frank meylan sócio kpmg são paulo, sp 20 de maio de 2008 conselho regional de administração de...
Post on 22-Apr-2015
105 Views
Preview:
TRANSCRIPT
Frank MeylanSócio KPMG
São Paulo, SP20 de maio de 2008
Frank MeylanSócio KPMG
São Paulo, SP20 de maio de 2008
Conselho Regional de Conselho Regional de Administração de São PauloAdministração de São Paulo
Fraudes e Governança em TIFraudes e Governança em TI
© 2008 KPMG International. KPMG International is a Swiss cooperative of which all KPMG firms are members. KPMG International provides no services to clients. Each member firm is a separate and independent legal entity and each describes itself as such. All rights reserved.
© 2008 KPMG International. KPMG International is a Swiss cooperative of which all KPMG firms are members. KPMG International provides no services to clients. Each member firm is a separate and independent legal entity and each describes itself as such. All rights reserved. 2
Currículo do PainelistaCurrículo do Painelista
NomeNome
XXXXXX
Frank MeylanFrank Meylan
Sócio – KPMG Risk Advisory Services Sócio – KPMG Risk Advisory Services
QualificaçõesQualificações
Frank é formado em Ciências da Computação pelo Instituto de Matemática Frank é formado em Ciências da Computação pelo Instituto de Matemática e Estatística da Universidade de São Paulo - IME – USPe Estatística da Universidade de São Paulo - IME – USP
Possui Mestrado e Doutorado pela Escola Politécnica da Universidade de Possui Mestrado e Doutorado pela Escola Politécnica da Universidade de São Paulo em redes de computadores e segurança da informação.São Paulo em redes de computadores e segurança da informação.
Obteve a certificação GIAC Certified Firewall Analyst pelo SANS Institute.Obteve a certificação GIAC Certified Firewall Analyst pelo SANS Institute.
Ministrou as disciplinas de Estruturação da Área de Segurança e Redes Ministrou as disciplinas de Estruturação da Área de Segurança e Redes TCP/IP nos programas de mestrado do IPEN (Instituto de Pesquisas TCP/IP nos programas de mestrado do IPEN (Instituto de Pesquisas Energéticas e Nucleares) e IPT (Instituto de Pesquisas Tecnológicas), Energéticas e Nucleares) e IPT (Instituto de Pesquisas Tecnológicas), respectivamente. Além disso, é responsável pela orientação de respectivamente. Além disso, é responsável pela orientação de dissertações de mestrados de diversos alunos.dissertações de mestrados de diversos alunos.
© 2008 KPMG International. KPMG International is a Swiss cooperative of which all KPMG firms are members. KPMG International provides no services to clients. Each member firm is a separate and independent legal entity and each describes itself as such. All rights reserved. 3
Governança e Fraudes em TIGovernança e Fraudes em TIGovernança e Fraudes em TIGovernança e Fraudes em TI
© 2008 KPMG International. KPMG International is a Swiss cooperative of which all KPMG firms are members. KPMG International provides no services to clients. Each member firm is a separate and independent legal entity and each describes itself as such. All rights reserved. 4
ConteúdoConteúdo
As ameaças de incidentes e fraudes em TIAs ameaças de incidentes e fraudes em TI
Ameaças externas – fraudes em aplicações WebAmeaças externas – fraudes em aplicações Web
Ameaças internas – principais causas de fraudes em sistemas Ameaças internas – principais causas de fraudes em sistemas corporativoscorporativos
As fraudes em TI podem ser evitadas ?As fraudes em TI podem ser evitadas ?
Aprimorando a Governança de TIAprimorando a Governança de TI
© 2008 KPMG International. KPMG International is a Swiss cooperative of which all KPMG firms are members. KPMG International provides no services to clients. Each member firm is a separate and independent legal entity and each describes itself as such. All rights reserved. 5
As ameaças de Incidentes e Fraudes em TIAs ameaças de Incidentes e Fraudes em TI
As fraudes em TI podem ocorrer de diferentes formas, As fraudes em TI podem ocorrer de diferentes formas, dependendo da atuação da empresa e de sua dependendo da atuação da empresa e de sua dependência tecnológica:dependência tecnológica:
Fraudes Internas:Fraudes Internas: fraudes cometidas por funcionários fraudes cometidas por funcionários ou colaboradores que possuem acesso às instalações ou colaboradores que possuem acesso às instalações da companhia.da companhia.
Fraudes ExternasFraudes Externas: fraudes executadas por pessoas : fraudes executadas por pessoas externas à companhia, porém utilizando recursos externas à companhia, porém utilizando recursos computacionais dela.computacionais dela.
© 2008 KPMG International. KPMG International is a Swiss cooperative of which all KPMG firms are members. KPMG International provides no services to clients. Each member firm is a separate and independent legal entity and each describes itself as such. All rights reserved. 6
Ameaças Externas – Fraudes em Aplicações WebAmeaças Externas – Fraudes em Aplicações Web
Atualmente podemos dividir as aplicações Web em duas Atualmente podemos dividir as aplicações Web em duas categorias:categorias:
InternosInternosERP, aplicações específicas, etc.ERP, aplicações específicas, etc.
Autenticação de usuários baseada em usuário e senhaAutenticação de usuários baseada em usuário e senha
Abrangência limitada aos funcionários internosAbrangência limitada aos funcionários internos
Servidores e estações protegidos pela política de segurança Servidores e estações protegidos pela política de segurança corporativacorporativa
ExternosExternosAplicações voltadas a clientes, fornecedores e parceiros externosAplicações voltadas a clientes, fornecedores e parceiros externos
Grande abrangência de utilizaçãoGrande abrangência de utilização
Ambiente de comunicação inseguro (Internet)Ambiente de comunicação inseguro (Internet)
© 2008 KPMG International. KPMG International is a Swiss cooperative of which all KPMG firms are members. KPMG International provides no services to clients. Each member firm is a separate and independent legal entity and each describes itself as such. All rights reserved. 7
Fraudes em Aplicações WebFraudes em Aplicações Web
As aplicações Web voltadas a Internet despertam maior interesse As aplicações Web voltadas a Internet despertam maior interesse sob a perspectiva de segurançasob a perspectiva de segurança
A maioria dos sistemas de comércio eletrônico operados por A maioria dos sistemas de comércio eletrônico operados por meio da Internet ainda são baseados em:meio da Internet ainda são baseados em:
SSL (SSL (Secure Socket LayerSecure Socket Layer) com autenticação apenas do servidor) com autenticação apenas do servidorAutenticação do cliente com Autenticação do cliente com login/senhalogin/senha
Entre estes sistemas destacam-se:Entre estes sistemas destacam-se:Internet BankingInternet BankingLojas VirtuaisLojas VirtuaisAplicações Governamentais (e-Gov)Aplicações Governamentais (e-Gov)Aplicações Médicas (resultados de exames laboratoriais)Aplicações Médicas (resultados de exames laboratoriais)
© 2008 KPMG International. KPMG International is a Swiss cooperative of which all KPMG firms are members. KPMG International provides no services to clients. Each member firm is a separate and independent legal entity and each describes itself as such. All rights reserved. 8
Fraudes em Aplicações WebFraudes em Aplicações Web
Breve histórico dos principais ataques e correspondentes Breve histórico dos principais ataques e correspondentes mecanismos de segurança desenvolvidosmecanismos de segurança desenvolvidos
Surgimento das
Aplicações Web
Utilização de criptografia
e certificação digital
(HTTPS)
Ataques de capturadores
de teclado
Utilização do
Teclado VirtualIncentivar o uso de:
Anti-vírus
Personal Firewall
Anti-trojan
Ataques de “DLL Hook”
© 2008 KPMG International. KPMG International is a Swiss cooperative of which all KPMG firms are members. KPMG International provides no services to clients. Each member firm is a separate and independent legal entity and each describes itself as such. All rights reserved. 9
Fraudes em Aplicações WebFraudes em Aplicações Web
Breve histórico dos principais ataques e correspondentes Breve histórico dos principais ataques e correspondentes mecanismos de segurança desenvolvidos (cont.)mecanismos de segurança desenvolvidos (cont.)
Ataques de sites
clonados
Confirmação do
Titular da conta
Incorporação de novas
tecnologias nos portais
Digital Brand Management
Verificação de servidores DNS dos provedores
de acesso a Internet
Rápida atuação com os
provedores de Backbone brasileiros
Envio de e-mails falsificados,
requisitando dados pessoais
“Phishing”
© 2008 KPMG International. KPMG International is a Swiss cooperative of which all KPMG firms are members. KPMG International provides no services to clients. Each member firm is a separate and independent legal entity and each describes itself as such. All rights reserved. 10
Fraudes em Aplicações WebFraudes em Aplicações Web
Breve histórico dos principais ataques e correspondentes Breve histórico dos principais ataques e correspondentes mecanismos de segurança desenvolvidos (cont.)mecanismos de segurança desenvolvidos (cont.)
Utilização de teclados virtuais
dinâmicos
Ataques de capturadores de
imagens (snapshots)
Ataques de intermediação
(Man in the middle)
Teclados Virtuais com efeitos imã e desaparecimento
Ataques de memory dump
© 2008 KPMG International. KPMG International is a Swiss cooperative of which all KPMG firms are members. KPMG International provides no services to clients. Each member firm is a separate and independent legal entity and each describes itself as such. All rights reserved. 11
Fraudes em Aplicações WebFraudes em Aplicações Web
Breve histórico dos principais ataques e correspondentes Breve histórico dos principais ataques e correspondentes mecanismos de segurança desenvolvidos (cont.)mecanismos de segurança desenvolvidos (cont.)
Criptografia na
Aplicação Web
“Autenticação” da localização
do acesso e estação utilizada
FFIEC exige autenticação
Multi-factor
© 2008 KPMG International. KPMG International is a Swiss cooperative of which all KPMG firms are members. KPMG International provides no services to clients. Each member firm is a separate and independent legal entity and each describes itself as such. All rights reserved. 12
Fraudes em Aplicações WebFraudes em Aplicações Web
Breve histórico dos principais ataques e correspondentes Breve histórico dos principais ataques e correspondentes mecanismos de segurança desenvolvidos (cont.)mecanismos de segurança desenvolvidos (cont.)
Implementação de
Certificação Digital para:
Aplicações B2B
Internet Banking Empresas
Desafio: certificação digital
dos clientes “Pessoa Física”
Autenticação da origem
do acesso do cliente
Desafio: autenticação
dos clientes a partir de dispositivos
móveis (celular, palm, etc)
© 2008 KPMG International. KPMG International is a Swiss cooperative of which all KPMG firms are members. KPMG International provides no services to clients. Each member firm is a separate and independent legal entity and each describes itself as such. All rights reserved. 13
Ameaças InternasAmeaças Internas
Motivadores das Fraudes InternasMotivadores das Fraudes Internas
Atingir metas
Pressõesfinanceiras
Desafio
Oportunidade
Manipular pagamentos
ou bônus
Estilo de vida
Fraude por quê?
Encobrir erros
Assegurar emprego
© 2008 KPMG International. KPMG International is a Swiss cooperative of which all KPMG firms are members. KPMG International provides no services to clients. Each member firm is a separate and independent legal entity and each describes itself as such. All rights reserved. 14
Ameaças InternasAmeaças Internas
-
Risco
s de
negóci
o
Riscos estruturais Risco
s cu
ltura
is
Riscos pessoais
Perfil do Perfil do risco derisco defraudefraude
• Estilo autocrático• Desproporção de status e
personalidade• Comportamento incomum• Atos ilegais• Estilos de vida caros• Férias não gozadas• Staff de baixa
educação/formação
• Estratégia de negócio deficiente
• Lucros acima da média do setor industrial
• Desproporção entre o crescimento e o desenvolvimento de sistemas
• Reputação deficiente
• Problemas de liquidez
• Moral baixa• Alto “turnover” de staff• Remuneração ligada à
performance
• Estruturas complexas
• Filiais/subsidiárias distantes com baixa supervisão
• Resultados a qualquer custo
• Compromisso insatisfatório para controle
• Inexistência de um código de ética
• Obediência não questionável do staff
© 2008 KPMG International. KPMG International is a Swiss cooperative of which all KPMG firms are members. KPMG International provides no services to clients. Each member firm is a separate and independent legal entity and each describes itself as such. All rights reserved. 15
Principais causas de fraudes nos Sistemas CorporativosPrincipais causas de fraudes nos Sistemas Corporativos
Do ponto de vista de segurança, destacam-se como Do ponto de vista de segurança, destacam-se como principais vulnerabilidades que afetam os sistemas:principais vulnerabilidades que afetam os sistemas:
Gerenciamento falho de usuáriosGerenciamento falho de usuários
Gestão inadequada de perfis de acessoGestão inadequada de perfis de acesso
Interfaces entre sistemas insegurasInterfaces entre sistemas inseguras
© 2008 KPMG International. KPMG International is a Swiss cooperative of which all KPMG firms are members. KPMG International provides no services to clients. Each member firm is a separate and independent legal entity and each describes itself as such. All rights reserved. 16
Principais causas de fraudes nos Sistemas CorporativosPrincipais causas de fraudes nos Sistemas Corporativos
Gerenciamento falho de usuários (descentralizado)Gerenciamento falho de usuários (descentralizado)
Security Server• Valicert• Verisign• IIS• RSA
IdentityServer• Oblix• Netegrity• Securant
Directory• iPlanet• eDirectory• Active Directory
eCommerce• Ariba• Commerce One
Sales / Mktg• Siebel• Epiphany
eFinance• Hyperion• Extensity
Portals• Plumtree• Epicentric• Corechange
Others• Bowstreet• . . .
Web Resources
ERP• SAP, Peoplesoft, Baan
Financials• Oracle, M&D
Sales / Marketing• Siebel
Mainframe• RACF, ACF2, Topsecret
Procurement• Marcam
Distribution• i2
HR• Peoplesoft
Email• Exchange, Notes
Telephony• Octel
Network• Netware, NT
Facilities• typically custom
Asset Management• J.D.Edwards
Business
Corporate
Traditional Applications
Employees
Contractors
Customers
Partners
Suppliers
* * * Company Names For Illustrative Purposes Only * * *
Web Server• iPlanet• Microsoft• Apache
Web Browser• Netscape• IE
Web Infrastructure
EnterpriseApplicationIntegration•WebMethods•TIBCO
© 2008 KPMG International. KPMG International is a Swiss cooperative of which all KPMG firms are members. KPMG International provides no services to clients. Each member firm is a separate and independent legal entity and each describes itself as such. All rights reserved. 17
Principais causas de fraudes nos Sistemas CorporativosPrincipais causas de fraudes nos Sistemas Corporativos
Gerenciamento falho de usuários (descentralizado)Gerenciamento falho de usuários (descentralizado)
1,000+ usuários100+
aplicações
100,000+ funções
possíveis
System administrators
Outstanding audit issues
Sarbanes-Oxley
Business managers
Short user life cycles
Immediate access requirements
Segregation of duties
Employees
Suppliers
Clients
Third parties
SAPPeopleSoft
WindowsEmployee self service
Consolidation
Security administrators
Mainframe
SSO
Provisioning
Data protection acts
Basel II
Privacy legislation
Mergers and acquisitions
© 2008 KPMG International. KPMG International is a Swiss cooperative of which all KPMG firms are members. KPMG International provides no services to clients. Each member firm is a separate and independent legal entity and each describes itself as such. All rights reserved. 18
Principais causas de fraudes nos Sistemas CorporativosPrincipais causas de fraudes nos Sistemas Corporativos
Gerenciamento falho de usuários (cont.)Gerenciamento falho de usuários (cont.)
Como consequências, temos:Como consequências, temos:
Usuários demitidos com acesso a sistemasUsuários demitidos com acesso a sistemas
Usuários ativos acumulando acessos ao Usuários ativos acumulando acessos ao
longo da carreira na empresalongo da carreira na empresa
Falta de padronização nas políticas de Falta de padronização nas políticas de
segurança de acesso aos sistemassegurança de acesso aos sistemas
1. User Services
Group
Application entity
Organizational person
Certificate Template
gapInc
com
admin john doe jane doestockOptionsUsers
fimaUserseDiscountUsers
administratorsgroups people
oblixsiteMinder
applications
LDAP
LDAP
LDAP
2. Application Services
3. Infrastructure Services
DB
OOD
Domain
RolesPersonnel
PhonebookSecurity
Intranet
PKI
E-MailExtranet
© 2008 KPMG International. KPMG International is a Swiss cooperative of which all KPMG firms are members. KPMG International provides no services to clients. Each member firm is a separate and independent legal entity and each describes itself as such. All rights reserved. 19
Principais causas de fraudes nos Sistemas CorporativosPrincipais causas de fraudes nos Sistemas Corporativos
Recomendação: gerenciamento centralizado de Recomendação: gerenciamento centralizado de usuáriosusuários
Appls OnlineFiliais Parceiros
NT 4.0 / W2K
Base de UsuáriosPrincipal
Security Office
ERP
Web
© 2008 KPMG International. KPMG International is a Swiss cooperative of which all KPMG firms are members. KPMG International provides no services to clients. Each member firm is a separate and independent legal entity and each describes itself as such. All rights reserved. 20
Principais causas de fraudes nos Sistemas CorporativosPrincipais causas de fraudes nos Sistemas Corporativos
Gestão inadequada dos perfis de acessoGestão inadequada dos perfis de acesso
Os perfis de acesso definem nos sistemas “quem pode fazer o que”.Os perfis de acesso definem nos sistemas “quem pode fazer o que”.
Ao longo da carreira do funcionário nas empresas, ele sofre Ao longo da carreira do funcionário nas empresas, ele sofre modificações no seu perfil de acesso de acordo com a sua função.modificações no seu perfil de acesso de acordo com a sua função.
Estas modificações podem ser:Estas modificações podem ser:
Horizontais; ouHorizontais; ou
Verticais.Verticais.
Consultor
Coordenador
Gerente
© 2008 KPMG International. KPMG International is a Swiss cooperative of which all KPMG firms are members. KPMG International provides no services to clients. Each member firm is a separate and independent legal entity and each describes itself as such. All rights reserved. 21
Principais causas de fraudes nos Sistemas CorporativosPrincipais causas de fraudes nos Sistemas Corporativos
Gestão inadequada dos perfis de acessoGestão inadequada dos perfis de acesso
Para tornar a gestão ainda mais complexa, existem diferentes tipos de Para tornar a gestão ainda mais complexa, existem diferentes tipos de colaboradores:colaboradores:
FuncionáriosFuncionários
Terceiros de longa duração Terceiros de longa duração (processos)(processos)
Terceiros de curta duração Terceiros de curta duração (projetos)(projetos)
FornecedoresFornecedores
ClientesClientes
O grande desafio para a área de segurança de informação é:O grande desafio para a área de segurança de informação é:
Agrupar cada tipo de colaboradorAgrupar cada tipo de colaborador
Definir e aplicar a política de segurançaDefinir e aplicar a política de segurança
Definir os perfis em conjunto com as áreas de negócio, respeitando a políticaDefinir os perfis em conjunto com as áreas de negócio, respeitando a política
Implantar um processo de manutenção e monitoração dos perfisImplantar um processo de manutenção e monitoração dos perfis
© 2008 KPMG International. KPMG International is a Swiss cooperative of which all KPMG firms are members. KPMG International provides no services to clients. Each member firm is a separate and independent legal entity and each describes itself as such. All rights reserved. 22
Principais causas de fraudes nos Sistemas CorporativosPrincipais causas de fraudes nos Sistemas Corporativos
Gestão inadequada dos perfis de acessoGestão inadequada dos perfis de acessoDo ponto de vista de processos, muitas falhas ocorrem devido à falta de Do ponto de vista de processos, muitas falhas ocorrem devido à falta de padronização nas requisições de cadastramento e alteração de perfil de padronização nas requisições de cadastramento e alteração de perfil de acessoacesso
Nem sempre o processo está centralizado em áreas específicas, por Nem sempre o processo está centralizado em áreas específicas, por exemplo o RH e Security Officeexemplo o RH e Security Office
RHGestor da
áreaÁrea de
SegurançaSuporte
TI
FuncionárioContrataçãoDemissãoPromoção
Perfil de AcessoCriaçãoRemoçãoAlteração
© 2008 KPMG International. KPMG International is a Swiss cooperative of which all KPMG firms are members. KPMG International provides no services to clients. Each member firm is a separate and independent legal entity and each describes itself as such. All rights reserved. 23
Principais causas de fraudes nos Sistemas CorporativosPrincipais causas de fraudes nos Sistemas Corporativos
Compliance
• Habilidade de registrar em tempo real os logs de segurança
• Monitorar os acessos
• Relatórios de auditoria
Provisionamento
• Criação da conta e de serviços personalizados
• Workflow de aprovação
Autenticação
• Validar a identidade do usuário
• Determinar o papel do usuário
• Single Sign-on
Autorização
• Estabelecer e monitorar os acessos dos usuários, incluindo segregação de funções
• Procedimentos para tratamento, processamento e acesso a informações privadas
• Controles para identificação de brechas
Self-Service
• Usuários podem resolver algumas rotinas administrativas
• Atualização das informações dos usuários são sincronizadas nos sistemas
Gerenciamento de senhas
• Regras de senha estabelecidas e obrigatórias
• Procedimentos para criação, gerenciamento e alteração das senhas dos usuários
• Reset de senha utilizando Self-service
Remoção
• Controles automatizados para identificar e remover o acesso de aplicativos e sistemas
Identity Lifecycle
New project
Change locations, roles, etc
Forget password
Início do relacionamento
Fim do relacionamento
Novos
projetos
Mudanças de localidade, papéis, etc
Esquecimento de senha
© 2008 KPMG International. KPMG International is a Swiss cooperative of which all KPMG firms are members. KPMG International provides no services to clients. Each member firm is a separate and independent legal entity and each describes itself as such. All rights reserved. 24
Principais causas de fraudes nos Sistemas CorporativosPrincipais causas de fraudes nos Sistemas Corporativos
Interfaces entre sistemas insegurasInterfaces entre sistemas inseguras
Estudo de Caso: Fraude na folha de pagamentoEstudo de Caso: Fraude na folha de pagamento
Atualmente é muito comum a integração de sistemas distribuídos Atualmente é muito comum a integração de sistemas distribuídos por meio da troca de arquivos no “formato texto” (ASCII);por meio da troca de arquivos no “formato texto” (ASCII);
Exporta arquivotexto
Importa arquivotexto
Sistema 1 Sistema 2
Arquivo é armazenado em um sistema de arquivosOu transportado em uma mídia
© 2008 KPMG International. KPMG International is a Swiss cooperative of which all KPMG firms are members. KPMG International provides no services to clients. Each member firm is a separate and independent legal entity and each describes itself as such. All rights reserved. 25
Principais causas de fraudes nos Sistemas CorporativosPrincipais causas de fraudes nos Sistemas Corporativos
Estudo de Caso: Interfaces entre sistemas dependente de Estudo de Caso: Interfaces entre sistemas dependente de intervenção manualintervenção manual
Sistema de RH
Gera arquivo TXTFolha de Pagamento
Estação de acesso aoInternet Banking
Banco
© 2008 KPMG International. KPMG International is a Swiss cooperative of which all KPMG firms are members. KPMG International provides no services to clients. Each member firm is a separate and independent legal entity and each describes itself as such. All rights reserved. 26
Principais causas de fraudes nos Sistemas CorporativosPrincipais causas de fraudes nos Sistemas Corporativos
Estudo de Caso: Interfaces entre sistemas dependente de Estudo de Caso: Interfaces entre sistemas dependente de intervenção manualintervenção manual
Sistema de RH
Gera arquivo TXTFolha de Pagamento
Estação de acesso aoInternet Banking
Banco
Inclusão de novas contascom valores associados
Remoção deBenefícios de funcionários
afastados
© 2008 KPMG International. KPMG International is a Swiss cooperative of which all KPMG firms are members. KPMG International provides no services to clients. Each member firm is a separate and independent legal entity and each describes itself as such. All rights reserved. 27
Principais causas de fraudes nos Sistemas CorporativosPrincipais causas de fraudes nos Sistemas Corporativos
Estudo de Caso: Interfaces entre sistemas permitindo Estudo de Caso: Interfaces entre sistemas permitindo intervenção manualintervenção manual
Sistema de RH
Gera arquivo TXTFolha de Pagamento
Estação de acesso aoInternet Banking
Banco
Inclusão de novas contascom valores associados
Remoção deBenefícios de funcionários
afastados
Como os valores totais eram mantidos, a empresa não detectavaA fraude
© 2008 KPMG International. KPMG International is a Swiss cooperative of which all KPMG firms are members. KPMG International provides no services to clients. Each member firm is a separate and independent legal entity and each describes itself as such. All rights reserved. 28
Principais causas de fraudes nos Sistemas CorporativosPrincipais causas de fraudes nos Sistemas Corporativos
Interface entre SistemasInterface entre Sistemas
Interfaces VulneráveisInterfaces Vulneráveis
Interfaces manuais
Arquivos texto de fácil edição
Arquivos armazenados em servidores sem controle de acesso
Sem campos de controle
Interfaces SegurasInterfaces Seguras
Interfaces automatizadas
Transferências on-line
Controle de integridade na importaçãoProcesso de conciliação
Controle de erros
© 2008 KPMG International. KPMG International is a Swiss cooperative of which all KPMG firms are members. KPMG International provides no services to clients. Each member firm is a separate and independent legal entity and each describes itself as such. All rights reserved. 29
Dispositivos Portáteis
Redefinição do Perímetro da Rede Corporativa
Dispositivos Portáteis
Redefinição do Perímetro da Rede Corporativa
© 2008 KPMG International. KPMG International is a Swiss cooperative of which all KPMG firms are members. KPMG International provides no services to clients. Each member firm is a separate and independent legal entity and each describes itself as such. All rights reserved. 30
Redefinição do Perímetro da RedeRedefinição do Perímetro da Rede
Situação tradicional
Situação emergente
Diversas tecnologias atuando
simultaneamente
Dinâmica
Notebooks, Tablets, Palms, Celulares
Específicos de cada equipamento e SO
Rede Corporativa
Estações
Softwares
Instalados
Tecnologia única para cada segmento
Mapeada e estática
Padronizadas
Inventariados e controlados
© 2008 KPMG International. KPMG International is a Swiss cooperative of which all KPMG firms are members. KPMG International provides no services to clients. Each member firm is a separate and independent legal entity and each describes itself as such. All rights reserved. 31
Redefinição do Perímetro da RedeRedefinição do Perímetro da Rede
Internet
Firewall
Rede Corporativa
Mail Server WWW Server
DMZ - Internet
Firewall
WWW Server
DMZ - Terceiros
Firewall
Controle IDS
SQL ServerRede deTerceiros
Security Office
Anti-Vírus
Server
Server Farm
OS 390 Oracle HP-UX Win2K Solaris
Firewall
Visão Tradicional
Manutenção remota
© 2008 KPMG International. KPMG International is a Swiss cooperative of which all KPMG firms are members. KPMG International provides no services to clients. Each member firm is a separate and independent legal entity and each describes itself as such. All rights reserved. 32
Redefinição do Perímetro da RedeRedefinição do Perímetro da Rede
Desafios da segurança da rede corporativa:Desafios da segurança da rede corporativa:
Disseminação do uso de Notebooks;Disseminação do uso de Notebooks;
Implantação de redes wireless;Implantação de redes wireless;
Utilização de Palms, celulares;Utilização de Palms, celulares;
Gravadores de CD-ROM e DVD;Gravadores de CD-ROM e DVD;
Dispositivos externos via porta USB:Dispositivos externos via porta USB:Tokens de memória (Pen drive);Tokens de memória (Pen drive);
Tokens wireless;Tokens wireless;
© 2008 KPMG International. KPMG International is a Swiss cooperative of which all KPMG firms are members. KPMG International provides no services to clients. Each member firm is a separate and independent legal entity and each describes itself as such. All rights reserved. 33
Redefinição do Perímetro da RedeRedefinição do Perímetro da Rede
Como lidar com os novos equipamentos portáteis Como lidar com os novos equipamentos portáteis disponíveis no mercado ?disponíveis no mercado ?
Proibir o seu uso ?Proibir o seu uso ?
Normatizar e controlar ?Normatizar e controlar ?
Como garantir a segurança daComo garantir a segurança da
informação transportada ouinformação transportada ou
armazenada ?armazenada ?
CDMA/GSM/GPRS
Bluetooth
Infrared
Serial/USB
MemoryCards
802.11
Câmera
Gravador
Web
© 2008 KPMG International. KPMG International is a Swiss cooperative of which all KPMG firms are members. KPMG International provides no services to clients. Each member firm is a separate and independent legal entity and each describes itself as such. All rights reserved. 34
Redefinição do Perímetro da RedeRedefinição do Perímetro da Rede
Rede Corporativa
Server Farm
Firewall
Internet
Gateway
Access Pointnão autorizado
© 2008 KPMG International. KPMG International is a Swiss cooperative of which all KPMG firms are members. KPMG International provides no services to clients. Each member firm is a separate and independent legal entity and each describes itself as such. All rights reserved. 35
Redefinição do Perímetro da RedeRedefinição do Perímetro da Rede
Quais áreas detém informações sensíveis e não Quais áreas detém informações sensíveis e não devem permitir a utilização de nenhum equipamento devem permitir a utilização de nenhum equipamento eletrônico ?eletrônico ?
EngenhariaMarketing
Novos ProdutosCall Center
Diretoria AdministraçãoOperação
© 2008 KPMG International. KPMG International is a Swiss cooperative of which all KPMG firms are members. KPMG International provides no services to clients. Each member firm is a separate and independent legal entity and each describes itself as such. All rights reserved. 36
As fraudes em TI podem ser evitadas?As fraudes em TI podem ser evitadas?
O combate às fraudes em TI depende de um esforço integrado de O combate às fraudes em TI depende de um esforço integrado de investimento tanto em mecanismos de segurança tecnológica investimento tanto em mecanismos de segurança tecnológica quanto em processos operacionais.quanto em processos operacionais.
Motivação + Oportunidade = FraudeMotivação + Oportunidade = Fraude
Avaliação de vulnerabilidades periódicas de Avaliação de vulnerabilidades periódicas de redes e sistemasredes e sistemasImplementação de sistemas inteligentes contra Implementação de sistemas inteligentes contra fraude (cartão de crédito, InternetBanking, fraude (cartão de crédito, InternetBanking, ATM)ATM)Auditorias não programadas sobre ações Auditorias não programadas sobre ações realizadas em sistemasrealizadas em sistemasSegregação de funçõesSegregação de funçõesSistema de denúncia anônimaSistema de denúncia anônima
Política de SegurançaPolítica de Segurança
Termos de concordânciaTermos de concordância
Treinamentos periódicosTreinamentos periódicos
Auditorias periódicasAuditorias periódicas
Ações de combate à fraude
© 2008 KPMG International. KPMG International is a Swiss cooperative of which all KPMG firms are members. KPMG International provides no services to clients. Each member firm is a separate and independent legal entity and each describes itself as such. All rights reserved. 37
Definindo Governança de TIDefinindo Governança de TI
Governança de TI é a organização e gerenciamento de:
Sistemas de informação
Pessoas
Tecnologias e
Controles
Compliance RiskStrategicSpending
Cost Control
ControlsFinancial
Management
TechnologyPeople
Process
Performance Management
RiskManagement
InvestmentManagement
BusinessAlignment
Com
mun
icat
ion Com
munication
Communication
StrategicInitiatives
ManagementFramework
Transformation
para suportar de forma eficiente e eficaz o atingimento dos objetivos da Organização.
© 2007 KPMG Risk Advisory Services, sociedade brasileira, membro da KPMG International, uma cooperativa suíça. Todos os direitos reservados.
38
TI é orientada para o cliente
Tomar decisões de investimento em infra-estrutura de TI
Decidir onde TI pode agregar mais valor
Conhecer os riscos
Equilibrar custos e riscos Decisão de investimento
local ou centralizada Gestão de riscos e
conformidade Capaz de comparar
projetos capacitados por TI com outros projetos
Pode influenciar a estratégia de negócios
Nos permite determinar a prioridade das exigências
Capaz de proteger ativos de TI
"É um facilitador" “Tem valor pelo dinheiro" "É essencial para a estratégia de negócios"
Governança de TI tem significados diferentes para pessoas diferentes...
© 2007 KPMG Risk Advisory Services, sociedade brasileira, membro da KPMG International, uma cooperativa suíça. Todos os direitos reservados.
39
Por outro lado...
Assegurar que funcione Não estourar o
orçamento de projetos de TI
Não atrasar a organização
Sem surpresas
Controle dos custos de TI
Sarbanes-Oxley Comitês diretivos Gestão de riscos e
conformidade
Forma de introduzir tecnologias novas e estimulantes
Assegurar que tenhamos o orçamento necessário
Por que não nos informam da estratégia?
"É um produto básico" "É uma mercadoria cara" É uma ferramenta complicada
© 2008 KPMG International. KPMG International is a Swiss cooperative of which all KPMG firms are members. KPMG International provides no services to clients. Each member firm is a separate and independent legal entity and each describes itself as such. All rights reserved. 40
A Evolução do Papel do CIOA Evolução do Papel do CIO
Papel do CIO Tradicional
O CIO tradicional possui um perfil O CIO tradicional possui um perfil mais de executor de projetos do que mais de executor de projetos do que um executivo pró-ativo nas decisões um executivo pró-ativo nas decisões dos rumos da companhia.dos rumos da companhia.
Reage às pressões das áreas de Reage às pressões das áreas de negócio e direcionadores de mercado negócio e direcionadores de mercado ao invés de antecipá-losao invés de antecipá-los
Reduz custos eliminando funções ou Reduz custos eliminando funções ou serviçosserviços
Considera novas tecnologias como Considera novas tecnologias como fundamentais para a companhia, sem fundamentais para a companhia, sem avaliar a fundo os reais benefícios avaliar a fundo os reais benefícios para o negóciopara o negócio
Procura organizar a TI de forma a Procura organizar a TI de forma a entregar níveis de serviços confiáveis entregar níveis de serviços confiáveis e adequados. e adequados.
Papel Desejável do CIO
O CIO atualizado está preocupado em O CIO atualizado está preocupado em gerenciar todo o portfolio de serviços gerenciar todo o portfolio de serviços e responsabilidades para produzir um e responsabilidades para produzir um desempenho aprimorado. desempenho aprimorado.
Trabalha em conjunto com os pares de Trabalha em conjunto com os pares de negócios para entender seus objetivos negócios para entender seus objetivos e desafios de mercadoe desafios de mercado
Procura sempre antecipar as Procura sempre antecipar as necessidades de negóciosnecessidades de negócios
Identifica indivíduos que possam gerar Identifica indivíduos que possam gerar relacionamento entre as unidades de relacionamento entre as unidades de negócios e entender os processos negócios e entender os processos operacionais de cada área.operacionais de cada área.
© 2008 KPMG International. KPMG International is a Swiss cooperative of which all KPMG firms are members. KPMG International provides no services to clients. Each member firm is a separate and independent legal entity and each describes itself as such. All rights reserved. 41
Aprimoramento da Governança de TIAprimoramento da Governança de TI
ATUAL
DESEJADO
Mod
elo O
rgan
izacio
nal
Planej.
Estr
atég
ico
Gestã
o de
com
itês
Polític
as e
Pad
rões
Desen
v. de
soluç
ões
Geren
c. de
Pro
jetos
Geren
c. da
Seg
uran
ça
Geren
c. da
disp
onibi
lidad
e
Geren
c. de
serv
iços
Geren
c. fin
ance
iro
Geren
c. da
ope
raçã
o
Audito
ria d
e TI
Geren
c. de
supo
rte
Geren
c. de
mud
ança
s
Otimizado
Gerenciado
Definido
Repetitivo
Inicial
Nív
el d
e M
atu
rid
ade
Governança de TI Processos
© 2008 KPMG International. KPMG International is a Swiss cooperative of which all KPMG firms are members. KPMG International provides no services to clients. Each member firm is a separate and independent legal entity and each describes itself as such. All rights reserved. 42
Obrigado Obrigado
Tel (0xx21) 3231-9415 / 9136-1004rbacellar@kpmg.com.brwww.kpmg.com.br
Risk Advisory Services
Frank Meylan
Tel (0xx11) 2183-3187fmeylan@kpmg.com.brwww.kpmg.com.br
top related