Segurança em um planeta mais inteligente

Segurança em um planeta
mais inteligente
Alexandre Freire – Information Security @ IBM Brasil, Software Group
[email protected]
© 2011 IBM Corporation
Agenda
2
1
Ameaças em um planeta mais inteligente
2
Em direção à segurança inteligente
© 2011 IBM Corporation
O planeta está se tornando cada vez mais instrumentado,
interconectado e inteligente!
Smart
Supply Chains
Smart
Countries
INSTRUMENTADO
Smart Oil Field
Technologies
3
Smart
Regions
Smart
Retail
Smart Water
Management
INTERCONECTADO
Smart
Healthcare
Smart Traffic
Systems
Smart
Weather
Smart
Energy Grids
INTELIGENTE
Smart
Cities
Smart
Food Systems
© 2011 IBM Corporation
Mais alvos e vulnerabilidades a serem exploradas
Inúmeras possibilidades de ataques
Explosão de dados ao redor do mundo
(1 Zetabyte = 1 Tillion Gigabytes)
30 billion RFID tags
(products, passports,
buildings, animals)
35000
2 billion Internet
users
35,000
Zetabytes
30000
25000
20000
15000
60% CAGR
10000
50 billion connected
objects (cars,
appliances, cameras)
5000
5 billion mobile
phones
1,800
Zetabytes
0
2009
2010
2012
2013
2014
2015
2020
“Existem vazamentos de dados envolvendo browsers de dispositivos móveis e não temos a
mínima idéia sobre como isso acontece”
CIO, Media Company
4
© 2011 IBM Corporation
Ameaças afetam o ambiente corporativo, indústrias e regiões
InternalInternos
abuse
Abusos
of key de
exposição
sensitive
informações
information
confidenciais
5
Complexity
Malware deof
malware,
ability
responsável
to slowly
leak
por
afetar redes
data
and affect
de
automação
critical
paralizando
business
negócios
processes
External
data
Vazamento
breach
of third
de dados
de
party
data and
terceiros
e
theft
of
roubo da
customer
informação
information
de clientes
Wikileaks
Stuxnet
Epsilon
Unauthorized
release
of de
Divulgação
não
autorizada
classified
records
dados
classificados
Rede de automação
Targeted
changes to (SCADA).
process
controllers refining
Interrupção
do enriquecimento
uranium
de Urânio
Rouboofde
Theft
customer
dados de
data
clientes
affected
more than
afetou
mais100
de companies
100 grandes
empresas nos EUA
IMPACTO
IMPACT
Close to $100M forU$
the10M
U.S.ao
Aproximadamente
Army
alone;
damaged
foreign
exército americano; danos de
relations worldwide
relacionamento
e diplomacia
com outros países
IMPACTO
Impact
Degraded ability
Degradada
a capacidade
to safely de
process
lidar
comand
material
control
volátil
highly
em
volatilede
níveis
materials
segurança industrial
satisfatórios.
IMPACTO
Impact
Up tode
Mais
$4$4
billion
bilhões
in costs
em custos
for
initial clean
diretos
e indiretos
-up andrelacionados
longer term
litigation
a
dados confidenciais
risks
e
mitigação do incidente
© 2011 IBM Corporation
Segurança é uma preocupação em todos os níveis
Resultados
de
Negócios
Imagem
da
Marca
Cadeia de
Suprimentos
Impacto do
“hacktivism”
Riscos
de
Auditoria
Sony estimou
potencial
perdas de $1B
em impacto de
longo prazo
Vazamento de
dados HSBC
expôe dados
privados de
24mil clientes
Vazamento de
dados Epsilon
impacta em
100 marcas
nacionais nos
EUA
Os ataques de
50 dias do
grupo Lulzsec
impactaram
Nintendo, CIA,
PBS, Sony …
Zurich
Insurance
multada $3.8M
pela perda de
46mil registros
de clientes
Isso pode acontecer conosco?
6
© 2011 IBM Corporation
O impacto nos negócios e na inovação é real.. e vem crescendo!
Ameaças Externas
Ameaças Internas
Compliance
Aumento de ataques externos de
origens não “tradicionais”
Descuido dos riscos e
comportamentos maliciosos
Endereçamento de grande
quantidade de regulamentações
 Cyber attacks patrocinados
por governos ou grupos
 Erros administrativos
 Vulnerabilidades internas
 Leis nacionais e
internacionais
 Crime Organizado
 Ações de empregados mal
intencionados
 Leis locais
 Espionagem
corporativa/industrial
 Engenharia social
Mobilidade
7
 Padrões da indústria
 Mistura dos dados sigilosos
com informações corporativas
Cloud / Virtualização
Social Business
Business Intelligence
© 2011 IBM Corporation
… influência nas prioridades da “C-suite”
CFO/COO
CIO
CHRO
Zelar pela
manutenção do
diferencial
competitivo
Garantir a
confirmidade
com normas e
regulamentações
Expandir o uso de
dispotivos móveis
Permitir a
flexibildade da
força de trabalho
global
Fortalecer a
marca “brand”
Má administração
da propriedade
intelectual
Falha ao
endereçar os
requerimentos de
conformidade
Proliferação de
Dados
Divulgação de
dados sensíveis
Roubo de
informação de
clientes ou
funcionários
Não conformidade
Perda de
confidencialidade
dos dados,
integridade e/ou
disponibilidade
Violação da
privacidade dos
funcionários
Perda da
reputação da
marca e perante
clientes
CEO
CxO
prioridade
Riscos de
Segurança
Impacto
Potencial
Má administração
de dados críticos
e sensíveis ao
negócio
Perda de market
share e reputação
Implicações
legais
Multas e sanções
criminais
Endpoints
inseguros e
acesso invevido
CMO
Queda de lucro
Em todos os níveis executivos das corporações existem diversos riscos de
segurança que podem determinar impactos como riscos aos negócios a partir de
perdas financeiras, danos de imagem e reputação
*Source: Discussions with more than 13,000 C-suite executives as part of the IBM C-suite Study Series
8
© 2011 IBM Corporation
Toda “C-suite” tem responsabilidade em segurança
CEO
CFO
COO
CIO
CHRO
CMO
Previnir os
riscos de
segurança de
impactar o
valor das
ações e
confiança de
mercado
Conhecer os
impactos
financeiros de
eventos de
segurança
adversos
Avaliar os
impactos das
interrupções
nas operações
diárias dos
sistemas de TI
Compreender
os efeitos de
incidentes de
segurança nas
diferentes
áreas de
negócio
Determinar os
riscos
associados
com a
divulgação de
dados de
funcionários
Endereçar as
questões
associadas à
marca a partir
de incidentes
de segurança
Priorizar o processo de gestão de riscos classificando as ameaças por impacto
ao negócio ao invés de tentar proteger todas as ameaças conhecidas
9
© 2011 IBM Corporation
Onde você está?
Compliance
1. Você fez avaliação dos seus riscos de segurança?
2. Você utiliza padrões da indústria para medir a efetividade dos seus
riscos de segurança ?
3. Você possuí um conjunto de controles definidos para compliance ?
4. Você armazena logs para fins de investigação (forense)?
Ameaças
Internas e
Externas
5. Você tem acesso as últimas pesquisas de vulnerabilidades e ameaças?
6. Quem tem acesso a seus dados, aplicativos e sistemas operacionais?
7. Como você lida com a resposta a incidentes e disaster recovery?
8. Você classificou e criptografou os dados sensíveis?
9. Você sabe o que usuários autorizados estão fazendo com seus dados?
10. Segurança faz parte de novas iniciativas como cloud computing?
10
© 2011 IBM Corporation
Agenda
11
1
Ameaças em um planeta mais inteligente
2
Em direção à segurança inteligente
© 2011 IBM Corporation
Automatizado
O crescimento das ameaças e requerimentos de compliance demandam
uma abordagem mais pró-ativa e automatizada em segurança
Manual
Corporações
implementam
proteções de
perímetro, as quais
Controlam acessos
e alimentam
relatórios manuais
Corporações
utilizam segurança
com controles
automatizados e
pró-ativos
Reativo
12
Pró-ativo
Segurança é tratada
em camadas e
diferentes operações
de negócios
© 2011 IBM Corporation
Abordagem requer análise de Gaps para endereçamento dos
pontos visando crescimento (maturidade)
Hoje
Gerenciamento de identidades
por aplicação
Dados
Implementação de controle
de acesso e criprografia
Aplicações
Busca (scan) por vulnerabilidades
Infraestrutura
Bloqueio não autorizado de acessos
de rede e códigos hostis
Reativo
13
Dash board centralizado com gestão
privilegiada de usuários
Monitoração do uso e vazamento
Contruir segurança a partir do “day one”
Correlação e análise
detalhada de eventos
Pessoas
Amanhã
Security Gap
Domínios
Segurança
Executar detecção e bloqueio de
ameaças e forense em tempo real
Pró-ativo
© 2011 IBM Corporation
Segurança inteligente : Plano de 3 fases
1
Esteja
informado
Conduza uma
abordagem
estruturada para
avaliar os riscos de
TI e negócios
2
Esteja
alinhado
Implemente a
excelência em
segurança no
ambiente
corporativo
3
Seja
Inteligente
Tenha abordagem
analítica para
destacar os riscos,
monitorar e
endereçar as
ameaças
© 2011 IBM Corporation
1. Esteja informado
Conduza uma abordagem estruturada para avaliar os riscos de TI e negócios
Risk Management Framework
2011 IBM Global IT Risk Study
The Benefits of Improving IT Risk
Management
2010 IBM Global IT Risk Study
Addressing Risk Management




15
Align and integrate IT risk into the business’ Enterprise
Risk Management framework
Identify key threats and compliance mandates
Implement and enforce a risk management process and
common controls framework
Execute incident management processes when crises
occurs
Empowering the Risk Executive



Appoint a C-level executive to manage security risk
Maintain regular interlock with Board of Directors and
peers
Drive the IT risk conversation into the Enterprise Risk
Management program
© 2011 IBM Corporation
2. Esteja alinhado
Implemente a excelência em segurança no ambiente corporativo
Corporações
Clientes


Desenvolver e
comunicar
políticas de
segurança
Endereçar
rapidamente as
violações de
privacidade
Funcionários



16
Alinhar
claramente as
expectativas de
segurança e
privacidade
Prover educação
para identificar e
endereçar riscos
Gerenciar e
monitorar acesso
a sistemas e
dados
Parceiros



Alinhar
claramente as
expectativas de
segurança e
privacidade
Prover resposta
a incidentes de
segurança de
forma rápida e
transparente
Gerenciar riscos
como parte das
atividades normais
do negócio
Auditores


Certificar o
alinhamento do
risco de TI com o
risco corporativo
Conduzir
auditorias e
revisões
periódicas das
políticas da
compania
Agências



Gerenciar os
riscos das
regulamentações
Demonstrar
conformidade
com diferentes
normas
Revisar e
modificar
controles
baseados nos
requerimentos de
mitigação de
riscos
© 2011 IBM Corporation
3. Seja inteligente
Tenha abordagem analítica para destacar os riscos, monitorar e endereçar
as ameaças
Hello
Pessoas
Dados
Governança, Risco
e Conformidade
Otimizado
Análise baseada em
Perfil de Negócios
Governança de
Identidades
Controle de
usuários
provilegiados
Proficiente
Gestão de
Identidades
Autenticação forte
Básico
17
Senhas e
identidades de
usuários
Análise de fluxo
de dados
Governança de
Dados
Aplicações
Infraestrutura
Correlação e análise
detalhada de eventos
Ambiente de
desenvolvimento de
aplicações de
seguro
Monitoração
avançada e forense
de redes
Detecção de
fraudes
Segurança
de sistemas
Monitoração de
atividade
Firewall de
aplicação
Gestão de ativos
Data loss
prevention
Análise de código
fonte
Criptografia
Scanning de
vulnerabilidades
Controle de acesso
Gestão de
Segurança de
rede e Endpoints
Segurança
perimetral
Antivírus
© 2011 IBM Corporation
Dziękuję
Polish
Traditional Chinese
Thai
Gracias
Spanish
Merci
French
Russian
Arabic
Obrigado
Danke
Brazilian Portuguese
German
Tack
Swedish
Simplified Chinese
Grazie
Japanese
Italian
© 2011 IBM Corporation