(11) 5521-2021 [email protected]
Joias da Coroa na Segurança Digital

Joias da Coroa na Segurança Digital

Todos sabem que segurança digital é importante e que devemos proteger as informações e sistemas mais críticos. Mas quais são eles e por onde começar?

Mesmo que sua empresa não seja grande e complexa, é difícil saber como os problemas de uma infraestrutura de TI podem afetar a missão operacional mais ampla.

O conceito de Joias da Coroa, avaliado de acordo com uma metodologia, que possa ser reproduzida, é uma ajuda para entender o que é mais crítico. O modelo, que o nome já diz, invoca algo de valor, que pode reconhecer as ameaças e os riscos associados aos ativos.

Com essa visão, as análises de vulnerabilidade focadas permitem selecionar as medidas de mitigação do impacto de um potencial ataque.

 

Identificado o escopo prioritário, na forma de uma lista com as Joias da Coroa, é possível estabelecer um programa de segurança cybernética. O programa oferece como resultado um processo de gerenciamento de riscos comum e repetitivo que faz parte da construção de sistemas seguros e resilientes.

De nada adianta a empresa investir em sofisticados sistemas de Advanced Cyber ​​Threat (ACT), se os objetivos e o escopo não estiverem claros e amplamente divulgados.

Como é proibitivo, devido a tempo e custo, projetar um sistema para combater todos os ataques concebíveis, o conceito Joias da Coroa é usado para identificar os ativos cibernéticos mais importantes para a missão de uma organização, permitindo que as equipes de infra e segurança se concentrem em garantir que componentes críticos podem efetivamente suportar um ataque.

As organizações menores geralmente dispõem de recursos limitados para identificar e proteger seus ativos cibernéticos de missão crítica, ou seja, contratar um grande projeto de Análise de Risco para toda a empresa não é uma opção viável. Assim, para se ter uma visão aproximada o suficiente, que permita atuar, existem algumas técnicas. Uma técnica faz uso de “mapas de dependência”.  Essa técnica combina a montagem de uma planilha com a lista dos Ativos inicial, que á revisada com base em entrevistas com as áreas técnicas e áreas de negócio. Normalmente são feitas duas rodadas, uma inicial com a área técnica para estabelecer os principais e uma segunda com a área de negócio. O resultado permitirá aos responsáveis pela análise identificar os ativos mais importantes para o negócio, com validação da área técnica. Feita a aceitação, por parte dos gestores desta lista inicial, é possível avaliar os principais riscos e vulnerabilidades. Tendo essa visão, fica mais fácil planejar os controles e gerenciar a implantação.

Melhores Práticas e Lições Aprendidas

Não é nenhuma novidade que segurança 100% não é possível, então o objetivo primordial é tornar o trabalho do invasor mais “difícil” e mais arriscado. Lembre-se dos atores coadjuvantes. Os ativos cibernéticos que executam funções de missão crítica não são as únicas joias em um sistema. Quaisquer componentes do sistema que tenham acesso privilegiado devem ser considerados para o status de joia. Identificá-los requer um entendimento da arquitetura do sistema e das funções gerais, e a análise não estará completa a menos que essa etapa seja executada. Um indicador digno de ser mencionado é o que registra os incidentes de segurança. Por exemplo: A quantidade de vezes que uma atividade programada, por alguma razão não foi corretamente executada. E finalmente, um programa de segurança não é uma fotografia, é um processo, que se alimenta dos indicadores para orientar a melhoria contínua.

Gostou do nosso conteúdo? Então assine a newsletter e recebe novos artigos, ebooks, eventos e muito mais:

 

A automatização de acessos na integração de novos colaboradores e terceiros

A automatização de acessos na integração de novos colaboradores e terceiros

A gestão de pessoas é sempre um diferencial, em tempos de dificuldade, para manter os custos sob controle e, em tempos de retomada, para obter rapidamente os resultados.

Mas você sabe como a integração de novos funcionários e terceiros nos diferentes sistemas da empresa pode agilizar o negócio e garantir a segurança dos dados sensíveis da empresa? Então esse texto é para você!

No contexto de mudanças de mercado, a integração de novos funcionários ou terceiros é um dos processos que pode se beneficiar da automatização da gestão de identidades. Uma implantação corretamente planejada e executada garante que as novas pessoas, ao se juntar ao time, recebam os direitos de acesso correspondente às tarefas que irão executar.

Parece bom demais para ser verdade? Pois saiba que é possível montar um processo, suportado por ferramentas de IAM, que entregue esta experiência positiva. Mas quais as principais atividades que devem estar no radar do gerente de projeto, que busque agregar esta pequena grande vitória?

A primeira delas é o desenho do processo de integração. Entender de onde surgem as pessoas, podendo vir de uma única base de RH, mas é bastante comum encontrarmos casos onde a base é distribuída. Temos também os terceiros, que as boas práticas recomendam que sejam segredados dos colaboradores, se possível com controles diferentes e específicos. Inicialmente, é preciso fazer um mapeamento da situação atual, analisando a documentação existente e entrevistando as equipes de TI e RH. Este entendimento da integração é fundamental para que seja possível identificar os eventuais gargalos e pontos de melhoria nos processos.

Uma vez identificadas as origens das pessoas e entendido o processo, podemos trabalhar na preparação dos perfis padrão ou “cesta básica”.

Estes direitos, agrupados em perfis, são aqueles identificados como necessários para que a pessoa inicie as suas atividades. Normalmente uma conta na rede, um endereço de correio eletrônico e acesso a um portal interno. Em alguns casos é possível conceder acessos mais específicos, desde que estes possam ser relacionados a informações da pessoa como: cargo, departamento etc.

Esta concessão automática de alguns direitos básicos é complementada pelo acesso a um portal que permita a verificação dos direitos atuais e solicitação de direitos adicionais, e se façam necessários no decorrer do trabalho.

As vantagens são a grande redução de custo e aborrecimento e o aumento da qualidade da experiência do usuário ao utilizar o portal de autosserviço.

A melhoria da segurança e compliance são os benefícios adicionais, já que evidências para a auditoria são coletadas e mantidas automaticamente, sem necessidade de tarefas manuais.

5 questões sobre gestão de segurança da informação e governança

5 questões sobre gestão de segurança da informação e governança

Em tempos de normas e leis que tratam de segurança da informação e governança nos processos, quais as perguntas essenciais?

Vamos lá, criando um cenário onde você é chamado para falar sobre segurança para um grupo de gestores da empresa, quais as perguntas você deve estar preparado para responder?

Questão 1 – O que é risco?

Esteja preparado para uma breve definição dos conceitos de risco, ameaça e vulnerabilidade. Se possível, com um exemplo prático de perda ou despesa não programada.

Questão 2- Qual o padrão ou “framework” seguimos?

Falar em boas práticas pode ser muito genérico, se o objetivo é efetivamente identificar e proteger os ativos de informação, escolha um modelo. Use o modelo para coletar os controles que façam sentido para a sua organização. Podem ser usados mais de um modelo ou norma. Entre as fontes mais conhecidas temos a ISO27001, os documentos do NIST e é claro o CoBIT.

Questão 3 – Como estamos? E como ficamos se o pior acontecer?

Apresente a análise de risco mais recente. Se não tem disponível uma análise detalhada, faça uma de alto nível, avaliando as possíveis perdas em caso de comprometimento da integridade, confidencialidade ou disponibilidade. Mesmo que não apresente detalhes técnicos, é imprescindível que a sua organização faça uma análise de impacto e de risco.

Questão 4 – O que estamos fazendo para nos proteger?

Já que falamos dos principais riscos, é uma boa ideia listar os controles que estão disponíveis para minimizar o impacto de um incidente. E alguns indicadores que representem se possível, de forma gráfica, a efetividade dos controles. Indicadores como: percentual de colaboradores treinados em segurança da informação, percentual de servidores com atualizações de segurança aplicadas, percentual de equipamentos com antivírius, entre outros.

Questão 5- O que precisa ser feito?

As empresas normalmente investem um certo percentual de seu faturamento em TI e segurança da informação. A forma de utilizar os recursos de maneira eficaz é o que normalmente faz a diferença.

Não existe medida de segurança perfeita e, incidentes, sempre estarão presentes, mas um bom plano indicando qual o retorno, se possível apoiado com números, é uma forma de nivelar as expectativas e buscar o consenso.

 

 

E-TRUST presente no Fórum RNP 2018 no debate sobre Gestão de Identidade no meio acadêmico

E-TRUST presente no Fórum RNP 2018 no debate sobre Gestão de Identidade no meio acadêmico

Vice-presidente da E-TRUST aborda a importância da Gestão de Identidade (GIA) no meio acadêmico

Com o tema “Patrimônio Digital, dados abertos e tecnologias de memória” a 5ª edição do Fórum RNP, promovido pela Rede Nacional de Ensino e Pesquisa, levou em dois dias de evento assuntos políticos e estratégicos para o setor de Tecnologia da Informação e Comunicação.

E para o primeiro dia de evento, o vice-presidente da E-TRUST, Mauro Souza, participou do painel com o tema “A confiança auditada: Novas perspectivas na Gestão de Identidade no meio acadêmico”.

Mauro abordou sobre como o mercado está vendo a Transformação Digital e a Gestão de Identidades e Acessos e como a governança e boas práticas podem ajudar aos órgãos de pesquisas e universidade a entregarem melhores resultados e melhores condições para alunos e pesquisadores.

Assista ao debate na íntegra no vídeo abaixo

Mauro Souza Vice-Presidente da E-TRUST no Fórum RNP 2018
E-TRUST é presença confirmada na 7ª edição do My Inova Summit

E-TRUST é presença confirmada na 7ª edição do My Inova Summit

E-TRUST é presença confirmada no My Inova Summit 2018

A E-TRUST estará presente na 7ª edição do My Inova Summit (antigo Parana TIC), que reúne grandes oportunidades para gestores e profissionais de engenharia de software.

Entre os dias 1 e 3 de agosto acontecerá em Foz do Iguaçu, o evento realizado pela Assespro, trará tendências em tecnologia, inovação em empreendedorismo e startups.

O circuito de aprendizado apresenta diversos novos debates, sustentados por especialistas nacionais e internacionais. Entre eles estará o vice-presidente da E-TRUST, Mauro Souza que participará do painel, no último dia do evento às 10h, com o tema: “Em tempos de Transformação Digital, como o Machine Learning e a Inteligência Artificial estão moldando o futuro da Gestão de Identidades”.

O sócio-fundador da E-TRUST, Mauro Souza, reúne diversas especializações, entre eles, Gestão de Identidades e Governança, possui mais de 20 anos de experiência em Segurança da Informação e é pioneiro na implantação no Brasil de controles de segurança compatíveis com boas práticas internacionais. Além disso, possui certificações em CISSP, CISM, CISA e LA27001.

Confira a programação completa do evento e saiba mais informações sobre como se inscrever:

MY INOVA SUMMIT 2018

ROI Gestão Identidade e Acessos – Como provar o valor para implantar?

ROI Gestão Identidade e Acessos – Como provar o valor para implantar?

Veja como obter uma estimativa de investimento e retorno para seus projetos de Gestão de Identidade e Acessos.

Você já se deu conta do quanto tempo e dinheiro é gasto para administrar acessos em sua empresa? Além disso, gerenciar contas, logins, hierarquização de acessibilidades e outras ações influenciam bastante no dia a dia de sua organização, bem como em seus orçamentos. Portanto, a solução está na Gestão Identidade e Acessos!

A importância do Sistema de Gestão de Identidade e Acessos

Em 2015, 150 melhores empresas no Brasil chegaram à média de 23,2% de demissões. Enquanto em 2016, a média de corte foi de 17%. Além disso, demissões voluntárias e involuntárias foram de 228.256 em 2015 a 167.823 em 2016. *

Imagine então como a taxa de turnover nestes anos aumentou radicalmente…

Neste momento, como fazer com logins, senhas, acessos e informações compartilhadas por diversas pessoas em seus sistemas?

Outra pesquisa realizada pela Microsoft mostrou que apenas 1 funcionário habitual precisa decorar ao menos 7 logins em sua empresa.

Essa rotatividade pode comprometer diversos aspectos de sua organização, como custos com TI para cancelamento e renovação de senhas, gerenciamento de níveis de acessos, gestão de risco e compliance.

Além disso, dados e informações podem tornar-se vulneráveis com a falta de controle e níveis inadequados de acessos.

E claro, todas essas questões podem influenciar na otimização e produtividade, com aumento da demanda de solicitações para a equipe de TI.

Por isso, uma Gestão de Identidade e Governança é a solução ideal.

Afinal, este sistema oferecido pela E-TRUST é uma plataforma integrada para total controle de acessos, Single Sign-On, Governança e Provisionamento com fluxos automatizados.

O melhor é que, ao implementar a Gestão de Identidade da E-TRUST, você dispensa altos investimentos em infraestrutura e garante redução de custos operacionais, pois outros sistemas de GIA exigem altos investimentos em infra.

Um estudo realizado pela consultoria IDC, com apoio da Associação Brasileira das Empresas de Software, mostrou que os investimentos em tecnologia da informação no Brasil, por exemplo, tiveram um aumento de 9,2% em 2015.

A média global foi de 5,6%. Isso porque, cada vez mais as instituições buscam por soluções para ampliar produtividade e reduzir gastos. E é aí que está a importância de uma Gestão de Identidade! *

* Fonte: Revista Você S/A ed. outubro 2016

Quer saber mais?

Pensando em como reduzir custos, fraudes e aumentar sua segurança, elaboramos um conteúdo exclusivo!

Em um e-book inédito, você encontrará:

  • Como estimar o ROI de um projeto de Gestão de Identidade, como a Horacius, da E-TRUST;
  • O que sua Gestão de Identidade deve conter;
  • Calculadora de Economia,
  • E muito mais!

Baixar e-book