(11) 5521-2021 [email protected]
E-TRUST presente no Fórum RNP 2018 no debate sobre Gestão de Identidade no meio acadêmico

E-TRUST presente no Fórum RNP 2018 no debate sobre Gestão de Identidade no meio acadêmico

Vice-presidente da E-TRUST aborda a importância da Gestão de Identidade (GIA) no meio acadêmico

Com o tema “Patrimônio Digital, dados abertos e tecnologias de memória” a 5ª edição do Fórum RNP, promovido pela Rede Nacional de Ensino e Pesquisa, levou em dois dias de evento assuntos políticos e estratégicos para o setor de Tecnologia da Informação e Comunicação.

E para o primeiro dia de evento, o vice-presidente da E-TRUST, Mauro Souza, participou do painel com o tema “A confiança auditada: Novas perspectivas na Gestão de Identidade no meio acadêmico”.

Mauro abordou sobre como o mercado está vendo a Transformação Digital e a Gestão de Identidades e Acessos e como a governança e boas práticas podem ajudar aos órgãos de pesquisas e universidade a entregarem melhores resultados e melhores condições para alunos e pesquisadores.

Assista ao debate na íntegra no vídeo abaixo

Mauro Souza Vice-Presidente da E-TRUST no Fórum RNP 2018
E-TRUST é presença confirmada na 7ª edição do My Inova Summit

E-TRUST é presença confirmada na 7ª edição do My Inova Summit

E-TRUST é presença confirmada no My Inova Summit 2018

A E-TRUST estará presente na 7ª edição do My Inova Summit (antigo Parana TIC), que reúne grandes oportunidades para gestores e profissionais de engenharia de software.

Entre os dias 1 e 3 de agosto acontecerá em Foz do Iguaçu, o evento realizado pela Assespro, trará tendências em tecnologia, inovação em empreendedorismo e startups.

O circuito de aprendizado apresenta diversos novos debates, sustentados por especialistas nacionais e internacionais. Entre eles estará o vice-presidente da E-TRUST, Mauro Souza que participará do painel, no último dia do evento às 10h, com o tema: “Em tempos de Transformação Digital, como o Machine Learning e a Inteligência Artificial estão moldando o futuro da Gestão de Identidades”.

O sócio-fundador da E-TRUST, Mauro Souza, reúne diversas especializações, entre eles, Gestão de Identidades e Governança, possui mais de 20 anos de experiência em Segurança da Informação e é pioneiro na implantação no Brasil de controles de segurança compatíveis com boas práticas internacionais. Além disso, possui certificações em CISSP, CISM, CISA e LA27001.

Confira a programação completa do evento e saiba mais informações sobre como se inscrever:

MY INOVA SUMMIT 2018

ROI Gestão Identidade e Acessos – Como provar o valor para implantar?

ROI Gestão Identidade e Acessos – Como provar o valor para implantar?

Veja como obter uma estimativa de investimento e retorno para seus projetos de Gestão de Identidade e Acessos.

Você já se deu conta do quanto tempo e dinheiro é gasto para administrar acessos em sua empresa? Além disso, gerenciar contas, logins, hierarquização de acessibilidades e outras ações influenciam bastante no dia a dia de sua organização, bem como em seus orçamentos. Portanto, a solução está na Gestão Identidade e Acessos!

A importância do Sistema de Gestão de Identidade e Acessos

Em 2015, 150 melhores empresas no Brasil chegaram à média de 23,2% de demissões. Enquanto em 2016, a média de corte foi de 17%. Além disso, demissões voluntárias e involuntárias foram de 228.256 em 2015 a 167.823 em 2016. *

Imagine então como a taxa de turnover nestes anos aumentou radicalmente…

Neste momento, como fazer com logins, senhas, acessos e informações compartilhadas por diversas pessoas em seus sistemas?

Outra pesquisa realizada pela Microsoft mostrou que apenas 1 funcionário habitual precisa decorar ao menos 7 logins em sua empresa.

Essa rotatividade pode comprometer diversos aspectos de sua organização, como custos com TI para cancelamento e renovação de senhas, gerenciamento de níveis de acessos, gestão de risco e compliance.

Além disso, dados e informações podem tornar-se vulneráveis com a falta de controle e níveis inadequados de acessos.

E claro, todas essas questões podem influenciar na otimização e produtividade, com aumento da demanda de solicitações para a equipe de TI.

Por isso, uma Gestão de Identidade e Governança é a solução ideal.

Afinal, este sistema oferecido pela E-TRUST é uma plataforma integrada para total controle de acessos, Single Sign-On, Governança e Provisionamento com fluxos automatizados.

O melhor é que, ao implementar a Gestão de Identidade da E-TRUST, você dispensa altos investimentos em infraestrutura e garante redução de custos operacionais, pois outros sistemas de GIA exigem altos investimentos em infra.

Um estudo realizado pela consultoria IDC, com apoio da Associação Brasileira das Empresas de Software, mostrou que os investimentos em tecnologia da informação no Brasil, por exemplo, tiveram um aumento de 9,2% em 2015.

A média global foi de 5,6%. Isso porque, cada vez mais as instituições buscam por soluções para ampliar produtividade e reduzir gastos. E é aí que está a importância de uma Gestão de Identidade! *

* Fonte: Revista Você S/A ed. outubro 2016

Quer saber mais?

Pensando em como reduzir custos, fraudes e aumentar sua segurança, elaboramos um conteúdo exclusivo!

Em um e-book inédito, você encontrará:

  • Como estimar o ROI de um projeto de Gestão de Identidade, como a Horacius, da E-TRUST;
  • O que sua Gestão de Identidade deve conter;
  • Calculadora de Economia,
  • E muito mais!

Baixar e-book

Qual o nível de proteção da sua empresa? Faça o teste gratuito e tenha o resultado na hora!

Qual o nível de proteção da sua empresa? Faça o teste gratuito e tenha o resultado na hora!

Faça o teste e descubra: Como a Segurança da Informação de sua empresa está protegendo dados vitais?

Cada vez mais existem novos desafios ligados à Segurança da Informação, certo? A constante transformação da tecnologia, influenciada pelo uso da internet e de aplicativos mobile, intensificou ainda mais esta preocupação.

Os serviços de TI podem servir, por exemplo, como recurso para hackers cometerem crimes eletrônicos e fraudes no ambiente interno ou em terceiros.

Exemplo disso são as diversas notícias que circulam diariamente, como:

  • Hackers roubam dados de 29 mil clientes da corretora XP Investimentos (Folha de SP);
  • Rede de lojas Target paga US$ 39 milhões para encerrar o processo de vazamento de dados (CNN);
  • Sony Pictures vai pagar até US$ 8 milhões em ação sobre invasão de sistemas (Wall Street Journal).

Diante disso, o uso do ambiente digital e a troca frequente de informações faz com que precisemos nos atentar cada vez mais aos níveis de proteção da organização.

Então, como saber a vulnerabilidade de sua empresa e seu nível de segurança?

Pensando na melhor forma de ajudar você a identificar os problemas e apontar soluções para manter a sua empresa segura, nós criamos um teste rápido, simples e fácil de diagnosticar. Clique no botão abaixo e faça o teste imediatamente!

Descubra o nível de segurança da sua empresa

Depois de responder ao teste, você pode analisar suas respostas e verificar suas necessidades com nossas dicas.

 

A E-TRUST é especialista em soluções de tecnologia em Segurança e Gestão de Identidade e está preparada para te auxiliar na proteção de sua organização, tanto na Gestão de Identidade e Governança, quanto na análise de risco e inteligência de segurança.

Saiba mais sobre Gestão de Risco

Compartilhe:

Cybersegurança, por onde começar? Saiba como prevenir ataques em pequenas, médias e grandes empresas.

Cybersegurança, por onde começar? Saiba como prevenir ataques em pequenas, médias e grandes empresas.

Em 2013 a rede americana de varejo Target foi atacada por um grupo organizado de “cybercriminosos” e teve roubada a identidade e dados de cartão de crédito de mais de 100 milhões de clientes. Além de manchar a imagem da empresa, o ataque resultou também em perdas financeiras de dezenas de milhões de dólares.

Mas a Target não é uma grande corporação e, sendo assim, não deveria ter tecnologia e controles para protege-la de um desastre como esse? Sim, a Target acreditava que tinha tudo sob controle, mas desconsiderou alguns riscos. O ataque – mais tarde se comprovou – foi feito por meio da rede de um fornecedor que prestava serviços de manutenção nos sistemas de ar condicionado das lojas.

Esse fato leva a duas conclusões: A primeira é que uma grande corporação precisa também se preocupar com a cadeia de suprimentos e de clientes que a sustenta. O elo mais fraco pode estar numa pequena empresa com a qual são mantidos negócios e que por isso faz parte do seu ambiente digital corporativo.

A segunda conclusão é a de que empresas menores, que podem ter a impressão de que não são alvos de cybercrimes, devem começar a se autoavaliar como parte de um todo maior, se querem ter como clientes grandes empresas. Devem, principalmente, pensar que podem servir de ponte para que um ataque chegue a um cliente.

As grandes empresas estão percebendo cada vez mais esse risco e já começam a fazer exigências de cybersegurança para as companhias menores que são fornecedoras de serviços.

Mas sendo uma empresa de pequeno ou mesmo médio porte, como saber o que deve ser feito? Por onde começar? A primeira imagem que surge é a da necessidade da aquisição de ferramentas e equipamentos caros, firewalls com tecnologia de ponta, plataformas para detectar invasões e outros itens nessa linha.

Sem dúvida, ferramentas representam um item importante e não vão faltar fabricantes explicando que não é possível sobreviver sem determinada tecnologia. Muitas vezes eles estão certos, mas antes de pensar em tecnologia e produtos é preciso pensar em processos e controles.

A melhor relação custo-benefício será obtida pelas pequenas e médias empresas que inicialmente pensarem a segurança da informação de forma sistêmica. Uma avaliação inicial de controles baseada num quadro que contemple o conjunto das melhores práticas, permitirá que se entenda por onde começar e quais controles fazem mais sentido para o momento vivido pelo negócio.

O resultado vem na forma da implantação de políticas, processos e rotinas de controle. Esses elementos, que muitas vezes não exigem investimentos, fazem toda a diferença no aumento do nível de segurança do ambiente.

Em resumo, é fato que para algumas áreas o desenvolvimento de um controle pode exigir a aquisição de uma plataforma ou a contratação de um serviço, mas esse raramente é o primeiro passo. O mais certo a ser feito, antes de qualquer investimento, é uma avaliação do quadro completo de necessidades para verificar se o nível de Cybersegurança pode evoluir, desenvolvendo os recursos que já existem.

 

Deseja saber se a sua empresa está segura? Faça o teste gratuito e descubra o nível de cybersegurança da sua empresa.

Como a Gestão de Identidade pode ajudar a manter as empresas em conformidade com o GDPR?

Como a Gestão de Identidade pode ajudar a manter as empresas em conformidade com o GDPR?

A Gestão de identidade ajuda as organizações a atender aos requisitos de GDPR (Regulamento Geral de Proteção de Dados ou em inglês General Data Protection Regulation) de maneira sustentável e econômica, fornecendo visibilidade centralizada e controle sobre “quem tem acesso a quê”. Ele oferece um mapeamento de quais usuários, em quais funções, podem acessar aplicativos e dados (dados estruturados e não estruturados).

Os principais elementos da Gestão de identidades – governança de acesso a dados, controles de conformidade, provisionamento automatizado, gestão de logs e gerenciamento de senhas – desempenham papéis importantes na identificação de dados pessoais, protegendo esses dados e demonstrando a conformidade com o Regulamento Geral de Proteção de Dados – em toda a organização.

  • Governança de acesso a dados: automatiza o monitoramento de atividades para melhorar a mitigação de riscos e entender o uso apropriado. Garante que direitos não autorizados, como as contas órfâs, proliferem nos sistemas, gerando risco e não formidades.
  • Controles de conformidade: permite que as organizações definam e apliquem políticas de acesso, conduzam revisões regulares de acesso pelos proprietários de dados e revoguem automaticamente o acesso inadequado. Fornece relatórios centralizados de todos os controles preventivos e de detecção.
  • Provisionamento automatizado: garante que o acesso a dados pessoais seja concedido apenas com base na necessidade de acesso devidamente aprovada. Adicionalmente fornece o fluxo de trabalho para as necessárias alterações e revogações.
  • Gestão de Logs: coleta e mantém em local seguro, os registros das atividades, na forma de logs de auditoria dos principais sistemas. Relatório de atividades elaborado com base nos logs armazenados garante a rastreabilidade das atividades de aceso aos dados.
  • Gerenciamento de senhas: aplica políticas de senhas fortes em todos os sistemas que contêm dados pessoais. Aumenta a segurança e facilidade de uso, via um portal de troca de senha.

Saiba como o GPDR impacta os profissionais de Segurança da Informação

As áreas específicas em que a Gestão de identidade pode ajudar as organizações a se preparar e atender aos requisitos de GDPR são mostradas abaixo:

Princípios de Proteção de Dados Pessoais

O principal objetivo do GDPR é a privacidade: a proteção de dados pessoais. Isso significa que o foco agora está em como as organizações processam, armazenam e protegem dados pessoais. Para atender aos requisitos do GDPR, as organizações devem demonstrar conformidade com os princípios de proteção de dados definidos no Artigo 5º.

 

Artigo 5º do GDPRPrincípios de Proteção de Dados O dado pessoal deve ser:

  • Processado de forma legal, justa e transparente.
  • Recolhidos para finalidades específicas, explícitas e legítimas e não processados ​​posteriormente de maneira incompatível com esses propósitos.
  • O acesso deve ser adequado, relevante e limitado àqueles que são necessários em relação aos fins para os quais eles são processados.
  • Exato e, quando necessário, atualizado; Controles e processos devem existir para garantir que os dados pessoais que são imprecisos sejam apagados ou corrigidos.
  • Mantido de uma forma que permita a identificação dos titulares de dados, mas não mais do que o necessário para atender os fins para os quais os dados pessoais são processados.
  • Processado de uma maneira que garanta a segurança apropriada dos dados pessoais, incluindo proteção contra: processamento não autorizado ou ilegal, perda, destruição ou dano acidental.
Como a governança de identidades pode ajudar  Fornece visibilidade:

  • Quais dados pessoais estão sendo armazenados?
  • Onde e como é armazenado?
  • Quem é o responsável?
  • Quem pode acessar os dados?
  • Quem acessou?
  • Quando os direitos de acessos aos dados expiram? Controla e protege dados pessoais
  • Alerta para direitos de acessos aos dados pessoais que não foram utilizados ​​em um período de tempo especificado.
  • Remove os direitos de acesso que expiraram.
  • Atribui proprietários ou responsáveis pelo acesso aos dados e realiza revisões regulares dos perfis de acesso.
  • Mantém os direitos de acesso aos dados pessoais no mínimo necessário, com perfis de acesso e segregação de funções.
  • Detecta e revoga direitos de acesso inadequados.

 

 

 

Protegendo Dados Pessoais

O GDPR exige que as organizações implementem medidas técnicas e organizacionais apropriadas para proteger os dados pessoais. Em particular, as organizações devem prever desde o inicio do projeto, medidas para garantir a conformidade da proteção de dados. Isso significa que, para cada produto ou serviço novo ou já existente, as organizações devem garantir que o produto ou serviço seja projetado tendo em mente a conformidade com a proteção de dados.

Artigos 25 e 32 do GDPR

Proteção de dados, por padrão, desde o início. 

O responsável pela guarda dos dados deve, tanto no momento da determinação dos meios de processamento como no processamento, implementar medidas técnicas e organizacionais adequadas, concebidas para aplicar os princípios de proteção de dados, de forma eficaz. Implantar e integrar as salvaguardas necessárias no processamento, a fim de satisfazer os requisitos do presente regulamento e proteger os direitos dos titulares dos dados.

Segurança de dados

O responsável pelo tratamento e o subcontratante devem implementar medidas técnicas e organizacionais adequadas para garantir um nível de segurança adequado ao risco, incluindo, conforme adequado:

  • A pseudonimização e criptografia de dados pessoais.
  • A capacidade de garantir a confidencialidade, integridade, disponibilidade e resiliência contínuas dos sistemas e serviços de processamento.
  • A capacidade de restaurar a disponibilidade e o acesso a dados pessoais em tempo hábil no caso de um incidente físico ou técnico.
  • Um processo para testar, avaliar e avaliar regularmente a eficácia das medidas técnicas e organizacionais para garantir a segurança do processamento.

 

 

 

Como a governança de identidades pode ajudar

Fortalece os controles

  • Fornece visibilidade centralizada dos modelos de controle de acesso para todos os recursos que armazenam e processam dados pessoais.
  • Atribui de forma discrecionária os direitos de acesso aos recursos, sistemas ou pastas que contêm dados pessoais.
  • Permite a revisão totalmente automatizada dos direitos de acesso em todos os recursos que contêm dados pessoais.
  • Varre recursos automaticamente para descobrir e relatar qualquer violação da política de acesso, como por exemplo: direitos não autorizados.Garante o acompanhamento contínuo
  • Usa o controle de acesso baseado regras de negócio, permitindo atribuir perfis de acordo com a função, para garantir que o acesso a dados pessoais seja concedido em uma base de necessidade de conhecimento (“privilégio mínimo”).
  • Detecta automaticamente alterações, como transferências ou encerramentos, e inicia o fluxo de trabalho apropriado para revisar, remover ou alterar privilégios de acesso.•          Requer aprovação do gerente ou do proprietário dos dados para as concessões ou alterações de acesso.
  • Registra as solicitações de acesso bem como as aprovações, fornecendo um registro completo e auditável de quem solicitou acesso a quais sistemas e quem aprovou ou negou a solicitação.
  • Fornece relatórios para permitir a autoavaliação e comprovação de conformidade com o GDPR

 

 

Monitoramento e Detecção

O GDPR exige que as organizações implementem medidas para relatar violações de dados às Autoridades de Processamento de Dados (DPAs) e, em alguns casos, aos sujeitos de dados. O regulamento concede às empresas 72 horas a partir do momento em que tomam conhecimento de uma violação para denunciá-lo. As organizações precisarão estar preparadas para divulgar imediatamente detalhes específicos sobre os indivíduos afetados, a duração da violação e quaisquer ações corretivas tomadas.

Artigos 33 e 34 do GDPR

Relatório de violações de dados para os DPAs

  • Controladores – No caso de uma violação de dados, o controlador deve informar a violação ao DPA, até 72 horas após tomar conhecimento do mesmo. O controlador deve manter registros de todas as violações de dados, incluindo os fatos e efeitos da violação e qualquer ação corretiva tomada.
  • Processadores – Os processadores devem notificar imediatamente ao controlador, qualquer violação das regras de acesso aos dados. Como reportar violações de dados a sujeitos de dados? No caso de uma violação que cause um risco para os titulares de dados, o responsável pelo tratamento deve notificar os titulares de dados afetados. No entanto, o controlador pode estar isento deste requisito se:
  • O risco de dano é remoto porque os dados afetados são protegidos (por exemplo, por criptografia forte);
  • O controlador tomou medidas para proteger contra os danos (por exemplo, suspendendo contas afetadas); ou a notificação exige um esforço desproporcional (caso em que o controlador deve emitir um aviso público da violação).

 

 

 

Como a governança de identidades, quando integrada com a gestão de logs de acesso pode ajudar?

Automatiza a Detecção 

  • Monitora quem está acessando dados pessoais, quando, de onde e que tipos de operações estão realizando.
  • Permite a definição personalizada de perfis de acesso e monitoração para identificar eventuais violações.
  • Notifica e alerta os proprietários e gerentes de dados sobre quaisquer violações ou anomalias detectadas.
  • Automatiza remediações quando violações são detectadas, por exemplo, a revogação de um acesso não autorizado.
  • Permite que os proprietários de dados executem verificações de status de risco em tempo real sobre os dados que eles gerenciam. Fornece Auditoria Completa e Forense
  • Fornece as trilhas de auditoria necessárias para conduzir a análise forense no caso de uma violação de dados.
  • Registra todas as alterações no acesso, fornecendo um registro completo e auditável de quem solicitou acesso a quais sistemas e quem aprovou ou negou a solicitação.
  • Fornece relatórios de auditoria com visualizações detalhadas de todas as atividades de acesso a dados, alterações de permissão e possíveis atividades não compatíveis.

 

 

Requisitos de documentação de conformidade

O GDPR exige que as organizações mantenham um Registro Interno para documentar todas as atividades de processamento de dados pessoais. Essas regras exigem que os controladores e processadores criem um registro centralizado que documente as atividades de processamento de dados e descrevam as medidas de segurança técnica e organizacional tomadas para proteger os dados pessoais.

As organizações também devem verificar a necessidade de executar uma Avaliação de Impacto de Privacidade (PIA), para identificar e marcar dados pessoais de “alto risco”. Este requisito acrescenta a necessidade de demonstrar que medidas apropriadas foram implementadas com relação à identificação dos riscos relacionados ao processamento, a avaliação da natureza, probabilidade e gravidade do risco, bem como a documentação das melhores práticas implementadas para mitigar riscos.

Artigos 30 e 35 do GDPR 

Registro de processamento para controladores

Cada controlador deve manter registros das atividades, incluindo:

  • As categorias de titulares de dados e dados pessoais processados.
  • As categorias de destinatários com quem os dados podem ser compartilhados.
  • Uma descrição das medidas de segurança implementadas em relação aos dados processados.

Avaliação de impacto de privacidade

Os controladores devem realizar avaliações de impacto na privacidade, onde um tipo de processamento pode resultar em um alto risco para os direitos e liberdades dos indivíduos. Um PIA deve incluir:

  • Uma descrição das operações de processamento e finalidades do processamento.
  • Uma avaliação dos riscos para os direitos e liberdades dos titulares dos dados
  • Medidas previstas para enfrentar os riscos. Se uma PIA indicar que o processamento resultaria em um alto nível de risco, na ausência de medidas tomadas pelo controlador para mitigar o risco, o controlador deve consultar a Autoridade Supervisora ​​antes do processamento.

 

Como a governança de identidades pode ajudar

Simplifica os requisitos de relatório

  • Registra e fornece rastreabilidade dos locais utilizados para armazenamento de dados, como servidores de arquivos, portais, caixas de correio e pastas na nuvem.
  • Fornece visibilidade completa dos perfis de controle de acesso para cada recurso que armazena ou processa dados pessoais.•          Sinaliza os perfis que concedem acesso a dados pessoais de alto risco.
  • Lista pessoas com perfis concedidos que permitem acesso a dados de alto risco.  Avalia e mitiga o risco
  • Automatiza a revisão periódica do acesso a dados pessoais por gerentes e proprietários de dados.
  • Fornece relatórios detalhados de cada ciclo de revisão de acesso, incluindo acesso inadequado detectado, revogações de acesso e violações de política detectadas e corrigidas.
  • Usa controle de acesso baseado em função para garantir que o acesso a dados pessoais seja concedido em uma base de necessidade de conhecimento (“privilégio mínimo”)
  • Aplica políticas de senhas fortes em todos os sistemas que contêm dados pessoais.
  • Varre recursos automaticamente para descobrir e relatar violações da política de acesso, como contas orfâs e direitos não revisados.
  • Fornece relatórios para permitir a autoavaliação e fornecer comprovação de conformidade com o GDPR.

 

Ao implementar uma solução de governança de identidade, a organização não está apenas em conformidade com o GDPR, mas também está se preparando para atenuar os riscos de uma violação de dados.

Ou seja, cada vez mais a segurança e a agilidade dos processos de negócio depende diretamente da gestão dos direitos de acesso aos sistemas da empresa. Listado desde 2011 no Gartner Magic Quadrant for Identity Governance and Administration e com a maior base instalada do Brasil, o HORACIUS é a solução de Gestão de Identidades e Governança mais completa do mercado.

Nossa Gestão de Identidade HORACIUS pode ser integrado com os principais sistemas de Recursos Humanos do mercado, sincronizando informações e executando tarefas vitais para o bom andamento dos negócios. Todo o histórico de direitos das pessoas aos sistemas é gerenciado, desde o primeiro acesso, no momento da admissão, até a revogação dos direitos no final do vínculo.

Arquivo