Mitigando Riscos de Ciberataques Janeiro de 2016

AGENDA

Brief Overview

Panorama

Desafios e Implicações

O que Considerar?

Contato

Brief Overview

Início das atividades em 2007, sediada em São Paulo, atuação nacional.

Alta Performance, equipe experiente em auditoria e consultoria de Segurança da Informação.

Mais de 250.000 horas de consultoria.

Todos os profissionais certificados em Segurança da Informação.

Capacitada a entregar soluções de ponta-a-ponta (processos, pessoas, hardware e software).

Soluções amplas e customizáveis às necessidades.

Mais de 20 clientes entre as 100 maiores do Brasil.

Parceria com IBM, RSA, Thales, BSI, Intel Security, Watchguard, Imperva e Tripwire.

Information Security Governance Framework para assegurar que a SI suporte o negócio e assim alcance seus objetivos.

Security Architecture

Políticas, normas, procedimentos, conscientização e treinamento. Estruturação da área de Segurança da Informação.

Business Continuity Management

Avaliação de Riscos e Impacto ao Negócio, Estratégias de Recuperação, Planos de Recuperação, Treinamento e Testes dos Planos.

Identity Management

Análise de Segregação de Funções, Definição de Papéis e Funções, Desenho de Perfis de Acesso e Implementação de Ferramentas.

Security, Vulnerability and Fraud Management

Análise de Vulnerabilidades, Análise de Aplicativos, Testes de Intrusão, Forense Computacional, Outsourcing de Segurança da Informação.

Brief Overview

Para maiores informações sobre nossas soluções acesse:

www.safewayconsultoria.com

Panorama – O que é Ciberataque

Cibersegurança - A habilidade de proteger e defender o uso do Ciberespaço de Ciberataques. (National Institute of Standards and Technology, NIST)

Ciberespaço - É o espaço virtual para a comunicação disposto pelo meio de tecnologia. (Wikipedia) Ciberataque – Todo ataque virtual no ciberespaço.

“[…] ataques com sucesso em nosso sistema financeiro poderia comprometer a confiança, colocar em perigo a integridade de dados e ameaçar toda a estabilidade do sistema financeiro.” (Secretário do Tesouro Americano, 2014)

Panorama - Evolução

Diversão 1988

Fama 2001

Dinheiro 2004

Força 2010

Tecnicamente pessoas curiosas

Praticamente grupos que queriam deixar uma marca pública

Cibercriminosos e crime organizado para roubar dinheiro, dados e informações competitivas

Países e grupos paramilitares lançando ataques com objetivos estratégicos

Panorama – Quem são…

MOTIVAÇÃO Dinheiro - Grande número de

grupos - Habilidade básica à

avançada - Presente em todos os

países DANO POTENCIAL Milhões

MOTIVAÇÃO Protesto/Vingança - Grande número

de grupos - Habilidade básica

à avançada - Presente em

todos os países DANO POTENCIAL Milhões

MOTIVAÇÃO Ter segredos nacionais ou benefícios econômicos - Pequeno número

de grupos - Habilidade

avançada DANO POTENCIAL Centenas de Milhões

MOTIVAÇÃO Politica, destruição de capacidade - Pequeno

número de países ou grupos paramilitares

- Habilidade ultra- avançada

DANO POTENCIAL Bilhões

Panorama – Novas ameaças e impactos...

Desafios e Implicações

O Gerenciamento de Risco de ciberataques é a ação coordenada da gestão da tecnologia e operações para efetivamente prevenir consequências indesejadas aos ativos de informação. Esse processo é pelo qual o negócio pode proteger seus ativos críticos e sua reputação de ameaças internas e externas, mas não limitando-se as questões técnicas. Instituições financeiras devem ver o gerenciamento de risco de ciberataques como um aspecto integral da gestão de seus riscos de operacionais e de controles internos.

Fonte: Federal Financial Institutions Examination Council (FFIEC)

Desafios e Implicações

− Realizamos uma avaliação de riscos de ciberataque para identificar nossos riscos chaves?

− Sabemos onde investir para reduzir os riscos de ciberataques?

− Quais seriam as interrupções e impactos de um ciberataque? Como isso afetaria nosso

negócio, marca e reputação?

− Qual o impacto no faturamento de um ciberevento?

− Sabemos quais ativos de informação são mais valiosos aos atacantes? A cada tipo de

atores?

− Existe uma tolerância ao ciberrisco?

− Como é a comunicação de um ciberrisco ao board e stakeholders?

− Nosso negocio é resiliente a um ciberataque?

Desafios e Implicações

− Ciberriscos visto como um problema de TI (não do negócio)

− Processos ou metodologias insuficientes para avaliar o ciberrisco

− Sensação que a avaliação de riscos “tradicional” endereça os ciberriscos

− Relutante em compartilhar e criar uma inteligência na organização

− Abordagem one-size-fits-all para o ciberrisco (não considerando os ativos da informação)

O que considerar?

1. Criar um processo de governança para os CiberRiscos, incluindo conexões com outros programas de gestão de riscos como BCM. 2. Entender as fronteiras da organização, o ciberespaço, incluindo por exemplo, mídias sociais. 3. Identificar os processos de negocio críticos e seus ativos. 4. Identificar as Ciberameaças, incluindo a criação de inteligência advindas de diversas fontes. Melhorando a coleta, análise e reporte dessas informações. 5. Desenvolver e executar um plano de resposta, planejando e preparando as ações e seus responsáveis para responder a um ciberevento.

O que considerar? – 1. Governança

O Gerenciamento de CiberRisco deve ser um componente chave da Gestão de Riscos Corporativa.

FUNÇÃO PESSOAL CHAVE RESPONSABILIDADES

Comite de Governança para

CiberRisco

COO

CRO

CISO

Lideres de Negócio

Em conjunto com os lideres seniores, definir a estratégia da

CiberSegurança, Orçamento e Responsáveis.

Definir os ativos essenciais.

Monitorar a Instituição sob o aspecto de CiberSegurança

Revisar os reports de Inspeção da CiberSegurança e priorizar

as ameaças

Implantar o processo PDCA

Comite de Inspeção de CiberRiscoTime de TI/SI

Time de Negócio

Avaliar a Instituição e os controles implantados sob a otica

de CiberSegurança

Avaliar a eficacia dos controles

Identificar novas ameaças e novos ativos

Revisar novos marcos regulatorios e requerimentos de

compliance

Time de Operações de CiberRiscoSOC

Time de SI/TI

Detectar e Atuar em Cibereventos

Coletar, Analisar e Responder informação em tempo real de

ameaças

Produzir e Suportar com relatórios os Comites de Inspeção e

Governança (incluindo KPIs e visão de mercado)

O que considerar? – 2. Fronteiras

FUNÇÃO PONTOS CHAVE

Desenvolver uma visão critica de

onde os ativos de informação

criticos estão

Definir o "peso" das informações geradas por esses ativos

Determinar onde estão os ativos criticos, ao longo do tempo

e quem os acessa. Rever periodicamente os perimetros.

Determinar quais sistemas e redes as

informações trafegam para suportar

os processos de negócio

O perimetro vai além da rede e de seus parceiros, clientes e

terceiros.

Determinar todos os

compartilhamento de informações

com parceiros e terceiros

As maiores vulnerabilidades estão em determinar até onde vai

as fronteiras/perimetro da Instituição.

Data Center > Terminais > Terceiros > Mobile > Cloud

O que considerar? – 3. Identificar seus ativos críticos

FUNÇÃO PONTOS CHAVE

Identificar os ativos criticos e

processos de negocio importantes

Definir os ativos que suportam os diferenciais de negocio,

como segredos de negócio, algoritmos, etc

Determinar o "valor" para cada ativoProteger cada ativo com base em seu valor ao negocio e ao

mercado

Definir a tolerancia ao CyberRiscoInstituições Financeiras devem estudar e adotar a tolerancia

aos riscos e seus impactos ao negocio - trade off

Definir os níveis de proteção para

cada ativo

Definir os responsaveis pelo risco de cada ativo da

informação e estabelecer quem dentro da Instituição pode

aceita-lo ou mitiga-lo.

A Instituição deve priorizar seus riscos de ciberataque com

base em seus riscos de negocio.

O que considerar? – 4. Identificar seus Ciberriscos

FUNÇÃO PONTOS CHAVE

Unir os diversos times que são

responsáveis por analisar e

responder os cibereventos

Unir as informações dos times de SOC, SIEM, Resposta a

Incidentes aos comites de governança e inspeção com o

intuito de gerar inteligencia para as Ciberameaças, inclusive

informação para os times de de anti-fraude

Ajustar o CiberRisco na instituição

Revisitar a abordagem e o perimetro de acordo com as

ameaças, localização dos ativos e cenário da industria

financeira

O que considerar? – 5. Plano de Respostas

FUNÇÃO PONTOS CHAVE

Analisar as informações de

CiberRisco

Analisar de onde vem as ameaças, atores, ferramentas e o

que buscam

Correlacionar padrões de ameaças e ataques

Personalizar seu sistema de monitoração e ter velocidade na

detecção e ação

Reportar a liderançaProntamente reportar o cenario de ameaças, indicadores e

comparação ao mercado

Responder prontamenteResponder a Cibereventos prontamente com base em receitas

pre-elaboradas para reduzir seus impactos de forma rapida

Mitigar efeitos

Definir cenários de CiberRisco ao negócio e suas ações e

ferramentas para mitiga-lo, incluindo efeitos em reputação,

cliente, finanças e em orgãos reguladores

Desenvolver um Plano de resposta a

incidentes

Definir o que é necessário para estar pronto, pessoas,

ferramentas e tecnologia para agir. Desenvolver os planos

(receita) para ações serem tomadas pelas equipes, incluindo

reports executivos, relações publicas, legal, TI/SI, etc.

“The growing sophistication and frequency of cyberattacks is a cause for concern, not only because of the potential for disruption, but also because of the potential for destruction of the systems and information that support our banks. These risks, if unchecked, could threaten the reputation of our financial institutions as well as public confidence in the system.” —Sept. 18, 2013. Thomas Curry, US Comptroller of the Currency

Contato

www.safewayconsultoria.com contato@safewayconsultoria.com

São Paulo - SP Av. Paulista, 688 – conj. 152 – Brasil – CEP 01310-100 Fone: +55 (11) 4063.3221 Rio de Janeiro – RJ Av. Luiz Carlos Prestes, 180 – 3º andar – CEP 22775-055 Fone: +55 (21) 4063.7233 Belo Horizonte - MG Av. do Contorno, 6594 – 17º andar – CEP 30110-044 Fone: +55 (31) 4063.9511

Mitigando Riscos de Ciberataques Janeiro de 2016 www.safewayconsultoria.com