not exist
Fonte: ISO/IEC 27032 (2012, p. 11)
in any physical form.

© José Martins
© José Martins

6
 13/10/17

2.4 Proteção de Dados Pessoais

Artigo 32º Segurança do Tratamento

1. (…) o responsável pelo tratamento e o subcontratante
aplicam as medidas técnicas e organizativas adequadas
para assegurar um nível de segurança adequado ao risco,
incluindo, consoante o que for adequado:
a) A pseudonimização e cifragem dos dados pessoais;
b) A capacidade de assegurar a confidencialidade,
integridade, disponibilidade e resiliência permanentes
dos sistemas e dos servi̧ços de tratamento.
c) (…) - gestão de incidentes (interpretação do autor);
d) (...) – monitorizar e auditar (interpretação do autor);
2. Riscos: (…) tratamento, em particular devido à destruição,
perda e alteração acidentais ou ilícitas, e à divulgação
ou ao acesso não autorizados, de dados pessoais
transmitidos, conservados ou sujeitos a qualquer outro tipo
de tratamento.

© José Martins

2.5 Racional do Modelo

Conhecer o
Adversário Conhecer a Capacidades
Organização Proteção Gerir
(Estado-da-Arte)

Gestão de Equipas
Implementar

Solução Gerir Projetos

Problema Estado - da -Arte

Realidade Definir o Âmbito

Planear
a Solução Formação,
Dados Empíricos
Sensibilização Gestão
e Treino Operacional
© José Martins

7
 13/10/17

3. Modelo

© José Martins

3. Modelo

<1>
Organização
<6>

Formação, <2>
Adversário
Sensibilização
& Treino CISO
<6> (SegInfo, Cyber, PDP)
<3>

Gestão Capacidade

Operacional de Proteção
<4>
Planeamento

© José Martins

8
 13/10/17

3.1 Organização

Ambiente
Envolvente
Dados,
Cultura da
Informação e
Organizacão
Conhecimento
1. Organização

Arquitetura de
Modelo de
Sistemas de
Gestão
Informação
Processos

de Negócio

© José Martins

3.1.1 Processos <Automação e Inteligência>

Motor de Processos
(A) Formulários (B)

Definição

Motor de Regras Motor de Pessoas

Especialista de Negócio Integração
em
Processos

Fonte: cortesia Mário Filho (2017)

Service-Oriented Architecture (SOA)

BI CRM ERP ECM GED

© José Martins
© José Martins

9
 13/10/17

3.1.2 Sistemas de Informação

Hardware Software

Pessoas

Base de Dados Processos

Redes

© José Martins
© José Martins

3.2 Adversário

Campo de
Batalha

Doutrina
Atores
Militar

2. Adversário

Simulação dos Vetores e

MetAtq MetAtq
Vulnerab. dos
Sistemas

© José Martins

10
 13/10/17

3.2.1 Níveis de Atuação de um Adversário

Nível Humano

Nível da
Infraestruturas

Nível Físico

© José Martins
© José Martins

3.2.2 Métodos de Ataque

© José Martins
© José Martins

11
 13/10/17

3.3 Capacidade de Proteção

Princípios e
Postulados
Capacidades Disciplinas
Ofensivas vs. Académicas
Defensivas Referência
3. Capacidades
de Proteção
Tecnologias
Legislação e
de
Regulamentos
Segurança
Normas e
Certificações

© José Martins

3.3.1 Principais Vagas de SegInfo

I. Técnica II. Gestão III. Normalização IV. Governance

Fonte: Adaptado de Solms (2006)

© José Martins

12
 13/10/17

3.3.2 Principais Dimensões da Segurança

FÍSICA &
ORGANIZACIONAL
AMBIENTAL

TECNOLÓGICA HUMANA

© José Martins

3.4 Planeamento

Análise de
Sistemas
Requisitos e
Gestão
Modelação
de Projetos
de Processos
4. Planeamento

Planos de Gestão

Contigência do Risco
Políticas de Método
de
Segurança Implementação

© José Martins

13
 13/10/17

3.4.1 Um Modelo de Risco

exploram
Ameaças Vulnerabilidades

Protegem contra Expõem

Aumentam Aumentam

Reduzem Ativos
Controlos Riscos

Indicam Aumentam Possuem

Atingem-se

Valor
Requisitos de
segurança

Impacto Potencial no Negócio

Fonte: ISO/IEC TR 13335-1 (1996)

© José Martins

3.4.2 Identificação e Avaliação do Risco

Consultar e Comunicar

Análise de Riscos

Identificar Analisar Avaliar Controlar

Estabelecer
os os os os
o
Riscos Riscos Riscos Riscos
contexto

Monitorizar e Rever
Fonte: AS/ANZ 4360 - Risk Management (1999)

© José Martins

14
 13/10/17

3.5 Gestão Operacional

Liderança
Continuidade Digital
do Négocio e Monitorização
Gestão de e Auditorias
Crises 5. Gestão
Operacional
Resposta a
Incidentes e
Gestão de TI
Recuperação
Framework de
Desastres
Controlos de
Segurança

© José Martins

3.5.1 Processo de Gestão SegInfo

Controlos
(Indicadores)

Processos Inputs Outputs

de Negócio

Meios
(Recursos)

© José Martins

15
 13/10/17

3.5.2 Tecnologia <exemplos>

© José Martins

3.6 Sensibilização e Treino

Pedagógia do
Ensino

Gestão do
Competências
Conhecimento
6.Sensibilização

e Treino

Exercícios Desenvolver

e Treino Conteúdos

E/B -
Learning

© José Martins

16
 13/10/17

3.6.1 Elementos Chave

5. Validar a
Aprendizagem

1. Definir os
Objetivos 4. Passar a
Mensagem
(Competências)

3. Elaborar o
Programa e
Materiais

2. Segmentar a
Audiência

© José Martins

3.6.2 Exemplos

EXERCÍCIOS Workshops
ü Gestão de Crises
ü Gestão de Incidentes
ü OSINT (…)

© José Martins

17
 13/10/17

4. Considerações Finais

© José Martins

Pecados Mortais
Não perceber que a Segurança da Informação

Ø É uma responsabilidade da gestão de topo.

Ø Questão de negócio e não apenas uma questão técnica.
Ø É baseada numa identificação e avaliação do risco.
Ø Deve ter foco nas melhores práticas internacionais.
Ø Deve ser suportada numa política de segurança.
Ø Deve ter monitorização permanente.
Ø É uma disciplina multidimensional e difícil.
Ø Necessita de uma estrutura de gestão / organização.
Ø Sensibilização permanente dos utilizadores.
Fonte: adaptado de Solms e Solms (2004)

© José Martins

18
 13/10/17

Principais Referências Bibliográficas

2009_ Martins, José Carlos L., Santos, Henrique Manuel Dinis dos e Nunes, Paulo Viegas (2009). “Framework de Segurança para Sistemas de Informação”, 8th European Conference
on Information Warfare and Security – 6 de julho - Lisboa.

2010_ Martins, José Carlos L., Santos e Henrique Manuel Dinis dos (2010). “Methods of Organizational Information Security - A Literature Review”. 6th International Conference On
Global Security, Safety and Sustainability, 1 a 3 de setembro, Braga.

2011_ Noce, I.,Martins, J., Belfo, F., Ferreira, I. & Coelho, J. “Strategic Alignment through organizational modeling: a case study in a public institution”. M.M. Cruz-Cunha et al
(Eds.): CENTERIS (2011), Part I, CCIS 219, pp. 129-138, 2011.Springer-Verlarg Berlim Heidelberg.

2012_ Martins, José Carlos L., Santos, Henrique Manuel Dinis dos e Nunes, Paulo Viegas (2012). “Framework de Gestão de Segurança da Informação para Organizações Militares,
Orientada pelos Principais Vetores de Ataque”, in Vários, Proelium-Revista da Academia Militar.

Martins, José, Santos, Henrique, Nunes, Paulo e Silva, Rui (2012). “Information Security Model to Military Organizations in Environment of Information Warfare”, 11th European
Conference on Information Warfare and Security – 5 e 6 de julho – Laval, França.

Martins, J., Santos, H., Nunes, P., & Silva, R. (2012b). “Framework de Gestão de Segurança da Informação para Organizações Militares Orientada pelos Principais Vetores de
Ataque”, Conferência Anual da Associação Portuguesa de Sistemas de Informação, Universidade do Minho, Guimarães, Portugal, 7 de setembro.

2013_ Martins, José, Santos, Henrique, Rosinha, António e Valente, Agostinho (2013). “Information Security Military Standards versus ISO 2001 – A Case Study in a Portuguese
Military Organization”, 12th European Conference on Information Warfare and Security – 11 e 12 de julho – Finland.

Martins, José, Santos, Henrique, Rosinha, António e Valente, Agostinho (2013). “Information Security Management: A Case Study in a Portuguese Military Organization”.
International Journal of Cyber Warfare and Terrorism, July-September 2013, Vol. 3, No. 3.

2014_ Martins, José, Santos, Henrique, Dias, Mendes e Borges, José (2014). “Planning Method of Information Security for Military Organizations”, 13th European Conference on
Cyber Warfare and Security – 03 e 04 de julho, Piraeus, Greece.

2015_ Borges, José, Martins, José, Andrade, Jorge, Santos, Henrique, Dias (2015).”Design of a Case-Based Reasoner for Information Security in Military Organizations”, 14th
European Conference on Cyber Warfare and Security – 02 e 03 de Julho, Hatfield, UK.

2016_ Martins, José et al. (2016). “Sensibilização e Treino em Cibersegurança, Exercício de Recolha de Informação”. Revista da AM - Proelium X, pp.141 - 160.

2017_ Martins, José, Santos, Henrique, Custódio, Jorge e Silva, Rui (2017). “Modelo Holístico de um CISO para a Gestão de Segurança da Informação, Cibersegurança e Proteção
de Dados Pessoais”, (aguarda publicação).

© José Martins

jose.martins@feelsec.com
jose.carloslm@gmail.com

19