whitepaper dtp-directors-managing-risk-pt

14
SEGURANÇA DIGITAL E PREVENÇÃO CONTRA FURTO DE DADOS: O QUE TODO CONSELHO DE ADMINISTRAÇÃO DEVE SABER SOBRE COMO GERENCIAR RISCOS NA ORGANIZAÇÃO

Upload: lafaiete-alves-ferreira-netto

Post on 13-Apr-2017

97 views

Category:

Documents


0 download

TRANSCRIPT

Page 1: Whitepaper dtp-directors-managing-risk-pt

SEGURANÇA DIGITAL E PREVENÇÃO CONTRA FURTO DE DADOS:O QUE TODO CONSELHO DE ADMINISTRAÇÃO DEVE SABER SOBRE COMO GERENCIAR RISCOS NA ORGANIZAÇÃO

Page 2: Whitepaper dtp-directors-managing-risk-pt

UM GUIA DE ALTO NÍVEL PARA TODOS OS EXECUTIVOS DE NEGÓCIOS

Escopo deste DocumentoA responsabilidade primária de qualquer executivo de administração é garantir o futuro das organizações que

supervisionam. Para isso, precisam ter acesso consistente a informações sobre circunstâncias e riscos que poderiam

afetar o futuro da organização. A segurança digital é um ótimo exemplo de informação que afeta diretamente

a receita e as perspectivas futuras de uma companhia, mas até o momento segue sem a devida análise e supervisão

do conselho administrativo.

Contudo, com o número devastador de ataques digitais de alta visibilidade e suas significativas consequências

jurídicas e financeiras, a segurança digital não é mais um tema que possa ser relegado apenas ao departamento

de TI. Agora, é essencial que os executivos façam perguntas estratégicas e analíticas sobre o quanto a organização

que supervisionam está preparada para enfrentar o novo mundo de violações de dados de alto risco e ter êxito

contínuo nessa época tumultuada.

Este documento fornece uma visão geral não técnica sobre segurança digital e recomendações para os temas que todo

executivo deve considerar.

Aviso Jurídico

Favor observar que este documento representa as visões e interpretações dos autores e editores, atuando em nome

da Raytheon|Websense, a não ser quando indicado. Esta publicação não deve ser interpretada como orientação

jurídica da Raytheon|Websense. As fontes terceirizadas são citadas, quando apropriado. A Raytheon|Websense

não é responsável pelo conteúdo das fontes externas, incluindo websites externos referenciados neste documento.

Este documento é apenas para fins informativos. A reprodução é autorizada, desde que a fonte seja reconhecida.

Page 3: Whitepaper dtp-directors-managing-risk-pt

UM GUIA DE ALTO NÍVEL PARA TODOS OS EXECUTIVOS DE NEGÓCIOS

Índice Resumo executivo 4

A segurança digital torna-se um problema prioritário

Cinco pilares da gestão de segurança digital para o conselho administrativo

Cinco áreas de questionamento para o conselho

Principais pilares para o conselho administrativo 6Princípio 1: A segurança digital é um problema de gestão de riscos, e não tecnológico.

Princípio 2: Fornecer significado por trás das métricas – tornar a segurança digital real para o conselho.

Princípio 3: Os conselheiros administrativos devem entender os aspectos jurídicos das regulamentações

de segurança digital.

Princípio 4: Os conselheiros administrativos devem identificar níveis de risco digital aceitáveis

em operações empresariais.

Princípio 5: O conselho administrativo deve adotar uma estrutura bem definida para gestão de riscos digitais.

Cinco áreas de questionamento para o conselho 111. Os dados críticos da organização.

2. Riscos atuais para esses dados.

3. Principais indicadores de desempenho para a abordagem de segurança.

4. Protocolo de violação de dados para mitigação, remediação e comunicação.

5. Procedimentos para atualizar a abordagem de segurança e treinamento do pessoal.

Conclusão 12

Leituras recomendadas e referências 13

Page 4: Whitepaper dtp-directors-managing-risk-pt

UM GUIA DE ALTO NÍVEL PARA TODOS OS EXECUTIVOS DE NEGÓCIOS

Resumo executivo

A segurança digital torna-se um problema urgente

Em 2014, algumas das maiores organizações no mundo foram vítimas de ataques digitais e incidentes de furto de

dados com grandes prejuízos. Esses eventos de alta visibilidade inauguraram uma nova era para todas as companhias,

em que os ataques digitais agora são parte dos negócios. Como resultado, a segurança digital tornou-se um problema

prioritário para todos os conselhos administrativos. No entanto, é uma disciplina complexa e mutável, e está fora da área

de especialização da maioria dos conselheiros administrativos. Este documento orientará os conselheiros administrativos

como abordar e avaliar as medidas e os processos de segurança digital nas organizações que supervisionam.

Cinco pilares da supervisão de segurança digital para o conselho administrativo

A Raytheon|Websense identifica cinco pilares que fornecem aos conselheiros administrativos a base para realizar

o grande esforço necessário para a supervisão da segurança digital:

Princípio 1: A segurança digital é um problema de gestão de riscos, e não tecnológico.

O conselho administrativo deve solicitar uma avaliação periódica de situação e riscos para a abordagem de segurança

da organização.

Princípio 2: Fornecer significado por trás das métricas – tornar a segurança digital real para o conselho administrativo.

O conselho administrativo deve ser informado pelo diretor de Segurança da Informação (CISO) ou diretor de Riscos

(CRO) em todas as reuniões. Essas funções devem estar subordinadas diretamente ao conselho administrativo.

Princípio 3: Os conselheiros administrativos devem entender os aspectos jurídicos das regulamentações de segurança digital.

Uma violação de dados expõe as organizações ao risco de ações disciplinares civis e criminais, e multas por órgãos

reguladores, ações coletivas de consumidores e acionistas, além de processos judiciais de parceiros afetados.

Princípio 4: Os conselheiros administrativos devem identificar níveis de risco digital aceitáveis em operações empresariais.

A avaliação de negócios aplica-se à segurança digital como parte das operações empresariais. Os conselhos

administrativos devem quantificar e administrar o risco de segurança digital, como fazem em outras categorias

de negócios.

Princípio 5: Os conselheiros administrativos devem adotar uma estrutura bem definida para gestão de riscos digitais.

A estrutura é uma compilação de diretrizes baseadas em riscos e elaboradas para ajudar a avaliar os recursos atuais

e a criação de um plano priorizado para melhoria das práticas de segurança digital.

// 04

Page 5: Whitepaper dtp-directors-managing-risk-pt

UM GUIA DE ALTO NÍVEL PARA TODOS OS EXECUTIVOS DE NEGÓCIOS

Cinco áreas de questionamento para o conselho administrativo

Para supervisão eficaz, os conselheiros administrativos precisarão Identificar:

1. Os dados críticos da organização.

2. Riscos atuais para esses dados.

3. Principais indicadores de desempenho para a abordagem de segurança.

4. Protocolo de violação de dados para mitigação, remediação e comunicação.

5. Procedimentos para atualizar a abordagem de segurança e treinamento do pessoal.

// 05

Page 6: Whitepaper dtp-directors-managing-risk-pt

UM GUIA DE ALTO NÍVEL PARA TODOS OS EXECUTIVOS DE NEGÓCIOS

Principais pilares para o conselho administrativo

Com 22.000 clientes ao redor do mundo, a Raytheon|Websense tem um histórico comprovado de mais de 20 anos

de experiência como líder em segurança digital. Durante esse período de tempo significativo, a Raytheon|Websense

desenvolveu uma série de pilares de segurança digital, que podem ser a base estratégica para entender as ferramentas

e os processos de uma abordagem eficaz para a cibersegurança.

Princípio 1: A segurança digital é um problema de gestão de riscos, e não tecnológico.

As organizações sofisticadas avaliam a segurança digital do ponto de vista da gestão de riscos. Em nível do conselho

administrativo, os riscos de negócios são classificados em uma ou mais das seguintes categorias:

• Risco de interrupção dos negócios.

• Risco para a reputação da marca.

• Risco jurídico.

• Risco de regulamentação e conformidade.

O risco de segurança digital estará em uma ou mais dessas categorias, dependendo do modelo de negócios

da organização e da sensibilidade para diversos tipos de riscos.

O conselho administrativo deve receber e analisar uma atualização e avaliação da abordagem de segurança da

organização em toda reunião. O conselho administrativo precisará priorizar os elementos de cada avaliação de riscos

de segurança digital, na medida em que se aplica ao respectivo risco de negócios. Ao fazer as perguntas abaixo,

os executivos podem garantir um entendimento adequado e o contexto dos riscos digitais para a organização:

1. Nós identificamos o valor dos ativos de informação mais críticos para a organização?

• Qual informação torna a organização competitiva?

• Qual porcentagem dos ativos de informação isso representa, onde são armazenados, usados

e compartilhados?

2. Recebemos um resumo detalhado dos incidentes de segurança que ocorreram (incluindo os ataques que foram

bloqueados com êxito)?

• Qual inteligência pode ser obtida com essas ameaças e ataques?

• Como essa inteligência pode ser aplicada com mais eficácia para remediação de incidentes e prevenção

de ataques futuros?

Segurança Digital e Prevenção contra Furto de Dados: O que todo conselho de administração deve saber sobre como administrar riscos na organização

// 06

Page 7: Whitepaper dtp-directors-managing-risk-pt

UM GUIA DE ALTO NÍVEL PARA TODOS OS EXECUTIVOS DE NEGÓCIOS

3. Quais garantias tem de que funcionários, fornecedores, parceiros, subsidiárias no exterior, fornecedores

de nuvem, etc., podem receber em confiança os ativos de informação mais críticos da organização?

• Quais controles estão implementados para combater os riscos previstos e o quanto estão bem

documentados?

4. Qual é o disposição para riscos na organização?

• O quanto isso é bem documentado?

• Como essa abordagem para riscos se reflete nas operações e no processo decisório?

5. Em que extensão os representantes na empresa (ou seja, Fabricação, Operações, P&D, Jurídico, RH, etc.) estão

envolvidos em uma discussão sobre segurança digital com base em riscos em toda a organização e constância?

6. A empresa quantificou os efeitos potenciais dos ataques digitais para os negócios – ou seja, perda de dados,

interrupção e custos resultantes de deixar de proteger a organização contra um incidente significativo?

7. A organização fez um benchmarking de sua abordagem de riscos e integridade em relação a companhias

comparáveis que podem estar abertas a essa forma de compartilhamento de informações?

8. A organização testou sua resiliência digital e resposta após um incidente significativo? Esse teste foi incorporado

no Processo de Recuperação de Desastres e Planejamento de Continuidade dos Negócios da organização?

9. A pessoa responsável por segurança digital tem um mentor entre os conselheiros, para ajudar a preparar

as informações da forma mais apropriada possível?

Princípio 2: Fornecer significado por trás das métricas – tornar a segurança digital real para o conselho.

Toda reunião do conselho administrativo deve discutir o tema da segurança digital em algum nível. Os executivos

em geral estão cansados de ouvir falar em ameaças. Em vez disso, querem ouvir sobre os riscos e entender o impacto

sofrido pela organização. Evite repetir estatísticas de indicadores de desempenho, que não têm significado e ocultam

a verdadeira natureza do que está ocorrendo na infraestrutura da companhia. Em essência, o conselho administrativo

quer saber: “o quanto estamos protegidos?”

O CISO ou CRO deve se reportar diretamente ao conselho administrativo. Não deve estar “enterrado” nos

departamentos de TI ou Operações. O conselho administrativo deve sondar o diretor responsável pela segurança

digital para que:

1. Tenha foco em métricas que expliquem o impacto que os ataques têm ou poderiam ter na organização.

Como essas métricas mudaram desde o último período de revisão e o que se poderia inferir das mudanças?

2. Reportar por departamento atacado e natureza do ataque. Indicar o quanto os mecanismos de cibersegurança

da organização responderam bem e quantificar, se possível, o impacto de um ataque bem-sucedido.

3. Identificar a estratégia geral de segurança digital e a resposta a riscos conhecidos e tentativas de ataques.

4. Explicar as principais questões que estão na lista de prioridades do diretor.

5. Fornecer um resumo dos principais incidentes ocorridos nos setores da organização e como estão relacionados

com a abordagem de riscos da companhia, e discutir quaisquer obstáculos para a implementação de uma

abordagem holística de Prevenção contra Furto de Dados. Esta é uma métrica essencial, porque é relevante para

o conselho administrativo em termos de riscos legais. O conselho administrativo deve ter um entendimento claro

// 07

Page 8: Whitepaper dtp-directors-managing-risk-pt

UM GUIA DE ALTO NÍVEL PARA TODOS OS EXECUTIVOS DE NEGÓCIOS

do quanto a companhia está bem protegida, organizada e preparada em sua abordagem de cibersegurança

em relação aos pares no setor. Se um concorrente sofre uma violação de dados e a organização do conselho

administrativo tem proteção similar, o conselho saberá que um nível mais alto de segurança é necessário.

Cumprir ou superar os padrões de cibersegurança do setor também pode ajudar a organização a evitar danos

punitivos, se for vítima de furto de dados. Por outro lado, se o orçamento de segurança da organização

é significativamente maior do que o de seus pares, isso pode indicar para o conselho que dinheiro demais está

sendo gasto em segurança digital, os recursos de segurança são alocados de forma ineficaz, ou ambos.

O conselho administrativo também deve, periodicamente, solicitar uma avaliação externa da segurança digital vigente,

para obter outro ponto de vista sobre a abordagem de riscos da organização.

Princípio 3: Os conselheiros devem entender os aspectos jurídicos das regulamentações de segurança digital.

A perda ou o furto de informações críticas expõe as organizações ao risco de ações por órgãos reguladores. Além disso,

quando ataques digitais interrompem operações de negócios, as organizações podem deixar de cumprir obrigações

junto aos clientes, e sofrer ações coletivas de clientes ou até de acionistas.

Adicionalmente, a Comissão de Valores Mobiliários dos EUA (SEC, Securities and Exchange Commission) declarou que “empresas de capital aberto que sejam vítimas de ataques digitais devem considerar a divulgação

de informações adicionais às obrigatórias para ajudar a proteger os clientes cujos dados privados podem estar

em risco”. E o conhecimento sobre um ataque digital pode ser considerado informação que pode influenciar decisões

de investimentos e ser tratado como “informação privilegiada” que corresponde ao teste de “investidor razoável”.

Há três áreas de preocupação amplas com relação a estruturas jurídicas:

1. Conformidade com regulamentações nacionais e de setores específicos – as PII e outros dados são riscos

imensos de privacidade e conformidade para as empresas. A conformidade é complexa e em várias camadas,

com grandes variações nas leis de segurança e privacidade nacionais e de setores específicos. Os conselheiros

devem garantir que a administração esteja ciente de responsabilidades civis e criminais que podem estar

vinculadas ao descumprimento de esquemas de conformidade para segurança e privacidade. Muitas organizações

têm no mínimo algum nível de programa implementado para administrar o risco digital. Esses programas de

riscos devem ser incorporados nas estratégias gerais de administração de riscos corporativos com o controle

executivo e a autoridade apropriada.

2. Riscos e responsabilidades associados com prestadores de serviços terceirizados – Os conselheiros

administrativos devem sondar os relacionamentos contratuais e as responsabilidades com terceirização de TI,

terceirização de processos de negócios e fornecedores de computação em nuvem. Muitos acordos com terceiros

são vagos nas definições de quem é responsável por proteger as informações críticas da organização. Além disso,

os procedimentos para notificação de incidentes e remediação com frequência são desconsiderados. Indivíduos

na organização com frequência criaram cadeias de confiança entre partes interessadas e é responsabilidade dos

conselheiros administrativos garantir que esses acordos sejam definidos e auditados de forma apropriada. Além

disso, os conselheiros administrativos devem estar cientes de quais são as obrigações de segurança, privacidade

e relatórios de sua organização perante os clientes e parceiros. Deixar de considerar o risco poderia levar

a processos judiciais demorados e perda de reputação.

// 08

Page 9: Whitepaper dtp-directors-managing-risk-pt

UM GUIA DE ALTO NÍVEL PARA TODOS OS EXECUTIVOS DE NEGÓCIOS

3. Política de conscientização sobre violações de dados e processos de notificação – O conselho administrativo

deve ficar ciente de grandes violações de dados e tem a responsabilidade de permanecer informado sobre

essas questões. Essa obrigação também se refere às tentativas de violações, embora haja uma flexibilidade

razoável em relação à escala, à severidade e ao impacto potencial da violação ou tentativa de violação.

Contudo, processos de notificação são uma área de preocupação complexa. Em caso de violação - mesmo

sem a transmissão posterior dos dados para outro lugar – a primeira prioridade do conselho deve ser buscar

orientação externa jurídica e sobre notificação de violação de dados, para estabelecer os processos de notificação

corretos o mais rápido possível.

Do ponto de vista do conselho administrativo, as seguintes informações devem ser registradas para qualquer

declaração sobre possível violação:

• O âmbito geográfico de operações onde as informações foram usadas e afetadas. Também é muito

importante em notificação sobre violações de dados identificar a localização dos cidadãos onde os

dados foram impactados. As leis sobre divulgação em geral consideram o domicílio do cidadão, e não

a localização física da violação.

• Os requisitos de relatórios em relação às leis do local específico - os requisitos legais de relatórios na

Europa diferem amplamente dos requisitos nos EUA, por exemplo, e também variarão de um estado

para outro dentro dos EUA.

• Além disso, se/ou quando uma violação ocorreu é uma pergunta complexa. Cláusulas de Segurança

podem entrar em vigor.

Princípio 4: Os conselheiros administrativos devem identificar níveis de risco digital aceitáveis em operações empresariais.

É importante observar que o conselho administrativo sempre define o tom para a organização e, dessa forma,

comunica aos membros da companhia como a segurança digital deve ser considerada. Isso terá um efeito observável

na cultura de segurança na organização. Os conselheiros administrativos enfrentam desafios notáveis, e isso inclui

o fato de que muitos passaram a maior parte de suas carreiras na era pré-digital. Não podem ficar paralisados pelo

jargão altamente técnico usado por “especialistas da área” ou a complexidade e fluidez da tecnologia moderna.

Em vez disso, devem elevar a discussão para avaliar os riscos em relação às recompensas. Como um ex-chefe

do Gabinete de Fiscalização da Internet da SEC observou recentemente:

“Eu não acredito que seja realista esperar que conselheiros administrativos tivessem mais do que um entendimento

de alto nível sobre a natureza dos ataques digitais e como impactam os negócios da empresa. Assim como é necessária

uma boa empresa de contabilidade para orientação financeira, do ponto de vista do conselho administrativo este campo

… requer buscar … a expertise necessária e garantir que a empresa esteja fazendo tudo o que pode para se proteger.”

Contudo, é benéfico para todos os conselheiros administrativos obter informações abrangentes sobre os tipos de

riscos digitais aos quais a empresa e o setor podem estar vulneráveis. Assim, os conselheiros devem solicitar e esperar

atualizações periódicas da empresa sobre tendências recentes em violações de dados específicas do setor e em

relatórios de inteligência de cibersegurança de centros de compartilhamento de informações.

Em termos gerais, o bom senso e os critérios empresariais devem se aplicar à segurança digital, de forma semelhante

a qualquer outra área das operações empresariais. Muitos dos mesmos tipos de perguntas e abordagens usados

por conselhos administrativos para quantificar e administrar outras categorias de risco, como seguros e planos

de recuperação, também se aplicam aqui.

// 09

Page 10: Whitepaper dtp-directors-managing-risk-pt

UM GUIA DE ALTO NÍVEL PARA TODOS OS EXECUTIVOS DE NEGÓCIOS

Princípio 5: O conselho administrativo deve adotar uma estrutura bem definida para gestão de riscos digitais.

A organização deve estruturar suas defesas de segurança digital para que sua eficácia e aplicabilidade possam

ser avaliadas de forma independente. A estrutura deve buscar:

1. Definir um conjunto de atividades para prever e defender contra ataques digitais.

2. Definir um conjunto de medidas para avaliar em que grau uma organização programou suas estratégias de defesa

e fazer um benchmarking de como estão preparadas para proteger sistemas contra um ataque.

3. Definir um perfil de benchmarking que possa ser usado para identificar oportunidades para melhoria da

abordagem de segurança digital de uma organização, comparando um perfil atual com um perfil desejado.

Uma estrutura desse tipo foi criada pelo Instituto Nacional de Padrões e Tecnologia (NIST, National Institute of

Standards and Technology). A “Estrutura para Melhoria da Segurança Digital para Infraestrutura Crítica” foi resultado

de uma ordem executiva emitida pelo presidente dos EUA em 2013 para estabelecer um conjunto de padrões

voluntários de segurança digital para empresas de infraestrutura crítica. A estrutura é uma compilação de diretrizes

baseadas em riscos para ajudar as organizações a avaliar os recursos atuais e elaborar um roteiro priorizado para

melhoria das práticas de segurança digital. A NIST Framework também cria uma linguagem comum para discussão

de questões de cibersegurança, que pode facilitar a colaboração interna e externa.

Há muitos outros benefícios associados com a adoção desse tipo de estrutura. Em primeiro lugar, a NIST Framework

pode definir padrões de segurança digital para sentenças legais futuras. Em segundo lugar, as organizações que

adotarem a NIST Framework ao mais alto nível de tolerância a riscos possível podem estar melhor posicionadas para

cumprir futuras regulamentações de segurança digital e privacidade.

É importante observar, porém, que não há uma solução única para a segurança digital. O governo dos EUA não pode

fornecer diretrizes abrangentes e prescritivas para todos os setores. Portanto, é responsabilidade dos conselheiros

administrativos garantir que qualquer estrutura adotada seja apropriada às circunstâncias nas quais é aplicada.

Com isso em mente, existem algumas perguntas que os conselheiros administrativos podem fazer às suas equipes

de gestão para iniciar o processo de entender e administrar o risco.

// 10

Page 11: Whitepaper dtp-directors-managing-risk-pt

UM GUIA DE ALTO NÍVEL PARA TODOS OS EXECUTIVOS DE NEGÓCIOS

Cinco áreas de questionamento para o conselho

Depois de definir os fundamentos de uma estratégia abrangente para a segurança digital, esta é uma lista de áreas

que os conselheiros administrativos deveriam abordar na próxima reunião:

1. Identificar os dados críticos da organização.• Quais são os nossos dados mais críticos, que impulsionam o êxito da empresa?

• Onde são armazenados, usados e compartilhados?

• Quais são as consequências de uma violação dessas informações?

2. Riscos atuais para esses dados.• Quais são os principais riscos enfrentados pela organização com relação à integridade da segurança

digital ao adotar nova tecnologia – por exemplo, computação em nuvem e móvel (BYOD)?

• Quais são os riscos de terceiros, como terceirização e SaaS (Software as a Service), e o risco de furto

de dados de atores externos e Ameaças Internas?

3. Principais indicadores de desempenho para a abordagem de segurança.• Como podemos educar os funcionários para elevar seu entendimento em cibersegurança e criar

conscientização sobre ameaças e comportamento de risco?

• Nós usamos terceiros independentes para testar periodicamente as nossas defesas?

• Quais outros métodos de avaliação de riscos foram implementados e o que os resultados indicam?

4. Protocolo de violação de dados para mitigação, remediação e comunicação.• Quais medidas foram adotadas para administrar a governança de segurança digital e as estruturas

legais para os territórios em que a organização opera e os domicílios de indivíduos de quem

os dados são coletados?

• Em caso de uma violação grave, quais protocolos e procedimentos foram desenvolvidos?

Eles foram testados?

• Qual é o plano de comunicação para o evento de uma violação grave de informação?

• Qual é o plano para gerenciamento de crises e já foi testado?

5. Procedimentos para atualizar a abordagem de segurança e treinamento do pessoal.• Em que extensão mensuramos o risco de perda de dados ou ataque em nossa cadeia de valor estendida

de parceiros, fornecedores e clientes?

• Quando foi a última grande violação? O que ocorreu como resultado e quais lições foram aprendidas?

// 11

Page 12: Whitepaper dtp-directors-managing-risk-pt

UM GUIA DE ALTO NÍVEL PARA TODOS OS EXECUTIVOS DE NEGÓCIOS

ConclusãoA famosa ideia de que “a defesa nacional é importante demais para ser relegada aos militares” também se aplica

à segurança digital em sua organização. É claro que a equipe de TI está na vanguarda da cibersegurança e do

monitoramento do risco para seus dados, como deve ser; contudo, o impacto do furto de dados é importante demais

para que o conselheiro administrativo não esteja envolvido em nível estratégico. Para a maioria dos conselheiros

e executivos, contudo, a perspectiva de supervisionar a segurança digital é uma tarefa formidável. Mas certamente

é realizável, com uma abordagem holística e o parceiro de segurança digital certo.

A solução de Prevenção contra Furto de Dados da Raytheon|Websense é uma abordagem avançada e holística

para a segurança de dados e a administração do risco digital. Identifica os dados críticos no coração de sua organização,

fornece avaliação de riscos aprofundada e análise de sua abordagem de cibersegurança, e evita que seus dados críticos

saiam quando não devem. Também habilita a sua organização a inovar e crescer com confiança.

Esses fatores e atributos de segurança são as principais vantagens para exercer responsabilidades de supervisão

bem-sucedidas em nível do conselho administrativo, e também no processo decisório da segurança de TI na linha

de frente. Identificar as fraquezas em sua abordagem de cibersegurança, assim como as ameaças potenciais aos seus

dados críticos, são as primeiras medidas a adotar ao revisar e avaliar seus níveis de riscos atuais. Os resultados de

uma avaliação de riscos completa impulsionarão os processos e estratégias de segurança para o futuro.

Entre em contato com a Raytheon|Websense para obter uma avaliação de riscos gratuita de sua abordagem

de segurança atual com nossa tecnologia RiskVision™. Ela identificará ameaças que o seu sistema atual está ignorando

ou não pode reconhecer, e fornecerá um relatório aprofundado sobre as fraquezas e vulnerabilidades de segurança

digital de seu sistema. Nenhuma abordagem de cibersegurança, não importa qual seja o nível de investimento, pode

proteger os seus dados críticos contra ameaças que não consegue identificar.

Sobre a Raytheon|Websense

Em 29 de maio de 2015, a Raytheon Company (NYSE: RTN) e a Vista Equity Partners concluíram uma transação

de empreendimento conjunto para criar uma nova companhia que combina a Websense®, uma empresa do portfólio

da Vista Equity, e a Raytheon Cyber Products, uma linha de produtos de negócios de Inteligência, Informação e Serviços

da Raytheon. Por enquanto, a nova companhia de segurança digital comercial será denominada Raytheon|Websense.

A empresa espera lançar uma nova identidade de marca após a conclusão da atividade de integração

organizacional padrão.

Para acessar as informações de segurança mais recentes da Raytheon|Websense e conectar com redes sociais, acesse www.websense.com/smc.

Para obter mais informações, visite http://www.websense.com/brasil e http://www.websense.com/triton.

// 12

Page 13: Whitepaper dtp-directors-managing-risk-pt

UM GUIA DE ALTO NÍVEL PARA TODOS OS EXECUTIVOS DE NEGÓCIOS

Leituras recomendadas e referências1. Estrutura para Melhoria da Segurança Digital para Infraestrutura Crítica:

http://www.nist.gov/cyberframework/upload/cybersecurity-framework-021214.pdf

2. Estratégia de Segurança Digital do Reino Unido:

https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/60961/uk-cyber-security-strategy-final.pdf

3. Relatório de Ameaças da Raytheon|Websense para 2015:

http://www.websense.com/content/websense-2015-threat-report.aspx

4. Relatório sobre Segurança Digital do Ponemon para 2014:

http://www.websense.com/content/2014-ponemon-report-part-2-thank-you.aspx

5. Trabalho da ENISA sobre Estratégias Nacionais para Segurança Digital:

http://www.enisa.europa.eu/activities/Resilience-and-CIIP/national-cyber-security-strategies-ncsss

6. Publicações relacionadas da Raytheon|Websense sobre Prevenção contra Furto de Dados:

http://www.websense.com/content/data-theft-prevention.aspx

// 13

Page 14: Whitepaper dtp-directors-managing-risk-pt

Copyright © 2015 Raytheon Company. [WP-DTPBOARDOFDIRECTORS-PTBRA4-11AGO15]

ENTRE EM UMA NOVA ERA DE SEGURANÇA DIGITAL

Para saber mais: www.websense.com/brasil