Life Sciences Cyber Security



Documentos relacionados
Pesquisa de Auditoria Interna

Cyber Security. Segurança em Sistemas de Controle Industrial (ICS / SCADA) Security University kpmg.com/br/cyber

Pesquisa Ambiente Regulatório kpmg.com/br

Centro de Excelência de Cidades. Construindo novas cidades para um novo mundo. kpmg.com/br

Sistema Público de Escrituração Digital (SPED) Quiz Interativo: Dificuldades e receios das empresas

Building, Construction & Real Estate

Contract Compliance Services

COMPETÊNCIAS FUNCIONAIS IS/TI

Alta performance: a base para os nossos clientes, a base para o seu futuro.

15/09/2015. Gestão e Governança de TI. Modelo de Governança em TI. A entrega de valor. A entrega de valor. A entrega de valor. A entrega de valor

Escolhendo a melhor opção para sua empresa

Gerenciamento de capital e ICAAP

Valores: Atitude Nós acreditamos que é a atitude diante das dificuldades que definem se elas serão ultrapassadas ou impedirão o caminho.

Governança de TI. ITIL v.2&3. parte 1

DATA WAREHOUSE NO APOIO À TOMADA DE DECISÕES

Pesquisa sobre: Panorama da Gestão de Estoques

Gerenciamento de Serviços de TI ITIL v2 Módulo 1 Conceitos básicos

CBG Centro Brasileiro de Gestão

SUAS INFORMAÇÕES ESTÃO SEGURAS?

O Grupo Gerdau incentiva o trabalho em equipe e o uso de ferramentas de gestão pela qualidade na busca de soluções para os problemas do dia-a-dia.

Building, Construction & Real Estate

CPM Braxis Capgemini reduz custos em 18% com CA Business Service Insight

.Desenvolvimento de Sistemas

AUDITORIA GOVERNAMENTAL. Maio de 2013 Sandra Maria de Carvalho Campos

Gestão e estratégia de TI Conhecimento do negócio aliado à excelência em serviços de tecnologia

Private Equity ADVISORY

DECLARAÇÃO DE POLÍTICA DE DIREITOS HUMANOS DA UNILEVER

Governança de TI. NÃO É apenas siglas como ITIL ou COBIT ou SOX... NÃO É apenas implantação de melhores práticas em TI, especialmente em serviços

Índice. Empresa Soluções Parceiros Porque SEVEN? Contatos. Rua Artur Saboia, 367 Cj 61 São Paulo (Brasil)

AUDITORIA DE DIAGNÓSTICO

Terceirização de RH e o líder financeiro SUMÁRIO EXECUTIVO. Você e o RH estão falando a mesma língua? EM ASSOCIAÇÃO COM

MECANISMOS PARA GOVERNANÇA DE T.I. IMPLEMENTAÇÃO DA. Prof. Angelo Augusto Frozza, M.Sc.

PROJETO RUMOS DA INDÚSTRIA PAULISTA

Oficina de Gestão de Portifólio

Abordagem de Processo: conceitos e diretrizes para sua implementação

Implantação da Governança a de TI na CGU

O Valor estratégico da sustentabilidade: resultados do Relatório Global da McKinsey

Governança de TI UNICAMP 13/10/2014. Edson Roberto Gaseta

POLÍTICA DE SEGURANÇA, MEIO AMBIENTE E SAÚDE (SMS) Sustentabilidade

Governança AMIGA. Para baixar o modelo de como fazer PDTI:

Portfólio de Serviços. Governança de TI. Treinamento e Consultoria

Gerenciamento de Projetos

POLÍTICA DA QUALIDADE POLÍTICA AMBIENTAL POLÍTICA DE SEGURANÇA, SAÚDE E BEM ESTAR NO TRABALHO

INFORMAÇÕES ADICIONAIS

CONCORRÊNCIA AA Nº 05/2009 BNDES ANEXO X PROJETO BÁSICO: DESCRIÇÃO DOS PROCESSOS DE TI

Eixo Temático ET Gestão de Resíduos Sólidos VANTAGENS DA LOGÍSTICA REVERSA NOS EQUIPAMENTOS ELETRÔNICOS

Relatório de asseguração limitada dos auditores independentes

Secretaria de Gestão Pública de São Paulo. Guia de Avaliação de Maturidade dos Processos de Gestão de TI

COMO FAZER A TRANSIÇÃO

Política de Responsabilidade Socioambiental

Perfil do Franqueado. Procuramos empreendedores com o seguinte perfil: Experiência em varejo ou rede de negócio.

Visão global, especialização local Consultoria para a indústria financeira

Código de prática para a gestão da segurança da informação

O Cisco IBSG prevê o surgimento de mercados globais conectados

ANEXO 1: Formato Recomendado de Planos de Negócios - Deve ter entre 30 e 50 páginas

GERENCIANDO SERVIÇOS DE MENSAGENS OTT PARA UM PROVEDOR DE TELECOM GLOBAL

Ambientação nos conceitos

A arte da gestão de negociações

SISTEMA DE GESTÃO AMBIENTAL ABNT NBR ISO 14001

Segurança Computacional. Rodrigo Fujioka


POLÍTICA DE RESPONSABILIDADE SOCIOAMBIENTAL

Maximize o desempenho das suas instalações. Gerenciamento Integrado de Facilities - Brasil

Forneça a próxima onda de inovações empresariais com o Open Network Environment

3º ENCONTRO ANUAL DA AACE

Eficiência operacional no setor público. Dez recomendações para cortar custos

TI em Números Como identificar e mostrar o real valor da TI

A EVOLUÇÃO DOS PROFISSIONAIS DE TI PARA ATENDER AS NECESSIDADES EMPRESARIAIS

Parcerias para o Desenvolvimento Sustentável

Cinco principais qualidades dos melhores professores de Escolas de Negócios

TAX. esocial. kpmg.com/br

POLÍTICA DE RESPONSABILIDADE SOCIOAMBIENTAL

Detecção e investigação de ameaças avançadas. INFRAESTRUTURA

POLÍTICA DE SEGURANÇA POLÍTICA DA QUALIDADE POLÍTICA AMBIENTAL POLÍTICA DE SEGURANÇA, SAÚDE E BEM-ESTAR NO TRABALHO

GESTÃO DAS INFORMAÇÕES DAS ORGANIZAÇÕES MÓDULO 11

Credit Suisse (Brasil) Política de Responsabilidade Socioambiental (PRSA) Julho de 2015

LINHA DE APRENDIZADO. Departamento de Compras. Modelo de Negócio. Central de Compras. Associação Beneficente de Assistência Social e Hospitalar

Eficiência em TI e Criação de Valor. Anderson Itaborahy Diretoria de Tecnologia do Banco do Brasil

SUMÁRIO. Este procedimento define a estrutura e a sistemática para a condução da Análise Crítica do Sistema de Gestão de SMS da OGX.

Pós-Graduação em Gerenciamento de Projetos práticas do PMI

Transcrição:

Life Sciences Cyber Security Março de 2015 kpmg.com/br

2X ORGANIZAÇÕES DE SAÚDE RELATAM PERDA DE DADOS E INCIDENTES DE ROUBO A DUAS VEZES A TAXA DE OUTRAS INDÚSTRIAS Fonte: Verizon s 2014 Data Breach Investigations Report O CENÁRIO ATUAL As manchetes são alarmantes e novos eventos são relatados quase todos os dias. Os avisos são terríveis, a preocupação do consumidor e o controle regulatório estão no centro das atenções. A natureza complexa e muitas vezes incompreendida da segurança cibernética está exercendo uma enorme pressão sobre a cadeia de valor da indústria farmacêutica. Embora a necessidade de uma melhor compreensão e de controles seja óbvia, recomendamos para que as empresas contenham o instinto natural de uma reação exagerada à crise atual de segurança cibernética. Em vez disso, estabeleçam uma abordagem disciplinada, a fim de obter melhorias relacionadas à segurança cibernética e, simultaneamente, proporcionar benefícios reais para o negócio. INICIANDO OS TRABALHOS ~ 2B É O CUSTO DE ROUBO DE INFORMAÇÕES DENTRO DOS SETORES FARMACÊUTICOS, DE BIOTECNOLOGIA E DE SAÚDE DO REINO UNIDO. Fonte: UK s Office of Cyber Security and Information Assurance (OCISA) Temos visto muitas tentativas desesperadas e malsucedidas para enfrentar o desafio de segurança cibernética. Isso inclui programas de segurança cibernética com base principalmente em melhores e mais recentes ferramentas técnicas, em uma tentativa de erradicar qualquer ameaça à segurança cibernética possível ou percebida. Essa corrida para ação pode resultar em uma organização com soluções técnicas que não são necessárias, processos que não funcionam adequadamente, não atribuição de controles claros, e soluções de segurança cibernética muito caras para se sustentar ao longo do tempo. Recomendamos uma abordagem bem pensada e disciplinada para compreensão, avaliação, priorização e mitigação dos riscos de segurança cibernética que impactam os ativos de informações mais sensíveis. Tudo isso com base em nossa experiência no fornecimento de serviços de transformação em segurança cibernética, em que desenvolvemos uma abordagem que vai auxiliar nossos clientes no estabelecimento de melhorias relacionadas à segurança cibernética modeladas ao seu negócio.

A nossa abordagem pode ser resumida em 4 passos, conforme descritos a seguir: CONJUNTO CATÁLOGO RESUMO DE NOSSA ABORDAGEM Trabalhar para definir cenários de risco de segurança cibernética exclusivos para seu ambiente. Identificar os ativos de informações sensíveis e fluxos de dados relawcionados. Inventariar ativos de tecnologia e analisar riscos. - Avaliar a maturidade de segurança cibernética por meio da: - Liderança e governança; - Cultura; - Gestão de riscos da Informação; - Operações de TI, tecnologia, nível de habilidade; - Legais e de conformidade; - A continuidade dos negócios; - A gestão de crises. Envolver a função de segurança de TI ao projetar e implementar a mudança nos negócios. LIMPEZA Corrigir problemas de alto risco identificados durante os esforços de avaliação e criação de catálogo (ver acima). Roadmap da estratégia de alteração de documentos de segurança cibernética baseada na avaliação da maturidade. CONTROLE Atualizar o mapa de controles, em conformidade com os requisitos de negócios e regulamentares. Introduzir uma abordagem unificada de compliance através da padronização de controles. Reforçar os procedimentos de aquisição de ativos de tecnologia/ software e desenvolvimento. Melhorar a governança de terceiros e fornecedores, e definir agendas comuns. Padronizar os processos de gestão de serviços e automatizar fluxos de trabalho relacionados. Aproximar os controles de dados através de: - Gerenciamento de direitos digitais; - Gestão de ativos; - Gerenciamento de identidades; - Gerenciamento de direitos privilegiados; - Gerenciamento de chaves; - Endereçamento do vazamento de dados, pontos de proteção contra perda. COMUNICAÇÃO Processar o gerenciamento de incidentes, atualização e divulgação. Melhorar a coordenação entre as equipes não técnicas (por exemplo, Legal, Comunicação, Pesquisa etc.). Reforçar as normas de documentação e capacidade de investigação. Entregar melhores indicadores de segurança cibernética.

OS DESAFIOS ENFRENTADOS Há realmente muita coisa em jogo e muitos desafios. As organizações inseridas na cadeia de valor da indústria farmacêutica têm volumes significativos de ativos confidenciais de informação que precisam ser protegidos de acordo com diferentes e, por vezes, contraditórias expectativas, incluindo: necessidades de consumo, políticas corporativas, padrões da indústria, requisitos regulamentares, normas jurídicas que ultrapassam fronteiras e bom senso. Todas as organizações do setor possuem os 5 seguintes tipos de ativos: Corporativos: propriedade intelectual, pesquisa, desenvolvimento, fusão, aquisição, alienação, segredos comerciais etc. Cliente: clínica, ensaio, dosagem, medicamentos, sintomas, resultados, dados pessoais. Funcionário: recursos humanos, folha de pagamento, saúde, benefícios, avaliações de desempenho. Fornecedores e Terceiros: acordos comerciais, cartões de taxa, hospedagem de dados, dados de gestão. Jurídico e Legal: Ações judiciais, arbitragem e comunicações privilegiadas. Cada tipo de informação de ativos deve ser considerado exclusivamente quando da elaboração de sua estratégia de segurança cibernética; isto é devido a tecnologia, recursos, qualificação, regulamentação, processos e considerações distintas de controles necessários para proteger totalmente e governar esses diferentes tipos de informação - a partir das ações para criação, uso, armazenamento e destruição (ciclo de vida do ativo de informações, por exemplo). Programas de segurança cibernética de sucesso devem aderir a um princípio básico de proteção de informações e privacidade: mover controles e governança o mais próximo possível do dado a ser protegido. 17.000 MÉDIA DO NÚMERO DE REGISTROS DE PACIENTES VIOLADOS POR DIA A PARTIR DE 2009 ATÉ O PRESENTE Fonte: Depto. de Saúde e Serviços Humanos (US)

CYBER SECURITY FACILITANDO A MUDANÇA ESTRATÉGICA As organizações do setor de Life Sciences atuando para melhorar as capacidades de segurança cibernética, ao mesmo tempo que tentam encontrar oportunidades de reduzir custos, melhorar a eficiência dos processos, consolidar tecnologias, implementação de tecnologias e soluções emergentes, introduzir novos modelos de negócios, e aumentar as margens de lucro. Nosso resumo das principais tendências do mercado, as implicações para a indústria e como a melhoria das capacidades de segurança cibernética podem servir como um facilitador estratégico facilitando uma mudança positiva é apresentada da seguinte forma: TENDÊNCIA DE MERCADO IMPLICAÇÕES PARA LIFE SCIENCES MUDANÇAS REQUERIDAS PARA CYBER HABILITADOR DE MUDANÇAS ALIANÇAS DE NEGÓCIO E MODELOS OPERACIONAIS DIFERENCIADOS (PLUG & PLAY) Aumento da complexidade e dos riscos de processos, dados e tecnologias Procedimentos de diligência e de avaliação de riscos de segurança cibernética relacionados a terceiros e fornecedores Controles de acesso e governança de ativos de informação Reduz riscos de sourcing e negócios relacionados a parceiros e fornecedores Facilita o acesso on-demand para informações GLOBALIZAÇÃO E EMERGENTE EXPANSÃO DO MERCADO Maior dependência, organizações de TI escaláveis para apoiar a cadeia de abastecimento global, mercados em evolução, expansão internacional e as exigências dos consumidores Melhoria das estruturas de controle de segurança cibernética Melhoria de análise de segurança cibernética, relatórios e comunicações Diminui a mudança e os custos relacionados com o desenvolvimento Reduz o cumprimento regulatório através de uma abordagem de relatórios de conformidade unificada EVOLUÇÃO DO MODELO COMERCIAL Surgimento de novas parcerias comerciais e maior dependência de Directto-Consumer e canais de mercado B2C Controles de acesso e governança de ativos de informação Melhoria das estruturas de controle de segurança cibernética Permite a proliferação de canais de interação com o cliente (ou seja, a mídia social) e acesso móvel a dados Oferece oportunidades de certificação de segurança cibernética escalável AUMENTO DO PAPEL DO GOVERNO NO ÂMBITO DA REGULAÇÃO Alteração das operações de negócio em evolução, carga regulamentar e aumento de relatórios de conformidade Melhoria dos dados e controles de segurança centralizados Melhoria da informação de gestão do ciclo de vida de ativos e controles Atinge as regras de segurança cibernética internacional e requisitos de privacidade Garante arquivamento e cumprimento dos requisitos de controle de retenção de dados EVOLUÇÃO DOS MODELOS DE PRESTAÇÃO DE SERVIÇOS ÀS EMPRESAS Surgimento de serviços compartilhados e outsourcing com soluções de negócios em nuvem Controles de acesso e governança de ativos de informação Melhoria de análise de segurança cibernética, relatórios e comunicações Fornece maior controle e colaboração com terceiros e fornecedores, a fim de atingir as metas de desempenho Para uma melhor compreensão da evolução das ameaças de segurança e privacidade, o que ajuda a determinar os investimentos em segurança cibernética

POR QUE A KPMG? Servimos cada uma das 15 principais companhias farmacêuticas globais. Servimos 17 das 25 maiores empresas de biotecnologia globais. Atendemos 62% das 78 empresas da Fortune 1000 de saúde. Atendemos 80% do top 10 de empresas de gestão em Health Care. Atendemos 50% dos 150 melhores sistemas de saúde. Temos uma prática de consultoria dedicada a Life Sciences & Pharma que entende os direcionados atuais da indústria e os riscos. Temos profundo conhecimento em temas emergentes, incluindo: Cloud Computing, mobilidade, mídias sociais e analytics. Temos mundialmente mais de 1.600 profissionais dedicados à proteção de informações. Temos as alianças externas necessárias para fornecer soluções de segurança cibernética fim a fim para nossos clientes. Abordamos cada projeto de tecnologia, focando primeiro no que é adequado para o seu negócio. A KPMG UK dirige o Instituto Internacional de Integridade da Informação (I4), que oferece acesso imediato aos dados de referência da indústria. Somos consultores objetivos que entendem das estruturas de segurança cibernética de nossos clientes. Somos especialistas em ferramentas de segurança de TI relevantes, incluindo: Nessus, AppScan, RedSeal, Veracode etc. O QUE NOS DIFERENCIA COLABORATIVO Facilitamos e trabalhamos com fóruns colaborativos para reunir as melhores ideias da indústria a fim de resolver coletivamente desafios comuns. O fórum KPMG I-4 reúne mais de 50 das maiores organizações do mundo para discutir problemas e soluções emergentes. RECONHECIMENTO O Forrester reconheceu a KPMG como líder em Consultoria para Segurança da Informação, destacando o nosso forte foco e capacidade de assumir compromissos desafiadores com nossos clientes, traduzindo suas necessidades em resultados. GLOBAL E LOCAL Existem mais de 1.600 profissionais de segurança que trabalham na rede de firmas-membro da KPMG, dando-nos a capacidade de orquestrar e entregar consistentemente elevados padrões em toda a nossa rede global. As firmas-membro da KPMG podem atender às suas necessidades locais de programas de estratégia de segurança da informação e programas de mudanças, avaliações técnicas, investigações forenses, resposta a incidentes e treinamentos. CONFIÁVEL Temos uma longa lista de certificações e licenças para executar trabalhos para muitas das principais organizações do mundo.

CONTATO Leandro Augusto Sócio, Cyber Security Tel: +55 (11) 2183-3740 lantonio@kpmg.com.br Leonardo Augusto Giusti Sócio-líder, Life Sciences & Pharma Tel: +55 (11) 2183-3213 lgiusti@kpmg.com.br kpmg.com/br/cyber / kpmgbrasil App KPMG Brasil disponível em ios e Android App KPMG Publicações disponível em ios e Android 2015 KPMG Consultoria Ltda., uma sociedade simples brasileira, de responsabilidade limitada, e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG International Cooperative ( KPMG International ), uma entidade suíça. Todos os direitos reservados. Impresso no Brasil. O nome KPMG, o logotipo e cutting through complexity são marcas registradas ou comerciais da KPMG International Todas as informações apresentadas neste documento são de natureza genérica e não têm por finalidade abordar as circunstâncias de uma pessoa ou entidade específica. Embora tenhamos nos empenhado em prestar informações precisas e atualizadas, não há garantia de sua exatidão na data em que forem recebidas nem de que tal exatidão permanecerá no futuro. Essas informações não devem servir de base para se empreenderem ações sem orientação profissional qualificada, precedida de um exame minucioso da situação em pauta.

2026 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback