BYOD: Qual o risco de usar dispositivos pessoais no ambiente corporativo?

Transcrição

1 IT PROFESSIONAL MEETING DO OESTE PAULISTA PRESIDENTE PRUDENTE - SP BYOD: Qual o risco de usar dispositivos pessoais no ambiente corporativo? Cláudio Dodt, CISA, CISSP, CRISC, ISMAS Business Continuity & Security Senior Consultant Gerente regional - Nordeste claudio.dodt@daryus.com.br

2 Quem somos: Empresa 100% nacional localizada em São Paulo capital; Representante educacional exclusiva do DRII Disaster Recovery Institute International desde 2005; Especializada e líder no Brasil em consultoria e soluções para Recuperação de Desastres; Continuidade de Negócios e Somos a empresa mais completa em Gestão de Riscos, por oferecer educação e consultoria de forma especializada; Idealizadora de dois eventos que tornaram-se referencia no mercado nacional GRC International e o GRM Global Risk Meeting; Prêmio SECMASTER 2006 pela ISSA International; Reconhecida pela Infragard USA (California) em 2011.

3 Nossas unidades

4 Nossos serviços: Continuidade de Negócios Segurança da Informação Gestão de Processos de Negócios Governança, Risco e Conformidade

5 Nossos clientes:

6 Cláudio Dodt Business Continuity & Security Senior Consultant - Regional Manager claudio.dodt@daryus.com.br Atua na área de tecnologia há mais de 10 anos exercendo atividades como técnico e analista de suporte, Analista de Segurança Sr., Security Officer e Supervisor de Infraestrutura e Segurança. Desenvolveu atividades em empresas brasileiras e multinacionais, tendo participado no Brasil e no exterior em projetos de segurança de diversos segmentos como Educacional, Financeiro, Saúde, Agroindústria, Indústria Alimentícia, Naval, Metal-Mecânica e Têxtil. Geek convicto, mergulhador autônomo e um grande amante da leitura e dos videogames. Especializações ITIL V2 Service Manager/ ITIL Expert; Certified Information Systems Security Professional (CISSP ); Certified Information Systems Auditor (CISA); Certified in Risk and Information Systems Control (CRISC); ISO Lead Auditor; ISO/IEC Foundation; Information Security Foundation (ISFS) based on ISO/IEC 27002; Information Security Management Advanced (ISMAS) based on ISO/IEC 27002; CobiT Foundation; EXIN Accredited Trainer - (ITIL Foundation; ISO Foundation, ISFS, ISMAS)

7 O que é a CONSUMERIZAÇÃO de TI?

8 O que é a CONSUMERIZAÇÃO de TI? Tendência da tecnologia chegar primeiro no mercado consumidor e posteriormente ser levada para o ambiente corporativo.

9 Começamos cada vez mais cedo!

10 Fonte: O que muda para as organizações?

11 Fonte: O que muda para as organizações?

12

13 Celulares esquecidos em Taxis (apenas NY)* * Dados de 2009

14 Celulares esquecidos em Taxis (apenas NY)* O que isso pode representar para sua empresa? * Dados de 2009

15 Como fica a gestão de TIC? Gerenciamento Corporativo Controlado; Previsível; Centralizado no processo; Eficiente; Conservador. Gerenciamento Consumerizado Conectado; Aberto; Centralizado na Informação; Inovador; Agressivo.

16

17

18 Possíveis benefícios: Redução de custos; Aumento na produtividade; Aumento na satisfação dos empregados; Apoia iniciativas de Continuidade e Disaster Recovery.

19 Riscos Prováveis: Perda, vazamento e roubo de informação; Infecção por malwares; Interrupções no serviço; Implicações legais; Pesadelos para equipes de Suporte Técnico e Segurança da Informação.

20 Riscos Prováveis: Perda, vazamento e roubo de informação; Não importa de quem é o Infecção por malwares; dispositivo e sim garantir a Interrupções no serviço; Segurança da Informação! Implicações legais; Pesadelos para equipes de Suporte Técnico e Segurança da Informação.

21 Valor para o Negócio Qual a melhor forma de garantir o VALOR para o negócio e mitigar os riscos do BYOD? Mitigação do Risco

22 Valor para o Negócio Restringir Definir políticas e procedimentos Tecnologia de apoio Arquitetura corporativa Definir níveis de suporte Abraçar Definir políticas e procedimentos Melhores práticas Tecnologia de apoio Arquitetura corporativa Central de Serviços Corporativa Permitir Definir políticas e procedimentos Não prover suporte Confiar no empregado Bloquear Definir políticas e procedimentos Definir controles técnicos Monitoração Mitigação do Risco

23 Valor para o Negócio Criar uma política, proibir ou apenas confiar não é suficiente! De acordo com uma pesquisa da Cisco em janeiro 2012, que abrangeu mais de 1500 CIOs: 48% das empresas NÃO autorizam BYOD; No entanto, 57% dos pesquisados concordaram que alguns funcionários usam dispositivos pessoais para acessar recursos corporativos, mesmo sem o consentimento! Mitigação do Risco

24 Estamos preparados?

25 Sua empresa possui políticas de Estamos preparados? MOBILIDADE e BYOD? Sim 14% Não 54% Em Desenvolvimento 32%

26 Uma visão holística BYOD Políticas

27 Uma visão holística Se a maioria das organizações não tem sequer uma política, BYOD como vamos lidar com todos os aspectos que envolvem o BYOD? Políticas

28 Precisamos definir: Quais plataformas de dispositivos móveis devem ser suportadas? Quais serviços corporativos esses dispositivos devem acessar? Quais são os requisitos de segurança? Como será a Perícia Forense? Existe alguma lei ou regulamentação que devo estar em conformidade? Quais são as expectativas de privacidade de seus usuários? Quais são as capacidades técnicas dos usuários? Qual é o nível de suporte esperado? O que é considerado Aceitável e Inaceitável? Como será a política de reembolso de despesas?

29 Conclusão: CONSUMERIZAÇÃO e BYOD são uma realidade e você não vai conseguir escapar......mas definitivamente pode e deve controlar. Uma política é essencial... A Estratégia vencedora?...mas sozinha não é suficiente. Política + Conscientização + Tecnologia

30 Obrigado!

31 Cláudio Dodt Business Continuity & Security Senior Consultant