Escolar Documentos
Profissional Documentos
Cultura Documentos
4 Conclusão
2.4.1 Introdução
147 https://www.pcisecuritystandards.org/
148 https://www.iso.org
149 https://www.cisecurity.org/
150 https://www.nist.gov/
151 https://www.nist.gov/cyberframework
152 https://www.uschamber.com/sites/default/files/intl_nist_framework_
portugese_finalfull_web.pdf
Sistemas Instituições de
Função Práticas/Procedimentos/Controles de Segurança da Informação S1 S2 S3 S4 S5
Cooperativos Pagamentos
Análise de vulnerabilidades do ambiente 100% 100% 89% 53% 57% 67% 85%
Teste de intrusão (Pentest – Penetration Testing) 100% 100% 86% 42% 33% 67% 85%
Identificar Análise de vulnerabilidades de sistemas 100% 100% 81% 42% 59% 67% 85%
Avaliação prévia à contratação de serviços relevantes 100% 83% 92% 68% 60% 33% 46%
Proteção contra softwares maliciosos (antivírus, antimalware, outros) 100% 100% 100% 94% 83% 83% 92%
Manutenção de cópias de segurança dos dados e das informações 100% 100% 97% 92% 79% 100% 100%
Segmentação da rede de computadores/segregação de ambientes 100% 100% 95% 75% 61% 83% 85%
Gestão de chaves criptográficas e certificados digitais 100% 100% 89% 57% 56% 83% 69%
Gestão de Acessos Lógicos 100% 83% 97% 76% 58% 100% 92%
Gestão de Correções (Patch Management) 83% 100% 89% 68% 49% 83% 85%
Desenvolvimento seguro de sistemas 83% 100% 51% 33% 51% 50% 69%
Network Access Control (NAC) 67% 33% 49% 41% 46% 50% 62%
Web Application Firewall (WAF) 50% 67% 62% 52% 29% 83% 85%
Prevenção a ataques de negação de serviço (DDoS – Distributed Denial of Service) 100% 83% 81% 60% 47% 100% 69%
Prevenção de vazamento de informações (DLP – Data Loss Prevention) 83% 50% 68% 32% 16% 33% 38%
Proteger / Detectar
Anti-APT (APT – Advanced Persistent Threat) 83% 17% 51% 25% 10% 33% 31%
Cloud Access Security Broker (CASB) 33% 17% 24% 11% 4% 17% 38%
Prevenção e detecção de intrusão (IDS – Intrusion Detection System/IPS – Intrusion Prevention System) 100% 100% 95% 68% 47% 100% 69%
Detectar Mecanismos de rastreabilidade, incluindo trilhas de auditoria e implementação de logs 100% 100% 89% 74% 55% 83% 85%
Correlacionador de logs/Security Information and Event Management (SIEM) 100% 67% 65% 26% 7% 33% 69%
Tratamento de incidentes relevantes relacionados ao ambiente cibernético 100% 100% 76% 72% 63% 33% 77%
Detectar / Responder
Centro de operação de segurança (SOC – Security Operations Center) 100% 67% 68% 29% 27% 33% 54%
Responder Tratamento previsto para mitigar os efeitos de incidentes relevantes 100% 67% 73% 63% 54% 50% 77%
Responder / Recuperar Procedimentos a serem seguidos no caso de interrupção de serviços relevantes 67% 67% 51% 45% 51% 33% 54%
Procedimentos para comunicação de situações de crise ao BCB 100% 100% 81% 62% 54% 67% 62%
Recuperar Definição de prazos para reinício ou normalização das atividades ou dos serviços relevantes interrompidos 100% 100% 78% 72% 60% 67% 62%
Definição de cenários de incidentes a serem considerados nos testes de continuidade dos negócios 100% 83% 65% 64% 57% 67% 69%
Universo de instituições do levantamento: 6 instituições do segmento S1, 6 instituições do segmento S2, 37 instituições do segmento S3, 236 instituições do segmento S4,
237 instituições do segmento S5, 6 sistemas cooperativos e 13 instituições de pagamentos.
Anexo estatístico
Gestão de projetos, incluindo gestão do plano diretor de tecnologia 50% 17% 43% 28% 36% 33% 46%
Identificar
Realização de testes para identificação de vulnerabilidade em sistemas 67% 67% 78% 64% 68% 67% 46%
Implantação de sistemas em ambiente de produção 67% 67% 65% 54% 67% 33% 62%
Administração de banco de dados 67% 83% 59% 69% 76% 67% 46%
Administração de sistemas de mensageria 50% 50% 51% 52% 32% 67% 31%
Administração da rede de computadores 33% 67% 62% 57% 70% 50% 46%
Gestão dos canais/links de comunicação 67% 67% 65% 57% 62% 83% 62%
Proteger
Suporte e atendimento de usuários (Help desk/central de serviços) 100% 100% 86% 60% 58% 83% 62%
Administração de contas de usuário 67% 50% 51% 40% 58% 67% 46%
Administração de contas de usuário com acesso privilegiado 50% 33% 38% 38% 38% 67% 46%
Administração de contas de usuário de terceiros 50% 33% 46% 39% 36% 67% 46%
Administração de certificados digitais 50% 17% 35% 31% 32% 17% 38%
Administração de ferramentas de segurança, como firewalls, IDS/IPS, WAF, entre outros 50% 50% 65% 64% 71% 50% 62%
Monitoração e operação do ambiente de produção 67% 83% 57% 58% 68% 50% 54%
Detectar
Controle e execução de batches 33% 67% 57% 38% 48% 33% 38%
Detectart/Responder Centro de operações de segurança (SOC) 33% 50% 65% 33% 42% 33% 38%
Tratamento de incidentes 1º nível 67% 100% 73% 46% 55% 50% 46%
Responder Tratamento de incidentes 2º nível 83% 67% 76% 49% 56% 67% 46%
Tratamento de incidentes 3º nível 100% 50% 73% 56% 57% 67% 38%
Anexo estatístico