Daniel Aviz Bastos

Definition of the implementation strategy, alignment with the managers involved, definition and approval of the budget with the senior management and vice president, choice of pilot system, DAST/SAST selection based on scope systems (pilot + rollout), implementation and training of processes and tools. As a result, there was a perception of improved system stability and a reduction in the number of calls related to system bugs, in addition to increased system security.

Definição da… Mostrar más

Definition of the implementation strategy, alignment with the managers involved, definition and approval of the budget with the senior management and vice president, choice of pilot system, DAST/SAST selection based on scope systems (pilot + rollout), implementation and training of processes and tools. As a result, there was a perception of improved system stability and a reduction in the number of calls related to system bugs, in addition to increased system security.

Definição da estratégia de implantação, alinhamento com os gestores envolvidos, definição e aprovação do orçamento junto a direção e vice-presidência, escolha de sistema piloto, seleção de ferramenta DAST/SAST com base nos sistemas escopo (piloto + rollout), implantação e treinamento de processos e ferramentas. Como resultado, houve uma percepção de melhora na estabilidade do sistema e uma redução da quantidade de chamados relacionados a “bugs” do sistema, além do aumento da segurança do sistema. Mostrar menos

Redesign of the entire process and tools for identity and access governance, creating centralized service cell, changing processes, optimizing and simplifying controls at the same time as improving its effectiveness by deploying segregation of duties (SoD) in the main systems, redeg profiles based on the concept of minimum privilege, creating access management for third parties, eliminating gaps in controls, increasing the level of process compliance, and solving notes of internal and… Mostrar más

Redesign of the entire process and tools for identity and access governance, creating centralized service cell, changing processes, optimizing and simplifying controls at the same time as improving its effectiveness by deploying segregation of duties (SoD) in the main systems, redeg profiles based on the concept of minimum privilege, creating access management for third parties, eliminating gaps in controls, increasing the level of process compliance, and solving notes of internal and external audits.

Redesenho de todo o processo e ferramentas para a Governança de Identidades e os, criando célula de atendimento centralizada, alterando processos, otimizando e simplificando controles ao mesmo tempo em que melhorávamos a sua eficácia, implantando segregação de funções (SoD) nos principais sistemas, redesenhando perfis com base no conceito de privilégio mínimo, criando uma gestão de o para terceiros, eliminando gaps dos controles, aumentando o nível de conformidade do processo, e fechando apontamentos das auditorias internas e externas. Mostrar menos

Initial understanding of the legislation and its impacts on the company; definition of the processes mapping strategy that uses personal data; identification of gaps in processes and systems; construction and monitoring of process and system adequacy plans, together with all areas of the company; management of the implementation of personal data protection plans (information security); and the hiring of the Data Officer (DPO – Data Protection Officer).

Entendimento inicial da legislação… Mostrar más

Initial understanding of the legislation and its impacts on the company; definition of the processes mapping strategy that uses personal data; identification of gaps in processes and systems; construction and monitoring of process and system adequacy plans, together with all areas of the company; management of the implementation of personal data protection plans (information security); and the hiring of the Data Officer (DPO – Data Protection Officer).

Entendimento inicial da legislação e impactos dela sobre a empresa; definição da estratégia de mapeamento dos processos que utilizavam dados pessoais; identificação de gaps em processos e sistemas; construção e acompanhamento dos planos de adequação de processos e sistemas, em conjunto com todas as áreas da empresa; gestão da execução dos planos de proteção de dados pessoais (segurança da informação); e a contratação do Encarregado de Dados (DPO – Data Protection Officer). Mostrar menos

Scope definition, interviews with CIO, IT managers, various directors of IT client areas, and all the vice presidents of the company. Definition of the current situation and definition of the medium and long-term objectives for IT. Preparation of a 3-year plan for IT transformation (Information Technology Master Plan). Monitoring of transformation action plans. As a result, we had an improvement in the perception of quality of IT deliveries, no longer seen as a reactive area, to be seen as a… Mostrar más

Scope definition, interviews with CIO, IT managers, various directors of IT client areas, and all the vice presidents of the company. Definition of the current situation and definition of the medium and long-term objectives for IT. Preparation of a 3-year plan for IT transformation (Information Technology Master Plan). Monitoring of transformation action plans. As a result, we had an improvement in the perception of quality of IT deliveries, no longer seen as a reactive area, to be seen as a partner area of the business.

Definição do escopo, entrevistas com CIO, gerentes da TI, diversos diretores de áreas clientes da TI, e todos os vice-presidentes da empresa. Definição da situação atual e definição dos objetivos de médio e longo prazo da TI. Construção de um plano de 3 anos para a transformação da TI (Plano Diretor de Tecnologia da Informação – PDTI). Acompanhamento dos planos de ação de transformação. Como resultado, tivemos uma melhora na percepção de qualidade das entregas da TI, deixando de ser vista como uma área reativa, para ser vista como uma área parceira do negócio. Mostrar menos

Implementation of Cyber Security Master Plan, with the management and implementation of 14 information security projects: creation and training of the Corporate Information Security team; review of information security policy; Information Security Awareness program; segmentation of corporate networks; management of firewall rules; intrusion prevention system (IPS); web application firewall (WAF); mobile device management (MDM); vulnerability management; reconstruction of the remote access… Mostrar más

Implementation of Cyber Security Master Plan, with the management and implementation of 14 information security projects: creation and training of the Corporate Information Security team; review of information security policy; Information Security Awareness program; segmentation of corporate networks; management of firewall rules; intrusion prevention system (IPS); web application firewall (WAF); mobile device management (MDM); vulnerability management; reconstruction of the remote access solution (VPN); corporate network access control (NAC); privileged access management; internet access management (Proxy); and business continuity and disaster recovery plan. As a result, we achieved a significant increase in the maturity of the security controls provided for in ISO 27,000, and a reduction in the exposure of the environment to cyber-attacks.

Implantação de Plano de Diretor de Cibersegurança, com a gestão e execução de 14 projetos de segurança da informação: criação e formação da equipe de Segurança da Informação Corporativa; revisão da Política de Segurança da Informação (PSI); programa de Conscientização em Segurança da Informação; segmentação das redes corporativas; gestão de regras de firewall; sistema de prevenção a invasões (IPS); firewall de aplicação web; gestão de dispositivos móveis; gestão de vulnerabilidades; reconstrução da solução de o remoto (VPN); controle de o à rede corporativa (NAC); cofre de senhas istrativas; gestão de o à Internet (Proxy); e plano de continuidade de negócios e recuperação de desastres. Como resultado, obtivemos um aumento expressivo da maturidade dos controles de segurança previstos na ISO 27.000, e uma redução na exposição do ambiente a ataques cibernéticos. Mostrar menos

In conjunction with the Internal Controls area and the business areas, identification of the main risks related to conflicting accesses in systems was made. Based on this identification, a mapping was made of all the risks present in the various systems and access profiles of the company. The risks were prioritized and distributed over a 3-year project, with the adjustments of 5 applications per year. As a result, there was a gradual reduction in corporate risks, without impacting the company's… Mostrar más

In conjunction with the Internal Controls area and the business areas, identification of the main risks related to conflicting accesses in systems was made. Based on this identification, a mapping was made of all the risks present in the various systems and access profiles of the company. The risks were prioritized and distributed over a 3-year project, with the adjustments of 5 applications per year. As a result, there was a gradual reduction in corporate risks, without impacting the company's operation, which also reflected in reductions in fraud and operating losses.

Em conjunto com a área de Controles Internos e as áreas de negócio, foi feita a identificação dos principais riscos relacionados a os conflitantes em sistemas. Com base nessa identificação foi feito um levantamento de todos os riscos presentes nos diversos sistemas e perfis de o da empresa. Os riscos foram priorizados e distribuídos ao longo de um projeto 3 anos, com a realização dos ajustes de 5 aplicações por ano. Como resultado, houve a redução gradativa dos riscos corporativos, sem causar impactos na operação da empresa, o que também refletiu em reduções de fraudes e perdas operacionais. Mostrar menos

Macro mapping of the company's value chain, creation of risk matrix for the B, identification of critical processes based on the risk matrix, identification of minimum resources for the execution of these contingency processes (operational and systemic resources), creation of remote desktop and contingency site for IT, conducting table and practical tests of contingency plans in the business and IT areas (3 times a year in one of the companies I worked for). As a result, companies have gained… Mostrar más

Macro mapping of the company's value chain, creation of risk matrix for the B, identification of critical processes based on the risk matrix, identification of minimum resources for the execution of these contingency processes (operational and systemic resources), creation of remote desktop and contingency site for IT, conducting table and practical tests of contingency plans in the business and IT areas (3 times a year in one of the companies I worked for). As a result, companies have gained greater resilience to facts outside their management, such as strikes and fires, for example. One of the companies even went through a fire in one of its facilities, which was not covered by the B, but the frequent practice of the plans allowed the company to react quickly, and reduce the impacts caused by the fire.

Mapeamento macro da cadeia de valor da empresa, criação de matriz de riscos para o PCN, identificação dos processos críticos com base na matriz de risco, identificação dos recursos mínimos para a execução desses processos em contingência (recursos operacionais e sistêmicos), criação de área de trabalho remota e site de contingência para TI, realização de testes de mesa e práticos dos planos de contingência das áreas de negócio e TI (3 vezes por ano em uma das empresas que trabalhei). Como resultado, a empresas ganharam um resiliência maior a fatos fora da sua gestão, como greves e incêndios, por exemplo. Uma das empresas inclusive ou por um incêndio em uma das suas instalações, que não estava coberta pelo PCN, mas a prática frequente dos planos permitiu que a empresa reagisse rápido, e reduzisse os impactos causados pelo incêndio. Mostrar menos

Project of adequacy to the security standard for data of means of payment. Realization of all mapping of the flow of payment data within the company to the definition of the scope; implementation of segmentation and reduction of scope (with the elimination of the use of payment information); implementation of the controls provided for in the rules; monitoring of annual compliance audits; and evolution of controls as requested by the new versions of the standard and the change in the risk… Mostrar más

Project of adequacy to the security standard for data of means of payment. Realization of all mapping of the flow of payment data within the company to the definition of the scope; implementation of segmentation and reduction of scope (with the elimination of the use of payment information); implementation of the controls provided for in the rules; monitoring of annual compliance audits; and evolution of controls as requested by the new versions of the standard and the change in the risk scenario to which this information was subjected. As a result, the company reduced the risk of leaking this information, and still managed to reduce the percentage paid per card transaction with the acquiring companies. Improving the profit margin.

Projeto de adequação à norma de segurança para dados de meios de pagamento. Realização de todo mapeamento do fluxo de dados de pagamento dentro da empresa para a definição do escopo; implantação da segmentação e redução do escopo (com a eliminação do uso de informações de pagamento; implantação dos controles previstos na norma; acompanhamento das auditorias anuais de conformidade; e evolução dos controles conforme solicitado pelas novas versões da norma e pela mudança no cenário de risco aos quais essas informações estavam submetidas. Como resultado, a empresa reduziu o risco de vazamento dessas informações, e ainda conseguiu reduzir o percentual pago por transação com cartão junto as empresas de adquirência. Melhorando a sua margem de lucro. Mostrar menos

Realization of the entire mapping of the data flow involving the cost price of the products, from the initial process of negotiation between suppliers and the buyers of the company, through the insertion of this information in the systems, the derivations from that moment on, and the areas and processes that used this information from the system, until external processes that dealt with this information, such as the delivery of the products in the Distribution Center. After all mapping, risk… Mostrar más

Realization of the entire mapping of the data flow involving the cost price of the products, from the initial process of negotiation between suppliers and the buyers of the company, through the insertion of this information in the systems, the derivations from that moment on, and the areas and processes that used this information from the system, until external processes that dealt with this information, such as the delivery of the products in the Distribution Center. After all mapping, risk points were identified, designed and deployed controls to prevent or hinder the leakage of this information. Finally, a process was created to monitor controls and react in cases of suspicious behavior. As a result, the purchasing area regained its bargaining power with suppliers, which allowed the closing of more favorable negotiations for the company.

Mapeamento do fluxo de informações sobre o preço de custo dos produtos: Realização de todo o mapeamento do fluxo de dados envolvendo o preço de custo dos produtos, desde o processo inicial de negociação entre fornecedores e os compradores da empresa, ando pela inserção dessa informação nos sistemas, as derivações a partir desse momento, e as áreas e processos que consumiam essa informação a partir do sistema, até processos externos que tratavam essa informação, como a entrega dos produtos no Centro de Distribuição. Após todo o mapeamento, foram identificados pontos de risco, desenhados e implantados controles para impedir ou dificultar o vazamento dessas informações. Por fim, foi criado um processo para monitorar os controles e reagir em casos de comportamento suspeito. Como resultado, a área de compras recuperou o seu poder de negociação com fornecedores, o que permitiu o fechamento de negociações mais favoráveis à empresa. Mostrar menos

Review of the Information Security Architecture, using integrated solutions, increasing the correlation of events, and threat protection; reducing the effort of managing the security environment, simplifying contract and supplier’s management, and the use of IT resources (links, hardware and software). This represented a reduction of at least 25% of the total cost of ownership (TCO) of information security solutions.

Revisão da Arquitetura de Segurança da Informação, utilizando soluções… Mostrar más

Review of the Information Security Architecture, using integrated solutions, increasing the correlation of events, and threat protection; reducing the effort of managing the security environment, simplifying contract and supplier’s management, and the use of IT resources (links, hardware and software). This represented a reduction of at least 25% of the total cost of ownership (TCO) of information security solutions.

Revisão da Arquitetura de Segurança da Informação, utilizando soluções integradas, aumentando a correlação dos eventos, e a proteção contra ameaças; reduzindo o esforço de istração do ambiente de segurança, simplificando a gestão de contratos e fornecedores, e a utilização de recursos de TI (links, hardware e software). Isso representou uma redução de pelo menos 25% do custo total de propriedade (TCO) das soluções de segurança da informação. Mostrar menos