Mitigando Riscos de Ciberataques Janeiro de 2016
AGENDA
Brief Overview
Panorama
Desafios e Implicações
O que Considerar?
Contato
Brief Overview
Início das atividades em 2007, sediada em São Paulo, atuação nacional.
Alta Performance, equipe experiente em auditoria e consultoria de Segurança da Informação.
Mais de 250.000 horas de consultoria.
Todos os profissionais certificados em Segurança da Informação.
Capacitada a entregar soluções de ponta-a-ponta (processos, pessoas, hardware e software).
Soluções amplas e customizáveis às necessidades.
Mais de 20 clientes entre as 100 maiores do Brasil.
Parceria com IBM, RSA, Thales, BSI, Intel Security, Watchguard, Imperva e Tripwire.
Information Security Governance Framework para assegurar que a SI suporte o negócio e assim alcance seus objetivos.
Security Architecture
Políticas, normas, procedimentos, conscientização e treinamento. Estruturação da área de Segurança da Informação.
Business Continuity Management
Avaliação de Riscos e Impacto ao Negócio, Estratégias de Recuperação, Planos de Recuperação, Treinamento e Testes dos Planos.
Identity Management
Análise de Segregação de Funções, Definição de Papéis e Funções, Desenho de Perfis de Acesso e Implementação de Ferramentas.
Security, Vulnerability and Fraud Management
Análise de Vulnerabilidades, Análise de Aplicativos, Testes de Intrusão, Forense Computacional, Outsourcing de Segurança da Informação.
Brief Overview
Para maiores informações sobre nossas soluções acesse:
www.safewayconsultoria.com
Panorama – O que é Ciberataque
Cibersegurança - A habilidade de proteger e defender o uso do Ciberespaço de Ciberataques. (National Institute of Standards and Technology, NIST)
Ciberespaço - É o espaço virtual para a comunicação disposto pelo meio de tecnologia. (Wikipedia) Ciberataque – Todo ataque virtual no ciberespaço.
“[…] ataques com sucesso em nosso sistema financeiro poderia comprometer a confiança, colocar em perigo a integridade de dados e ameaçar toda a estabilidade do sistema financeiro.” (Secretário do Tesouro Americano, 2014)
Panorama - Evolução
Diversão 1988
Fama 2001
Dinheiro 2004
Força 2010
Tecnicamente pessoas curiosas
Praticamente grupos que queriam deixar uma marca pública
Cibercriminosos e crime organizado para roubar dinheiro, dados e informações competitivas
Países e grupos paramilitares lançando ataques com objetivos estratégicos
Panorama – Quem são…
MOTIVAÇÃO Dinheiro - Grande número de
grupos - Habilidade básica à
avançada - Presente em todos os
países DANO POTENCIAL Milhões
MOTIVAÇÃO Protesto/Vingança - Grande número
de grupos - Habilidade básica
à avançada - Presente em
todos os países DANO POTENCIAL Milhões
MOTIVAÇÃO Ter segredos nacionais ou benefícios econômicos - Pequeno número
de grupos - Habilidade
avançada DANO POTENCIAL Centenas de Milhões
MOTIVAÇÃO Politica, destruição de capacidade - Pequeno
número de países ou grupos paramilitares
- Habilidade ultra- avançada
DANO POTENCIAL Bilhões
Panorama – Novas ameaças e impactos...
Desafios e Implicações
O Gerenciamento de Risco de ciberataques é a ação coordenada da gestão da tecnologia e operações para efetivamente prevenir consequências indesejadas aos ativos de informação. Esse processo é pelo qual o negócio pode proteger seus ativos críticos e sua reputação de ameaças internas e externas, mas não limitando-se as questões técnicas. Instituições financeiras devem ver o gerenciamento de risco de ciberataques como um aspecto integral da gestão de seus riscos de operacionais e de controles internos.
Fonte: Federal Financial Institutions Examination Council (FFIEC)
Desafios e Implicações
− Realizamos uma avaliação de riscos de ciberataque para identificar nossos riscos chaves?
− Sabemos onde investir para reduzir os riscos de ciberataques?
− Quais seriam as interrupções e impactos de um ciberataque? Como isso afetaria nosso
negócio, marca e reputação?
− Qual o impacto no faturamento de um ciberevento?
− Sabemos quais ativos de informação são mais valiosos aos atacantes? A cada tipo de
atores?
− Existe uma tolerância ao ciberrisco?
− Como é a comunicação de um ciberrisco ao board e stakeholders?
− Nosso negocio é resiliente a um ciberataque?
Desafios e Implicações
− Ciberriscos visto como um problema de TI (não do negócio)
− Processos ou metodologias insuficientes para avaliar o ciberrisco
− Sensação que a avaliação de riscos “tradicional” endereça os ciberriscos
− Relutante em compartilhar e criar uma inteligência na organização
− Abordagem one-size-fits-all para o ciberrisco (não considerando os ativos da informação)
O que considerar?
1. Criar um processo de governança para os CiberRiscos, incluindo conexões com outros programas de gestão de riscos como BCM. 2. Entender as fronteiras da organização, o ciberespaço, incluindo por exemplo, mídias sociais. 3. Identificar os processos de negocio críticos e seus ativos. 4. Identificar as Ciberameaças, incluindo a criação de inteligência advindas de diversas fontes. Melhorando a coleta, análise e reporte dessas informações. 5. Desenvolver e executar um plano de resposta, planejando e preparando as ações e seus responsáveis para responder a um ciberevento.
O que considerar? – 1. Governança
O Gerenciamento de CiberRisco deve ser um componente chave da Gestão de Riscos Corporativa.
FUNÇÃO PESSOAL CHAVE RESPONSABILIDADES
Comite de Governança para
CiberRisco
COO
CRO
CISO
Lideres de Negócio
Em conjunto com os lideres seniores, definir a estratégia da
CiberSegurança, Orçamento e Responsáveis.
Definir os ativos essenciais.
Monitorar a Instituição sob o aspecto de CiberSegurança
Revisar os reports de Inspeção da CiberSegurança e priorizar
as ameaças
Implantar o processo PDCA
Comite de Inspeção de CiberRiscoTime de TI/SI
Time de Negócio
Avaliar a Instituição e os controles implantados sob a otica
de CiberSegurança
Avaliar a eficacia dos controles
Identificar novas ameaças e novos ativos
Revisar novos marcos regulatorios e requerimentos de
compliance
Time de Operações de CiberRiscoSOC
Time de SI/TI
Detectar e Atuar em Cibereventos
Coletar, Analisar e Responder informação em tempo real de
ameaças
Produzir e Suportar com relatórios os Comites de Inspeção e
Governança (incluindo KPIs e visão de mercado)
O que considerar? – 2. Fronteiras
FUNÇÃO PONTOS CHAVE
Desenvolver uma visão critica de
onde os ativos de informação
criticos estão
Definir o "peso" das informações geradas por esses ativos
Determinar onde estão os ativos criticos, ao longo do tempo
e quem os acessa. Rever periodicamente os perimetros.
Determinar quais sistemas e redes as
informações trafegam para suportar
os processos de negócio
O perimetro vai além da rede e de seus parceiros, clientes e
terceiros.
Determinar todos os
compartilhamento de informações
com parceiros e terceiros
As maiores vulnerabilidades estão em determinar até onde vai
as fronteiras/perimetro da Instituição.
Data Center > Terminais > Terceiros > Mobile > Cloud
O que considerar? – 3. Identificar seus ativos críticos
FUNÇÃO PONTOS CHAVE
Identificar os ativos criticos e
processos de negocio importantes
Definir os ativos que suportam os diferenciais de negocio,
como segredos de negócio, algoritmos, etc
Determinar o "valor" para cada ativoProteger cada ativo com base em seu valor ao negocio e ao
mercado
Definir a tolerancia ao CyberRiscoInstituições Financeiras devem estudar e adotar a tolerancia
aos riscos e seus impactos ao negocio - trade off
Definir os níveis de proteção para
cada ativo
Definir os responsaveis pelo risco de cada ativo da
informação e estabelecer quem dentro da Instituição pode
aceita-lo ou mitiga-lo.
A Instituição deve priorizar seus riscos de ciberataque com
base em seus riscos de negocio.
O que considerar? – 4. Identificar seus Ciberriscos
FUNÇÃO PONTOS CHAVE
Unir os diversos times que são
responsáveis por analisar e
responder os cibereventos
Unir as informações dos times de SOC, SIEM, Resposta a
Incidentes aos comites de governança e inspeção com o
intuito de gerar inteligencia para as Ciberameaças, inclusive
informação para os times de de anti-fraude
Ajustar o CiberRisco na instituição
Revisitar a abordagem e o perimetro de acordo com as
ameaças, localização dos ativos e cenário da industria
financeira
O que considerar? – 5. Plano de Respostas
FUNÇÃO PONTOS CHAVE
Analisar as informações de
CiberRisco
Analisar de onde vem as ameaças, atores, ferramentas e o
que buscam
Correlacionar padrões de ameaças e ataques
Personalizar seu sistema de monitoração e ter velocidade na
detecção e ação
Reportar a liderançaProntamente reportar o cenario de ameaças, indicadores e
comparação ao mercado
Responder prontamenteResponder a Cibereventos prontamente com base em receitas
pre-elaboradas para reduzir seus impactos de forma rapida
Mitigar efeitos
Definir cenários de CiberRisco ao negócio e suas ações e
ferramentas para mitiga-lo, incluindo efeitos em reputação,
cliente, finanças e em orgãos reguladores
Desenvolver um Plano de resposta a
incidentes
Definir o que é necessário para estar pronto, pessoas,
ferramentas e tecnologia para agir. Desenvolver os planos
(receita) para ações serem tomadas pelas equipes, incluindo
reports executivos, relações publicas, legal, TI/SI, etc.
“The growing sophistication and frequency of cyberattacks is a cause for concern, not only because of the potential for disruption, but also because of the potential for destruction of the systems and information that support our banks. These risks, if unchecked, could threaten the reputation of our financial institutions as well as public confidence in the system.” —Sept. 18, 2013. Thomas Curry, US Comptroller of the Currency
Contato
www.safewayconsultoria.com [email protected]
São Paulo - SP Av. Paulista, 688 – conj. 152 – Brasil – CEP 01310-100 Fone: +55 (11) 4063.3221 Rio de Janeiro – RJ Av. Luiz Carlos Prestes, 180 – 3º andar – CEP 22775-055 Fone: +55 (21) 4063.7233 Belo Horizonte - MG Av. do Contorno, 6594 – 17º andar – CEP 30110-044 Fone: +55 (31) 4063.9511
Mitigando Riscos de Ciberataques Janeiro de 2016 www.safewayconsultoria.com
Top Related