Segurança Mercado Financeiro

© 2013 IBM Corporation
IBM Security Systems
1
Estratégia de Segurança da IBM
Mercado Financeiro
Alexandre Freire
IBM Security Systems Technical Sales
afreire@br.ibm.com

2
O mundo está ficando mais digitalizado e interconectado,
abrindo as portas para ameaças e vazamentos...
Com o advento da Empresa 2.0 e do
negócio social, desapareceu a linha entre
tempo, dispositivos e dados pessoais e
profissionais
CONSUMERIZAÇÃO
DA TI
A era do "Big Data" – a explosão da
informação digital – chegou e é facilitada
pela difusão de aplicativos acessados de
todos os lugares
EXPLOSÃO
DE DADOS
Organizações continuam mudando para
novas plataformas, inclusive computação em
nuvem, virtualização, dispositivos móveis,
negócio social e muito mais
TUDO
ESTÁ EM TODA PARTE
Prioridade fundamental para o setor
financeiro, mas o cumprimento nem sempre
mantém o ritmo com as novas tecnologias
CONFORMIDADE

3
Sources: BCG Global Payments database, 2010
Payments Transaction Volume Expected to Double by 2020
Vol : 65.4
Vol : 89.9
Vol : 116.7
Vol : 34.2
2010
Val : 90,913.1
Val : 117,386.1
Val : 95,595.1
Val : 27,479.4
Vol : 212.5
Vol : 155.6
Vol : 206.7
Vol : 175.0 Val : 301,147.2
Val : 207,689.4Val : 137,480.6
Val : 135,688.5
Volume
(Billions)
2020
Value
(USD Billions)
38% 29%
21%12%
27% 21%
29%23%
29%
35%
28%8%
18% 27%
38%
17%
North America Europe Asia Pacific Rest of the World
Vol : 65.4
Vol : 89.9
Vol : 116.7
Vol : 34.2
2010
Val : 90,913.1
Val : 117,386.1
Val : 95,595.1
Val : 27,479.4
Vol : 212.5
Vol : 155.6
Vol : 206.7
Vol : 175.0 Val : 301,147.2
Val : 207,689.4Val : 137,480.6
Val : 135,688.5
Volume
(Billions)
2020
Value
(USD Billions)
38% 29%
21%12%
27% 21%
29%23%
29%
35%
28%8%
18% 27%
38%
17%
North America Europe Asia Pacific Rest of the World

4
Retail Banking
1 bilhão de usuários de telefonia móvel utilizarão seu dispositivos
para acessar serviços financeiros até 2017 - Juniper Research
Mobilidade está mudando o segmento Financeiro (inovação)

5
Tudo está em toda a parte : desafios de segurança são um quebra-
cabeças complexo com dimensões ...
... Que requer um nova abordagem
Aplicações
Aplicações
Web
Aplicativos
Sistemas
Web 2.0 móvel
aplicações
Infraestrutura
Datacenters PCs Laptops móvel nuvem Embarcado
Dados Em repouso
Em
movimento
Não
Estruturadas
Estruturado
Pessoas
Hackers Fornecedores
Consultores Fraudadores
funcionários Outsourcers
Clientes
funcionários
Não
Estruturadas
Web 2.0Aplicativos
Sistemas
Outsourcers
Estruturado
Em
movimento
Clientes
Aplicações
móveis

6
Conformidade: Com os novos desafios para o mercado Financeiro,
Segurança tornou pauta em todas as discussões dos steakholders.
Resultados
dos negócios
Bank of
America:
Roubo de
identidade
resultou em
perdas de
$10M
Vazamento de
dados
Hyundai
Capital:
Furo de
segurança
afetou 420 mil
clientes
Fraudes
HSBC
Financial:
Descobertos
$17M em
empréstimos
fraudulentos
Impacto do
hacktivismo
Fundo
Monetário
Internacional
Sofreu
ataques
cibernéticos
sofisticados
Audit risk
Zurich
Insurance
PLc
Multado em
$3.8M pela
perda e
exposição de 46
mil registros de
clientes
Imagem da
marca
HSBC:
Furo de
segurança e
vazamento de
24 mil dados
de clientes

7
Companies invested in technology defense
perimeter
• "Security by Security " (Defacement)
• Protection of web sites and Internet Servers
outside attack (Internet Attacks)
• Network Level Firewalls, Honeypots, Virtual
Private Networks and Intrusion Detection
Systems
Companies investing in the next
generation technologies defense
perimeter
• Security by Business
• Intrusion Prevention Systems
•Network Scanners
•Host and Network Based IPS
•Vulnerability Scanner
•Event correlation for reducing
false positive
• Next Generation Firewalls
• SIEM Technologies
Years (2000-2004) Years (2007-2012)Years (2004-2007)
70% Of total Attacks coming from Internet (outside companies) 55% Of total Attacks coming from Insiders
Companies investing in technologies
for back end protection internal
networks
• Security by Business and driven by
Compliance
• Identity and Access Management
Solutions
• Anti-fraud Systems
• Data Loss Prevention
• Database Layer (back end)
Protection:
•Segregation of Duties
•Event Auditing/Monitoring
•Masking Data
• Encrypt valuable information
•Frameworks of governance, risk and
compliance (GRC)
•Mapping processes
• Visibility of risks
• Tracking controls
• Internal Audits x external
Investimentos das empresas em tecnologias
de Segurança
Picture 2000-2012
Mudança nos investimentos em Segurança para tratamento de riscos
Evolução do investimento desde 2000 – gastos direcionados para mitigação de riscos de negócios e
compliance após advent de Governança, Riscos e Conformidade (GRC)

8
Sequencia de eventos cria proteção do mercado
Desde 1995 grandes perdas resultaram na resposta da indústria para proteção dos negócios
FEB 1995
Barings
Bank
Collapses
OCT 2001
Enron,
WorldCom, Tyco
Scandals
SEP 2004
Merck
and Pfizer
Drug
Scandal
FEB 2007
TJX Credit Card Fraud
JAN
2008
Société
Générale
trading
loss
DEC 2008
Madoff Investment
Scandal
SEP 1998
LTCM
Collapses
MAR 2005
Halliburton
Bribery Scandal
SEP 2008
Lehman Brothers
Files Ch. 11
NOV 1999
GLB Act passes
(repeal of Glass-
Steagall)
JUN 2004
Basel II
Framework
JUL 2002
Sarbanes-Oxley
Act passes
SEP 2004
COSO ERM
Framework
JUL 2007
AS5 Approved
by SEC
MAY 2008
S&P
Announces
ERM Ratings
DEC 2009
SEC Proxy
Disclosure
Rules
July 2010
Dodd Frank
Passed
Events
Regulations
1995 1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010
JUNE 2006
J-SOX
Signed
APRIL 2003
Solvency II
Endorsed
2011
Basel III
Sequência de fraudes e criação de normas e regulamentações para proteção de Mercado. Indústrias sujeitas a
diferentes tipos de riscos (Risco de TI, Risco Financeiro, Risco Operacional, etc) passaram a criar
regulamentações para gerir riscos a partir de Governança.

9
Ataques direcionados continuam a afetar Instituições do Segmento Financeiro
IBM Security X-Force® 2012 Trend and Risk Report

10
Source: Q1 “What are the most important external forces that will impact your organization over the next 3 to 5 years?”
(Global n=1709) (Banking & FM n=214); Notes: FS: Financial Services (FS) includes Banking and Financial Markets
Forças Externas que impactam as organizações
2012
Global Específico setor financeiro
Technology factors
People skills
Market factors
Macro-economic factors
Regulatory concerns
Globalization
Socio-economic factors
Environmental issues
Geopolitical factors
#1 Compliance: Preocupações relacionadas a leis, normas e conformidades
aparecem na primeira posição na lista dos CEOs de finanças.

11
Visão com Foco
Corporativo
Otimizar dados e
utilizar técnicas de
analítica para mapear
comportamentos.
Estabelecer confiança
e orientar crescimento
do lucro
Aumentar Flexibilidade &
Otimizar Operações
Melhorar a vantagem
operacional com
estruturas de custo
variáveis que aumentem
flexibilidade e reduzam
riscos
Promover Inovação
Gerenciando Custos
Entregar novos serviços
rapidamente e diminuir
custo por transação.
Conduzir a diferenciação
competitiva
Otimizar Gestão de
Risco Corporativo
Maximizar o retorno
do capital em ações
de combate à fraudes.
Diminuir risco
operacional para
atingir os objetivos de
conformidade
ClienteClienteClienteCliente ComplexidadeComplexidadeComplexidadeComplexidade CustoCustoCustoCusto RiscosRiscosRiscosRiscos

12
Gestão de Risco é pilar estratégico na realidade das Instituições Financeiras

13
Sinergia entre Segurança da Informação e GRC
Integrated Management (IRM) ; Gestão de Riscos Financeiros, Riscos Operacionais e Riscos de TI
(Segurança da Informação)

14
Integrated Management (IRM):
Principais projetos do segmento financeiro que são endereçados por gestão de riscos e conformidade.
Visão das soluções IBM que atendem a implementaçao de controles de forma primária ou secundária.

15

16

17

18

19
Como a IBM pode
ajudar?

20
Uma nova divisão : IBM Security Systems
20

21
IBM Security Systems: oferecendo inteligência, integração e expertise
numa estrutura abrangente
Inteligência ● Integração ● ExpertiseInteligência ● Integração ● Expertise
O único fornecedor do mercado com
cobertura completa da base de
segurança
+ de 6.000 engenheiros e consultores
de segurança
X-force® Research premiado grupo de
pesquisa de segurança
Maior banco de dados de
vulnerabilidade na industria
21

22
Inteligência: Produtos e serviços líderes em cada segmento
22
produtos doServiçosNovo em 2012

23
Recursos de proteção
Personalizar bloquear as
vulnerabilidades específicos
utilizando resultados de
varredura
Gerenciamento de acesso
Convergir com gateways de
serviços da web
Integração entre todo porfolio
para construção de valor
agregado.
Antecipar-se aos cenários de
ameaças
Projetado para ajudar a detectar
as vulnerabilidades mais
recentes, exploração de
malwares
Adicionar inteligência de
segurança para sistemas não -
inteligentes
Consolidar e correlacionar
informações de centenas de
fontes
Projetado para ajudar a
detectar, e responder às
ameaças por outras soluções
de segurança
Tarefas de conformidade
automatizar e avaliar os riscos
Aumente a segurança, reduza silos e a complexidade
JK2012-04-26

24
Expertise: Na IBM , o mundo é a nossa segurança de laboratório
6.000 Pesquisadores , desenvolvedores e especialistas no assunto de
iniciativas de segurança em todo o mundo

25
Equipes Collaborative IBM monitorar e analisar as ameaças mais
recentes
Cobertura
20.000+ Dispositivos
sob contrato
3.700+ Clientes
gerenciados mundial
13B+ Eventos
gerenciado por dia
133 Os países
monitorados (MSS )
1.000+ Patentes
relacionados à
segurança
profundidade
14b Analisado páginas
da Web e imagens
40M Ataques de spam
& phishing
64 K Vulnerabilidades
documentados
Bilhões De tentativas
de intrusão diariamente
milhões Amostras de
malware exclusivo

26
Estratégia de
segurança da IBM
para Segmento
Financeiro

27
Segurança & Conformidade
Modelo anti-fraude para proteção à Informação
Instituições Financeiras
27
Governança de servidores,
desktops e dispositivos
móveis
Segurança Desenvolvimento
Segurança no ciclo de vida de
desenvolvimento de sistemas
Gestão Endpoints
Segurança de Dados
Proteção contra ameaças
Do fluxo de dados em QRadar se
os dispositivos NIPS para
sensores de atividade
Controle ciclo de vida e acessos
dos colaboradoes e parceirosAuditoria e controle de
acesso bases de dados
Correlacionar novas
ameaças com base na
reputação , coletadas feeds
Trilha de auditoria e
controle de acesso z/OS
Visão em tempo real
das ofensas de rede e
aplicações.
Inteligência de Segurança
Gestão de Acesso e Identidade
Segurança Mainframe

28
Conformidade com Basiléia II
Práticas mais sólidas de Gerenciamento dos Riscos de Crédito e Operacional
•Identificar e medir os Riscos Operacionais tem
se mostrado como desafio para a maioria das
instituições financeiras.
• O gerenciamento da Informação e da TI são
elementos chave em uma estratégia de
Governance, Risk & Complaince (GRC).
• Os componentes relacionados a TI como
aplicações, infra-estrutura e controles são
definidos como Riscos Operacionais.

29
Necessidade de Gerenciamento do Risco Operacional
ISACA & IT Governance Institute organizam os “IT Control Objectives for Basiléia II
Uma “Ponte” entre a Basiléia II e framework de
auditoria CobiT foi criada estabelencendo-se
10 princípios para Gestão do Risco da
Informação e Operacional
IT Governance Institute organizou
metodologia para endereçar os riscos
Operacionais em segmentos Financeiros.

30
Os 10 Princípios de Gerenciamento de Risco Operacional/Informacão da Basiléia II mapeados para os
Processos de Auditoria do Framework CobiT

31
• A IBM correlacionou todas as suas soluções de
segurança que fazem parte da oferta IBM Security
com os Domínios do COBIT e os controles da ISO
27002.
•A partir desta correlação utilizamos o IT Control
Objectives for Basel II (correlação entre Cobit e
Basiléia II) para construir uma arquitetura de
aderência aos requerimentos do segmento financeiro
de acordo com os objetivos de controle demandados
pela regulamentação internacional.
A plataforma de Segurança da IBM garante aderência e conformidade ao segmento financeiro de
acordo com os os requerimentos da Basiléia II – BACEN
11.4: Network access control IBM Support Comments
Objective: To prevent unauthorized access to networked services.
• Access to both internal and external networked services should be controlled.
• User access to networks and network services should not compromise the security of the network
services by ensuring:
a) appropriate interfaces are in place between the organization’s network and networks owned by
other organizations, and public networks;
b) appropriate authentication mechanisms are applied for users and equipment;
c) control of user access to information services in enforced.
11.4.1: Policy on use of network services
Control: Users should only be provided with access to the services that they have been specifically
authorized to use.
11.4.2: User authentication for external connections
Control: Appropriate authentication methods should be used to control access by remote users.
11.4.3: Equipment identification in networks
Control: Automatic equipment identification should be considered as a means to authenticate
connections from specific locations and equipment.
11.4.4: Remote diagnostic and configuration port protection
Control: Physical and logical access to diagnostic and configuration ports should be controlled.
11.4.5: Segregation in networks
Control: Groups of information services, users, and information systems should be segregated on
networks.
11.4.6: Network connection control
Control: For shared networks, especially those extending across the organization’s boundaries, the
capability of users to connect to the network should be restricted, in line with the access control
policy and requirements of the business applications (see 11.1).
11.4.7: Network routing control
Control: Routing controls should be implemented for networks to ensure that computer
connections and information flows do not breach the access control policy of the business
applications.
Proventia, TAMOS, TSIEM,
RACF+zSecure
Total Authentication Solution,
Lotus Mobile Connect,
TAMeb, TAM ESSO, PIM,
RACF+zSecure, IBM Identity
& Access Mgmt Service
Netcool, Maximo
TAMOS
Proventia, z/OS and AIX with
security labels and/or
virtualization (e.g., LPARs,
z/VM, third party commercial
and open source offerings)
Proventia, Lotus Mobile
Connect
Netcool
Management of networking
equipment

32
Visão das soluções do
modelo de anti-fraude

33
Modelo anti-fraude: Visão de Gerenciamento de Acesso e Identidade
Temas Chave
Padronização do IAM
para Gerenciamento e
Conformidade
Expansão vertical do IAM para fornecer
inteligência a identidade e acesso para
os negócios; Integração horizontal na
concessão do acesso do usuário aos
dados, app , e infra – estrutura
Segurança em Cloud,
Ambientes móveis
Aprimorar o controle de acesso
baseado em contexto para Cloud, o
acesso remoto e SaaS, assim como a
integração com soluções para correção
de erros, validação e autenticação
Ameaça Interna e
Governança de IAM
Continuar a desenvolver recursos de
gerenciamento de Identidade
Privilegiados (PIM ), Identidade e
gerenciamento de função (RBAC)

34
Temas Chave
Custo Total de
Propriedade Reduzido
Suporte expandido para bancos de
dados e dados não estruturados,
automação , manipulação e análise de
grandes volumes de registros de
auditoria , e novos recursos de
prevenção
Fortalecer Conformidade
Prover Vulnerabilidade Assessment
(VA) e proteção a Bancos de Dados
heterogêneos garantindo a segurança e
visbilidade transacional em bases
relacionais e segurança das aplicações
Proteção Dinâmica Dados
Mascaramento de dados recursos para
bancos de dados (nível de linha e nível
de função) e para aplicativos (padrão ,
baseado em formulário com base) para
proteger os dados sensíveis e
confidenciais de produção.
Arquitetura e
monitoração
transacional
QRadar
Integration
Modelo anti-fraude: Visão da Segurança e Blindagem dos Dados

35
Temas Chave
Cobertura de novas
ameaças e aplicativos
para Mobile
Identificar e reduzir o risco expandindo
recursos de varredura para novas
plataformas móveis e ameaças
emergentes
Interface simplificada e
acelerada de
investimento
Novos recursos para melhorar o tempo
do cliente para agregar valor na
redução do tempo de análise com o uso
de varredura, modelos e recursos de
facilidade de uso
Inteligência
Ajustar automaticamente os níveis de
ameaça com base no conhecimento
sobre vulnerabilidades do aplicativo.
Analisar os resultados da varredura
com sistemas de IPS e SIEM
Modelo anti-fraude: Visão da Segurança do Ciclo de Desenvolvimento

36
Temas Chave
Segurança Para Mobile
Devices
Fornecer segurança e gerenciar os
terminais de dispositivos remotos ,
como Apple iOS, o Google Android,
Symbian , e Microsoft Windows Phone
- utilizando um única plataforma
Governança
Padronizar configuração de segurança
e identificação de vulnerabilidades para
para aplicativos , sistemas operacionais
e construção de boas práticas
(baselines)
Framework integrado
Gerenciamento de dispositivos
tradicionais ou móveis a partir da
centralização para atualização de
conteúdo, segurança e padronização
das configurações de bom uso e
governança dos endpoints.
Modelo anti-fraude: Visão da Gestão de Endpoints

37
Temas Chave
Plataforma de Proteção
Avançada Contra
Ameaças
Habilidade de prevenir ameaças
sofisticadas e detectar comportamento
anormal da rede utilizando um conjunto
extenso de capacidades de segurança
de rede em conjunto com informações
em tempo real sobre ameaças e
inteligência em segurança
Inteligência e Pesquisa
X-Force
Cobertura de inteligência contra
ameaças a partir do renomado time
X-Force, responsável por prover a
inteligência cada vez mais embarcada
em todas as linhas de soluções de
segurança da IBM
Integração com
Inteligência em
Segurança
Forte integração entre as plataformas
de Proteção Avançada Contra Ameaças
e Inteligência em Segurança QRadar,
provendo maneiras únicas e
significativas de detectar, investigar e
remediar ameaças
Modelo anti-fraude: Visão de proteção contra ameaças avançadas
Plataforma de
Inteligência
em Segurança
Inteligência
e Pesquisa
Sobre
Ameaças
Plataforma
de Proteção
Avançada
Contra
Ameaças
Log Manager SIEM
Network Activity
Monitor
Risk Manager
Vulnerability Data Malicious Websites Malware Information IP Reputation
Intrusion
Prevention
Content
and Data
Security
Web
Application
Protection
Network
Anomaly
Detection IBM Network
Security
Application
Control

38
Temas Chave
Auditoria Mainframe
Habilidade de realizar auditorias
periódicas a partir de análises de
configurações reportando eventos e
detectando exposições de segurança
Monitoração de Ameaças
Monitorar logs e transações em tempo
real para deteção de intrusos,
anomalias e correções de falhas no
ambiente.
Controle de Acesso
Restringir a execução dos comandos
que não estejam de acordo com a
política de segurança
Modelo anti-fraude: Visão de proteção ambiente mainframe
Análise de vulnerabilidade para
infraestrutura de mainframe.
Automaticamente analisa e reporta
eventos e detecção de exposições de
segurança
Monitoração de ameaças em
tempo real. Deteção de
intrusos e identificação de
configurações falhas
Enforcement da Política de
Segurança. Previne contra
comandos maliciosos ou erros de
operação de administradores.
Combinação dos recursos de
auditoria e administração do
RACF em ambientes virtualizados
incluindo Linux em System z
Permite administração mais
eficiente do RACF utilizando
menos recursos
Reduz esforços para administração
do RACF a partir de interface GUI
Microsoft Windows
Provimento de comandos e APIs
RACF para ambiente CICS
permitindo flexibilidade
administrativa.

39
Modelo anti-fraude: Inteligência de Segurança
Extensive Data Sources
Deep
Intelligence
Exceptionally Accurate and
Actionable Insight
+ =
Suspected Incidents
Event Correlation
Activity Baselining & Anomaly
Detection
• Logs
• Flows
• IP Reputation
• Geo Location
• User Activity
• Database Activity
• Application Activity
• Network Activity
Offense Identification
• Credibility
• Severity
• Relevance
Database Activity
Servers & Mainframes
Users & Identities
Vulnerability Info
Configuration Info
Security Devices
Network & Virtual Activity
Application Activity
25 ofensas de segurança/dia2 bilhões de eventos de segurança/dia
Tema Chave
Inteligência de Segurança e Visão anti-fraude em tempo real
Visão integrada de ambientes heterogêneos para detecção de fraudes e ofensas ao ambiente de tecnologia
Compreensão de padrões de redes, aplicações e anomalias (desvios comportamentais).

40
Security
Intelligence,
Analytics e
GRC
Pessoas
Dados
Aplicações
Infra
Soluções Inteligentes fornecem o DNA para proteger um planeta
mais inteligente

41
Ibm.com/security
©Copyright IBM Corporation 2012. Todos os direitos reservados. O informações contidas nesses materiais é fornecido apenas para fins
informativos , e é fornecido NO ESTADO sem garantia de nenhum tipo , seja expressa ou implícita . IBM não deve ser responsável por quaisquer
danos decorrentes de utilização , ou de outra forma relacionados a esses materiais . Nada contidas nesses materiais tem a intenção de , nem
deve ter o efeito de , criar quaisquer garantias ou representações da IBM ou de seus fornecedores ou licenciadores , ou alterar os termos e as
condições do contrato de licença aplicável que rege a utilização de software da IBM . Referências Nestas matérias a produtos IBM, programas ou
serviços não significa que eles estarão disponíveis em todos os países nos quais a empresa opera . Produto release datas e / ou recursos
referenciados em esses materiais podem ser alterados a qualquer momento a critério exclusivo da IBM com base nas oportunidades de mercado
ou outros fatores , e não se destinam a ser um compromisso com o futuro do produto ou a disponibilidade de recursos de forma alguma . IBM , o
logotipo da IBM , e em outros produtos e serviços são marcas registradas da International Business Machines Corporation, nos Estados Unidos e
/ ou em outros países. Outros nomes de empresas, produtos ou serviços podem ser marcas comerciais ou marcas de serviços de terceiros.
Declaração De Práticas de Segurança Bom: a segurança do sistema de TI envolve a protecção dos sistemas e informações através da
prevenção, detecção e de resposta para acesso inadequado a partir de dentro e fora de sua empresa. Acesso inadequado pode resultar em
informações que estão sendo alterados, destruídos ou desviados ou pode resultar em danos ou mau uso de seus sistemas , incluindo a ataque
outros . Não Sistema de TI ou produto deve ser considerado completamente segura e não única medida do produto ou de segurança pode ser
completamente em que impedem o acesso inadequado. Os sistemas e produtos da IBM são projetadas para fazer parte de um abordagem de
segurança abrangente, que serão necessariamente envolver adicionais procedimentos operacionais , e podem exigir outros sistemas , produtos
ou serviços para ser mais eficazes . IBM NÃO GARANTE QUE SISTEMAS E PRODUTOS SÃO IMMUNE DE FALSIFICADOS OU ILEGAL
REALIZAÇÃO DE QUALQUER PARTE.

Segurança Mercado Financeiro

Recomendados

Recomendados

Mais conteúdo relacionado

Destaque

Destaque (14)

Semelhante a Segurança Mercado Financeiro

Semelhante a Segurança Mercado Financeiro (20)

Segurança Mercado Financeiro