daryus byod – como lidar com riscos estratégicos de dispositivos pessoais

Cláudio Dodt, CISA, CISSP, CRISC, ISMAS

Consultor Senior

Gerente regional - Nordeste

claudio.dodt@daryus.com.br

BYOD: O Novo Desafio para a Gestão de Risco Corporativa

Restrito ao GRM. © Copyright 2012. DARYUS – São Paulo – Brasil. | www.globalriskmeeting.com.br | +55 11 3285-6539

Restrito ao GRM. © Copyright 2012. DARYUS – São Paulo – Brasil. | www.globalriskmeeting.com.br | +55 11 3285-6539

Lice

nça

de

Uso

COPYRIGHT® 7° GLOBAL RISK MEETING

Você pode copiar, distribuir, criar obras derivadas e exibir as informações contidas neste documento com as seguintes restrições:

Deve ser dado crédito ao autor original, e ao 7° GLOBAL RISK MEETING. Ambas as fontes devem ser citadas.

$ Você NÃO pode utilizar as informações contidas neste documento para fins comerciais.

Compartilhamento exclusivo pela mesma Licença. Se você alterar, transformar, ou criar outra obra com nas informações contidas neste documento, você somente poderá distribuir a obra resultante sob uma licença idêntica a esta.

Restrito ao GRM. © Copyright 2012. DARYUS – São Paulo – Brasil. | www.globalriskmeeting.com.br | +55 11 3285-6539

O que é a

CONSUMERIZAÇÃO de TI?

Restrito ao GRM. © Copyright 2012. DARYUS – São Paulo – Brasil. | www.globalriskmeeting.com.br | +55 11 3285-6539

O que muda para as

organizações?

Fon

te: h

ttp

://w

ww

.gar

tne

r.co

m/i

t/p

age.

jsp

?id

=14

80

51

4

Restrito ao GRM. © Copyright 2012. DARYUS – São Paulo – Brasil. | www.globalriskmeeting.com.br | +55 11 3285-6539

Celulares esquecidos em Taxis

(apenas NY)

Restrito ao GRM. © Copyright 2012. DARYUS – São Paulo – Brasil. | www.globalriskmeeting.com.br | +55 11 3285-6539

O que isso pode representar para sua empresa?

Restrito ao GRM. © Copyright 2012. DARYUS – São Paulo – Brasil. | www.globalriskmeeting.com.br | +55 11 3285-6539

Como fica a gestão de TIC?

Gerenciamento

Corporativo

Gerenciamento

Consumerizado

• Controlado;

• Previsível;

• Centralizado no

processo;

• Eficiente;

• Conservador.

• Conectado;

• Aberto;

• Centralizado na

Informação;

• Inovador;

• Agressivo.

Restrito ao GRM. © Copyright 2012. DARYUS – São Paulo – Brasil. | www.globalriskmeeting.com.br | +55 11 3285-6539

B Y O D

RING

OUR

WN

EVICE

Prática do uso de

equipamentos pessoais

para acessar

informações e serviços

corporativos.

Restrito ao GRM. © Copyright 2012. DARYUS – São Paulo – Brasil. | www.globalriskmeeting.com.br | +55 11 3285-6539

B Y O D Prática do uso de

equipamentos pessoais

para acessar

informações e serviços

corporativos.

Simple facts: _____________________________________________________________________________________________________________________________________________________

1. Não é novidade!

2. Com a consumerização cresceu

exponencialmente!

3. Você provavelmente já está fazendo!

Restrito ao GRM. © Copyright 2012. DARYUS – São Paulo – Brasil. | www.globalriskmeeting.com.br | +55 11 3285-6539

Possíveis benefícios: • Redução de custos;

• Aumento na produtividade;

• Aumento na satisfação dos empregados;

• Apoia iniciativas de Continuidade e

Disaster Recovery.

Restrito ao GRM. © Copyright 2012. DARYUS – São Paulo – Brasil. | www.globalriskmeeting.com.br | +55 11 3285-6539

Riscos Prováveis: • Perda, vazamento e roubo de

informação;

• Infecção por malwares;

• Interrupções no serviço;

• Implicações legais;

• Pesadelos para equipes de Suporte

Técnico e Segurança da Informação.

Restrito ao GRM. © Copyright 2012. DARYUS – São Paulo – Brasil. | www.globalriskmeeting.com.br | +55 11 3285-6539

Mitigação do Risco

Valo

r p

ara

o N

eg

ócio

Qual a melhor forma de garantir

o VALOR para o negócio e

mitigar os riscos do BYOD?

Restrito ao GRM. © Copyright 2012. DARYUS – São Paulo – Brasil. | www.globalriskmeeting.com.br | +55 11 3285-6539

Mitigação do Risco

Restringir

• Definir políticas e procedimentos

• Tecnologia de apoio

• Arquitetura corporativa

• Definir níveis de suporte

Permitir

• Definir políticas e procedimentos

• Não prover suporte

• “Confiar” no empregado

Valo

r p

ara

o N

eg

ócio

Abraçar

• Definir políticas e procedimentos

• Melhores práticas

• Tecnologia de apoio

• Arquitetura corporativa

• Central de Serviços Corporativa

Bloquear

• Definir políticas e procedimentos

• Definir controles técnicos

• Monitoração

Restrito ao GRM. © Copyright 2012. DARYUS – São Paulo – Brasil. | www.globalriskmeeting.com.br | +55 11 3285-6539

Mitigação do Risco

Valo

r p

ara

o N

eg

ócio

Criar uma política, proibir ou apenas confiar

não é suficiente!

De acordo com uma pesquisa da Cisco em janeiro 2012, que

abrangeu mais de 1500 CIOs:

• 48% das empresas NÃO autorizam BYOD;

• No entanto, 57% dos pesquisados concordaram que

alguns funcionários usam dispositivos pessoais

para acessar recursos corporativos, mesmo sem o

consentimento!

Restrito ao GRM. © Copyright 2012. DARYUS – São Paulo – Brasil. | www.globalriskmeeting.com.br | +55 11 3285-6539

Estamos preparados?

Sim 14%

Em Desenvolvimento

32%

Não 54%

Sua empresa possui uma

política de BYOD?

Restrito ao GRM. © Copyright 2012. DARYUS – São Paulo – Brasil. | www.globalriskmeeting.com.br | +55 11 3285-6539

BYOD

Políticas

Uma visão holística

Restrito ao GRM. © Copyright 2012. DARYUS – São Paulo – Brasil. | www.globalriskmeeting.com.br | +55 11 3285-6539

Quais plataformas de dispositivos móveis devem ser suportadas?

Quais serviços corporativos esses dispositivos devem acessar?

Quais são os requisitos de segurança?

Existe alguma lei ou regulamentação que devo estar conforme?

Quais são as expectativas de privacidade de seus usuários?

Quais são as capacidades técnicas dos usuários?

Qual é o nível de suporte esperado?

O que é considerado “Aceitável” e “Inaceitável”?

Como será a política de reembolso de despesas?

Precisamos definir:

Restrito ao GRM. © Copyright 2012. DARYUS – São Paulo – Brasil. | www.globalriskmeeting.com.br | +55 11 3285-6539

Conclusão:

• CONSUMERIZAÇÃO e BYOD são uma realidade e

você não vai conseguir escapar...

...mas definitivamente pode e deve controlar.

• Uma política é essencial...

...mas sozinha não é suficiente.

• A Estratégia vencedora?

Política + Conscientização + Tecnologia

Restrito ao GRM. © Copyright 2012. DARYUS – São Paulo – Brasil. | www.globalriskmeeting.com.br | +55 11 3285-6539

Perguntas?

Restrito ao GRM. © Copyright 2012. DARYUS – São Paulo – Brasil. | www.globalriskmeeting.com.br | +55 11 3285-6539

Obrigado!