Data : 22 de setembro de 2009
Tema : Compliance, Auditoria e Forensics - duração : 50 minutos
Horário: 14h00 às 15h00 - sala : 1
P03 Título: Auditoria de processos sistêmicos à luz da SOX
Luciano Reis - Gerente de SOX & Controles Internos - Laureate Education Inc

Currículo:
Bacharel em Ciências Contábeis, pós-graduado em Administração de Negócios no Mackenzie e MBA em Gestão Empresarial na FGV-SP e MBA Executivo Internacional em Finanças pela University of Chicago. 16 anos de experiência em Auditoria Interna e Externa, é palestrante em conferências e congressos sobre assuntos relacionados à função. Gerente de SOX & Controles Internos na Laureate Education Inc.

Tópicos dos Assuntos abordados:
Metodologia da Auditoria de Sistemas alinhada aos Processos de Negócios;
Transações Críticas e análises da segregação de funções e perfis de acessos conflitantes;
Hierarquias de aprovações eletrônicas dos acessos nos Sistemas;
Políticas e Procedimentos de TI;

Conteúdo:
Transações críticas e perfis de acessos conflitantes
Aspectos levantados durante a revisão nos controles no Sistema Integrado R/3:
Usuários com perfis de acesso conflitantes;
Testes de segregação de funções nos perfis de acesso;
Perfis com acesso às funções críticas;
Habilitar o registro das mudanças realizadas em tabelas críticas do sistema; e
Redefinir permissões de acesso aos diretórios da rede
Análises de segregação de funções no Sistema de Gestão- aspectos revisados
no Sistema Integrado R/3
Usuários com acesso as funções manutenção de períodos contábeis
Casos de quebra de segregação de funções do módulo FI (Criar dados bancários x processamento de pagamentos)
Hierarquias de aprovações eletrônicas dos acessos no Sistema, Correio Eletrônico e Rede
Hierarquia do Sistema: Solicitante (Key User)/Gerência Usuária / Owner do Processo / Supervisor de Planta / Líder do Sistema TI /Auditoria Interna / Basis
Hierarquia do Correio e Rede: Solicitante (Key User)/Gerência Usuária /Supervisor de Planta / Administradores da Rede e /ou Correio Eletrônico

Data : 22 de setembro de 2009
Tema : Compliance, Auditoriade TI e Forensics - duração : 50 minutos
Horário: 14h00 às 15h00 - sala : 2
P07 Título: A securitização do Cloud Computing atraves do SAS 70
Donizeti Moreira - Auditor / Consultor - Azeti Integradora de solução RFID & NFC - Donizeti

Currículo :
Donizeti Moreira , consultor de SAS 70 / PCI e especialista em RFID/NFC e NF@. Atuante há 19 anos na áreas de TI como auditor / consultor dos vários foruns de Certificação Digital, da indústria de meios de pagamentos para as transações eletrônicas e dos serviços da Nota fiscal Eletrônica ;passando pelas empresas Edisa-HP, Carrefour Brasil, Credicard, Orbitall e Cetelem BNP Paribas.

Tópicos dos Assuntos abordados:
Controle e mediação de demanda para os conflitos e interesses do Cloud Computing;
Situações das crises de SLA´s ou hora de mudanças de fornecedor de Seriços de TI ?;
Uso racional da tecnologia ou politica de Green TI ?;
A transparência é a apresentação imediata do erro de TI ou as coerções aplicadas ?;
Balancear a redução de custo de TI versus garantia e qualidade dos serviços;

Conteúdo:
Esta palestra técnica apresenta o SAS 70 inserido para a construção do Cloud Computing usados nos processo dos provedores de Serviços de TI. Apresenta uma visão funcional dos pontos chaves de implementação do SAS 70 aferindo o distanciamento dos assuntos de TI versus as metas das aplicações de negócios, mas buscando uma integridade e transparência aos contratos e serviços realizados pelos seus operadores, técnicos e clientes.
A securitização do processos de Cloud Computing deve passar por fases na busca das melhores práticas de TI e são acompanhadas pelas metas de negócios como prioridade.
A mediação da negociação pode ser substituida pela implementação das políticas de uso do SAS 70 objetivando agendas positivas entre fornecedores e clientes,gerando beneficios e ganhos relativos entre as associações de serviços que se formarem.
A construção das metas estão dentro das normas / políticas previamente inseridas evitando riscos causados pela dependências de TI, buscando uma transparência maior dos serviços prestados.

Data : 22 de setembro de 2009
Tema : ERM - Enterprise Risk Management - duração : 50 minutos
Horário: 14h00 às 15h00 - sala : 3
P 10 - Título: Medindo a eficácia e a produtividade do Posto de Trabalho em Tempo Real
Douglas Viudez - Diretor de Produção e Serviços - Prodesp-Cia. de Processamento de Dados doEst. De São Paulo

Data : 22 de setembro de 2009
Tema : Compliance, Auditoriade TI e Forensics - duração : 50 minutos
Horário: 15h00 às 16h00 - sala : 1
P 08 Título: Asseguração de controles de prestadores de serviços
Renata Evangelista Romariz Recco - Gerente Senior - PricewaterhouseCoopers

Currículo:
Renata Romariz, Gerente Senior da PricewaterhouseCoopers com 8 anos de experiência na prestação de serviços de auditoria de sistemas e consultoria em diversos segmentos da indústria, incluindo diagnóstico de ambientes de TI, compliance com a Lei Sarbanes & Oxley e AICPA SAS 70.
. Graduação: Análise de Sistemas.
. MBA na FGV
. Mestrado:Área de Engenharia de Software
. Certificados: CISA, CGEIT, COBIT

Tópicos dos Assuntos abordados:
• Relatórios para asseguração de controles de prestadores de serviços;
• Responsabilidade quanto aos controles terceirizados;
• SAS 70 - Statement on Auditing Standards (SAS) No. 70, Service Organizations;
• Benefícios de uma asseguração feita por terceiro independente;

Conteúdo:
Com a necessidade das organizações focarem no negócio, a opção por terceirizar processos para prestadores de serviço passa a ser cada vez mais utilizada e com isso, os controles relativos a operações críticas do negócio podem ter sido também terceirizados. A terceirização pode gerar benefícios significativos, mas pode também mudar as características dos riscos da empresa.
Aliado a esse fato, as organizações estão sendo cada vez mais requeridas por reguladores e outras partes interessadas a fornecerem informações sobre o seu ambiente de controles. A terceirização não reduz a responsabilidade da administração por manter controles internos efetivos sobre os processos terceirizados.
Um relatório de asseguração de Terceiros é, normalmente, o melhor meio que o prestador de serviços dispõe para demonstrar a eficácia de seus controles internos. Uma auditoria para emissão de um relatório de asseguração pode ser realizada em conformidade com as normas fixadas pelos diferentes órgãos de contabilidade mundiais. Muitos prestadores de serviços estão utilizando o Statement of Auditing Standard nº 70 (SAS 70) do American Institute of Certified Public Accountants - AICPA para descrever seu ambiente de controles
internos.

Benefícios:
. Diferenciação dos concorrentes
. Maior transparência e confiabilidade
. Menor tempo para atendimento a auditorias
. Atendimento a contratos
. Aprimoramento da qualidade.

Data : 22 de setembro de 2009
Tema: ERM- Enterprise Risk Management Segurança da Informação
Horário: 15h00 às 16h00 - sala : 2
P 04 - Identidades em Tecnologia e Sincronismo de Senhas
Roberto Brentano Tavares - Diretor Técnico - PBTI Soluções

Currículo:
Roberto Brentano Tavares, diretor Técnico da PBTI Soluções, Engenheiro elétrico, atuando na área a 25 anos, atuando em mainframes e plataformas distribuídas, tendo implementado tecnologias de ponta em várias empresas, sendo especialista em implantações de data centers, soluções de gerenciamento de infra-estrutura e integração de sistemas.

Conteúdo:
O gerenciamento de identidades é a base da concessão de acessos ao recursos de tecnologia de uma corporação. Assim sendo, a necessidade de definição de quem utiliza que ferramentas ou ambientes de tecnologia, que tipo de senhas utilizar, o que será feito dos procedimentos de ativação de usuários, serão tópicos cada vez mais explorados por quem trata de segurança da informação. A palestra pretende dar uma visão da necessidade de abordagem e tratamento destas características do perfil dos usuários dentro das corporações.

Tópicos:
• Gerenciamento de Identidades - definições
• Gerenciamento de Identidades - o risco de não ter
• Evolução natural do conceito de senhas
• Identidades e Compliance - porque valoriza uma corporação

Data : 22 de setembro de 2009
Tema : ERM (Enterprise Risk Management) - duração : 50 minutos
Horário: 15h00 às 16h00 - sala : 3
P 11 Título: Como funcionam as ameaças da Internet e o CyberCrime
Mariano Sumrell Miranda - Diretor de Marketing - Winco Tecnologia e Sistemas

Currículo:
Mariano Sumrell Miranda
Diretor de Marketing da Winco.
Msc em Engenheraria de Sistemas de Computação pela Copp/UFRJ (1995) e Engenheiro Eletrônico pela EE/UFRJ (1983).
Sócio da Winco desde 2000, é atualmente responsável pelo marketing da empresa, tendo participado no desenvolvimento de softwares e em consultoria em redes e segurança.

Tópicos dos Assuntos abordados:
• O que são e como funcionam Vírus, Worms e Cavalos de Tróia;
• que é Drive-by Download;
• O que são e como funcionam as botnets;
• Engenharia Social e Phising;
• Web 2.0, Cloud Computing e Dispositivos Móveis;

Conteúdo:
Nesta apresentação vamos fazer um apanhado de como funcionam as ameaças da Internet e as formas de agir do CyberCrime.
Começaremos com um histórico das ameaças da Internet.
Em seguida serão apresentados como funcionam e se propagam as ameaças tradicionais como Vírus, Worms e Cavalos de Tróia. Descreveremos também e as formas atuais de ataque como Drive-by download e botnets. Falaremos também do emprego de engenharia social e phising.
E por fim terminaremos falando sobre o impacto que a Web 2.0, o crescente uso da computação móvel e a computação nas nuves trazem para a segurança.

Data : 22 de setembro de 2009
Tema : ERM (Enterprise Risk Management) - duração : 50 minutos
Horário: 15h00 às 16h00 - sala : 4
P 14 Título: Colaborate with Confidence - Self Defending Networks 3.0 -Como as redes podem ser preparadas para se defender
Ghassan Dreibi Jr. - Gerente - Cisco Systems
Daniel Vicentini – Engenheiro - Mtel

Data : 22 de setembro de 2009
Tema : Governança - duração : 50 minutos
Horário: 14h00 às 15h00 - sala : 4
P 13 - Título: Green ITeneficiosTangívis e Estratégicos-Imagem e Reputaçao
Laercio Bruno Filho - Diretor Tecnico e Novos negócios - e_SENSE

Currículo :
Laercio Bruno
Email: labrufi@terra.com.br; e_sense@terra.com.br
Fones 55 11 9603 9486; 55 11 5052 4546
Works regularly watching Technical Area in Carbon Projects, Energy, Business and New
Models Business Development.
Also develop and structure Sustainability projects in Brazil and participates in national
and international events related to Market and Carbon projects, Corporate
Sustainability and Green Building issues.
As work routine keeps close relationship with all stakeholders: national and
multilateral private and federal banks, investment funds, corporations, projects hostcompanies,
NGOs, Taxes legal advice groups, international companies dedicated to
acquisition of CERs and with government regulatory agencies in federal, state and
municipal levels.
Recently developed for the financial segment, the strategic analysis tool
called "Portfolio of attractiveness for GHG Reduction Emissions Projects, " which
assesses in a integrated and simultaneously way the risk degree of carbon projects.
Currently serves companies operating in Solid Waste Management , Renewable
Energy, financial and Municipalities regarding Sustainable Development originating
projects, developing PDDs, trading CERs and structuring SD projects.
Started his activities in the carbon market in 2002, developing
studies on financial return on investment (ROI) for businesses of Oil and Energy
companies.
Professional Education: Business Administration and Marketing, specialization in
Management of Business Competitiveness and Competitive Intelligence.
Professional Experience:
- 1989/1996: consulting company Proudfoot Consulting & Phillip Crosby
Associates, working in Dallas and Saint Louis (USA), Brussels (Belgium),Buenos
Aires(Argentine), hired as Manager and Director of Projects.
- 1997/1999: Symmnetics - Consulting Business / Strategic Management and
Information Technology, hired as Project Manager.
- 1999/2001: Datasul and Peoplesoft - business systems providers (ERPs); hired to
develop ROI Studies(Return on Investments) for management software.
-2001/2002: Cisco Systems - telecommunications enterprise solutions provider
; hired to develop ROI Studies for management software
-2003/2006: ERM - Consulting Environmental Engineering;hired to develop, ROI
studies for carbon credits, specific studies related to corporate sustainability and the
Carbon market and to structuring the Energy and Climate Change Service Area.
- 2007/2008: Haztec - Consulting and management environmental services;
hired as manager to structure and develop the Corporate Sustainability and Climate
Change company areas.
- 2008/2009-january: Partner-manager of Flying Rivers (www.flyingrivers.com.br) an
environmental consulting service company.

Tópicos dos Assuntos abordados:
• O que é Sutentablidade Corporativa e Desenvovimento Sustentavel;
• Beneficos gerados com adoção os Conceitos de Sustntabilidade;
• Beneficios Tangíveis: Reducão do Custo Operacional;
• Benficios strategicos: Imagem e Reputação;
• O Valor cnstruído ao Produto e uma empresa;
• O Valor gerado aos Stakeholders;
• Como o Mundo reconhece e agradece.

Conteúdo:
Aresentação e detalhamento doe Metodologia para identifcaçao dos beneficios gerados pr conta da adoção de iniciativas de sustetabilidade na àrea de TI.

Data : 22 de setembro de 2009
Tema : Governança - duração : 50 minutos
Horário: 16h45às 17h45 - sala : 3
P 41 - Título: Declarações e Identidades na Computação na Nuvem
Markus Christen - Arquiteto de TI -Microsoft Informática

Currículo:
Markus Christen formado em ciência de computação na Universidade de Zuerich (UZH) e pós-graduado em organização de processos (SGO), trabalha na Microsoft Brasil como arquiteto de TI, com foco na comunidade de arquitetos e clientes corporativos. Com mais de 18 anos de experiência em TI em varias aéreas, atua na Microsoft há mais que 10 anos, tendo participando de projetos importantes no Brasil e no exterior. Blog: http://blogs.technet.com/markuschristen, Twitter: http://www.twitter.com/MarkusChristen

Conteúdo:
Essa sessão apresenta os principais aspectos de autenticação e autorização na nuvem e uma visão destes recursos na plataforma Microsoft. Vamos ver como o modelo CBA - Claim-Based Authentication e outros padrões de mercado suportam aspectos de segurança e integração entre soluções locais no Enterprise e as aplicações na nuvem.

Data : 23 de setembro de 2009
Tema : Compliance, Auditoria de TI e Forensics - duração : 50 minutos
Horário: 13h45 às 14h45 - sala : 1
P 17 - Título: Gestão da Segurança da Informação: Fator crítico para a Computação Forense!
Edison Luiz Goncalves Fontes - Consultor - Nucleo Consultoria

Currículo :
Edison Fontes, CISM, CISA é profissional de segurança da informação desde 1989. Tem exercido a função de Gestor, Consultor, Professor e Orientador de alunos. É autor de livros de segurança da informação, colunista do site ITWEB e professor de MBA/FIAP. Participa da ABSEG, ISACA/Capítulo São Paulo e atualmente é Consultor Associado da Núcleo Consultoria.

Tópicos dos Assuntos abordados:
• Elementos para a computação forense;
• Processo de segurança da informação;
• Elementos da segurança para possibilitar evidencias e provas;
• Continuidade da gestão de segurança da informação;
• Conclusão: segurança e forense para protenção da organização.

Conteúdo:
O processo de segurança da informação baseado na Norma NBR ISO/IEC 27002:2005 implementa na organização uma série de controles para garantir uma efetiva proteção da informação.
Esses controles são básicos para que ações de computação forense possam ser realizadas na organização, tanto com objetivo interno como com objetivo externo (judicial).
Organizações que não possuem um processo de segurança da informação efetivo terão dificuldade em gerar evidência forense acarretando a impossibilidade de identificar a causa de determinadas situações, bem como a impossibilidade de atender a demandas do judiciário colocando em risco a credibilidade da organização.

Data : 23 de setembro de 2009
Tema : Compliance, Auditoria de TI e Forensics - duração : 50 minutos
Horário: 14h45 às 15h45 - sala : 1
P 18 - Título: Pedofilia Digital é crime!! O que guardam os discos da sua rede ?Como a Forense Digital pode ajudar nessa tarefa ?
Celso Hummel - Gerente - TechBiz Forense Digital

Currículo :
Celso Gonzalez Hummel – Gerente Regional da TechBiz Forense Digital, SE Sonicwall South America, SE PROLAN S/A , com mais de 20 de anos de experiência em tecnologias de segurança de TI e gestão de sistemas. Membro da SUCESU-SP e membro homenageado da ABAC

Tópicos dos Assuntos abordados:
• As novas Leis de crimes digitais;
• A nova lei de Pedofilia;
• A sua rede está isenta ?
• Como CIO deve agir ?
• Fazendo uma varedura eficaz eu vou não ser processado?

Conteúdo:
Com as novas Leis aprovadas no Brasil, como a nova Lei de Pedofilia , os CIOS , Diretores e Auditores podem ser responsabilizados por armazenamento e facilitação de acesso a material de pedofilia. É importante o executivo de empresas e provedores de acesso e conteudo saberem como se preparar tecnologicamente para agir.

Data : 23 de setembro de 2009
Tema : ERM (Enterprise Risk Management) - duração : 50 minutos
Horário: 13h45 às 14h45 - sala : 2
P 21 - Título: O Valor dos Controles Técnicos no GRC
Eduardo Vianna de Camargo Neves - Gerente de Operações - ISSA Brasil Sul

Currículo :
Eduardo V. C. Neves, Gerente de Operações, Conviso IT Security
Entre 2001 e 2008 foi CSO de uma empresa Fortune 500, responsável pela gestão da área no Brasil e advisory para Risk Management e Business Continuity nas afiliadas da América Latina. É Officer da ISSA e membro do OWASP Global Education Committee. É fundador e sócio da Conviso IT Security.

Tópicos dos Assuntos abordados:
• Aumento de Incidentes;
• Evolução das Perdas Financeiras decorrentes;
• O Papel dos Controles Técnicos;
• A Necessidade de Valorização dos Técnicos;
• O Relacionamento entre IT Security e ERM;
• Sugestões de Melhoria.

Conteúdo:
O Gartner Group afirma que 75% das vulnerabilidades efetivamente exploradas por crackers estão na Camada de Aplicações.
O OWASP Top 10 mantêm em 2007 quase que as mesmas vulnerabilidades apresentadas em 2004, e problemas conhecidos como XSS e SQL Injection continuam presentes em uma quantidade crescente de web sites.
Os Top 10 Findings das auditorias de TI continuam sendo no gerenciamento de user ids e controle de acesso a sistemas considerados críticos.
Nenhum destes problemas está relacionado aos termos comuns no mercado, nenhuma política de segurança pode evitar que um usuário faça um by pass e crie um acesso a seu bel prazer. Para isso, é necessário enforcement através de testes contínuos e o estabelecimento de controles que se voltam para as responsabilidades da equipe técnica de onde boa parte dos profissionais que mantêm o risk management como discurso principal saíram.
O objetivo desta apresentação é discutir este assunto e mostrar que sem a devida atenção por parte dos gestores na administração dos controles técnicos de segurança, todos os processos que podem compor uma estratégia bem sucedida de GRC, simplesmente caem por terra e podem transformar uma administração de risco adequada em uma falsa sensação de segurança, como a experimentada pela Heartland Payment Systems no começo deste ano

Data : 23 de setembro de 2009
Tema : ERM (Enterprise Risk Management) - duração : 50 minutos
Horário: 14h45 às 15h45 - sala : 2
P 22 - Título: Ameaça Fantasma
Gabriel Menegatti - Diretor de Tecnologia - F-Secure

Currículo :
Com experiência de mais de 11 anos em tecnologia, Gabriel Menegatti, especialista em segurança da informação, está à frente da fabricante finlandesa de soluções de segurança F-Secure desde 2005 quando a corporação iniciou os trabalhos no Brasil.

Tópicos dos Assuntos abordados:
• Evolução das Ameaças - Nível de sofisticação;
• Roubo de dados;
• Crimes Eletrônicos e suas ompetências.

Conteúdo:
As ameaças estão cada vez mais sofisticadas para não despertarem a atenção das vítimas. Com novas técnicas para aplicar golpes na internet, os hackers podem ter acesso às informações do computador sem que o usuário desconfie ou saiba da existência destas em seu equipamento. Assim, ao invés dos tradicionais e-mails enviados com pedidos de senha, links para sites ou com arquivos tipo executáveis, os piratas da rede criam cavalos-de-tróia como ferramenta de espionagem. Um dos exemplos que podemos citar são de alguns e-mails supostamente enviados por instituições bancárias para conquistar mais credibilidade. Estes e-mails trazem mensagens oferecendo aos clientes uma ferramenta de segurança para acessarem suas contas pela internet sem risco. Para cair no golpe, basta que a vítima faça o downloading do suposto certificado digital e o instale no computador. Com a ferramenta de espionagem instalada, o criminoso poderá obter todas as informações do computador que desejar.
Este problema é ainda mais grave, porque a grande maioria dos usuários sente-se segura em acessar a internet, após baixar gratuitamente programas antivírus, que justamente por serem gratuitos, oferecem proteção à apenas alguns poucos tipos de ameaças. Esta falsa sensação de proteção faz com que o usuário fique muito vulnerável aos ataques da grande maioria de códigos maliciosos.

Data : 23 de setembro de 2009
Tema : ERM (Enterprise Risk Management) - duração : 50 minutos
Horário: 14h00 às 15h00 - sala : 3
P 24 - Título: Diagnóstico e avaliação de maturidade da segurança da informação
Denny Roger Santos - Consultor - EPSEC

Currículo :
Denny Roger é responsável por mais de 100 projetos de segurança da informação e pesquisador ativo no campo, com publicações em diversos países. É palestrante internacional e atua como consultor sênior em segurança da informação. Tem centenas de entrevistas publicadas. É colunista do IDG Now!. Atuou como CSO e é membro Comitê Brasileiro sobre as normas de gestão de segurança da informação ISO 27000

Tópicos dos Assuntos abordados:
• Segurança na prática (demonstração prática das principais ameaças);
• O que é governança para a segurança da informação;
• O objetivo de mensurar a maturidade dos controles de segurança;
• Calculando o nível de maturidade de segurança da informação;
• Como implementar a governança utilizando o resultado do nível de maturidade de segurança;
• Análises de melhores práticas que podem ser aplicados aos processos de segurança da informação;

Conteúdo:
Visando dar aos participantes do CNASI uma abordagem prática da importância da Segurança da Informação, fazendo-os ter a capacidade de identificar as principais ameaças que apareçem dentro da empresa, a palestra demonstra na prática como uma soma de "melhores práticas" para diagnóstico e avaliação de maturidade da segurança da informação em uma organização é realizada.

Data : 23 de setembro de 2009
Tema : ERM (Enterprise Risk Management) - duração : 50 minutos
Horário: 14h45 às 15h45 - sala : 3
P 25 - Título: Segurança e Desenvolvimento em Cloud Computing
Nelson Novaes Neto - Gerente de Segurança do UOL
Eduardo Maldonado Rosa - Diretor de Pesquisa e Desenvolvimento em Projetos de Sistema de Infra-Estrutura do UOL - (ISC)²

Currículos :
Nelson Novaes Neto , Gerente de Segurança do UOL. Engenheiro, pós-graduado em Gestão da Segurança da Informação pela USP, MBA pela FGV e mestrando em Psicologia Experimental pela PUC/SP. Possui mais de 11 anos de experiência em TI e gestão da segurança da informação, incluindo o desenvolvimento e implementação de arquiteturas e soluções de alta complexidade em segurança e fraude para Internet. Possui as certificações internacionais CISSP, CISM, CBCP, Security+ e ITIL. É membro dos grupos de trabalho em segurança e proteção da criança na Internet no Comitê Gestor da Internet.

Eduardo Maldonado Rosa, Diretor de Pesquisa e Desenvolvimento em Projetos de Sistema de Infra-Estrutura do UOL. Tem mais de 12 anos de experiência em projetos de alta escalabilidade e disponibilidade na área de Tecnologia da Informação, tendo passado por empresas como Alstom, CPqD e Globo.com. É Engenheiro de Computação, formado pela Unicamp, MBA em Gestão Estratégica de Negócios, e formação executiva em Liderança de Produtos Inovadores pela Harvard Business School.

Data : 23 de setembro de 2009
Tema : Governança - duração : 50 minutos
Horário: 13h45 às 14h45 - sala : 4
P 27 - Título: Gestão de Continuidade de negócios em tempos de Cloud Computing e Virtualização
Edson Kowask Bezerra - Gerente de Segurança da Informação - Fundação CPqD Centro de Pesquisa e Desenvolvimento

Currículo :
Edson kowask Bezerra - Profissional com mais de 15 anos de experiência, apresentou palestras de gestão de risco em outros eventos do CNASI. É gerente de segurança da informação do CPqD.

Tópicos dos Assuntos abordados:
• Novos tempos;
• Continuidade e Contingência;
• A norma NBR 15999;
• Resiliência;

Conteúdo:
A palestra pretende apresentar as novas necessidades de continuidade.

Data : 23 de setembro de 2009
Tema : Governança - duração : 50 minutos
Horário: 13h45 às 14h45 - sala : 4
P 28 - Título: Estruturando o Processo de Gerenciamento de Riscos (tradução simultânea)
Phil Fretwell - Managing Director - Southeast USA and Latin America(Protiviti)
Ricardo Lemos – Associate Director

Data : 23 de setembro de 2009
Tema : ERM (Enterprise Risk Management) - duração : 50 minutos
Horário: 16h45 às 17h45 - sala : 1
P 38 - Título: Segurança da Informação via Cloud Computing - Um novo modelo necessário de auditoria
Juan Santana - CEO - Panda Security

Currículo:
Juan Santana has a strong track record in the business and finance world. Before joining formelly as CFO, and currently as CEO of Panda Security, he was Executive Manager of Telecommunications and IT Equipment at Lehman brothers, based in London from 99-03, and in Madrid, from 03-06. Prior to that, he held an executive post in the Robertson Stephens and was a executive at Vasconia bank, Spain

Tópicos:
• A evolução do conceito das ferramentas antimalware através do uso do Cloud Computing;
• Auditoria nos processos de segurança da informação;
• Rogueware, um novo perigo: O crescimento das falsificações nos softwares antimalware.

Conteúdo:
Juan Santana, CEO da Panda Security International vem ao Brasil pela primeira vez para reforçar a importância do Brasil para a Panda Security, sendo o pais que mais cresce no mundo em numero de novos clientes. A evolução da industria criminosa dos malwares no mundo atingiu patamares nunca vistos. As previsões de que a industria de softwares de segurança falsificados fature mais de 800 Milhões de Reais em um ano, infectando mais de 500 mil usuários por mês são apenas um dos indicadores de que um novo modelo de inteligência coletiva baseado em Cloud Computing seja adotado. Durante esta apresentação de principal executivo da Panda Security apresentara as projeções do crescimento destas ameaças e a evolução das tecnologias de combate baseadas na nuvem.

Data : 24 de setembro de 2009
Tema : ERM (Enterprise Risk Management) - duração : 50 minutos
Horário: 13h45 às 14h45 - sala : 1
P 31 - Título: A importância da Segurança da Informação no âmbito da cidade digital e suas aplicações na Prefeitura Municipal de São Paulo
Conrado Frassini - Assessor de Diretoria - Prodam - Empresa de Tecnologia da Informação e Comunicação do Município de São Paulo

Conteúdo:
A segurança da informação vem se tornando um processo cada vez mais importante dentro das organizações em razão do aumento das ameaças e vulnerabilidades existentes. Com a diversidade dos sistemas, o aumento do número de usuários e das aplicações, ameaças como fraudes eletrônicas, espionagem, sabotagem e vandalismo estão se tornando cada vez mais comuns, ambiciosos, sofisticados e difíceis de serem detectados e neutralizados.
Serão abordados conceitos e técnicas para inserir o modelo de governança corporativa e gestão de riscos com ênfase na segurança de informação, para prover um ambiente seguro, garantindo a confidencialidade, integridade e disponibilidade dos sistemas de missão crítica da PMSP.

Data : 24 de setembro de 2009
Tema : ERM (Enterprise Risk Management) - duração : 50 minutos
Horário: 13h45 às 14h45 - sala : 2
P 33 - Título: Análise Comportamental - Correlacionando eventos para detecção de intrusos
Rodrigo Ribeiro Montoro - Analista de Segurança - Seguranca Dinamica Tecnologia Ltda-ME

Currículo :
Rodrigo Montoro trabalha na área há 10 anos já tendo atuado com Pentesting, Firewalls, IDS/IPS , atendendo e trabalhado com grandes empresas do mercado. Possui certificações LPI ,RHCE , SnortCP e MCSO. Atualmente é coordenador da comunidade snort-br, Diretor de Comites do ISSA Brasil e membro do OWASP. Trabalha como Consultor, Instrutor e Pesquisador de Segurança na Dynsec .

Tópicos dos Assuntos abordados:
• Monitoramento ativo/passivo;
• Análise comportamental;
• Correlacionamento;
• Sistema Detecção de Intrusos.

Conteúdo:
O intuito dessa palestra é demonstrar a importância dos logs e informações geradas por todos os dispositivos de rede e ferramentas de defesa. Nela criaremos cenários de intrusão, vazamento de informações , fraudes e demonstraremos como as ferramentas podem se integrar para mitigar esses problemas.
Serão abordados os seguintes temas:
- Onde conseguir informações ?
- Estações de trabalho
- Servidores
- Dispositivos de rede
- Firewall
- IDS/IPS
- Web Application Firewall
- Monitoramento
- Ativo
- Passivo
- O que é correlacionamento ?
- Tipos de correlacionamento
- Análise comportamental
- Ações a partir de informações correlacionadas
- Eventos x Incidentes

Data : 24 de setembro de 2009
Tema : ERM – Segurança da Informação
Horário: 14h45 às 15h45 - sala : 1
P 32 - Título: O Portal Terra.com e os desafios de Segurança de TI na Transmissão dos Jogos Olímpicos de Pequim – 2008
Leandro Bancalero Mendonça - Gerente de Tecnologia Latam - Terra Networks Brasil S.A.

Currículo :
Leandro Bancalero Mendonça
Experiência
1999 a atual Terra Networks Brasil S.A. São Paulo, SP
Gerente de Tecnologia Latam – 2007 a atual
• Responsável pelos padrões de TI na região Latino-americana.
• Gestor do Service Desk Corporativo, aderente ao ITIL, com aproximadamente 1500 usuários na região.
• Gestor dos serviços de administração de servidores corporativos.
Coordenador de TI – 2002 a 2007
• Responsável pelo serviço de HelpDesk Corporativo, com aproximadamente 600 usuários no Brasil.
• Consolidação da Rede Corporativa, com integração de VLANs, segurança, serviços de diretório e serviços de colaboração.
Analista de Projetos – 1999 a 2002
• Implantação de projetos corporativos na área de TI.
1994 a 2002 Nutec Informática S.A. São Paulo, SP
Analista de Suporte e Projetos
• Implantação de projetos de workflow, correio eletrônico e integração com Internet.
• Integração de sistemas de colaboração nas plataformas Unix e Windows.
• Integração de redes TCP/IP.
• Demonstração e suporte de produtos.
Educação
2004 a 2007 Universidade Anhembi Morumbi São Paulo, SP
• Gestão de Redes de Computadores.
1991 a 1994 Universidade Paulista - UNIP São Paulo, SP
• Análise de Sistemas.

Conteudo:
Escolhido para ter exclusividade para transmissão simultânea -via internet- de até 13 modalidades diferentes esportivas, durante os Jogos Olímpicos de Pequim 2008, Leandro Mendonça - Gerente de Tecnologia da Informação,do Portal Terra.com - ira apresentar quais foram os grandes desafios enfrentados pelos profissionais de Segurança de TI do Terra.com , visando no alinhamento de TI com a Estratégia de Negócio, para que uma grande oportunidade de negócio fosse revestida de pleno sucesso com uma ausência de mais de 40 milhões de acessos durante os 15 dias dos Jogos

Data : 24 de setembro de 2009
Tema : ERM (Enterprise Risk Management) - duração : 50 minutos
Horário: 14h45 às 15h45 - sala : 2
P 34 - Título: Retorno do investimento aplicado aos custos de gestão de usuários e autorizações de acesso
Vaner Vendramini - Diretor - AutoSEG

Currículo :
Vaner Vendramini , Diretor - AutoSEG - www.autoseg.com
Engenheiro de Computação formado pela Unicamp especialista de Segurança da Informação e Auditoria da TI

Tópicos dos Assuntos abordados:
• Estruturas eficientes para a gestão de identidade e autorizações (IdM focado em direitos de acesso);
• Velocidade de implementacão e automação;
• Indicação de redução de custo operacional dos processos de IdM;
• Abrangência, comprometimento e priorização de áreas críticas;
• Técnicas de monitoramento de aplicações críticas para controles de mitigação.

Conteúdo:
Essa palestra irá tratar os principais pontos de atenção em projetos de gestão de identidade e direitos de acesso a sistemas corporativos (IdM - Identity Management) e indicará opções eficientes para redução de custos e contabilização do retorno do investimento.
Serão discutidos os processos de definição de escopo, de compromentimento da estrutura organizacional da empresa e de definição das opções de automação para se gerenciar um projeto de IdM priorizando a aplicação do retorno do investimento nos custos de implementação.
Dentre as técnicas e procedimentos discutidos, estarão:
• gerenciamento do ciclo de vida de usuários e autorizações de acesso;
• controle de senhas e Single-Sign On (SSO);
• provisionamento de relatórios para auditoria;
• monitoramento de logs de aplicação e bancos de dados;

Data : 24 de setembro de 2009
Tema : Governança - duração : 50 minutos
Horário: 13h45 às 14h45 - sala : 3
P 35 - Título: Recomendações sobre o uso da virtualização alinhada ao Cobit 4.1
Remerson Lucio do Nascimento - Consultor em Governança de TI - World Pass IT Solutions

Currículo :
Remerson Lucio do Nascimento, atua em TI desde 1988. Atualmente é Consultor em Governança de TI pela World Pass IT Solutions. Já trabalhou para o Banco Bradesco, Stefanini e FIPE. Possui MBA em Gestão de TI além de graduações em Administração de Empresas e Geograifa. Possui as Certificações Cobit e Itil Fondation.

Tópicos dos Assuntos abordados:
• FRAMEWORK COBIT 4.1;
• VIRTUALIZAÇÃO.

Conteúdo:
Essa é uma apresentação baseada em minha pesquisa para minha monografia de MBA, apresentada em 2009.
O objetivo principal deste trabalho é mostrar a importância do uso da virtualização de recursos de TI, utilizando os processos do Cobit 4.1 como modelo de governança de TI.
Virtualização e Cobit, atualmente estão em destaque na TI, levando empresas a adotá-los sem uma análise aprofundada dos seus benefícios e riscos. Existem informações, principalmente propagandas, divulgando que ambas são capazes de reduzir custos, alinhar TI ao negócio e promover governança de TI. Embora as informações sejam verdadeiras, a adoção desses recursos deve ser precedida por um planejamento que estruture a linha de trabalho para o sucesso do projeto.

Data : 24 de setembro de 2009
Tema : Governança - duração : 50 minutos
Horário: 13h45 às 14h45 - sala : 3
P 36 - Título: Gestão de Perfis e Privilégios – Porque é Essencial
Sergio Gouveia Teixiera – Sócio-Diretor – Order Soluções em TI

Currículo :
25 anos de experiência no mercado. É Sócio-Diretor da Order Soluções em TI, atuando no segmento de Gestão de Identidades, Perfis e Privilégios em clientes como Itaú, Embraer, Redecard, Banco Nossa Caixa, Banco Ibi, Santander, Caixa Econômica Federal, entre outros. Representa importantes fabricantes no Brasil no segmento de Segurança da Informação.
Tópicos dos Assuntos abordados:
• Privilégios de acesso e desafios de negócios
• Motivadores para a Gestão de Perfis e Privilégios
• Discussão de modelos de projetos de Gestão de Perfis e Privilégios
• Experiências com a Modelagem de Perfis e Auditoria de Privilégios
• Tendências na área de Gestão de Perfis e Privilégios

Conteúdo:
O dinamismo de negócios vem gerando uma demanda por serviços e sistemas sem precedentes. A movimentação natural de funcionários e prestadores de serviço, acrescido aos processos de parcerias, fusões e aquisições tem favorecido um crescimento vertiginoso - muitas vezes, de forma descontrolada - dos acessos que as pessoas necessitam para suas necessidades de negócios.
A correlação destes privilégios de acesso às atividades de negócios dos diversos grupos tem se tornado uma tarefa cada vez mais vital e, ao mesmo tempo, cada vez complexa.
O mercado busca encontrar modelos de gestão que possam encontrar estes dois mundos, trazendo benefícios como produtividade, redução de custos, melhoria dos serviços e atendam às exigências do mercado por controles internos e auditorias e atendimento às políticas regulatórias.
Compartilharemos nossa visão e experiência neste tema, sugerindo, de forma prática, caminhos para estas questões.

Data : 24 de setembro de 2009
Tema : ERM – Riscos e Vulnerabilidades
Horário: 13h45 às 14h45 - sala : 4
P 40 - Proteja seus Bancos de Dados antes que os Hackers Ataquem
Slavik Markovich - Gerente de Canais e pré-vendas - Sentrigo Inc./ Arpoint Com. e Serv. em Informática

Currículos:
Slavik Markovich, Diretor Sentrigo e co-fundador
Formação acadêmica: bacharelato em Ciências da Computação pela Technion (Israel Institute of Technology)
Experiencia: mais de 12 anos de experiência em infra-estrutura, segurança e desenvolvimento de software para Sentrigo
Slavik é uma entidade de renome no Mercado de Tecnologia - Segurança da Informação em Oracle e Java/JavaEE

Resumo:
Muitas organizações utilizam bases de dados que armazenam grandes volumes de dados sensíveis.
Devemos proteger o banco de dados não é mais a questão, só que as ferramentas e tecnologias que devem usar permanece obscuro.
Nesta apresentação, vamos explorar várias ameaças à segurança destinada a nossas bases de dados (com demonstrações ao vivo) e mostrar alguns exemplos de violações ressentir.
Vamos examinar as diferentes tecnologias de proteção a Banco de dados e sua Evolução do Mercado de TI - Segurança da Informação.

Tópicos:
Nesta apresentação, você vai aprender:
1. Quais são principais agentes de ataques que ameaçam seu Banco de Dados (2003-2009)
2. Diferentes Tecnologias e Ferramentas de Proteção a Banco de Dados
3. Principais Tendências em Segurança de Informação (BDs) e Evolução do Mercado

Data : 24 de setembro de 2009
Tema : ERM – Riscos e Vulnerabilidades
Horário: 14h45 às 15h45 - sala : 4
P 39 - Quão Seguras estão suas aplicações?
Carlos Caetano - Security Consultant - Trustwave Brasil e Wendel Henrique - Security Consultant - SpiderLabs

Currículos:
Carlos Caetano, Consultor de Segurança Sênior na Trustwave do Brasil e possui mais de 9 anos de experiência em TI, sendo mais de 6 anos dedicados exclusivamente a Segurança da Informação. É Pós-Graduando em Gestão de Negócios e Projetos pela FIA, Mestre em Segurança de Redes e Sistemas de Informação pelo INPE, Bacharel em Ciência da Computação pela UFOP e foi professor de cursos de pós-graduação em Segurança da Informação no IBTA e Faculdade Impacta de Tecnologia.

Wendel Henrique, consultor de teste de intrusão no SpiderLabs da Trustwave, o grupo de segurança avançada dentro da Truswave focados em forense, ethical hacking e testes de segurança de aplicação para empresas importantes. Ele tem trabalhado em TI desde 1997, e dedicado à segurança da informação nos últimos 7 anos, e como pen-tester nos últimos 3 anos. Wendel realizou revisão de código fonte focado em segurança, treinamentos de desenvolvimento seguro, análises forenses e incontáveis testes de intrusão em aplicações, banco de dados, redes e aplicações web para diversas organizações no Governo, Bancos e a Indústria de cartões.
Ele encontrou vulnerabilidades em diversas aplicações como Webmails, Wireless Access Points, Citrix Metaframe, Web Application Firewalls, etc. Algumas das ferramentas desenvolvidas por ele foram mencionadas em artigos de revistas nacionais como PCWorld Brazil e Intercionais como Hakin9 Magazine.
Wendel palestrou em conferências de segurança da informação de prestígio internacional, recentemente se apresentou no YSTS 3.0, OWASP AppSecEU 2009, Troopers09, YSTS 2.0, Defcon 16 e H2HC, entre outras.
Em 2002 ele desenvolveu uma ferramenta para detectar e remover o famoso vírus BugBear, antes de muitas empresas de antivírus mundialmente famosas. Ele está constantemente provendo conteúdo e auxiliando em publicações famosas como Hakin9 e ferramentas como N-Stalker – Web Application Security Scanner.

Conteúdo:
A apresentação será voltada ao publico com conhecimento técnico e que busca informações importantes sobre as vulnerabilidades nas aplicações e o porquê de que mesmo investindo muito em tecnologia, as empresas ainda correm sérios riscos.

Tópicos:
• Por que o foco em aplicações?
• Testes automatizados não são suficientes
• Metodologias e serviços em análise de aplicações