Inovação e Segurança da Informação: Como garantir aquilo ... · Cloud Computing ... trata-se da evolução da terminologia e do escopo: ... pensamento e os profissionais de segurança

Inovação e Segurança da Informação: Como garantir aquilo que não está sob

seu controle

Fabiano Santana / Domingo Rodriguez

© 2013 - Propriedade da Solvix Consultoria

Agenda

Sobre a Solvix

Contextualização

Cloud Computing (SaaS)

– Conceitos básicos

– Números e mercado atual

– Principais riscos

BYOD

– Conceitos básicos

– Números e mercado atual

– Principais riscos

Conclusão

– Abordagem Solvix para mitigar

2 © 2013 - Propriedade da Solvix Consultoria

Sobre os Palestrantes


Gestão de Demandas Linha do Tempo

Sobre os Palestrantes

Fabiano Santana

Domingo Rodriguez

Consultor em Gestão de TI Pós Graduado em Segurança da Informação Professor de Pós Graduação Autor de livros, artigos e e-books Certificações ITIL, Cobit, Scrum Master, MCSE Security, MCITP Enterprise Administrator

Consultor em Gestão de TI Pós Graduado em Gestão Segurança da Informação Professor de Pós Graduação Certificações CGEIT, ITIL Expert, Cobit 5, ISO 20000, ISO 27000, MCP, Linux Certified


Sobre a Solvix


A Solvix é uma empresa focada. Trabalhamos com consultoria em gestão de TI

6

GESTÃO DE TI


Foco da Solvix

7

Soluções em Gestão de Tecnologia da Informação, divididas em:

Identificação de soluções de TI

Otimização de TI

Estratégia e inovação em TI


Eles tem nos contratado devido a três diferenciais principais e competitivos

8

INOVAÇÃO

FLEXIBILIDADE ISENÇÃO

FAZEMOS O QUE TEM QUE SER FEITO para entregar os resultados esperados

BUSCAMOS SEMPRE AS MELHORES

SOLUÇÕES para o cliente.

Não somos presos a nenhuma marca ou fornecedor

VAMOS ALÉM DO BÁSICO


Nossa abordagem…

10 © 2013 - Propriedade da Solvix Consultoria

Contextualização


Contextualização

Como garantir que as inovações nas áreas de negócio estarão protegidas pela Segurança da Informação?

Um requisito mandatório é a conectividade (ou hiperconectividade):

– Cloud Computing – SaaS;

– BYOD.

Ao adquirir tecnologia a custo mais baixo, as empresas compram mais, ganham competitividade, podem crescer, porém novos riscos e vulnerabilidades podem surgir.

© 2013 - Propriedade da Solvix Consultoria 12

Contextualização

Você tem conhecimento sobre como as empresas usam seus dados na Internet?


Estudo do Avira, 2013/Enquete realizada com 12oo usuários de diversos países

Contextualização

Como garantir o controle dos dados que estão fora da sua custódia?

Como pensar (Lean) e agir (Inovação) diferente com relação a segurança da informação?


Cloud Computing - SaaS


Cloud - Software as a Service (SaaS)

“É um modelo para permitir o acesso à rede, sob demanda, a um pool compartilhado de recursos computacionais configuráveis que podem ser rapidamente provisionados com um

esforço mínimo de gestão ou interação do provedor destes serviços.”

The National Institute of Standards and Technology (NIST)

O serviço em si é uma aplicação pré-definida como um CRM ou ERP;

Configuração e gerenciamento da infraestrutura e aplicativos de responsabilidade do prestador de serviços;

Normalmente é entregue através de infraestrutura compartilhada;

Segundo o IDC, 25% dos utilizadores de SaaS dizem-se inseguros com a tecnologia e as tendências apontam a duplicação deste percentual até dezembro de 2013.




Normalmente referenciado como uma tecnologia;

Fomentou uma inovação no mercado de consumo de TI por trazer economias significativas;

Migrou-se do Capex para o Opex, tornando-se Commodity;

A Forrester Research estima que o mercado de Cloud Computting movimentará U$ 241 bilhões até 2020;

Criou-se, então, uma nova necessidade de proteger, acessar, restaurar e migrar dados e informações críticas.

18

Cloud - Software as a Service (SaaS) Contratos vagos sobre Segurança

Realizou uma revisão em 100 contratos de grandes provedores SaaS e concluiu: • “Os textos são parcos sobre os níveis de segurança e serviço levando à

insatisfação dos clientes. A sessão de segurança contém pouco além de banalidades, afirmando que o fornecedor vai utilizar os esforços comercialmente razoáveis para estabelecer e manter as garantias de segurança.”

• “Aceitam pouca ou nenhuma responsabilidade financeira sobre cumprimento desses compromissos vagos.”




Como proteger algo que não está em seu ninho?

Cloud - Software as a Service (SaaS) Pensar de um jeito novo


Cloud - Software as a Service (SaaS) Pensar de um jeito novo


Cyber Segurança

Segundo Mark Weatherford, Secretário do US Department

of Homeland Security, trata-se da evolução da terminologia e do escopo:

– Ambas envolvem a proteção da informação ou dados em uma rede;

– “Security in a Hyperconnected World”


Quanto da sua vida diária depende de computadores?

Como grande parte da sua informação pessoal/profissional é guardada em seu próprio computador ou em sistemas de terceiros?

23

Cloud - Software as a Service (SaaS) Inovação na Análise de Risco

Portanto, uma nova forma (holística) de realizar as atividades de Gerenciamento de Riscos são cruciais para assegurar a Confidencialidade, Integridade e Disponibilidade das informações endereçando:

Identificar o ativo de informação;

Perda da Governança;

Escolha do Provedor de Cloud (CSP);

Autenticação de Usuários;

Integração e migração de dados;

Requerimentos de Compliance;

Proteção dos Dados. © 2013 - Propriedade da Solvix Consultoria

BYOD – Bring Your Own Device



BYOD – Conceitos Básicos

BYOD – Bring Your Own Device (Traga o seu próprio dispositivo). É uma nova tendência do mercado que permite que os funcionários de uma empresa levem seus próprios dispositivos móveis para o trabalho e também acessem informações e sistemas da empresa através desses dispositivos. Isso dá ao funcionário a liberdade de utilizar a tecnologia que lhe convém e consequentemente proporciona um ambiente de trabalho mais confortável.


Estudo realizado pela Associação Brasileira de ebusiness: • 48% das companhias afirmaram que vão investir em

BYOD em até dois anos; • 39% dos entrevistados já trabalham com BYOD; • 69% dos participantes disseram que o BYOD ainda

apresenta certa resistência, já que põe em risco a segurança dos dados.

• 49% das empresas afirmam que adotaram o BYOD, mas ainda não possuem a área de TI gerenciando o processo.

http://imasters.com.br/noticia/pesquisa-aponta-que-byod-aumenta-a-produtividade-de-funcionarios/


BYOD – Números do Mercado Atual

Um relatório da WebSense (mundial) revelou que os usuários móveis gastam a maior parte do tempo em navegação na Internet (24,81 minutos por dia) e em redes sociais (17,49 minutos por dia. Esses dados são apenas estatísticas para especialistas em segurança para dar indicações preciosas do que pode ser o canal que os criminosos poderiam explorar para atacar plataformas móveis.


http://resources.infosecinstitute.com/importance-of-security-in-mobile-platforms/



Um estudo realizado pela Universidade Phillips e pela Universidade Leibnz na Alemanha, com cerca de 13500 aplicativos gratuitos baixados do Google Play, indicou que • 8% desses aplicativos eram vulneraveis, principalmente aos ataques do tipo “main-in-the-

middle”. • 40% desses aplicativos permitiu aos pesquisadores capturar credenciais da American Express,

Diners Club, PayPal, contas bancárias, Facebook, Twitter, Google, Yahoo, Microsoft Live Id, WordPress, IBM Sametime, e outros.

A Symantec identificou que os golpistas publicam aplicativos maliciosos quase todos os dias, com

1.200 aplicativos maliciosos publicados nos últimos sete meses (artigo publicado em 29/07/2013).




De acordo com Mikko Hypponen, o cenário de ameaças móvel continua a ser focado em duas plataformas, Android, que representaram 79% de todas as novas variantes de malware identificadas em 2012 e Symbian, com 19%.


http://resources.infosecinstitute.com/importance-of-security-in-mobile-platforms/

29


Um artigo publicado recentemente na revista CIO indica que BYOD será prática corrente no Brasil a partir de 2014. Dos 204 líderes de TI ouvidos: • 9% afirmam já terem programas implantados e funcionando em suas organizações; • 32% sequer planejam a implantação; • Dos 59% que pretendem adotar a prática, 15% planejam fazê-lo ainda em 2013 e 77% nos

próximos dois anos.

De acordo com o estudo, entre as empresas que já implantaram programas de BYOD (9%), a principal preocupação foi:

http://cio.uol.com.br/noticias/2013/08/08/byod-sera-pratica-corrente-no-brasil-a-partir-de-2014-revela-estudo-da-navita/


30


http://www.cisco.com/web/about/ac79/docs/re/byod/BYOD_Horizons_Global_PTBR.pdf


Pesquisa da Cisco Internet Business Solutions Group (IBSG)

31

BYOD – Benefícios

Pesquisa da Cisco Internet Business Solutions Group (IBSG) Os principais benefícios do BYOD para as empresas são: • Maior produtividade; • Satisfação do funcionário; • Menores custos; • Possibilidade de inovação, pois permite aos funcionários decidirem como, quando e com quais

ferramentas executarão seus trabalhos;

http://www.cisco.com/web/about/ac79/docs/re/byod/BYOD_Horizons_Global_PTBR.pdf


32

BYOD – Principais riscos e desafios

• Como criar, gerenciar e aplicar políticas de segurança;

• Como fornecer acesso a rede da empresa;

• Como proteger os próprios dispositivos;

• Como garantir a transmissão segura dos dados;

• Como proteger os dispositivos contra malware;

• Como evitar o vazamento de informações;

• Etc ...


Soluções


34

Soluções para auxiliar as empresas


35

Soluções para auxiliar as empresas Gestão De Contratos

Uma das possíveis soluções é a utilização do processo de Gestão de Contratos e Fornecedores. Porém não basta apenas ter contratos com fornecedores, é preciso monitorar esses contratos. Aí entram os processos de Gestão de Contratos e Fornecedores, que fazem o acompanhamento diário, semanal e mensal do fornecedor, com o objetivo de verificar se o fornecedor está realmente entregando o que está em contrato. Dicas: • Ter um inventário de contratos atualizado; • Acompanhar a vigência do contrato; • Reuniões periódicas com os fornecedores.


36

Soluções para auxiliar as empresas Lean IT

Juliana Martins, Consultora da Solvix, em seu artigo publicado na revista CIO, traz algumas dicas de como pensar em segurança e Lean IT: 1. Evite desperdício - É muito importante sempre pensar qual a relevância dos controles e qual

o valor obtido por eles, a burocracia implementada realmente se traduz em benefícios e valor gerados para nossos clientes?

2. Especifique o trabalho - Tenha políticas, processos e padrões bem documentados. 3. Estruture a comunicação - Garanta a participação de todos. Muitas organizações definem

uma excelente política, mas não envolvem, divulgam nem treinam os seus usuários. 4. Busque a melhoria contínua - Para medir a eficácia estabeleça uma meta simples e

posteriormente crie um plano de melhoria contínua. 5. Foque nos usuários - Segurança da informação não é somente tecnologia. Temos a

tecnologia, políticas, processos e pessoas. Somente tendo em vista estes pilares é que é possível garantir a sua implementação e integração ao negócio.

http://cio.uol.com.br/opiniao/2013/09/13/principios-lean-em-seguranca-da-informacao-como-manter-se-seguro-sem-abrir-mao-da-simplicidade/

O pensamento Lean oferece uma nova maneira de romper com os tradicionais padrões de pensamento e os profissionais de segurança que adotarem este pensamento podem trazer

grandes benefícios ao negócio.


37

Soluções para auxiliar as empresas Lean IT

http://www.solvix.com.br/site/2013/09/06/ti-lean-capacitando-e-sustentando-sua-transformacao-lean/


38

Soluções para auxiliar as empresas MDM

MDM em inglês, Mobile Device Management, protege, monitora, gerencia e suporta dispositivos móveis implantados por operadoras de telefonia móvel, provedores de serviços e empresas. Geralmente inclui funcionalidades de distribuição de aplicativos OTA (over-the-air), dados e definições de configuração para todos os tipos de dispositivos móveis, incluindo telefones celulares, smartphones, tablets, computadores móveis robustos, impressoras móveis, dispositivos móveis POS, etc. Isso se aplica a ambos os dispositivos de propriedade da empresa ou de propriedade dos seus empregados, no ambiente corporativo, ou dispositivos móveis de consumidores


http://pt.wikipedia.org/wiki/Mobile_device_management

solvix.com.br

Contatos


Domingo Rodriguez [email protected]

11-975920427

Fabiano de Santana [email protected]

11-975223893

Fim


Documents

Inovação e Segurança da Informação: Como garantir aquilo ... · Cloud Computing ... trata-se da evolução da terminologia e do escopo: ... pensamento e os profissionais de segurança