Relatório ABN Amro tSecurity for Business Innovation Council Transformando … · 2019. 1. 31. · 2. Instituir estimativas de negócio para riscos de segurança cibernética 6 3

Transformando a segurança das Informações

ABN Amro Dr. Martijn Dekker, Vice-presidente Sênior e CISO (Chief Information Security Officer)

Airtel Felix Mohan, Vice-presidente Sênior e GCISO (Global Chief Information Security Officer)

AstraZeneca siMon stricklanD, Diretor Global de Segurança

Automatic Data Processing rolanD cloutier, Vice-presidente e CSO (Chief Security Officer)

The Coca-Cola Company renee guttMann, CISO (Chief Information Security Officer)

eBay leanne toliver, Escritório do CISO (Chief Information Security Officer)

EMC Corporation Dave Martin, Vice-presidente e CSO (Chief Security Officer)

FedEx Denise D. wooD, Vice-presidente Corporativa, Segurança das Informações, CISO (Chief Information Security Officer), CITRO (Chief IT Risk Officer)

Fidelity Investments tiM Mcknight, Vice-presidente Executivo, Risco e Segurança das Informações Corporativas

HDFC Bank vishal salvi, Vice-presidente Sênior e CISO (Chief Information Security Officer)

HSBC Holdings plc. bob roDger, Líder do Grupo de Segurança da Infraestrutura

Intel MalcolM harkins, Vice-presidente e CSPO (Chief Security and Privacy Officer)

Johnson & Johnson Marene n. allison, Vice-presidente Global de Segurança das Informações

JPMorgan Chase anish bhiMani, CIRO (Chief Information Risk Officer)

Nokia Petri kuivala, CISO (Chief Information Security Officer)

SAP AG ralPh saloMon, Vice-presidente do Departamento de Risco e Segurança de TI

TELUS kenneth haertling, Vice-presidente e CSO (Chief Security Officer)

T-Mobile USA williaM boni, Vice-presidente e CISO (Corporate Information Security Officer), Segurança das Informações Corporativas

Walmart Stores, Inc. jerry r. geisler iii, Escritório do CISO (Chief Information Security Officer)

Security for Business Innovation Council

Uma iniciativa do setor patrocinada pela RSA

Como otimizar os principais

processos de segurança

Onde focar a melhoria

do processo

Orientação para documentar processos de negócio

Técnicas atualizadas de avaliação

de riscos

Garantia da eficácia dos

controles com base em provas

Dicas para desenvolver

um recurso de lógica analítica

de dados

Relatório baseado em discussões com o

neste relatório:

t

Processos prontos para o futuro

recomendações dos execuTIvos da Global 1000

2 | securITy for busIness InnovaTIon councIl reporT | RSA, a divisão de segurança da EMC

destaques do relatório 1

1. introdução:

preparando-se para o futuro 2

2. principais áreas para melhoria 3

3. recomendações 4

1. Mudar o foco de ativos técnicos para processos essenciais aos negócios 4

2. Instituir estimativas de negócio para riscos de segurança cibernética 6

3. Estabelecer um processo de avaliação de riscos centrado em negócios 6

4. Definir uma linha de ação para garantir a eficácia dos controles com base em provas 8

5. Desenvolver métodos bem fundamentados de coleta de dados 10

conclusão 12

sobre a iniciativa do sbic 12

colaboradores do relatório 13

* Índice

Isenção de responsabilidade – Este Relatório do Security for Business Innovation Council (“Relatório”) inclui informações e materiais (coletivamente, o “Conteúdo”) que estão sujeitos

a alterações sem aviso. A RSA Security LLC, a EMC Corporation e os autores individuais do Security for Business Innovation Council (coletivamente, os “Autores”) se isentam

expressamente de qualquer obrigação de manter o Conteúdo atualizado. O Conteúdo é fornecido “NO ESTADO EM QUE SE ENCONTRA”. Os Autores se isentam de qualquer

garantia expressa ou implícita relacionada ao uso do Conteúdo, incluindo, mas não se limitando a, comercialização, compatibilidade, não infração, precisão ou adequação a qualquer fim

específico. O Conteúdo tem como objetivo apresentar informações ao público; ele não é uma orientação jurídica da RSA Security LLC, de sua empresa controladora (EMC Corporation),

de seus advogados nem de nenhum dos autores deste relatório do SBIC. Você não deve tomar nem deixar de tomar uma medida com base em nenhuma parte do Conteúdo sem antes

consultar um advogado licenciado para atuar em sua jurisdição. Os Autores não se responsabilizam por nenhum erro aqui contido nem por danos decorrentes ou relacionados ao uso

deste Relatório (abrangendo todo o Conteúdo), incluindo, mas não se limitando a, danos diretos, indiretos, acidentais, especiais, consequenciais ou punitivos, seja por contrato, lícito ou

qualquer outra teoria de responsabilidade, mesmo que os Autores tenham ciência da possibilidade de tais erros ou danos. Os Autores não assumem nenhuma responsabilidade por

erros ou omissões em nenhuma parte do Conteúdo.

RSA, a divisão de segurança da EMC | securITy for busIness InnovaTIon councIl reporT | 1

os Processos eventuais antes realizados para segurança baseada em perímetro não conseguem manipular a escala e a complexidade do gerenciamento atual de riscos de segurança cibernética de uma empresa global.

Para acoMPanhar as últimas tendências tecnológicas e empresariais e as novas ameaças cibernéticas, é preciso fazer uma revisão geral dos processos de segurança das informações.

eM Muitas organizações, as principais áreas para melhoria são:

Medição de riscos: descrever os riscos em termos técnicos, como “número de invasões ou vulnerabilidades”, torna difícil aconselhar os líderes empresariais sobre como devem gerenciar os riscos de segurança cibernética.

Compromisso empresarial: os processos de rastreamento de riscos devem ser fáceis e eficientes para a empresa; no entanto, em geral, ainda são baseados em métodos manuais complicados.

Avaliações dos controles: as avaliações point-in-time e fragmentadas já não são mais suficientes. A integridade dos controles de segurança deve ser medida como uma continuidade dos recursos.

Avaliações de riscos de terceiros: o modelo atual de avaliação de riscos é ineficiente, repetitivo e não oferece visibilidade contínua dos controles de segurança do provedor de serviços.

Detecção de ameaças: é necessária uma abordagem de segurança orientada por inteligência; no entanto, a maioria das equipes de segurança ainda tem dúvidas sobre quais dados devem ser coletados e como realizar uma análise significativa.

Destaques do Relatório

cinco recoMenDações se concentram em como resolver problemas críticos, desenvolver programas mais avançados de segurança das informações e preparar-se para o futuro:

1. MuDar o Foco De ativos técnicos Para Processos essenciais aos negócios

Pare de pensar na proteção de ativos de informação sob um ponto de vista estritamente técnico, como servidores e aplicativos. Amplie sua perspectiva vendo como as informações são usadas nos negócios. Pense em como proteger os processos de negócio mais importantes do começo ao fim. Trabalhe com as unidades de negócios para documentar processos essenciais aos negócios.

2. instituir estiMativas De negócio Para riscos De segurança cibernética

Desenvolva técnicas para descrever os riscos de segurança cibernética em termos de negócio e integre o uso de estimativas de negócio ao processo de aconselhamento de risco. Defina cenários detalhados que descrevam a probabilidade de incidentes de segurança e a magnitude do impacto sobre os negócios. Onde possível ou necessário, quantifique o risco e adote estimativas financeiras progressivamente.

3. estabelecer uM Processo De avaliação De riscos centraDo eM negócios

Opte por ferramentas mais automatizadas para rastrear

os riscos de informações conforme estes são identificados, avaliados, aceitos ou remediados, para agilizar a tomada de decisões e permitir que as unidades de negócios se responsabilizem pelo gerenciamento dos riscos. Recorra a provedores de serviços para avaliações comuns e repetitivas. Crie um processo flexível de aceitação de riscos para permitir que a empresa aproveite oportunidades temporárias.

4. DeFinir uMa linha de ação Para garantir a eFicácia Dos controles coM base eM Provas

Desenvolva a capacidade de coletar dados relevantes para testar continuamente a eficácia dos controles. Comece documentando e analisando os controles, com foco nos mais importantes que estejam protegendo os processos essenciais aos negócios. Determine qual prova será confirmada para cada controle e configure procedimentos para coletar e relatar provas sistematicamente e fazer ajustes contínuos. Com o passar do tempo, automatize a coleta de provas e a geração de relatórios para aprimorar as avaliações internas e de terceiros.

5. Desenvolver MétoDos beM FunDaMentaDos De coleta De DaDos

Comece analisando os tipos de pergunta que a lógica analítica de dados pode responder para identificar fontes de dados relevantes. Crie um conjunto de casos de uso da lógica analítica de dados. Modifique o registro no qual os dados originais são insuficientes, negociando com os responsáveis pelo sistema quando necessário. Saiba como aplicar a inteligência de fontes externas contra ameaças para enriquecer a análise. Planeje, de modo abrangente, como aprimorar a arquitetura geral de coleta, produzir registros mais ricos em dados e aumentar a capacidade de armazenamento de dados.

Este relatório apresenta um conjunto valioso de

recomendações de 19 dos principais diretores de

segurança do mundo para ajudar as organizações a criar

estratégias de segurança para o atual panorama de

ameaças crescentes.


s processos eventuais antes realizados para segurança baseada em perímetro não

conseguem manipular a escala e a complexidade do gerenciamento atual de riscos de segurança cibernética de uma empresa global. Equipes inovadoras de segurança reconhecem que, para acompanhar as últimas tendências tecnológicas e empresariais e as novas ameaças, é preciso fazer uma revisão geral dos processos de segurança das informações.

Baseado nas perspectivas de alguns dos principais executivos de segurança das informações, este relatório examina as principais áreas nos programas de segurança que precisam de atenção imediata. Ele oferece recomendações acionáveis para processos novos e técnicas atualizadas, permitindo que as equipes de segurança enfrentem os problemas de hoje e se preparem para as dificuldades de amanhã.

1 Introdução: Preparando-se para o futuro

O

Como seria um programa de segurança das informações eficiente e inovador?

O SBIC está desenvolvendo uma série composta por três relatórios sobre como transformar a segurança das informações para responder a essa pergunta. Com o conhecimento e a visão dos principais líderes de segurança das informações, os relatórios oferecem recomendações úteis. O primeiro relatório é um guia estratégico para formar uma equipe estendida de ponta. Este relatório explora a vanguarda dos processos de segurança das informações. O terceiro relatório identificará algumas das tecnologias básicas para o avanço dos programas de segurança das informações.

MEDIÇÃO DE RISCOS

COMPROMISSO EMPRESARIAL

AVALIAÇÕES DOS CONTROLES

DETECÇÃO DE AMEAÇAS

AVALIAÇÕES DE RISCOS DE TERCEIROS

5

Leia o primeiro relatório

http://brazil.emc.com/collateral/white-papers/h12227-rsa-designing-state-of-the-art-extended-team.pdf


S1 Introdução: Preparando-se para o futuro

e os programas de segurança recebessem cartões de relatório avaliando seus processos, na maioria das organizações, as seguintes áreas seriam identificadas como “não atendem às expectativas – precisam de melhoria”:

1. medição de riscosExecutivos e diretorias de todo o mundo têm

percebido que os riscos de segurança cibernética podem afetar significativamente os resultados financeiros de uma empresa. Eventos recentes mostraram a magnitude desse impacto. Nos últimos 12 meses, muitos bancos sofreram ataques de DDoS (Distributed Denial of Service, negação de distribuição de serviço) em seus sites. Um relatório da IP Commission divulgado no começo de 2013 estimou a escala de roubo internacional da propriedade intelectual norte-americana em centenas de bilhões de dólares por ano.1

Identificando o potencial de perdas financeiras ainda maiores, as unidades de negócios de muitas organizações estão começando a se interessar mais no gerenciamento proativo de seus riscos de segurança cibernética. Do ponto de vista das unidades, os riscos de segurança cibernética são mais bem descritos como os demais riscos – em termos financeiros. Além disso, a SEC (Securities and Exchange Commission, comissão de valores mobiliários e câmbio) dos EUA espera que as empresas norte-americanas de capital aberto divulguem informações relevantes sobre incidentes e riscos de segurança cibernética2 Na União Europeia, a MiFID (Markets in Financial Instruments Directive, diretiva dos mercados de instrumentos financeiros) exige que empresas de serviços financeiros adotem medidas adequadas de gerenciamento de riscos.3

A equipe de segurança das informações deve aconselhar os líderes empresariais sobre como gerenciar os riscos de segurança cibernética, relatar a “relevância” ou demonstrar “adequação”. Isso é difícil de fazer quando o risco só é descrito em termos técnicos, como o número de invasões ou vulnerabilidades.

2. compromisso empresarial Como as unidades de negócios estão começando

a assumir mais responsabilidade no gerenciamento dos próprios riscos de segurança cibernética,

a equipe de segurança deve trabalhar em conjunto com elas para garantir o sucesso da operação. O processo de identificação, avaliação, hierarquização e rastreamento de riscos deve ser fácil e eficiente, além de permitir que a empresa responda às pressões do mercado competitivo. No entanto, em geral, os processos de avaliação de riscos ainda são baseados em métodos manuais complicados.

3. avaliações dos controlesNa maioria das organizações, as avaliações

para verificar se os controles de segurança estão funcionando como deveriam são realizadas esporadicamente por vários auditores internos e externos. As avaliações point-in-time fragmentadas já não são mais suficientes. Levando em conta as ameaças crescentes e o aumento nos investimentos em segurança, espera-se que as equipes de segurança sempre garantam a eficiência e eficácia dos controles. A integridade dos controles de segurança deve ser medida como uma continuidade dos recursos. Porém, a maioria das equipes de segurança não avalia os controles de maneira consistente nem os ajusta continuamente.

4. avaliações de riscos de terceirosO modelo convencional de avaliação de riscos é

composto por questionários e auditorias locais, com resultados registrados em documentos e atualizados anualmente. Esse processo é ineficiente tanto para os provedores de serviços quanto para os clientes, com trabalho repetitivo em ambos os lados. Além disso, ele não oferece às organizações visibilidade operacional e tática contínua dos controles de segurança do provedor de serviços para garantir que ele atende aos requisitos de proteção das informações.

5. detecção de ameaçasÉ de conhecimento geral do setor que as ameaças

avançadas exigem que as organizações adotem rapidamente mais abordagens de detecção orientadas por inteligência. Isoladamente, o monitoramento de eventos da infraestrutura da rede de perímetro já não tem mais efeito. A segurança orientada por inteligência usa lógica analítica de dados, permite geração de alertas para comportamentos indicativos de exploração e fornece contexto sobre a ameaça. Ela exige a coleta e análise de dados em uma ampla variedade de fontes. No entanto, a maioria das equipes de segurança ainda tem dúvidas sobre quais dados deve coletar e como realizar uma análise significativa.

1 O relatório da Comissão Contra o Roubo de Propriedade Intelectual Americana, National Bureau of Asian Research (Agência Nacional de Pesquisas Asiáticas), 2013.

2 http://www.sec.gov/divisions/corpfin/guidance/cfguidance-topic2.htm3 http://ec.europa.eu/internal_market/securities/isd/mifid/index_en.htm

2 Principais Áreas para Melhoria


3 Recomendações

ssas recomendações não são instruções abrangentes para reprojetar processos de segurança; elas são focadas em como corrigir alguns processos-chave que

precisam de atenção para resolver problemas críticos, desenvolver programas mais avançados de segurança das informações e preparar-se para o futuro.

1. Mudar o foco de ativos técnicos para processos essenciais aos negócios

Para resolver as limitações dos atuais processos de segurança, a primeira providência a ser tomada é parar e repensar na abordagem do problema. Os profissionais de segurança das informações costumam pensar em termos de proteção de ativos de informação, como servidores e aplicativos. Esse ponto de vista técnico, embora necessário, não é suficiente – ele não fornece contexto sobre como as informações são usadas nos negócios. Além disso, ele terá sucesso limitado no combate a ataques direcionados, que são projetados especificamente para prejudicar processos de negócio, como os de pedidos de clientes, transações financeiras, desenvolvimento ou fabricação de produtos ou procedimentos de contas a receber. Adote uma perspectiva mais abrangente e pense em como proteger os processos essenciais aos negócios do começo ao fim.

mude sua perspectivaMudando a ênfase de ativos técnicos para

processos de negócio, a equipe de segurança terá uma perspectiva mais informada e saberá onde focar seus esforços. Ela pode determinar quais processos são mais importantes e precisam de maior proteção. Identificando como as informações fluem em cada processo, a equipe consegue entender como um invasor poderia impedir um processo e dizer quais controles de segurança seriam mais eficientes.

Recomendações

1. Mudar o foco de ativos técnicos para processos essenciais aos negócios

2. Instituir estimativas corporativas para riscos de segurança cibernética

3. Estabelecer um processo de avaliação de riscos centrado em negócios

4. Definir uma linha de ação para garantir a eficácia dos controles com base em provas

5. Desenvolver métodos bem fundamentados de coleta de dados

E

5


recomendações

Considere o processo de desenvolvimento de um novo produto. Se a equipe de segurança não conhece o processo, não sabe o que é uma atividade “normal”. Por exemplo: como e quando os membros da equipe de projeto acessam o aplicativo de projeto, como e quando e-mails são usados para comunicar especificações a prestadores de serviços terceirizados etc. Aprofundando-se no processo, ela estará mais bem equipada para instrumentar controles a fim de detectar e prevenir condições anormais e proteger a propriedade intelectual.

Conhecendo os processos de negócio, a equipe de segurança consegue identificar como os controles de segurança afetam os processos, a fim de minimizar o atrito. Por exemplo, examinando as etapas de um processo de negócio, é possível remover a necessidade de transferir dados confidenciais, eliminando assim a necessidade de criptografia. Em alguns casos, pode ser necessário fazer pequenas modificações em um processo de negócio para tornar o monitoramento mais eficiente. Por exemplo, é difícil detectar se um invasor está roubando informações por meio do download de dados de transação, caso o uso normal exija download diário de todas as transações de um banco de dados.

O conhecimento dos processos de negócio torna fácil incorporar a segurança em vez de agregá-la. Por exemplo, um processo de aquisição poderia incorporar um protocolo segundo o qual a equipe de compras deveria examinar uma lista de problemas de segurança e privacidade. Isso também ajuda a equipe de segurança a perceber que controles técnicos de segurança não são necessariamente a única solução para proteger um processo. Por exemplo, se há um problema com o certificado de acesso, a adição de uma etapa manual de reconciliação ao processo pode ser uma solução eficiente.

documente os processos de negócio Para entender os processos de negócio, é preciso

documentá-los. A equipe de segurança precisará trabalhar com a equipe das unidades de negócios para documentar os processos essenciais (consulte a barra lateral). A descrição de cada processo deve ser um documento dinâmico com um autor (na unidade de negócios relevante) responsável por mantê-lo atualizado. Talvez as empresas com equipe de CQI (Continuous Quality Improvement, melhoria contínua da qualidade) ou BPI (Business Process Improvement, melhoria do processo de negócio) já tenham uma documentação que possa ser usada como ponto de partida; no entanto, em geral, as empresas têm pouca ou nenhuma documentação. É possível aproveitar a equipe de resiliência/continuidade dos negócios ou o grupo de auditoria interna da organização para ajudar a documentar os processos de negócio.

A documentação dos processos de negócio precisa ser um esforço colaborativo, para decidir quais são os riscos ao sistema. Nunca entenderemos o retorno comercial das informações como os empresários e eles nunca entenderão as ameaças como a equipe de segurança.

DavE MartIn Vice-presidente e CSO (Chief Security Officer) da EMC Corporation

O cOnhEcIMEntO DOs prOcEssOs DE nEgócIO tOrna fácIl IncOrpOrar a sEgurança EM vEz DE agrEgá-la. ?Perguntas a fazer na documentação

dos Processos de negócioGeralmente, para fins de proteção de dados, a documentação envolve a descrição de todas as etapas dos processos, detalhando como as informações são usadas. Exemplos de perguntas relevantes:

D Algum dado confidencial ou regulamentado está sendo gerado, trocado ou armazenado como parte deste processo? Caso afirmativo, quais controles de segurança existentes fazem parte deste processo? O uso dessas informações está sendo monitorado? Como?

D Como você saberia se algo desse errado no processo de negócio? Há controles de detecção nos pontos-chave? As informações certas estão sendo registradas? O monitoramento está de acordo com possíveis indicações de comprometimento ou fraude?

D Há problemas de privacidade relacionados ao local onde os dados estão armazenados ou para onde estão sendo transferidos? Por exemplo, os dados estão sendo transferidos da Europa para os EUA sem a documentação legal adequada?


Hoje, para gerenciar com eficiência o risco das informações, a equipe de segurança precisa agir como consultora de risco para as unidades de negócios e os executivos. Para os serviços de consultoria de risco serem bem-sucedidos, a equipe de segurança deve desenvolver métodos para descrever os riscos de segurança cibernética em termos de negócios e integrar o uso de estimativas de negócio ao processo de consultoria de risco.

Uma abordagem eficiente para descrever riscos de segurança cibernética em termos de negócios é definir cenários detalhados, articulando a probabilidade de incidentes de segurança e a magnitude do impacto sobre os negócios, como perda da reputação, não conformidade normativa ou processos judiciais. Onde possível ou necessário (por exemplo, para apresentação à SEC do Form 10K de risco material), a equipe de segurança deve discutir o impacto sobre os negócios para quantificar o risco. Com o passar do tempo, a equipe deve aprimorar suas técnicas de quantificação de risco e se tornar especialista na aproximação de perdas monetárias projetadas. Geralmente, isso envolve trabalho em conjunto com as unidades de negócios para determinar o impacto financeiro de possíveis eventos, como processos de negócio que estão sendo interrompidos, projetos de produto que estão sendo roubados, dados regulamentados que estão sendo expostos etc.

A quantificação de riscos de segurança cibernética em termos financeiros é um campo recente. Muitas vezes, os profissionais de segurança preocupam-se com o fato de que a quantificação de risco poderia levar a paralisação da análise e longas discussões defendendo os números. Tenha em mente que, assim como em outras estimativas de negócio (por exemplo, previsões de vendas), não é possível fazer cálculos precisos. Geralmente, uma estimativa de ordem de magnitude é suficiente, por exemplo, risco de US$ 1 milhão, US$ 10 milhões ou US$ 100 milhões? Para os executivos da empresa, uma estimativa financeira razoável, porém, inexata, seria mais informativa que uma descrição técnica do risco.

Uma das armadilhas das estimativas financeiras é superestimar a probabilidade ou frequência dos eventos. Em vez disso, é importante focar primeiro na determinação do impacto financeiro. O fato de um evento ocorrer “uma vez a cada cem anos” não é relevante se isso acontecer em sua organização.

aproveite as ferramentas de quantificação de riscoAs equipes de segurança podem ter uma

noção da magnitude e da probabilidade de perdas monetárias com base em relatórios sobre os maiores incidentes de segurança das informações em empresas semelhantes. A maioria das organizações armazena dados dos incidentes ocorridos. Algumas também usam ferramentas como o framework e a nomenclatura padrão FAIR (Factor Analysis of Information Risk, análise do fator de risco de informações) para realizar a análise de riscos. Muitas das organizações do setor de serviços financeiros usam dados da ORX (Operational Risk eXchange Association, associação de troca de

informações sobre risco operacional), que apresenta dados anônimos de eventos reais de risco operacional e a escala de perda associada.

As estimativas de negócio de riscos de segurança cibernética permitirão que as organizações comparem melhor o risco com as recompensas, determinem os níveis adequados de investimentos em redução de riscos e priorizem os riscos de segurança cibernética em relação a outros tipos de risco na empresa. O uso das estimativas de negócio também facilitará as discussões sobre a “materialidade” (relevância) dos riscos de segurança cibernética ou da “adequação” dos programas de gerenciamento de riscos com as normas, como a orientação da SEC ou MiFID.

3. Estabelecer um processo de avaliação de riscos centrado em negócios

Muitas organizações ainda realizam avaliações de riscos de segurança das informações por meio de planilhas. Geralmente, no início de um projeto, o responsável preenche um formulário seguindo um modelo de planilha e o envia por e-mail à equipe de segurança. A equipe de segurança usa as informações apresentadas no formulário e em discussões de acompanhamento para avaliar o risco e recomendar uma estratégia de redução de riscos.

Com esse método, há pouca provisão para a equipe das unidades de negócios manter e analisar regularmente uma visão atualizada dos riscos que gerencia. Além disso, é difícil para a equipe de segurança obter uma visão única de todos os riscos da empresa.

automatize o processoO uso de ferramentas mais automatizadas pode

tornar os procedimentos muito menos complicados. A automatização pode acelerar a tomada de decisões e viabilizar o gerenciamento dos riscos de informações por parte das unidades de negócios. Muitas organizações estão automatizando o processo de avaliação de riscos por meio de ferramentas de GRC (Governance, Risk and Compliance).

recomendações

“Os profissionais de segurança estão sob pressão para criar meios de quantificar os riscos de segurança. Como as organizações estão investindo mais em segurança, elas estão se perguntando: ’Por que estamos gastando tanto com isso? Qual é o impacto dos riscos?’ Com o passar do tempo, torna-se cada vez mais importante justificarmos esses gastos.”

MartIjn DEkkEr Vice-presidente Sênior e CISO (Chief Information Security Officer), ABN Amro

2. Instituir estimativas de negócio para riscos de segurança cibernética


recomendações

As unidades de negócios e a equipe de segurança podem rastrear os riscos conforme eles são identificados, avaliados, aceitos ou remediados pelo sistema de GRC. Um processo mais automatizado e mensurável se integra melhor a uma perspectiva geral de gerenciamento de riscos corporativos e alinha a equipe de segurança à empresa com mais perfeição.

O exemplo a seguir ilustra um processo de avaliação de riscos com base em uma abordagem relativamente nova que incorpora um provedor de serviços externo e integra o serviço ao sistema de GRC da empresa. Usando um provedor de serviços para avaliações repetitivas e comuns, o processo reduz a carga de trabalho das unidades de negócios e da equipe de segurança.

Nessa abordagem, as unidades de negócios que estão começando novos projetos precisam comprar uma avaliação de riscos do provedor de serviços designado pela equipe de segurança e fazer um orçamento para as avaliações de acompanhamento. O provedor de serviços realiza as avaliações e informa os resultados diretamente no sistema de GRC. Assim que uma avaliação é concluída, a equipe de segurança e a unidade de negócios têm acesso aos resultados, o que também sintetiza uma visão geral dos riscos de informações.

Para mais projetos de rotina, o diretor de riscos das unidades de negócios coordena a remediação, certificando-se de que elas tenham planos acionáveis para tratar os riscos identificados conforme os padrões da equipe de segurança e dentro do período especificado. Em seguida, ele relata o progresso das unidades para a equipe de segurança. Para projetos que ultrapassam determinado limite de risco, a equipe de segurança é chamada para realizar uma análise mais profunda e trabalhar com a empresa para desenvolver planos mais personalizados de aceitação e remediação de riscos. Um benefício extra do uso da avaliação de riscos como serviço é que ela pode ser facilmente contabilizada com base em um modelo de custos de mercadorias vendidas, usando

o orçamento da unidade de negócios, em vez dos recursos da equipe de segurança.

crie um processo flexível de aceitação de riscosGeralmente, as organizações precisam equilibrar

a necessidade de gerenciamento de riscos com a necessidade de obter novos produtos e serviços para comercialização rápida. Para permitir que a empresa aproveite as oportunidades temporárias, a equipe de segurança deve consentir que as unidades de negócios aceitem um nível de risco maior do que o normal por um curto período. Nesse caso, o comitê de gerenciamento de riscos da organização (como CISO, CPO, consultoria jurídica geral e outros) forneceria à iniciativa uma isenção formal de risco para, por exemplo, um período de seis a dezoito meses, ponto no qual os riscos seriam reanalisados. Esse tipo de modelo de remediação de riscos baseado em sucesso aumenta o número de controles de segurança proporcionalmente ao sucesso do produto ou serviço. Por exemplo, poderia fazer sentido para a empresa aceitar riscos maiores para um número inicialmente reduzido de clientes, com o entendimento de que, assim que o produto ou serviço tiver um número significativo de clientes, ela terá fluxo de receita suficiente para justificar os aprimoramentos de segurança. Os riscos residuais (não os riscos aceitos) seriam quantificados e gerenciados.

Um aspecto importante do gerenciamento de riscos é a existência de um processo que garanta a avaliação dos riscos de cada iniciativa de sua organização na fase inicial do ciclo de vida.

vIshal salvI

Vice-presidente Sênior e CISO (Chief Information Security Officer), HDFC Bank Limited

Abordagem antiga

Abordagem atual

Métodos eventuais Processos consistentes e formalizados integrados aos processos de negócio

Descrições técnicas do risco

Risco quantificado em perdas de valor monetário com probabilidade percentual

Tratamento igualitário dos riscos

O sistema de priorização que define o limite para os riscos de prioridade

A segurança é considerada responsável pelo gerenciamento de riscos

Compartilhamento da responsabilidade pelo gerenciamento de riscos: as unidades de negócios são responsáveis pelas decisões relacionadas à comparação risco X recompensa, e há um processo para responsabilizá-las pelo gerenciamento dos próprios riscos

O processo de aceitação de riscos é uniforme

Modelo flexível de aceitação de riscos segundo o qual, para certas oportunidades de negócio, é possível aceitar riscos maiores a curto prazo para possibilitar um tempo de comercialização rápido

Risco analisado em silos Visão abrangente dos riscos proporcionada pela automatização

AbOrdAgem AntigA

X abordagem

atual dos

processos de gerenciamento

de riscos


recomendações

4. Definir uma linha de ação para garantir a eficácia dos controles com base em provas

Hoje em dia, as organizações precisam verificar constantemente se os controles de segurança atendem aos padrões, protegendo a empresa contra ameaças em tempo real, agregando valor ao investimento e permitindo rapidez nos negócios. O modo mais eficiente de alcançar esse objetivo é garantindo a eficácia dos controles com base em provas, o que envolve coleta contínua dos dados relevantes para testar os controles.

Embora demore a ser configurada e exija alto nível de maturidade em relação a processos de TI e segurança, a garantia da eficácia dos controles com base em provas está se tornando uma competência obrigatória para as equipes de segurança. Ela trará mais transparência, facilitará

a identificação rápida dos controles com defeito ou falha e permitirá a remediação de problemas e otimização da estratégia de proteção por meio de ajustes contínuos. A presença de um fluxo de provas também facilitará consideravelmente a demonstração de conformidade das organizações. As auditorias serão mais eficientes e menos perturbadoras.

documente os controlesA primeira etapa na implementação da garantia

da eficácia dos controles com base em provas é documentar os controles de segurança da organização como um conjunto de declarações que pode ser verificado ou medido. Foque os controles mais importantes que estão protegendo os processos essenciais aos negócios (consulte a barra lateral).

Um exemplo simples de declaração de controle é uma descrição do uso de senha, incluindo comprimento, complexidade e requisitos de atualização. Para um controle de proteção de dados, a descrição pode incluir como os dados são marcados, criptografados e identificados com marca d’água e quais ferramentas são necessárias. O processo de documentação pode envolver a decomposição de documentos longos em um conjunto de declarações separadas.

realize uma análise dos controlesUse a oportunidade de documentar os controles

para fazer também uma análise abrangente de todos os controles. Faça perguntas para averiguação, por exemplo: Todos os controles ainda são necessários? Estão no lugar certo? São redundantes? Estão desatualizados? São operados de maneira ineficiente? Estão criando carga de trabalho desnecessária nos processos de negócio? Estão prejudicando a experiência do usuário? São eficientes contra as ameaças atuais? Quanto custa determinado controle? Os controles com desempenho insatisfatório devem ser gerenciados com custo menor ou agendados para retirada e/ou substituição.

A garantia da eficiência dos controles com base em provas está se tornando uma competência obrigatória para as equipes de segurança.

Processo tíPico de auditoriaEm um processo típico de auditoria, os auditores chamam a equipe, tirando-a de seu trabalho normal, para solicitar provas da conformidade dos processos de negócio.

Processo de auditoria com monitoramento contínuo dos controles

Com o monitoramento contínuo dos controles, um sistema recolhe registros que provam a eficácia dos controles. Em condições ideais, os auditores podem consultar o sistema ou visualizar relatórios sem interromper o trabalho normal.

qualidade, não quantidadeeMPresas que atuaM eM setores coM regulamentações rígidas talvez precisem documentar, analisar e coletar provas de todos os seus controles de segurança. Para outras empresas, porém, é melhor priorizar um subconjunto reduzido de controles de segurança: os controles mais importantes que protegem apenas os processos de negócio mais essenciais.

Para Muitas organizações, aPlica-se a regra 80/20: 20% dos controles fornecem a grande maioria dos recursos de segurança. Tente identificar esses controles o mais rápido possível e foque na documentação, análise e coleta de provas deles. Quando se trata de garantir a eficácia dos controles com base em provas, não se preocupe com a quantidade – o que importa não é o número de controles, mas, sim, a visibilidade que você adquire dos controles mais importantes para sua organização.

A re

gra

80/2

0


recomendações

reúna provas A próxima etapa é determinar qual prova será

testada para cada controle (consulte a tabela a seguir para ver exemplos), depois configurar procedimentos para reunir sistematicamente e reportar essa prova. A equipe de segurança precisa se perguntar: “Qual é nossa capacidade de demonstrar essa prova a curto e longo prazo?” Com o passar do tempo, mais recursos de coleta e geração de relatórios podem ser automatizados, permitindo que as organizações identifiquem problemas bem antes das verificações manuais periódicas. Vincular e combinar os resultados coletados por meio das atividades de gerenciamento de ameaças e vulnerabilidades é essencial para a identificação de defeitos nos controles em fase inicial.

Sempre que possível, as equipes de segurança devem trabalhar na ampliação do monitoramento automatizado dos controles, com envio dos resultados a um repositório central (como um sistema de GRC). A prova manual também deve ser armazenada centralmente (no sistema de GRC). Com o armazenamento centralizado dos resultados da avaliação, as auditorias exigirão menos esforço e poderão ser realizadas independentemente do responsável pelo controle e/ou processo.

Como objetivo de longo prazo para muitas organizações, o monitoramento contínuo dos controles permitirá a geração de um relatório visual mostrando quais controles estão funcionando e

eXemPlOs de prova para diferentes tipos de controle

tipo de controle

origem da prova

Senha Registros de aplicativo que mostram a atualização de senhas

Sistema de entrada no datacenter

Logs do sistema de credenciais relacionados a entradas permitidas ou negadas

Política de uso aceitável de dispositivos móveis

Registros de dispositivos perdidos ou roubados que mostram se esses dispositivos foram relatados em determinados períodos

exibindo um alerta em tempo real se um controle não estiver funcionado. Geralmente, o monitoramento contínuo dos controles exige o uso de tecnologias para agregação de registro, GRC e/ou lógica analítica de dados e warehousing. Muitas organizações estão desenvolvendo estratégias primordiais para o gerenciamento de dados de segurança, a fim de gerenciar a coleta e o uso dos dados para diversas finalidades, como garantia dos controles, gerenciamento de riscos e detecção de ameaças.

aprimore as avaliações de terceirosA garantia da eficácia dos controles com

base em provas representa um grande avanço no aprimoramento das avaliações de terceiros. Os métodos tradicionais – baseados em questionários, visitas ao local e reavaliação anual – são incômodos e não geram informações úteis e oportunas. Se os clientes e os provedores de serviços têm recursos voltados para a eficácia dos controles com base em provas, as avaliações compartilhadas são facilitadas; os clientes podem definir requisitos padronizados para confirmar a eficácia dos controles, e os provedores de serviço podem fornecer provas padronizadas. As avaliações padronizadas dos provedores de serviços podem então ser usadas por vários clientes.

A abordagem com base em provas também permite um aumento no número de avaliações automatizadas de terceiros. Por exemplo, duas organizações líderes do setor de serviços financeiros (um banco e um provedor de serviços de negócios) formam uma parceria para definir um conjunto de requisitos mensuráveis para controles de segurança. Por meio do acesso a um sistema de GRC, o provedor de serviços fornecerá ao banco provas contínuas de que determinados controles são eficazes. O sistema de GRC estará na ponta da rede do provedor de serviços e, em última análise, será usado por vários clientes para ganhar visibilidade de alguns de seus principais controles.

“A garantia dos controles com base em provas é uma visão abrangente da eficácia dos controles em seu próprio ambiente. se vou aceitar uma avaliação compartilhada, uma comprovação de terceiros, gostaria de saber qual é a prova de que os controles avaliados estão realmente funcionando continuamente.”

rOlanD clOutIEr

Vice-presidente e CSO (Chief Security Officer), Automatic Data Processing, Inc.


5. Desenvolver métodos bem fundamentados de coleta de dados

A lógica analítica de dados se tornou um recurso essencial para detecção de ameaças cibernéticas. Depois que você tiver um mecanismo de lógica analítica e datastore implementado e um analista de dados em sua equipe, para obter um recurso de lógica analítica de dados, será preciso configurar processos para determinar quais dados devem ser coletados e onde podem ser encontrados.

crie um conjunto de casos de usoUma etapa fundamental é observar os tipos

de pergunta que a lógica analítica de dados pode responder. Um exemplo de pergunta é: “Como saber se a atividade do administrador do sistema, neste sistema específico, é legítima ou proveniente de uma invasão?” A resposta poderia ser: “Se pudéssemos ver padrões anormais de atividade, como vários conjuntos de credenciais sendo usados em sucessão rápida em uma só máquina ou um administrador conectando-se a um sistema que não está associado a nenhuma de suas ordens de trabalho.” Pensando nas principais perguntas e respostas relacionadas à proteção dos processos essenciais aos negócios, a equipe de segurança pode começar a identificar as fontes de dados relevantes.

A equipe de segurança deve criar um conjunto de casos de uso da lógica analítica de dados. Geralmente, para cada caso de uso, você passa por um processo iterativo com vários ciclos de coleta de dados, desenvolvimento de algoritmo, testes e refinamento. Por exemplo, a equipe pode estar interessada em responder à pergunta: “Como indicar possíveis violações de velocidade (casos em que um usuário parece estar ativo em dois locais físicos distantes em um curto período)?” A equipe poderia começar coletando dados como: localização geográfica de prédios da empresa onde os crachás foram usados, endereços IP, conexões de dispositivo móvel e conexões estáticas de VPN; registros de data e hora das interações; e itinerários de viagens corporativas para indicar a localização do usuário.

Em seguida, o analista de dados desenvolveria um algoritmo que geraria uma pontuação de risco com base na velocidade calculada com a qual o usuário está aparentemente se movimentando. Depois de executar a lógica analítica e consultar os resultados, a equipe descobriria quais casos poderiam ser um comportamento normal, mas gerariam pontuações altas de risco. A próxima etapa seria refinar os algoritmos, talvez usando dados adicionais, para reduzir os falsos positivos.

Um problema muito comum é que os dados necessários para responder a perguntas críticas

não estariam acessíveis imediatamente. A equipe de segurança talvez tenha de voltar

aos dispositivos originais para reconfigurar como o registro é feito. Por exemplo, os registros de proxy talvez precisem incluir o endereço IP da origem inicial, mas esses dados podem não estar ainda nos registros. O esforço de coleta de dados pode exigir negociações especializadas com os responsáveis pelo sistema, pois esses podem resistir ao aumento do número de registros, visto que isso poderia ter impacto negativo no desempenho do sistema.

recomendações

Paralelamente à determinação das etapas dos casos específicos de uso, a equipe de segurança deve identificar os dados que seriam valiosos para definir a linha de base da atividade normal nos sistemas essenciais. Por exemplo, histórico de alguns meses da rede e padrões de acesso do usuário nas origens, como registros de firewall e sistemas de autenticação, poderiam ser úteis para começar a definir a linha de base.

aplique dados de várias origensTambém é importante incluir as fontes de

dados certas. Pense além dos registros de segurança. As equipes de segurança precisam saber o que está acontecendo no ambiente empresarial, não apenas na tecnologia de segurança que envolve esse ambiente. A integração das informações de negócios, como registros de processo, transação e aplicativo, ajudará a apresentar uma visão mais abrangente de como a empresa está sendo protegida.

Os dados dos sensores internos devem ser combinados com informações de origens externas, como feeds de ameaças comerciais, governamentais ou setoriais. Se as organizações só observarem os dados internos, não terão uma visão do impacto potencial total das ameaças sobre seus ambientes; elas só estarão monitorando o que aconteceu, não o que poderia ser evitado. Considere focar um recurso na integração eficiente dos dados de várias origens internas com a inteligência externa.

Pense aléM Dos registros De segurança.


recomendações

Como várias organizações já perceberam, é fácil se inscrever em feeds de ameaças, mas tornar úteis esses dados é mais difícil. Saiba como aplicar os dados especificamente e desenvolva um esquema para integrar dados externos aos dados internos a fim de enriquecer a análise. Os dados de feeds de ameaças comerciais sobre possíveis ataques podem ser aplicados para testar áreas específicas conhecidas em seu ambiente a fim de saber se as ameaças estão explorando esses métodos para extrair dados. Nesse caso, dados externos podem ajudar a identificar uma atividade anormal em canais que geralmente não são usados para comunicações de saída.

planeje amplamente a coleta de dadosMuitas vezes desenvolver uma competência em

lógica analítica de dados exige um plano plurianual para aprimorar a arquitetura geral de coleta e modificar os aplicativos a fim de produzir registros mais ricos em dados. Tente descobrir o mais rápido possível quais dados (como captura de pacote, dados do NetFlow) e recursos de agregação de dados (por exemplo, gerenciamento de registros, agregação central ou correlação de registros) estão ausentes e poderiam ser valiosos para desenvolver um recurso de lógica analítica de dados e planejar o aumento da capacidade de armazenamento de dados.

“O maior desafio da lógica analítica de dados é obter resultados significativos. Você precisa de tempo para desenvolver uma estratégia coesa. Foque as informações que movimentam seus negócios e pense em perguntas que gostaria de responder. Caso contrário, você estará nadando em um mar de dados.”

tIM McknIght

Vice-presidente Executivo, Risco e Segurança das Informações Corporativas, Fidelity Investments


ConclusãoPara atender aos atuais desafios práticos sem

deixar de se preocupar com o futuro, as principais equipes de segurança estão passando por grandes mudanças em seus processos mais arraigados. Os “negócios conduzidos como de costume” não conseguirão acompanhar as iniciativas de negócios orientadas por tecnologia nem proteger a empresa das ameaças atuais.

A maior parte do trabalho a ser feito envolve o desenvolvimento de um conhecimento profundo dos processos de negócio e trabalho direto com as unidades de negócios. Os riscos de segurança cibernética são finalmente um tema recorrente nas empresas e, em muitas organizações, há mais do que simples disposição para financiar programas nessa área. Embora a equipe das unidades de negócios esteja preocupada com os riscos de segurança cibernética, ela ainda não sabe como gerenciá-los. Nesse momento, cabe aos profissionais de segurança explicar aos funcionários como lidar com os riscos de segurança cibernética. Há anos fala-se sobre envolver a segurança das informações no gerenciamento de riscos. Agora é hora de levar isso a sério, aumentando o nível dos processos de segurança e tornando-os parte integrante dos negócios.

À medida que os processos de segurança forem reprojetados, a otimização será um fator-chave de sucesso – e um esforço contínuo. Os processos de segurança das informações precisam passar por constante reavaliação para garantir a eficiência do uso de recursos e da redução de riscos na empresa.

Como as equipes de segurança estão avaliando a renovação dos processos, elas também devem, sem dúvida, planejar o acompanhamento dos avanços tecnológicos. Novas tecnologias – especialmente aquelas para análise de big data – estão orientando algumas das principais mudanças de processo abordadas neste relatório. O próximo e último relatório da série sobre como transformar a segurança das informações explorará algumas das mais importantes tecnologias de segurança emergentes e em evolução – e fornecerá mais percepções práticas do gerenciamento das forças que estão redefinindo a segurança das informações.

Sobre a iniciativa do Security for Business Innovation Council

a inovação nos negócios chegou ao toPo Da lista de prioridades da maioria das empresas, enquanto a diretoria se esforça para unir o poder da globalização ao da tecnologia para agregar novos valores e gerar bom desempenho. No entanto, ainda falta um elo. Embora a inovação nos negócios seja movida por sistemas de informação e TI, a proteção desses sistemas não é, em geral, considerada estratégica – mesmo quando as empresas enfrentam pressões normativas e ameaças crescentes. Na verdade, a segurança das informações é avaliada tardiamente, adicionada ao fim dos projetos sem receber muita atenção ou – pior ainda – sem nem mesmo ser considerada. Entretanto, sem a estratégia certa de segurança, a inovação nos negócios pode ser facilmente reprimida ou colocar a organização em grande risco.

na rsa, acreDitaMos que, se as equiPes De segurança forem verdadeiras parceiras nesse processo de inovação, poderão ajudar suas organizações a

alcançar resultados jamais vistos. É hora de estabelecer uma nova abordagem; a segurança precisa deixar de ser uma especialidade técnica e se tornar uma estratégia de negócio. Apesar de a maioria das equipes de segurança ter reconhecido a necessidade de melhor alinhar segurança e negócios, muitas ainda se esforçam para transformar essa percepção em planos concretos de ação. Elas sabem para onde precisam ir, mas não sabem como chegar lá. É por isso que a RSA está trabalhando com alguns dos principais líderes de segurança do mundo para gerar discussões no setor a fim de identificar um caminho.

a rsa convocou uM gruPo De executivos De segurança altamente bem-sucedidos de empresas citadas na Global 1000 em uma variedade de setores, que nós chamamos de “Security for Business Innovation Council.” Estamos conduzindo uma série de entrevistas detalhadas com o SBIC, publicando as ideias expostas em diversos relatórios e patrocinando pesquisas independentes que exploram esses tópicos. Vá a www.rsa.com/securityforinnovation para visualizar os relatórios ou acessar a pesquisa. Juntos, podemos acelerar essa importante transformação do setor.

http://brazil.emc.com/emc-plus/rsa-thought-leadership/sbic/index.htm


Colaboradores do Relatório Security for Business Innovation Council

MarEnE n. allIsOn Vice-presidente Global de Segurança das Informações, Johnson & Johnson

anIsh bhIManI CISSP CIRO (Chief Information Risk Officer), Jpmorgan chase

Dr. MartIjn DEkkEr Vice-presidente Sênior e CISO (Chief Information Security Officer), abn amro

jErry r. gEIslEr III GCFA, GCFE, GCIH, Escritório do CISO (Chief Information Security Officer), Walmart stores, inc.

rEnEE guttMann CISO (Chief Information Security Officer), the coca-cola company

MalcOlM harkIns Vice-presidente e CSPO (Chief Security and Privacy Officer), intel

kEnnEth haErtlIng Vice-presidente e CSO (Chief Security Officer), telus

pEtrI kuIvala CISO (Chief Information Security Officer), nokia

DavE MartIn CISSP Vice-presidente e CSO (Chief Security Officer), emc corporation

tIM McknIght CISSP Vice-presidente Executivo, Risco e Segurança das Informações Corporativas, fidelity investments

fElIx MOhan Vice-presidente Sênior e GCISO (Global Chief Information Security Officer), airtel

rObErt rODgEr Líder do Grupo de Segurança da Infraestrutura, hsbc holdings, plc.

ralph salOMOn CRISC Vice-presidente do Departamento de Risco e Segurança de TI, sap ag

vIshal salvI CISM Vice-presidente Sênior e CISO (Chief Information Security Officer), hdfc bank limited

sIMOn strIcklanD Líder Global de Segurança, astraZeneca

lEannE tOlIvEr Escritório do CISO (Chief Information Security Officer), ebay

DEnIsE D. WOOD Vice-presidente Corporativa, Segurança das Informações, CISO (Chief Information Security Officer), CITRO (Chief IT Risk Officer), fedex corporation

WIllIaM bOnI CISM, CPP, CISA, CISO (Corporate Information Security Officer), Vice-Presidente, Segurança das Informações Corporativas, t-mobile usa

rOlanD clOutIEr Vice-presidente e CSO (Chief Security Officer), automatic data processing, inc.

Para consultar as biografias completas dos membros do SBIC, visite brazil.emc.com

http://brazil.emc.com/collateral/industry-overview/h11109-sbic-bios.pdf







© 2013 EMC Corporation. Todos os direitos reservados. 271226 H12622 CISO RPT 1213

EMC, EMC2, o logotipo da EMC, RSA e o logotipo da RSA são marcas registradas ou comerciais da EMC Corporation nos Estados Unidos e/ou em outros países. Todos os outros produtos e/ou serviços referidos são marcas comerciais de suas respectivas empresas.

®

Documents

Relatório ABN Amro tSecurity for Business Innovation Council Transformando … · 2019. 1. 31. · 2. Instituir estimativas de negócio para riscos de segurança cibernética 6 3