Grupo Técnico de Cibersegurança 1 Pesquisa ANBIMA de Cibersegurança 2017

Documentos relacionados
Grupo Técnico de Cibersegurança 2 Pesquisa ANBIMA de Cibersegurança 2018

Pesquisa ANBIMA de Cibersegurança 2017

2a Pesquisa ANBIMA de. Cibersegurança 2018

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO, CONTINUIDADE DE NEGÓCIOS E SEGURANÇA CIBERNÉTICA

Rabobank Segurança Cibernética

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PÚBLICA

1. Introdução PUBLIC - 1

PLANO DE CONTIGÊNCIA E CONTINUIDADE DOS NEGÓCIOS. SPA Strategic Portfolio Advisors

PLANO DE CONTIGÊNCIA E CONTINUIDADE DOS NEGÓCIOS. Garín Investimentos LTDA

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E CIBERNÉTICA

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E CIBERNÉTICA SAFARI CAPITAL

PLANO DE CONTINGÊNCIA E CONTINUIDADE DOS NEGÓCIOS

Política de Segurança Cibernética

Controles de acordo com o Anexo A da norma ISO/IEC 27001

PROGRAMA DE SEGURANÇA CIBERNÉTICA

TECNOLOGIA DA INFORMAÇÃO

JIVE Asset Gestão de Recursos Ltda.

Política de Segurança Cibernética

ÍNDICE 1. OBJETIVO CONCEITOS PRINCÍPIOS DIRETRIZES CORPORATIVAS ESTRUTURA DE GERENCIAMENTO... 4

Gestão de Segurança da Informação. Interpretação da norma NBR ISO/IEC 27001:2006. Curso e Learning Sistema de

LOCAL DE ARMAZENAMENTO

POLÍTICA DE SEGURANÇA CIBERTNÉTICA, SEGURANÇA DE INFORMAÇÃO E CONTINUIDADE.

Usuários: Gestores de informações: Administradores dos ativos de TI:... 3 POLÍTICA CORPORATIVA

OUTSOURCING. Gerenciamento de -Criar - Desativar - Criar regras, de . -Monitoramento -Configuração de contas no outlook

ASIA ASSET GESTORA DE RECURSOS LTDA. PLANO DE CONTINGÊNCIA E CONTINUIDADE DOS NEGÓCIOS


Usuários: Gestores de informações: Administradores dos ativos de TI:... 3 POLÍTICA CORPORATIVA

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

Em referência ao preâmbulo do Edital referente ao Pregão em epígrafe: Nº 128/2017/SENAI

TYR GESTÃO DE RECURSOS LTDA. PLANO DE CONTINGÊNCIA E CONTINUIDADE DOS NEGÓCIOS

Tornando acessível a tecnologia e os melhores serviços

CATÁLOGO DE SERVIÇOS DE TI Versão 2.0 DEPARTAMENTO DE TECNOLOGIA DA INFORMAÇÃO

Cybersecurity. Virtualização. Antivírus. Análise de conteúdo. Firewall. Proxy. Monitoramento de acesso virtual. Monitoramento de acesso físico

Política de Confidencialidade, Segurança da Informação e Cibernética

PROJETOS. Reduza seus Custos com TI sem perder a qualidade.

SERVDIGITAL +55 (65) EMPRESA DE SOLUÇÕES EM TECNOLOGIA.

PROJETO RUMOS DA INDÚSTRIA PAULISTA

PLANO DE CONTINUIDADE DE NEGÓCIOS MÓDULO CAPITAL GESTÃO DE RECURSOS LTDA.

Política de Confidencialidade e Segurança da Informação

SAM GERENCIAMENTO DE ATIVOS DE SOFTWARE

Sistemas de Informação

Política de Segurança Cibernética

ISA Rio de Janeiro Section Palestra Técnica

PORTFÓLIO DE SERVIÇOS E SOLUÇÕES. Departamento Comercial DOCUMENTO PÚBLICO RESTRIÇÃO: SEM RESTRIÇÃO

Especialista fala sobre riscos cibernéticos, principais coberturas e como se prevenir contra ataques

Política de Segurança da Informação


PLANO DE INFORMÁTICA

PLANO DE CONTINUIDADE DOS NEGÓCIOS SCAI GESTORA DE RECURSOS LTDA. 21 DE FEVEREIRO DE 2019

WEBINAR Resolução 4658 BACEN

POLÍTICA DE CONTROLES INTERNOS ELABORADO PARA O CUMPRIMENTO DO ARTIGO 14, INCISO III DA ICVM 558.

Segurança e Auditoria de Sistemas. Prof. Alessandra Bussador

Plano de Contingência e Continuidade de Negócios

Inovando e trazendo tecnologia

Tecnologia de Informação em SI s Hardware

Apresentação: Código ANBIMA de Regulação e Melhores Práticas para a Atividade de Distribuição de Produtos de Investimentos

ADAMCAPITAL GESTÃO DE RECURSOS LTDA. POLÍTICA DE SEGURANÇA DAS INFORMAÇÕES E DE SEGURANÇA CIBERNÉTICA

Catálogo dos cursos de Continuidade de Negócios

Política de Controles Internos

Manual de regras, procedimentos e controles internos ICVM 558/15

FUNDAÇÃO CELPE DE SEGURIDADE SOCIAL - CELPOS CONTROLE DE APROVAÇÃO REVISADO PELO ÓRGÃO NORMATIVO. Luiza M. Prestrêlo de Lima Diretoria Executiva

Gestão da Segurança da Informação: Desafios e Estratégias.

PLANO DE CONTINUIDADE DE NEGÓCIOS COPA GESTÃO DE INVESTIMENTOS LTDA. DEZEMBRO DE 2015

Conheça nossa solução Corporativa de Backup e Armazenamento

CONTRATOS. Reduza seus Custos com TI sem perder a qualidade.

ÍNDICE: Av. Fagundes Filho, º andar Vila Monte Alegre - São Paulo - SP -Brasil Página 2 de 7

Operador Econômico Autorizado.

Política de Segurança de Informações

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO. Versa Gestora de Recursos Ltda.

POLÍTICA CORPORATIVA

[PLANO DE CONTINUIDADE DE NEGÓCIOS]

ADOTI. Solução para Gestão de Ambientes de TI

Plano Continuidade de Negócios Vinci Partners

Contrato de Suporte End.: Telefones:

Gestão Integrada de Risco Cibernético e Conformidade

UNITY CAPITAL GESTORA DE INVESTIMENTOS LTDA. PLANO DE CONTINUIDADE DE NEGÓCIOS

PLANO DE CONTINUIDADE (CONTINGÊNCIA) DE NEGÓCIOS

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E SEGURANÇA CIBERNÉTICA ALOCC GESTÃO FINANCEIRA LTDA. ( ALOCC )

Início. Sistemas Operacionais Suportados. Suporte Técnico. Vídeos de Treinamento. Nosso sistema faz backup de tudo que é importante para você

5.3. Em relação aos controles adotados pelo emissor para assegurar a elaboração de demonstrações financeiras confiáveis, indicar:

Público-Alvo (Áreas envolvidas)

APRESENTAÇÃO CORPORATIVA.

Superintendência de Riscos e Controles 15/03/2017

Comitê de Gestão de Tecnologia da Informação. 2º Reunião 14/06/2016

Zurich Proteção Digital

PROCESSO GESTÃO DE ATIVOS DE TI Versão 1.0 GERÊNCIA CORPORATIVA DE TECNOLOGIA DA INFORMAÇÃO

Política de Segurança da Informação e Cibernética

Especialistas: empresas e órgãos públicos devem melhorar segurança cibernética

Solução para Gestão de Ambientes de TI.

Manual de Regras, Procedimentos e Controles Internos

Transcrição:

1 Pesquisa ANBIMA de Cibersegurança 2017

Aplicação da pesquisa ação realizada pelo subgrupo 2 Envio para 262 instituições (30/8 a 22/9); Assets (117 instituições) envio de 2 pesquisas (3 Ed. da pesquisa IOSCO/AMCC-ICI); Estrutura do questionário - Guia de Cibersegurança ANBIMA reformulado como benchmark Dados da instituição; Programa de Segurança Cibernética Informações Gerais Programa de Segurança Cibernética - Componentes: 1 - Identificação / Avaliação de riscos; 2 - Ações de Prevenção e Proteção; 3 - Monitoramento e Testes; 4 - Criação do Plano de Resposta; e 5 - Reciclagem e Revisão 2

(1) Dados da Instituição 151 respondentes (58% do total de 262 instituições que receberam a pesquisa) Tipo de instituição Porte (n de funcionários) Asset 46% 5001 ou mais 7% Banco 32% 501-5000 101-500 16% Corretora e Distribuidora 16% 11-100 46% Demais instituições 6% 1-10 11% Sua instituição contrata serviços terceirizados de TI? 17% Se SIM, em quais áreas? Se SIM, exige relatório periódico para acompanhamento de qualidade? 83% Infraestrutura Suporte Desenvolvimento Outras 21% 75% 69% 65% 45% 55% 3

(2) Programa de Segurança Cibernética Informações Gerais 8 7 5 4 3 1 Se NÃO, ele está no planejamento da instituição ou em fase de elaboração? 73% 28% Sua instituição tem um programa formal de segurança cibernética? 29% 71% 10 10 8 4 Se SIM, qual foi a data da última atualização? 81% 18% 1% 0 a 12 meses 12 a 24 meses Outro Se SIM, há alguma periodicidade de revisão? 89% 4 Em quantos meses será implementado? 43% 29% 29% 5 11% 0 a 12 meses 79% 12 meses 6 meses outros 12 a 24 meses 19% Outro 1% 4

(3) Componentes do Programa: 1 - Avaliação de riscos (Risk assessment) Sua empresa realiza processo de Avaliação de Riscos? 16% 84% Identifica todos os ativos relevantes da instituição (equipamentos, sistemas, dados ou processos) 8 Avalia as vulnerabilidades dos ativos em questão, identificando as possíveis ameaças e o grau de exposição dos ativos a elas. 8 Mensura os possíveis impactos financeiros, operacionais e reputacionais, e expectativa de tais eventos. 59% Determina e utiliza metodologia para avaliações de risco cibernético 48% Elabora regras para a classificação das informações geradas pela instituição, permitindo com isso a implementação de processos para o devido manuseio, armazenamento, transporte e descarte dessas informações. 48% 42% Desenvolveu um comitê, fórum ou grupo específico para tratar de cibersegurança Asset 27% 5

(3) Componentes do Programa: 2 - Ações de Prevenção e Proteção Sua instituição adota ações de prevenção e proteção, uma vez definidos os riscos? 1% 99% Implementa serviço de backup dos diversos ativos da instituição. 99% Controle de acesso aos ativos das instituições 96% Segurança de borda, nas redes de computadores, através de firewalls e outros mecanismos de filtros de pacotes. 95% Implementa recursos anti-malware nas estações e servidores de rede, como antivírus e firewalls pessoais. 95% Restrição de acesso físico nas áreas com informações críticas/sensíveis. 92% Cria logs e trilhas de auditoria sempre que os sistemas permitem. 9 Regras mínimas na definição de senhas de acesso a dispositivos corporativos, sistemas e rede 89% Concessão de acesso limitado a apenas recursos relevantes para o desempenho das atividades. 89% Concessão de acesso implementada de forma a ser revogada rapidamente quando necessário. 85% Os eventos de logins e alteração de senhas são auditáveis e rastreáveis. 81% Realiza teste em ambientes de homologação e de prova de conceito, antes do envio à produção. 81% Implementa segregação de serviços sempre que possível, restringindo-se o tráfego de dados apenas entre os equipamentos relevantes. 8 Ao incluir novos equipamentos e sistemas em produção, garante que sejam feitas configurações seguras de seus recursos. 78% Controles visando impedir a instalação e execução de software e aplicações não autorizadas 74% Considera questões de segurança já durante as fases, pré-projeto e o desenvolvimento de novos sistemas, softwares ou aplicações. 73% Realiza diligência na contratação de serviços com terceiros, com devida avaliação de questões jurídicas, cláusulas de confidencialidade e exigência de controles de segurança na própria estrutura dos terceiros. 72% Utiliza gerenciador de senhas para evitar o uso da mesma senha para facilitar a memorização em vários serviços. 44% 6

(3) Componentes do Programa: 2 - Ações de Prevenção e Proteção Possui algum serviço ou ativo da instituição localizado externamente em nuvem? - Todas as instituições 25% 75% 1 3 4 5 7 8 9 10 Para Assets valor ainda maior: 1 9 1 3 4 5 7 8 9 10 7

(3) Componentes do Programa: 2 - Ações de Prevenção e Proteção 7 5 4 3 1 Se possui algum serviço ou ativo localizado em nuvem, quais são? 21% 36% 35% Ativos Sistemas críticos Dados Outros. Outros, como: Backup de arquivos; E-mail; Serviços executados com sistemas de terceiros; Servidores; Sistema; Sistemas não críticos; Website; Controles Financeiros. 8

(3) Componentes do Programa: 2 - Ações de Prevenção e Proteção 9 8 7 5 Ao contratar serviço em nuvem, garante que sejam feitas configurações seguras de seus recursos (por exemplo "Hardening")? 86% 8 7 5 Ao contratar serviço em nuvem, realiza diligência com terceiros na nuvem? 68% 4 4 32% 3 3 14% 1 1 9

(3) Componentes do Programa: 3 - Monitoramento e Testes Sua instituição adota ações de monitoramento e testes para detectar ameaças em tempo hábil? 17% 83% Mantém os sistemas operacionais e softwares de aplicação sempre atualizados. 91,57% Monitora diariamente as rotinas de backup, executando testes regulares de restauração dos dados. 90,36% Mantém inventários atualizados de hardware e software, e os verifica com frequência 80,72% Cria mecanismos de monitoramento de todas as ações de proteção implementadas. 74,7 Analisa logs e trilhas de auditoria criados 68,67% Testa o plano de resposta a incidentes, simulando os cenários especificados durante sua criação. 50, - Se SIM, qual a periodicidade? 14% entre 1 a 3 meses; 43% em 6 meses; 43% em 12 meses Utiliza ferramentas de centralização e análise de logs. 45,78% 10

(3) Componentes do Programa: 3 - Monitoramento e Testes Sua instituição já realizou testes externos de penetração no último ano? 10 8 Se SIM, qual é a periodicidade dos testes de penetração? 8 10 8 4 Se NÃO, há algum plano prevendo a realização desse teste? 77% 23% Nâo 47% 53% Apenas Assets: - SIM: 37% - NÃO: 63% 4 9 8 7 5 4 3 1 0 a 12 meses 12 a 24 meses Se SIM, o teste foi realizado por: 84% Terceiros 16% Internos 11

(3) Componentes do Programa: 3 - Monitoramento e Testes Sua instituição já realizou testes internos de penetração? Se SIM, qual é a periodicidade dos testes de penetração? 7 Se NÃO, há algum plano prevendo a realização desse teste? 58% 37% 63% 8 7 5 4 3 1 73% 21% 6% 0 a 12 meses 12 a 24 meses Outro 5 4 3 42% Se SIM, o teste foi realizado por: 1 5 4 3 1 5 5 Terceiros Internos 12

(3) Componentes do Programa: 3 - Monitoramento e Testes Sua instituição realizou exercício de phishing no último ano? 56% 44% Apenas Assets: - SIM: 29% - NÃO: 71% 13

(3) Componentes do Programa: 4 - Criação do Plano de Resposta A sua instituição conta com plano de resposta para incidentes ou ataques cibernéticos? 25% 75% 10 9 8 7 5 4 3 1 Quais são as áreas envolvidas na elaboração do plano? 92% Área de segurança tecnológica 38% Departamento jurídico 26% Comunicação 44% Outros Outros, como: Compliance; Desenvolvimento; Riscos; Infraestrutura; Áreas de negócio; Deptos. Operacional e Financeiro; Operações e Back Office; 14

(3) Componentes do Programa: 4 - Criação do Plano de Resposta Leva em consideração questões de Segurança e controles de acesso também nas instalações de contingência 95,79% Apresenta plano de continuidade dos negócios e processos de recuperação e remediação 95,65% Realiza o arquivamento de documentações relacionadas ao gerenciamento dos incidentes e ao plano de continuidade de negócios para servir como evidência em eventuais questionamentos 85,26% Definição de papéis e responsabilidades dentro do plano de ação 78,02% O plano leva em consideração os cenários de ameaças previstos na avaliação de risco 74,44% Há critérios para classificação dos incidentes, por severidade 67,03% 15

(3) Componentes do Programa: 5 - Reciclagem e Revisão O Programa de Segurança Cibernética é revisado periodicamente, mantendo sempre atualizados as avaliações de risco, as implementações de proteção, os planos de resposta a incidentes e o monitoramento dos ambientes? 23% 77% 10 8 Os grupos envolvidos se mantêm atualizados? 86% Se grupos se mantêm atualizados, como a instituição obtém essas informações? Esforço interno 85% Fornecedores especializados 75% 4 14% Participação em grupos de compartilhamento de informações Outro 5% 56% 16

(3) Componentes do Programa: 5 - Reciclagem e Revisão Há alguma orientação dos usuários a ter atenção especial antes de clicar em links recebidos 90,82% Apresenta política de uso adequado da estrutura tecnológica, de forma independente ou como parte de um documento mais abrangente 86,46% Promove e dissemina uma cultura de segurança, com a criação de canais de comunicação internos para divulgar o programa de segurança cibernética e treinamentos 75,51% Define e mantém indicadores de desempenho (key performance indicators) que podem corroborar a conscientização e o envolvimento da alta administração e demais órgãos da instituição 29,9 17

Rio de Janeiro Av. República do Chile, 230 13º andar 20031-170 Rio de Janeiro RJ Brasil + 55 21 3814 3800 São Paulo Av. das Nações Unidas, 8.501 21º andar 05425-070 São Paulo SP Brasil + 55 11 3471 4200

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback