www.pwc.com Tendências em Segurança da Informação e-gov Melhores Práticas 26/10/2010
Agenda 1 Metodologia ESBM TM SecurityATLAS TM CoE 3 Alguns Casos 2 Algumas Tendências Cloud Computing Data Loss Prevention Forensic / Invesetigation 2
Metodologia 3
Metodologia A PricewaterhouseCoopers possui mais de 30 anos de experiência em todos os aspectos de segurança e governança de riscos. Na segunda metade de 1999, os líderes e membros mais experientes da nossa prática de consultoria de tecnologia afastaram-se do mercado para analisar o estado atual da segurança da informação nas indústrias. Com base nesta análise, formulamos um ponto de vista de segurança, baseado em princípios comerciais sólidos resumidos nos seguintes quatro elementos básicos: 1. Segurança da Informação deve agregar valor à organização. 2. Segurança da Informação pode ser dividida em uma série de atividades que formam uma cadeia de valor. 3. Organizações, com base em seus objetivos de negócio, devem selecionar as atividades que trazem mais valor. 4. As atividades selecionadas devem prover a combinação de pessoas, processos e recursos de tecnologia. 4
Modelo ESBM TM Desde então, considerando esses elementos, com base nos princípios de liderança de negócios desenvolvemos o Enterprise Security Business Model (ESBM ) ENVISION ENGINEER OPERATE RESPOND Assess Secure Detect Repair BUSINESS OBJECTIVES Analyze Strategize Align Develop Control Deploy Manage Maintain Prevent Stabilize Recover Investigate Organization Firm Processes Technology Infrastructure Prever (Envision) as atividades de segurança que agregam valor ao negócio, soluções Técnicas (Engineer) para criar esse valor no negócio, soluções de Operação (Operate) para capturar o valor do negócio, e responder (Respond) quanto necessário para sustentar o valor do negócio. 5
Modelo ESBM TM 6
Modelo ESBM TM 7
Modelo ESBM TM 8
Modelo ESBM TM 9
Modelo ESBM TM O Modelo ESBM evoluiu se transformando em um framework considerando o ciclo de vida de Segurança da Informação nas empresas que chamamos de SecurityONE. 10
Framework SecurityOne TM 11
Metodologia SecurityATLAS TM Rapidamente as necessidades de correlação com os objetivos de negócio nas organizações, bem aderência à aspectos legais, normas internas e processos, permitiram uma evolução do framework e consecutivamente da metodologia. 12
Metodologia SecurityATLAS TM O SecurityATLAS TM permite a correlação adequada com as necessidades de GRC (Governança, Risco e Conformidade). Information Risk Management Leadership Regulatory & Policy Compliance Governance Alignment Information Protection Architecture Identity Management Physical Security and Investigations Threat & Vulnerability Management Awareness & Education Privacy & Data Protection Computer Operations Information Lifecycle Management Change Management Service Delivery 13
Metodologia SecurityATLAS TM 14
- Center Of Excellence (CoE) Todos os escritórios da PriceWaterhouseCoopers no Brasil contam com o apoio da equipe de Segurança do nosso Centro de Excelência (CoE), com as melhores práticas e ferramentas. 15
Casos e Necessidades 16
Casos junto ao Governo Instituições Financeiras (Geral): - Threat Vulnerability Management: Análise de aplicações com base WEB, Bancos de dados, ambiente de infra-estrutura, considerando testes de invasão interna e externa, bem como análise de vulnerabilidades antes de entrada de sistemas críticos em produção. - Gestão de Continuidade de Negócio: Atendimento às exigências normativas do Banco Central do Brasil, quanto à continuidade, bem como alinhamento aos normativos de Riscos Operacionais. Caixa Econômica Federal: Auditoria dos processos relacionados às Autoridades Certificadoras de Certificados Digitais (Pessoa Jurídica e Física); - Foco nos processos, conforme a legislação vigente, e necessidades quanto à manutenção de controles para infraestrutura de chaves públicas. 17
Casos junto ao Governo Banco do Brasil: Projeto de auditoria com objetivo de atendimento à lei americana Sarbanes-Oxley (SOx), com participação em Segurança para Gestão de Identidade e análise no processo de concessão de acesso. - Foco Gestão de Acesso, análise no processo de concessão de acesso. SABESP: Auditoria de Segurança no sistema de gestão e compra de serviços, a fim de garantir e assegurar a idoneidade do processo em pregão eletrônico e seus registros de auditoria. - Foco nos processos e controles, considerando ISO 27001 e OWASP. 18
Casos junto ao Governo CEMIG: Aumentar a eficiência e eficácia dos processos e controles relativos à gestão de segurança da informação, gestão de riscos, segregação de funções e acessos, compliance contínuo, bem como a integração entre as ferramentas e os processos de negócio. - Foco: Identificação, avaliação, tratamento e controle dos riscos relevantes para SOX e segregação de acordo com as funções identificadas nos perfis existentes nos ambientes CCS e CRM. Tribunal de Contas do Distrito Federal, e Tribunal de Contas do Estado do Rio Grande do Sul: Revisão dos processos existentes de segurança, varreduras (scans) nos ativos tecnológicas e perímetro, com análise de vulnerabilidades e dos sistemas de informação, revisão da estrutura de segurança com o desenvolvimento de um Plano Diretor de Segurança da Informação. 19
Algumas Tendências 20
Cloud Computing Os 3 modelos emergentes são: SaaS (Software as a Service) PaaS (Platform as a Service) IaaS (Infrastructure as a Service) Aplicações tipicamente disponibilizadas por navegadores Internet, como: Google Apps Salesforce.com (CRM, ERP, Recursos Humanos, Gestão de Projetos, Redes Sociais, entre outros) Aplicações hospedadas em ambientes desenvolvidos e para o desenvolvimento de aplicações em cloud, como: Salesforce.com Amazon E2C Microsoft Azure (Business Intelligence, Bancos de Dados, Desenvolvimentos e testes, e Integração) Utilização por demanda de provedores ou Datacenters de seus recursos e serviços: HP Adaptive Infrastructure as a Service Rackspace Amazon E2C & S3 (Cópia de Segurança e Recuperação, Provedor de Servidores, Provedores de Rede e Conteúdo, Gestão de Serviços, e Armazenamento de Dados) 21
Cloud Computing Visão A em seu estudo global de 2010 State of Information Security Survey 1, revelou diferentes opiniões sobre o impacto da virtualização quanto à segurança da informação. 48% 42% 10% Acreditam que a virtualização tem melhorado os aspectos ligados à segurança da informação. Acreditam que a segurança da informação é a mesma, independentemente da virtualização Acreditam que a virtualização gera mais vulnerabilidades de segurança Assim como as tecnologia anteriores mudaram os paradigmas, o potencial para melhorar a segurança é de interesse para muitos, mas muitos ainda estão céticos. 1 GSISS a worldwide study by PricewaterhouseCoopers, CIO Magazine and CSO Magazine. Survey conducted online from April 22 through June 15, 2009. More than 7,200 responses from CEOs, CFOs, CIOs, CSOs, VPs and directors of IT and security 22
Cloud Computing- Soluções e Fornecedores Software as a Service (SaaS) Platform as a Service (PaaS) Google Apps Zoho Office Workday Microsoft Office Live Oracle On Demand Compiere Cloud Edition (ERP) Salesforce.com SFA Amazon E2C Salesforce.com Google App Engine Rational Software Delivery Etelos LongJump Boomi (EDI) Microsoft Azure HP Cloud IBM Cloud Sun Cloud Joyent External IaaS Rackspace Jamcracker HP Adaptive IaaS Internal IaaS Utility Systems Management Tools+ Utility Application Development VMWare IBM Tivoli Cassatt Parallels Xen Zuora Aria Systems evapt Data Synapse Univa UD Elastra Cloud Server 3tera App Logic IBM WebSphere XD BEA Weblogic Server VE Mule 23
Data Loss Prevention - DLP Outras nomenclaturas: Data Leakage Protection Data Leakage Prevention Information Leak Detection & Prevention Content Monitoring and Filtering 24
Data Loss Prevention A Jornada Descobrir dados, armazenados e em trafego a fim de identificar as necessidades de mudança e resguardo ao negócio. Supervisionar e revisar das políticas, procedimentos, normas e requisitos de conformidade sobre os dados armazenados e em trafego. Avalizar dos processos de negócio considerando o ciclo de vida do dado (criação, manuseio, trafego e armazenamento), bem como e as pessoas, processos e o ambiente. Identificar onde as práticas e os controles não atendem aos requisitos. Melhorar o processo de sensibilização e controles a fim de mitigar o risco e incorporando o habito do monitoramento contínuo no negócio. Incorporar o monitoramento contínuo como melhoria do processo de negócio. 25
Data Loss Prevention Framework 26
Forensic & Invesetigation Processos / Projetos relacionados à Forensics: Forensic (Aquisição de Dados): Geração de imagens de computadores, e-mails, arquivos de Servidores, PDA e Blackberries. E-mail e arquivos eletrônicos: Recuperação de arquivos e e- mails deletados, bem como outros dados eletrônicos. Arquivos de Transação: Contas a Pagar, Receber e arquivos de transação, dados de inventário e ativos imobilizado. Arquivos Mestre: Arquivos referentes Contas à Pagar e à Contas à Receber, bem como dados de funcionários. Política de Segurança: Identificação de arquivos ou dados fora da política da organização como pornografia. 27
Forensic & Invesetigation Outros serviços: Combate à lavagem de dinheiro Combate à crime eletrônico (Cybercrime/IP Theft) Extensão à procedimentos de auditoria Regulamentação, disputas e investigações Análise de processos de fraudes Suporte à processo de litígio criminal ou civil Electronic Stored Information 28
Obrigado. Afonso L Coelho afonso.coelho@br.pwc.com No representation or warranty (express or implied) is given as to the accuracy or completeness of the information contained in this publication, and, to the extent permitted by law, PricewaterhouseCoppoers, its members, employees and agents do not accept or assume any liability, responsibility or duty of care for any consequences of you or anyone else acting, or refraining to act, in reliance on the information contained in this publication or for any decision based on it. 2010 PricewaterhouseCoppoers. All rights reserved. In this document, refers to PricewaterhouseCoppoers which is a member firm of PricewaterhouseCoopers International Limited, each member firm of which is a separate legal entity.