Ciberataques e ameaças virtuais: como enfrentar esta realidade Marco Ribeiro Sócio Diretor Protiviti
CIBERATAQUES AFINAL, O QUE É? Uma nova buzzword do mercado? Uma tendência? Um problema? Ou o futuro?
CIBERATAQUES TENDÊNCIAS DA TECNOLOGIA Processos no ciber-espaço Expansão da Internet Móvel (Capilaridade, Wifi, Apps) Internet das Coisas (IoT) Cloud Computing (IaaS, PaaS, SaaS) Automação de conhecimento (Artificial Intelligence, Machine Learning) Reuso de informações Predição, Prevenção, Planejamento, Estratégia...
CIBERATAQUES CENÁRIO Fonte: Verizon, 2016 Data Breach Investigations Report
CIBERATAQUES CENÁRIO - BRASIL CUSTO TOTAL MÉDIO DE UM VAZAMENTO R$4.31M AUMENTO DO CUSTO TOTAL DE UM VAZAMENTO EM 8.5% CUSTO MÉDIO DO VAZAMENTO OU ROUBO DE UM DADO R$225 NÚMERO MÉDIO DE REGISTROS VAZADOS OU ROUBADOS 24.830 Fonte: IBM, Cost of Breach, 2016
CIBERATAQUES CENÁRIO - BRASIL VAZAMENTO CAUSADO POR MALWARE R$256 VAZAMENTO POR FALHA EM SOFTWARE R$211 VAZAMENTO CAUSADO POR USUÁRIOS R$200 Fonte: IBM, Cost of Breach, 2016
CIBERATAQUES CENÁRIO - BRASIL Fonte: IBM, Cost of Breach, 2016
CIBERATAQUES CENÁRIO - BRASIL Fonte: IBM, Cost of Breach, 2016
CIBERATAQUES CENÁRIO - BRASIL Fonte: IBM, Cost of Breach, 2016
CIBERATAQUES OS INCIDENTES NO BRASIL Brasil é o pais mais atacado na América Latina (Brasil, Chile, México, Peru, Argentina) Brasil é o mais infectado com comandos remotos (Brasil, Peru, México, Chile, Argentina) Setores com mais alertas de código malicioso: Serviços e Financeiro Energia e Utilities Varejo e bens de consumo Químico, Manufatura e Mineração Governo (exceto grandes eventos)
CIBERATAQUES Engenharia social : anúncios ou portais e sistemas de acesso falsos Maior abrangência (alcance de milhares de usuários) Uso de malwares sofisticados
CIBERATAQUES Malware: acesso remoto ao dispositivo, roubo ou sequestro de informações Os mais atuais pedem um resgate pelos dados criptografados Enviam dados de acesso a serviços de e-mail e serviços bancários para fraudadores
CIBERATAQUES Usuários internos conhecem o ambiente (inclusive vulnerabilidades) Mau uso ou desconhecimento de sistemas e dispositivos Uso excessivo da confiança, sem orientação Falta treinamento e conscientização
CIBERATAQUES O QUE QUEREM? Visibilidade.
CIBERATAQUES O QUE QUEREM? Vender seus dados, faturar Bitcoins, ou até mesmo efetuar pagamentos e transferências com seu ERP.
OS DESAFIOS DA AUDITORIA 1) Este risco esta aceito! 2) Não estamos tão expostos assim 3) Nunca sofremos um ataque! 4) Nunca perdemos dinheiro com hackers!
COMO LIDAR? 6 PASSOS PARA AVALIAR E TRATAR OS RISCOS DE TI 1) Entender a organização de Tecnologia da Informação (TI) da companhia 2) Entender a estrutura e atividades executadas em Segurança da Informação (SI) 3) Verificar se a área de riscos corporativos esta considerando riscos de TI 4) Avaliar a maturidade dos processos que suportam a organização de TI e SI 5) Entender as vulnerabilidades e riscos no meu ambiente 6) Reportar os riscos para o board
COMO LIDAR? 6 PASSOS PARA AVALIAR E TRATAR OS RISCOS DE TI 1) Entender a organização de Tecnologia da Informação (TI) da companhia A que diretoria ou vice-presidência se reporta a TI? Quais as áreas de TI na companhia Desenvolvimento, Implantação, Operação, Suporte, Monitoramento, etc. Qual a estrutura organizacional que a suporta? Recursos: internos, terceiros, vendors? Aproximação com o negócio? Qual a maturidade dos processos?
COMO LIDAR? 6 PASSOS PARA AVALIAR E TRATAR OS RISCOS DE TI 2) Entender a estrutura e atividades executadas em Segurança da Informação (SI) Qual a linha de reporte da área de SI? Qual a estrutura que a suporta? Quais as atividades sob sua responsabilidade? Aproximação e bom relacionamento com a TI? Inserida nos processos de negócio? Existem atividades operacionais nesta área? Há conflitos de função? Qual a maturidade dos processos?
COMO LIDAR? 6 PASSOS PARA AVALIAR E TRATAR OS RISCOS DE TI 3) Verificar se a área de riscos corporativos esta considerando riscos de TI Há uma área responsável pela gestão de riscos da companhia? Dentre os riscos catalogados, existem aqueles que refletem questões de TI? Os riscos são medidos de acordo com o impacto ao negócio? Há uma distinção entre o que é crítico ou não para a companhia? Novas vulnerabilidades são identificadas e reportadas? As áreas de negócio/operações compreendem a que riscos estão expostas?
COMO LIDAR? 6 PASSOS PARA AVALIAR E TRATAR OS RISCOS DE TI 4) Avaliar a maturidade dos processos que suportam a organização de TI e SI Os serviços fornecidos por TI e SI estão definidos e catalogados? Os serviços estão estabelecidos por meio de processos e procedimentos? Há politicas para suportar/delimitar as atividades desenvolvidas por TI e SI? Todos envolvidos na gestão e operação de TI e SI conhecem as políticas? Existem controles adequados para todos processos descritos? Os controles são monitorados, KPIs e eventuais incidentes reportados?
COMO LIDAR? 6 PASSOS PARA AVALIAR E TRATAR OS RISCOS DE TI 5) Entender as vulnerabilidades e riscos no meu ambiente O que é importante para meu negócio (as joias da coroa)? De que forma a infraestrutura, sistemas e informações são protegidos? As ferramentas para proteger estes recursos são adequadas? Há rotina de testes técnicos no ambiente de TI e seus controles? Existem planos para mitigar riscos e corrigir vulnerabilidades? As vulnerabilidades estão consolidadas em riscos e são reportadas? As vulnerabilidades e riscos estão relacionados a processos de negócio?
COMO LIDAR? 6 PASSOS PARA AVALIAR E TRATAR OS RISCOS DE TI 6) Reportar os riscos para o board Consolidar as vulnerabilidades em riscos relacionados a TI Associar riscos com processos de negócio e operacionais Descrever os impactos a companhia para cada risco descrito (quantitativo) Gerenciar planos de mitigação e cartas de risco Manter dashboard periódico (riscos, plano de mitigação e cartas de risco)
O QUE PODE NOS AJUDAR? Novo Código Civil Administradores de sistemas terão de tomar os necessários cuidados para evitar a danos a terceiros Manter sistemas atualizados e controlados Aplicável a todas as organizações Obrigatório As empresas são responsáveis pelos produtos e serviços Responsáveis no caso de ataques e vazamentos.
CONTROLES GERAIS: TI E SI Governança: Política de segurança da informação Campanhas de conscientização Termos de aceite Monitoramento de indicadores Avaliação contínua Gestão de provedores e terceiros Informações Quais informações críticas? Qual a classificação dessas informações? Onde estão armazenadas e como? De que forma são manipuladas? Ambiente Tecnológico: Rede segregada Ambiente controlados Acesso restrito a servidores Restrição de conexões da internet Uso de firewalls, filtro de conteúdo, antivírus Gestão de acessos Poucos e conhecidos administradores Perfis controlados, segregados e monitorados Usuários não tem poder administrativo Controle de conteúdo e execução de programas
O QUE MAIS CONSIDERAR? IT SECURITY NETWORK SECURITY WEB & SaaS SECURITY ENDPOINT & MOBILE SEC CLOUD SECURITY BUSINESS CONTINUITY PROCESSOS E POLÍTICAS ARQUITETURA DE SEGURANÇA BIA GESTÂO DE USUÁRIOS E ACESSOS DC/DR GESTÃO DE INCIDENTES GESTÃO DE CONTRATOS GESTÃO DE VULNERABILIDADES SOC (SECURITY OPERATIONS CENTER) GESTÃO DE AMEAÇAS GESTÃO DE TERCEIROS AV & AM, FILE INTEGRITY BEHAVIOR & LOG MGMT RESPOSITÓR IOS DE DADOS AV, AM, AS, APT, CF, PROXY BEHAVIOR & LOG MGMT AV & AM BEHAVIOR & LOG MGMT
EM UM FUTURO PRÓXIMO... Código-fonte volta a permear muitas empresas APPs personalizados, integrados com sistemas corporativos Mobilidade: sistemas na Internet, disponíveis a todo momento Infraestrutura e serviços descentralizados Datacenters fragmentados Recursos críticos na nuvem Grande volume de dados para processamento e análise Sensores diversos Automação IoT
CONCLUSÕES Não podemos impedir a disponibilização de dados, sistemas e aplicativos A concorrência pode tirar vantagem disso A nova geração já tem a cultura de permanecer conectada O trabalho remoto é cada vez mais uma realidade Devemos conhecer nossas vulnerabilidades e trata-las de forma contínua Entender quais são nossos riscos Dividir a decisão com o board: ciência e o apetite de risco aos mesmos Definir o nível de maturidade necessário e adequado e persegui-lo Novas vulnerabilidades surgem todos os dias!
MARCO RIBEIRO Sócio-Diretor marco.ribeiro@protiviti.com.br +55 11 2198 4200 +55 11 97679-2539
SÃO PAULO R. James Joule, 65 5 andar Torre Sul BERRINI São Paulo SP CEP 04576-080 +55 11 2198 4200 RIO DE JANEIRO Av. Rio Branco, 109 cj 702 CENTRO RIO DE JANEIRO RJ CEP 20040-004 +55 21 2511 2651
Para baixar nossas apresentações, utilize o QR Code: Ou acesse: http://www.icts.com.br/v2/por/publicacoes