Relatório tSecurity for Business Innovation Council … · relacionada ao uso do Conteúdo,...

transformando a segurança das

informações

ABN Amro Dr. Martijn Dekker, Vice-presidente Sênior, Chief Information Security Officer

Airtel Felix Mohan, Vice-presidente Sênior e Global Chief Information Security Officer

AstraZeneca siMon stricklanD, Global Head of Security

Automatic Data Processing rolanD cloutier, Vice-presidente, Chief Security Officer

The Coca-Cola Company renee guttMann, Chief Information Security Officer

EMC Corporation Dave Martin, Vice-presidente e Chief Security Officer

FedEx Denise D. wooD, Vice-presidente Corporativo, Information Security, Chief Information Security Officer, Chief IT Risk Officer

Fidelity Investments tiM Mcknight, Vice-presidente Executivo, Risco e Segurança de Informações Corporativas

HDFC Bank vishal salvi, Chief Information Security Officer e Vice-presidente Sênior

HSBC Holdings plc. bob roDger, Líder de Grupo de Segurança de Infraestrutura

Intel MalcolM harkins, Vice-presidente, Chief Security and Privacy Officer

Johnson & Johnson Marene n. allison, Vice-presidente Mundial de Segurança das Informações

JPMorgan Chase anish bhiMani, Chief Information Risk Officer

Nokia Petri kuivala, Chief Information Security Officer

SAP AG ralPh saloMon, Vice-presidente do Escritório de Segurança e Risco de TI

TELUS kenneth haertling, Vice-presidente e Chief Security Officer

T-Mobile USA williaM boni, Corporate Information Security Officer (CISO) e Vice-presidente de Segurança de Informações Corporativas

Walmart Stores, Inc. jerry r. geisler iii, Escritório do Chief Information Security Officer

Security for Business Innovation Council

Uma iniciativa da indústria patrocinada pela RSA

Novos conjuntos de habilidades

necessários

A evolução da missão de

segurança das informações

Novas oportunidades

para colaboração

Percepções da otimização do uso de recursos

Recomendações de ação

Mapa de “quem faz o quê” em uma equipe

ampla

Relatório baseado em discussões com o

neste relatório:

t

Definindo uma Equipe Avançada e Ampliada

recomendações dos executivos Global 1000

2 | relatório do security for business innovation council | RSA, a Divisão de Segurança da EMC

destaques do relatório 1

1. introdução equipes em transição 2

2. a nova declaração de serviços 3

Gráfico 1: Missão Atual da Segurança das Informações >>>>>>>>>>>>>>4

3. desafios e oportunidades 6

4. recomendações 7

1. Redefinir e Fortalecer as Principais Competências >>>>>>>>>>>>>>>>7

2. Delegar Operações de Rotina >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>9

3. Emprestar ou Alugar Especialistas >>>>>>>>>>>>>>>>>>>>>>>>>> 10

4. Conduzir os Proprietários do Risco no Gerenciamento de Risco >>>>> 10

5. Contratar Especialistas em Otimização de Processos >>>>>>>>>>>>> 11

6. Construir Relacionamentos Importantes >>>>>>>>>>>>>>>>>>>>>> 11

7. Pensar Diferente sobre Futuros Talentos >>>>>>>>>>>>>>>>>>>>>> 12

conclusão 13

sobre o security for business innovation council 13

apêndice

Gráfico 2: Ilustração de uma Equipe Avançada e Ampliada de Segurança das Informações >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 14

colaboradores 16

* Índice

Isenção de responsabilidade – Este Relatório do Security for Business Innovation Council (“Relatório”) inclui informações e materiais (coletivamente o “Conteúdo”) que estão

sujeitos a alterações sem aviso. A RSA Security LLC, a EMC Corporation e os autores individuais do Security for Business Innovation Council (coletivamente “Autores”) se isentam

expressamente de qualquer obrigação de manter o Conteúdo atualizado. O Conteúdo é fornecido “COMO ESTÁ”. Os Autores se isentam de qualquer garantia expressa ou explícita

relacionada ao uso do Conteúdo, incluindo, sem limitação, comercialização, compatibilidade, não infração, precisão ou adequação a qualquer propósito particular. O Conteúdo se

destina a fornecer informações ao público e não é um conselho legal da RSA Security LLC, de sua empresa mãe EMC Corporation, de seus advogados nem de qualquer dos autores

deste relatório do SBIC. Você não deve agir ou deixar de agir com base em nenhum Conteúdo sem consultar um advogado licenciado para atuar em sua jurisdição. Os Autores não

são responsáveis por nenhum erro contido aqui nem por nenhum dano surgido de ou relacionado ao uso deste Relatório (inclusive o Conteúdo), incluindo, sem limitação, danos

diretos, indiretos, incidentais, especiais, consequenciais ou punitivos, seja por contrato, ilícito ou qualquer outra teoria de responsabilidade, mesmo que os Autores tenham ciência da

possibilidade de tais erros ou danos. Os autores não assumem nenhuma responsabilidade por erros ou omissões em nenhum Conteúdo.

RSA, a Divisão de Segurança da EMC | relatório do security for business innovation council | 1

o que é necessário Para gerenciar os riscos dos ativos de informações em uma empresa global atualmente? Muito mais do que era necessário há um ano. Especialmente nos últimos 18 meses, foram acrescentados requisitos motivados pelo aumento dos ataques cibernéticos, pela adoção acelerada de novas tecnologias, pelo aumento do escrutínio normativo e por um ambiente de negócios hiperconectado.

a Missão Da segurança Das informações não é mais apenas “implementar e operar controles de segurança”, mas evoluiu para incluir técnicas avançadas e atividades centradas na empresa, como: análise de risco da empresa, avaliação dos ativos, integridade da cadeia de fornecimento de TI, inteligência cibernética, análise lógica de dados de segurança, data warehousing e otimização de processo.

existe a necessiDaDe De muitos conjuntos de habilidades novos; por isso, um desafio significativo na montagem de uma equipe eficaz é a falta de profissionais com as habilidades certas.

uMa nova oPortuniDaDe é que, em muitas organizações, as pessoas fora da segurança estão começando a reconhecer que elas – não a segurança – são responsáveis pelos riscos de seus ativos de informações e precisam fazer uma parceria ativa com a segurança para gerenciar esses riscos.

Para ter sucesso, a Função De segurança das informações é um esforço de toda a organização, com processos de segurança profundamente incorporados aos processos de negócios.

Destaques do Relatórioa equiPe aMPliaDa inclui funcionários de TI, das unidades de negócios e de departamentos como compras, jurídico e marketing.

o “núcleo” Da equiPe De segurança das informações governa e coordena o esforço geral e executa tarefas que requerem conhecimento especializado ou centralização.

sete recoMenDações fornecem um guia para a montagem de uma equipe ampliada de ponta para gerenciar com eficácia os riscos de segurança cibernética, otimizar o uso dos recursos humanos disponíveis e garantir que a equipe tenha o conjunto necessário de capacidades.

1. reDeFinir e Fortalecer as PrinciPais coMPetências: Foco na equipe principal em quatro áreas principais: Inteligência de Risco Cibernético e Análise Lógica de Dados de Segurança; Gerenciamento de Dados de Segurança; Consultoria de Risco; e Projeto e Garantia de Controles.

2. Delegar OPerações De rotina: Alocar processos de segurança repetidos e bem estabelecidos para a TI, as unidades de negócios e provedores de serviços externos.

3. eMPrestar ou alugar esPecialistas: Para especializações específicas, aumente a equipe principal com especialistas de dentro e de fora da organização.

4. conDuzir os ProPrietários Do risco no gerenciaMento De risco: Fazer parcerias com os negócios no gerenciamento dos riscos de segurança cibernética e coordenar um enfoque consistente. Fazer com que seja fácil para os negócios e fazer com que eles sejam responsáveis.

5. contratar esPecialistas eM otiMização De Processos: Ter pessoas na equipe com experiência e/ou certificações em qualidade, gerência de projetos ou programas, otimização de processos e prestação de serviços.

6. construir relacionaMentos iMPortantes: Estar bem posicionado para ter influência junto aos principais participantes, como os proprietários das “joias da coroa”, a gerência média e provedores de serviços terceirizados.

7. Pensar DiFerente sobre Futuros talentos: Devido à falta de especialistas disponíveis, desenvolver talento é a única solução de longo prazo real para a maioria das organizações. Entre os conhecimentos valiosos estão: administração de banco de dados, desenvolvimento de software, análise de negócios, inteligência militar, direito, área de privacidade, ciência de dados, matemática ou história.


e você tiver entrado em um departamento de segurança das

informações alguns anos atrás, provavelmente terá visto uma equipe tecnicamente orientada. Você pode ter ouvido conversas sobre proteções de perímetro, listas de verificação de conformidade e atualizações de antivírus. Entre pela mesma porta hoje e verá uma imagem completamente diferente. As equipes estão evoluindo para se tornar grupos multidisciplinares de especialistas, que incluem analistas de ameaças, consultores de risco, cientistas de dados e especialistas em processos. As discussões estão mudando para tópicos como gerenciamento de risco de negócios, análise lógica de dados, garantia de controles e governança de provedores de serviços.

Diferentes organizações estão em diferentes estágios de transformação, mas a maioria reconhece a necessidade de novos enfoques da segurança das informações. Na verdade, em uma recente pesquisa

S

Este relatório é o primeiro de uma série de programas transformadores de segurança das informações corporativas que pretendem responder a essa pergunta, usando a expertise e a visão de alguns dos principais executivos de segurança das informações do Security for Business Innovation Council (SBIC).

Este primeiro relatório descreve os novos conjuntos de capacidades essenciais e explica como as responsabilidades pela segurança das informações estão sendo distribuídas na empresa. Ele apresenta recomendações específicas e de ações para planejar uma equipe ampliada de ponta.

de segurança, a segunda maior prioridade de gastos para as corporações globais foi um redesenho fundamental de seus programas de segurança das informações.1 Simplesmente adicionar soluções pontuais ou trabalhar em melhorias incrementais não é mais suficiente. Mas como é realmente um programa de segurança das informações eficaz e avançado?

1 Introdução: Equipes em Transição

1 Pesquisa de Segurança das Informações da E&Y, novembro de 2012


missão da segurança das informações não é mais apenas “implementar e operar controles”, ela evoluiu para incluir um conjunto muito mais amplo

de atividades. A criação de uma equipe otimizada com as pessoas mais adequadas requer uma compreensão do escopo do trabalho.

O que é necessário para gerenciar os riscos dos ativos de informações em uma empresa global atualmente? Muito mais do que era necessário um ano atrás. Especialmente nos últimos 18 meses, foram acrescentados requisitos motivados pelo aumento dos ataques cibernéticos, pela adoção acelerada de novas tecnologias, pelo aumento do escrutínio normativo e por um ambiente de negócios hiperconectado.

As organizações estão agora sob uma imensa pressão para obter uma instância proativa com relação aos riscos de segurança cibernética. Fazer essas alterações requer novos enfoques para a defesa contra ameaças avançadas, integrar a segurança das informações nas estratégias de negócios e de tecnologia, e garantir que os processos de segurança sejam eficazes e eficientes.

Técnicas avançadas e atividades centradas nos negócios são agora necessárias e incluem:

D Gerenciamento de risco das informações e de risco dos negócios versus análise de recompensa• Para sistematizar a tomada de decisão de risco

e recompensa

D Inventário e avaliação de ativos• Para priorizar estratégias de proteção e se

concentrar em proteger as joias da coroa

D Gerenciamento de risco de terceiros e integridade da cadeia de fornecimento de TI• Para avaliar o número crescente de provedores

de serviços contratados globalmente e os componentes do sistema

D Inteligência de risco cibernético e análise de ameaças• Para compreender o cenário adverso

e reconhecer os indicadores de ataques

D Análise lógica de dados de segurança• Para aplicar técnicas avançadas de análise lógica

na detecção de comportamentos anômalos de sistemas ou de usuários em ambientes de TI

D Gerenciamento de dados de segurança e data warehousing • Para desenvolver uma estratégia abrangente

e uma infraestrutura de coleta de dados de várias entradas para serem usados para vários propósitos, tais como a detecção de ameaças, monitoramento de controles e relatórios de conformidade

D Otimização de processo de segurança• Para formalizar o aprimoramento da eficiência

dos processos de segurança

D Agilidade dos controles • Para atingir os objetivos dos controles de

segurança usando novos métodos em resposta a tendências como computação móvel e na nuvem

Uma chave para a estratégia de equipe é definir a missão para determinar “quem faz o quê”. O Gráfico 1 é uma representação da missão de segurança das informações nas principais organizações atuais, listando desde as atividades mais convencionais até aquelas cada vez mais avançadas. Organizações com um programa convergido podem também incluir tarefas relacionadas como fraude, e-Discovery, privacidade, qualidade dos produtos e/ou segurança física na missão. Este relatório cobre os componentes da segurança das informações, tendo em mente a coordenação necessária com outras atividades relacionadas.

2 A Nova Declaração de Serviços

A


Gráfico 1

Gerenciamento de Programa

• Determinar a estratégia geral e o plano para implementação do programa de gerenciamento de segurança das informações

• Garantir que o programa atenda às necessidades de negócios mais críticas da organização

• Coordenar isso com as tarefas relacionadas, como fraude, e-Discovery, segurança física, segurança de produto e/ou privacidade

Política e Padrões de Segurança

• Desenvolver e documentar as diretivas e regras gerais que prescrevem como a organização protege as informações

• Elaborar o conjunto completo de controles de segurança das informações administrativas, técnicas e físicas usados pela organização (ou seja, a estrutura de controles), incluindo controles de acesso, criptografia, identificação e autenticação, gerenciamento de configuração, monitoramento, registro de auditoria, segurança do aplicativo e treinamento de conscientização (da equipe e dos clientes)

• Considerar as exigências das várias leis e regulamentações (ou seja, SOX, HIPAA, PCI)

• Garantir que os controles sejam ágeis e acompanhar com alterações nos cenários de negócios e de ameaças

Implementação de Controles

• Implementar controles baseados em política, em padrões e em fatores ambientais internos e externos

Operação de Controles

• Operar os controles baseados em política, em padrões e em fatores ambientais internos e externos

Design de Controles (Arquitetura de Segurança)

• Desenvolver novos controles ou novas maneiras de implementar controles com base nas alterações no cenário de negócios, no TI e nas ameaças

• Inclui técnicas de desenvolvimento de aplicativos; especificação, implementação, personalização e/ou desenvolvimento de uma nova tecnologia de segurança; e novos contratos e procedimentos de usuário final

Supervisão/|Garantia de Controles

• Avaliar todos os controles para garantir que eles estejam em conformidade com a política e os padrões

• Verificar se todos os controles estão presentes e têm o desempenho esperado

• Garantir que todos os controles sejam monitorados e atestados de forma consistente

Resposta a Incidente/Resiliência

• Coordenar e gerenciar a resposta da organização a incidentes de segurança, inclusive continuidade dos negócios e recuperação de desastre

Avaliação de Risco das Informações

• Avaliar os riscos de um programa, processo, projeto, iniciativa ou sistema com base no valor das informações, nos ativos de dados, nas correspondentes ameaças e vulnerabilidades, na probabilidade de comprometimento, no impacto para a organização (como reputação, receita, não conformidade regulatória) e nas perdas estimadas

Gerenciamento de Risco das Informações/Risco dos Negócios versus Análise de Recompensa

• Estabelecer o apetite de risco dos proprietários do risco e os níveis aceitáveis de risco autorizado

• Com base na avaliação de risco para um programa, processo, projeto, iniciativa ou sistema particular, formular a estratégia de redução e remediação de risco

• Ter um processo consistente para pesar os riscos de segurança das informações com relação às recompensas para a empresa

• Determinar os controles necessários para levar o risco para um nível aceitável

• Integrar as informações de risco com a estrutura e o programa de gerenciamento de riscos da empresa

missão atual da segurança das informaçõesAs atividades são listadas grosseiramente, das mais convencionais àquelas cada vez mais avançadas.

a nova declaração de serviços


Gráfico 1

Inventário e Avaliação de Ativos

• Delinear o inventário completo de processos de negócios, dados confidenciais e sistemas de informação usados pela organização

• Executar uma documentação abrangente do processo de negócios e um mapeamento do fluxo de dados para compreender os processos e os dados que precisam de proteção e formular estratégias de proteção

• Identificar os usuários privilegiados em toda a corporação estendida que têm acesso aos sistemas críticos

• Determinar o valor dos ativos para priorizar as estratégias de proteção

Gerenciamento de risco de terceiros/integridade da cadeia de fornecimento de TI

• Garantir que a avaliação de riscos seja feita antes de a organização estabelecer um relacionamento com um terceiro

• Desenvolver um processo de investigação para avaliar fornecedores e parceiros

• Avaliar os riscos envolvidos em fazer negócios com fornecedores e parceiros em bases regulares

• Compreender a cadeia de fornecimento de TI e avaliar a segurança do hardware e do software usados no ambiente de TI da empresa

• Aumentar a eficiência através de avaliações compartilhadas e de monitoramento contínuo dos controles

Inteligência de Risco Cibernético e Análise de Ameaças

• Compreender o cenário adverso com relação aos ativos da empresa (identidade, capacidades, motivações, alvos)

• Coletar dados de inteligência com relação a ameaças para a organização

• Gerenciar origens de dados de inteligência, interpretar dados, executar análise e produzir relatórios e alertas de inteligência de ameaças

• Integrar a modelagem e inteligência de ameaça no processo e no ciclo de vida do gerenciamento de segurança

Análise Lógica de Dados de Segurança

• Usar técnicas avançadas de análise lógica e ciência de dados para analisar dados de segurança enriquecidos por dados de inteligência

• Desenvolver consultas, algoritmos e modelos de dados usados para detectar e prever atividade mal-intencionada

Gerenciamento de Dados de Segurança e Data Warehousing

• Desenvolver uma estratégia de gerenciamento de dados e uma infraestrutura para agregar e analisar dados de segurança a partir de várias entradas (sistemas de segurança, bancos de dados, aplicativos, informações de ameaças) para vários objetivos (por exemplo, detecção de ameaças, gerenciamento de riscos e conformidade corporativa, monitoramento de controles contínuos)

• Arquitetar um data warehouse para dados de segurança

Otimização de Processo de Segurança

• Rastrear e medir consistentemente a eficiência dos processos de segurança e implementar aprimoramentos usando metodologias formalizadas de gestão de qualidade, gestão de projeto e prestação de serviço

Planejamento de Longo Alcance

• Buscar tendências futuras nos negócios, em tecnologia e regulamentação para formular estratégias proativas de segurança. Por exemplo, o desenvolvimento de tecnologias como a “Internet of Things” e a computação para vestir está trazendo novos desafios de segurança

a nova declaração de serviços


riar uma equipe de segurança das informações eficaz traz diversos desafios atuais:

D A expertise está em falta e os talentos são difíceis de manter• Especialistas de risco de segurança e de

empresas são altamente procurados

D O orçamento é limitado D As equipes de segurança já estão trabalhando em sua capacidade máxima

D A atenção do conselho demanda perspicácia de negócios• À medida que a segurança das informações se

torna um componente mais crítico da estratégia de negócios, os profissionais de segurança requerem um conhecimento mais profundo da empresa

A boa notícia é que existem também algumas oportunidades emergentes:

D A conscientização está aumentando• Em todos os níveis, dos usuários

finais à liderança, a consciência dos problemas de segurança é maior do que nunca devido à atenção da mídia, à experiência anterior com ataques cibernéticos ou à pressão da regulamentação

D O “negócio” está assumindo a propriedade dos riscos• Em muitas organizações, está

ocorrendo uma mudança fundamental na forma de pensar, em que as pessoas fora da área de segurança estão começando a reconhecer que elas – não a segurança – são responsáveis pelos riscos de seus ativos de informações e precisam fazer uma parceria ativa com a segurança para gerenciar esses riscos.

D As carreiras de segurança têm salários crescentes• É uma época excitante para estar na segurança

das informações, uma vez que ela assume novos aspectos, como análise de riscos para a empresa, inteligência cibernética e ciência de dados. Relatos na imprensa e filmes de Hollywood sobre a defesa do ciberespaço estão também criando mais interesse pelo campo, o que pode ajudar a atrair talentos.

C3 Desafios e Oportunidades

D A oferta de provedores de serviços está aumentando• À medida que o mercado responde às

demandas crescentes, as organizações podem se voltar para provedores externos de serviços de segurança a fim de reduzir custos, obter expertise especializada, ajudar a cumprir o pico de atividades ou obter avaliações independentes.

É impressionante. Passamos de ‘Vocês da segurança ficam no nosso caminho; por que precisamos fazer isso?’ para as unidades de negócios usando nossos serviços centralizados de consultoria a fim de implementar estratégias de redução de riscos. A velocidade está aumentando porque as unidades de negócios estão chegando à conclusão de que precisam gerenciar seus riscos, e não depender de outra pessoa para corrigi-los ou fingir que eles não existem.”

dave martin Vice-presidente e Chief Security Officer, EMC Corporation


ara ter sucesso, a função de segurança das informações precisa ser um esforço de toda a organização, com processos de

segurança profundamente incorporados nos processos de negócios. A equipe ampliada de segurança das informações deve incluir:

D Pessoal em controles de segurança de implementação e operação

D Gerentes de riscos nas unidades de negócios para remediar riscos

D Profissionais de compras que implementam protocolos de garantia de fornecedor e avaliação de riscos para avaliar fornecedores

D O escritório de privacidade que acompanha as regulamentações

D A equipe de marketing que monitora a mídia social para obter informações sobre possíveis ameaças

O “núcleo” da equipe de segurança das informações governa e coordena o esforço geral e executa tarefas que requerem conhecimento especializado ou centralização. Alguns funcionários que executam tarefas de segurança fora da equipe principal podem ser subordinados diretos ou pontuais; outros podem trabalhar conforme os padrões de segurança de contratos de nível de serviço (SLAs). O Gráfico 2 no Apêndice ilustra quem faz o quê em uma equipe ampliada, o que inclui segurança das informações, TI, negócios e provedores de serviços.

As recomendações a seguir fornecem um guia para a criação de uma equipe ampliada de ponta para gerenciar com eficácia o risco de segurança das informações e fazer uso ideal dos recursos humanos disponíveis. Dependendo do nível de maturidade de uma organização, essa orientação pode ajudar a iniciar, validar um enfoque ou acelerar o progresso em áreas específicas.

4 Recomendações

P Redefinir e Fortalecer as Principais Competências

Delegar Operações de Rotina

Emprestar ou Alugar Especialistas

Conduzir os Proprietários do Risco no Gerenciamento de Risco

Contratar Especialistas em Otimização de Processos

Construir Relacionamentos Importantes

Pensar Diferente sobre Futuros Talentos

1. Redefinir e Fortalecer as Principais Competências

Nas principais organizações, as equipes principais de segurança das informações estão atualmente concentradas no aumento da proficiência em quatro áreas principais: Inteligência de Risco Cibernético e Análise Lógica de Dados de Segurança; Gerenciamento de Dados de Segurança; Consultoria de Risco; e Design e Garantia de Controles.

Dependendo do tamanho da equipe principal e do nível de especialização, membros individuais podem cobrir tarefas muito específicas ou várias áreas. Cada área exige um conjunto de capacidades que muitas vezes são novas para os membros da equipe. Mais adiante, o pessoal existente precisará desenvolver as capacidades necessárias através de treinamento e/ou a equipe principal precisará agregar novos membros ou envolver provedores de serviços.


recomendações

“A expertise da equipe principal de segurança deve ser principalmente voltada para prestar consultoria, fornecer direção, criar estratégias, identificar e explicar os riscos dos negócios, compreender as ameaças e mover a organização para a frente – e não ser sobrecarregada com as atividades operacionais diárias de rotina.”

bob rodGer Líder de Grupo de Segurança de Infra-estrutura, HSBC Holdings plc.

descobrindo que precisam de uma estratégia e uma infraestrutura de gerenciamento de dados de segurança. Isso envolve a agregação de dados de segurança no ambiente de TI, inclusive registros, fluxos de dados de pacotes completos e dados não estruturados de sistemas, bancos de dados e aplicativos de negócios. Os dados podem ser aplicados além da detecção de ameaças, de modo a serem usados para propósitos como gestão de risco corporativo e monitoramento de conformidade e de controles contínuos.

D Principais Habilidades do Pessoal: Interface com a TI e a empresa, incluindo arquitetos de gerenciamento de dados empresariais

D Principais Habilidades de Processo: Mapeamento de fluxos de dados de segurança no ambiente de TI da organização

D Principais Habilidades Técnicas: Principais habilidades de TI, como arquitetura de armazenamento, arquitetura de processamento, esquema de banco de dados, normalização e tratamento de gargalos de rede

3. consultoria de riscoA equipe principal atua como uma consultoria,

aconselhando as empresas sobre o gerenciamento dos riscos dos ativos de informações, inclusive aqueles relacionados a segurança, privacidade e problemas legais, conformidade normativa e e-Discovery. A equipe principal deve ter uma forte consciência dos processos de negócio. Ela precisa ser capaz de colaborar com as partes interessadas para avaliar os riscos, avaliar o valor dos ativos, determinar estratégias de redução de risco e garantir que as conversas sobre risco ocorram logo no início dos processos. Um conjunto de riscos em rápido crescimento vem de terceiros. As estratégias de compras globais e de computação na nuvem estão levando as organizações a aumentar ainda mais o uso de provedores de serviços terceirizados e a admitir novos parceiros de negócios e fornecedores. É extremamente importante ter o know-how para efetuar investigações, avaliações contínuas e avaliação de hardware e software de terceiros.

1. inteligência de risco cibernético e análise lógica de dados de segurança

Em função do cenário de aumento das ameaças, melhorar a detecção de ameaças é de suma importância para a maioria das organizações em todo o mundo, especificamente o desenvolvimento de um enfoque voltado para a inteligência (consulte o relatório da SBIC, Getting Ahead of Advanced Threats: Achieving Intelligence-Driven Information Security). Isso requer a coleta e amalgamento de dados de inteligência cibernética de fontes internas (sensores em sistemas de TI e aplicativos empresariais) e de fontes externas (informações sobre ameaças do governo ou comerciais) e o uso de técnicas avançadas de análise lógica de dados para detectar indicadores de ataques ou padrões de comportamento anômalos. A equipe principal deve ter as capacidades necessárias para conseguir a conscientização situacional em toda a organização.

A determinação de fontes relevantes e a execução de análises significativas precisa do desenvolvimento de uma compreensão do ambiente real de negócios, dos ativos a proteger e do cenário cibernético adverso. As equipes de segurança estão começando a tocar no poder das tecnologias de Big Data, com objetivo não apenas de detectar, mas também de prever ataques.

D Principais Habilidades do Pessoal: Formação de redes internas e externas para o desenvolvimento de boas fontes de inteligência, comunicação para o desenvolvimento de relatórios e apresentação de informações de inteligência

D Principais Habilidades de Processo: Projetar um processo de inteligência de ponta a ponta, incluindo a obtenção e filtragem de dados, execução de análises, comunicação de resultados, tomada de decisão de risco e ação

D Principais Habilidades Técnicas: Análise (desenho de conexões entre dados aparentemente desconectados), técnicas de análise lógica de dados e ciência de dados

2. Gerência de dados de segurançaÀ medida que buscam a análise lógica de dados para

a detecção de ameaças, as organizações estão


recomendações

D Principais Habilidades do Pessoal: Liderança, formação de rede interna para conscientização de estratégias de negócios, comunicação (saber ouvir, articulação verbal, saber lidar com conversas difíceis, sensibilidade a nuances culturais e organizacionais)

D Principais Habilidades de Processo: Mapeamento e documentação de processos de negócios, estruturas de gerenciamento de risco, protocolos para avaliações de risco de terceiros e garantia de controles (inclusive avaliações compartilhadas), gerenciamento de provedores de serviços terceirizados e comunidades de cadeia de fornecimento

D Principais Habilidades Técnicas: Avaliação de risco, medição de riscos diversos e apetites de risco em uma organização com um método padronizado, gerenciamento de risco automatizado e atividades de avaliação de fornecedores, monitoramento contínuo de controles

4. projeto e Garantia de controlesO projeto de controles inovadores, alinhados com os

objetivos de negócios e usando técnicas avançadas de testes para garantia de controles, deve ser uma área de foco importante para a equipe principal. Esse trabalho inclui pesquisa e desenvolvimento, além de avaliação e implementação de novas tecnologias de segurança. Os analistas de controles devem projetar a coleta de evidências não apenas para provar que os controles estão funcionando como pretendido, mas também para garantir que eles são ideais para defender contra as ameaças mais recentes e para permitir a agilidade da empresa.

D Principais Habilidades do Pessoal: Tradução de requisitos dos negócios e de conformidade em requisitos de segurança, fazendo a ligação com a arquitetura da empresa

D Principais Habilidades de Processo: Documentação da estrutura de controles da organização, desenvolvimento de protocolos para avaliação e atestado dos controles

D Principais Habilidades Técnicas: Arquitetura de segurança, segurança do aplicativo, segurança móvel, segurança da nuvem, monitoramento contínuo de controles, teste e análise avançados de controles de segurança

2. Delegar Operações de Rotina

Equipes tradicionais de segurança se sentem mais confortáveis fazendo as coisas elas mesmas. Mas isso precisa mudar. Delegar operações rotineiras de segurança a outros grupos internos ou a provedores de serviços externos permite que a equipe principal se concentre em ser mais proativa e estratégica, maximizando sua expertise técnica e suas capacidades de gerenciamento de riscos. Mais ainda, através do dimensionamento e da especialização, provedores de serviços certos podem não apenas reduzir os custos, mas também aumentar a qualidade.

Processos que podem ser repetidos e bem estabelecidos são bons candidatos à delegação. Os exemplos incluem a alocação da operação de firewalls, autenticação, sistemas de prevenção de intrusão e/ou software antivírus para grupos na TI ou para provedores de serviços de segurança gerenciado (MSSPs). Alocar o provisionamento de acesso de usuário no nível do aplicativo e a administração de contas de usuário às unidades de negócios. Treinar desenvolvedores em segurança de aplicativos e fornecer a eles ferramentas para localizar as vulnerabilidades. Considere o uso de segurança como serviço para varreduras e teste.

Como a equipe principal aloca as atividades, ela precisa reter um nível adequado de comando e controle através de requisitos abrangentes, padrões e SLAs. A equipe principal precisa ter expertise técnica de segurança e habilidades de gerenciamento de fornecedores para garantir uma supervisão eficaz. As organizações que estão apreensivas sobre a terceirização da segurança podem muitas vezes atingir os mesmos objetivos “terceirizando” para grupos internos de TI. No entanto, é necessário o mesmo nível de supervisão, independentemente do tipo de provedor de serviços.

Ao longo do tempo, a equipe principal deve avaliar continuamente o que seria mais eficiente ou econômico se feito por outros. Por exemplo, a equipe principal pode inicialmente executar a implementação e as operações de uma nova tecnologia de segurança, mas eventualmente ela se torna padronizada e as operações contínuas podem ser delegadas.


3. Emprestar ou Alugar Especialistas

Um desafio comum é que a equipe principal não tem expertise em áreas especializadas específicas. Especialistas de fora do departamento de segurança podem preencher a lacuna. Por exemplo, algumas equipes de segurança estão envolvendo pessoal de análise lógica de dados de provedores de serviços ou de outras partes da organização, como fraudes ou marketing. O Big Data pode ser novo para a segurança, mas outras áreas da empresa têm usado as técnicas de análise lógica de dados há anos.

Quando é inviável ou simplesmente é muito caro ter certos especialistas em tempo real na equipe, como especialistas forenses em malware ou analistas de inteligência de ameaças cibernéticas, as organizações podem se voltar para provedores de serviços externos usando constantemente. As equipes principais podem trazer talentos extras para lidar com um pico de atividades ou para ajudar na ausência de membros da equipe. Fazer parceria com uma empresa de consultoria de segurança, que pode fornecer profissionais de segurança multifacetados de alto nível, é também uma boa opção. Eles podem aumentar as capacidades da equipe principal e oferecer uma perspectiva independente.

Para resolver problemas particularmente complexos, geralmente faz sentido contratar experts, como um consultor em arquitetura de segurança especializado em determinada tecnologia. Tenha em mente que a equipe principal continua a precisar ter conhecimento suficiente para aplicar a expertise terceirizada.

recomendações

“Tradicionalmente, a equipe de segurança das informações era mais concentrada em tecnologia. No entanto, uma função cada vez mais importante é fazer a ligação com o negócio, trazer seus requisitos para a organização de segurança e por sua vez levar a perspectiva da segurança para o negócio.”

Felix mohan Vice-presidente Sênior e Global Chief Information Security Officer, Airtel

Se eu não tenho uma habilidade importante, eu a crio ou compro. Você precisa saber quando deve criar ou comprar, baseado no custo total de propriedade. Para algumas habilidades, pode fazer mais sentido procurar um provedor de serviços.”

marene n. allison Vice-presidente Mundial de

Segurança das Informações, Johnson & Johnson

4. Conduzir os Proprietários do Risco no Gerenciamento de Risco

Tipicamente, os gerentes seniores na empresa são responsáveis pelas decisões de gerenciamento de risco associadas a iniciativas como o lançamento de um novo produto ou serviço, programas como BYOD (Bring Your Own Device, traga seu próprio dispositivo), ativos de informações como sites da web voltados para o cliente ou processos de negócios como relatórios financeiros. Como os líderes de empresas cada vez mais reconhecem suas responsabilidades de gerenciar riscos de segurança cibernética, um número crescente de organizações tem “gerentes de risco de segurança das informações” dedicados nas unidades de negócios, responsáveis pela remediação de risco.

A função da equipe principal é liderar as atividades de gerenciamento de risco das informações e fazer parceria com a empresa no gerenciamento dos riscos de segurança cibernética. Isso inclui: coordenar um enfoque consistente para identificação, avaliação, redução, remediação e relatório de riscos; medir riscos em relação a recompensas; estabelecer o apetite por riscos e os níveis de aceitação; e incorporar o risco para as informações no programa geral de gerenciamento de risco empresarial. Os principais aspectos são fazer com que seja fácil para a empresa e fazer com que as pessoas sejam responsáveis pelo gerenciamento de riscos, fornecendo ferramentas de autoatendimento, integrando o gerenciamento de risco no processo de negócios e implementando a automação.


5. Contratar Especialistas em Otimização de Processos

A expertise em processo se tornou um aspecto essencial de uma equipe de ponta. Tenha pessoas na equipe que sejam adeptas de gerenciamento de qualidade, projeto ou programa, otimização de processo e prestação de serviços, e que possam ser treinadas em segurança. Considere a contratação de pessoas que tenham credenciais em Aprimoramento de Processos Six Sigma, Gerenciamento de Serviços de TI ITIL (ITSM), Governança de TI COBIT e/ou Arquitetura Empresarial TOGAF. Algumas equipes principais foram capazes de aproveitar experts em processos ou profissionais de gerenciamento de programas de outras áreas da organização, como o departamento de qualidade ou o escritório de programas corporativos.

Ter expertise em processos na equipe ajuda a atender à crescente demanda por melhorias nos processos. Por exemplo, devido ao cenário de ameaças, algumas organizações gostariam que a aplicação de patches em todos os sistemas críticos fosse feita em horas, não em semanas. As unidades de negócios querem reduzir o impacto da segurança nos processos de negócios, minimizando a fricção para os usuários finais e o tempo de parada para os servidores. Os reguladores querem controles mais estritos sobre o acesso às informações, como a revogação de direitos expirados em minutos, não em dias. Cada vez mais, será esperado que o departamento de segurança meça a produtividade dos investimentos em segurança e forneça melhorias quantificáveis ao longo do tempo. Isso inclui repetibilidade do processo, agilidade e capacidade de dimensionar.

6. Construir Relacionamentos Importantes

Relacionamentos fortes na organização são essenciais para que a equipe principal motive o crescente número de pessoas com responsabilidades de segurança, crie um ambiente colaborativo e garanta que os membros da equipe ampliada compreendam e desempenhem suas tarefas. A equipe principal deve atingir todas as áreas da empresa e se envolver em todos os níveis. Ela precisa estar bem posicionada para ter influência sobre os principais atores, como aqueles que controlam os investimentos em tecnologia e tomam as decisões estratégicas.

Um dos relacionamentos mais importantes é com os proprietários das “joias da coroa” da organização, por exemplo, os conjuntos de dados e os processos de negócio com propriedade intelectual ou dados pertencentes à empresa. Outro é com a gerência média – atalhos significativos podem ser abertos quando se tem um bom relacionamento com a gerência média. Os provedores de terceirização do processo de negócios (BPO) devem ser também um alvo principal. A equipe principal deve construir uma forte rede de contatos de segurança dos BPOs e trabalhar com eles para garantir altos padrões de segurança e compartilhamento de informações em toda a comunidade.

recomendações

“Temos uma pedra fundamental para nossa organização de segurança, e ela diz ‘A formalidade é importante’. Nossos processos precisam ser altamente documentados e revistos. Como podemos fazer com que sejam mais eficientes? Mais eficazes? Nós perdemos alguma coisa? Você precisa de pessoas com antecedentes sólidos de processos e qualidade se quiser credibilidade com os líderes de sua empresa.”

denise d. Wood Vice-presidente Corporativa, Segurança das Informações, Chief Information Security Officer, Chief IT Risk Officer,

FedEx Corporation

Para ter uma empresa ampliada ciberneticamente, procure saber quem são seus principais provedores de serviços e estabeleça um sólido relacionamento de trabalho com eles. Não dê espaço para os maus se esconderem, porque você elevou o padrão de conformidade para práticas recomendadas de segurança em todo o seu ecossistema.”

William boni Corporate Information Security Officer (CISO), Vice-presidente, Enterprise Information Security, T-Mobile USA


7. Pensar Diferente sobre Futuros Talentos

O interesse no campo da segurança das informações está crescendo, mas no futuro próximo haverá uma falta de profissionais com habilidades de segurança cibernética e consultoria de risco “prontas para usar”. É especialmente desafiador encontrar talentos com know-how em tecnologias emergentes de segurança. Algumas organizações estão se voltando para MSSPs (Managed Security Service Provider, provedor de serviços gerenciados de segurança) nesse ínterim, porque é difícil recrutar e reter talentos com certas habilidades técnicas. Além disso, as equipes de segurança precisam também de profissionais que possam transcender a expertise técnica para ter conversas frutíferas sobre riscos de negócios com os principais interessados.

Uma estratégia de recrutamento contínuo é essencial para a construção de uma equipe de segurança eficaz. Trabalhe com as unidades de negócios e com Recursos Humanos para avaliar as necessidades e as possíveis fontes de talentos. Cada vez mais, as organizações estão recrutando pessoas que não têm antecedentes em segurança, mas têm habilidades valiosas e podem ser treinados em segurança. Um enfoque é formar

uma “academia de segurança cibernética” interna. Outro enfoque é dar suporte para que membros individuais da equipe busquem cursos de treinamento externos e certificações, e/ou estabelecer programas de instrução. Além dos recém-graduados, os novos recrutas podem ser pessoas internas de TI ou de outras áreas que tenham interesse em uma carreira na área de segurança. Eles são geralmente os melhores recrutas, uma vez que têm conhecimento da organização e redes estabelecidas.

Devido à falta de especialistas disponíveis, desenvolver talentos é a única solução de longo prazo real para a maioria das organizações. Mantenha a mente aberta ao procurar pessoas para treinar para as funções de segurança. Existe uma ampla gama de antecedentes valiosos, como administração de banco de dados, desenvolvimento de software, análise de negócios, inteligência militar ou funcionários do departamento jurídico ou de privacidade. Algumas equipes especiais contrataram recentemente cientistas que têm experiência em sequenciamento de DNA. Pessoas que têm conhecimento teórico em áreas como econometria ou matemática podem desenvolver suas habilidades técnicas. Outras com antecedentes em história ou jornalismo podem oferecer excelentes habilidades investigativas. Como a retenção é um grande desafio ao treinar pessoas para obterem as tão procuradas habilidades de segurança, é importante oferecer um plano de carreira previsível e atraente aos membros da equipe e garantir uma remuneração compatível com o mercado.

Muitas organizações estão também fazendo parceria com universidades para garantir o crescimento do pool de talentos de segurança. Isso pode incluir a criação de programas de desenvolvimento de liderança, ajuda para a criação de currículos adequados às necessidades do setor ou oferta de oportunidades de estágio e cooperação. Programas de orientação no nível da universidade e mesmo no ensino secundário podem ajudar a instruir a força de trabalho potencial sobre as carreiras na segurança cibernética.

“Ao adicionar pessoas à sua organização, você certamente deseja diversidade de pensamento. Hoje isso é mais importante do que nunca, porque a mudança dos negócios está superando as capacidades da segurança e está exigindo um pensamento inovador para resolver esses problemas.”

Jerry r. Geisler iii Escritório do Chief Information Security Officer, Walmart Stores Inc.

Devido à falta de especialistas disponíveis, desenvolver talentos é a única solução de longo prazo real para a maioria das organizações.


ConclusãoAs equipes de segurança das informações estão

evoluindo para atender às demandas de um ambiente de negócios cada vez mais desafiador, um cenário de ameaças e um regime normativo. A conscientização de problemas de segurança está permitindo uma mudança na posição da segurança das informações dentro das organizações, deixando de ser um silo técnico para se tornar um esforço realmente colaborativo. As organizações estão também descobrindo que o atendimento dos requisitos de segurança requer mais atenção ao processo. Uma equipe de segurança eficaz atualmente tem uma profunda compreensão dos processos de negócios e da importância de bons processos de segurança na execução de seu mandato. O próximo relatório desta série de três partes sobre a transformação da segurança das informações explorará ainda mais como as principais organizações estão repensando e otimizando os processos. O terceiro relatório estudará como as novas tecnologias se enquadram em um novo programa moderno de segurança das informações, tendo como base uma equipe criativa e voltada para o futuro.

Sobre o Security for Business Innovation Council

a inovação Dos negócios atingiu o toPo Da agenda da maioria das empresas, e a diretoria se esforça para unir o poder da organização e o da tecnologia de modo a criar novos valores e mais eficiência. No entanto, ainda há um elo perdido. Embora a inovação nos negócios seja desenvolvida pela informação e por sistemas de TI, a proteção das informações e dos sistemas de TI geralmente não é considerada estratégica – mesmo com as empresas enfrentando crescentes pressões regulatórias e uma escalada de ameaças. Na verdade,a segurança das informações é geralmente um pensamento posterior, acrescentado no fim de um projeto ou – ainda pior – não é tratada. Entretanto, sem a estratégia certa de segurança, a inovação dos negócios pode ser facilmente sufocada ou colocar a organização em grande risco.

na rsa, nós acreDitaMos que, se as equiPes De segurança forem verdadeiros parceiros no processo de inovação de negócios, elas podem ajudar suas organizações a atingir resultados sem precedentes.

É tempo de um novo enfoque; a segurança deve deixar de ser uma especialidade técnica para se tornar uma estratégia de negócios. Embora a maioria das equipes de segurança tenha reconhecido a necessidade de alinhar a segurança com os negócios, muitas delas ainda se esforçam para traduzir essa compreensão em planos de ação concretos. Eles sabem aonde precisam ir, mas estão inseguros sobre como chegar lá. É por isso que a RSA está trabalhando com alguns dos principais líderes de segurança do mundo para impulsionar uma conversa no setor de modo a identificar um caminho.

a rsa convocou uM gruPo De executivos De segurança altamente bem-sucedidos de empresas Global 1000 em uma variedade de setores, que nós chamamos de “Security for Business Innovation Council.” Estamos conduzindo uma série de entrevistas em profundidade com o Council, publicando suas ideias em uma série de relatórios e patrocinando pesquisas independentes que exploram esses tópicos. Vá a www.rsa.com/securityforinnovation para visualizar os relatórios ou para acessar a pesquisa. Juntos, podemos acelerar essa importante transformação do setor.


M e M b r o s da eq u i p e

s egu r a n ç a das i n f o r M a ç õ es

p r i n c i pa i sT i e M p r esa

p rov e d o r es d e s e rv i ç o s ( U s o s

C o m U n s )

• Uma ampla gama de especialistas

• Os indivíduos podem desempenhar mais de uma função

• É possível convergir com as equipes de e-Discovery, segurança física e/ou equipes de segurança de produtos

Funcionários envolvidos em funções de segurança estratégicas e operacionais

Linhas de Negócios e Áreas Funcionais (por exemplo, Privacidade, RH, Marketing, Jurídico, Auditoria, Compras)

Consultores com expertise (SMEs), provedores de serviços de segurança gerenciados (MSSPs) e provedores de nuvem (SAAS)

gerenciamento do programa

O CISO lidera o programa e preside o “Comitê de Risco de Informações” interfuncionais

O CIO participa do “Comitê de Risco das Informações”

Certos executivos da empresa participam do “Comitê de Risco das Informações”

política e padrões de segurança

Desenvolver política e padrões

Consultoria em política e padrões

Consultoria em política e padrões

implementação de controles

• Gerenciar e supervisionar a implementação de controles

• Executar a implementação de controles em casos mais complexos

Implementar controles dos padrões de segurança ou prestar serviços que atendam a SLA de segurança

Facilitar a implementação de controles

Os MSSPs prestam serviços de implementação de controles que atendem a SLA de segurança

operações de controles

• Gerenciar e supervisionar as operações de controles

• Operar controles novos e mais complexos

Operar controles conforme padrões de segurança ou prestar serviços que atendam a SLA de segurança

Garantir que as operações da empresa atenda aos requisitos de controle de segurança

Os MSSPs prestam serviços de operação de controles que atendem a SLA de segurança

garantia dos controles

• Efetuar avaliação dos controles e desenvolver ferramentas avançadas para teste e análise de controles

• Implementar monitoramento contínuo de controles

Os MSSPs prestam serviços; por exemplo, revisão de código fonte, verificação de vulnerabilidade

design de controles (arquitetura de segurança)

• Impulsionar o design de novos controles de segurança

• Trabalhar com a arquitetura de TI da empresa

Consultoria em design de novos controles de segurança

Consultoria em design de novos controles de segurança

resposta a incidente/resiliência

Gerenciar e coordenar a resposta em toda a organização

Trabalhar nos aspectos técnicos da resposta

Trabalhar nos aspectos jurídicos, de RP e de RH da resposta

SMEs fornecem perícia e análise de malware

A Apêndice Ilustração de uma Equipe Avançada e Ampliada de Segurança das Informações

A direção executiva e o conselho de diretores supervisiona o programa.

Atividades Responsabilidades Específicas

Gráfico 2:


avaliação de risco das informações

• Gerenciar o programa de avaliação de risco

• Executar avaliações de risco em casos mais complexos

• Fornecer ferramentas para facilitar as avaliações de risco

Executar avaliação de risco usando ferramentas fornecidas pela equipe principal

• Executar avaliação de risco usando ferramentas fornecidas pela equipe principal

• O pessoal do jurídico presta consultoria em riscos legais e conformidade

A tendência emergente é a avaliação de risco executada por provedores de serviço que atendam a SLA de segurança

gerenciamento de risco das informações/risco dos negócios versus análise de recompensa

• Impulsionar as atividades de gerenciamento de riscos

• Envolver-se com TI e com o negócio

• Consultoria em gerenciamento de risco

• Fornecer ferramentas para facilitar o gerenciamento de risco

• Trabalhar com a equipe principal para gerenciar riscos

• Facilitar a remediação de riscos identificados

• Apresentar relatórios regulares sobre o status dos riscos

• Trabalhar com a equipe principal para gerenciar riscos

• Facilitar a remediação de riscos identificados

• Apresentar relatórios regulares sobre o status dos riscos

gerenciamento de risco de Terceiros/integridade da cadeia de fornecimento de Ti

• Impulsionar o gerenciamento de risco de terceiros e fornecer programa de integridade da cadeia de fornecimento

• Desenvolver padrões e fornecer ferramentas para avaliações de terceiros e avaliação de hardware e software

• Efetuar investigações e avaliações de terceiros usando ferramentas fornecidas pela equipe principal

• Executar avaliação de hardware e software usando ferramentas fornecidas pela equipe principal

• Efetuar investigações e avaliações de terceiros usando as ferramentas fornecidas pela equipe principal

• A área de compras constrói avaliações de segurança no processo de compras

• O pessoal do jurídico dá consultoria sobre os riscos legais e de conformidade e escreve os contratos

SMEs efetuam investigações e avaliações de terceiros usando padrões estabelecidos pela equipe principal

inventário e avaliação de ativos

Impulsionar desenvolvimento do registro

Engajar-se com a equipe principal para listar e avaliar os ativos

Engajar-se com a equipe principal para listar e avaliar os ativos

inteligência de risco cibernético e análise de ameaças

• Gerenciar programa de inteligência

• Coordenar origens

Compartilhar dados de inteligência, como e-mails de phishing

Compartilhar dados de inteligência, como monitoramento de mídia social

SMEs fornecem fontes e análise de ameaças

análise Lógica de dados de segurança

Impulsionar o desenvolvimento de consultas e modelos

Prestar consultoria e/ou fornecer serviços de análise lógica de dados

Prestar consultoria e/ou fornecer serviços de análise lógica de dados

SMEs e/ou MSSPs fornecem serviços de análise lógica de dados

gerenciamento de dados de segurança e data Warehousing

Impulsionar a estratégia de gerenciamento de dados de segurança e arquitetar data warehouse de segurança

• Impulsionar a estratégia geral de gerenciamento de dados da organização

• Prestar consultoria sobre estratégia de segurança e origens de dados como registros de rede

Prestar consultoria sobre origens de dados, tais como registros de aplicativos e de banco de dados

• SMEs fornecem feeds de ameaças

• MSSPs fornecem feeds de registros do sistema de segurança

otimização do processo de segurança

Impulsionar a otimização do processo de segurança em toda a organização

Prestar consultoria e facilitar a implementação de aprimoramentos

Prestar consultoria e facilitar a implementação de aprimoramentos

planejamento de Longo alcance

Buscar tendências futuras nos negócios, em tecnologia e regulamentação para formular estratégias proativas de segurança.

Colaborar com as tendências e estratégias proativas no futuro

Colaborar com as tendências e estratégias proativas no futuro


Colaboradores do Relatório Security for Business Innovation Council

marene n. allison Vice-presidente Mundial de Segurança das Informações, Johnson & Johnson

anish bhimani CISSP Chief Information Risk Officer, Jpmorgan chase

dr. martiJn dekker Vice-presidente Sênior, Chief Information Security Officer, abn amro

Jerry r. Geisler iii GCFA, GCFE,

GCIH, Escritório do Chief Information Security Officer, Walmart stores, inc.

renee Guttmann Chief Information Security Officer, the coca-cola company

malcolm harkins Vice-presidente e Chief Security and Privacy Officer, intel

kenneth haertlinG Vice-presidente e Chief Security Officer, telus

petri kuivala Chief Information Security Officer, nokia

dave martin CISSP

Vice-presidente e Chief Security Officer, emc corporation

tim mckniGht CISSP Vice-presidente executivo , Segurança das Informações Corporativas e Risco, fidelity investments

Felix mohan Vice-presidente Sênior e Global Chief Information Security Officer, airtel

robert rodGer Líder de Grupo de Segurança da Infraestrutura, Hsbc Holdings, plc.

ralph salomon CRISC

Vice-presidente de Segurança de TI e Escritório de Risco, sap aG

vishal salvi CISM Chief Information Security Officer e Vice-presidente Sênior, Hdfc bank limited

simon strickland Líder Global de Segurança, astraZeneca

denise d. Wood Vice-presidente Corporativa, Segurança das Informações, Chief Information Security Officer, Chief IT Risk Officer, fedex corporation

William boni CISM, CPP, CISA Corporate Information Security Officer (CISO), VP, Segurança das Informações Corporativas, t-mobile usa

roland cloutier Vice-presidente, Chief Security Officer, automatic data processing, inc.

Para ver as biografias completas dos membros do SBIC, visite http://brazil.emc.com


© 2013 EMC Corporation. Todos os direitos reservados. 231038-H12227 CISO RPT 0813

EMC2, EMC2, o logotipo da EMC, RSA e o logotipo da RSA são marcas registradas ou comerciais da EMC Corporation nos Estados Unidos e em outros países. Todos os outros produtos e/ou serviços referenciados são marcas comerciais de suas respectivas empresas.

®

Relatório tSecurity for Business Innovation Council … · relacionada ao uso do Conteúdo,...

Documents

Transcript of Relatório tSecurity for Business Innovation Council … · relacionada ao uso do Conteúdo,...