Fundamentos de Cibersegurança

Sessão #1
Introdução | Conceitos Princípios | Referenciais |
Formação Domínios da Cibersegurança
preparada para:

Em parceira com:

Bruno Marques Jul.21

0. Boas vindas e visão do
curso
Agenda global

5 sessões síncronas com atividades, totalizando 15 horas via

1. 2. 3. 4. 5.
Introdução à Panorama das Ciberataques e Fundamentos de Gestão de incidentes,
Cibersegurança, ameaças, Gestão do o papel do Fator Arquitetura e operação e novas TI.
Objetivos e Domínios Risco & Controlos Humano Elementos Segurança Governance.

Conceitos, Principais ameaças Arquitetura e Respostas

Papel do Risco,
Referenciais e e ataques. elementos de operacionais.
Tipos de Controlos
Domínios O Fator humano Cibersegurança Cloud Computing

Quizzes Exemplos Referenciais Mini-Casos

Apresentação

Bruno Marques
Business Consultant
IT Governance
2018 > 2019 ISO 27001
IT Service management
ICW PT Lead Implementer
IT Audit & Security

(…) 2000> 2002> 2006> 2012 > 2015 > 2016 > 2016 > 2017 > 2021
+ duas Accenture TV Cabo Global Seguros Açoreana CIIWA IPAI Wisebond Caravela Seguros CSX - F
empresas Seguros ISACA LX Chapter
SHIFT
4
Apresentação

Expetativas iniciais?
[Know-how and KWYDK]

CYBERSECURITY FUNDAMENTALS
 Objetivos gerais do curso

Reforçar as competências em cibersegurança numa visão integrada:

1. Como criar valor a partir da cibersegurança introdução controlos em função do risco?

2. Como responder de forma sustentável às necessidades de cibersegurança com boas práticas?
3. Como posicionar o tema na organização, endereçar os desafios e reforçar o fator humano?

Contribuir
Sistematizar Conhecer para a
OBJETIVOS o tema para Boas Criação de
a Gestão práticas valor

Exemplos nos Seguros Ferramentas Partilha

6
 Sessão #1
Introdução | Conceitos Princípios | Referenciais |
Domínios da Cibersegurança
Agenda

00 Boas Vindas e Visão do Módulo “Cybersecurity Fundamentals”

01 Introdução à Cibersegurança: Valor, Atributos e Objetivos
02 Ataques e o novo perfil cibervítima
03 O papel dos referenciais
04 Princípios e Objetivos
05 Cibersegurança na ótica do decisor – a equação de valor & plano inicial (introdução)
06 Conclusão

8
 Sessão #1
1.0 - Boas vindas e visão geral do curso
 Objetivos da Sessão #1

No final desta sessão deverá saber:

1. Identificar o papel da cibersegurança no ecossistema dos Seguros

2. Descrever os conceitos-chave e a terminologia da cibersegurança
3. Identificar referenciais e o seu papel
4. Compreender a equação de valor e os domínios da cibersegurança
5. Projetar as linhas gerais de um plano de cibsersegurança

10
Boas vindas > Estado da arte

Existem vários desafios de gestão nas atuais abordagens à Cibersegurança:

1. Respostas ad-hoc em termos de cibersegurança, reativas face a incidentes ou ataques

2. Foco exclusivamente tecnológico, sem orientação ao risco nem com eficiência de recursos
3. Visão integrada: com base em boas práticas, com foco no ativos mais críticos

SOLUÇÕES

Operações e Requisitos Gerir boas práticas Confiança & Resiliência

OPERACIONAL ESTRATÉGICO
11
Boas vindas > Pilar para a confiança

Existe um racional económico e estratégico para a Cibersegurança

Cibersegurança é
um fator de
sucesso…
Future Fit

CIBERSEGURANÇA E COLLABORATIVE ÉTICA E

PRIVACIDADE BUSINESS RELATIONSHIPS SUSTENTABILIDADE

Sinergias, governance e Gestão de Parcerias e Planeta, Pessoas e

compliance trabalho colaborativo Profit

12
1. Introdução à Cibersegurança
(quadro atual, skills gap, casos, desafios e visão)
Introdução à cibersegurança

O que é Cibersegurança?
• A Cibersegurança engloba:
a) Conjunto de meios tecnológicos que visam proteger computadores, programas,
redes e dados.
b) Comportamentos e atitudes dos utilizadores que condicionam a segurança da
informação.
c) Políticas e processos que promovem técnicas adequadas e padrões seguros.

SOCIEDADE EM REDE AMEAÇAS CRESCENTES

DRIVERS
ECOSSISTEMAS ABERTOS TERRITÓRIO ECONÓMICO

14
Introdução à cibersegurança

O que é Cibersegurança?
“Proteção de ativos de informação, por meio do tratamento de ameaças que põem em risco
a informação que é processada, armazenada e transportada pelos sistemas de informação
que estão interligados”.

O propósito é reduzir riscos até um nível aceitável,

reduzindo as ameaças através de um conjunto
adequado de recursos.

15
Introdução à cibersegurança

Para que serve?

Uma vez que o Ciberespaço é uma plataforma de negócios, no quadro de ecossistemas
abertos como os seguros, este é um tema incontornável

MISSÃO DA Proteger Proteger a Proteger a

CIBERSEGURANÇA o património informação imagem
[ativos] [operação] [reputação]

Pretende-se garantir a segurança do Ciberespaço prevenindo quaisquer danos, interrupções e

invasões ilícitas.
16
Introdução à cibersegurança

Velocidade, competitividade e… investimento

É possível investir em Cibersegurança de forma adequada, antecipando riscos, protegendo os

ativos mais críticos e garantindo um ambiente estável, SEM SURPRESAS.

SERÁ QUE A SUA

ORGANIZAÇÃO ESTÁ
PREPARADA PARA ESTE
“NOVO NORMAL”?

17
 Introdução à cibersegurança e os Seguros

Seguros enquanto ecossistema aberto… … intenso em informação e em relações

Competidores Supervisores

Recolha de Vários parceiros

Managed
Clientes informação de negócio
Care

Mediadores

IT Providers Operativa
Brokers Peritos & nos
Oficinas
Seguradores Automatização e Seguros
ASAN Imprensa Digitalização Tratamento
dados saúde
Call-center e outros Clínicas médicas
prestadores e Hospitais
Salvaguarda &
Banc´assurance
Analytics
18
 Cibersegurança…
Qual é o elefante
na sala?

CYBERSECURITY FUNDAMENTALS 19
Quais as principais forças de bloqueio para o
investimento em cibersegurança? Quiz
a) Dificuldade em calcular o ROI da cibersegurança?
b) Insuficiente compreensão sobre o impacto da
cibersegurança no desenvolvimento do negócio?
c) Insuficiente visão da gestão de topo em lidar com o
tema?
d) Todas as anteriores?
e) Nenhuma das anteriores?

20
2. Ataques e novo perfil de
cibervítima
Ataques e ameaças

Follow the Money: Qual é o valor da informação do seu negócio?

As empresas não têm os meios

para ultrapassar a 100% todos
os riscos.

Existe um gap de
conhecimento na correta
utilização das tecnologias.

O recurso informação Ameaças muito diversas

22
Tipos de ataques (introdução)

Tipos de ciberataques I
DDoS
O termo DDoS significa Distributed Denial of Service e ocorre quando um PC utiliza outros para atacar
determinados sites. Quando esse ataque ocorre, os servidores são sobrecarregados e ficam
inoperacionais
Com o DDoS, os users não conseguem aceder aos sites, gerando prejuízos como perda de vendas e
insatisfações dos consumidores.

Malware
Os malwares são os softwares maliciosos, ou seja, os vírus, programas espiões, cavalos de tróia entre
outros. Eles são utilizados para obter acessos não autorizados, capturar informações de acessos e
monitorizar users.

Backdoor
O backdoor é um tipo de cavalo de troia que permite que se tenha acesso ao sistema infectado. A partir
do momento em que ele está instalado, é possível modificar, excluir, instalar arquivos, enviar e-mail,
visualizar informações e usar perfeitamente o sistema do user atacado.
23
Tipos de ataques (introdução)

Tipos de ciberataques II
Phishing
O phishing é uma forma muito comum de ataque que pode comprometer a cibersegurança de uma
empresa. Eles são e-mails promocionais, por exemplo, que induzem o user a alguma ação, mas na
realidade não são de remetentes verdadeiros.

Esse ataque recolhe dados e informações sensíveis, como senhas, cartões de crédito, etc. através da
semelhança com os sites originais.

Spoofing
Spoofing é uma falsificação de IP (protocolo de internet). Ou seja, esse é um dos tipos de ataques
cibernéticos que falsifica a comunicação entre os dispositivos fingindo ser uma fonte confiável.

Ataques internos
Os ataques internos podem ser realizados por pessoas mal intencionada que têm acesso aos sistemas
e informações ao notarem que a cibersegurança falha

24
Tipos de ataques (introdução)

QUIZ

Quais as motivações dos ciberatacantes (internos ou externos) em relação às

seguradoras?

a) Obter reconhecimento na comunidade de hackers como sendo competentes

b) Obter benefícios económicos diretamente da empresa (ex: ransomware) ou

perante terceiros

c) Obter pagamento de um serviço crime as a service de um interessado a aceder

à sua informação ou colocar inoperacionais os seus sistemas

d) Aceder a informação que pode significar uma vantagem competitiva

e) Todas as opções corretas

25
Tipos de ataques > perfil cibervítima

Perfil da cibervítima: massificação dos alvos

É possível hoje
Contempla não só as
estabelecer novas
grandes instituições
tendências do perfil
como também as PME
de cibervítima

Clínicas e laboratórios
OTOC (contabilistas
clínicos são alvos,
certificados) são
bem como todo o
novos alvos
setor da saúde
Rogério bravo, PJ
Combate na perspetiva das forças de segurança

26
Tipos de ataques (introdução)

Qual é o perfil da cibervítima?

a) Grandes empresas, nomeadamente bancos e seguradores e organismos

públicos

b) CEO de alta visibilidade

c) PME, de forma crescente, com incidências das que detém propriedade

intelectual

d) OTOC e Empresas que lidem com dados sensíveis (ex: saúde)

e) Todas as opções corretas

27
Quais as últimas notícias.pt?

In Publico, Abr.19

28
Quais as últimas notícias.pt?

O que está a ocorrer em Portugal?

Há alunos a receber dinheiro em

troca de passwords”, chegou a
denunciar a Fenprof,

In Observador, Abr.20

29
3. O papel dos referenciais
Papel dos referenciais

ISO 27001 – Segurança de Informação

RISK-ORIENTED SISTEMA DE GESTÃO CONTROLOS

31
Papel dos referenciais

98
controlos

Cybersecurity Framework Functions 32

Papel dos referenciais

CNCS – Quadro de referência

Fase 1 Cooperação com CNS

Fase 2 Arquitetura de Segurança

Fase 3 Equipamentos e Aplicações

Fase 4 Políticas, procedimentos e papéis

Fase 5 SOC – resposta avançada

Fonte: adaptado de CNCS

33
Papel dos referenciais

CSX – CyberSecurity (ISACA)

GOVERNANCE e ASSURANCE &
PRINCÍPIOS GESTÃO DE RISCO DOMÍNIOS/CONTROLOS
ARQUITETURA COMPLIANCE

Governance e Cybersecurity
Guiding Principles Inventário de Ativos
Estratégia Guidance Clauses

Auditable
Segurança em
Análise de Ameaças Requirements
Profundidade
Checklist

Fonte: Adaptação do autor

34
Papel dos referenciais

CSX – CyberSecurity (ISACA)

DOMÍNIOS

35
Papel dos referenciais

O que é comum?

Orientação ao risco
Comprehensive enterprise
security strategies require
Mesmos princípios cooperation among parties
responsible for people,
processes and technology

36
4. Princípios e objetivos
Princípios

Qual o âmbito da cibersegurança (1/2)

A Cibersegurança não equivale a segurança de informação nem a IT Security

Information Security Cybersecurity

• Analog information Operations • Network hardware

• Intellectual property • Software
• Paper Documents Transformação • Information
• Verbal communications Digital processed and
stored in isolated or
• Visual communications networked systems

38
Princípios

Qual o âmbito da cibersegurança (2/2)

A Cibersegurança não equivale a segurança de informação nem a IT Security

A cibersegurança é
um subconjunto da
Segurança de “Quem não está
Informação, que na internet é
acompanha o como se não
crescimento do existisse”
ciberespaço

39
Princípios

Proteção de ativos informacionais

Electronic Data
Risk Analytics
Processes

Information
Transaction System
Processing Protection of information assets by Security
addressing threats to information Engineering
processed, stored and transported
by internetworked information
systems. 40
Princípios

Que fatores influenciam a cibersegurança numa empresa?

Contexto da Organização Tipo de ameaças

Cybersecurity professionals

ANÁLISE SITUACIONAL

41
Princípios

Que fatores influenciam a cibersegurança numa empresa?

Technological Factors Impacting Security

Level of IT complexity
Network connectivity (internal, third party, public)
Specialist industry devices/instrumentation
Platforms, applications and tools used
On-premise, cloud or hybrid systems
Operational support for security
User community and capabilities
New or emerging security tools

42
Princípios

Que fatores influenciam a cibersegurança numa empresa?

Business-related Factors Impacting Security

Nature of the business
Risk tolerance and appetite
Security mission, vision and strategy
Industry alignment and security trends
Compliance requirements and regulations
Mergers, acquisitions and partnerships
Outsourcing of services or providers

43
Princípios

Need to know basis – acessos mínimos e essenciais para a função

01 02 03

A principle for An approach of It applies to all

employees to access what someone industries and
the data and system can see enterprises

44
Princípios

Least Privilege – privilégio mínimo

An extension of
need-to-know

Individuals get least

amount of system
access to do their job

Individual granted
superuser privileges
does not infer free
reign over
information
Individuals actively
seeking out or
misusing information
may even be
dismissed
45
Objetivos

Quais os objetivos da cibersegurança?

CONFIDENTIALITY
The protection of information from unauthorized disclosure

INTEGRITY
The accuracy and completeness of information in accordance with
business values and expectations

Atributos dos ativos digitais* AVAILABILITY

The ability to access information and resources required by the
business process

* e a não-repudiação
46
Objetivos
Quais os objetivos da cibersegurança?
CONFIDENTIALITY
The protection of information from
unauthorized disclosure
* e a não-repudiação
LOSS CONSEQUENCES INCLUDE:
• Disclosure of information protected by privacy laws
• Loss of public confidence
• Loss of competitive advantage
• Legal action against the enterprise
• Interference with national security
• Loss of compliance
PRESERVATION METHODS INCLUDE:
• Access controls
• File permissions
• Encryption
47
Objetivos

Quais os objetivos da cibersegurança?

LOSS CONSEQUENCES INCLUDE

INTEGRITY
The accuracy and completeness of
information in accordance with business
values and expectations
• Inaccuracy
• Erroneous decisions
• Fraud
• Failure of hardware
• Loss of compliance

PRESERVATION METHODS INCLUDE:

• Access controls
• Logging
• Digital signatures
• Hashes
• Backups
• Encryption
48
Objetivos
Quais os objetivos da cibersegurança?
AVAILABILITY
The ability to access information and
resources required by the business process
LOSS CONSEQUENCES INCLUDE:
• Loss of functionality and operational effectiveness
• Loss of productive time
• Fines from regulators or a lawsuit
• Interference with enterprise’s objectives
• Loss of compliance
PRESERVATION METHODS INCLUDE:
• Redundancy of network, system, data
• Highly available system architectures
• Data replication
• Backups
• Access controls
• A well-designed disaster recovery plan or business
continuity plan
49
Objetivos
Quais os objetivos da cibersegurança?
Confidentiality
Access controls,
File permissions,
Encryption
Consequences:
• Disclosure of information
protected by privacy laws
• Loss of public confidence Loss of
competitive advantage
• Legal action against the enterprise
• Interference with national security
• Loss of compliance
Integrity Availability
Access controls, Logging, Digital Redundancy, Highly available
signatures, Hashes, Backups, system architectures, Data
Encryption replication, Backups, Access
controls, BCP/DRP
Consequences: Consequences:
• Inaccuracy • Loss of functionality and
• Erroneous decisions operational effectiveness
• Fraud • Loss of productive time
• Failure of hardware • Fines from regulators or a
• Loss of compliance lawsuit
• Interference with enterprise’s
objectives
• Loss of compliance 50
Políticas de segurança de informação (introdução)

Como edificar Políticas de Segurança

Information security policies are a primary element of cybersecurity

and overall security governance. These policies:
• Specify requirements
• Define the roles and responsibilities within the organization
• Outline expected behaviors in various situations

Because of their importance, these policies must be properly created,

accepted and validated by the board and senior management before
being communicated throughout the organization. Each information security policy should be
part of a formal policy life cycle process.

51
Elementos do sistema de cibersegurança (intro)

Políticas a desenvolver (introd.)

Cybersecurity Concepts

Security Architecture Principles

Security of Networks, Systems, Applications and Data

Incident Response

Security Implications and Adoption of Evolving Technology

COBIT 5 Information Security Policy Set 52

5. Cibersegurança na ótica
do decisor (introdução)
Ótica do decisor

A equação de valor: cibersegurança na ótica do decisor

1
Qual é a equação
de valor da
Cibersegurança

2 4 5 Reforçar a resiliência do
Qual o impacto meu negócio
Calcular o risco
económico/legal Desenvolver um plano
potencial da minha
reputacional para a de cibersegurança
Empresa Acrescentar confiança ao
minha empresa?
meu ecossistema
3
Como sei se estou
exposto?

Fonte: Autor
CONSCIENCIALIZAÇÃO ESTRATÉGICA EXECUTAR O PROCESSO
54
Ótica do decisor

1 Qual o valor adequado de investimento: ROSI – return of investment of information security

Benefícios Custo Risco

• Valor da informação • Custo direto de • Operacional
proteção
para: a) Prod/serviços • Financeiro
b) Novos negócio • Custo indireto de • Legal Reputacional
c) Operação recuperação

d) Qos (qualidade)

55
Ótica do decisor

2 Qual o impacto económico/legal reputacional para a sua seguradora?

INTERRUPÇÃO das
Onde está o
operaçoes
centro de
gravidade da sua Segredo de negócio
seguradora?

Dados pessoais e
Sensíveis

Movimentos
financeiros

Serviço ao Cliente
In Rogério Bravo & João Gaspar

56
Ótica do decisor

3 Como sei se estou exposto?

Baselines de Boas
segurança de práticas
informação cyber
57
Ótica do decisor

Ponderar a Obter uma

probabilidade matriz global
da ameaça e o e… seguir um
impacto no plano de ação
meu negócio com Quick-
Wins

Princípio do custo Princípio da

benefício concentração

58
Ótica do decisor

5 Desenvolver um plano de ação: tornar a cibersegurança uma prioridade

Aplicar boas práticas de

forma proporcional ao
risco

Implementar baselines
controlos essenciais

Agir de forma integrada

e consistente

59
Ótica do decisor

Qual a melhor forma de dar início a um plano de cibersegurança na sua empresa?

a) Realizar uma auditoria informática à sua rede e endereçar os pontos críticos.

b) Realizar uma ação de sensibilização interna.

c) Fazer um diagnóstico inicial, conhecer os maiores riscos e fixar um plano de ação,

contemplando novos controlos tecnológicos, organizacionais e humanos.

d) Proibir o acesso às redes sociais dentro da rede da sua empresa.

60
6. Conclusão
Sessão #1

Conclusão

#1 É possível calcular a equação de valor da Cibsersegurança

#2 Existem boas práticas e referenciais, rumo a uma abordagem proativa

#3 A cibersegurança é uma capacidade que envolve trabalho de equipa

Exercício prático

Companhia A Cordial inova nos Seguros

 Obrigado!
Obrigado!
Bruno Marques