C04 - Elaboração de Plano Estrategico de TI Horário(s): 18/10/2011 -
08:30 às 11:00 - SALA 04
Esta palestra tem o objetivo de descrever uma abordagem pragmática das atividades para a elaboração de um plano estratégico de TI que permita ao CIO um maior alinhamento com o comite executivo e as área de negócios. Esta abordagem analisa cinco dimensões: o posicionamento da TI e o modelo de governaça; a análise do portfólio atual e futuro dos projetos de TI; a adequação da arquitetura tecnológica como fator viabilizador do posicionamento da TI; a análise das capacitações (processos) de entrega e suporte da TI; e a importância de uma estrutura organizacional alinhado ao novo posicionamento estratégico da TI.
Tópicos a serem abordados:
Desafios do CIO
Abordagem Metodologica
Governança
Gestão de Portfólio
Arquitetura
Processos
Estrutura Organizacional
Instrutor(es)/Palestrante(s): Fabio Sanatanna,
Gerente Sênior , DeloitteFábio, Gerente Sênior da área de Technology Integration para FSI da Consultoria Empresarial. Sua atuação é focada em estratégia de TI, governança de TI, arquitetura corporativa e implementação de sistemas. Possui mais de 20 anos de experiência em consultoria e gestão de TI, atuando como program manager, gerente de projeto, estrategista de TI, analista de negócios, enterprise architect, arquiteto de aplicações, release manager, developer, e coordenador de testes. Já implementou diversos pacotes, ERPs, portais web, BI/DW, sistemas customizados e infraestrutura de TI. Com 13 anos de experiência em consultoria nos EUA, sendo recentemente transferido de volta ao Brasil.
Laurence Liu,
gerente senior , DeloitteLaurence Liu é Gerente Senior da Consultoria Empresarial da Deloitte. Possui dezoito anos de experiência na área de estratégia, tecnologia da informação, e processos, nos quais vêm executando trabalhos voltados à implementação de melhores práticas de gestão de desempenho, riscos e governança de TI. Possui bacharelado em Administração Publica e Mestrado em Administração pela FGV Foi membro da equipe de tradução do Cobit para o português.
C02 - Normas e Legislação: as novas questões do Direito Eletrônico Horário(s): 18/10/2011 -
08:30 às 11:00 - SALA 02
Disposições gerais acerca da legislação aplicável ao ambiente eletrônico; - Privacidade e Proteção de Dados; - Meios legais de rastreamento e identificação; - Territorialidade das questões jurídicas no âmbito da Internet; - Aspectos legais da Segurança da Informação; - Redes Sociais x Liberdade de Expressão: qual o limite de atuação do empregador? - A importância do contrato no Cloud Computing; - Preservação e produção de prova eletrônica; - Impacto do Direito do Trabalho na Segurança da Informação; - Melhores práticas jurídicas; - Tendência jurisprudencial em alta tecnologia
Instrutor(es)/Palestrante(s): Camilla Do Vale Jimene,
advogada , Opice Blum Advogados AssociadosAdvogada Associada à Opice Blum Advogados, atuante na área cível, criminal e trabalhista, com enfoque nos meios eletrônicos e Internet. Pós-graduada em Processo Civil pela PUC/SP. Professora de Pós-Gradução da Unigran e de graduação da UNIP. Desenvolveu estudos acerca das normas técnicas ISO.
C01 - Risk IT Based on COBIT: Uma visão sistêmica para a auditoria de TI Horário(s): 18/10/2011 -
08:30 às 11:00 - SALA 01
Este curso tem como objetivo apresentar aos participantes uma visão global do processo de gestão de riscos baseado nas melhores práticas de mercado, em especial no RISK IT Framework Based on COBIT publicado pela ISACA. Assim, a partir dos elementos norteadores do RISK IT é possível estabelecer um processo de governança de riscos de TI que compreende um conjunto de políticas, procedimentos, indicadores de riscos, auditorias e regras que permitem às organizações, comitês e gestores tomarem as decisões planejadas sobre os impactos dos riscos de TI nos negócios. Dessa forma, com base nas principais estruturas de gerenciamento de riscos busca-se conceituar o risco de TI no contexto organizacional e apresentar uma visão holística do RISK IT Framework compreendendo seus fundamentos, objetivos e estrutura de processos, os quais podem atuar como elementos norteadores para o planejamento de uma auditoria baseada em riscos. Nesse contexto, o RISK IT representa um instrumento capaz de proporcionar um direcionador à atividade de auditoria de TI, com ênfase em uma atuação preventiva e pró-ativa no processo de gestão de riscos da organização, de forma a contribuir significativamente para minimizar eventuais problemas relacionados a riscos que residem em fundamentos imaturos de TI.
Tópicos a serem abordados:
Principais estruturas de gerenciamento de riscos
O Risco de TI no ambiente organizacional
Fundamentos e objetivos do RISK IT Framework
Estrutura do RISK IT Framework
O RISK IT no contexto da auditoria de TI
Instrutor(es)/Palestrante(s): Elias Ferreira Do Nascimento Neto,
AUDITOR , CAIXA ECONÔMICA FEDERALAuditor interno da CAIXA ECONÔMICA FEDERAL. Especialista em Engenharia de Software com MBA em Gestão de TI. Possui as certificações CISA e CRISC. Atua como auditor de TI. Possui 8 anos de experiência profissional em auditoria operacional e de sistemas, compreendendo atividades de planejamento e execução de programas de auditoria com base nas Melhores Práticas. Foi palestrante no CNASI/RJ 2011. Luiz Claudio Diogo Reis,
AUDITOR , CAIXA ECONÔMICA FEDERALAuditor interno da CAIXA ECONOMICA FEDERAL. Mestrando em Tecnologia. Especialista em Auditoria de Sistemas, com MBA em Gestão de TI. Certificado CISA, CRISC e MCSO. Atua como auditor de TI há 12 anos. Palestrante nos eventos do CNASI desde 2009. Instrutor da Universidade CAIXA. Diretor Suplente do Capítulo ISACA/RJ. Desenvolve estudos em governança, gestão de TIC, gestão de riscos e e-learning.
C03 - Um modelo para estruturar e gerenciar a segurança da informação corporativa (SIC) Horário(s): 18/10/2011 -
08:30 às 11:00 - SALA 03
O objetivo da palestra é apresentar um modelo que propicie uma reflexão aos participantes em como se estruturar e gerenciar a SIC em uma organização, que pode ser a sua. Como ter uma área de SIC que seja vista como um aliado dos negócios, e não um entrave as oportunidades.
A estrutura da SIC traz no seu bojo itens importantes a serem tratados, tais como: -> entender o negócio na qual a empresa está; -> o que existe de cultura da SIC; -> que processos e atividades devem ser o escopo da área; -> a quem a área deve se reportar.
Com um plano estratégico da SIC elaborado e implementado, como deve ser tratado o dia a dia da SIC na corporação. Essa atividade de gestão (dia a dia e projetos) é uma atividade que demanda experiência do profissional responsável pela SIC da empresa. Como deve ser tratado?
Tópicos a serem abordados:
A estruturação da SIC
A gestão da SIC
Instrutor(es)/Palestrante(s): Mário Sérgio Ribeiro,
Sócio , Enigma ConsultoriaMário Sérgio Ribeiro, sócio da Enigma Consultoria, especializada em Segurança da Informação e Plano de Continuidade de Negócios. Engenheiro, mestre em segurança da informação pela USP. Auditor Líder da ISO 27001, especialista em TI e na gestão de projetos. Ex CSO do Grupo Pão de Açúcar. Professor do MBA da FIA-USP. 29 anos de experiência profissional em mais de 200 projetos. Ex diretor da ISACA.
C12 - Information Security Governance and Risk Management Horário(s): 18/10/2011 -
18:30 às 20:00 - SALA 01
Governança de segurança da informação e gestão de riscos implica a identificação dos ativos de informação da organização e do desenvolvimento, documentação e implementação de políticas, normas, procedimentos e diretrizes que garantam a confidencialidade, integridade e disponibilidade. Ferramentas de gestão, tais como avaliação de risco e análise de risco são utilizados para identificar as ameaças, e classificar os ativos.
Tópicos a serem abordados:
Information Security Governance and Risk Management
Instrutor(es)/Palestrante(s): Jaime Orts Y Lugo,
Presidente - Instrutor , ISSA BrasilPresidente da ISSA Brasil, certificado CISSP, instrutor do GEC – Grupo de Estudos CISSP da ISSA Brasil, Engenheiro Eletrônico com pós-graduação em GSI – Gestão da Segurança da Informação, colaborador do CB21:CE27 GT11 - 27032 Guidelines for Cybersecurity da ABNT
C16 - Legal, Regulations, Investigations, and Compliance Horário(s): 18/10/2011 -
18:30 às 20:00 - SALA 03
Aborda a legislação geral sobre crimes computacionais, conformidade (compliance) e normas; métricas deinvestigação e técnicas que podem ser utilizadas para determinar se um evento ocorreu; coleta, análise e gerenciamento da evidência, se ela existe.Este domínio iráevitar discussões aprofundadas sobre legislação, leis e regulamentos específicos de cada país ou região.
Instrutor(es)/Palestrante(s): Fabricio J.uchoa Correa,
INSTRUTOR , ISSA Brasil9 anos de experiência em segurança da informação e rede. CISSP - Certified Information Systems Security Professional Pós-graduação em segurança da Informação e criptografia pela UFF.
C14 - Physical and Environmental Security Horário(s): 18/10/2011 -
18:30 às 20:00 - SALA 02
Segurança Física (Ambiental) prove uma avaliação compreensiva dos riscos físicos, ambientais e processuais que podem existir numa dependência, organização ou estrutura onde sistemas de informação são confinados e gerenciados. Também trata de pesquisas de segurança, avaliação de riscos e vulnerabilidades, planejamento do local, critérios de projeto, métodos de proteção física, controle de acesso, e controles para proteção do ambiente e infraestrutura.
Tópicos a serem abordados:
Physical and Environmental Security
Instrutor(es)/Palestrante(s): Ricardo D. Leiva,
Instrutor , ISSA BrasilCertificado CISSP, graduado em Engenharia Eletrônica ,possui 34 anos de profissão, dos quais 21 na área de Tecnologia da Informação e Segurança da Informação, sendo 8 anos em SI; Coordenador e instrutor do Grupo de estudos CISSP da ISSA Brasil.
C17 - Business Continuity and Disaster Recovery Planning Horário(s): 18/10/2011 -
20:00 às 21:30 - SALA 03
Business Continuity Planning e Disaster Recovery Planning endereçam a continuidade dos negócios diante de cenários de catástrofe, erros humanos, falha de rede, entre outros fatores que podem de alguma maneira parar, interromper o negócio sem nenhuma programação.
Tópicos a serem abordados:
Business Continuity and Disaster Recovery Planning
Instrutor(es)/Palestrante(s): Matheus Da Graça Silva,
Instrutor , ISSA BrasilGraduado em Redes de Computadores, MBA em Segurança da Informação, certificado CISSP, MCSE Security e ITIL V3. Experiência na área de redes corporativas, Processos de Negócio, Análise de Risco, Política de Segurança da Informação, BCP/DRP. Instrutor do GEC – Grupo de Estudos CISSP da ISSA Brasil.
C13 - Cryptography Horário(s): 18/10/2011 -
20:00 às 21:30 - SALA 01
Criptografia aborda os princípios, meios e métodos de disfarçar informações para garantir sua integridade, confidencialidade, e autenticidade. Os conceitos básicos de criptografia incluem, chave pública e privada, algoritmos em termos de suas aplicações e usos, construção de algoritmos, distribuição de chaves e gestão, métodos de ataque, aplicações, construção, e uso de assinaturas digitais para fornecer autenticidade de transações eletrônicas, e não-repúdio das partes envolvidas.
Tópicos a serem abordados:
Cryptography
Instrutor(es)/Palestrante(s): Fabricio J.uchoa Correa,
INSTRUTOR , ISSA Brasil9 anos de experiência em segurança da informação e rede. CISSP - Certified Information Systems Security Professional Pós-graduação em segurança da Informação e criptografia pela UFF.
C15 - Security Architecture and Design Horário(s): 18/10/2011 -
20:00 às 21:30 - SALA 02
Arquitetura da segurança e design detalha os conceitos, princípios, estruturas e padrões utilizados para projetar, implementar, monitorar e operacionalizar de forma segura, sistemas, equipamentos, redes, aplicativos bem como os controles usados para fazer cumprir vários níveis de confidencialidade, integridade e disponibilidade. Estuda os modelos de segurança, bem como técnicas de segurança do sistema em termos de controles de prevenção, detecção e correção.
Tópicos a serem abordados:
Security Architecture and Design
Instrutor(es)/Palestrante(s): Jaime Orts Y Lugo,
Presidente - Instrutor , ISSA BrasilPresidente da ISSA Brasil, certificado CISSP, instrutor do GEC – Grupo de Estudos CISSP da ISSA Brasil, Engenheiro Eletrônico com pós-graduação em GSI – Gestão da Segurança da Informação, colaborador do CB21:CE27 GT11 - 27032 Guidelines for Cybersecurity da ABNT
C08 - Avaliação do nível de maturidade do Sistema de Gestão da Segurança da Informação (SGSI) das empresas brasileiras Horário(s): 19/10/2011 -
08:30 às 10:00 - SALA 04
Entre 2009 e 2010 implementamos, no Brasil e Angola, o Modelo de Maturidade de Segurança da Informação (MMSI) para avaliarmos o nível de maturidade do Sistema de Gestão da Segurança da Informação (SGSI) das empresas brasileiras e angolanas.
O EPSEC Meta-Framework foi estruturado para efetuar uma ligação entre o planejamento estratégico da organização e seus processos de segurança da informação. O EPSEC Meta-Framework identificou quais Melhores Práticas e Capacitações a organização possui e quais não possui. Depois disso, identificamos quais devem ser implementadas para que as estratégias das organizações sejam atingidas.
A palestra apresenta o estudo chamando de “Avaliação do Nível de Maturidade do SGSI”. O objetivo deste estudo é apresentar um perfil do mercado brasileiro no que diz respeito à Segurança da Informação. Os resultados do estudo estão segmentados em setores da economia (Petróleo, Telecomunicações, Energia, TI, Construção, entre outros), Estado e Região.
Apesar da EPSEC conduzir este estudo inédito, mundialmente falando, também estamos trocando experiências com empresas e profissionais de outros países e comparando o nível de maturidade das empresas brasileiras com organizações de outros países.
Tópicos a serem abordados:
A Governança da Segurança da Informação no Brasil e Angola
O diagnóstico e a avaliação do nível de maturidade da segurança da informação
O mapeamento da situação atual (nível de maturidade) do mercado brasileiro
O estabelecimento de melhorias dos processos rumo à estratégia da organização
Comparação com a situação das melhores organizações do mercado (benchmarking)
Apresentação dos pontos fortes de segurança das empresas brasileiras e angolanas
Apresentação dos planos de investimentos do mercado brasileiro para os próximos 3 anos
Instrutor(es)/Palestrante(s): Denny Roger Santos,
CEO , EPSECDenny Roger é responsável por mais de 100 projetos de segurança da informação, com publicações em diversos países. Atua como palestrante internacional e instrutor de cursos sobre segurança da informação. Tem centenas de entrevistas publicadas em mídia impressa, eletrônica e audiovisual. É membro do Comitê Brasileiro sobre as normas de gestão de segurança da informação, da série 27000.
C07 - Como fazer uso de Redes Sociais e Ferramentas de Mobilidade nas Empresas – melhores práticas Direito Digital para Gestores Horário(s): 19/10/2011 -
08:30 às 10:00 - SALA 03
Introdução – A sociedade da mobilidade e da colaboração em massa Quais os impactos das redes sociais e da mobilidade nas Instituições ? Como fazer uso seguro de redes sociais e dos recursos de mobilidade? Principais incidentes em Redes Sociais Como elaborar uma norma de conduta em redes sociais para servidores Como elaborar uma norma de mobilidade para serividores Qual o tratamento que deve ser dado aos terceirizados A conscientização dos usuários – educar no uso correto Como proteger o “social capital” da instituição pública Melhores pratica para uso de rede social oficial Como monitorar redes sociais Resposta a incidentes – que medidas tomar
Tópicos a serem abordados:
Introdução – A sociedade da mobilidade e da colaboração em massa
Instrutor(es)/Palestrante(s): Patricia Peck,
Sócia-Advogada , PPP AdvogadosA Dra. Patrícia Peck é advogada especialista em Direito Digital, formada pela Universidade de São Paulo, com especialização pela Harvard Business School e MBA em marketing pela Madia Marketing School. É autora a do "Direito Digital" pela Editora Saraiva, além de participação nos livros e-Dicas e Internet Legal. É
C05 - Forense Computacional com Software Livre Horário(s): 19/10/2011 -
08:30 às 10:00 - SALA 01
Dentro de 4 a 5 anos é esperado que a maioria das questões judiciais envolvam a forense computacional, pois evidências digitais estarão direta ou indiretamente ligadas aos casos, como hoje estão na vida de todos nós. Porém, como em todas as novas técnicas e descobertas, o mercado está escasso de profissionais nesta área e carente de profissionais certificados em forense digital. O curso engloba tanto a análise de memória secundária, quanto memória física e tráfego de rede. Este curso tem como objetivo ensinar as novas técnicas e os procedimentos necessários para se trabalhar com evidências digitais. Em acréscimo, o conhecimento de ferramentas livres à custo zero, irá facilitar o trabalho aluno que deseja atuar na área mas não possui recursos para gastar em ferramentas dispendiosas e que possuem todas as suas característica emuladas por ferramentas livres. Ao final do curso, o aluno estará preparado para realizar análises forense através da utilização de ferramentas livres. Inclusive, o aluno terá exemplos práticos com três cenários distintos para assimilar a utilização das ferramentas apresentadas ao longo do curso.
Tópicos a serem abordados:
Resumo do processo de investigação
Ferramentas Livres
Distribuições Linux
Análise de memória física
Criação e análises de casos com o Autopsy
Prática: Análise de Malware do tipo Banking
Prática: Análise de Ataques à Infraestrutura VoIP
Instrutor(es)/Palestrante(s): Luiz Vieira,
Consultor de Segurança da Informação , ----Analista de Segurança, atua na área de TI desde 1995, com larga experiência em WEB, Desenvolvimento, Segurança e Linux. É analista de segurança, e trabalha com Proteção de Perímetro, Auditoria, Teste de Invasão e Forense Computacional. Ministrou diversos treinamentos para forças armadas (Marinha, Aeronáutica e Exército), órgãos públicos (Ministério Público Fed., TRE, TJ) e polícia civil (DICAT).
C06 - Investigando vazamento de informações e de propriedade intelectual Horário(s): 19/10/2011 -
08:30 às 10:00 - SALA 02
Uma vez disponível na Internet, qualquer informação pode ser disseminada rapidamente entre uma míriade de sítios. Assim, é fundamental adotar um processo que permita uma rápida identificação imediatamente após um incidente de vazamento de informações confidenciais e divulgação de propriedade intelectual.
Este mini-curso irá apresentar algumas abordagens para um adequado sistema de resposta a incidentes de vazamento de informações. Estratégias para a identificação, acompanhamento e verificação das informações vazadas, técnicas que se apresentam como ferramentas auxiliares nas investigações digitais, como preservar a cadeia de custódia, buscar informações em metadados e encontrar os responsáveis pelo vazamento e pela postagem, utilizando freewares e informação publicamente disponível na Internet, e, finalmente, a importância de trabalhar em conjunto com o departamento jurídico.
Tópicos a serem abordados:
Resposta a incidentes de vazamento de informações
Monitorando mídias sociais
Preservação da cadeia de custódia
Encontrando os responsáveis pelo vazamento e pela postagem
Utilizando software livre em investigações digitais
Instrutor(es)/Palestrante(s): Marcelo Caiado,
Perito em informática , Procuradoria Geral da RepúblicaMarcelo Caiado, perito em informática do Ministério Público Federal, Mestre em Ciência da Computação pela UnB, CISSP, GCFA, EnCE. Atua na área de segurança da informação há mais de 10 anos e já trabalhou como professor em diversos cursos de graduação e pós-graduação, além de ser palestrante em diversos congressos e conferências. Membro da HTCIA (High Tech Crime Investigation Association).
C18 - Application Security Horário(s): 19/10/2011 -
18:30 às 20:00 - SALA 01
O domínio de Application Security envolve processos e atividades referentes ao planejamento, desenvolvimento e gestão de sistemas e software incluindo, entre outros, o ciclo de vida das aplicações, metodologias para desenvolvimento de software, segurança em aplicações web, banco de dados e datawarehouse e inteligência artificial, bem como as ameaças e contramedidas existentes.
Tópicos a serem abordados:
Application Security
Instrutor(es)/Palestrante(s): Cleber Paiva De Souza,
Instrutor , ISSA BrasilGraduado em Sistemas de Informação, ampla experiência em projetos de alta disponibilidade e cluster de processamento, pesquisador pelo LAS/IC da Unicamp, certificado CISSP, GCIH, Novell CNI e LPIC-3, Secretário Geral da ISSA Brasil, e instrutor do GEC – Grupo de Estudos CISSP da ISSA Brasil.
C20 - Security Opertarions Horário(s): 19/10/2011 -
18:30 às 20:00 - SALA 02
Segurança das Operações contempla essencialmente dois domínios em um: Segurança das Operações e Operações Seguras. Segurança das Operações está preocupada principalmente com a proteção e controle dos ativos de processamento da informação em ambientes centralizados e distribuídos. Operações Seguras estão preocupadas principalmente com as tarefas diárias requeridas para manter os serviços de segurança operando confiáveis e eficazes. Segurança das Operações é a qualidade dos outros serviços. Operações Seguras são um conjunto de serviços em sim mesmo
Instrutor(es)/Palestrante(s): Ricardo D. Leiva,
Instrutor , ISSA BrasilCertificado CISSP, graduado em Engenharia Eletrônica ,possui 34 anos de profissão, dos quais 21 na área de Tecnologia da Informação e Segurança da Informação, sendo 8 anos em SI; Coordenador e instrutor do Grupo de estudos CISSP da ISSA Brasil.
C21 - Access Control Horário(s): 19/10/2011 -
20:00 às 21:30 - SALA 02
Access Control, permeia todos os outros domínios do CBK, além da confidencialidade, integridade e disponibilidade da informação, uma boa gestão de segurança deve garantir a rastreabilidade de tudo o que foi feito e acessado, e isso é impossível de se atingir sem um bom controle de acesso. Este domínio contem conceitos importantes sobre controles lógicos, físícos, técnicos e administrativos.
Instrutor(es)/Palestrante(s): Renato Malheiro Gerodetti,
INSTRUTOR , ISSA BrasilRenato Malheiro Gerodetti - CISSP, ISSA Brasil Instructor, Pós Graduado em segurança da informação (IBPI), Bacharel em Ciências da Computação pela Universidade Metodista e Técnico em processamento de dados. Experiência acima de 10 anos como consultor de segurança da informação, com forte atuação nos mercados nacional e internacional, foco em projetos de análise de risco, políticas de segurança da informação, e ferramentas pertinentes.
C19 - Telecommunications and Network Security Horário(s): 19/10/2011 -
20:00 às 21:30 - SALA 01
O domínio de Telecommunications and Network Security cobre as estruturas, métodos de transmissão, formatos de transporte e medidas de segurança necessárias para prover a confidencialidade, integridade e disponibilidade nas transmissões em redes de comunicação e mídias públicas e privadas.
Tópicos a serem abordados:
Telecommunications and Network Security
Instrutor(es)/Palestrante(s): Cleber Paiva De Souza,
Instrutor , ISSA BrasilGraduado em Sistemas de Informação, ampla experiência em projetos de alta disponibilidade e cluster de processamento, pesquisador pelo LAS/IC da Unicamp, certificado CISSP, GCIH, Novell CNI e LPIC-3, Secretário Geral da ISSA Brasil, e instrutor do GEC – Grupo de Estudos CISSP da ISSA Brasil.
C09 - Cloud Computing - Conhecendo os Novos Riscos Horário(s): 20/10/2011 -
08:30 às 11:00 - SALA 01
Nos anos recentes, o conceito de Cloud Computing (Computação em Nuvem) tem se mostrado uma solução corporativa viável para os complexos problemas de infraestrutura, guarda de dados e licenciamento de software. A Computação em Nuvem combina uma série de tecnologias e conceitos para oferecer serviços e aplicações de forma rápida, com baixo investimento e a baixo custo. Hoje, empresas e entidades governamentais estão adotando soluções de Cloud Computing para reduzir custos e agilizar seus negócios, enquanto diversas empresas estão entrando nesse mercado, fornecendo infra-estrutura, software ou serviços baseados em Cloud Computing. Entretanto, a discussão sobre as vantagens acaba por obfuscar a avaliação dos potenciais riscos. Cloud Computing traz consigo um nível de risco que as empresas devem conhecer e lidar, baseado em novos aspectos tecnológicos e conceituais que não faziam parte da realidade das organizações. Empresas que adotem soluções “na nuvem” devem entender completamente as implicações de segurança ao mover suas informações e recursos computacionais para fora de sua infraestrutura própria, local e controlada. Neste curso vamos discutir estas preocupações que envolvem o paradigma da Computação na Nuvem, baseados nos mais recentes trabalhos de entidades internacionais. Vamos conhecer também como os criminosos virtuais tem explorado o lado escuro do Cloud Computing.
Tópicos a serem abordados:
Os conceitos e fundamentos de Cloud Computing
Os riscos que as empresas devem considerar antes de adotar a Computação em Nuvem
Novos riscos na Computação em Nuvem
Exemplos de estratégias de mitigação dos riscos associados a Cloud Computing
O uso criminoso de Cloud Computing
Instrutor(es)/Palestrante(s): Anchises Moraes Guimarães De Paula,
Analista de inteligência , CSA - Cloud Security AlianceAnalista de Inteligência em Segurança da VeriSign. Possui extensa experiência há quase 15 anos na coordenação e implantação de projetos de Segurança da Informação em empresas de grande porte como Editora Abril, Compugraf, Americel (DF), Telesp Celular (Vivo) e CPM. Formado em Ciência da Computação pelo IME-USP, pós-graduado em Marketing pela ESPM e certificado CISSP, GIAC e ITIL.
C10 - Metodologia OCTAVE para Gestão de Riscos e Vulnerabilidades em ativos críticos de informação Horário(s): 20/10/2011 -
08:30 às 11:00 - SALA 02
As atividades de avaliação e de gestão dos riscos do negócio somados à publicação da lei Sarbanes-Oxley em 2002 ganharam a importância depois que o COSO baseou seu trabalho numa estrutura de ERM. O ISACA/ITGI, com o CobiT, apresentaram esta estrutura de ERM. Este mini curso oferece ao mercado uma metodologia para o desenvolvimento da estrutura ERM para a empresa. A metodologia OCTAVE (Avaliação de Vulnerabilidades e Ameaças em Ativos Operacionalmente Críticos,) foi desenvolvida em 2003 pelo SEI (Software Engineering Institute) do CERT (Computer Emergence response Team) que pertence à Carnegie-Mellon University de Pittsburg dos Estados Unidos, e aceitado como o padrão para a avaliação e a gestão dos riscos do negócio em 2005.
Tópicos a serem abordados:
Conceito de Riscos em negócios.
Metodologia OCTAVE
Avaliação de Riscos e Ativos Operacionalmente Críticos
Implementação de Metodologia de Avaliação de Riscos
Instrutor(es)/Palestrante(s): Marcelo Silva,
CRISC, COBIT Foundation, Diretor , World Pass IT SolutionsProfessor Licenciado de Matemática pela Universidade do Grande ABC. Especialização em Planejamento Estratégico de Marketing (UNICAPITAL). Gestão de Projetos – PMI (Faculdade Impacta). Membro da equipe de tradução do Cobit para português, convidado pelo ISACA em 2007. Membro da equipe de tradução da norma ISO 20.000 parte 3 (ABNT, 2010). Consultor de TI com 23 anos de experiência em projetos de Service Support, Governança de TI, Segurança de Sistemas e Auditoria. Sócio Diretor da World Pass. Membro do ISACA em COBIT Foundation e membro do e ITSMF. Em 2006 foi qualificado como um dos quatro profissionais no mundo Certificados pela IT Preneurs para atuar como formador de instrutores do curso COBIT Foundation. Especializado em negócios e gestão de processos de TI com cursos realizados nos Estados Unidos e Itália, atuando em projetos de implantação em empresas como Tribunal de Contas da União, Tribunal de Contas DO Município de São Paulo, LDC Bioenergia, Hypermarcas, Pompom, INAL, Ambev, Vivo, Banco Bradesco, IPT e outras. Ministra treinamentos em Segurança da Informação, ITIL e COBIT Foundation. Especializado em Segurança da Informação com foco na atuação direta e gestão de equipes. Foi sócio diretor da Audisis e VP de Consultoria e Governança na DMBRAVO. Atuou como Gerente de Produtos e Suporte Técnico em empresas Nacionais e Multinacionais. 18 anos de experiência em Suporte Técnico e Desenvolvimento de Sistemas. Atuação em grandes empresas como Itautec, Attachmate, TBA e AKER.
C11 - TI falando a linguagem de Negócios (Indicadores que fazem sentido aos Executivos) Horário(s): 20/10/2011 -
08:30 às 11:00 - SALA 03
Os homens de negócios não entendem porque TI tem tanta dificuldade em atender às suas demandas. Os homens de TI não conseguem entender porque a gestão da organização não aprova os seus projetos. Cada um de seu lado critica e desaprova a atuação da outra parte. Uma boa governança de TI tem que resolver esse problema através do alinhamento das expectativas de cada parte e prover a comunicação bi-direcional para que as demandas sejam claramente compreendidas, apoiadas e entregues num nível superior de realização, promovendo uma vantagem competitiva para a organização através do serviço prestado por TI.
Tópicos a serem abordados:
Alinhamento de TI ao negócio da empresa;
Gestão de serviços TI e de qualidade entregue por TI ao negócio da empresa;
Governança de TI;
KGI e KPI de TI;
Otimização de custos de TI;
Instrutor(es)/Palestrante(s): Alberto Fávero,
Sócio , Ernst & Young TercoSócio da Prática de TSRS – Technology & Security Risk Services – da Ernst & Young LLP. Foi CSO do Banco Santander Banespa entre 2003 e 2005. É Presidente e membro fundador do Capítulo Brasil da ISSA - Associação Internacional de Profissionais de Segurança da Informação. Matemático pela FSA-SP e Pós-graduado em Administração de Empresas e Marketing pela FGV-SP. Profissional de Segurança da Informação certificado pelos Institutos (ISC)2 e ISACA® como CISSP, CISM e CISA. Possui certificação em ITIL Foundations pelo Instituto Exin. Atua na estruturação e na implantação da função de Segurança da Informação, já tendo realizado inúmeros projetos na área.
Home 