SlideShare ist ein Scribd-Unternehmen logo

Whitepaper dtp-directors-managing-risk-pt

Lafaiete Alves Ferreira Netto
Lafaiete Alves Ferreira Netto
1 von 14
Downloaden Sie, um offline zu lesen
SEGURANÇA DIGITAL E PREVENÇÃO CONTRA FURTO DE DADOS: O QUE TODO CONSELHO DE ADMINISTRAÇÃO DEVE SABER SOBRE COMO GERENCIAR RISCOS NA ORGANIZAÇÃO
UM GUIA DE ALTO NÍVEL PARA TODOS OS EXECUTIVOS DE NEGÓCIOS Escopo deste Documento A responsabilidade primária de qualquer executivo de administração é garantir o futuro das organizações que supervisionam. Para isso, precisam ter acesso consistente a informações sobre circunstâncias e riscos que poderiam afetar o futuro da organização. A segurança digital é um ótimo exemplo de informação que afeta diretamente a receita e as perspectivas futuras de uma companhia, mas até o momento segue sem a devida análise e supervisão do conselho administrativo. Contudo, com o número devastador de ataques digitais de alta visibilidade e suas significativas consequências jurídicas e financeiras, a segurança digital não é mais um tema que possa ser relegado apenas ao departamento de TI. Agora, é essencial que os executivos façam perguntas estratégicas e analíticas sobre o quanto a organização que supervisionam está preparada para enfrentar o novo mundo de violações de dados de alto risco e ter êxito contínuo nessa época tumultuada. Este documento fornece uma visão geral não técnica sobre segurança digital e recomendações para os temas que todo executivo deve considerar. Aviso Jurídico Favor observar que este documento representa as visões e interpretações dos autores e editores, atuando em nome da Raytheon|Websense, a não ser quando indicado. Esta publicação não deve ser interpretada como orientação jurídica da Raytheon|Websense. As fontes terceirizadas são citadas, quando apropriado. A Raytheon|Websense não é responsável pelo conteúdo das fontes externas, incluindo websites externos referenciados neste documento. Este documento é apenas para fins informativos. A reprodução é autorizada, desde que a fonte seja reconhecida.
UM GUIA DE ALTO NÍVEL PARA TODOS OS EXECUTIVOS DE NEGÓCIOS Índice Resumo executivo 4 A segurança digital torna-se um problema prioritário Cinco pilares da gestão de segurança digital para o conselho administrativo Cinco áreas de questionamento para o conselho Principais pilares para o conselho administrativo 6 Princípio 1: A segurança digital é um problema de gestão de riscos, e não tecnológico. Princípio 2: Fornecer significado por trás das métricas – tornar a segurança digital real para o conselho. Princípio 3: Os conselheiros administrativos devem entender os aspectos jurídicos das regulamentações de segurança digital. Princípio 4: Os conselheiros administrativos devem identificar níveis de risco digital aceitáveis em operações empresariais. Princípio 5: O conselho administrativo deve adotar uma estrutura bem definida para gestão de riscos digitais. Cinco áreas de questionamento para o conselho 11 1. Os dados críticos da organização. 2. Riscos atuais para esses dados. 3. Principais indicadores de desempenho para a abordagem de segurança. 4. Protocolo de violação de dados para mitigação, remediação e comunicação. 5. Procedimentos para atualizar a abordagem de segurança e treinamento do pessoal. Conclusão 12 Leituras recomendadas e referências 13
UM GUIA DE ALTO NÍVEL PARA TODOS OS EXECUTIVOS DE NEGÓCIOS Resumo executivo A segurança digital torna-se um problema urgente Em 2014, algumas das maiores organizações no mundo foram vítimas de ataques digitais e incidentes de furto de dados com grandes prejuízos. Esses eventos de alta visibilidade inauguraram uma nova era para todas as companhias, em que os ataques digitais agora são parte dos negócios. Como resultado, a segurança digital tornou-se um problema prioritário para todos os conselhos administrativos. No entanto, é uma disciplina complexa e mutável, e está fora da área de especialização da maioria dos conselheiros administrativos. Este documento orientará os conselheiros administrativos como abordar e avaliar as medidas e os processos de segurança digital nas organizações que supervisionam. Cinco pilares da supervisão de segurança digital para o conselho administrativo A Raytheon|Websense identifica cinco pilares que fornecem aos conselheiros administrativos a base para realizar o grande esforço necessário para a supervisão da segurança digital: Princípio 1: A segurança digital é um problema de gestão de riscos, e não tecnológico. O conselho administrativo deve solicitar uma avaliação periódica de situação e riscos para a abordagem de segurança da organização. Princípio 2: Fornecer significado por trás das métricas – tornar a segurança digital real para o conselho administrativo. O conselho administrativo deve ser informado pelo diretor de Segurança da Informação (CISO) ou diretor de Riscos (CRO) em todas as reuniões. Essas funções devem estar subordinadas diretamente ao conselho administrativo. Princípio 3: Os conselheiros administrativos devem entender os aspectos jurídicos das regulamentações de segurança digital. Uma violação de dados expõe as organizações ao risco de ações disciplinares civis e criminais, e multas por órgãos reguladores, ações coletivas de consumidores e acionistas, além de processos judiciais de parceiros afetados. Princípio 4: Os conselheiros administrativos devem identificar níveis de risco digital aceitáveis em operações empresariais. A avaliação de negócios aplica-se à segurança digital como parte das operações empresariais. Os conselhos administrativos devem quantificar e administrar o risco de segurança digital, como fazem em outras categorias de negócios. Princípio 5: Os conselheiros administrativos devem adotar uma estrutura bem definida para gestão de riscos digitais. A estrutura é uma compilação de diretrizes baseadas em riscos e elaboradas para ajudar a avaliar os recursos atuais e a criação de um plano priorizado para melhoria das práticas de segurança digital. // 04
UM GUIA DE ALTO NÍVEL PARA TODOS OS EXECUTIVOS DE NEGÓCIOS Cinco áreas de questionamento para o conselho administrativo Para supervisão eficaz, os conselheiros administrativos precisarão Identificar: 1. Os dados críticos da organização. 2. Riscos atuais para esses dados. 3. Principais indicadores de desempenho para a abordagem de segurança. 4. Protocolo de violação de dados para mitigação, remediação e comunicação. 5. Procedimentos para atualizar a abordagem de segurança e treinamento do pessoal. // 05
UM GUIA DE ALTO NÍVEL PARA TODOS OS EXECUTIVOS DE NEGÓCIOS Principais pilares para o conselho administrativo Com 22.000 clientes ao redor do mundo, a Raytheon|Websense tem um histórico comprovado de mais de 20 anos de experiência como líder em segurança digital. Durante esse período de tempo significativo, a Raytheon|Websense desenvolveu uma série de pilares de segurança digital, que podem ser a base estratégica para entender as ferramentas e os processos de uma abordagem eficaz para a cibersegurança. Princípio 1: A segurança digital é um problema de gestão de riscos, e não tecnológico. As organizações sofisticadas avaliam a segurança digital do ponto de vista da gestão de riscos. Em nível do conselho administrativo, os riscos de negócios são classificados em uma ou mais das seguintes categorias: • Risco de interrupção dos negócios. • Risco para a reputação da marca. • Risco jurídico. • Risco de regulamentação e conformidade. O risco de segurança digital estará em uma ou mais dessas categorias, dependendo do modelo de negócios da organização e da sensibilidade para diversos tipos de riscos. O conselho administrativo deve receber e analisar uma atualização e avaliação da abordagem de segurança da organização em toda reunião. O conselho administrativo precisará priorizar os elementos de cada avaliação de riscos de segurança digital, na medida em que se aplica ao respectivo risco de negócios. Ao fazer as perguntas abaixo, os executivos podem garantir um entendimento adequado e o contexto dos riscos digitais para a organização: 1. Nós identificamos o valor dos ativos de informação mais críticos para a organização? • Qual informação torna a organização competitiva? • Qual porcentagem dos ativos de informação isso representa, onde são armazenados, usados e compartilhados? 2. Recebemos um resumo detalhado dos incidentes de segurança que ocorreram (incluindo os ataques que foram bloqueados com êxito)? • Qual inteligência pode ser obtida com essas ameaças e ataques? • Como essa inteligência pode ser aplicada com mais eficácia para remediação de incidentes e prevenção de ataques futuros? Segurança Digital e Prevenção contra Furto de Dados: O que todo conselho de administração deve saber sobre como administrar riscos na organização // 06
UM GUIA DE ALTO NÍVEL PARA TODOS OS EXECUTIVOS DE NEGÓCIOS 3. Quais garantias tem de que funcionários, fornecedores, parceiros, subsidiárias no exterior, fornecedores de nuvem, etc., podem receber em confiança os ativos de informação mais críticos da organização? • Quais controles estão implementados para combater os riscos previstos e o quanto estão bem documentados? 4. Qual é o disposição para riscos na organização? • O quanto isso é bem documentado? • Como essa abordagem para riscos se reflete nas operações e no processo decisório? 5. Em que extensão os representantes na empresa (ou seja, Fabricação, Operações, P&D, Jurídico, RH, etc.) estão envolvidos em uma discussão sobre segurança digital com base em riscos em toda a organização e constância? 6. A empresa quantificou os efeitos potenciais dos ataques digitais para os negócios – ou seja, perda de dados, interrupção e custos resultantes de deixar de proteger a organização contra um incidente significativo? 7. A organização fez um benchmarking de sua abordagem de riscos e integridade em relação a companhias comparáveis que podem estar abertas a essa forma de compartilhamento de informações? 8. A organização testou sua resiliência digital e resposta após um incidente significativo? Esse teste foi incorporado no Processo de Recuperação de Desastres e Planejamento de Continuidade dos Negócios da organização? 9. A pessoa responsável por segurança digital tem um mentor entre os conselheiros, para ajudar a preparar as informações da forma mais apropriada possível? Princípio 2: Fornecer significado por trás das métricas – tornar a segurança digital real para o conselho. Toda reunião do conselho administrativo deve discutir o tema da segurança digital em algum nível. Os executivos em geral estão cansados de ouvir falar em ameaças. Em vez disso, querem ouvir sobre os riscos e entender o impacto sofrido pela organização. Evite repetir estatísticas de indicadores de desempenho, que não têm significado e ocultam a verdadeira natureza do que está ocorrendo na infraestrutura da companhia. Em essência, o conselho administrativo quer saber: “o quanto estamos protegidos?” O CISO ou CRO deve se reportar diretamente ao conselho administrativo. Não deve estar “enterrado” nos departamentos de TI ou Operações. O conselho administrativo deve sondar o diretor responsável pela segurança digital para que: 1. Tenha foco em métricas que expliquem o impacto que os ataques têm ou poderiam ter na organização. Como essas métricas mudaram desde o último período de revisão e o que se poderia inferir das mudanças? 2. Reportar por departamento atacado e natureza do ataque. Indicar o quanto os mecanismos de cibersegurança da organização responderam bem e quantificar, se possível, o impacto de um ataque bem-sucedido. 3. Identificar a estratégia geral de segurança digital e a resposta a riscos conhecidos e tentativas de ataques. 4. Explicar as principais questões que estão na lista de prioridades do diretor. 5. Fornecer um resumo dos principais incidentes ocorridos nos setores da organização e como estão relacionados com a abordagem de riscos da companhia, e discutir quaisquer obstáculos para a implementação de uma abordagem holística de Prevenção contra Furto de Dados. Esta é uma métrica essencial, porque é relevante para o conselho administrativo em termos de riscos legais. O conselho administrativo deve ter um entendimento claro // 07
UM GUIA DE ALTO NÍVEL PARA TODOS OS EXECUTIVOS DE NEGÓCIOS do quanto a companhia está bem protegida, organizada e preparada em sua abordagem de cibersegurança em relação aos pares no setor. Se um concorrente sofre uma violação de dados e a organização do conselho administrativo tem proteção similar, o conselho saberá que um nível mais alto de segurança é necessário. Cumprir ou superar os padrões de cibersegurança do setor também pode ajudar a organização a evitar danos punitivos, se for vítima de furto de dados. Por outro lado, se o orçamento de segurança da organização é significativamente maior do que o de seus pares, isso pode indicar para o conselho que dinheiro demais está sendo gasto em segurança digital, os recursos de segurança são alocados de forma ineficaz, ou ambos. O conselho administrativo também deve, periodicamente, solicitar uma avaliação externa da segurança digital vigente, para obter outro ponto de vista sobre a abordagem de riscos da organização. Princípio 3: Os conselheiros devem entender os aspectos jurídicos das regulamentações de segurança digital. A perda ou o furto de informações críticas expõe as organizações ao risco de ações por órgãos reguladores. Além disso, quando ataques digitais interrompem operações de negócios, as organizações podem deixar de cumprir obrigações junto aos clientes, e sofrer ações coletivas de clientes ou até de acionistas. Adicionalmente, a Comissão de Valores Mobiliários dos EUA (SEC, Securities and Exchange Commission) declarou que “empresas de capital aberto que sejam vítimas de ataques digitais devem considerar a divulgação de informações adicionais às obrigatórias para ajudar a proteger os clientes cujos dados privados podem estar em risco”. E o conhecimento sobre um ataque digital pode ser considerado informação que pode influenciar decisões de investimentos e ser tratado como “informação privilegiada” que corresponde ao teste de “investidor razoável”. Há três áreas de preocupação amplas com relação a estruturas jurídicas: 1. Conformidade com regulamentações nacionais e de setores específicos – as PII e outros dados são riscos imensos de privacidade e conformidade para as empresas. A conformidade é complexa e em várias camadas, com grandes variações nas leis de segurança e privacidade nacionais e de setores específicos. Os conselheiros devem garantir que a administração esteja ciente de responsabilidades civis e criminais que podem estar vinculadas ao descumprimento de esquemas de conformidade para segurança e privacidade. Muitas organizações têm no mínimo algum nível de programa implementado para administrar o risco digital. Esses programas de riscos devem ser incorporados nas estratégias gerais de administração de riscos corporativos com o controle executivo e a autoridade apropriada. 2. Riscos e responsabilidades associados com prestadores de serviços terceirizados – Os conselheiros administrativos devem sondar os relacionamentos contratuais e as responsabilidades com terceirização de TI, terceirização de processos de negócios e fornecedores de computação em nuvem. Muitos acordos com terceiros são vagos nas definições de quem é responsável por proteger as informações críticas da organização. Além disso, os procedimentos para notificação de incidentes e remediação com frequência são desconsiderados. Indivíduos na organização com frequência criaram cadeias de confiança entre partes interessadas e é responsabilidade dos conselheiros administrativos garantir que esses acordos sejam definidos e auditados de forma apropriada. Além disso, os conselheiros administrativos devem estar cientes de quais são as obrigações de segurança, privacidade e relatórios de sua organização perante os clientes e parceiros. Deixar de considerar o risco poderia levar a processos judiciais demorados e perda de reputação. // 08
UM GUIA DE ALTO NÍVEL PARA TODOS OS EXECUTIVOS DE NEGÓCIOS 3. Política de conscientização sobre violações de dados e processos de notificação – O conselho administrativo deve ficar ciente de grandes violações de dados e tem a responsabilidade de permanecer informado sobre essas questões. Essa obrigação também se refere às tentativas de violações, embora haja uma flexibilidade razoável em relação à escala, à severidade e ao impacto potencial da violação ou tentativa de violação. Contudo, processos de notificação são uma área de preocupação complexa. Em caso de violação - mesmo sem a transmissão posterior dos dados para outro lugar – a primeira prioridade do conselho deve ser buscar orientação externa jurídica e sobre notificação de violação de dados, para estabelecer os processos de notificação corretos o mais rápido possível. Do ponto de vista do conselho administrativo, as seguintes informações devem ser registradas para qualquer declaração sobre possível violação: • O âmbito geográfico de operações onde as informações foram usadas e afetadas. Também é muito importante em notificação sobre violações de dados identificar a localização dos cidadãos onde os dados foram impactados. As leis sobre divulgação em geral consideram o domicílio do cidadão, e não a localização física da violação. • Os requisitos de relatórios em relação às leis do local específico - os requisitos legais de relatórios na Europa diferem amplamente dos requisitos nos EUA, por exemplo, e também variarão de um estado para outro dentro dos EUA. • Além disso, se/ou quando uma violação ocorreu é uma pergunta complexa. Cláusulas de Segurança podem entrar em vigor. Princípio 4: Os conselheiros administrativos devem identificar níveis de risco digital aceitáveis em operações empresariais. É importante observar que o conselho administrativo sempre define o tom para a organização e, dessa forma, comunica aos membros da companhia como a segurança digital deve ser considerada. Isso terá um efeito observável na cultura de segurança na organização. Os conselheiros administrativos enfrentam desafios notáveis, e isso inclui o fato de que muitos passaram a maior parte de suas carreiras na era pré-digital. Não podem ficar paralisados pelo jargão altamente técnico usado por “especialistas da área” ou a complexidade e fluidez da tecnologia moderna. Em vez disso, devem elevar a discussão para avaliar os riscos em relação às recompensas. Como um ex-chefe do Gabinete de Fiscalização da Internet da SEC observou recentemente: “Eu não acredito que seja realista esperar que conselheiros administrativos tivessem mais do que um entendimento de alto nível sobre a natureza dos ataques digitais e como impactam os negócios da empresa. Assim como é necessária uma boa empresa de contabilidade para orientação financeira, do ponto de vista do conselho administrativo este campo … requer buscar … a expertise necessária e garantir que a empresa esteja fazendo tudo o que pode para se proteger.” Contudo, é benéfico para todos os conselheiros administrativos obter informações abrangentes sobre os tipos de riscos digitais aos quais a empresa e o setor podem estar vulneráveis. Assim, os conselheiros devem solicitar e esperar atualizações periódicas da empresa sobre tendências recentes em violações de dados específicas do setor e em relatórios de inteligência de cibersegurança de centros de compartilhamento de informações. Em termos gerais, o bom senso e os critérios empresariais devem se aplicar à segurança digital, de forma semelhante a qualquer outra área das operações empresariais. Muitos dos mesmos tipos de perguntas e abordagens usados por conselhos administrativos para quantificar e administrar outras categorias de risco, como seguros e planos de recuperação, também se aplicam aqui. // 09
UM GUIA DE ALTO NÍVEL PARA TODOS OS EXECUTIVOS DE NEGÓCIOS Princípio 5: O conselho administrativo deve adotar uma estrutura bem definida para gestão de riscos digitais. A organização deve estruturar suas defesas de segurança digital para que sua eficácia e aplicabilidade possam ser avaliadas de forma independente. A estrutura deve buscar: 1. Definir um conjunto de atividades para prever e defender contra ataques digitais. 2. Definir um conjunto de medidas para avaliar em que grau uma organização programou suas estratégias de defesa e fazer um benchmarking de como estão preparadas para proteger sistemas contra um ataque. 3. Definir um perfil de benchmarking que possa ser usado para identificar oportunidades para melhoria da abordagem de segurança digital de uma organização, comparando um perfil atual com um perfil desejado. Uma estrutura desse tipo foi criada pelo Instituto Nacional de Padrões e Tecnologia (NIST, National Institute of Standards and Technology). A “Estrutura para Melhoria da Segurança Digital para Infraestrutura Crítica” foi resultado de uma ordem executiva emitida pelo presidente dos EUA em 2013 para estabelecer um conjunto de padrões voluntários de segurança digital para empresas de infraestrutura crítica. A estrutura é uma compilação de diretrizes baseadas em riscos para ajudar as organizações a avaliar os recursos atuais e elaborar um roteiro priorizado para melhoria das práticas de segurança digital. A NIST Framework também cria uma linguagem comum para discussão de questões de cibersegurança, que pode facilitar a colaboração interna e externa. Há muitos outros benefícios associados com a adoção desse tipo de estrutura. Em primeiro lugar, a NIST Framework pode definir padrões de segurança digital para sentenças legais futuras. Em segundo lugar, as organizações que adotarem a NIST Framework ao mais alto nível de tolerância a riscos possível podem estar melhor posicionadas para cumprir futuras regulamentações de segurança digital e privacidade. É importante observar, porém, que não há uma solução única para a segurança digital. O governo dos EUA não pode fornecer diretrizes abrangentes e prescritivas para todos os setores. Portanto, é responsabilidade dos conselheiros administrativos garantir que qualquer estrutura adotada seja apropriada às circunstâncias nas quais é aplicada. Com isso em mente, existem algumas perguntas que os conselheiros administrativos podem fazer às suas equipes de gestão para iniciar o processo de entender e administrar o risco. // 10
UM GUIA DE ALTO NÍVEL PARA TODOS OS EXECUTIVOS DE NEGÓCIOS Cinco áreas de questionamento para o conselho Depois de definir os fundamentos de uma estratégia abrangente para a segurança digital, esta é uma lista de áreas que os conselheiros administrativos deveriam abordar na próxima reunião: 1. Identificar os dados críticos da organização. • Quais são os nossos dados mais críticos, que impulsionam o êxito da empresa? • Onde são armazenados, usados e compartilhados? • Quais são as consequências de uma violação dessas informações? 2. Riscos atuais para esses dados. • Quais são os principais riscos enfrentados pela organização com relação à integridade da segurança digital ao adotar nova tecnologia – por exemplo, computação em nuvem e móvel (BYOD)? • Quais são os riscos de terceiros, como terceirização e SaaS (Software as a Service), e o risco de furto de dados de atores externos e Ameaças Internas? 3. Principais indicadores de desempenho para a abordagem de segurança. • Como podemos educar os funcionários para elevar seu entendimento em cibersegurança e criar conscientização sobre ameaças e comportamento de risco? • Nós usamos terceiros independentes para testar periodicamente as nossas defesas? • Quais outros métodos de avaliação de riscos foram implementados e o que os resultados indicam? 4. Protocolo de violação de dados para mitigação, remediação e comunicação. • Quais medidas foram adotadas para administrar a governança de segurança digital e as estruturas legais para os territórios em que a organização opera e os domicílios de indivíduos de quem os dados são coletados? • Em caso de uma violação grave, quais protocolos e procedimentos foram desenvolvidos? Eles foram testados? • Qual é o plano de comunicação para o evento de uma violação grave de informação? • Qual é o plano para gerenciamento de crises e já foi testado? 5. Procedimentos para atualizar a abordagem de segurança e treinamento do pessoal. • Em que extensão mensuramos o risco de perda de dados ou ataque em nossa cadeia de valor estendida de parceiros, fornecedores e clientes? • Quando foi a última grande violação? O que ocorreu como resultado e quais lições foram aprendidas? // 11
UM GUIA DE ALTO NÍVEL PARA TODOS OS EXECUTIVOS DE NEGÓCIOS Conclusão A famosa ideia de que “a defesa nacional é importante demais para ser relegada aos militares” também se aplica à segurança digital em sua organização. É claro que a equipe de TI está na vanguarda da cibersegurança e do monitoramento do risco para seus dados, como deve ser; contudo, o impacto do furto de dados é importante demais para que o conselheiro administrativo não esteja envolvido em nível estratégico. Para a maioria dos conselheiros e executivos, contudo, a perspectiva de supervisionar a segurança digital é uma tarefa formidável. Mas certamente é realizável, com uma abordagem holística e o parceiro de segurança digital certo. A solução de Prevenção contra Furto de Dados da Raytheon|Websense é uma abordagem avançada e holística para a segurança de dados e a administração do risco digital. Identifica os dados críticos no coração de sua organização, fornece avaliação de riscos aprofundada e análise de sua abordagem de cibersegurança, e evita que seus dados críticos saiam quando não devem. Também habilita a sua organização a inovar e crescer com confiança. Esses fatores e atributos de segurança são as principais vantagens para exercer responsabilidades de supervisão bem-sucedidas em nível do conselho administrativo, e também no processo decisório da segurança de TI na linha de frente. Identificar as fraquezas em sua abordagem de cibersegurança, assim como as ameaças potenciais aos seus dados críticos, são as primeiras medidas a adotar ao revisar e avaliar seus níveis de riscos atuais. Os resultados de uma avaliação de riscos completa impulsionarão os processos e estratégias de segurança para o futuro. Entre em contato com a Raytheon|Websense para obter uma avaliação de riscos gratuita de sua abordagem de segurança atual com nossa tecnologia RiskVision™. Ela identificará ameaças que o seu sistema atual está ignorando ou não pode reconhecer, e fornecerá um relatório aprofundado sobre as fraquezas e vulnerabilidades de segurança digital de seu sistema. Nenhuma abordagem de cibersegurança, não importa qual seja o nível de investimento, pode proteger os seus dados críticos contra ameaças que não consegue identificar. Sobre a Raytheon|Websense Em 29 de maio de 2015, a Raytheon Company (NYSE: RTN) e a Vista Equity Partners concluíram uma transação de empreendimento conjunto para criar uma nova companhia que combina a Websense®, uma empresa do portfólio da Vista Equity, e a Raytheon Cyber Products, uma linha de produtos de negócios de Inteligência, Informação e Serviços da Raytheon. Por enquanto, a nova companhia de segurança digital comercial será denominada Raytheon|Websense. A empresa espera lançar uma nova identidade de marca após a conclusão da atividade de integração organizacional padrão. Para acessar as informações de segurança mais recentes da Raytheon|Websense e conectar com redes sociais, acesse www.websense.com/smc. Para obter mais informações, visite http://www.websense.com/brasil e http://www.websense.com/triton. // 12
UM GUIA DE ALTO NÍVEL PARA TODOS OS EXECUTIVOS DE NEGÓCIOS Leituras recomendadas e referências 1. Estrutura para Melhoria da Segurança Digital para Infraestrutura Crítica: http://www.nist.gov/cyberframework/upload/cybersecurity-framework-021214.pdf 2. Estratégia de Segurança Digital do Reino Unido: https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/60961/uk-cyber- security-strategy-final.pdf 3. Relatório de Ameaças da Raytheon|Websense para 2015: http://www.websense.com/content/websense-2015-threat-report.aspx 4. Relatório sobre Segurança Digital do Ponemon para 2014: http://www.websense.com/content/2014-ponemon-report-part-2-thank-you.aspx 5. Trabalho da ENISA sobre Estratégias Nacionais para Segurança Digital: http://www.enisa.europa.eu/activities/Resilience-and-CIIP/national-cyber-security-strategies-ncsss 6. Publicações relacionadas da Raytheon|Websense sobre Prevenção contra Furto de Dados: http://www.websense.com/content/data-theft-prevention.aspx // 13
Copyright © 2015 Raytheon Company. [WP-DTPBOARDOFDIRECTORS-PTBRA4-11AGO15] ENTRE EM UMA NOVA ERA DE SEGURANÇA DIGITAL Para saber mais: www.websense.com/brasil

Empfohlen

365 saturday - PowerApps Portal na Gestão da Privacidade
365 saturday - PowerApps Portal na Gestão da Privacidade365 saturday - PowerApps Portal na Gestão da Privacidade
365 saturday - PowerApps Portal na Gestão da PrivacidadeCLEBER VISCONTI
 
DARYUS - Pesquisa Nacional de Segurança da Informação 2014
DARYUS - Pesquisa Nacional de Segurança da Informação 2014DARYUS - Pesquisa Nacional de Segurança da Informação 2014
DARYUS - Pesquisa Nacional de Segurança da Informação 2014Cláudio Dodt
 
Palestra
PalestraPalestra
Palestraguest95b6c3
 
Conscientização na prática: Como tornar o fator humano um dos mais efetivos c...
Conscientização na prática: Como tornar o fator humano um dos mais efetivos c...Conscientização na prática: Como tornar o fator humano um dos mais efetivos c...
Conscientização na prática: Como tornar o fator humano um dos mais efetivos c...Cláudio Dodt
 
Cap5e6
Cap5e6Cap5e6
Cap5e6Shirley Oliveira
 
Aula 2 - Gestão de Riscos
Aula 2 - Gestão de RiscosAula 2 - Gestão de Riscos
Aula 2 - Gestão de RiscosCarlos Henrique Martins da Silva
 
Segurança da Informação Aplicada a Negócios
Segurança da Informação Aplicada a NegóciosSegurança da Informação Aplicada a Negócios
Segurança da Informação Aplicada a NegóciosCarlos Henrique Martins da Silva
 
Governança em TIC prof Marco Antonio Tavares sustentare escola de negocios
Governança em TIC prof Marco Antonio Tavares sustentare escola de negociosGovernança em TIC prof Marco Antonio Tavares sustentare escola de negocios
Governança em TIC prof Marco Antonio Tavares sustentare escola de negociosSustentare Escola de Negócios
 

Empfohlen

365 saturday - PowerApps Portal na Gestão da Privacidade
365 saturday - PowerApps Portal na Gestão da Privacidade365 saturday - PowerApps Portal na Gestão da Privacidade
365 saturday - PowerApps Portal na Gestão da PrivacidadeCLEBER VISCONTI
 
DARYUS - Pesquisa Nacional de Segurança da Informação 2014
DARYUS - Pesquisa Nacional de Segurança da Informação 2014DARYUS - Pesquisa Nacional de Segurança da Informação 2014
DARYUS - Pesquisa Nacional de Segurança da Informação 2014Cláudio Dodt
 
Palestra
PalestraPalestra
Palestraguest95b6c3
 
Conscientização na prática: Como tornar o fator humano um dos mais efetivos c...
Conscientização na prática: Como tornar o fator humano um dos mais efetivos c...Conscientização na prática: Como tornar o fator humano um dos mais efetivos c...
Conscientização na prática: Como tornar o fator humano um dos mais efetivos c...Cláudio Dodt
 
Cap5e6
Cap5e6Cap5e6
Cap5e6Shirley Oliveira
 
Aula 2 - Gestão de Riscos
Aula 2 - Gestão de RiscosAula 2 - Gestão de Riscos
Aula 2 - Gestão de RiscosCarlos Henrique Martins da Silva
 
Segurança da Informação Aplicada a Negócios
Segurança da Informação Aplicada a NegóciosSegurança da Informação Aplicada a Negócios
Segurança da Informação Aplicada a NegóciosCarlos Henrique Martins da Silva
 
Governança em TIC prof Marco Antonio Tavares sustentare escola de negocios
Governança em TIC prof Marco Antonio Tavares sustentare escola de negociosGovernança em TIC prof Marco Antonio Tavares sustentare escola de negocios
Governança em TIC prof Marco Antonio Tavares sustentare escola de negociosSustentare Escola de Negócios
 
Segurança da Informação com Windows Server
Segurança da Informação com Windows ServerSegurança da Informação com Windows Server
Segurança da Informação com Windows ServerGuilherme Lima
 
Governança TI halan
Governança TI halanGovernança TI halan
Governança TI halanHalan Ridolphi
 
Iso 27002-2013
Iso 27002-2013Iso 27002-2013
Iso 27002-2013Fabio Martins
 
Um método de gestão de riscos empregando a norma AS-NZS4360
Um método de gestão de riscos empregando a norma AS-NZS4360Um método de gestão de riscos empregando a norma AS-NZS4360
Um método de gestão de riscos empregando a norma AS-NZS4360Tadeu Marcos Fortes Leite
 
Política de Segurança
Política de SegurançaPolítica de Segurança
Política de Segurançatrindade7
 
Introdução a ISO 27002 - MOD04
Introdução a ISO 27002 - MOD04Introdução a ISO 27002 - MOD04
Introdução a ISO 27002 - MOD04Fernando Palma
 
Segurança e Auditoria de Sistemas
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Segurança e Auditoria de SistemasAllan Piter Pressi
 
Analise_processos_com_foco_em_Riscos
Analise_processos_com_foco_em_RiscosAnalise_processos_com_foco_em_Riscos
Analise_processos_com_foco_em_RiscosVitor Flisch Cavalanti
 
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 Foundation
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 FoundationISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 Foundation
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 FoundationCompanyWeb
 
Resumo ISO 27002
Resumo ISO 27002Resumo ISO 27002
Resumo ISO 27002Fernando Palma
 
H11031 transforming-traditional-security-strategies-so
H11031 transforming-traditional-security-strategies-soH11031 transforming-traditional-security-strategies-so
H11031 transforming-traditional-security-strategies-soJOSÉ RAMON CARIAS
 
Apostila de auditoria e segurança da informação - pronatec
Apostila de auditoria e segurança da informação - pronatecApostila de auditoria e segurança da informação - pronatec
Apostila de auditoria e segurança da informação - pronatecJefferson Santana
 
Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)Carlos Henrique Martins da Silva
 
Si segurança e privacidade (1Sem2014)
Si segurança e privacidade (1Sem2014)Si segurança e privacidade (1Sem2014)
Si segurança e privacidade (1Sem2014)Pedro Garcia
 
Projeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoProjeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoFernando Palma
 
Palestra Jeferson D'Addario Governança de Riscos
Palestra Jeferson D'Addario Governança de RiscosPalestra Jeferson D'Addario Governança de Riscos
Palestra Jeferson D'Addario Governança de RiscosDaryus Strategic Risk Consulting
 
Be Aware Webinar - Como você garante que está tirando o melhor proveito de su...
Be Aware Webinar - Como você garante que está tirando o melhor proveito de su...Be Aware Webinar - Como você garante que está tirando o melhor proveito de su...
Be Aware Webinar - Como você garante que está tirando o melhor proveito de su...Symantec Brasil
 
Jose
JoseJose
Joseleiry rodrigues
 
Auditoria de sistemas2
Auditoria de sistemas2Auditoria de sistemas2
Auditoria de sistemas2GrupoAlves - professor
 
Governança de TI
Governança de TIGovernança de TI
Governança de TIWagner Silva
 
вступ. історія - наука про минуле людей
вступ. історія - наука про минуле людейвступ. історія - наука про минуле людей
вступ. історія - наука про минуле людейIrinaKusch
 
Οικολογική Κρίση και οι Τρεις Ιεράρχες
Οικολογική Κρίση και οι Τρεις ΙεράρχεςΟικολογική Κρίση και οι Τρεις Ιεράρχες
Οικολογική Κρίση και οι Τρεις ΙεράρχεςPelasgos Koritsas
 

Weitere ähnliche Inhalte

Was ist angesagt?

Segurança da Informação com Windows Server
Segurança da Informação com Windows ServerSegurança da Informação com Windows Server
Segurança da Informação com Windows ServerGuilherme Lima
 
Um método de gestão de riscos empregando a norma AS-NZS4360
Um método de gestão de riscos empregando a norma AS-NZS4360Um método de gestão de riscos empregando a norma AS-NZS4360
Um método de gestão de riscos empregando a norma AS-NZS4360Tadeu Marcos Fortes Leite
 
Política de Segurança
Política de SegurançaPolítica de Segurança
Política de Segurançatrindade7
 
Introdução a ISO 27002 - MOD04
Introdução a ISO 27002 - MOD04Introdução a ISO 27002 - MOD04
Introdução a ISO 27002 - MOD04Fernando Palma
 
Segurança e Auditoria de Sistemas
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Segurança e Auditoria de SistemasAllan Piter Pressi
 
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 Foundation
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 FoundationISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 Foundation
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 FoundationCompanyWeb
 
H11031 transforming-traditional-security-strategies-so
H11031 transforming-traditional-security-strategies-soH11031 transforming-traditional-security-strategies-so
H11031 transforming-traditional-security-strategies-soJOSÉ RAMON CARIAS
 
Apostila de auditoria e segurança da informação - pronatec
Apostila de auditoria e segurança da informação - pronatecApostila de auditoria e segurança da informação - pronatec
Apostila de auditoria e segurança da informação - pronatecJefferson Santana
 
Si segurança e privacidade (1Sem2014)
Si segurança e privacidade (1Sem2014)Si segurança e privacidade (1Sem2014)
Si segurança e privacidade (1Sem2014)Pedro Garcia
 
Projeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoProjeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoFernando Palma
 
Be Aware Webinar - Como você garante que está tirando o melhor proveito de su...
Be Aware Webinar - Como você garante que está tirando o melhor proveito de su...Be Aware Webinar - Como você garante que está tirando o melhor proveito de su...
Be Aware Webinar - Como você garante que está tirando o melhor proveito de su...Symantec Brasil
 

Was ist angesagt? (20)

Segurança da Informação com Windows Server
Segurança da Informação com Windows ServerSegurança da Informação com Windows Server
Segurança da Informação com Windows Server
 
Governança TI halan
Governança TI halanGovernança TI halan
Governança TI halan
 
Iso 27002-2013
Iso 27002-2013Iso 27002-2013
Iso 27002-2013
 
Um método de gestão de riscos empregando a norma AS-NZS4360
Um método de gestão de riscos empregando a norma AS-NZS4360Um método de gestão de riscos empregando a norma AS-NZS4360
Um método de gestão de riscos empregando a norma AS-NZS4360
 
Política de Segurança
Política de SegurançaPolítica de Segurança
Política de Segurança
 
Introdução a ISO 27002 - MOD04
Introdução a ISO 27002 - MOD04Introdução a ISO 27002 - MOD04
Introdução a ISO 27002 - MOD04
 
Segurança e Auditoria de Sistemas
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Segurança e Auditoria de Sistemas
 
Analise_processos_com_foco_em_Riscos
Analise_processos_com_foco_em_RiscosAnalise_processos_com_foco_em_Riscos
Analise_processos_com_foco_em_Riscos
 
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 Foundation
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 FoundationISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 Foundation
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 Foundation
 
Resumo ISO 27002
Resumo ISO 27002Resumo ISO 27002
Resumo ISO 27002
 
H11031 transforming-traditional-security-strategies-so
H11031 transforming-traditional-security-strategies-soH11031 transforming-traditional-security-strategies-so
H11031 transforming-traditional-security-strategies-so
 
Apostila de auditoria e segurança da informação - pronatec
Apostila de auditoria e segurança da informação - pronatecApostila de auditoria e segurança da informação - pronatec
Apostila de auditoria e segurança da informação - pronatec
 
Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)
 
Si segurança e privacidade (1Sem2014)
Si segurança e privacidade (1Sem2014)Si segurança e privacidade (1Sem2014)
Si segurança e privacidade (1Sem2014)
 
Projeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoProjeto em Seguranca da Informação
Projeto em Seguranca da Informação
 
Palestra Jeferson D'Addario Governança de Riscos
Palestra Jeferson D'Addario Governança de RiscosPalestra Jeferson D'Addario Governança de Riscos
Palestra Jeferson D'Addario Governança de Riscos
 
Be Aware Webinar - Como você garante que está tirando o melhor proveito de su...
Be Aware Webinar - Como você garante que está tirando o melhor proveito de su...Be Aware Webinar - Como você garante que está tirando o melhor proveito de su...
Be Aware Webinar - Como você garante que está tirando o melhor proveito de su...
 
Jose
JoseJose
Jose
 
Auditoria de sistemas2
Auditoria de sistemas2Auditoria de sistemas2
Auditoria de sistemas2
 
Governança de TI
Governança de TIGovernança de TI
Governança de TI
 

Andere mochten auch

вступ. історія - наука про минуле людей
вступ. історія - наука про минуле людейвступ. історія - наука про минуле людей
вступ. історія - наука про минуле людейIrinaKusch
 
Οικολογική Κρίση και οι Τρεις Ιεράρχες
Οικολογική Κρίση και οι Τρεις ΙεράρχεςΟικολογική Κρίση και οι Τρεις Ιεράρχες
Οικολογική Κρίση και οι Τρεις ΙεράρχεςPelasgos Koritsas
 
Xero certification certificate
Xero certification certificateXero certification certificate
Xero certification certificateTessa Foy
 
Folio del documento judicial sobre declaración de culpabilidad del señor Abra...
Folio del documento judicial sobre declaración de culpabilidad del señor Abra...Folio del documento judicial sobre declaración de culpabilidad del señor Abra...
Folio del documento judicial sobre declaración de culpabilidad del señor Abra...Óscar Luna
 
How to make an iron man
How to make an iron manHow to make an iron man
How to make an iron manwooh95
 
Chawan Tea Bowls
Chawan Tea BowlsChawan Tea Bowls
Chawan Tea Bowlsflucchetti
 
Wolf & Wilhelmine x Miami Ad School - Qual 101
Wolf & Wilhelmine x Miami Ad School - Qual 101Wolf & Wilhelmine x Miami Ad School - Qual 101
Wolf & Wilhelmine x Miami Ad School - Qual 101Valerie Nguyen
 
Drei Versicherungen, die Sie wirklich brauchen - Böhms DAX-Strategie
Drei Versicherungen, die Sie wirklich brauchen - Böhms DAX-StrategieDrei Versicherungen, die Sie wirklich brauchen - Böhms DAX-Strategie
Drei Versicherungen, die Sie wirklich brauchen - Böhms DAX-StrategieStefan Böhm
 
Coordenadas polares , Teoria y ejemplos
Coordenadas polares , Teoria y ejemplosCoordenadas polares , Teoria y ejemplos
Coordenadas polares , Teoria y ejemplosPavel Tovar Malasquez
 
Purchase pleasure with utsource.net
Purchase pleasure with utsource.net Purchase pleasure with utsource.net
Purchase pleasure with utsource.net 779061702
 

Andere mochten auch (12)

вступ. історія - наука про минуле людей
вступ. історія - наука про минуле людейвступ. історія - наука про минуле людей
вступ. історія - наука про минуле людей
 
Οικολογική Κρίση και οι Τρεις Ιεράρχες
Οικολογική Κρίση και οι Τρεις ΙεράρχεςΟικολογική Κρίση και οι Τρεις Ιεράρχες
Οικολογική Κρίση και οι Τρεις Ιεράρχες
 
ISPS Team Member
ISPS Team MemberISPS Team Member
ISPS Team Member
 
KEHILI 2014
KEHILI 2014KEHILI 2014
KEHILI 2014
 
Xero certification certificate
Xero certification certificateXero certification certificate
Xero certification certificate
 
Folio del documento judicial sobre declaración de culpabilidad del señor Abra...
Folio del documento judicial sobre declaración de culpabilidad del señor Abra...Folio del documento judicial sobre declaración de culpabilidad del señor Abra...
Folio del documento judicial sobre declaración de culpabilidad del señor Abra...
 
How to make an iron man
How to make an iron manHow to make an iron man
How to make an iron man
 
Chawan Tea Bowls
Chawan Tea BowlsChawan Tea Bowls
Chawan Tea Bowls
 
Wolf & Wilhelmine x Miami Ad School - Qual 101
Wolf & Wilhelmine x Miami Ad School - Qual 101Wolf & Wilhelmine x Miami Ad School - Qual 101
Wolf & Wilhelmine x Miami Ad School - Qual 101
 
Drei Versicherungen, die Sie wirklich brauchen - Böhms DAX-Strategie
Drei Versicherungen, die Sie wirklich brauchen - Böhms DAX-StrategieDrei Versicherungen, die Sie wirklich brauchen - Böhms DAX-Strategie
Drei Versicherungen, die Sie wirklich brauchen - Böhms DAX-Strategie
 
Coordenadas polares , Teoria y ejemplos
Coordenadas polares , Teoria y ejemplosCoordenadas polares , Teoria y ejemplos
Coordenadas polares , Teoria y ejemplos
 
Purchase pleasure with utsource.net
Purchase pleasure with utsource.net Purchase pleasure with utsource.net
Purchase pleasure with utsource.net
 

Ähnlich wie Whitepaper dtp-directors-managing-risk-pt

Aula 101217070257-phpapp02
Aula 101217070257-phpapp02Aula 101217070257-phpapp02
Aula 101217070257-phpapp02asbgrodrigo
 
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...Luzia Dourado
 
Modelo Tecnologia - Consultoria & Auditoria em Segurança da Informação
Modelo Tecnologia - Consultoria & Auditoria em Segurança da InformaçãoModelo Tecnologia - Consultoria & Auditoria em Segurança da Informação
Modelo Tecnologia - Consultoria & Auditoria em Segurança da InformaçãoEd Oliveira
 
Plano estratégico de segurança da informação
Plano estratégico de segurança da informação Plano estratégico de segurança da informação
Plano estratégico de segurança da informação Módulo Security Solutions
 
Tendências em Segurança da Informação - 2012
Tendências em Segurança da Informação - 2012Tendências em Segurança da Informação - 2012
Tendências em Segurança da Informação - 2012Edson Aguilera-Fernandes
 
Política e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticosPolítica e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticosBruno Oliveira
 
Be Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o Cybercrime
Be Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o CybercrimeBe Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o Cybercrime
Be Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o CybercrimeSymantec Brasil
 
Requisitos da continuidade (dos negócios) na segurança da informação
Requisitos da continuidade (dos negócios) na segurança da informaçãoRequisitos da continuidade (dos negócios) na segurança da informação
Requisitos da continuidade (dos negócios) na segurança da informaçãoSidney Modenesi, MBCI
 
Pesquisa sobre o Estado da Segurança Cibernética da Infraestrutura Crítica Br...
Pesquisa sobre o Estado da Segurança Cibernética da Infraestrutura Crítica Br...Pesquisa sobre o Estado da Segurança Cibernética da Infraestrutura Crítica Br...
Pesquisa sobre o Estado da Segurança Cibernética da Infraestrutura Crítica Br...TI Safe
 
Sistemas da informação1
Sistemas da informação1Sistemas da informação1
Sistemas da informação1gabrio2022
 
Apresentação Wiseminer Analytics
Apresentação Wiseminer AnalyticsApresentação Wiseminer Analytics
Apresentação Wiseminer AnalyticsLeonardo Couto
 
Wiseminer Self-Service Data Analytics
Wiseminer Self-Service Data AnalyticsWiseminer Self-Service Data Analytics
Wiseminer Self-Service Data AnalyticsLeonardo Couto
 
Sistema de inteligência de dados para automação de processos de auditoria e c...
Sistema de inteligência de dados para automação de processos de auditoria e c...Sistema de inteligência de dados para automação de processos de auditoria e c...
Sistema de inteligência de dados para automação de processos de auditoria e c...Leonardo Couto
 
Certificacao iso 27001
Certificacao iso 27001Certificacao iso 27001
Certificacao iso 27001Andre Verdugal
 
Cyber risk indicators
Cyber risk indicatorsCyber risk indicators
Cyber risk indicatorsEduardo Poggi
 
DCIM (Data Center Infrastructure Management) E SEUS IMPACTOS NA CONTINUIDADE ...
DCIM (Data Center Infrastructure Management) E SEUS IMPACTOS NA CONTINUIDADE ...DCIM (Data Center Infrastructure Management) E SEUS IMPACTOS NA CONTINUIDADE ...
DCIM (Data Center Infrastructure Management) E SEUS IMPACTOS NA CONTINUIDADE ...Sidney Modenesi, MBCI
 
Segurança da informação em ambientes corporativos
Segurança da informação em ambientes corporativosSegurança da informação em ambientes corporativos
Segurança da informação em ambientes corporativosrcmenezes
 
WEBINAR BE AWARE - Antes, durante e depois do ataque
WEBINAR BE AWARE - Antes, durante e depois do ataqueWEBINAR BE AWARE - Antes, durante e depois do ataque
WEBINAR BE AWARE - Antes, durante e depois do ataqueSymantec Brasil
 

Ähnlich wie Whitepaper dtp-directors-managing-risk-pt (20)

Aula 101217070257-phpapp02
Aula 101217070257-phpapp02Aula 101217070257-phpapp02
Aula 101217070257-phpapp02
 
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
 
Modelo Tecnologia - Consultoria & Auditoria em Segurança da Informação
Modelo Tecnologia - Consultoria & Auditoria em Segurança da InformaçãoModelo Tecnologia - Consultoria & Auditoria em Segurança da Informação
Modelo Tecnologia - Consultoria & Auditoria em Segurança da Informação
 
Plano estratégico de segurança da informação
Plano estratégico de segurança da informação Plano estratégico de segurança da informação
Plano estratégico de segurança da informação
 
Tendências em Segurança da Informação - 2012
Tendências em Segurança da Informação - 2012Tendências em Segurança da Informação - 2012
Tendências em Segurança da Informação - 2012
 
Política e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticosPolítica e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticos
 
Segurança da Informação Corporativa
Segurança da Informação CorporativaSegurança da Informação Corporativa
Segurança da Informação Corporativa
 
Be Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o Cybercrime
Be Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o CybercrimeBe Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o Cybercrime
Be Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o Cybercrime
 
Requisitos da continuidade (dos negócios) na segurança da informação
Requisitos da continuidade (dos negócios) na segurança da informaçãoRequisitos da continuidade (dos negócios) na segurança da informação
Requisitos da continuidade (dos negócios) na segurança da informação
 
Pesquisa sobre o Estado da Segurança Cibernética da Infraestrutura Crítica Br...
Pesquisa sobre o Estado da Segurança Cibernética da Infraestrutura Crítica Br...Pesquisa sobre o Estado da Segurança Cibernética da Infraestrutura Crítica Br...
Pesquisa sobre o Estado da Segurança Cibernética da Infraestrutura Crítica Br...
 
Sistemas da informação1
Sistemas da informação1Sistemas da informação1
Sistemas da informação1
 
IT2S Group
IT2S GroupIT2S Group
IT2S Group
 
Apresentação Wiseminer Analytics
Apresentação Wiseminer AnalyticsApresentação Wiseminer Analytics
Apresentação Wiseminer Analytics
 
Wiseminer Self-Service Data Analytics
Wiseminer Self-Service Data AnalyticsWiseminer Self-Service Data Analytics
Wiseminer Self-Service Data Analytics
 
Sistema de inteligência de dados para automação de processos de auditoria e c...
Sistema de inteligência de dados para automação de processos de auditoria e c...Sistema de inteligência de dados para automação de processos de auditoria e c...
Sistema de inteligência de dados para automação de processos de auditoria e c...
 
Certificacao iso 27001
Certificacao iso 27001Certificacao iso 27001
Certificacao iso 27001
 
Cyber risk indicators
Cyber risk indicatorsCyber risk indicators
Cyber risk indicators
 
DCIM (Data Center Infrastructure Management) E SEUS IMPACTOS NA CONTINUIDADE ...
DCIM (Data Center Infrastructure Management) E SEUS IMPACTOS NA CONTINUIDADE ...DCIM (Data Center Infrastructure Management) E SEUS IMPACTOS NA CONTINUIDADE ...
DCIM (Data Center Infrastructure Management) E SEUS IMPACTOS NA CONTINUIDADE ...
 
Segurança da informação em ambientes corporativos
Segurança da informação em ambientes corporativosSegurança da informação em ambientes corporativos
Segurança da informação em ambientes corporativos
 
WEBINAR BE AWARE - Antes, durante e depois do ataque
WEBINAR BE AWARE - Antes, durante e depois do ataqueWEBINAR BE AWARE - Antes, durante e depois do ataque
WEBINAR BE AWARE - Antes, durante e depois do ataque
 

Whitepaper dtp-directors-managing-risk-pt

  • 1. SEGURANÇA DIGITAL E PREVENÇÃO CONTRA FURTO DE DADOS: O QUE TODO CONSELHO DE ADMINISTRAÇÃO DEVE SABER SOBRE COMO GERENCIAR RISCOS NA ORGANIZAÇÃO
  • 2. UM GUIA DE ALTO NÍVEL PARA TODOS OS EXECUTIVOS DE NEGÓCIOS Escopo deste Documento A responsabilidade primária de qualquer executivo de administração é garantir o futuro das organizações que supervisionam. Para isso, precisam ter acesso consistente a informações sobre circunstâncias e riscos que poderiam afetar o futuro da organização. A segurança digital é um ótimo exemplo de informação que afeta diretamente a receita e as perspectivas futuras de uma companhia, mas até o momento segue sem a devida análise e supervisão do conselho administrativo. Contudo, com o número devastador de ataques digitais de alta visibilidade e suas significativas consequências jurídicas e financeiras, a segurança digital não é mais um tema que possa ser relegado apenas ao departamento de TI. Agora, é essencial que os executivos façam perguntas estratégicas e analíticas sobre o quanto a organização que supervisionam está preparada para enfrentar o novo mundo de violações de dados de alto risco e ter êxito contínuo nessa época tumultuada. Este documento fornece uma visão geral não técnica sobre segurança digital e recomendações para os temas que todo executivo deve considerar. Aviso Jurídico Favor observar que este documento representa as visões e interpretações dos autores e editores, atuando em nome da Raytheon|Websense, a não ser quando indicado. Esta publicação não deve ser interpretada como orientação jurídica da Raytheon|Websense. As fontes terceirizadas são citadas, quando apropriado. A Raytheon|Websense não é responsável pelo conteúdo das fontes externas, incluindo websites externos referenciados neste documento. Este documento é apenas para fins informativos. A reprodução é autorizada, desde que a fonte seja reconhecida.
  • 3. UM GUIA DE ALTO NÍVEL PARA TODOS OS EXECUTIVOS DE NEGÓCIOS Índice Resumo executivo 4 A segurança digital torna-se um problema prioritário Cinco pilares da gestão de segurança digital para o conselho administrativo Cinco áreas de questionamento para o conselho Principais pilares para o conselho administrativo 6 Princípio 1: A segurança digital é um problema de gestão de riscos, e não tecnológico. Princípio 2: Fornecer significado por trás das métricas – tornar a segurança digital real para o conselho. Princípio 3: Os conselheiros administrativos devem entender os aspectos jurídicos das regulamentações de segurança digital. Princípio 4: Os conselheiros administrativos devem identificar níveis de risco digital aceitáveis em operações empresariais. Princípio 5: O conselho administrativo deve adotar uma estrutura bem definida para gestão de riscos digitais. Cinco áreas de questionamento para o conselho 11 1. Os dados críticos da organização. 2. Riscos atuais para esses dados. 3. Principais indicadores de desempenho para a abordagem de segurança. 4. Protocolo de violação de dados para mitigação, remediação e comunicação. 5. Procedimentos para atualizar a abordagem de segurança e treinamento do pessoal. Conclusão 12 Leituras recomendadas e referências 13
  • 4. UM GUIA DE ALTO NÍVEL PARA TODOS OS EXECUTIVOS DE NEGÓCIOS Resumo executivo A segurança digital torna-se um problema urgente Em 2014, algumas das maiores organizações no mundo foram vítimas de ataques digitais e incidentes de furto de dados com grandes prejuízos. Esses eventos de alta visibilidade inauguraram uma nova era para todas as companhias, em que os ataques digitais agora são parte dos negócios. Como resultado, a segurança digital tornou-se um problema prioritário para todos os conselhos administrativos. No entanto, é uma disciplina complexa e mutável, e está fora da área de especialização da maioria dos conselheiros administrativos. Este documento orientará os conselheiros administrativos como abordar e avaliar as medidas e os processos de segurança digital nas organizações que supervisionam. Cinco pilares da supervisão de segurança digital para o conselho administrativo A Raytheon|Websense identifica cinco pilares que fornecem aos conselheiros administrativos a base para realizar o grande esforço necessário para a supervisão da segurança digital: Princípio 1: A segurança digital é um problema de gestão de riscos, e não tecnológico. O conselho administrativo deve solicitar uma avaliação periódica de situação e riscos para a abordagem de segurança da organização. Princípio 2: Fornecer significado por trás das métricas – tornar a segurança digital real para o conselho administrativo. O conselho administrativo deve ser informado pelo diretor de Segurança da Informação (CISO) ou diretor de Riscos (CRO) em todas as reuniões. Essas funções devem estar subordinadas diretamente ao conselho administrativo. Princípio 3: Os conselheiros administrativos devem entender os aspectos jurídicos das regulamentações de segurança digital. Uma violação de dados expõe as organizações ao risco de ações disciplinares civis e criminais, e multas por órgãos reguladores, ações coletivas de consumidores e acionistas, além de processos judiciais de parceiros afetados. Princípio 4: Os conselheiros administrativos devem identificar níveis de risco digital aceitáveis em operações empresariais. A avaliação de negócios aplica-se à segurança digital como parte das operações empresariais. Os conselhos administrativos devem quantificar e administrar o risco de segurança digital, como fazem em outras categorias de negócios. Princípio 5: Os conselheiros administrativos devem adotar uma estrutura bem definida para gestão de riscos digitais. A estrutura é uma compilação de diretrizes baseadas em riscos e elaboradas para ajudar a avaliar os recursos atuais e a criação de um plano priorizado para melhoria das práticas de segurança digital. // 04
  • 5. UM GUIA DE ALTO NÍVEL PARA TODOS OS EXECUTIVOS DE NEGÓCIOS Cinco áreas de questionamento para o conselho administrativo Para supervisão eficaz, os conselheiros administrativos precisarão Identificar: 1. Os dados críticos da organização. 2. Riscos atuais para esses dados. 3. Principais indicadores de desempenho para a abordagem de segurança. 4. Protocolo de violação de dados para mitigação, remediação e comunicação. 5. Procedimentos para atualizar a abordagem de segurança e treinamento do pessoal. // 05
  • 6. UM GUIA DE ALTO NÍVEL PARA TODOS OS EXECUTIVOS DE NEGÓCIOS Principais pilares para o conselho administrativo Com 22.000 clientes ao redor do mundo, a Raytheon|Websense tem um histórico comprovado de mais de 20 anos de experiência como líder em segurança digital. Durante esse período de tempo significativo, a Raytheon|Websense desenvolveu uma série de pilares de segurança digital, que podem ser a base estratégica para entender as ferramentas e os processos de uma abordagem eficaz para a cibersegurança. Princípio 1: A segurança digital é um problema de gestão de riscos, e não tecnológico. As organizações sofisticadas avaliam a segurança digital do ponto de vista da gestão de riscos. Em nível do conselho administrativo, os riscos de negócios são classificados em uma ou mais das seguintes categorias: • Risco de interrupção dos negócios. • Risco para a reputação da marca. • Risco jurídico. • Risco de regulamentação e conformidade. O risco de segurança digital estará em uma ou mais dessas categorias, dependendo do modelo de negócios da organização e da sensibilidade para diversos tipos de riscos. O conselho administrativo deve receber e analisar uma atualização e avaliação da abordagem de segurança da organização em toda reunião. O conselho administrativo precisará priorizar os elementos de cada avaliação de riscos de segurança digital, na medida em que se aplica ao respectivo risco de negócios. Ao fazer as perguntas abaixo, os executivos podem garantir um entendimento adequado e o contexto dos riscos digitais para a organização: 1. Nós identificamos o valor dos ativos de informação mais críticos para a organização? • Qual informação torna a organização competitiva? • Qual porcentagem dos ativos de informação isso representa, onde são armazenados, usados e compartilhados? 2. Recebemos um resumo detalhado dos incidentes de segurança que ocorreram (incluindo os ataques que foram bloqueados com êxito)? • Qual inteligência pode ser obtida com essas ameaças e ataques? • Como essa inteligência pode ser aplicada com mais eficácia para remediação de incidentes e prevenção de ataques futuros? Segurança Digital e Prevenção contra Furto de Dados: O que todo conselho de administração deve saber sobre como administrar riscos na organização // 06
  • 7. UM GUIA DE ALTO NÍVEL PARA TODOS OS EXECUTIVOS DE NEGÓCIOS 3. Quais garantias tem de que funcionários, fornecedores, parceiros, subsidiárias no exterior, fornecedores de nuvem, etc., podem receber em confiança os ativos de informação mais críticos da organização? • Quais controles estão implementados para combater os riscos previstos e o quanto estão bem documentados? 4. Qual é o disposição para riscos na organização? • O quanto isso é bem documentado? • Como essa abordagem para riscos se reflete nas operações e no processo decisório? 5. Em que extensão os representantes na empresa (ou seja, Fabricação, Operações, P&D, Jurídico, RH, etc.) estão envolvidos em uma discussão sobre segurança digital com base em riscos em toda a organização e constância? 6. A empresa quantificou os efeitos potenciais dos ataques digitais para os negócios – ou seja, perda de dados, interrupção e custos resultantes de deixar de proteger a organização contra um incidente significativo? 7. A organização fez um benchmarking de sua abordagem de riscos e integridade em relação a companhias comparáveis que podem estar abertas a essa forma de compartilhamento de informações? 8. A organização testou sua resiliência digital e resposta após um incidente significativo? Esse teste foi incorporado no Processo de Recuperação de Desastres e Planejamento de Continuidade dos Negócios da organização? 9. A pessoa responsável por segurança digital tem um mentor entre os conselheiros, para ajudar a preparar as informações da forma mais apropriada possível? Princípio 2: Fornecer significado por trás das métricas – tornar a segurança digital real para o conselho. Toda reunião do conselho administrativo deve discutir o tema da segurança digital em algum nível. Os executivos em geral estão cansados de ouvir falar em ameaças. Em vez disso, querem ouvir sobre os riscos e entender o impacto sofrido pela organização. Evite repetir estatísticas de indicadores de desempenho, que não têm significado e ocultam a verdadeira natureza do que está ocorrendo na infraestrutura da companhia. Em essência, o conselho administrativo quer saber: “o quanto estamos protegidos?” O CISO ou CRO deve se reportar diretamente ao conselho administrativo. Não deve estar “enterrado” nos departamentos de TI ou Operações. O conselho administrativo deve sondar o diretor responsável pela segurança digital para que: 1. Tenha foco em métricas que expliquem o impacto que os ataques têm ou poderiam ter na organização. Como essas métricas mudaram desde o último período de revisão e o que se poderia inferir das mudanças? 2. Reportar por departamento atacado e natureza do ataque. Indicar o quanto os mecanismos de cibersegurança da organização responderam bem e quantificar, se possível, o impacto de um ataque bem-sucedido. 3. Identificar a estratégia geral de segurança digital e a resposta a riscos conhecidos e tentativas de ataques. 4. Explicar as principais questões que estão na lista de prioridades do diretor. 5. Fornecer um resumo dos principais incidentes ocorridos nos setores da organização e como estão relacionados com a abordagem de riscos da companhia, e discutir quaisquer obstáculos para a implementação de uma abordagem holística de Prevenção contra Furto de Dados. Esta é uma métrica essencial, porque é relevante para o conselho administrativo em termos de riscos legais. O conselho administrativo deve ter um entendimento claro // 07
  • 8. UM GUIA DE ALTO NÍVEL PARA TODOS OS EXECUTIVOS DE NEGÓCIOS do quanto a companhia está bem protegida, organizada e preparada em sua abordagem de cibersegurança em relação aos pares no setor. Se um concorrente sofre uma violação de dados e a organização do conselho administrativo tem proteção similar, o conselho saberá que um nível mais alto de segurança é necessário. Cumprir ou superar os padrões de cibersegurança do setor também pode ajudar a organização a evitar danos punitivos, se for vítima de furto de dados. Por outro lado, se o orçamento de segurança da organização é significativamente maior do que o de seus pares, isso pode indicar para o conselho que dinheiro demais está sendo gasto em segurança digital, os recursos de segurança são alocados de forma ineficaz, ou ambos. O conselho administrativo também deve, periodicamente, solicitar uma avaliação externa da segurança digital vigente, para obter outro ponto de vista sobre a abordagem de riscos da organização. Princípio 3: Os conselheiros devem entender os aspectos jurídicos das regulamentações de segurança digital. A perda ou o furto de informações críticas expõe as organizações ao risco de ações por órgãos reguladores. Além disso, quando ataques digitais interrompem operações de negócios, as organizações podem deixar de cumprir obrigações junto aos clientes, e sofrer ações coletivas de clientes ou até de acionistas. Adicionalmente, a Comissão de Valores Mobiliários dos EUA (SEC, Securities and Exchange Commission) declarou que “empresas de capital aberto que sejam vítimas de ataques digitais devem considerar a divulgação de informações adicionais às obrigatórias para ajudar a proteger os clientes cujos dados privados podem estar em risco”. E o conhecimento sobre um ataque digital pode ser considerado informação que pode influenciar decisões de investimentos e ser tratado como “informação privilegiada” que corresponde ao teste de “investidor razoável”. Há três áreas de preocupação amplas com relação a estruturas jurídicas: 1. Conformidade com regulamentações nacionais e de setores específicos – as PII e outros dados são riscos imensos de privacidade e conformidade para as empresas. A conformidade é complexa e em várias camadas, com grandes variações nas leis de segurança e privacidade nacionais e de setores específicos. Os conselheiros devem garantir que a administração esteja ciente de responsabilidades civis e criminais que podem estar vinculadas ao descumprimento de esquemas de conformidade para segurança e privacidade. Muitas organizações têm no mínimo algum nível de programa implementado para administrar o risco digital. Esses programas de riscos devem ser incorporados nas estratégias gerais de administração de riscos corporativos com o controle executivo e a autoridade apropriada. 2. Riscos e responsabilidades associados com prestadores de serviços terceirizados – Os conselheiros administrativos devem sondar os relacionamentos contratuais e as responsabilidades com terceirização de TI, terceirização de processos de negócios e fornecedores de computação em nuvem. Muitos acordos com terceiros são vagos nas definições de quem é responsável por proteger as informações críticas da organização. Além disso, os procedimentos para notificação de incidentes e remediação com frequência são desconsiderados. Indivíduos na organização com frequência criaram cadeias de confiança entre partes interessadas e é responsabilidade dos conselheiros administrativos garantir que esses acordos sejam definidos e auditados de forma apropriada. Além disso, os conselheiros administrativos devem estar cientes de quais são as obrigações de segurança, privacidade e relatórios de sua organização perante os clientes e parceiros. Deixar de considerar o risco poderia levar a processos judiciais demorados e perda de reputação. // 08
  • 9. UM GUIA DE ALTO NÍVEL PARA TODOS OS EXECUTIVOS DE NEGÓCIOS 3. Política de conscientização sobre violações de dados e processos de notificação – O conselho administrativo deve ficar ciente de grandes violações de dados e tem a responsabilidade de permanecer informado sobre essas questões. Essa obrigação também se refere às tentativas de violações, embora haja uma flexibilidade razoável em relação à escala, à severidade e ao impacto potencial da violação ou tentativa de violação. Contudo, processos de notificação são uma área de preocupação complexa. Em caso de violação - mesmo sem a transmissão posterior dos dados para outro lugar – a primeira prioridade do conselho deve ser buscar orientação externa jurídica e sobre notificação de violação de dados, para estabelecer os processos de notificação corretos o mais rápido possível. Do ponto de vista do conselho administrativo, as seguintes informações devem ser registradas para qualquer declaração sobre possível violação: • O âmbito geográfico de operações onde as informações foram usadas e afetadas. Também é muito importante em notificação sobre violações de dados identificar a localização dos cidadãos onde os dados foram impactados. As leis sobre divulgação em geral consideram o domicílio do cidadão, e não a localização física da violação. • Os requisitos de relatórios em relação às leis do local específico - os requisitos legais de relatórios na Europa diferem amplamente dos requisitos nos EUA, por exemplo, e também variarão de um estado para outro dentro dos EUA. • Além disso, se/ou quando uma violação ocorreu é uma pergunta complexa. Cláusulas de Segurança podem entrar em vigor. Princípio 4: Os conselheiros administrativos devem identificar níveis de risco digital aceitáveis em operações empresariais. É importante observar que o conselho administrativo sempre define o tom para a organização e, dessa forma, comunica aos membros da companhia como a segurança digital deve ser considerada. Isso terá um efeito observável na cultura de segurança na organização. Os conselheiros administrativos enfrentam desafios notáveis, e isso inclui o fato de que muitos passaram a maior parte de suas carreiras na era pré-digital. Não podem ficar paralisados pelo jargão altamente técnico usado por “especialistas da área” ou a complexidade e fluidez da tecnologia moderna. Em vez disso, devem elevar a discussão para avaliar os riscos em relação às recompensas. Como um ex-chefe do Gabinete de Fiscalização da Internet da SEC observou recentemente: “Eu não acredito que seja realista esperar que conselheiros administrativos tivessem mais do que um entendimento de alto nível sobre a natureza dos ataques digitais e como impactam os negócios da empresa. Assim como é necessária uma boa empresa de contabilidade para orientação financeira, do ponto de vista do conselho administrativo este campo … requer buscar … a expertise necessária e garantir que a empresa esteja fazendo tudo o que pode para se proteger.” Contudo, é benéfico para todos os conselheiros administrativos obter informações abrangentes sobre os tipos de riscos digitais aos quais a empresa e o setor podem estar vulneráveis. Assim, os conselheiros devem solicitar e esperar atualizações periódicas da empresa sobre tendências recentes em violações de dados específicas do setor e em relatórios de inteligência de cibersegurança de centros de compartilhamento de informações. Em termos gerais, o bom senso e os critérios empresariais devem se aplicar à segurança digital, de forma semelhante a qualquer outra área das operações empresariais. Muitos dos mesmos tipos de perguntas e abordagens usados por conselhos administrativos para quantificar e administrar outras categorias de risco, como seguros e planos de recuperação, também se aplicam aqui. // 09
  • 10. UM GUIA DE ALTO NÍVEL PARA TODOS OS EXECUTIVOS DE NEGÓCIOS Princípio 5: O conselho administrativo deve adotar uma estrutura bem definida para gestão de riscos digitais. A organização deve estruturar suas defesas de segurança digital para que sua eficácia e aplicabilidade possam ser avaliadas de forma independente. A estrutura deve buscar: 1. Definir um conjunto de atividades para prever e defender contra ataques digitais. 2. Definir um conjunto de medidas para avaliar em que grau uma organização programou suas estratégias de defesa e fazer um benchmarking de como estão preparadas para proteger sistemas contra um ataque. 3. Definir um perfil de benchmarking que possa ser usado para identificar oportunidades para melhoria da abordagem de segurança digital de uma organização, comparando um perfil atual com um perfil desejado. Uma estrutura desse tipo foi criada pelo Instituto Nacional de Padrões e Tecnologia (NIST, National Institute of Standards and Technology). A “Estrutura para Melhoria da Segurança Digital para Infraestrutura Crítica” foi resultado de uma ordem executiva emitida pelo presidente dos EUA em 2013 para estabelecer um conjunto de padrões voluntários de segurança digital para empresas de infraestrutura crítica. A estrutura é uma compilação de diretrizes baseadas em riscos para ajudar as organizações a avaliar os recursos atuais e elaborar um roteiro priorizado para melhoria das práticas de segurança digital. A NIST Framework também cria uma linguagem comum para discussão de questões de cibersegurança, que pode facilitar a colaboração interna e externa. Há muitos outros benefícios associados com a adoção desse tipo de estrutura. Em primeiro lugar, a NIST Framework pode definir padrões de segurança digital para sentenças legais futuras. Em segundo lugar, as organizações que adotarem a NIST Framework ao mais alto nível de tolerância a riscos possível podem estar melhor posicionadas para cumprir futuras regulamentações de segurança digital e privacidade. É importante observar, porém, que não há uma solução única para a segurança digital. O governo dos EUA não pode fornecer diretrizes abrangentes e prescritivas para todos os setores. Portanto, é responsabilidade dos conselheiros administrativos garantir que qualquer estrutura adotada seja apropriada às circunstâncias nas quais é aplicada. Com isso em mente, existem algumas perguntas que os conselheiros administrativos podem fazer às suas equipes de gestão para iniciar o processo de entender e administrar o risco. // 10
  • 11. UM GUIA DE ALTO NÍVEL PARA TODOS OS EXECUTIVOS DE NEGÓCIOS Cinco áreas de questionamento para o conselho Depois de definir os fundamentos de uma estratégia abrangente para a segurança digital, esta é uma lista de áreas que os conselheiros administrativos deveriam abordar na próxima reunião: 1. Identificar os dados críticos da organização. • Quais são os nossos dados mais críticos, que impulsionam o êxito da empresa? • Onde são armazenados, usados e compartilhados? • Quais são as consequências de uma violação dessas informações? 2. Riscos atuais para esses dados. • Quais são os principais riscos enfrentados pela organização com relação à integridade da segurança digital ao adotar nova tecnologia – por exemplo, computação em nuvem e móvel (BYOD)? • Quais são os riscos de terceiros, como terceirização e SaaS (Software as a Service), e o risco de furto de dados de atores externos e Ameaças Internas? 3. Principais indicadores de desempenho para a abordagem de segurança. • Como podemos educar os funcionários para elevar seu entendimento em cibersegurança e criar conscientização sobre ameaças e comportamento de risco? • Nós usamos terceiros independentes para testar periodicamente as nossas defesas? • Quais outros métodos de avaliação de riscos foram implementados e o que os resultados indicam? 4. Protocolo de violação de dados para mitigação, remediação e comunicação. • Quais medidas foram adotadas para administrar a governança de segurança digital e as estruturas legais para os territórios em que a organização opera e os domicílios de indivíduos de quem os dados são coletados? • Em caso de uma violação grave, quais protocolos e procedimentos foram desenvolvidos? Eles foram testados? • Qual é o plano de comunicação para o evento de uma violação grave de informação? • Qual é o plano para gerenciamento de crises e já foi testado? 5. Procedimentos para atualizar a abordagem de segurança e treinamento do pessoal. • Em que extensão mensuramos o risco de perda de dados ou ataque em nossa cadeia de valor estendida de parceiros, fornecedores e clientes? • Quando foi a última grande violação? O que ocorreu como resultado e quais lições foram aprendidas? // 11
  • 12. UM GUIA DE ALTO NÍVEL PARA TODOS OS EXECUTIVOS DE NEGÓCIOS Conclusão A famosa ideia de que “a defesa nacional é importante demais para ser relegada aos militares” também se aplica à segurança digital em sua organização. É claro que a equipe de TI está na vanguarda da cibersegurança e do monitoramento do risco para seus dados, como deve ser; contudo, o impacto do furto de dados é importante demais para que o conselheiro administrativo não esteja envolvido em nível estratégico. Para a maioria dos conselheiros e executivos, contudo, a perspectiva de supervisionar a segurança digital é uma tarefa formidável. Mas certamente é realizável, com uma abordagem holística e o parceiro de segurança digital certo. A solução de Prevenção contra Furto de Dados da Raytheon|Websense é uma abordagem avançada e holística para a segurança de dados e a administração do risco digital. Identifica os dados críticos no coração de sua organização, fornece avaliação de riscos aprofundada e análise de sua abordagem de cibersegurança, e evita que seus dados críticos saiam quando não devem. Também habilita a sua organização a inovar e crescer com confiança. Esses fatores e atributos de segurança são as principais vantagens para exercer responsabilidades de supervisão bem-sucedidas em nível do conselho administrativo, e também no processo decisório da segurança de TI na linha de frente. Identificar as fraquezas em sua abordagem de cibersegurança, assim como as ameaças potenciais aos seus dados críticos, são as primeiras medidas a adotar ao revisar e avaliar seus níveis de riscos atuais. Os resultados de uma avaliação de riscos completa impulsionarão os processos e estratégias de segurança para o futuro. Entre em contato com a Raytheon|Websense para obter uma avaliação de riscos gratuita de sua abordagem de segurança atual com nossa tecnologia RiskVision™. Ela identificará ameaças que o seu sistema atual está ignorando ou não pode reconhecer, e fornecerá um relatório aprofundado sobre as fraquezas e vulnerabilidades de segurança digital de seu sistema. Nenhuma abordagem de cibersegurança, não importa qual seja o nível de investimento, pode proteger os seus dados críticos contra ameaças que não consegue identificar. Sobre a Raytheon|Websense Em 29 de maio de 2015, a Raytheon Company (NYSE: RTN) e a Vista Equity Partners concluíram uma transação de empreendimento conjunto para criar uma nova companhia que combina a Websense®, uma empresa do portfólio da Vista Equity, e a Raytheon Cyber Products, uma linha de produtos de negócios de Inteligência, Informação e Serviços da Raytheon. Por enquanto, a nova companhia de segurança digital comercial será denominada Raytheon|Websense. A empresa espera lançar uma nova identidade de marca após a conclusão da atividade de integração organizacional padrão. Para acessar as informações de segurança mais recentes da Raytheon|Websense e conectar com redes sociais, acesse www.websense.com/smc. Para obter mais informações, visite http://www.websense.com/brasil e http://www.websense.com/triton. // 12
  • 13. UM GUIA DE ALTO NÍVEL PARA TODOS OS EXECUTIVOS DE NEGÓCIOS Leituras recomendadas e referências 1. Estrutura para Melhoria da Segurança Digital para Infraestrutura Crítica: http://www.nist.gov/cyberframework/upload/cybersecurity-framework-021214.pdf 2. Estratégia de Segurança Digital do Reino Unido: https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/60961/uk-cyber- security-strategy-final.pdf 3. Relatório de Ameaças da Raytheon|Websense para 2015: http://www.websense.com/content/websense-2015-threat-report.aspx 4. Relatório sobre Segurança Digital do Ponemon para 2014: http://www.websense.com/content/2014-ponemon-report-part-2-thank-you.aspx 5. Trabalho da ENISA sobre Estratégias Nacionais para Segurança Digital: http://www.enisa.europa.eu/activities/Resilience-and-CIIP/national-cyber-security-strategies-ncsss 6. Publicações relacionadas da Raytheon|Websense sobre Prevenção contra Furto de Dados: http://www.websense.com/content/data-theft-prevention.aspx // 13
  • 14. Copyright © 2015 Raytheon Company. [WP-DTPBOARDOFDIRECTORS-PTBRA4-11AGO15] ENTRE EM UMA NOVA ERA DE SEGURANÇA DIGITAL Para saber mais: www.websense.com/brasil