Life SciencesCyber SecurityMarço de 2015

kpmg.com/BR

ORGANIZAÇÕES DE SAÚDE RELATAM PERDA DE DADOS E INCIDENTES DE ROUBO A DUAS VEZES A TAXA DE OUTRAS INDÚSTRIASFonte: Verizon’s 2014 Data Breach Investigations Report

2X

~£2B É O CUSTO DE ROUBO DE INFORMAÇÕES DENTRO DOS SETORES FARMACÊUTICOS, DE BIOTECNOLOGIA E DE SAÚDE DO REINO UNIDO.Fonte: UK’s Office of Cyber Security and

Information Assurance (OCISA)

O CENÁRIO ATUAL

As manchetes são alarmantes e novos

eventos são relatados quase todos os dias.

Os avisos são terríveis, a preocupação do consumidor

e o controle regulatório estão no centro das atenções. A

natureza complexa e muitas vezes incompreendida da

segurança cibernética está exercendo uma enorme pressão

sobre a cadeia de valor da indústria farmacêutica.

Embora a necessidade de uma melhor compreensão e de controles

seja óbvia, recomendamos para que as empresas contenham o instinto natural

de uma reação exagerada à crise atual de segurança cibernética. Em vez disso,

estabeleçam uma abordagem disciplinada, a fim de obter melhorias relacionadas à

segurança cibernética e, simultaneamente, proporcionar benefícios reais para o negócio.

INICIANDO OS TRABALHOS

Temos visto muitas tentativas desesperadas e malsucedidas para enfrentar o desafio de

segurança cibernética. Isso inclui programas de segurança cibernética com base principalmente

em melhores e mais recentes ferramentas técnicas, em uma tentativa de erradicar qualquer

ameaça à segurança cibernética possível ou percebida. Essa corrida para ação pode resultar

em uma organização com soluções técnicas que não são necessárias, processos que não funcionam

adequadamente, não atribuição de controles claros, e soluções de segurança cibernética muito caras para se

sustentar ao longo do tempo.

Recomendamos uma abordagem bem pensada e disciplinada para compreensão, avaliação, priorização e mitigação dos

riscos de segurança cibernética que impactam os ativos de informações mais sensíveis. Tudo isso com base em nossa

experiência no fornecimento de serviços de transformação em segurança cibernética, em que desenvolvemos uma abordagem

que vai auxiliar nossos clientes no estabelecimento de melhorias relacionadas à segurança cibernética modeladas ao seu negócio.

A nossa abordagem pode ser resumida em 4 passos, conforme descritos a seguir:

RESUMO DE NOSSA ABORDAGEM

• Trabalharparadefinircenáriosderiscodesegurançacibernéticaexclusivos para seu ambiente.

• Identificarosativosdeinformaçõessensíveisefluxosdedadosrelawcionados.

• Inventariarativosdetecnologiaeanalisarriscos.- Avaliar a maturidade de segurança cibernética por meio da: - Liderança e governança;- Cultura;- Gestão de riscos da Informação;- Operações de TI, tecnologia, nível de habilidade;- Legais e de conformidade;- A continuidade dos negócios;- A gestão de crises.

• EnvolverafunçãodesegurançadeTIaoprojetareimplementaramudança nos negócios.

• Corrigirproblemasdealtoriscoidentificadosduranteosesforçosdeavaliação e criação de catálogo (ver acima).

• Roadmapdaestratégiadealteraçãodedocumentosdesegurançacibernética baseada na avaliação da maturidade.

• Atualizaromapadecontroles,emconformidadecomosrequisitosde negócios e regulamentares.

• Introduzirumaabordagemunificadadecomplianceatravésdapadronização de controles.

• Reforçarosprocedimentosdeaquisiçãodeativosdetecnologia/software e desenvolvimento.

• Melhoraragovernançadeterceirosefornecedores,edefiniragendas comuns.

• Padronizarosprocessosdegestãodeserviçoseautomatizarfluxosde trabalho relacionados.

• Aproximaroscontrolesdedadosatravésde:- Gerenciamento de direitos digitais; - Gestão de ativos;- Gerenciamento de identidades;- Gerenciamento de direitos privilegiados;- Gerenciamento de chaves;- Endereçamento do vazamento de dados, pontos de proteção

contra perda.

• Processarogerenciamentodeincidentes,atualizaçãoedivulgação.• Melhoraracoordenaçãoentreasequipesnãotécnicas(por

exemplo,Legal,Comunicação,Pesquisaetc.).• Reforçarasnormasdedocumentaçãoecapacidadedeinvestigação.• Entregarmelhoresindicadoresdesegurançacibernética.

CONJUNTO

CATÁLOGO

LIMPEZA

CONTROLE

COMUNICAÇÃO

O CENÁRIO ATUAL

As manchetes são alarmantes e novos

eventos são relatados quase todos os dias.

Os avisos são terríveis, a preocupação do consumidor

e o controle regulatório estão no centro das atenções. A

natureza complexa e muitas vezes incompreendida da

segurança cibernética está exercendo uma enorme pressão

sobre a cadeia de valor da indústria farmacêutica.

Embora a necessidade de uma melhor compreensão e de controles

seja óbvia, recomendamos para que as empresas contenham o instinto natural

de uma reação exagerada à crise atual de segurança cibernética. Em vez disso,

estabeleçam uma abordagem disciplinada, a fim de obter melhorias relacionadas à

segurança cibernética e, simultaneamente, proporcionar benefícios reais para o negócio.

INICIANDO OS TRABALHOS

Temos visto muitas tentativas desesperadas e malsucedidas para enfrentar o desafio de

segurança cibernética. Isso inclui programas de segurança cibernética com base principalmente

em melhores e mais recentes ferramentas técnicas, em uma tentativa de erradicar qualquer

ameaça à segurança cibernética possível ou percebida. Essa corrida para ação pode resultar

em uma organização com soluções técnicas que não são necessárias, processos que não funcionam

adequadamente, não atribuição de controles claros, e soluções de segurança cibernética muito caras para se

sustentar ao longo do tempo.

Recomendamos uma abordagem bem pensada e disciplinada para compreensão, avaliação, priorização e mitigação dos

riscos de segurança cibernética que impactam os ativos de informações mais sensíveis. Tudo isso com base em nossa

experiência no fornecimento de serviços de transformação em segurança cibernética, em que desenvolvemos uma abordagem

que vai auxiliar nossos clientes no estabelecimento de melhorias relacionadas à segurança cibernética modeladas ao seu negócio.

OS DESAFIOS ENFRENTADOS

Há realmente muita coisa em jogo e muitos desafios. As organizações inseridas na cadeia de valor da indústria farmacêutica têm volumes significativos de ativos confidenciais de informação que precisam ser protegidos de acordo com diferentes e, por vezes, contraditórias expectativas, incluindo: necessidades de consumo, políticas corporativas, padrões da indústria, requisitos regulamentares, normas jurídicas que ultrapassam fronteiras e bom senso. Todas as organizações do setor possuem os 5 seguintes tipos de ativos:

•Corporativos: propriedade intelectual, pesquisa, desenvolvimento, fusão, aquisição, alienação, segredos comerciais etc.

•Cliente: clínica, ensaio, dosagem, medicamentos, sintomas, resultados, dados pessoais.

•Funcionário: recursos humanos, folha de pagamento, saúde, benefícios, avaliações de desempenho.

•Fornecedores e Terceiros: acordos comerciais, cartões de taxa, hospedagem de dados, dados de gestão.

•Jurídico e Legal: Ações judiciais, arbitragem e comunicações privilegiadas.

Cada tipo de informação de ativos deve ser considerado exclusivamente quando da elaboração de sua estratégia de segurança cibernética; isto é devido a tecnologia, recursos, qualificação, regulamentação, processos e considerações distintas de controles necessários para proteger totalmente e governar esses diferentes tipos de informação - a partir das ações para criação, uso, armazenamento e destruição (ciclo de vida do ativo de informações,porexemplo).Programasdesegurançacibernética de sucesso devem aderir a um princípio básico de proteção de informações e privacidade: mover controles e governança o mais próximo possível do dado a ser protegido.

17.000MÉDIA DO NÚMERO

DE REGISTROS DE PACIENTES VIOLADOS

POR DIA A PARTIR DE 2009 ATÉ O PRESENTE

Fonte: Depto. de Saúde e Serviços Humanos (US)

CYBER SECURITY FACILITANDO A MUDANÇA ESTRATÉGICA

17.000MÉDIA DO NÚMERO

DE REGISTROS DE PACIENTES VIOLADOS

POR DIA A PARTIR DE 2009 ATÉ O PRESENTE

Fonte: Depto. de Saúde e Serviços Humanos (US)

As organizações do setor de Life Sciences atuando para melhorar as capacidades de segurança cibernética, ao mesmo tempo que tentam encontrar oportunidades de reduzir custos, melhorar a eficiência dos processos, consolidar tecnologias, implementação de tecnologias e soluções emergentes, introduzir novos modelos de

negócios, e aumentar as margens de lucro. Nosso resumo das principais tendências do mercado, as implicações para a indústria e como a melhoria das capacidades de segurança cibernética podem servir como um facilitador estratégico facilitando uma mudança positiva é apresentada da seguinte forma:

TENDÊNCIA DE MERCADOIMPLICAÇÕESPARA LIFE SCIENCES

MUDANÇASREQUERIDASPARACYBER

HABILITADOR DE MUDANÇAS

ALIANÇAS DE NEGÓCIO E MODELOS OPERACIONAIS DIFERENCIADOS (PLUG & PLAY)

Aumento da complexidade e dos riscos de processos, dados e tecnologias

•Procedimentosdediligência e de avaliação de riscos de segurança cibernética relacionados a terceiros e fornecedores

•Controles de acesso e governança de ativos de informação

•Reduz riscos de sourcing e negócios relacionados a parceiros e fornecedores

•Facilita o acesso on-demand para informações

GLOBALIZAÇÃO E EMERGENTE EXPANSÃO DO MERCADO

Maior dependência, organizações de TI escaláveis para apoiar a cadeia de abastecimento global, mercados em evolução, expansão internacional e as exigências dos consumidores

•Melhoria das estruturas de controle de segurança cibernética

•Melhoria de análise de segurança cibernética, relatórios e comunicações

•Diminui a mudança e os custos relacionados com o desenvolvimento

•Reduz o cumprimento regulatório através de uma abordagem de relatórios de conformidade unificada

EVOLUÇÃO DO MODELO COMERCIAL

Surgimento de novas parcerias comerciais e maior dependência de Direct-to-Consumer e canais de mercado B2C

•Controles de acesso e governança de ativos de informação

•Melhoria das estruturas de controle de segurança cibernética

•Permiteaproliferaçãodecanais de interação com o cliente (ou seja, a mídia social) e acesso móvel a dados

•Oferece oportunidades de certificação de segurança cibernética escalável

AUMENTO DO PAPEL DO GOVERNO NO ÂMBITO DA REGULAÇÃO

Alteração das operações de negócio em evolução, carga regulamentar e aumento de relatórios de conformidade

•Melhoria dos dados e controles de segurança centralizados

•Melhoria da informação de gestão do ciclo de vida de ativos e controles

•Atinge as regras de segurança cibernética internacional e requisitos de privacidade

•Garante arquivamento e cumprimento dos requisitos de controle de retenção de dados

EVOLUÇÃO DOS MODELOS DE PRESTAÇÃO DE SERVIÇOS ÀS EMPRESAS

Surgimento de serviços compartilhados e outsourcing com soluções de negócios em nuvem

•Controles de acesso e governança de ativos de informação

•Melhoria de análise de segurança cibernética, relatórios e comunicações

•Fornece maior controle e colaboração com terceiros e fornecedores, a fim de atingir as metas de desempenho

•Paraumamelhorcompreensão da evolução das ameaças de segurança e privacidade, o que ajuda a determinar os investimentos em segurança cibernética

POR QUE A KPMG?

•Servimos cada uma das 15 principais companhias farmacêuticas globais.•Servimos 17 das 25 maiores empresas de biotecnologia globais.•Atendemos 62% das 78 empresas da Fortune 1000 de saúde.•Atendemos 80% do top 10 de empresas de gestão em Health Care.•Atendemos 50% dos 150 melhores sistemas de saúde.•Temos uma prática de consultoria dedicada a Life Sciences & Pharma que entende

os direcionados atuais da indústria e os riscos. •Temos profundo conhecimento em temas emergentes, incluindo: Cloud

Computing, mobilidade, mídias sociais e analytics.•Temos mundialmente mais de 1.600 profissionais dedicados à proteção de

informações.•Temos as alianças externas necessárias para fornecer soluções de segurança

cibernética fim a fim para nossos clientes.•Abordamos cada projeto de tecnologia, focando primeiro no que é adequado

para o seu negócio.•AKPMGUKdirigeoInstitutoInternacionaldeIntegridadedaInformação(I4),

que oferece acesso imediato aos dados de referência da indústria.•Somos consultores objetivos que entendem das estruturas de segurança

cibernética de nossos clientes.•Somos especialistas em ferramentas de segurança de TI relevantes,

incluindo: Nessus, AppScan, RedSeal, Veracode etc.

O QUE NOS DIFERENCIA

COLABORATIVOFacilitamos e trabalhamos com fóruns colaborativos para reunir as melhores ideias da indústria a fim de resolver coletivamente desafioscomuns.OfórumKPMGI-4reúnemaisde50dasmaioresorganizações do mundo para discutir problemas e soluções emergentes.

RECONHECIMENTOOForresterreconheceuaKPMGcomolíderemConsultoriapara Segurança da Informação, destacando o nosso forte foco e capacidade de assumir compromissos desafiadores com nossos clientes, traduzindo suas necessidades em resultados.

GLOBAL E LOCALExistem mais de 1.600 profissionais de segurança quetrabalhamnarededefirmas-membrodaKPMG,dando-nos a capacidade de orquestrar e entregar consistentemente elevados padrões em toda a nossa redeglobal.Asfirmas-membrodaKPMGpodematender às suas necessidades locais de programas de estratégia de segurança da informação e programas de mudanças, avaliações técnicas, investigações forenses, resposta a incidentes e treinamentos.

CONFIÁVELTemos uma longa lista de certificações e licenças para executar trabalhos para muitas das principais organizações do mundo.

©2015KPMGConsultoriaLtda.,umasociedadesimplesbrasileira,deresponsabilidadelimitada,efirma-membrodaredeKPMGdefirmas-membroindependenteseafiliadasàKPMGInternationalCooperative(“KPMGInternational”),umaentidadesuíça.Todososdireitosreservados.ImpressonoBrasil.

OnomeKPMG,ologotipoe“cutting through complexity”sãomarcasregistradasoucomerciaisdaKPMGInternational

Todas as informações apresentadas neste documento são de natureza genérica e não têm por finalidade abordar as circunstâncias de uma pessoa ou entidade específica. Embora tenhamos nos empenhado em prestar informações precisas e atualizadas, não há garantia de sua exatidão na data em que forem recebidas nem de que tal exatidão permanecerá no futuro. Essas informações não devem servir de base para se empreenderem ações sem orientação profissional qualificada, precedida de um exame minucioso da situação em pauta.

CONTATO

Leandro AugustoSócio, Cyber SecurityTel: +55 (11) 2183-3740lantonio@kpmg.com.br

Leonardo Augusto GiustiSócio-líder, Life Sciences & PharmaTel: +55 (11) 2183-3213lgiusti@kpmg.com.br

App KPMG Publicações – disponível em iOS e AndroidApp KPMG Brasil – disponível em iOS e Android

/ kpmgbrasil

kpmg.com/br/cyber