Estratégias de Cyber Security para mitigar riscos do negócio. Prof. Ricardo Tavares e.

Transcrição

1 Estratégias de Cyber Security para mitigar riscos do negócio Prof. Ricardo Tavares e.

2 Estamos protegidos? O quanto de receita você irá perder se o seu processo de negócio for impactado por um evento de cyber? Você possui capacidade para responder rapidamente a um ataque cibernético? Você sabe quais são os seus ativos mais críticos e qual o valor deles para os seus adversários? Você sabe onde investir para reduzir o risco em cyber? O seu negócio é resiliente o suficiente para sobreviver a um ataque cibernético?

3 Todos estamos vulneráveis Everybody s online and everybody s vulnerable," Obama stressed. "There's only one way to defend America from these cyberthreats, and that is with government and [private] industry working together, sharing appropriate information 3

4 Global Risk Landscape 2016 (World Economic Forum) Davos Fórum

5 O que é NIST Framework for Improving Critical Infrastructure CyberSecurity O Framework é o resultado de uma ordem executiva de fevereiro 2013 intitulada "Improving Critical Infrastructure Cybersecurity" e de 10 meses de discussões colaborativas com mais de professionais da área de segurança. Ele compreende uma compilação com base em risco e diretrizes que podem ajudar as organizações a identificar, implementar e melhorar as práticas de segurança cibernética, e cria uma linguagem comum para a comunicação interna e externa das questões relacionadas a segurança cibernética. O Framework fornece um mecanimos de avaliação que torna possível a organização determinar suas capacidades atuais de segurança cibernética, estipular objetivos individuals para um estado desejado e estabelecer um plano para melhorar e manter seu programa de segurança da informação. São compreendidos 3 componentes primários: Profile(Perfil), Camadas de Implementação (Implementation Tiers) e Núcleo (Core). Através do framework, a sua organização poderá avaliar suas capacidades atuais e criar um roadmap para melhorar suas práticas de segurança cibernética. 5

6 Componentes do FRAMEWORK Framework Profile Framework Core Framework Implementation Tiers Alinhar os padrões da indústria e melhores práticas para o Framework Core em um cenário de implementação particular. Suporta priorização e medição enquanto se integra com as necessidades de negócios Atividades de segurança cibernética e referências informativas, organizadas em torno de resultados particulares. Permite a comunicação do risco cibernético em uma organização Descreve como o risco de ciber segurança é gerenciado por uma organização e as características chaves do grau das práticas de gestão de risco.

7 FRAMEWORK CORE Qual ativo necessita proteção? Quais medidas de segurança estão disponíveis? Quais técnicas podem identificar os incidentes? Quais técnicas podem conter os impactos dos incidentes? Quais técnicas podem restaurar a capacidade?

8 FRAMEWORK CORE

9 FRAMEWORK PROFILE Alinhamento de funções, categorias e subcategorias com requisitos de negócios, tolerância ao risco, e os recursos da organização; Permite as organizações criarem um roadmap para a redução do risco de segurança cibernética mantendo-se alinhado com os objetivos organizacionais, considerando requisitos legais / regulamentares e melhores práticas da indústria refletindo as prioridades de gestão de risco; Pode ser usado para descrever o estado atual ou o estado desejado alvo de atividades de segurança cibernética.

10 FRAMEWORK de EXECUTIVOS para OPERAÇÕES

11 FRAMEWORK IMPLEMENTATION TIERS O feedback indica a necessidade do framework permitir flexibilidade para flexibilizar a implementação e trazer conceitos de modelos de maturidade. Respondendo aos feedbacks, o Framework Implementation Tiers propõe refletir como uma organização implementa as funções núcleo (CORE) da framework e gere o seu risco risco. Os Tiers são progressivos, indo do Partial (Tier 1) para o Adaptive (Tier 4), e cada Tier é construido sobre a camada anterior. As características da Tier são definidas no nível organizacional e são aplicadas para o Framework Core para determinar como a categoria será implementada.

12 USANDO O CYBER SECURITY FRAMEWORK O Framework é desenvolvido para complementar as operações existentes de negócios e cybersecurity, e pode ser usado para: Entender o estado da segurança; Estabelecer / Melhorar um programa de segurança cibernética; Comunicar os requisitos de segurança cibernética com as partes interessadas, incluindo parceiros e fornecedores; Identificar oportunidades para normas novas ou revisadas; Identificar ferramentas e tecnologias para ajudar a organização; Integrar privacidade e considerações de liberdade civis no programa de segurança.

13 BUSINESS VALUE OF CYBER SECURITY FRAMEWORK BENEFÍCIOS Reduz o tempo e o investimento no inicio de um programa de segurança da informação. Reduz o risco com o programa de segurança atual indentificando oportunidades de melhorias. Aumenta a eficiência e reduz a possibilidade de falta de comunicação com o programa de segurança da informação e com outras organizações, como parceiros, fornecedores, reguladores e auditores. CARACTERÍSTICAS Evita conflitos de legislação, regulação, política, e boas práticas (Core); Guia a organização e o gerenciamento do programa de segurança da informação (Core) Mede o status atual e expressa o estado desejado (Profile) Tonar possível decisões de investimentos para endereçar gaps no estado atual (Profile) Comunica os requistos cybersecurity com as partes interessadas (Profile) Permite a análise de despesas/investimentos versus o risco(tiers)

14 PONTOS CHAVES DO CYBER SECURITY FRAMEWORK É um framwork, não uma prescrição Ele providencia uma linguagem comum e metodologia sistemática para gerenciar o risco cibernético. Ele não diz a empresa o quanto do risco cibernético é tolerável, nem formece uma fórmula mágica para segurança cibernética. Possui uma linguagem comum para permitir ações através de um conjunto muito diversificado de partes interessadas, permitindo que as melhores práticas de empresas de elite tornem-se práticas padrão para todos. O framework é um documento vivo Destina-se a ser atualizado com o tempo, de acordo com as experiências de implementação, mudanças no risco e em tecnologias. Essa é uma razão pela qual o framework se concentra em questões relacionadas as necessidades organizacionais para garantir que a empresa gerencie os seus riscos. Enquanto prática, as tecnologia e padrões vão mudar ao longo do tempo, mas os gestores não.

15 POR ONDE DEVO COMEÇAR (1) Ambiente de Negócio (ID.BE): A missão, objetivos, partes interessadas e atividades da organização são entendidas e priorizadas; esta informação é usada para informar os papéis e responsabilidades da segurança cibernética e descisões de gerenciamento de risco. Framework Version 1.0, Section 3.2, Passo 1: Prioritize and Scope. A organização identifica seus objetivos de negócios / missão e prioridades organizacionais. Com esta informação, a organização toma decisões estratégicas sobre implementações de segurança cibernética e determina o escopo de sistemas e ativos que suportam as estratégias de negócios ou processo selecionado. O framwork pode ser adaptado para apoio às diferentes estratégias de negócios ou processos dentro de uma organização, o que pode ter diferentes necessidades de negócios e tolerância de riscos associados. (2a) Governança (ID.GV): As políticas, procedimentos e processos para gerenciar e monitorar os requisitos organizacionais regulatórios, legais, de riscos, ambientais e operacionais são compreendidos e informados para a gerência de risco de segurança cibernética. Estratégia de Gestão de Risco (ID.RM): As prioridades da organização, restrições tolerâncias de risco, e os pressupostos são estabelecidos e utilizados para apoiar decisões de risco operacional.

16 QUESTÕES CHAVES DO CYBER SECURITY FRAMEWORK Pergunta Quem Material de decisão A implementação da tecnologia me ajuda a alcançar os objetivos de negócio? Missão ID.BE-3 A implementação da tecnologia afetará a função de algum sistema que impactará nos objetios de negócio? Tecnologia ID.AM-5 A implementação da tecnologia introduzirá a riscos insustentáveis? Cyber Security ID.RM- 2/Profile Inherent risks É possível implementar esta tecnologia dada a infraestrutura atual? Tecnologia ID.AM-1, 2, &3 Como eu minimizo os riscos associados com esta nova tecnologia: de uma forma que suporta as exigências da minha organização, e dentro do meu orçamento? Cyber Security ID.RM- 2/Profile Inherent risks Quanto a segurança é "suficiente" para implementar esta nova tecnologia? Cyber Security ID.RM- 2/Profile O que eu preciso fazer para garantir uma gestão de risco dessa nova tecnologia? Cyber Security Remaining Categories

17 Impacto O número médio de dias necessários para lidar eficazmente com as consequências de um ataque cibernético é de 46. O custo médio deste, por dia, é USD ,00. Durante um período de 46 dias teremos o prejuízo de USD ,

18 Ações Recomendadas Reposicionar Operacional para estratégica; (Information Security e Cyber Security). Avaliar Práticas adotadas atualmente frente as melhores práticas do mercado. Integrar Segurança da Informação com as necessidades de negócio através de Comitês (ser parceiro do negócio). Capacitar Colaboradores e parceiros em boas práticas de Segurança da Informação.

19 Estratégia Plan Do Check Act Assessment Canal de Comunicação Análise de KPI e KGI Tratamento de não conformidades Criação de um plano Diretor Estratégia do Plano Diretor Identificação de Riscos Tratamento de Riscos Plano de Tratamento de Riscos Estratégia do Plano de tratamento de Risco Identificação de não conformidades Treinamento e Conscientização

20 PLAN Assessment de segurança da informação Criação do plano diretor de segurança da informação Melhores práticas de Segurança Melhores práticas de Cyber Security Data Privacy Pessoas Processos Tecnologia Conformidade Plano de tratamento de riscos Identificar Categorizar e priorizar Atribuir responsáveis Definir estratégia para tratamento do risco 20

21 Bussiness Alignment PLAN - Assessment Governança da Segurança da Informação Riscos, Ameaças e seus impactos Políticas Corporativas Recursos e equipe atual Controles Effective Controls 21

22 PLAN - Assessment NIST Framework for Improving Critical Infrastructure CyberSecurity 22

23 PLAN Criação de um plano Diretor Direcionamento estrategico Macro Processos Papéis e responsabilidades Alinhamento com o negócio Business Strategy Estrutura Organizacional proposta Job description Recursos necessária de acordo com as ações planejadas Plano de ações e metas Ameaças ao Negocio Fatores criticos de sucesso Prioridades da organização Alinhamento com o plano estratégico corporativo Alinhamento com as tendências e boas práticas de SI Visão curto, médio e longo prazo RoadMap de projetos Proposta orçamentaria Projetos necessários para que a estratégia seja alcançada Demonstração do CAPEX para projetos Priorização dos projetos Demonstração do OPEX para projetos Criação de linha de tempo para execução dos projetos Demonstração do OPEX para recursos contratados Prioridades alinhadas a estratégia Segurança como item estratégico 23

24 PLAN Tratamento de Risco Principais Riscos Identificados durante o assessment priorizados Principais Riscos Identificados durante a criação do Plano Diretor priorizados Devemos mostrar para o Négocio os riscos identificados e tratar os de alto impacto (Dano a imagem, perda de reputação, perda financeira, risco de vida entre outros.). Indentificação de donos e responsáveis pelos riscos Estratégia de tratamento de Risco para curto, médio e longo prazo O Plano de Tratamento de Risco conterá a estratégia de tratamento de Risco para curto, médio e longo prazo; 24

25 DO Promover a Transformação Estratégia do Plano Diretor Estratégia do Plano de Tratamento de Risco Canal de Comunicação Treinamento e Conscientização Transformação 25

26 - DO Canal de Comunicação Canal estratégico para discutir Segurança da Informação com representantes das áreas de negócio; Comitê de Segurança da Informação e Cyber Security Integração no PMO Atuação para identificar riscos e requisitos de IS nos projetos e mudanças Canal de Integração com a área de Gestão de Processos Integração em processo de negócio Canal de Resposta e Tratamento de Incidentes Canal criado para manter a comunicação com os colaboradores 26

27 DO Conscientização Temas de campanhas serão definidas pelos Comitês que serão OWNER do processo. Criação de WELCOME KIT para integração de colaboradores com a Segurança da Informação Conscientização direcionada para o perfil do colaborador e educação contínua sobre novas ameaças a empresa Capacitação continua dos colaboradores 27

28 Premissas Riscos e Premissas Para que o programa tenha sucesso serão necessarios: Reposicionamento da área de Segurança da Informação como área estratégica SPONSORSHIP Apoio do comitê executivo e da direção na definição da estratégia de segurança da informação e do apetite de risco da organização TEAM BUDGET Criação dos comitês solicitados com o apoio do comitê executivo e diretoria; Orçamento para realizar os projetos necessários que proporcionarão as mudanças; BUSSINESS INTEGRATION 28

29 Saiba a sua maturidade Acesse

30 Obrigado pelo seu tempo! DARYUS Av. Paulista, andar Sâo Paulo SP t e. Prof Ricardo Tavares t e.