rumo à integração de segurança - afceaportugal.pt · risco de segurança para determinar como...
TRANSCRIPT
Evolução da Segurança
3 3
1ª Plataforma focalizada no risco do acesso a servidores centralizados e terminais
2ª Plataforma focada no risco e custo dos PC e servidores
3ª Plataforma focada na experiência dos utilizadores vscusto vs risco partilhados em múltiplas plataformas
4
IDC FutureScape – Sumário ExecutivoSegurança
Top 10 Imperativos de Decisão
IMPA
CTO
OR
GA
NIZ
AC
ION
AL
TEMPO (MESES) PARA SER DOMINANTENota: A dimensão da bolha indica a complexidade/custo.
Fonte: IDC, 2015
Um
dep
arta
men
to
ou á
rea
de
negó
cio
Mul
tiplo
s de
parta
men
tos
ou
área
s de
neg
ócio
Cor
pora
tivo
0-12 12-24 24+
Encriptação de Dados
Gestão dos Utilizadores
Visibilidade Executiva
Inteligência de Ameaças
Segurança SaaS
Orçamentos Baseados no
Risco
Proteção dos Acessos
Software de Segurança
Identificação BiométricaSegurança como
Funcionalidade
6
10
75
1
4
9
4
3
8
5
Ambiente de graves ameaças
Arquiteturas da 3ª Plataforma ultrapassam segurança corporativa
Imperativo de negócio
Modo de vida da geração ’milénio’
Para lá da tecnologia
Impacto na administração
Dependência do software
Crescente balcanização da Internet
Tendências Nucleares para a Segurança
6
1. Orçamento Baseado no Risco – Em 2016, 25% das Grandes Organizações Vai Tomar Decisões Sobre a Despesa com Segurança Baseadas na Determinação Analítica do Risco
2. Identificação Biométrica – Equipamentos Móveis Vão Ter Opções Biométricas; em 2015, Prevemos que 15% dos Acessos Móveis Sejam Através de Biometria e Vai Crescer Até 50% em 2020
3. Inteligência de Ameaças – Em 2017, 75% das Grandes Organizações Vão Ter Acesso a Informação de Inteligência de Ameaças Desenhada para o seu Sector, Organização ou Ambiente
4. Encriptação de Dados – Em Finais de 2015, 20% dos Dados Proprietários na Cloud Vão Estar Encriptados e, em 2018, Vai Crescer Rapidamente para 80%
5. Segurança SaaS – Organizações Vão Utilizar SaaS e Serviços de ‘Hosting’ para 15% da Despesa de Segurança em Finais de 2015 e para 33% da Despesa em 2018
Segurança: Imperativos de decisãoParte I
7
6. Gestão dos Utilizadores – Em 2016, a Autenticação Multifator Vai Ser o Método de Controlo de Acessos Utilizado por 20% das Organizações para Contas Sensíveis ou Privilegiadas
7. Proteção de Pontos de Acesso – Em 2017, 90% dos Pontos de Acesso das Organizações Vão Utilizar Proteção de Hardware para Assegurar que a Integridade é Mantida
8. Segurança como Funcionalidade – Segurança Vai Ser Embebida nas Aplicações; em 2018, 25% das Capacidades de Segurança Anteriormente Adquiridas Vão ser Incorporadas nas Aplicações
9. Software de Segurança – Em Finais de 2015, 10% dos Sites Corporativos e das Aplicações Móveis Vão Ser Examinadas Para Deteção de Vulnerabilidades; em 2018, 40% Vão Ser Regularmente Examinadas
10.Visibilidade Executiva – Em 2018, 75% dos CSO/CISO Vão Reportar Diretamente ao CEO
Segurança: Imperativos de decisãoParte II
8
Orçamentos Baseados no Risco1
Segurança Top 10 Imperativos de Decisão
IMPA
CTO
OR
GA
NIZ
AC
ION
AL
TEMPO (MESES) PARA SER DOMINANTENota: A dimensão da bolha indica a complexidade/custo.
Fonte: IDC, 2015
Um
dep
arta
men
to
ou á
rea
de
negó
cio
Mul
tiplo
s de
parta
men
tos
ou
área
s de
neg
ócio
Cor
pora
tivo
0-12 12-24 24+
Encriptação de DadosGestão dos
Utilizadores
Visibilidade Executiva
Inteligência de Ameaças
Segurança SaaS
Orçamentos Baseados no
Risco
Proteção dos Acessos
Software de Segurança
Identificação BiométricaSegurança como
Funcionalidade
610
75
1
8
9
4
3
8
Impacto TI
Orientação
Analítica de segurança de informação, software de gestão e serviços vão permanecer como investimentos nucleares em 2015.
Anteriores investimentos estratégicos estão a tornar-se um passivo e constituem um obstáculo à capacidade das TI se ajustarem rapidamente às ameaças emergentes.
Conformidade com a regulamentação governamental e sectorial influenciam a despesa de TI.
A adoção da 3ª Plataforma introduz novas ameaças e pode eliminar algumas ameaças de elevada prioridade.
Coloque a mitigação dos riscos no topo da agenda do CISO em 2015. Crie um centro de excelência em segurança que disponibilize métricas
de risco de TI para melhorar o processo de decisão. Assegure‐se que todas as iniciativas de TI envolvem uma avaliação do
risco de segurança para determinar como alinhar corretamente a segurança de TI com a nova atividade.
Crie um comité de gestão de segurança do risco das TI para estabelecer o nível de risco considerado aceitável para a organização.
9
Identificação Biométrica2
Segurança Top 10 Imperativos de Decisão
IMPA
CTO
OR
GA
NIZ
AC
ION
AL
TEMPO (MESES) PARA SER DOMINANTENota: A dimensão da bolha indica a complexidade/custo.
Fonte: IDC, 2015
Um
dep
arta
men
to
ou á
rea
de
negó
cio
Mul
tiplo
s de
parta
men
tos
ou
área
s de
neg
ócio
Cor
pora
tivo
0-12 12-24 24+
Encriptação de DadosGestão dos
Utilizadores
Visibilidade Executiva
Inteligência de Ameaças
Segurança SaaS
Orçamentos Baseados no
Risco
Proteção dos Acessos
Software de Segurança
Identificação BiométricaSegurança como
Funcionalidade
610
75
1
8
9
4
3
2
Impacto TI
Orientação
Existem numerosos métodos biométricos (impressões digitais, voz, retina e reconhecimento facial) disponíveis no mercado e o seu preço e usabilidade tem vindo a ser melhoradas.
A proteção do material biométrico captura e/ou armazenado em equipamentos, redes e bases de dados é um desafio que tem vindo a ser endereçado.
O custo de propriedade a longo prazo das diferentes formas de autenticação multifator necessita de ser tomado em consideração na seleção dos fatores mais adequados.
Vendedores, designers de aplicações, fabricantes de sistemas operativos móveis, fabricantes de equipamentos e consumidores necessitam de se ajustar a uma nova experiência de utilização – mais rápida e conveniente.
Avalie o modo como a tecnologia pode, ou deve, ser integrada em todos os aspetos do ambiente de TI, incluindo a 3ªPlataforma.
10
Inteligência de Ameaças3
Segurança Top 10 Imperativos de Decisão
IMPA
CTO
OR
GA
NIZ
AC
ION
AL
TEMPO (MESES) PARA SER DOMINANTENota: A dimensão da bolha indica a complexidade/custo.
Fonte: IDC, 2015
Um
dep
arta
men
to
ou á
rea
de
negó
cio
Mul
tiplo
s de
parta
men
tos
ou
área
s de
neg
ócio
Cor
pora
tivo
0-12 12-24 24+
Encriptação de DadosGestão dos
Utilizadores
Visibilidade Executiva
Inteligência de Ameaças
Segurança SaaS
Orçamentos Baseados no
Risco
Proteção dos Acessos
Software de Segurança
Identificação BiométricaSegurança como
Funcionalidade
610
75
1
8
9
4
3
2
Impacto TI
Orientação
Inteligência de ameaças vai ser uma das ofertas DaaS (Data-as-a-Service (DaaS) desenvolvida com recurso à 3ª Plataforma com maior crescimento.
A capacidade de amalgamar dados de ameaças externas, dados de registo da segurança interna, vulnerabilidades de sistema e atividades funcionais de TI vai requerer uma plataforma de software para visibilidade e integração dos dados. Recursos consideráveis podem ser desviados para a conformidade associada à proteção de dados pessoais
Numerosos produtos de segurança necessitam de ser configurados para partilhar informação e para ser capaz de responder automaticamente a esse conhecimento.
Serviços de inteligência de ameaças variam amplamente e são disponibilizados por uma ampla gama de fornecedores. Faça o trabalho de casa e decida com sabedoria.
Assgure‐se que as operações de inteligência de segurança se afirmam como um componente do processo global de gestão do risco de segurança TI.
Examine as ofertas, em particular as fontes de informação primárias e secundárias, e prepare‐se para aproveitar as funcionalidades ciberanaliticasincluídas nos produtos de segurança.
Automatize o que for possível devido à escassez de talentos em segurança de TI necessários para tornar a inteligência de ameaças acionável.
11
Encriptação de Dados4
Segurança Top 10 Imperativos de Decisão
IMPA
CTO
OR
GA
NIZ
AC
ION
AL
TEMPO (MESES) PARA SER DOMINANTENota: A dimensão da bolha indica a complexidade/custo.
Fonte: IDC, 2015
Um
dep
arta
men
to
ou á
rea
de
negó
cio
Mul
tiplo
s de
parta
men
tos
ou
área
s de
neg
ócio
Cor
pora
tivo
0-12 12-24 24+
Encriptação de DadosGestão dos
Utilizadores
Visibilidade Executiva
Inteligência de Ameaças
Segurança SaaS
Orçamentos Baseados no
Risco
Proteção dos Acessos
Software de Segurança
Identificação BiométricaSegurança como
Funcionalidade
610
75
1
8
9
4
3
2
Impacto TI
Orientação
Os dados devem ser geridos como um ativo critico, mas também podem ser um passivo potencial.
Mais equipamentos e maior conectividade aumentam a área em que os dados podem ser utilizados abusivamente.
Recursos consideráveis podem ser deslocados para a conformidade associada à proteção de dados pessoais.
Normas de gestão das chaves encriptadas continuam a ser adotadas para melhorar a interoperacionalidade entre diferentes sistemas de comunicação, equipamentos, aplicações e armazenamento.
Determine e estabeleça politicas sobre a confidencialidade da informação (i.e., um sistema de classificação).
Desenvolva encriptação de dados e responsabilidades administrativas e em conjunto com as áreas de negócio, auditores e segurança.
Assegure‐se que o departamento proprietário dos dados tem acesso direto às chaves de criptografia utilizadas para encriptar os dados armazenados na cloud.
12
Segurança SaaS5
Segurança Top 10 Imperativos de Decisão
IMPA
CTO
OR
GA
NIZ
AC
ION
AL
TEMPO (MESES) PARA SER DOMINANTENota: A dimensão da bolha indica a complexidade/custo.
Fonte: IDC, 2015
Um
dep
arta
men
to
ou á
rea
de
negó
cio
Mul
tiplo
s de
parta
men
tos
ou
área
s de
neg
ócio
Cor
pora
tivo
0-12 12-24 24+
Encriptação de DadosGestão dos
Utilizadores
Visibilidade Executiva
Inteligência de Ameaças
Segurança SaaS
Orçamentos Baseados no
Risco
Proteção dos Acessos
Software de Segurança
Identificação BiométricaSegurança como
Funcionalidade
610
75
1
8
9
4
3
2
Impacto TI
Orientação
Para se manterem competitivas à medida que avançam para a 3ª Plataforma, as organizações exigem mais inovação, agilidade e eficácia da segurança de TI.
A transformação vai desafiar a capacidade dos departamentos de TI para disponibilizar todos os serviços requeridos pelas áreas de negócio com recurso a equipas internas.
A procura de profissionais de segurança excede largamente a oferta. A maioria das soluções de segurança vão ser híbridas – na
organização, em serviços SaaS e através de serviços geridos de segurança.
Avalie a arquitetura global de segurança e determine quais as capacidades que podem ser alocadas a serviços SaaS, a serviços geridos e a um modelo híbrido.
Desenvolva uma arquitetura de segurança que possibilite a flexibilidade do negócio com restrições razoáveis e compreensíveis.
Trabalhe em conjunto com as operações para utilizar SaaS para integrar rapidamente a segurança nas novas iniciativas de negócio.
13
Gestão de Utilizadores6
Segurança Top 10 Imperativos de Decisão
IMPA
CTO
OR
GA
NIZ
AC
ION
AL
TEMPO (MESES) PARA SER DOMINANTENota: A dimensão da bolha indica a complexidade/custo.
Fonte: IDC, 2015
Um
dep
arta
men
to
ou á
rea
de
negó
cio
Mul
tiplo
s de
parta
men
tos
ou
área
s de
neg
ócio
Cor
pora
tivo
0-12 12-24 24+
Encriptação de DadosGestão dos
Utilizadores
Visibilidade Executiva
Inteligência de Ameaças
Segurança SaaS
Orçamentos Baseados no
Risco
Proteção dos Acessos
Software de Segurança
Identificação BiométricaSegurança como
Funcionalidade
610
75
1
8
9
4
3
2
Impacto TI
Orientação
Os equipamentos móveis vão, muito provavelmente, ser utilizados como um autenticador multifator.
Sistemas tem que ser atualizados para aceitar mecanismos de autenticação para lá da combinação nome de utilizador/senha de acesso.
BYOD e o ecossistema de clientes e parceiros requerem que se repense a autenticação.
O ambiente das TI pessoais vai ter impacto no modo como as identidades são geridas.
A autenticação multifator deve estar integrada com a segmentação das funções para permitir o acesso apenas quando necessário.
A federação de identidades pode reduzir os condicionalismos associados à autenticação multifator.
IAM deve incluir análise centralizada de atividades suspeitas para identificar acessos anómalos.
14
Proteção dos Pontos de Acesso7
Segurança Top 10 Imperativos de Decisão
IMPA
CTO
OR
GA
NIZ
AC
ION
AL
TEMPO (MESES) PARA SER DOMINANTENota: A dimensão da bolha indica a complexidade/custo.
Fonte: IDC, 2015
Um
dep
arta
men
to
ou á
rea
de
negó
cio
Mul
tiplo
s de
parta
men
tos
ou
área
s de
neg
ócio
Cor
pora
tivo
0-12 12-24 24+
Encriptação de DadosGestão dos
Utilizadores
Visibilidade Executiva
Inteligência de Ameaças
Segurança SaaS
Orçamentos Baseados no
Risco
Proteção dos Acessos
Software de Segurança
Identificação BiométricaSegurança como
Funcionalidade
610
75
1
8
9
4
3
2
Impacto TI
Orientação
Os ativos de TI existentes nas organizações não foram desenvolvidos para evitar malware crescentemente complexo.
A maioria dos equipamentos de acesso vão ter condições para disponibilizar uma Trusted Platform Module, como sejam os casos da Trusted Execution Technology da Intel, da TrustZone da AMD ou da KNOX da Samsung, para assegurar integridade dos dados e dos sistemas.
Normas para a segurança e integridade dos equipamentos vão ser desenvolvidas, mas num futuro próximo cada fabricante e cada sistema operativo via disponibilizar soluções proprietárias.
Procure adquirir equipamentos de acesso de fabricantes que instalam componentes de segurança no hardware.
Tenha em consideração a substituição dos equipamentos mais antigos. Selecione fabricantes de software que aproveitam as funcionalidades
de proteção de hardware que estão a ser desenvolvidas pelos fabricantes de processadores.
15
Segurança como Funcionalidade8
Segurança Top 10 Imperativos de Decisão
IMPA
CTO
OR
GA
NIZ
AC
ION
AL
TEMPO (MESES) PARA SER DOMINANTENota: A dimensão da bolha indica a complexidade/custo.
Fonte: IDC, 2015
Um
dep
arta
men
to
ou á
rea
de
negó
cio
Mul
tiplo
s de
parta
men
tos
ou
área
s de
neg
ócio
Cor
pora
tivo
0-12 12-24 24+
Encriptação de DadosGestão dos
Utilizadores
Visibilidade Executiva
Inteligência de Ameaças
Segurança SaaS
Orçamentos Baseados no
Risco
Proteção dos Acessos
Software de Segurança
Identificação BiométricaSegurança como
Funcionalidade
610
75
1
8
9
4
3
2
Impacto TI
Orientação
A linha divisória entre a segurança e as operações vai continuar a desvanecer-se.
A segurança de TI deve fazer parte da decisão global de aquisição para determinar se as funcionalidades de segurança satisfazem o perfil de risco da organização.
Muitos fabricantes de aplicações tem vindo a adquirir ‘strat-ups’ de segurança para incorporarem tecnologias especificas na suas aplicações.
É imperativo uma maior colaboração entre a segurança, sistemas operativos, aplicações de negócio e equipamentos para assegurar que as funcionalidades embebidas não criam novas vulnerabilidades.
A segurança de TI deve fazer parte da decisão global de aquisição para determinar se as funcionalidades de segurança satisfazem o perfil de risco da organização.
Os orçamentos de segurança devem ser ajustados para ter em conta estas funcionalidades que podem ser geridas pelas aplicações e não requerem financiamento adicional.
A gestão centralizada da segurança vai ser mais importante do que nunca. O ecossistema de gestão da segurança (incluindo SIEM, gestão de identidades, politicas de segurança e conformidade, gestão de chaves encriptadas, gestão da segurança dos equipamentos de acesso e avaliação de vulnerabilidades) deve ter condições para suportar aplicações de segurança independentes e inerentes.
16
Software de Segurança9
Segurança Top 10 Imperativos de Decisão
IMPA
CTO
OR
GA
NIZ
AC
ION
AL
TEMPO (MESES) PARA SER DOMINANTENota: A dimensão da bolha indica a complexidade/custo.
Fonte: IDC, 2015
Um
dep
arta
men
to
ou á
rea
de
negó
cio
Mul
tiplo
s de
parta
men
tos
ou
área
s de
neg
ócio
Cor
pora
tivo
0-12 12-24 24+
Encriptação de DadosGestão dos
Utilizadores
Visibilidade Executiva
Inteligência de Ameaças
Segurança SaaS
Orçamentos Baseados no
Risco
Proteção dos Acessos
Software de Segurança
Identificação BiométricaSegurança como
Funcionalidade
610
75
1
8
9
4
3
2
Impacto TI
Orientação
Monitorização proactiva do desenvolvimento de produtos e serviços pode identificar potenciais defeitos do software.
Existem consequências graves para o negócio da existência de aplicações corporativas desenvolvidas com defeitos.
Existe uma pressão adicional nas grandes organizações para desenvolverem serviços únicos de experiência para os clientes.
O cumprimento das métricas de segurança de software deve ser recompensado em pé de igualdade com as funcionalidades e cumprimento dos prazos.
Um processo de ciclo de vida do desenvolvimento de software de segurança deve ser desenvolvido e cumprido. A fase de requisitos é um elemento central na medida em que é o momento de ter em consideração as funcionalidades de segurança.
Ferramentas e metodologias de desenvolvimento de segurança para o desenvolvimento de aplicações devem ser utilizadas largamente.
É essencial a criação de um programa d eformação de segurança no desenvolvimento de software.
17
Visibilidade Executiva10
Segurança Top 10 Imperativos de Decisão
IMPA
CTO
OR
GA
NIZ
AC
ION
AL
TEMPO (MESES) PARA SER DOMINANTENota: A dimensão da bolha indica a complexidade/custo.
Fonte: IDC, 2015
Um
dep
arta
men
to
ou á
rea
de
negó
cio
Mul
tiplo
s de
parta
men
tos
ou
área
s de
neg
ócio
Cor
pora
tivo
0-12 12-24 24+
Encriptação de DadosGestão dos
Utilizadores
Visibilidade Executiva
Inteligência de Ameaças
Segurança SaaS
Orçamentos Baseados no
Risco
Proteção dos Acessos
Software de Segurança
Identificação BiométricaSegurança como
Funcionalidade
610
75
1
8
9
4
3
2
Impacto TI
Orientação
Alguns CISO vão encontrar uma oportunidade de expandir a sua função, aproveitar a sua experiência na definição da estratégia, da inovação e do relacionamento.
Atrair e reter equipas de segurança com qualidade num momento em que a procura é elevada e a oferta é reduzida é um dos principais desafios dos CISO.
Os executivos e os conselhos de administração estão preocupados com a responsabilidade penal resultante de uma brecha de dados significativa.
Se ainda não tiver sido criada, a função de CISO deve ser implementada. O CISO deve compreender a realidade de negócio e estar disponível
para se comprometer com os líderes das áreas de negócio para encontrar as soluções que cumpram as necessidades operacionais e de segurança.
Migre defesas altamente fragmentadas e fracamente implementadas para proteção preditiva
Implemente monitorização de segurança, resposta a incidentes e correção desde o silicone até à cloud
Focalize a próxima geração de segurança na inovação, através da melhoria da experiência dos utilizadores, redução do risco e dos custos
18
Sumário das Orientações
Constate que os ecossistemas das ameaças são mais sofisticados, melhor financiados e mais colaborativos do que a maioria das organizações
19
IDC FutureScape – Sumário ExecutivoSegurança
Top 10 Imperativos de Decisão
IMPA
CTO
OR
GA
NIZ
AC
ION
AL
TEMPO (MESES) PARA SER DOMINANTENota: A dimensão da bolha indica a complexidade/custo.
Fonte: IDC, 2015
Um
dep
arta
men
to
ou á
rea
de
negó
cio
Mul
tiplo
s de
parta
men
tos
ou
área
s de
neg
ócio
Cor
pora
tivo
0-12 12-24 24+
Encriptação de Dados
Gestão dos Utilizadores
Visibilidade Executiva
Inteligência de Ameaças
Segurança SaaS
Orçamentos Baseados no
Risco
Proteção dos Acessos
Software de Segurança
Bidentificação BiométricaSegurança como
Funcionalidade
6
10
75
1
4
9
4
3
8