ISO27000 - Segurança da Informação

#LatinCACS presentation: The Death of Password

Password was the first attempt to put more security in shared environments like networks, operating systems, applications. It work correctly until user get many different passwords to handle. Moreover, the user behavior is another issue, because he will use weak passwords that easily will be broken. Nowadays, with more and more applications, each user have to handle a huge range of login/passwords, and this is the best scenery to happen a security incident. The best alternative is offer another kind of authentication like tokens or biometry. In other words, the death of password is a reality. This session will discuss sceneries where weak passwords were root cause of a cyber-attack, showing new processes and ways of authentication and how to analyze the application weakness about use of password.

To know more about it, come to ISACA’s Latin America Computer Audit, Control and Security (LatinCACS) Conference. This conference will taking place 19-20 September 2016 in San Juan, Puerto Rico. Attendees will learn from global experts who will discuss solutions and strategies in assurance, risk and security, including how these professionals can advance their careers and impact their enterprises.

Leia mais...

Information Security inside the walls (poor culture)

Information security is taking place at senior management agenda around the world. Nowadays, too many enterprises have a specific area of information security in its structure. This area is responsible for protection the sensitive information. This protection is about from leaking, unauthorized access and integrity. However, a question is the main concern of managers. How will we protect the information against our poor security culture?

Leia mais...

Governança da Segurança da Informação: afinal, protegemos o Negócio ou a TI?

Falar sobre governança já é um assunto complexo por si só, mas a pretensão deste texto vai mais longe, precisamos falar, conversar e discutir mais sobre a Governança da Segurança da Informação. A proposta é trazer à tona alguns pontos delicados sobre como a Segurança da Informação está sendo tratada nas empresas. Isso não é uma tarefa fácil! A intenção não é polemizar, mas cada vez mais fazer a discussão sobre o tema.

Leia mais...

IT Vulnerability Management

Why is the vulnerability management so important? The answer is so simple and in the same time so deep. Vulnerability is one of pillars of Risk Management! You must know and understand all vulnerabilities of your environment to proceed with the right decisions about information security.

First, vulnerabilities are not only about infrastructure, but about everything! I prefer the approach in layers.

Leia mais...

Avaliação de Riscos de TI: Uma forte ferramenta de trabalho!

Abordagem através da Avaliação de Riscos tem sido uma das melhores maneiras de entender e definir estratégias e planos de Segurança da Informação. As principais questões envolvidas aqui são a abrangência e capilaridade da avaliação e riscos. Parodiando muitos autores, este tema deve ser tratado como uma piscina muito larga (abrangência de controles), mas não muito profunda (capilaridade ou até onde ir com os controles).

Uma das primeiras iniciativas de se avaliar riscos associados à Segurança a Informação foi através dos trabalhos de PCN (Plano de Continuidade de Negócios). Neste cenário, o PCN foi mais associado ao PCSTI (Plano de Continuidade de Serviços de TI), e tinha foco na infraestrutura de TI. Em outras palavras, como se recuperar de uma crise no fornecimento de serviços de TI. A avaliação levava em consideração o ambiente (Datacenter), servidores, retorno das aplicações, etc. Mas foi a pedra fundamental para iniciar o tratamento de riscos de TI.

Leia mais...