tag:blogger.com,1999:blog-65979276395479493862012-03-19T22:16:02.063-07:00Governança, Risco e Compliance entre outras coisasGustavo Araujo Bittencourthttp://www.blogger.com/profile/03445897744346622932noreply@blogger.comBlogger5125tag:blogger.com,1999:blog-6597927639547949386.post-73268224988203835282012-02-14T14:46:00.002-08:002012-02-14T14:48:45.288-08:002012-02-14T14:48:45.288-08:00Excelente <a href="https://plus.google.com/105015082178818522140/posts/eeqx2XzggYJ">pergunta do Michael Santarcangelo</a> que poucos profissionais de segurança se fazem. Minha definição é um tanto conceitual mas que gosto pois rompe com alguns mitos:<br /> <ul><li><b>Segurança é a percepção de conforto frente a um cenário de incertezas</b></li> </ul>E qual é a sua definição?<div class="blogger-post-footer"><img width='1' height='1' src='https://blogger.googleusercontent.com/tracker/6597927639547949386-7326822498820383528?l=www.gustavobittencourt.com' alt='' /></div>Gustavo Araujo Bittencourthttp://www.blogger.com/profile/03445897744346622932noreply@blogger.com0http://www.gustavobittencourt.com/2012/02/como-voce-define-seguranca.htmltag:blogger.com,1999:blog-6597927639547949386.post-51487343818852781042012-02-07T02:04:00.000-08:002012-02-07T02:29:32.958-08:002012-02-07T02:29:32.958-08:00<div><a href="https://plus.google.com/103834334185089412536/posts/4f3rgkmpMPF">Artigo interessante do Richard Bejtlich</a> sobre como é difícil mensurar o impacto de um incidente de segurança. O artigo foca em um cenário de guerra cibernética, em particular no <a href="http://online.wsj.com/article/SB124027491029837401.html">"furto" de informação confidencial do jato F-35</a>. Mas este problema é recorrente em incidentes de segurança da informação nos mais diversos cenários.<br /> <br /> Em um incidente que envolve uma negação de um serviço, é mais simples calcular o impacto, como no caso da <a href="http://www.pcmag.com/article2/0,2817,2385790,00.asp">paralisação da PSN</a>. Contudo, se o incidente envolve o "furto" de informação confidencial, qualquer cálculo de impacto é subjetivo. Mas como essa característica afeta o processo de SI? <br /> <br /> O fundamental em processo de SI está na escolha, na implementação e na operação dos <b>controles de SI</b>, o resto é resto. E sob o aspecto dos controles de SI, eu os classifico em 3 tipos:<br /> <ol><li>Controles puramente de disponibilidade (cluster, SGCN)</li> <li>Controles puramente de confidencialidade (Criptografia, DLP)</li> <li>Controles de disponibilidade e de confidencialidade (a grande maioria)</li> </ol><div style="text-align: right;"><span style="font-size: x-small;">Nota: Para os que se perguntam "Cadê a integridade?", se eu tiver tempo, isso será um assunto para um outro post.</span></div><br /> Voltando ao assunto, reside aí o grande dilema de SI quando tenta seguir o mantra que <b>devemos estar alinhado com o negócio</b>. Pois é relativamente simples demonstrar o alinhamento com o negócio nos controles puramente relacionados a disponibilidade. Mas para os demais controles, qualquer relacionamento com o negócio é subjetivo. Por isso também, é mais simples justificar investimentos em disponibilidade do que em confidencialidade.<br /> <br /> No final da contas, decisões objetivas funcionam fundamentalmente com os controles puramente de disponibilidade. As demais decisões de controle que SI precisa tomar são de caráter subjetivo, por isso precisamos a toda hora nos respaldar com boas práticas de mercado, padrões de segurança, regulamentações, etc. em detrimento da análise pura e simples da necessidade de segurança do negócio.</div><div class="blogger-post-footer"><img width='1' height='1' src='https://blogger.googleusercontent.com/tracker/6597927639547949386-5148734381885278104?l=www.gustavobittencourt.com' alt='' /></div>Gustavo Araujo Bittencourthttp://www.blogger.com/profile/03445897744346622932noreply@blogger.com0http://www.gustavobittencourt.com/2012/02/por-que-o-negocio-nao-e-o-principal.htmltag:blogger.com,1999:blog-6597927639547949386.post-60449072844257836232012-02-07T00:21:00.000-08:002012-02-07T00:21:32.260-08:002012-02-07T00:21:32.260-08:00Estarei no <a href="https://plus.google.com/103834334185089412536/posts/eexf8FxbQ9G">GRC Meeting</a> no próximo dia 14.<a href="https://plus.google.com/103834334185089412536/posts/eexf8FxbQ9G"><br /> </a><br /> <br /> <div class="separator" style="clear: both; text-align: center;"><a href="http://www.grcmeeting.com.br/wp-content/themes/twentyeleven/imgs/lgGRCMeeting.png" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" height="60" src="http://www.grcmeeting.com.br/wp-content/themes/twentyeleven/imgs/lgGRCMeeting.png" width="400" /></a></div><br /> <div></div><div class="blogger-post-footer"><img width='1' height='1' src='https://blogger.googleusercontent.com/tracker/6597927639547949386-6044907284425783623?l=www.gustavobittencourt.com' alt='' /></div>Gustavo Araujo Bittencourthttp://www.blogger.com/profile/03445897744346622932noreply@blogger.com0http://www.gustavobittencourt.com/2012/02/grc-meeting.htmltag:blogger.com,1999:blog-6597927639547949386.post-3251609552222415572010-09-08T19:32:00.000-07:002010-09-10T06:28:59.029-07:002010-09-10T06:28:59.029-07:00Na falta de tempo e inspiração para escrever algo próprio, seguem enlaces interessantes:<br /> <ul><li>Marcello Zillo escreveu um artigo sobre <a href="http://mzillo.blogspot.com/2010/09/top-down-ou-bottom-up.html">gestão de risco top-down e bottom-up</a>.</li> <li>Termina hoje o prazo de manifestação da proposta de alteração do regulamento de listagem do Novo Mercado (<a href="http://www.bmfbovespa.com.br/empresas/download/NM-Minuta-de-Regulamento-objeto-de-Audiencia-Restrita-09-Julho-2010.pdf">ver proposta aqui</a>).</li> </ul><b>Update </b><br /> (10/09/2010) Saiu o <a href="http://bmfbovespa.comunique-se.com.br/bovespa/show.aspx?id_materia=28561&amp;id_canal=835">resultado</a> da proposta de alteração do Novo Mercado, N1 e N2.<br /> <ul></ul><div class="blogger-post-footer"><img width='1' height='1' src='https://blogger.googleusercontent.com/tracker/6597927639547949386-325160955222241557?l=www.gustavobittencourt.com' alt='' /></div>Gustavo Araujo Bittencourthttp://www.blogger.com/profile/03445897744346622932noreply@blogger.com6http://www.gustavobittencourt.com/2010/09/diversos.htmltag:blogger.com,1999:blog-6597927639547949386.post-54774952275459653052010-03-06T14:33:00.000-08:002010-03-06T15:00:51.911-08:002010-03-06T15:00:51.911-08:00Este <i>post</i> marca meu reinício como blogueiro. Além de escrever sobre governança, risco e compliance, pretendo abordar aspectos como gestão, projetos, processos, pessoas e outros aspectos da cultura corporativa.<div class="blogger-post-footer"><img width='1' height='1' src='https://blogger.googleusercontent.com/tracker/6597927639547949386-5477495227545965305?l=www.gustavobittencourt.com' alt='' /></div>Gustavo Araujo Bittencourthttp://www.blogger.com/profile/03445897744346622932noreply@blogger.com0http://www.gustavobittencourt.com/2010/03/reinicio.html