Apresentação - Cibersegurança, Gestão de Risco e Adoção de ...
Grupo Técnico de Cibersegurança · Grupo Técnico de Cibersegurança (3) Componentes do Programa:...
Transcript of Grupo Técnico de Cibersegurança · Grupo Técnico de Cibersegurança (3) Componentes do Programa:...
Grupo Técnico de Cibersegurança1°Pesquisa ANBIMA de Cibersegurança | 2017
Grupo Técnico de Cibersegurança
Aplicação da pesquisa – ação realizada pelo subgrupo 2
• Envio para 262 instituições (30/8 a 22/9);
– Assets (117 instituições) envio de 2 pesquisas (3° Ed. da pesquisa IOSCO/AMCC-ICI);
Estrutura do questionário - Guia de Cibersegurança ANBIMA reformulado como benchmark
• Dados da instituição;
• Programa de Segurança Cibernética – Informações Gerais
• Programa de Segurança Cibernética - Componentes:
– 1 - Identificação / Avaliação de riscos;
– 2 - Ações de Prevenção e Proteção;
– 3 - Monitoramento e Testes;
– 4 - Criação do Plano de Resposta; e
– 5 - Reciclagem e Revisão
Resultados da Pesquisa em Cibersegurança junto aos Associados
2
Grupo Técnico de Cibersegurança
(1) Dados da Instituição
• 151 respondentes (58% do total de 262 instituições que receberam a pesquisa)
Resultados da Pesquisa em Cibersegurança junto aos Associados
3
Sim83%
Não17%
Sua instituição contrata serviços terceirizados de TI?
11%
46%
20%
16%
7%
1-10
11 -100
101-500
501-5000
5001 ou mais
Porte (n° de funcionários)
21%
65%
69%
75%
Outras
Desenvolvimento
Suporte
Infraestrutura
Se SIM, em quais áreas?
Sim55%
Não45%
Se SIM, exige relatório periódico para acompanhamento de qualidade?
6%
16%
32%
46%
Demais instituições
Corretora e Distribuidora
Banco
Asset
Tipo de instituição
Grupo Técnico de Cibersegurança
(2) Programa de Segurança Cibernética – Informações Gerais
Resultados da Pesquisa em Cibersegurança junto aos Associados
Sim71%
Não29%
Sua instituição tem um programa formal de segurança cibernética?
73%
28%
Sim Não
0%
10%
20%
30%
40%
50%
60%
70%
80%
Se NÃO, ele está no planejamento da instituição ou em fase de elaboração?
43%
29% 29%
0%
20%
40%
60%
12 meses 6 meses outros
Em quantos meses será implementado?
81%
18%
1%
0 a 12 meses 12 a 24 meses Outro
0%
20%
40%
60%
80%
100%
Se SIM, qual foi a data da última atualização?
89%
11%
Sim Não
0%
50%
100%
Se SIM, há alguma periodicidade de revisão?
0 a 12 meses 79%
12 a 24 meses 19%
Outro 1% 4
Grupo Técnico de Cibersegurança
(3) Componentes do Programa: 1 - Avaliação de riscos (Risk assessment)
Resultados da Pesquisa em Cibersegurança junto aos Associados
84%
16%
Sim
Não
Sua empresa realiza processo de Avaliação de Riscos?
Identifica todos os ativos relevantes da instituição (equipamentos, sistemas, dados ou processos) 80%
Avalia as vulnerabilidades dos ativos em questão, identificando as possíveis ameaças e o grau de exposição dos ativos a elas.
80%
Mensura os possíveis impactos financeiros, operacionais e reputacionais, e expectativa de tais eventos. 59%
Determina e utiliza metodologia para avaliações de risco cibernético 48%
Elabora regras para a classificação das informações geradas pela instituição, permitindo com isso a implementação de processos para o devido manuseio, armazenamento, transporte e descarte dessas informações.
48%
Desenvolveu um comitê, fórum ou grupo específico para tratar de cibersegurança 42%Asset – 27%
5
Grupo Técnico de Cibersegurança
(3) Componentes do Programa: 2 - Ações de Prevenção e Proteção
Resultados da Pesquisa em Cibersegurança junto aos Associados
99%
1%
Sim
Não
Sua instituição adota ações de prevenção e proteção, uma vez definidos os riscos?
• Implementa serviço de backup dos diversos ativos da instituição. 99%
• Controle de acesso aos ativos das instituições 96%
• Segurança de borda, nas redes de computadores, através de firewalls e outros mecanismos de filtros de pacotes. 95%
• Implementa recursos anti-malware nas estações e servidores de rede, como antivírus e firewalls pessoais. 95%
• Restrição de acesso físico nas áreas com informações críticas/sensíveis. 92%
• Cria logs e trilhas de auditoria sempre que os sistemas permitem. 90%
• Regras mínimas na definição de senhas de acesso a dispositivos corporativos, sistemas e rede 89%
• Concessão de acesso limitado a apenas recursos relevantes para o desempenho das atividades. 89%
• Concessão de acesso implementada de forma a ser revogada rapidamente quando necessário. 85%
• Os eventos de logins e alteração de senhas são auditáveis e rastreáveis. 81%
• Realiza teste em ambientes de homologação e de prova de conceito, antes do envio à produção. 81%
• Implementa segregação de serviços sempre que possível, restringindo-se o tráfego de dados apenas entre os equipamentos relevantes. 80%
• Ao incluir novos equipamentos e sistemas em produção, garante que sejam feitas configurações seguras de seus recursos. 78%
• Controles visando impedir a instalação e execução de software e aplicações não autorizadas 74%
• Considera questões de segurança já durante as fases, pré-projeto e o desenvolvimento de novos sistemas, softwares ou aplicações. 73%
• Realiza diligência na contratação de serviços com terceiros, com devida avaliação de questões jurídicas, cláusulas de confidencialidade e exigência de controles de segurança na própria estrutura dos terceiros. 72%
• Utiliza gerenciador de senhas para evitar o uso da mesma senha para facilitar a memorização em vários serviços. 44%
6
Grupo Técnico de Cibersegurança
(3) Componentes do Programa: 2 - Ações de Prevenção e Proteção
Resultados da Pesquisa em Cibersegurança junto aos Associados
75%
25%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Possui algum serviço ou ativo da instituição localizado externamente em nuvem?- Todas as instituições
Não Sim
90%10%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Para Assets valor ainda maior:
7
Grupo Técnico de Cibersegurança
(3) Componentes do Programa: 2 - Ações de Prevenção e Proteção
Resultados da Pesquisa em Cibersegurança junto aos Associados
21%
36%
60%
35%
Ativos Sistemas críticos Dados Outros.
0%
10%
20%
30%
40%
50%
60%
70%
Se possui algum serviço ou ativo localizado em nuvem, quais são?
Outros, como:• Backup de arquivos;• E-mail;• Serviços executados com
sistemas de terceiros;• Servidores;• Sistema;• Sistemas não críticos;• Website;• Controles Financeiros.
8
Grupo Técnico de Cibersegurança
(3) Componentes do Programa: 2 - Ações de Prevenção e Proteção
Resultados da Pesquisa em Cibersegurança junto aos Associados
86%
14%
Sim Não
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
Ao contratar serviço em nuvem, garante que sejam feitas configurações seguras de seus recursos (por exemplo "Hardening")?
68%
32%
Sim Não
0%
10%
20%
30%
40%
50%
60%
70%
80%
Ao contratar serviço em nuvem, realiza diligência com terceiros na
nuvem?
9
Grupo Técnico de Cibersegurança
(3) Componentes do Programa: 3 - Monitoramento e Testes
Resultados da Pesquisa em Cibersegurança junto aos Associados
83%
17%
Sim
Não
Sua instituição adota ações de monitoramento e testes para detectar ameaças em tempo hábil?
Mantém os sistemas operacionais e softwares de aplicação sempre atualizados. 91,57%
Monitora diariamente as rotinas de backup, executando testes regulares de restauração dos dados. 90,36%
Mantém inventários atualizados de hardware e software, e os verifica com frequência 80,72%
Cria mecanismos de monitoramento de todas as ações de proteção implementadas. 74,70%
Analisa logs e trilhas de auditoria criados 68,67%
Testa o plano de resposta a incidentes, simulando os cenários especificados durante sua criação. 50,60%
- Se SIM, qual a periodicidade? 14% entre 1 a 3 meses;43% em 6 meses; 43% em 12 meses
Utiliza ferramentas de centralização e análise de logs. 45,78% 10
Grupo Técnico de Cibersegurança
(3) Componentes do Programa: 3 - Monitoramento e Testes
Resultados da Pesquisa em Cibersegurança junto aos Associados
Sim53%
Nâo47%
Sua instituição já realizou testes externos de penetração no último ano?
80%
20%
0%
20%
40%
60%
80%
100%
0 a 12 meses 12 a 24 meses
Se SIM, qual é a periodicidade dos testes de penetração?
84%
16%
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
Terceiros Internos
Se SIM, o teste foi realizado por:
77%
23%
0%
20%
40%
60%
80%
100%
Sim Não
Se NÃO, há algum plano prevendo a realização
desse teste?
Apenas Assets:- SIM: 37%- NÃO: 63%
11
Grupo Técnico de Cibersegurança
(3) Componentes do Programa: 3 - Monitoramento e Testes
Resultados da Pesquisa em Cibersegurança junto aos Associados
Sim63%
Não37%
Sua instituição já realizou testes internos de penetração?
73%
21%
6%
0%
10%
20%
30%
40%
50%
60%
70%
80%
0 a 12 meses 12 a 24 meses Outro
Se SIM, qual é a periodicidade dos testes de penetração?
50% 50%
0%
10%
20%
30%
40%
50%
60%
Terceiros Internos
Se SIM, o teste foi realizado por:
42%
58%
0%
10%
20%
30%
40%
50%
60%
70%
Sim Não
Se NÃO, há algum plano prevendo a realização desse
teste?
12
Grupo Técnico de Cibersegurança
(3) Componentes do Programa: 3 - Monitoramento e Testes
Resultados da Pesquisa em Cibersegurança junto aos Associados
Sim44%
Não56%
Sua instituição realizou exercício de phishing no último ano?
Apenas Assets:- SIM: 29%- NÃO: 71%
13
Grupo Técnico de Cibersegurança
(3) Componentes do Programa: 4 - Criação do Plano de Resposta
Resultados da Pesquisa em Cibersegurança junto aos Associados
75%
25%
Sim
Não
A sua instituição conta com plano de resposta para incidentes ou ataques cibernéticos?
92%
38%
26%
44%
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
Área de segurançatecnológica
Departamentojurídico
Comunicação Outros
Quais são as áreas envolvidas na elaboração do plano?
Outros, como:• Compliance;• Desenvolvimento; • Riscos;• Infraestrutura;• Áreas de negócio;• Deptos. Operacional e Financeiro;• Operações e Back Office;
14
Grupo Técnico de Cibersegurança
(3) Componentes do Programa: 4 - Criação do Plano de Resposta
Resultados da Pesquisa em Cibersegurança junto aos Associados
Leva em consideração questões de Segurança e controles de acesso também nas instalações de contingência
95,79%
Apresenta plano de continuidade dos negócios e processos de recuperação e remediação 95,65%
Realiza o arquivamento de documentações relacionadas ao gerenciamento dos incidentes e ao plano de continuidade de negócios para servir como evidência em eventuais questionamentos
85,26%
Definição de papéis e responsabilidades dentro do plano de ação 78,02%
O plano leva em consideração os cenários de ameaças previstos na avaliação de risco 74,44%
Há critérios para classificação dos incidentes, por severidade 67,03%
15
Grupo Técnico de Cibersegurança
(3) Componentes do Programa: 5 - Reciclagem e Revisão
Resultados da Pesquisa em Cibersegurança junto aos Associados
77%
23%
Sim
Não
O Programa de Segurança Cibernética é revisado periodicamente, mantendo sempre atualizados as avaliações de risco, as implementações de proteção, os planos de resposta a incidentes e o monitoramento
dos ambientes?
86%
14%
Sim Não
0%
20%
40%
60%
80%
100%
Os grupos envolvidos se mantêm atualizados?
5%
56%
75%
85%
Outro
Participação em grupos de compartilhamentode informações
Fornecedores especializados
Esforço interno
Se grupos se mantêm atualizados, como a instituição obtém essas informações?
16
Grupo Técnico de Cibersegurança
(3) Componentes do Programa: 5 - Reciclagem e Revisão
Resultados da Pesquisa em Cibersegurança junto aos Associados
Há alguma orientação dos usuários a ter atenção especial antes de clicar em links recebidos 90,82%
Apresenta política de uso adequado da estrutura tecnológica, de forma independente ou como parte de um documento mais abrangente
86,46%
Promove e dissemina uma cultura de segurança, com a criação de canais de comunicação internos para divulgar o programa de segurança cibernética e treinamentos
75,51%
Define e mantém indicadores de desempenho (key performance indicators) que podem corroborar a conscientização e o envolvimento da alta administração e demais órgãos da instituição
29,90%
17
São PauloAv. das Nações Unidas, 8.501 21º andar
05425-070 São Paulo SP Brasil+ 55 11 3471 4200
Rio de JaneiroAv. República do Chile, 230 13º andar
20031-170 Rio de Janeiro RJ Brasil+ 55 21 3814 3800