Escolar Documentos
Profissional Documentos
Cultura Documentos
Sessão #1
Introdução | Conceitos Princípios | Referenciais |
Formação Domínios da Cibersegurança
preparada para:
Em parceira com:
1. 2. 3. 4. 5.
Introdução à Panorama das Ciberataques e Fundamentos de Gestão de incidentes,
Cibersegurança, ameaças, Gestão do o papel do Fator Arquitetura e operação e novas TI.
Objetivos e Domínios Risco & Controlos Humano Elementos Segurança Governance.
Bruno Marques
Business Consultant
IT Governance
2018 > 2019 ISO 27001
IT Service management
ICW PT Lead Implementer
IT Audit & Security
(…) 2000> 2002> 2006> 2012 > 2015 > 2016 > 2016 > 2017 > 2021
+ duas Accenture TV Cabo Global Seguros Açoreana CIIWA IPAI Wisebond Caravela Seguros CSX - F
empresas Seguros ISACA LX Chapter
SHIFT
4
Apresentação
Expetativas iniciais?
[Know-how and KWYDK]
CYBERSECURITY FUNDAMENTALS
Objetivos gerais do curso
Contribuir
Sistematizar Conhecer para a
OBJETIVOS o tema para Boas Criação de
a Gestão práticas valor
8
Sessão #1
1.0 - Boas vindas e visão geral do curso
Objetivos da Sessão #1
10
Boas vindas > Estado da arte
SOLUÇÕES
OPERACIONAL ESTRATÉGICO
11
Boas vindas > Pilar para a confiança
Cibersegurança é
um fator de
sucesso…
Future Fit
12
1. Introdução à Cibersegurança
(quadro atual, skills gap, casos, desafios e visão)
Introdução à cibersegurança
O que é Cibersegurança?
• A Cibersegurança engloba:
a) Conjunto de meios tecnológicos que visam proteger computadores, programas,
redes e dados.
b) Comportamentos e atitudes dos utilizadores que condicionam a segurança da
informação.
c) Políticas e processos que promovem técnicas adequadas e padrões seguros.
DRIVERS
ECOSSISTEMAS ABERTOS TERRITÓRIO ECONÓMICO
14
Introdução à cibersegurança
O que é Cibersegurança?
“Proteção de ativos de informação, por meio do tratamento de ameaças que põem em risco
a informação que é processada, armazenada e transportada pelos sistemas de informação
que estão interligados”.
15
Introdução à cibersegurança
17
Introdução à cibersegurança e os Seguros
Competidores Supervisores
Mediadores
IT Providers Operativa
Brokers Peritos & nos
Oficinas
Seguradores Automatização e Seguros
ASAN Imprensa Digitalização Tratamento
dados saúde
Call-center e outros Clínicas médicas
prestadores e Hospitais
Salvaguarda &
Banc´assurance
Analytics
18
Cibersegurança…
Qual é o elefante
na sala?
CYBERSECURITY FUNDAMENTALS 19
Quais as principais forças de bloqueio para o
investimento em cibersegurança? Quiz
a) Dificuldade em calcular o ROI da cibersegurança?
b) Insuficiente compreensão sobre o impacto da
cibersegurança no desenvolvimento do negócio?
c) Insuficiente visão da gestão de topo em lidar com o
tema?
d) Todas as anteriores?
e) Nenhuma das anteriores?
20
2. Ataques e novo perfil de
cibervítima
Ataques e ameaças
Existe um gap de
conhecimento na correta
utilização das tecnologias.
Tipos de ciberataques I
DDoS
O termo DDoS significa Distributed Denial of Service e ocorre quando um PC utiliza outros para atacar
determinados sites. Quando esse ataque ocorre, os servidores são sobrecarregados e ficam
inoperacionais
Com o DDoS, os users não conseguem aceder aos sites, gerando prejuízos como perda de vendas e
insatisfações dos consumidores.
Malware
Os malwares são os softwares maliciosos, ou seja, os vírus, programas espiões, cavalos de tróia entre
outros. Eles são utilizados para obter acessos não autorizados, capturar informações de acessos e
monitorizar users.
Backdoor
O backdoor é um tipo de cavalo de troia que permite que se tenha acesso ao sistema infectado. A partir
do momento em que ele está instalado, é possível modificar, excluir, instalar arquivos, enviar e-mail,
visualizar informações e usar perfeitamente o sistema do user atacado.
23
Tipos de ataques (introdução)
Tipos de ciberataques II
Phishing
O phishing é uma forma muito comum de ataque que pode comprometer a cibersegurança de uma
empresa. Eles são e-mails promocionais, por exemplo, que induzem o user a alguma ação, mas na
realidade não são de remetentes verdadeiros.
Esse ataque recolhe dados e informações sensíveis, como senhas, cartões de crédito, etc. através da
semelhança com os sites originais.
Spoofing
Spoofing é uma falsificação de IP (protocolo de internet). Ou seja, esse é um dos tipos de ataques
cibernéticos que falsifica a comunicação entre os dispositivos fingindo ser uma fonte confiável.
Ataques internos
Os ataques internos podem ser realizados por pessoas mal intencionada que têm acesso aos sistemas
e informações ao notarem que a cibersegurança falha
24
Tipos de ataques (introdução)
QUIZ
É possível hoje
Contempla não só as
estabelecer novas
grandes instituições
tendências do perfil
como também as PME
de cibervítima
Clínicas e laboratórios
OTOC (contabilistas
clínicos são alvos,
certificados) são
bem como todo o
novos alvos
setor da saúde
Rogério bravo, PJ
Combate na perspetiva das forças de segurança
26
Tipos de ataques (introdução)
27
Quais as últimas notícias.pt?
In Publico, Abr.19
28
Quais as últimas notícias.pt?
In Observador, Abr.20
29
3. O papel dos referenciais
Papel dos referenciais
31
Papel dos referenciais
98
controlos
Governance e Cybersecurity
Guiding Principles Inventário de Ativos
Estratégia Guidance Clauses
Auditable
Segurança em
Análise de Ameaças Requirements
Profundidade
Checklist
DOMÍNIOS
35
Papel dos referenciais
O que é comum?
Orientação ao risco
Comprehensive enterprise
security strategies require
Mesmos princípios cooperation among parties
responsible for people,
processes and technology
36
4. Princípios e objetivos
Princípios
38
Princípios
A cibersegurança é
um subconjunto da
Segurança de “Quem não está
Informação, que na internet é
acompanha o como se não
crescimento do existisse”
ciberespaço
39
Princípios
Electronic Data
Risk Analytics
Processes
Information
Transaction System
Processing Protection of information assets by Security
addressing threats to information Engineering
processed, stored and transported
by internetworked information
systems. 40
Princípios
Cybersecurity professionals
ANÁLISE SITUACIONAL
41
Princípios
42
Princípios
43
Princípios
01 02 03
44
Princípios
An extension of
need-to-know
Individual granted
superuser privileges
does not infer free
reign over
information
Individuals actively
seeking out or
misusing information
may even be
dismissed
45
Objetivos
CONFIDENTIALITY
The protection of information from unauthorized disclosure
INTEGRITY
The accuracy and completeness of information in accordance with
business values and expectations
* e a não-repudiação
46
Objetivos
* e a não-repudiação
47
Objetivos
51
Elementos do sistema de cibersegurança (intro)
Incident Response
2 4 5 Reforçar a resiliência do
Qual o impacto meu negócio
Calcular o risco
económico/legal Desenvolver um plano
potencial da minha
reputacional para a de cibersegurança
Empresa Acrescentar confiança ao
minha empresa?
meu ecossistema
3
Como sei se estou
exposto?
Fonte: Autor
CONSCIENCIALIZAÇÃO ESTRATÉGICA EXECUTAR O PROCESSO
54
Ótica do decisor
d) Qos (qualidade)
55
Ótica do decisor
INTERRUPÇÃO das
Onde está o
operaçoes
centro de
gravidade da sua Segredo de negócio
seguradora?
Dados pessoais e
Sensíveis
Movimentos
financeiros
Serviço ao Cliente
In Rogério Bravo & João Gaspar
56
Ótica do decisor
Baselines de Boas
segurança de práticas
informação cyber
57
Ótica do decisor
58
Ótica do decisor
Implementar baselines
controlos essenciais
59
Ótica do decisor
60
6. Conclusão
Sessão #1
Conclusão