1 Sistema de Segurança de Informação e CybersecurityUNIVERSIDADE DE SÃO PAULO FACULDADE DE ECONOMIA, ADMINISTRAÇÃO E CONTABILIDADE Sistema de Segurança de Informação e Cybersecurity André Garcia Paulo Galvão Guilherme Pavanello Vitória Zanela Henrique Doebeli

2 Agenda Definição e conceitos;Histórico e evolução no tempo, exposição de caso real; Operacionalização; Relacionamentos com instituições; Terceirização (vantagens e desvantagens);

3 Insegurança da InformaçãoDestruição da Biblioteca de Alexandria – 48 AC 500 mil escritos de matemática, astronomia, física, ciências naturais e poesia British Home Office – 2008 Perda de dados sobre 84 mil detentos JPMorgan Chase – 2014 Vazamento de dados pessoais de 76 milhões de pessoas e de 7 milhões de empresas US$ 250 milhões investidos em segurança – Falha devido a 1 servidor não atualizado

4 Insegurança da InformaçãoCost of Data Breach 2015/16 Estudo realizado pelo Ponemon Institute e patrocinado pela IBM; 33 companhias entrevistadas; Custo médio por incidente: em torno de R$ 4,3 milhões; Brasil é o país mais vulnerável ao vazamento de dados;

5 CyberSecurity e Auditoria ExternaSegundo a IBM, em 2015 o custo médio da violação de dados foi de US $ 3,52 milhões; Exemplos de empresas que tiveram incidentes cibernéticos: Smucker, Sally Beauty, Decolar.com.;

6 Operacionalização da CybersecurityNo ambiente empresarial: Confidencialidade; Disponibilidade; Integridade; Irretratabilidade; Conformidade;

7 Operacionalização da CybersecurityTipos de usuários: Internos; Externos;

8 Operacionalização da CybersecurityFunções: Prevenção de ataques: Negação de Serviços; Malwares; Botnets e Zombies; Scarewares;

9 Operacionalização da CybersecurityEntradas: Usuário e senha; Leitor óptico; Leitor de digitais; QR Codes; Token de identificação; VPN; Autenticação em duas etapas;

10 Operacionalização da CybersecurityProcessamento: Controles Físicos; Controles Lógicos; Mecanismos de segurança;

11 Operacionalização da CybersecurityRelatórios disponíveis: Prevenção de ameaças; Principais empresas responsáveis pela emissão de relatórios: Cisco; iBliss; Symantec; Proof

12 Relacionamentos com Órgãos de GovernançaConselho de Administração; Comitê de Auditoria; Presidência; Diretoria Executiva.

13 Auditoria Externa Atenção especial dos auditores para esses casos;Influência na materialidade; Empresa mais expostas;

14 Trabalhos de Terceiros e TerceirizaçãoPrincipais Vantagens: Maior Foco no Negócio; Economia de tempo, esforço e dinheiro; Vantagem Competitiva; Principais Desvantagens: Confidencialidade; Não exclusividade;

15 Obrigado!