Upload
lamhanh
View
213
Download
0
Embed Size (px)
Citation preview
Inovação e Segurança da Informação: Como garantir aquilo que não está sob
seu controle
Fabiano Santana / Domingo Rodriguez
© 2013 - Propriedade da Solvix Consultoria
Agenda
Sobre a Solvix
Contextualização
Cloud Computing (SaaS)
– Conceitos básicos
– Números e mercado atual
– Principais riscos
BYOD
– Conceitos básicos
– Números e mercado atual
– Principais riscos
Conclusão
– Abordagem Solvix para mitigar
2 © 2013 - Propriedade da Solvix Consultoria
Gestão de Demandas Linha do Tempo
Sobre os Palestrantes
Fabiano Santana
Domingo Rodriguez
Consultor em Gestão de TI Pós Graduado em Segurança da Informação Professor de Pós Graduação Autor de livros, artigos e e-books Certificações ITIL, Cobit, Scrum Master, MCSE Security, MCITP Enterprise Administrator
Consultor em Gestão de TI Pós Graduado em Gestão Segurança da Informação Professor de Pós Graduação Certificações CGEIT, ITIL Expert, Cobit 5, ISO 20000, ISO 27000, MCP, Linux Certified
© 2013 - Propriedade da Solvix Consultoria
A Solvix é uma empresa focada. Trabalhamos com consultoria em gestão de TI
6
GESTÃO DE TI
© 2013 - Propriedade da Solvix Consultoria
Foco da Solvix
7
Soluções em Gestão de Tecnologia da Informação, divididas em:
Identificação de soluções de TI
Otimização de TI
Estratégia e inovação em TI
© 2013 - Propriedade da Solvix Consultoria
Eles tem nos contratado devido a três diferenciais principais e competitivos
8
INOVAÇÃO
FLEXIBILIDADE ISENÇÃO
FAZEMOS O QUE TEM QUE SER FEITO para entregar os resultados esperados
BUSCAMOS SEMPRE AS MELHORES
SOLUÇÕES para o cliente.
Não somos presos a nenhuma marca ou fornecedor
VAMOS ALÉM DO BÁSICO
© 2013 - Propriedade da Solvix Consultoria
Contextualização
Como garantir que as inovações nas áreas de negócio estarão protegidas pela Segurança da Informação?
Um requisito mandatório é a conectividade (ou hiperconectividade):
– Cloud Computing – SaaS;
– BYOD.
Ao adquirir tecnologia a custo mais baixo, as empresas compram mais, ganham competitividade, podem crescer, porém novos riscos e vulnerabilidades podem surgir.
© 2013 - Propriedade da Solvix Consultoria 12
Contextualização
Você tem conhecimento sobre como as empresas usam seus dados na Internet?
© 2013 - Propriedade da Solvix Consultoria 13
Estudo do Avira, 2013/Enquete realizada com 12oo usuários de diversos países
Contextualização
Como garantir o controle dos dados que estão fora da sua custódia?
Como pensar (Lean) e agir (Inovação) diferente com relação a segurança da informação?
© 2013 - Propriedade da Solvix Consultoria 14
Cloud - Software as a Service (SaaS)
“É um modelo para permitir o acesso à rede, sob demanda, a um pool compartilhado de recursos computacionais configuráveis que podem ser rapidamente provisionados com um
esforço mínimo de gestão ou interação do provedor destes serviços.”
The National Institute of Standards and Technology (NIST)
O serviço em si é uma aplicação pré-definida como um CRM ou ERP;
Configuração e gerenciamento da infraestrutura e aplicativos de responsabilidade do prestador de serviços;
Normalmente é entregue através de infraestrutura compartilhada;
Segundo o IDC, 25% dos utilizadores de SaaS dizem-se inseguros com a tecnologia e as tendências apontam a duplicação deste percentual até dezembro de 2013.
© 2013 - Propriedade da Solvix Consultoria 16
Cloud - Software as a Service (SaaS)
© 2013 - Propriedade da Solvix Consultoria 17
Normalmente referenciado como uma tecnologia;
Fomentou uma inovação no mercado de consumo de TI por trazer economias significativas;
Migrou-se do Capex para o Opex, tornando-se Commodity;
A Forrester Research estima que o mercado de Cloud Computting movimentará U$ 241 bilhões até 2020;
Criou-se, então, uma nova necessidade de proteger, acessar, restaurar e migrar dados e informações críticas.
18
Cloud - Software as a Service (SaaS) Contratos vagos sobre Segurança
Realizou uma revisão em 100 contratos de grandes provedores SaaS e concluiu: • “Os textos são parcos sobre os níveis de segurança e serviço levando à
insatisfação dos clientes. A sessão de segurança contém pouco além de banalidades, afirmando que o fornecedor vai utilizar os esforços comercialmente razoáveis para estabelecer e manter as garantias de segurança.”
• “Aceitam pouca ou nenhuma responsabilidade financeira sobre cumprimento desses compromissos vagos.”
© 2013 - Propriedade da Solvix Consultoria
Cloud - Software as a Service (SaaS)
© 2013 - Propriedade da Solvix Consultoria 19
Como proteger algo que não está em seu ninho?
Cloud - Software as a Service (SaaS) Pensar de um jeito novo
© 2013 - Propriedade da Solvix Consultoria 20
Cloud - Software as a Service (SaaS) Pensar de um jeito novo
© 2013 - Propriedade da Solvix Consultoria 21
Cyber Segurança
Segundo Mark Weatherford, Secretário do US Department
of Homeland Security, trata-se da evolução da terminologia e do escopo:
– Ambas envolvem a proteção da informação ou dados em uma rede;
– “Security in a Hyperconnected World”
© 2013 - Propriedade da Solvix Consultoria 22
Quanto da sua vida diária depende de computadores?
Como grande parte da sua informação pessoal/profissional é guardada em seu próprio computador ou em sistemas de terceiros?
23
Cloud - Software as a Service (SaaS) Inovação na Análise de Risco
Portanto, uma nova forma (holística) de realizar as atividades de Gerenciamento de Riscos são cruciais para assegurar a Confidencialidade, Integridade e Disponibilidade das informações endereçando:
Identificar o ativo de informação;
Perda da Governança;
Escolha do Provedor de Cloud (CSP);
Autenticação de Usuários;
Integração e migração de dados;
Requerimentos de Compliance;
Proteção dos Dados. © 2013 - Propriedade da Solvix Consultoria
Gestão de Demandas Linha do Tempo
BYOD – Conceitos Básicos
BYOD – Bring Your Own Device (Traga o seu próprio dispositivo). É uma nova tendência do mercado que permite que os funcionários de uma empresa levem seus próprios dispositivos móveis para o trabalho e também acessem informações e sistemas da empresa através desses dispositivos. Isso dá ao funcionário a liberdade de utilizar a tecnologia que lhe convém e consequentemente proporciona um ambiente de trabalho mais confortável.
© 2013 - Propriedade da Solvix Consultoria
Estudo realizado pela Associação Brasileira de ebusiness: • 48% das companhias afirmaram que vão investir em
BYOD em até dois anos; • 39% dos entrevistados já trabalham com BYOD; • 69% dos participantes disseram que o BYOD ainda
apresenta certa resistência, já que põe em risco a segurança dos dados.
• 49% das empresas afirmam que adotaram o BYOD, mas ainda não possuem a área de TI gerenciando o processo.
http://imasters.com.br/noticia/pesquisa-aponta-que-byod-aumenta-a-produtividade-de-funcionarios/
Gestão de Demandas Linha do Tempo
BYOD – Números do Mercado Atual
Um relatório da WebSense (mundial) revelou que os usuários móveis gastam a maior parte do tempo em navegação na Internet (24,81 minutos por dia) e em redes sociais (17,49 minutos por dia. Esses dados são apenas estatísticas para especialistas em segurança para dar indicações preciosas do que pode ser o canal que os criminosos poderiam explorar para atacar plataformas móveis.
© 2013 - Propriedade da Solvix Consultoria
http://resources.infosecinstitute.com/importance-of-security-in-mobile-platforms/
Gestão de Demandas Linha do Tempo
BYOD – Números do Mercado Atual
Um estudo realizado pela Universidade Phillips e pela Universidade Leibnz na Alemanha, com cerca de 13500 aplicativos gratuitos baixados do Google Play, indicou que • 8% desses aplicativos eram vulneraveis, principalmente aos ataques do tipo “main-in-the-
middle”. • 40% desses aplicativos permitiu aos pesquisadores capturar credenciais da American Express,
Diners Club, PayPal, contas bancárias, Facebook, Twitter, Google, Yahoo, Microsoft Live Id, WordPress, IBM Sametime, e outros.
A Symantec identificou que os golpistas publicam aplicativos maliciosos quase todos os dias, com
1.200 aplicativos maliciosos publicados nos últimos sete meses (artigo publicado em 29/07/2013).
© 2013 - Propriedade da Solvix Consultoria
Gestão de Demandas Linha do Tempo
BYOD – Números do Mercado Atual
De acordo com Mikko Hypponen, o cenário de ameaças móvel continua a ser focado em duas plataformas, Android, que representaram 79% de todas as novas variantes de malware identificadas em 2012 e Symbian, com 19%.
© 2013 - Propriedade da Solvix Consultoria
http://resources.infosecinstitute.com/importance-of-security-in-mobile-platforms/
29
BYOD – Números do Mercado Atual
Um artigo publicado recentemente na revista CIO indica que BYOD será prática corrente no Brasil a partir de 2014. Dos 204 líderes de TI ouvidos: • 9% afirmam já terem programas implantados e funcionando em suas organizações; • 32% sequer planejam a implantação; • Dos 59% que pretendem adotar a prática, 15% planejam fazê-lo ainda em 2013 e 77% nos
próximos dois anos.
De acordo com o estudo, entre as empresas que já implantaram programas de BYOD (9%), a principal preocupação foi:
http://cio.uol.com.br/noticias/2013/08/08/byod-sera-pratica-corrente-no-brasil-a-partir-de-2014-revela-estudo-da-navita/
© 2013 - Propriedade da Solvix Consultoria
30
BYOD – Números do Mercado Atual
http://www.cisco.com/web/about/ac79/docs/re/byod/BYOD_Horizons_Global_PTBR.pdf
© 2013 - Propriedade da Solvix Consultoria
Pesquisa da Cisco Internet Business Solutions Group (IBSG)
31
BYOD – Benefícios
Pesquisa da Cisco Internet Business Solutions Group (IBSG) Os principais benefícios do BYOD para as empresas são: • Maior produtividade; • Satisfação do funcionário; • Menores custos; • Possibilidade de inovação, pois permite aos funcionários decidirem como, quando e com quais
ferramentas executarão seus trabalhos;
http://www.cisco.com/web/about/ac79/docs/re/byod/BYOD_Horizons_Global_PTBR.pdf
© 2013 - Propriedade da Solvix Consultoria
32
BYOD – Principais riscos e desafios
• Como criar, gerenciar e aplicar políticas de segurança;
• Como fornecer acesso a rede da empresa;
• Como proteger os próprios dispositivos;
• Como garantir a transmissão segura dos dados;
• Como proteger os dispositivos contra malware;
• Como evitar o vazamento de informações;
• Etc ...
© 2013 - Propriedade da Solvix Consultoria
35
Soluções para auxiliar as empresas Gestão De Contratos
Uma das possíveis soluções é a utilização do processo de Gestão de Contratos e Fornecedores. Porém não basta apenas ter contratos com fornecedores, é preciso monitorar esses contratos. Aí entram os processos de Gestão de Contratos e Fornecedores, que fazem o acompanhamento diário, semanal e mensal do fornecedor, com o objetivo de verificar se o fornecedor está realmente entregando o que está em contrato. Dicas: • Ter um inventário de contratos atualizado; • Acompanhar a vigência do contrato; • Reuniões periódicas com os fornecedores.
© 2013 - Propriedade da Solvix Consultoria
36
Soluções para auxiliar as empresas Lean IT
Juliana Martins, Consultora da Solvix, em seu artigo publicado na revista CIO, traz algumas dicas de como pensar em segurança e Lean IT: 1. Evite desperdício - É muito importante sempre pensar qual a relevância dos controles e qual
o valor obtido por eles, a burocracia implementada realmente se traduz em benefícios e valor gerados para nossos clientes?
2. Especifique o trabalho - Tenha políticas, processos e padrões bem documentados. 3. Estruture a comunicação - Garanta a participação de todos. Muitas organizações definem
uma excelente política, mas não envolvem, divulgam nem treinam os seus usuários. 4. Busque a melhoria contínua - Para medir a eficácia estabeleça uma meta simples e
posteriormente crie um plano de melhoria contínua. 5. Foque nos usuários - Segurança da informação não é somente tecnologia. Temos a
tecnologia, políticas, processos e pessoas. Somente tendo em vista estes pilares é que é possível garantir a sua implementação e integração ao negócio.
http://cio.uol.com.br/opiniao/2013/09/13/principios-lean-em-seguranca-da-informacao-como-manter-se-seguro-sem-abrir-mao-da-simplicidade/
O pensamento Lean oferece uma nova maneira de romper com os tradicionais padrões de pensamento e os profissionais de segurança que adotarem este pensamento podem trazer
grandes benefícios ao negócio.
© 2013 - Propriedade da Solvix Consultoria
37
Soluções para auxiliar as empresas Lean IT
http://www.solvix.com.br/site/2013/09/06/ti-lean-capacitando-e-sustentando-sua-transformacao-lean/
© 2013 - Propriedade da Solvix Consultoria
38
Soluções para auxiliar as empresas MDM
MDM em inglês, Mobile Device Management, protege, monitora, gerencia e suporta dispositivos móveis implantados por operadoras de telefonia móvel, provedores de serviços e empresas. Geralmente inclui funcionalidades de distribuição de aplicativos OTA (over-the-air), dados e definições de configuração para todos os tipos de dispositivos móveis, incluindo telefones celulares, smartphones, tablets, computadores móveis robustos, impressoras móveis, dispositivos móveis POS, etc. Isso se aplica a ambos os dispositivos de propriedade da empresa ou de propriedade dos seus empregados, no ambiente corporativo, ou dispositivos móveis de consumidores
© 2013 - Propriedade da Solvix Consultoria
http://pt.wikipedia.org/wiki/Mobile_device_management
solvix.com.br
Contatos
© 2013 - Propriedade da Solvix Consultoria 39
Domingo Rodriguez [email protected]
11-975920427
Fabiano de Santana [email protected]
11-975223893