Home 
Promoção
e Realização
.:: Programação Temária - CnasiDF2010 ::...
|
Palestras Técnicas P 02 - As novas ameaças da Internet Horário(s): 23/03/2009 - 11:00 às 12:00 - SALA 2 A motivação dos primeiros vírus era uma satisfação pessoal dos seus criadores, que buscavam notoriedade, provar um conceito ou uma simples manifestação de rebeldia. Hoje, as ameaças da Internet tem como objetivo a obtenção de vantagens financeiras. São produtos de uma atividade profissional,altamente lucrativa e extremamanete organizada. Na busca por lucro, os ataques tornaram-se mais elaborados e complexos, com uma constante busca de novas formas e tecnologias para explorar falhas de segurança, muitas vezes apoiados pelo uso de engenharia social. Os vetores de propagação dos malwares também estão sempre mudando no intuito de obter o maior êxito possível na propagação de softwares maliciosos e consequentemente aumentar o lucro. Nesse contexto, os fabricantes de soluções de segurança também necessitam constantemente aprimorar os mecanismos de proteção. Nesta apresentação, mostraremos a evolução dos vírus e outras ameaças da Internet e como os softwares de segurança tem de se manter atualizados para a efetiva proteção dos sistemas de informação. Encerraremos comentando outras práticas de segurança recomendadas para uma efetiva proteção do ambiente de TI. Tópicos a serem abordados:
Mariano Sumrell Miranda, Diretor de Marketing da Winco Tec. e Sistemas , Winco Sistemas Ltda Mariano Sumrell Miranda Diretor de Marketing da Winco. Msc em Engenheraria de Sistemas de Computação pela Copp/UFRJ (1995) e Engenheiro Eletrônico pela EE/UFRJ (1983). Sócio da Winco desde 2000, é atualmente responsável pelo marketing da empresa, tendo participado no desenvolvimento de softwares e em consultoria em redes e segurança. P 01 - Auditoria de Sistemas: Um enfoque em riscos nos processos de negócios Horário(s): 23/03/2009 - 11:00 às 12:00 - SALA 1 Com o avanço tecnológico e o processo de disseminação do conhecimento, os sistemas de informação assumem um papel significativo na viabilização dos negócios da organização, portanto devem ser capazes de gerar informações íntegras e confiáveis para a operacionalização dos processos, produtos e serviços da empresa e para auxiliar o processo de tomada de decisão. Além disso, os sistemas devem estar alinhados aos requisitos de negócio e de segurança com adoção de controles apropriados em consonância com a criticidade do processo de negócio. Assim, cabe à auditoria de sistemas conhecer as estratégias e os riscos dos negócios para proporcionar valor agregado ao seu papel na organização, em face ao ambiente competitivo e dinâmico que vivenciamos no mercado globalizado. Considerando a limitação dos recursos, a Auditoria de Sistemas de estabelecer parâmetros para priorização de trabalhos de auditoria com ênfase nos processos críticos da organização. Essa abordagem de atuação da Auditoria de Sistemas vai além do papel de avaliação dos controles internos para a compreensão das estratégias de negócios, proporcionando à auditoria atuar de forma proativa e auxiliando a administração no processo de tomada de decisões, de forma a minimizar os riscos, com o aprimoramento dos aspectos relacionados a controle, tecnologia e gestão. Tópicos a serem abordados:
Luiz Claudio Diogo Reis, Auditor , CAIXA ECONÔMICA FEDERAL Nome: Luiz Claudio Diogo Reis Cargo: Auditor interno da CAIXA ECONÔMICA FEDERAL com 10 anos de experiência em auditoria operacional, de sistemas e de TI. Formação: Matemática, Pós-graduação em Auditoria Interna e de Sistemas Informatizados e MBA em Gestão de TI e Negócios Virtuais. Certificação: CISA - Certified Information System Auditor e MCSO - Modulo Certified Security Officer P 05 - GRC e ERM: O que as empresas estão fazendo e como a TI pode auxiliar Horário(s): 23/03/2009 - 14:00 às 15:00 - SALA 2 A Petrobras vem pesquisando o tema GRC e ERM desde o final do ano passado para se posicionar em relação aos próximos passos a serem tomados em relação ao gerenciamento dos riscos corporativos. Como coordenador de Grupo de Trabalho multi-disciplinar, envolvendo as áreas financeira, contábil, tecnologia da informação e a gerência de riscos, tive a oportunidade de realizar um trabalho de benchmarking, além de pesquisas aprofundadas junto a diversas consultorias. A apresentação terá como objetivo conceituar GRC e ERM, dando alguns fatos e dados sobre o que as empresas estão fazendo neste sentido, baseado em pesquisas de empresas conceituadas de consultoria. A apresentação também aproveitará o conhecimento adquirido através da participação nos eventos ISACA North America CACS 2007 e 2008 e no SAP GRC 2007 e 2008, todos eventos realizados nos EUA. A TI tem um papel importante na implementação de tecnologias como dashboards executivos de riscos e controles internos. A apresentação mostrará como a TI pode auxiliar os gestores de negócio a identificar pontos de monitoramento sobre os controles internos, de modo a mitigar os riscos a que a organização está exposta. Por fim, algumas ferramentas de CCM e ERM serão apresentadas, com as vantagens e desafios para implementação. Tópicos a serem abordados:
Alfred John Bacon, Consultor Sênior , PETROBRAS Consultor Sênior em Controles Internos de TI e Segurança da Informação na PETROBRAS, onde trabalha há 13 anos Engenheiro Eletrônico pela UFRJ, com MBA em Gestão de e-Business pela FGV Certificações profissionais CISM e CISA (ISACA) e CISSP (ISC2) P 04 - Processo de Investigação Forense com ferramentas FOSS: estudo de caso Horário(s): 23/03/2009 - 14:00 às 15:00 - SALA 1 Recuperação de dados localizados em áreas não alocadas utiliza ferramentas FOSS e elucida caso descrito pelo cenário: 1 - Pedro Monki ocupava a gerência de vendas da Maribu SA, tornou-se sócio de uma concorrente e abriu caminho para a disputa de licitações em desvantagem para a empregadora. 2 - Documentos anônimos apontaram a prática delituosa. 3 - A Maribu demitiu Pedro por justa causa, recolheu seu notebook e vasculhou seus diretórios em busca de evidências que comprovassem sua utilização para atividades escusas e seu envolvimento com negócios alheios que ferissem o acordo expresso em seu contrato de trabalho. A atitude tomada invalidou evidências importantes. 4 - O ex-funcionário processou a Maribu. 5 - A Maribu contratou serviços especializados de perícia forense e obteve provas consistentes que fizeram o ex-funcionário reconsiderar e encerrar o processo. Os nomes adotados são fictícios para preservar a imagem da contratante e sigilo uma vez que não estão descartados eventuais desdobramentos do processo. A divulgação desse caso permite que as empresas avaliem seus procedimentos internos e considerem a implantação de mecanismos de auditoria capazes de registrar eventos e fornecer suporte jurídico para amparar ações de sua autoria ou contra-argumentar processos em que, como nesse caso, o infrator imputar-lhe o ônus da prova apostando na "desorganização da organização". Tópicos a serem abordados:
Antonio Luiz Rigo, Engenheiro Pesquisador , Instituto de Pesquisas Tecnológicas do Est S Paul Doutor em Engenharia de Sistemas - EPUSP. Mestre em Engenharia Eletrônica – ITA. Graduado em Engenharia Eletrônica - EESC USP. Especialização em Governança de TI – FIPT. Coordenador e docente da área de Redes de Computadores do Mestrado Profissional em Engenharia da Computação (stricto sensu) do Instituto de Pesquisas Tecnológicas do Estado de São Paulo – IPT. Pesquisador do IPT. P 06 - Como Padronizar Automatizar e controlar um processo seguro de análise Forense Horário(s): 23/03/2009 - 15:00 às 16:00 - SALA 1 Conduzir uma investigação digital exige cuidados e processos bem-definidos, desde a coleta da evidência até a emissão de relatórios. Toda a experiência da TechBiz Forense Digital em seu laboratório de análise forense – amparada pelo know-how dos parceiros das áreas jurídica e policial –, será exposta nessa palestra. Para além da cadeia de custódia, o processo investigativo exige o registro de cada ação, destrinchando, em linguagem coloquial, toda a lógica de análise que fez com que o investigador encontrasse o material que precisava. Cuidados que permitem fazer da evidência uma possível prova em processos judiciais. Os processos de investigação forense conduzidos pela TechBiz Forense Digital são automaticamente gerenciados por um único sistema, que controla as etapas e registra os métodos aplicados na apreensão e perícia dos dados. Nessa palestra, a empresa irá mostrar na prática como obter o controle no processo de investigação forense e como difundir pela internet, de maneira segura, os conhecimentos adquiridos para as equipes de resposta a incidentes, segurança, auditoria e fraude. Tópicos a serem abordados:
18 Anos de experiência em T.I. 13 Anos de experiência em Segurança da Informação 9 anos de experiência em Resposta a Incidentes / Forense Computacional Consultor Sênior em Forense Computacional - Techbiz Forense Digital Membro da HTCIA (High Technology Crime Investigation Association, desde 2006).Consultor Externo em Segurança da Informação do Banco do Brasil S.A. ex-Coordenador de Resposta a Incidentes do Grupo Brasil Telecom.HTCIA - High Technology Crime Investigation Association Member - Mid-Atlantic Chapter (2006-now)Independent Computer Security and Incident Response Consultant - Banco do Brasil S.A. (2000-now).Computer Security Incident Response Team (CSIRT) Coordinator - Brasil Telecom S.A. (2003-08)Security Operation Center (SOC) Coordinator - Brasil Telecom S.A. (2003-08)Audit/Security Monitoring: Intrusion detection systems, Risk management, Event/log review, Penetration Testing, Security report reviews.Compliance/Regulatory Requirements: Sarbanes-Oxley, Effort reporting, Compliance testing, Compliance architecture/design.Policies/Risk Management/Asset Management: Create/develop IT policies, Intellectual property, Valuing/assessing tangible assets Project Management: Requirements, Budgets (incl. capital)/Resource allocation, Vendor/Consultant RFPs, Quality management Incident Handling: Dealing with legal system, Forensics, Artifact Analysis, Reporting, Root cause analysis Security Infrastructure: Network / Security architecture, Wireless, Penetration testing, Vulnerability scanning, Firewall administration, Intrusion Detection / Prevention aministration. P 07 - Serviço de Segurança Gerenciada (MSS) Horário(s): 23/03/2009 - 15:00 às 16:00 - SALA 2 P 08 - Computação Forense 0800 (ou quase !) Horário(s): 23/03/2009 - 16:45 às 17:45 - SALA 1 Há altos custos envolvidos quando se trata de montar um laboratório de Computação Forense para um perito. Ainda assim, há uma excelente opção para reduzir esses custos: Software Livre. Esta apresentação é o resultado de uma pesquisa sobre as melhores distribuições em Live CD dedicadas à Computação Forense, e outras grandes ferramentas, todas no formato Software Livre. Tópicos a serem abordados:
Antonio Carlos Ferreira Rodrigues, Gerente de Segurança de Informações , Prudential do Brasil Seguros de Vida SA Tony Rodirgues, CISSP, CFCP é Perito em Computação Forense, trabalhando atualmente para uma Seguradora multinacional no Rio de Janeiro como Gerente das áreas de Segurança de Informações e Continuidade de Negócios. Tem 20 anos de experiência em várias áreas de TI e escreve sobre Computação Forense e Resposta à Incidentes no blog http://forcomp.blogspot.com P 09 - CONTROLES: para que? para quem? Horário(s): 23/03/2009 - 16:45 às 17:45 - SALA 2 Visão corporativa da relevancia do papel dos Controles no gerenciamento de riscos. As organizações tratam os controles como "burocracia cara" e não como instrumento de gestão e diferencial competitivo. Questões como: para que serve os controles? quem precisa/quer?, quanto vai custar? o que será preciso implementar? qual o benefício?, etc...são sempre utilizados para, de alguma forma, evitar ou retardar a sua efetivação. A Gestão de Riscos, além dos padrões e normativos exige bons procedimentos de controle para medir e monitorar a sua eficácia. A previsão do risco obedece a uma série de fatores e algorítimos e o monitoramento tambem passa pela utilização de modelos que implicam no conhecimento dos processos, responsabilização, gestão de perdas, ganhos de produtividade e qualidade e principalmente aculturamento da organização. O porte da organização é diretamente proporcional a sua exposição ao risco e consequentemente ferramentas como o controle interno possibilitam um maior foco na estratégia, resultados mais atrativos, atendimento às expectativas de clientes, funcionários e acionistas. Tópicos a serem abordados:
Joao Carlos Orzzi Lucas, DIRETOR , BRASILTELECOM JOÃO CARLOS ORZZI LUCAS DIRETOR DE AUDITORIA - BRASILTELECOM PROFESSOR - PÓS GRADUADO ADMINISTRAÇÃO ESPECIALIZAÇÕES: CONTABILIDADE, AUDITORIA E SISTEMAS DE INFORMAÇÃO. MBA - GESTÃO DE NEGÓCIOS PROFISSIONAL COM MAIS DE 20 ANOS DE ATUAÇÃO EM ORGANIZAÇÕES DO SETOR ELÉTRICO E DE TELECOMUNICAÇÕES NAS ÁREAS DE CONTROLE, GESTÃO DE RISCOS, GOVERNANÇA E SOX. P 11 - Segurança da Informação em Sistemas de Controle de Infraestruturas críticas Horário(s): 23/03/2009 - 17:45 às 18:45 - Sistemas de Controle de Infraestruturas críticas são usados para monitorar e controlar processos tais como eletricidade, saneamento, óleo, gases, etc. Estes sistemas foram historicamente projetados levando em conta estritamente requisitos funcionais tais como confiabilidade, disponibilidade e desempenho e utilizados em aplicações isoladas. Hoje estão sendo progressivamente interconectados e acessados remotamente, ao custo de torná-los vulneráveis a intrusões cibernéticas. Incidentes têm ocorrido em todas as indústrias, com conseqüências variando desde impactos triviais a danos significativos a equipamentos e até mortes, podendo ainda causar significativos prejuízos materiais e à população em geral. As políticas, testes e tecnologias de segurança usadas para proteger as interfaces de operador dos sistemas corporativos podem impactar significativamente a operação dos sistemas de tempo real. Há necessidade de desenvolver políticas, testes e tecnologias para a proteção destes sistemas. Este trabalho apresenta os princípios técnicos que diferenciam os sistemas de controle dos sistemas de TI corporativos com exemplos de impactos de segurança da informação em sistemas de controle no exterior e no Brasil, e recomendações sobre o que pode e deve ser feito hoje para tornar estes sistemas mais seguros, bem como quais os trabalhos futuros que precisam ser realizados. Tópicos a serem abordados:
Rui Figueira Mano, Diretor , KEMA Brasil Ltda Rui Mano é Engenheiro Eletrônico pela UFRJ em 1971. Diretor e Consultor Principal da KEMA Brasil e professor (licenciado) da PUC-Rio. Especialista com 37 anos de experiência em Tecnologia da Informação e Sistemas de Supervisão e Controle em projetos para o Operador Nacional do Sistema Elétrico - ONS, ITAIPU, ELETROSUL, CEMIG, CPFL, Light, CEB, Ministério de Minas e Energia, etc. P 12 - Monitoração de Uso de Aplicações: Como Parar a Fraude Interna – Antes que Ela Pare Você! Horário(s): 24/03/2009 - 11:00 às 12:00 - Tópicos a serem abordados: Razões para o Monitoração; Impacto no Desenvolvimento de Sistemas; Auditoria/Controles Legal/Compliance; Impacto na Produção / Operação; Outros Interessados; Atendendo às Múltiplas Expectativas Instrutor(es)/Palestrante(s): Astor Calasso Gerente Consultor, Consist Business Information Technology. Economista; atua em TI há mais de 35 anos, gerenciando e implantando soluções de TI e de Governança em Empresas de grande porte e como consultor em áreas corporativas estratégicas. Foi CIO e CSO da área Corporativa da Accor Brasil (Ticket Serviços), acumulando as áreas de Telecom, Consultoria Interna e Shared Services. Foi Diretor da ISACA-SP de 2004 a 2007, é membro da Comissão Organizadora do CNASI e membro fundador do InfoSec Council (SP) P 13 - Visão prática Européia do GRC Horário(s): 24/03/2009 - 12:00 às 12:50 - Tópicos a serem abordados: Onde o dinheiro é desperdiçado Como ligar as três dimensões Foco: onde mais é menosS. Instrutor(es)/Palestrante(s): Marcos Sêmola é Global IT GRC Manager da Shell International Limited Gas & Power na Holanda, CISM, BS7799 Lead Auditor, PCI Qualified Security Assessor; Vice-Presidente da ISACA RJ, Membro fundador do Institute of Information Security Professionals of London. MBA em Tecnologia Aplicada, Professor da FGV com especialização em Negociação e Estratégia pela London School, Engenheiro de Ciências da Computação, autor de livros sobre gestão da segurança da informação, governança e inteligência competitiva. É ainda fotógrafo Getty Images com trabalhos publicados no Brasil, Estados Unidos, Israel, França, Inglaterra e Holanda P 14 - Gerenciamento de Segurança da Informação em Portais de Instituições Financeiras Horário(s): 24/03/2009 - 13:45 às 14:10 - erenciamento da Segurança da Informação em portais das Instituições Financeiras DISSERTAÇÃO MESTRADO MADE/2008 Tema: GERENCIAMENTO DE SEGURANÇA DA INFORMAÇÃO EM PORTAIS DE INSTITUIÇÕES FINANCEIRAS. 1.2 PROBLEMÁTICA As instituições Financeiras podem garantir a segurança da informação nos acessos dos clientes aos portais de serviços financeiros na Internet? 1.3 OBJETIVO GERAL Esta pesquisa visa analisar os mecanismos de segurança da informação utilizados pelas instituições financeiras brasileiras no acesso aos recursos oferecidos pelos portais financeiros, verificando a aderência com a norma NBR ISO/IEC-17799. 1.3.1 OBJETIVOS ESPECÍFICOS - Confrontar os mecanismos de controle de acesso com as regras estabelecidas na norma de segurança NBR ISO/IEC-17799. - Identificar vantagens e desvantagens dos mecanismos de controle de acesso analisados. - Analisar os portais de serviços das 15 maiores instituições financeiras em atividades no Brasil. Tópicos a serem abordados: Analisar os sistemas de autenticação utilizados pelas instituições financeiras Confrontar os sistemas de autenticação com as regras estabelecidas na norma NBR ISO/IEC-17799 Identificar vantagens e desvantagens dos sistemas de autenticação analisados Tópicos a serem abordados:
Alexandre Luiz De Oliveira, Analista de Sistemas , Unimed Federacao do Estado do Rio de Janeiro Professor da UNIVERSIDADE ESTÁCIO DE SÁ/Analista de Segurança da Unimed, mestrando em Adm. e Desenv. Empresarial e TI - dissertação "Segurança da Informação em Portais de acesso à Internet de Instituições Financeiras". 14 anos de TI & professor universitário. Graduado em Informática, pós-graduado em redes de computadores, pós-graduado em e-commerce, pós-graduado em TI aplicada a negócios (FGV-RJ). P 15 - A Influência da WEB 3.0 na Governança das Corporações Horário(s): 24/03/2009 - 14:10 às 15:00 - A adoção de práticas de Governança tem sido apontada como condição essencial para o desenvolvimento das corporações. Entretanto, na atualidade, as iniciativas de Governança, além de estarem apoiadas nos princípios de transparência, equidade, responsabilidade e obediência às leis, devem considerar a trilogia pessoas, informação e tecnologia. As pessoas são a fonte geradora do conhecimento, capaz de produzir novos conhecimentos, promover o acesso às informações e comunicação; a informação é a matéria prima na geração de conhecimento que, uma vez coletada, tratada, armazenada e disponibilizada, estimula o desenvolvimento de novos conhecimentos e a tecnologia é o suporte para a informação e o conhecimento, empregada na disseminação das informações e na troca de experiências interpessoais. A Web 3.0 representa a tecnologia e prevê a criação de outro nível de busca da informação, oferecendo conhecimento customizado de acordo com a necessidade das pessoas. A concretização da Web 3.0 será resultado da junção da experiência e conhecimentos adquiridos com a tecnologia semântica. Enquanto a Governança Corporativa envolve práticas e relacionamentos com o objetivo de aumentar a eficiência da corporação, a Web 3.0 deve se consolidar apresentando como características principais: transparência; autenticidade; navegabilidade; velocidade da informação e inovação tecnológica. Tópicos a serem abordados:
José Maurício Dos Santos Pinheiro, Professor , Centro Universitário de Volta Redonda - UniFOA José Maurício dos Santos Pinheiro é professor universitário e profissional do setor de telecomunicações com mais de 15 anos de experiência na área de redes e sistemas de transmissão. Com especialização em Gerência e Segurança de Redes de Computadores é autor de livros e artigos técnicos científicos abordando temas sobre infra-estrutura, projeto e segurança de redes. P 16 - Segurança Real em Bancos de Dados Horário(s): 24/03/2009 - 15:05às 16:05 |
CPE
Patrocínio
Apoio Institucional
© Copyright - Ideti Eventos em Tecnologia da Informação - Todos os direitos reservados.