Mais conteúdo relacionado
Semelhante a Segurança em um Planeta Inteligente (20)
Segurança em um Planeta Inteligente
- 1. © 2011 IBM Corporation
Segurança em um planeta
mais inteligente
Alexandre Freire – Information Security @ IBM Brasil, Software Group
afreire@br.ibm.com
- 2. © 2011 IBM Corporation
Agenda
2 Em direção à segurança inteligente
1 Ameaças em um planeta mais inteligente
2
- 3. © 2011 IBM Corporation3
O planeta está se tornando cada vez mais instrumentado, interconectado e
inteligente!
Smart
Supply Chains
Smart
Countries
Smart
Retail
Smart Water
Management
Smart
Weather
Smart
Energy Grids
Smart Oil Field
Technologies
Smart
Regions
Smart
Healthcare
Smart Traffic
Systems
Smart
Cities
Smart
Food Systems
INSTRUMENTADO INTERCONECTADO INTELIGENTE
- 4. © 2011 IBM Corporation4
Mais alvos e vulnerabilidades a serem exploradas
0
5000
10000
15000
20000
25000
30000
35000
2009 2010 2012 2013 2014 2015 2020
35,000
Zetabytes
1,800
Zetabytes
(1 Zetabyte = 1 Tillion Gigabytes)
60% CAGR
2 billion Internet
users
50 billion connected
objects (cars,
appliances, cameras)
5 billion mobile
phones
30 billion RFID tags
(products, passports,
buildings, animals)
“Existem vazamentos de dados envolvendo browsers de dispositivos móveis e não temos a
mínima idéia sobre como isso acontece”
CIO, Media Company
Inúmeras possibilidades de ataques Explosão de dados ao redor do mundo
- 5. © 2011 IBM Corporation
Stuxnet
Targeted changes to process
controllers refining uranium
Impact
Degraded ability to safely
process and control highly
volatile materials
Complexity of
malware, ability
to slowly leak
data and affect
critical
business
processes
Stuxnet
Rede de automação (SCADA).
Interrupção do enriquecimento
de Urânio
IMPACTO
Degradada a capacidade de
lidar com material volátil em
níveis de segurança industrial
satisfatórios.
Malware de
responsável
por afetar redes
de automação
paralizando
negócios
Epsilon
Theft of customer data affected
more than 100 companies
Impact
Up to $4 billion in costs for
initial clean-up and longer term
litigation risks
External data
breach of third
party data and
theft of
customer
information
Epsilon
Roubo de dados de clientes
afetou mais de 100 grandes
empresas nos EUA
IMPACTO
Mais de $4 bilhões em custos
diretos e indiretos relacionados
a dados confidenciais e
mitigação do incidente
Vazamento
de dados de
terceiros e
roubo da
informação
de clientes
Wikileaks
Unauthorized release of
classified records
IMPACT
Close to $100M for the U.S.
Army alone; damaged foreign
relations worldwide
Internal abuse
of key
sensitive
information
Wikileaks
Divulgação não autorizada de
dados classificados
IMPACTO
Aproximadamente U$ 10M ao
exército americano; danos de
relacionamento e diplomacia
com outros países
Abusos Internos
exposição de
informações
confidenciais
Ameaças afetam o ambiente corporativo, indústrias e regiões
5
- 6. © 2011 IBM Corporation
Segurança é uma preocupação em todos os níveis
Resultados
de
Negócios
Sony estimou
potencial
perdas de $1B
em impacto de
longo prazo
Cadeia de
Suprimentos
Vazamento de
dados Epsilon
impacta em
100 marcas
nacionais nos
EUA
Impacto do
“hacktivism”
Os ataques de
50 dias do
grupo Lulzsec
impactaram
Nintendo, CIA,
PBS, Sony …
Riscos
de
Auditoria
Zurich
Insurance
multada $3.8M
pela perda de
46mil registros
de clientes
Imagem
da
Marca
Vazamento de
dados HSBC
expôe dados
privados de
24mil clientes
Isso pode acontecer conosco?
6
- 7. © 2011 IBM Corporation
Cyber attacks patrocinados
por governos ou grupos
Crime Organizado
Espionagem
corporativa/industrial
Engenharia social
Ameaças Externas
Aumento de ataques externos de
origens não “tradicionais”
Erros administrativos
Vulnerabilidades internas
Ações de empregados mal
intencionados
Mistura dos dados sigilosos
com informações corporativas
Ameaças Internas
Descuido dos riscos e
comportamentos maliciosos
Leis nacionais e
internacionais
Padrões da indústria
Leis locais
Compliance
Endereçamento de grande
quantidade de regulamentações
Mobilidade Cloud / Virtualização Social Business Business Intelligence
O impacto nos negócios e na inovação é real.. e vem crescendo!
7
- 8. © 2011 IBM Corporation
… influência nas prioridades da “C-suite”
*Source: Discussions with more than 13,000 C-suite executives as part of the IBM C-suite Study Series
CxO
prioridade
Riscos de
Segurança
Impacto
Potencial
CEO
Zelar pela manutenção do
diferencial competitivo
Má administração
da propriedade
intelectual
Má administração
de dados críticos
e sensíveis ao
negócio
Perda de market
share e reputação
Implicações
legais
CFO/COO
Garantir a
confirmidade
com normas e
regulamentações
Falha ao
endereçar os
requerimentos de
conformidade
Não conformidade
Multas e sanções
criminais
Queda de lucro
CIO
Expandir o uso
de dispotivos
móveis
Proliferação de
Dados
Endpoints
inseguros e
acesso invevido
Perda de
confidencialidade
dos dados,
integridade e/ou
disponibilidade
CHRO
Permitir a
flexibildade da
força de trabalho
global
Divulgação de
dados sensíveis
Violação da
privacidade dos
funcionários
CMO
Fortalecer a
marca “brand”
Roubo de
informação de
clientes ou
funcionários
Perda da
reputação da
marca e perante
clientes
Em todos os níveis executivos das corporações existem diversos riscos de
segurança que podem determinar impactos como riscos aos negócios a partir de
perdas financeiras, danos de imagem e reputação
8
- 9. © 2011 IBM Corporation
Toda “C-suite” tem responsabilidade em segurança
Avaliar os
impactos das
interrupções
nas operações
diárias dos
sistemas de TI
COO
Previnir os
riscos de
segurança de
impactar o
valor das
ações e
confiança de
mercado
CEO
Conhecer os
impactos
financeiros de
eventos de
segurança
adversos
CFO CIO
Compreender
os efeitos de
incidentes de
segurança nas
diferentes
áreas de
negócio
Determinar os
riscos
associados
com a
divulgação de
dados de
funcionários
CHRO CMO
Endereçar as
questões
associadas à
marca a partir
de incidentes
de segurança
Priorizar o processo de gestão de riscos classificando as ameaças por impacto ao
negócio ao invés de tentar proteger todas as ameaças conhecidas
9
- 10. © 2011 IBM Corporation10
Onde você está?
1. Você fez avaliação dos seus riscos de segurança?
2. Você utiliza padrões da indústria para medir a efetividade dos seus riscos
de segurança ?
3. Você possuí um conjunto de controles definidos para compliance ?
4. Você armazena logs para fins de investigação (forense)?
5. Você tem acesso as últimas pesquisas de vulnerabilidades e ameaças?
6. Quem tem acesso a seus dados, aplicativos e sistemas operacionais?
7. Como você lida com a resposta a incidentes e disaster recovery?
8. Você classificou e criptografou os dados sensíveis?
9. Você sabe o que usuários autorizados estão fazendo com seus dados?
10. Segurança faz parte de novas iniciativas como cloud computing?
Compliance
Ameaças
Internas e
Externas
- 11. © 2011 IBM Corporation
Agenda
2 Em direção à segurança inteligente
1 Ameaças em um planeta mais inteligente
11
- 12. © 2011 IBM Corporation12
Pró-ativo
AutomatizadoManual
Reativo
Básico
O
tim
izado
O crescimento das ameaças e requerimentos de compliance demandam
uma abordagem mais pró-ativa e automatizada em segurança
Corporações
utilizam segurança
com controles
automatizados e
pró-ativosCorporações
implementam
proteções de
perímetro, as quais
Controlam acessos
e alimentam
relatórios manuais
Proficiente
Segurança é tratada
em camadas e
diferentes operações
de negócios
- 13. © 2011 IBM Corporation13
Abordagem requer análise de Gaps para endereçamento dos
pontos visando crescimento (maturidade)
Domínios
Segurança Hoje Amanhã
Pessoas Gerenciamento de identidades
por aplicação
Dash board centralizado com gestão
privilegiada de usuários
Dados Implementação de controle
de acesso e criprografia
Monitoração do uso e vazamento
Aplicações Busca (scan) por vulnerabilidades Contruir segurança a partir do “day one”
Infraestrutura Bloqueio não autorizado de acessos
de rede e códigos hostis
Executar detecção e bloqueio de
ameaças e forense em tempo real
Correlaçãoeanálise
detalhadadeeventos
SecurityGap
Reativo Pró-ativo
- 14. © 2011 IBM Corporation
Segurança inteligente : Plano de 3 fases
Esteja
informado
Conduza uma
abordagem
estruturada para
avaliar os riscos de
TI e negócios
1 Esteja
alinhado
Implemente a
excelência em
segurança no
ambiente
corporativo
2 Seja
Inteligente
Tenha abordagem
analítica para
destacar os riscos,
monitorar e
endereçar as
ameaças
3
- 15. © 2011 IBM Corporation15
Conduza uma abordagem estruturada para avaliar os riscos de TI e negócios
The Benefits of Improving IT Risk
Management
2010 IBM Global IT Risk Study
Risk Management Framework
2011 IBM Global IT Risk Study
Empowering the Risk Executive
• Appoint a C-level executive to manage security risk
• Maintain regular interlock with Board of Directors and
peers
• Drive the IT risk conversation into the Enterprise Risk
Management program
Addressing Risk Management
• Align and integrate IT risk into the business’ Enterprise
Risk Management framework
• Identify key threats and compliance mandates
• Implement and enforce a risk management process and
common controls framework
• Execute incident management processes when crises
occurs
1. Esteja informado
- 16. © 2011 IBM Corporation
Corporações
•
Alinhar
claramente as
expectativas de
segurança e
privacidade
•
Prover resposta
a incidentes de
segurança de
forma rápida e
transparente
•
Gerenciar riscos
como parte das
atividades normais
do negócio
Parceiros
•
Desenvolver e
comunicar
políticas de
segurança
•
Endereçar
rapidamente as
violações de
privacidade
Clientes
•
Gerenciar os
riscos das
regulamentações
•
Demonstrar
conformidade
com diferentes
normas
•
Revisar e
modificar
controles
baseados nos
requerimentos de
mitigação de
riscos
Agências
•
Alinhar
claramente as
expectativas de
segurança e
privacidade
•
Prover educação
para identificar e
endereçar riscos
•
Gerenciar e
monitorar acesso
a sistemas e
dados
Funcionários Auditores
•
Certificar o
alinhamento do
risco de TI com o
risco corporativo
•
Conduzir
auditorias e
revisões
periódicas das
políticas da
compania
2. Esteja alinhado
Implemente a excelência em segurança no ambiente corporativo
16
- 17. © 2011 IBM Corporation17
Hello Pessoas Dados Aplicações Infraestrutura
Otimizado
Análise baseada em
Perfil de Negócios
Governança de
Identidades
Controle de
usuários
provilegiados
Análise de fluxo
de dados
Governança de
Dados
Ambiente de
desenvolvimento de
aplicações de
seguro
Detecção de
fraudes
Monitoração
avançada e forense
de redes
Segurança
de sistemas
Proficiente
Gestão de
Identidades
Autenticação forte
Monitoração de
atividade
Data loss prevention
Firewall de
aplicação
Análise de código
fonte
Gestão de ativos
Gestão de
Segurança de
rede e Endpoints
Básico
Senhas e
identidades de
usuários
Criptografia
Controle de acesso
Scanning de
vulnerabilidades
Segurança
perimetral
Antivírus
Governança, Risco
e Conformidade
Correlação e análise
detalhada de eventos
3. Seja inteligente
Tenha abordagem analítica para destacar os riscos, monitorar e endereçar
as ameaças
- 18. © 2011 IBM Corporation
Gracias
Merci
Grazie
Obrigado Danke
Japanese
French
Russian
German
Italian
Spanish
Brazilian Portuguese
Arabic
Traditional Chinese
Simplified Chinese
Thai
Tack
Swedish
Danke
Dziękuję
Polish
Notas do Editor
- Thank you very much for time and attention. Rene, I will hand it back to you.