Baixe o app para aproveitar ainda mais
Prévia do material em texto
GOVERNANÇA DE SEGURANÇA DA INFORMAÇÃO 1 GOVERNANÇA CORPORATIVA SAINDO DO QUADRADO OBJETIVO: Estender a preocupação com a segurança da informação para outras tecnologias GOVERNANÇA CORPORATIVA SAINDO DO QUADRADO GOVERNANÇA CORPORATIVA SAINDO DO QUADRADO Entrada de Pessoas Entrada de equipamentos CPD SEM REDE GOVERNANÇA CORPORATIVA SAINDO DO QUADRADO Entrada de Pessoas Entrada de equipamentos DATA CENTER COM REDE GOVERNANÇA CORPORATIVA SAINDO DO QUADRADO Novos recursos e serviços de TI nas organizações Necessidade de aperfeiçoamento da segurança da informação GOVERNANÇA CORPORATIVA SAINDO DO QUADRADO Computação em nuvem (cloud computing) “Um modelo para permitir o acesso conveniente, sob demanda, a uma rede com um conjunto compartilhado de recursos de computação configuráveis (ex: redes, servidores, armazenamento, aplicações e serviços), que podem ser rapidamente provisionados e liberados com o mínimo de esforço gerencial e interação com o provedor de serviço”. NIST, em 2011 GOVERNANÇA CORPORATIVA SAINDO DO QUADRADO Computação em nuvem (cloud computing) Avaliação in loco Uma infraestrutura atendendo aos padrões de segurança da informação (ISO 27001) Equipe de especialistas certificados e com formação diferenciada Alguns critérios de contratação: GOVERNANÇA CORPORATIVA SAINDO DO QUADRADO Computação em nuvem (cloud computing) Desafios de conformidade Perda de reputação da empresa Intrusão maliciosa ou papéis com altos privilégios de acesso Intimação Encerramento do CSP Aquisição do CSP por um concorrente Riscos de segurança da informação: (HARADA citado por FERNANDES; ABREU, 2014, p.551) GOVERNANÇA CORPORATIVA SAINDO DO QUADRADO Computação em nuvem (cloud computing) Exaustão de recursos Interceptação de dados Perda de dados Mudanças de jurisdição do CSP com requisitos legais diferentes Falha nas condições de licenciamento Roubo de equipam. nas instalações do CSP Desastres naturais Riscos de segurança da informação: (HARADA citado por FERNANDES; ABREU, 2014, p.551) GOVERNANÇA CORPORATIVA SAINDO DO QUADRADO Computação em nuvem (cloud computing) Estrutura mista, CSP apenas com informação pública ou de baixa criticidade Manter o restante na infraestrutura interna Bom para a segurança mas pode ser ruim para o negócio porque as organizações estão geograficamente espalhadas, demandando flexibilidade e conveniência Altos custos de estrutura própria Proposta de mitigação: (SÊMOLA, 2014) GOVERNANÇA CORPORATIVA SAINDO DO QUADRADO Bring Your Own Device (BYOD) Fronteira profissional e pessoal cada vez mais fraca Profissionais tendem a utilizar dispositivos móveis particulares também no trabalho, querendo acessar a rede corporativa e armazenar as informações da empresa no próprio dispositivo E agora? GOVERNANÇA CORPORATIVA SAINDO DO QUADRADO Mapeamento de riscos relacionados com a utilização corporativa de dispositivos móveis Perda de controle de HW e SW e de suas atualizações Vazamento de informações confidenciais Perda, furto ou roubo do equipamento com informações confidenciais (SÊMOLA, 2014) GOVERNANÇA CORPORATIVA SAINDO DO QUADRADO Mapeamento de riscos relacionados com a utilização corporativa de dispositivos móveis Falha no controle de acesso à rede da empresa Dificuldade para recuperar informações de funcionário desligado e com equipamento próprio Infecção por vírus Aplicativos maliciosos (SÊMOLA, 2014) GOVERNANÇA CORPORATIVA SAINDO DO QUADRADO Proposta de mitigação: (SÊMOLA, 2014) “o uso de sistemas de NAC possibilita o provimento seguro de acesso a uma rede com fio ou sem fio a dispositivos que não se insiram no âmbito do que essa rede considere ‘normal’, através do chamado guest networking, possibilitando identificar e aplicar uma política de segurança para todos os tipos de usuários e dispositivos de rede”. Network Access Control GOVERNANÇA CORPORATIVA SAINDO DO QUADRADO Proposta de mitigação: (SÊMOLA, 2014) NAC Network Access Control MDM Mobile Device Management Smartphones e tablets Todas as ações de segurança devem estar subsidiadas por uma Política de Segurança da Informação (PSI) que considere a existência de políticas específicas para o gerenciamento de dispositivos móveis, incluindo o BYOD GOVERNANÇA CORPORATIVA SAINDO DO QUADRADO Mídias Sociais Mídias sociais As mídias sociais são espaços virtuais de interação entre pessoas GOVERNANÇA CORPORATIVA SAINDO DO QUADRADO Mídias Sociais As mídias sociais são espaços virtuais de interação entre pessoas Negócios RISCOS GOVERNANÇA CORPORATIVA SAINDO DO QUADRADO Riscos de segurança da informação: (SÊMOLA, 2014) Vazamento de informação Furto de identidade Dano a imagem ou a reputação da empresa Nos casos de ataques ou de software malicioso - malware, perda de dados e perda de capacidade operacional GOVERNANÇA CORPORATIVA SAINDO DO QUADRADO Proposta de mitigação: (SÊMOLA, 2014) “O melhor a ser feito para reduzir esses riscos é tratá-los de forma preventiva, com a definição de uma política clara para o uso de mídias sociais, incluindo a definição de responsabilidades e de um código de conduta, reforçar a conscientização de empregados e executivos sobre o uso adequado de mídias sociais e o que deve ser compartilhado nessas redes, além de treinamento sobre navegação segura na Internet” GOVERNANÇA CORPORATIVA SAINDO DO QUADRADO Big Data Sociais Armazenamento de grandes volumes de dados que podem ser tratados mais rapidamente e com uma quantidade maior de recursos. Possibilitar que essas informações possam ser analisadas mais rapidamente para auxiliar na tomada de decisões. GOVERNANÇA CORPORATIVA SAINDO DO QUADRADO “Definido genericamente como a captura, gerenciamento e a análise de dados que vão além dos dados tipicamente estruturados, que podem ser consultados e pesquisados através de bancos de dados relacionais. Frequentemente são dados obtidos de arquivos não estruturados como vídeo digital, imagens, dados de sensores, arquivos de logs e de qualquer tipo de dados não contidos em registros típicos com campos que podem ser pesquisados”. Big Data (SIEWERT citado por FERNANDES; ABREU, 2014) GOVERNANÇA CORPORATIVA SAINDO DO QUADRADO Big Data (SÊMOLA, 2014) “a nova tecnologia traz consigo potencial significativo de aumento no poder de análise de dados, que pode melhorar a capacidade de detectar ataques cibernéticos e atividades maliciosas (...)”. “Já pelo lado do risco, “(...) ainda não conseguimos entender completamente os riscos à privacidade e à segurança quando informações de cliente e de negócios estão sendo coletadas, combinadas, processadas e armazenadas em escalas e velocidades sem precedentes”. GOVERNANÇA CORPORATIVA SAINDO DO QUADRADO Big Data (SÊMOLA, 2014) Prevenção Educação Controle Prevenção, educação e controle formam os pilares para reduzir os riscos de segurança da informação no big data GOVERNANÇA CORPORATIVA SAINDO DO QUADRADO Big Data (SÊMOLA, 2014) Conformidade legal e regulatória; e requisitos de cada país. “(...) o caminho mais provável é a migração da visão de segurança para um modelo de proteção data-centric (centrada em dados), que acompanha a informação em todas as fases de seu ciclo de vida”. Prevenção Educação Controle Mapear deficiências técnicas Informação classificada e com política definida GOVERNANÇA CORPORATIVA SAINDO DO QUADRADO Avaliar a aquisição ou o desenvolvimento de softwares para serem utilizados como ferramentas de apoio à gestão de riscos
Compartilhar