Tag gerenciamento de risco

Nasdaq BWise reúne executivos para discutir as tendências da Governança, Risco e Compliance (GRC)

Riscos financeiros, reputacionais e operacionais são alguns dos desafios que os executivos precisam gerir com precisão e tempestividade nas empresas, em especial os riscos de conformidade em que há grande necessidade de cumprimento de uma série de normas e regulamentações. Neste cenário, o modelo de atuação das iniciativas de Governança, Risco e Compliance tem se tornado cada vez mais central na busca por maior segurança sobre o atingimento dos objetivos organizacionais.

Para discutir os novas tendências do setor, a Nasdaq BWise – líder mundial em tecnologia para GRC – promove no dia 10 de abril o Summit “GRC Estratégico: Uma visão além da conformidade”, que contará com a presença de Howard Zev, Vice-presidente da companhia para as Américas.

Durante o evento, Howard dará sua visão sobre o futuro do GRC. Além dele, também estarão presentes líderes de diversos setores, incluindo B3, Porto Seguro, BNP Paribas Cardif, Banco Votorantim e M. Dias Branco, que terão seus casos de sucesso compartilhados.

“Atualmente, para que haja efetividade na gestão de Governança, Risco e Compliance é imprescindível contar com uma tecnologia inteligente para auxiliar as áreas de negócio na identificação dos riscos relevantes das organizações. Por isso, buscando evolução neste tema, queremos discutir sobre os desafios, trocar experiências e refletir sobre as inovações em Risk Analytics, Machine Learning e Inteligência Artificial”, diz Claudinei Elias, Managing Director da Nasdaq BWise no Brasil.

O Summit abordará temas de relevância para o mercado, tais como: casos de sucesso, modelos estruturais e as inovações do GRC Cognitivo, o uso de Data Analytics, sistemas regulatórios, compliance, cibersecurity, além de um painel especial com executivos globais para discutir inovações no setor.

Summit Nasdaq BWise

Data: 10/04/2018

Local: Casa Traffô – Rua Gomes de Carvalho, 560, São Paulo

Horário: 09h às 18h

Tags, , , , , , , , ,

Grupo New Space discute futuro da Segurança Digital no GRC International + DRIDAY Latin America

O Grupo New Space, um dos líderes em serviços de tecnologia para o setor financeiro no Brasil, discute sobre o futuro da Segurança Digital, além de apresentar cases no GRC International + DRIDAY Latin America, um dos maiores eventos de Governança, Risco, Compliance e Disaster Recovery da América Latina, que acontece nos dias 25 e 26 de maio (quinta e sexta-feira), no Hotel Renaissance, em São Paulo (SP). O encontro reúne experientes especialistas, representantes e executivos das 500 maiores empresas e da área governamental do Brasil, proporcionando um cenário único para construção do conhecimento e de negócios.

Thiago Bordini, Diretor de Inteligência Cibernética do Grupo New Space, será o responsável por moderar o painel “Cyber Security – Ameaças e Desafios. O que mais vem pela frente?”, em que compartilhará a sua vasta experiência e conduzirá uma discussão sobre o futuro da Segurança Digital. Além do executivo do Grupo New Space, participam da sessão Rafael Salema Marques, Major Aviador da DECEA/FAB; Ricardo Tavares, Coordenador da Pós-Graduação de Cyber Security na DARYUS Educação; Dr. Rony Vainzof, Sócio da Opice Blum Advogados; Ricardo Nilsen Moreno, Coordenador de Cyber Segurança da Cielo; e Felipe Trovão, Head de Compliance na FOXBIT. O painel será realizado no dia 25 a partir das 14h25.

Mais tarde, às 17h15, Bordini ministrará a palestra “Segurança da Saúde. Do céu ao inferno!” em que apresentará cases e tendências relacionadas aos riscos em empresas públicas e privadas do segmento. “Acabamos de presenciar um ataque ransomware que afetou quase 100 países, o que mostra que a segurança digital é um ponto crítico e deve ser foco da atenção de qualquer companhia ou usuário comum. Assim, estar presente em um evento que já se estabeleceu no calendário dos profissionais dessa área é uma excelente oportunidade para fazer networking de alto nível, trocar experiências e discutir o futuro de nosso setor com profissionais renomados”, destaca o executivo do Grupo New Space.

Grupo New Space no GRC International + DRIDAY Latin America

Data: 25* e 26 de maio (quinta e sexta-feira)
Local: Hotel Renaissance
Endereço: Alameda Santos, 2233 – Cerqueira César, São Paulo/SP
*O painel “Cyber Security – Ameaças e Desafios. O que mais vem pela frente?” e a palestra “Segurança da Saúde. Do céu ao inferno!” serão realizados às 14h25 e às 17h15, respectivamente.

Tags, , , , ,

Detectar, conter e investigar: regras de proteção em TI – Por Guilherme Bezerra

S2Publicom_strip_57649_0_full

A Tecnologia da Informação é um dos setores que mais tem recebido investimentos no Brasil, em meio ao cenário desafiador em termos econômicos que o país enfrenta. O segmento mostra-se fundamental não apenas por fornecer recursos básicos para que as empresas operem, mas também ferramentas estratégicas para a captação e gestão de negócios.

Ao mesmo tempo em que a TI se torna cada vez mais peça essencial nas empresas, a preocupação com a segurança dos dados cresce e tem virado a principal dor de cabeça para os administradores das redes. Para os invasores, crackers, hackers e ameaças em geral, não há nenhum tipo de crise que esteja impactando no desenvolvimento de novas ameaças e ataques direcionados a empresas, independentemente do segmento de mercado em que atua o seu porte. O mundo entende que o coração das empresas está em suas informações e, por isso, hackers estão cada vez mais empenhados em invadir sistemas para obter informações sigilosas que possam fornecer algum tipo de vantagem para eles.

As ameaças estão além de “simples” malwares, usualmente passíveis de detecção por parte de um antivírus. Elas estão evoluindo e, atualmente, é essencial que as empresas atualizem seus métodos e tecnologias de detecção e resposta a incidentes. E, sobretudo, é preciso pensar e agir de forma rápida e certeira. Três estratégias surgem como essenciais para equipes de TI no trabalho incessante contra ciberataques.

Detecção: primeiramente é preciso contar com tecnologias que trabalhem pró-ativamente na detecção de ameaças. Firewalls tradicionais, por exemplo, não têm capacidade de inspecionar pacotes criptografados (https) e hoje existem diversas ameaças e técnicas de ataque que são baseadas neste protocolo. Por isso, é necessária a atenção para a implementação de sistemas integrados, como IPS/IDS, firewalls inteligentes para realização da inspeção de todo tráfego de rede e soluções como SIEM, que são focadas na coleta de logs de equipamentos/aplicações com foco na correlação de informações para identificação rápida de incidentes capazes de permanecer meses camuflados dentro do ambiente.

Contenção: uma vez que um incidente é detectado, o mesmo precisa ser classificado e, a partir disso, serem tomadas ações rápidas para conter possíveis disseminações, interceptações e vazamentos. É de extrema importância que, além de tecnologias, existam também processos estabelecidos para que as ações de contenção sejam tomadas.

Investigação/Erradicação: um dos principais erros das empresas é parar na fase de contenção de um incidente e não investir tempo na investigação. O fato impede que a empresa saiba qual a origem da possível exploração e entenda todos impactos e riscos sobre negócios e infraestrutura. Deve ser essencial que os incidentes sejam investigados e mapeados, para que seja possível estimar quais serão os esforços necessários para erradicação de um novo incidente desta classe, seja por meio de redefinições de regras em soluções, educação de usuários, novas políticas de segurança ou até mesmo possíveis investimentos em novas soluções de segurança da informação.

Os avanços da Tecnologia da Informação são uma realidade, sendo já consenso que a segurança dos dados é uma das principais preocupações das empresas. A invasão a uma rede e o vazamento de informações podem causar prejuízos incalculáveis. A indústria de TI tem desenvolvido ferramentas de prevenção. Entretanto, o papel das empresas nesse processo é essencial, sobretudo ao adotar soluções eficazes, levar em conta as três importantes estratégias do processo da segurança da informação e preparar os usuários para que não se tornem fontes possíveis de abertura das portas virtuais das empresas.

Guilherme Bezerra, Especialista de Soluções da Brasoftware

Tags, ,

Gartner identifica as 10 principais tecnologias em Segurança da Informação em 2016

O Gartner, Inc., líder mundial em pesquisa e aconselhamento imparcial em tecnologia, anuncia as 10 principais tecnologias para Segurança da Informação e suas implicações nas empresas em 2016 durante a Conferência Gartner Segurança e Gestão de Riscos, que acontece nos dias 2 e 3 de agosto no Sheraton São Paulo WTC Hotel (SP).

“As equipes de Segurança da Informação e de Infraestrutura devem se adaptar aos requisitos de negócios digitais emergentes e, ao mesmo tempo, estarem preparadas para lidar com um ambiente cada vez mais hostil. Os líderes de Segurança e de Gestão de Riscos precisam aprender a trabalhar com as últimas tendências tecnológicas se quiserem definir, alcançar e manter programas eficazes que ofereçam, de forma simultânea, oportunidades de negócios digitais com a gestão de riscos”, afirma Neil MacDonald, Vice-Presidente, Analista Emérito e Fellow Emeritus do Gartner.

As 10 principais tecnologias para a Segurança da Informação são:

Agentes de Segurança de Acesso à Nuvem – Os Agentes de Segurança do Acesso à Nuvem (do inglês, Cloud Access Security Brokers – CASBs) ajudam os profissionais de Segurança da Informação a fazerem um controle crítico do uso seguro, em conformidade com os serviços em Nuvem de seus diversos provedores. Muitos Software como Serviço (do inglês, Software as a Service – SaaS) têm visibilidade e opções de controle limitadas. No entanto, a adoção de SaaS está se tornando comum em empresas, o que agrava a sensação de frustração das equipes de segurança que desejam ter visibilidade e controle das aplicações e do ambiente de TI como um todo. As soluções CASB preenchem muitos dos espaços em branco dos serviços individuais armazenados em Nuvem e permitem que os CISOs (Chief Information Security Officers) realizem suas tarefas simultaneamente, incluindo a gestão de fornecedores de Infraestrutura como Serviço (do inglês, Infrastructure as a Service – IaaS) e de Plataformas como Serviço (do inglês, Platform as a Service – PaaS). Dessa forma, o CASB está de acordo com requisitos fundamentais para os CISOs estabelecerem políticas, monitorarem comportamentos e gerenciarem riscos de todos os serviços Cloud das empresas.

Detecção e Resposta de Endpoints (EDR) – O mercado de soluções de Detecção e Resposta de Endpoints (do inglês, Endpoint Detection and Response – EDR) está crescendo rapidamente para suprir as necessidades de proteção mais eficazes, detectando e reagindo mais agilmente diante de falhas. As ferramentas de EDR registram diversos eventos de rede e Endpoints e armazenam essas informações localmente ou em uma base de dados centralizada. Como Analytics de Comportamento, as técnicas de aprendizagem por máquina e as bases de dados de conhecidos indicadores de comprometimento (IOC, na sigla em inglês) são usadas para buscar continuamente informações para identificação de falhas (incluindo ameaças internas) e para responder rapidamente a esses ataques.

Abordagens sem assinatura para prevenção de Endpoints – As abordagens para a prevenção de malwares baseadas apenas em assinaturas são ineficazes contra ataques avançados e específicos. Diversas técnicas que melhoram essas abordagens tradicionais têm surgido, incluindo a proteção de memória e a prevenção contra exploit, que impedem a entrada das formas mais comuns de ameaças nos sistemas, e a prevenção automatizada contra malwares baseados em aprendizado, que utiliza modelos matemáticos como assinaturas para a identificação e bloqueio de ameaças.

Analytics de comportamento de usuários e da empresa – O Analytics de comportamento de usuários e da empresa (do inglês, User and Entity Behavioural Analytics – UEBA) permite a realização de uma análise de segurança mais ampla, muito parecida com as Informações de Segurança e Administração de Eventos (do inglês, Security Information and Event Management – SIEM) que possibilitam um amplo monitoramento da segurança. As UEBAs fornecem Analytics centrados no usuário e capazes de analisar seu comportamento e outros fatores como endpoints, redes e aplicativos. A correlação das análises de vários fatores torna os resultados mais precisos e a detecção de ameaças mais eficaz.

Microssegmentação e visibilidade do fluxo – Quando os ataques conseguem acessar os sistemas corporativos, eles podem se mover livremente pelas laterais (“leste/oeste”) para outros sistemas, antes mesmo de serem efetivamente detectados. Para resolver esse problema, há um requisito novo para a “microssegmentação” (segmentação mais granular) do tráfego (“leste/oeste”) nas redes corporativas. Além disso, muitas soluções também fornecem visibilidade e monitoramento dos fluxos de comunicação. As ferramentas de visualização permitem que os administradores de operações e segurança compreendam padrões de fluxos, estabeleçam políticas de segmentação e monitorem eventuais divergências. Diversos fornecedores de tecnologia oferecem criptografia opcional do tráfego da rede (geralmente, túneis IPsec point-to-point) entre cargas de trabalho para a proteção de dados em movimento e oferecem isolamento criptografado entre cargas de trabalho.

Testes de segurança para DevOps (DevSecOps) – A segurança precisa se tornar parte integrante dos fluxos de trabalho das empresas (DevOps — DevSecOps), alinhando o time de desenvolvimento com a equipe de operações, em relação a processos, ferramentas e responsabilidades. Os modelos operacionais DevSecOps estão surgindo e usam certificados, modelos e padrões para conduzir a configuração implícita da infraestrutura de segurança, incluindo políticas como os testes de aplicativos durante o desenvolvimento ou a conectividade da rede. Além disso, diversas soluções realizam avaliações automáticas para encontrar os pontos fracos durante o processo de desenvolvimento, antes mesmo de o sistema ser liberado para produção. A segurança, sendo conduzida por modelos, padrões ou por um conjunto de ferramentas, terá o conceito e o resultado desejados, com uma configuração automatizada, transparente e em conformidade com a infraestrutura de segurança desejada pela empresa e baseada em políticas que refletem as cargas de trabalho atuais.

Soluções de orquestração do Centro Operacional de Segurança baseado em inteligência – O Centro Operacional de Segurança (do inglês, Security Operations Centre – SOC) baseado em inteligência vai além do monitoramento focado em eventos e de tecnologias preventivas. Um SOC desse tipo deve ser usado para informar cada aspecto das operações de segurança. Para cumprir os desafios do novo paradigma de detecção e resposta, um SOC baseado em inteligência também precisa ir além das defesas tradicionais, com uma arquitetura adaptada e com uso de componentes que sejam relacionados ao contexto. Para apoiar as mudanças requeridas nos programas de Segurança da Informação, o SOC tradicional deve se desenvolver para se tornar um modelo baseado em inteligência, com a automação e a orquestração dos processos, posicionando-se como um facilitador fundamental.

Navegador Remoto – A maioria dos ataques começa direcionando um malware entregue via e-mail ou pelo acesso a endereços (URLs) ou a sites de risco para os usuários finais. Uma nova abordagem relacionada a esse risco é o acesso remoto ao navegador por meio de um “servidor de navegação” (geralmente em Linux) que funciona localmente ou em Nuvem. Ao isolar a função de navegação do resto do Endpoint e da rede da empresa, o malware fica fora do PC do usuário final e a empresa reduz significativamente sua área de ataque ao deslocar o risco para as divisões do servidor que podem ser facilmente reinicializadas a cada sessão de navegação, ou a cada abertura de uma nova página.

Tecnologia Deception – As tecnologias Deception são definidas pelo uso de artifícios ou truques destinados a impedir ou eliminar processos cognitivos do invasor, interromper suas ferramentas de automação, atrasar suas atividades ou evitar o progresso da falha. As capacidades de fraude criam, por exemplo, vulnerabilidades, sistemas, compartilhamentos e cookies enganosos que, quando acionados, começam a invasão, já que um usuário legítimo não deveria ver ou tentar acessá-los. As tecnologias Deception estão surgindo para redes, aplicativos, Endpoints e dados com os melhores sistemas combinando diversas técnicas. O Gartner prevê que, até 2018, 10% das empresas usarão ferramentas e táticas com tecnologia Deception contra invasores.

Serviços universais de segurança – A área de TI e os departamentos de Segurança das empresas estão sendo acionados para estender suas capacidades de proteção para a tecnologia operacional e para Internet das Coisas. Dessa forma, novos modelos devem surgir para entregar e administrar a confiabilidade em escala. Os serviços de segurança devem ser projetados para elevar e apoiar as necessidades de bilhões de aparelhos. As companhias que procuram uma confiabilidade distribuída em larga escala devem focar no que inclua a entrega de segurança, a integridade dos dados, a confidencialidade e a identidade e autenticação do aparelho. Algumas abordagens de ponta usam a confiabilidade distribuída e arquiteturas de cadeia de bloqueio para administrarem a integridade dos dados em larga escala.

Conferência Gartner Segurança e Gestão de Riscos 2016
Data: 2 e 3 de agosto de 2016 (Terça e Quarta-feira)
Site: Gartner.com/br/security.

Tags

Profissionalização do cibercrime provoca disrupções em empresas digitais

Novo relatório da BT e da KPMG adverte sobre as ameaças emergentes que têm origem em empresas cibercriminosas altamente organizadas, visando o lucro

Apenas um quinto dos executivos de TI das grandes empresas multinacionais afirmam que suas organizações estão realmente preparadas para combater a ameaça do cibercrime. A grande maioria das empresas se sente limitada por regulamentações, disponibilidade de recursos e a dependência de terceiros quando se trata de reagir a esses ataques, segundo nova pesquisa da BT e da KPMG.

O estudo – “Taking the Offensive – Working Together to disrupt digital crime” – identificou que, embora 94% dos responsáveis pelas decisões em TI estejam cientes de que empresários criminosos chantageiam e subornam funcionários para ter acesso a suas organizações, cerca de metade deles (47%) admite que suas empresas não implementaram qualquer estratégia para impedir essas ações.

O estudo também verificou que 97% dos entrevistados já foram alvo de ataques cibernéticos, que, segundo metade deles, vêm se intensificando nos últimos dois anos. Além disso, 91% dos entrevistados acreditam que enfrentam obstáculos em suas defesas contra os ataques digitais: muitos deles citam entraves regulatórios, e 44% se mostram preocupados com a dependência de terceiros para ações de resposta que são de sua responsabilidade.

Mark Hughes, CEO da área de Security da BT, destaca que “estamos agora em uma corrida armamentista contra gangues de criminosos profissionais e contra estados que possuem recursos avançados. No século 21, os cibercriminosos são empresários cruéis e eficientes, atuando em um mercado negro altamente sofisticado e em rápida evolução.

“A contínua escalada do cibercrime exige uma nova abordagem em relação ao risco digital – e isso significa, em primeiro lugar, colocar-se na pele dos atacantes. Não basta as empresas se defenderem dos ataques. É preciso também interromper as atividades das organizações criminosas que lançam esses ataques. As empresas precisam contar com leis aplicadas contra os criminosos, e também com a competência de parceiros especializados em segurança cibernética”.

Paul Taylor, que está à frente da área de segurança cibernética da KPMG no Reino Unido, ressalta que “é tempo de pensar o risco cibernético sob outro ângulo, retirando o foco exclusivamente dos hackers, e reconhecendo que nossas organizações estão sendo alvo de empresários criminosos e impiedosos, que têm planos de negócio e utilizam amplos recursos com intenção de fraudar, extorquir e roubar a propriedade intelectual do que lutamos para conquistar.

“Falar de forma genérica sobre o risco digital não vai apresentar soluções. É necessário pensar em possíveis cenários de ataque à sua empresa e considerar como a segurança cibernética, controle de fraude e resiliência podem ser combinados para lidar com essas ameaças de modo eficiente. Dessa forma, a segurança cibernética se torna uma estratégia corporativa importante para os negócios no mundo digital”.

O estudo da BT/KPMG indica que os Chief Digital Risk Officers (CDROs) agora estão sendo chamados a assumir um papel estratégico, somando experiência no mundo digital e competência gerencial de alto nível. Entre os entrevistados, 26% disseram já contar com um profissional nessa função, o que sugere que a área de segurança e as responsabilidades inerentes a ela estão sendo reavaliadas.

A pesquisa também sinaliza a necessidade de ajuste dos orçamentos, e 60% dos entrevistados indicaram que, nas suas empresas, a segurança cibernética faz parte do orçamento de TI. Metade deles (50%) acredita que deveria haver um orçamento específico para segurança. Um dos maiores desafios identificados pelo relatório é o volume de financiamento e investimentos em P&D que os criminosos conseguem reunir para minar as defesas das empresas alvo.

Participaram do estudo “Taking the Offensive – Working together to disrupt digital crime” profissionais responsáveis pela área de segurança de conhecidas organizações globais. A pesquisa relata exemplos de diversas formas de ataques criminosos identificados por essas organizações, incluindo diferentes tipos de malware e ataques de phishing. Também descreve os principais modelos de negócio dos criminosos e o mercado negro que permeia suas atividades – sejam sofisticados ataques ao sistema financeiro; ataques a empresas ou indivíduos com alta renda, ou até mesmo ataques que já se tornaram commodities, afetando a todos nós.

As conclusões da pesquisa apontam para a necessidade de uma nova mentalidade, considerando a segurança não mais apenas como um exercício de defesa. A segurança, na verdade, é ponto crucial para a inovação digital e, em última instância, para a lucratividade das empresas.

A BT e a KPMG estão agora em contato com grandes organizações em todo o mundo para promover um debate sobre as conclusões da pesquisa e colaborar nas mudanças que devem ser realizadas. Veja a íntegra do relatório.

Nota:
As conclusões e recomendações do relatório “Taking the Offensive – Disrupting Cyber Crime” são baseadas em entrevistas realizadas em parceria com a Vason Bourne, com diretores responsáveis pela TI, resiliência e operações de negócio das maiores empresas nos Estados Unidos, Reino Unido, Singapura, Índia e Austrália. Para fazer o download do relatório, visite: http://www.bt.com/taking-the-offensive

Tags, , , , ,

Gartner alerta para áreas de Segurança em Nuvem que as empresas devem focar

O Gartner, Inc., líder mundial em pesquisa e aconselhamento imparcial em tecnologia, alerta as empresas para a segurança de aplicações armazenadas em ambientes Cloud (em Nuvem). Enquanto muitos profissionais de tecnologia ainda estão desenhando suas estratégias de Cloud, hesitando em adotar ou definindo seus fornecedores, os funcionários das organizações já estão amplamente utilizando centenas de aplicações Cloud, em especial Software como Serviço (do inglês, Software as a Service – SaaS). Esse tema será amplamente debatido na Conferência Gartner Segurança e Gestão de Riscos, que acontece nos dias 2 e 3 de agosto no Sheraton São Paulo WTC Hotel (SP).

Segundo o Gartner, a computação em Nuvem cria muitos desafios para todas as empresas. Geralmente, nenhuma política corporativa de Cloud ou projeto de segurança é abrangente o suficiente. Do ponto de vista da Segurança e da Gestão de Riscos, a ambiguidade é especialmente difícil de lidar. Um dos principais dilemas com relação à introdução de políticas de computação em Nuvem é que ninguém consegue realmente definir o que ela é. “Enquanto os CISOs (do inglês, Chief Information Security Officers) veem a Nuvem como um estilo de computação, outras partes da empresa enxergam apenas como ‘coisas acessadas pela Internet’”, afirma Jay Heiser, Vice-Presidente de Pesquisa do Gartner.

Independentemente de como os grupos definem a computação em Nuvem, os analistas do Gartner indicam que é essencial ter uma estratégia bem definida, assim como políticas para o seu uso. As empresas devem focar em três áreas principais de segurança na Nuvem: multilocação, virtualização e software como serviço.

A multilocação proporciona flexibilidade limitada nos serviços para empresas dividem espaço com outros clientes. Com os dados fora do controle físico da companhia, a segurança acaba se tornando um problema. De fato, 38% das organizações que não planejam utilizar a Nuvem Pública apontaram a segurança e a privacidade como os principais motivos de risco. No entanto, as empresas podem estar usando a segurança e a privacidade como “desculpa”, tanto pelo medo de abdicar do controle sobre os dados quanto pela grande mudança no status quo do modo como estão acostumadas a trabalhar. “Não há correlação entre falha de segurança e o grau de multilocação. Às vezes, tornar-se híbrida pode ser a melhor forma para que algumas empresas ganhem confiança no modelo de Nuvem Pública”, explica Heiser.

A virtualização requer uma gestão de vulnerabilidade e processos de comparação distintos para o ambiente de Nuvem. As empresas podem usar ferramentas diferentes para gerenciar máquinas virtuais, uma vez que sua natureza complexa, dinâmica e distribuída não permite a indicação física de segurança como as “luzes piscantes” dos modelos tradicionais.

Os aplicativos de SaaS (Software como Serviço) oferecem um nível cada vez maior de segurança, com inúmeras funcionalidades de controle. No entanto, as aplicações de SaaS estão, no geral, sob o comando dos usuários finais, oferecendo uma transparência mínima e sem possibilidades de personalização para as demandas das empresas. Para aumentar a complexidade, muitas empresas chegam a ter 1.000 aplicativos SaaS em uso.

Priorize suas escolhas de SaaS

Os profissionais de segurança (CISOs) precisam definir suas prioridades e definir o tempo e os melhores recursos para lidar com o contexto de risco no uso de SaaS. Dessa forma, é necessário dividir os aplicativos de SaaS (Software como Serviço) em três níveis:

Nível 1: Realisticamente, cerca de 80% do mercado está centrado em 100 serviços de Cloud. Os principais fornecedores têm opções comprovadas, mas as organizações precisam se debruçar sobre o tema e verificar se realmente elas estão fora de risco para usar as soluções de forma segura.

Nível 2: Estas empresas, tipicamente grandes marcas que estão experimentando Cloud Services, não tinham oferecido antes como ofertas principais por mais de cinco anos. Geralmente com uma estratégia vertical de oferta de aplicativos, eles bloquearam avaialçies de terceiros. É neles que os CISOs devem focar suas avaliações e seus recursos.

Nível 3: Os milhares de aplicativos de computação em Nuvem classificados como nível 3 são praticamente irrelevantes, segundo Heiser. Não se pode assumir que um pequeno provedor de serviço em Nuvem (CSP) seja seguro ou financeiramente estável. Apesar de ser um risco aceitável, estes aplicativos devem ser utilizados com cuidado.

Conferência Gartner Segurança e Gestão de Riscos 2016
Data: 2 e 3 de agosto de 2016 (Terça e Quarta-feira)
Local: Sheraton São Paulo WTC Hotel – Av. das Nações Unidas, nº 12.559
Site: Gartner.com/br/security.

Tags, , , , , ,

A ISH Tecnologia, uma das 100 maiores de TI, especializada em segurança da informação, adota sistema de gestão da SAP

Empresa capixaba, com 20 anos de atuação em todo o País e na América Latina, muda para o SAP All in One baseado na plataforma Hana

A ISH Tecnologia, uma das 100 maiores empresas de TI do Brasil, especializada no fornecimento de Soluções Integradas de Segurança e Infraestrutura, decidiu mudar seu sistema de gestão e implementar o SAP Business All in One. Com sede em Vitória, no Espírito Santo, a ISH, fundada na década de 90, tem cinco filiais e 200 colaboradores, atuando em todo o Brasil e na América Latina em quatro áreas de negócios: Data Center, Risco de Negócio, Serviços Gerenciados e Integração e Inovação. A empresa fechou o ano de 2015 com um faturamento de R$ 100 milhões.

Dona do maior Datacenter da região, a ISH conquistou clientes dos mais variados portes, de todos os segmentos de negócios, de redes de varejo a órgãos governamentais, instituições do “sistema S” (Sesc, Senac, Sesi), operadoras de telecomunicações e hospitais, entre outros Em 2015, já estava listada entre as 100 maiores do setor do Brasil, e figurou no ranking das 50 Pequenas e Médias Empresas que mais crescem no País.

Para manter a média de crescimento de 2 dígitos registrada nos últimos anos, a ISH Tecnologia precisava, segundo seu presidente, Rodrigo V. Etienne Dessaune, de um sistema de governança que atendesse não só as necessidades atuais da empresa como as geradas pelo crescimento previsto para os próximos cinco anos”. Entre os principais benefícios do SAP Business All in One, segundo o executivo, está o fim de um gap entre o fechamento do mês e o fechamento contábil, atualizando praticamente em tempo real a contabilidade, eliminando inconsistências e atrasos nos processos. “Além disso, a solução da SAP, que será implementada pela Megawork, um integrador com grande expertise, permite total integração com as demais soluções que rodam na ISH Tecnologia”, destaca Etienne Dessaune.

Luciano Idésio, diretor de Vendas da SAP Brasil, destaca que a ISH é um cliente estratégico para a SAP, “já que comprova a capacidade que a empresa tem de atender, com o SAP All in One, os processos críticos de negócios, proporcionando um retorno real ao investimento realizado”. O executivo destaca ainda que, além de cliente, a ISH passa a ser um verdadeiro parceiro na região do Espirito Santo: “Estamos crescendo continuamente no mercado de médias e pequenas empresas no Brasil e a ISH, adquirindo, com esse projeto, maior conhecimento da plataforma HANA, poderá prover serviços de datacenter e suporte aos clientes Hana da SAP nas regiões em que atua”.

O go live do SAP All in One, segundo Alexandro Carvalho, presidente da Megawork, está previsto para o segundo trimestre de 2016, e a implementação será baseada inteiramente nas melhores práticas. “A implementação do SAP na ISH, pela Megawork, representa o alinhamento estratégico das empresas líderes de infraestrutura e de aplicações na região, que passaram a atuar com a melhor tecnologia para uso próprio e para atendimento de seus clientes no futuro”, afirma.

Tags, , , , , , ,