Life Sciences
Cyber Security
Março de 2015
kpmg.com/BR
2X
ORGANIZAÇÕES DE SAÚDE RELATAM PERDA DE
DADOS E INCIDENTES DE ROUBO A DUAS VEZES A
TAXA DE OUTRAS INDÚSTRIAS
Fonte: Verizon’s 2014 Data Breach Investigations Report
O CENÁRIO ATUAL
As manchetes são
alarmantes e novos
eventos são relatados
quase todos os dias.
Os avisos são terríveis, a
preocupação do consumidor
e o controle regulatório estão
no centro das atenções. A
natureza complexa e muitas
vezes incompreendida da
segurança cibernética está
exercendo uma enorme pressão
sobre a cadeia de valor da indústria
farmacêutica.
Embora a necessidade de uma
melhor compreensão e de controles
seja óbvia, recomendamos para que as
empresas contenham o instinto natural
de uma reação exagerada à crise atual
de segurança cibernética. Em vez disso,
estabeleçam uma abordagem disciplinada,
a fim de obter melhorias relacionadas à
segurança cibernética e, simultaneamente,
proporcionar benefícios reais para o negócio.
INICIANDO OS TRABALHOS
~£2B É O CUSTO DE
ROUBO DE INFORMAÇÕES
DENTRO DOS SETORES
FARMACÊUTICOS, DE
BIOTECNOLOGIA E
DE SAÚDE DO REINO
UNIDO.
Fonte: UK’s Office of Cyber Security and
Information Assurance (OCISA)
Temos visto muitas tentativas desesperadas
e malsucedidas para enfrentar o desafio de
segurança cibernética. Isso inclui programas de
segurança cibernética com base principalmente
em melhores e mais recentes ferramentas
técnicas, em uma tentativa de erradicar qualquer
ameaça à segurança cibernética possível ou
percebida. Essa corrida para ação pode resultar
em uma organização com soluções técnicas que
não são necessárias, processos que não funcionam
adequadamente, não atribuição de controles claros, e
soluções de segurança cibernética muito caras para se
sustentar ao longo do tempo.
Recomendamos uma abordagem bem pensada e disciplinada
para compreensão, avaliação, priorização e mitigação dos
riscos de segurança cibernética que impactam os ativos de
informações mais sensíveis. Tudo isso com base em nossa
experiência no fornecimento de serviços de transformação em
segurança cibernética, em que desenvolvemos uma abordagem
que vai auxiliar nossos clientes no estabelecimento de melhorias
relacionadas à segurança cibernética modeladas ao seu negócio.
A nossa abordagem pode ser resumida em 4 passos, conforme descritos a seguir:
CONJUNTO
RESUMO DE NOSSA ABORDAGEM
CATÁLOGO
• Trabalhar para definir cenários de risco de segurança cibernética
exclusivos para seu ambiente.
• Identificar os ativos de informações sensíveis e fluxos de dados
relawcionados.
• Inventariar ativos de tecnologia e analisar riscos.
- Avaliar a maturidade de segurança cibernética por meio da:
- Liderança e governança;
-Cultura;
- Gestão de riscos da Informação;
- Operações de TI, tecnologia, nível de habilidade;
- Legais e de conformidade;
- A continuidade dos negócios;
- A gestão de crises.
• Envolver a função de segurança de TI ao projetar e implementar a
mudança nos negócios.
LIMPEZA
• Corrigir problemas de alto risco identificados durante os esforços de
avaliação e criação de catálogo (ver acima).
• Roadmap da estratégia de alteração de documentos de segurança
cibernética baseada na avaliação da maturidade.
CONTROLE
• Atualizar o mapa de controles, em conformidade com os requisitos
de negócios e regulamentares.
• Introduzir uma abordagem unificada de compliance através da
padronização de controles.
• Reforçar os procedimentos de aquisição de ativos de tecnologia/
software e desenvolvimento.
• Melhorar a governança de terceiros e fornecedores, e definir
agendas comuns.
• Padronizar os processos de gestão de serviços e automatizar fluxos
de trabalho relacionados.
• Aproximar os controles de dados através de:
- Gerenciamento de direitos digitais;
- Gestão de ativos;
- Gerenciamento de identidades;
- Gerenciamento de direitos privilegiados;
- Gerenciamento de chaves;
- Endereçamento do vazamento de dados, pontos de proteção
contra perda.
COMUNICAÇÃO
• Processar o gerenciamento de incidentes, atualização e divulgação.
• Melhorar a coordenação entre as equipes não técnicas (por
exemplo, Legal, Comunicação, Pesquisa etc.).
• Reforçar as normas de documentação e capacidade de investigação.
• Entregar melhores indicadores de segurança cibernética.
OS DESAFIOS ENFRENTADOS
Há realmente muita coisa em jogo e muitos desafios.
As organizações inseridas na cadeia de valor da indústria
farmacêutica têm volumes significativos de ativos
confidenciais de informação que precisam ser protegidos
de acordo com diferentes e, por vezes, contraditórias
expectativas, incluindo: necessidades de consumo,
políticas corporativas, padrões da indústria, requisitos
regulamentares, normas jurídicas que ultrapassam fronteiras
e bom senso. Todas as organizações do setor possuem os 5
seguintes tipos de ativos:
• Corporativos: propriedade intelectual, pesquisa,
desenvolvimento, fusão, aquisição, alienação, segredos
comerciais etc.
• Cliente: clínica, ensaio, dosagem, medicamentos,
sintomas, resultados, dados pessoais.
• Funcionário: recursos humanos, folha de pagamento,
saúde, benefícios, avaliações de desempenho.
• Fornecedores e Terceiros: acordos comerciais, cartões de
taxa, hospedagem de dados, dados de gestão.
• Jurídico e Legal: Ações judiciais, arbitragem e
comunicações privilegiadas.
Cada tipo de informação de ativos deve ser considerado
exclusivamente quando da elaboração de sua estratégia
de segurança cibernética; isto é devido a tecnologia,
recursos, qualificação, regulamentação, processos e
considerações distintas de controles necessários para
proteger totalmente e governar esses diferentes tipos
de informação - a partir das ações para criação, uso,
armazenamento e destruição (ciclo de vida do ativo de
informações, por exemplo). Programas de segurança
cibernética de sucesso devem aderir a um princípio
básico de proteção de informações e privacidade: mover
controles e governança o mais próximo possível do dado a
ser protegido.
17.000
MÉDIA DO NÚMERO
DE REGISTROS DE
PACIENTES VIOLADOS
POR DIA A PARTIR DE 2009
ATÉ O PRESENTE
Fonte: Depto. de Saúde e Serviços Humanos (US)
CYBER SECURITY FACILITANDO A MUDANÇA ESTRATÉGICA
As organizações do setor de Life Sciences atuando para
melhorar as capacidades de segurança cibernética, ao
mesmo tempo que tentam encontrar oportunidades
de reduzir custos, melhorar a eficiência dos processos,
consolidar tecnologias, implementação de tecnologias
e soluções emergentes, introduzir novos modelos de
negócios, e aumentar as margens de lucro. Nosso resumo
das principais tendências do mercado, as implicações
para a indústria e como a melhoria das capacidades de
segurança cibernética podem servir como um facilitador
estratégico facilitando uma mudança positiva é apresentada
da seguinte forma:
IMPLICAÇÕES PARA
LIFE SCIENCES
MUDANÇAS REQUERIDAS
PARA CYBER
HABILITADOR DE
MUDANÇAS
ALIANÇAS DE NEGÓCIO E
MODELOS OPERACIONAIS
DIFERENCIADOS (PLUG
& PLAY)
Aumento da complexidade
e dos riscos de processos,
dados e tecnologias
• Procedimentos de
diligência e de avaliação
de riscos de segurança
cibernética relacionados a
terceiros e fornecedores
• Controles de acesso e
governança de ativos de
informação
• Reduz riscos de sourcing
e negócios relacionados a
parceiros e fornecedores
• Facilita o acesso on-demand
para informações
GLOBALIZAÇÃO E
EMERGENTE EXPANSÃO
DO MERCADO
Maior dependência, ​​
organizações de TI
escaláveis para apoiar a
cadeia de abastecimento
global, mercados em
evolução, expansão
internacional e as exigências
dos consumidores
• Melhoria das estruturas
de controle de segurança
cibernética
• Melhoria de análise de
segurança cibernética,
relatórios e comunicações
• Diminui a mudança e os
custos relacionados com
o desenvolvimento
• Reduz o cumprimento
regulatório através de uma
abordagem de relatórios
de conformidade unificada
EVOLUÇÃO DO MODELO
COMERCIAL
Surgimento de novas
parcerias comerciais e maior
dependência de Directto-Consumer e canais de
mercado B2C
• Controles de acesso e
governança de ativos de
informação
• Melhoria das estruturas
de controle de segurança
cibernética
• Permite a proliferação de
canais de interação com
o cliente (ou seja, a mídia
social) e acesso móvel a
dados
• Oferece oportunidades de
certificação de segurança
cibernética escalável
AUMENTO DO PAPEL DO
GOVERNO NO ÂMBITO
DA REGULAÇÃO
Alteração das operações de
negócio em evolução, carga
regulamentar e aumento de
relatórios de conformidade
• Melhoria dos dados e
controles de segurança
centralizados
• Melhoria da informação de
gestão do ciclo de vida de
ativos e controles
• Atinge as regras de
segurança cibernética
internacional e requisitos
de privacidade
• Garante arquivamento
e cumprimento dos
requisitos de controle de
retenção de dados
EVOLUÇÃO DOS
MODELOS DE PRESTAÇÃO
DE SERVIÇOS ÀS
EMPRESAS
Surgimento de serviços
compartilhados e
outsourcing com soluções
de negócios em nuvem
• Controles de acesso e
governança de ativos de
informação
• Melhoria de análise de
segurança cibernética,
relatórios e comunicações
• Fornece maior controle e
colaboração com terceiros
e fornecedores, a fim
de atingir as metas de
desempenho
• Para uma melhor
compreensão da
evolução das ameaças de
segurança e privacidade,
o que ajuda a determinar
os investimentos em
segurança cibernética
TENDÊNCIA DE MERCADO
POR QUE A KPMG?
•Servimos cada uma das 15 principais companhias farmacêuticas globais.
•Servimos 17 das 25 maiores empresas de biotecnologia globais.
•Atendemos 62% das 78 empresas da Fortune 1000 de saúde.
•Atendemos 80% do top 10 de empresas de gestão em Health Care.
•Atendemos 50% dos 150 melhores sistemas de saúde.
•Temos uma prática de consultoria dedicada a Life Sciences & Pharma que entende
os direcionados atuais da indústria e os riscos.
•Temos profundo conhecimento em temas emergentes, incluindo: Cloud
Computing, mobilidade, mídias sociais e analytics.
•Temos mundialmente mais de 1.600 profissionais dedicados à proteção de
informações.
•Temos as alianças externas necessárias para fornecer soluções de segurança
cibernética fim a fim para nossos clientes.
•Abordamos cada projeto de tecnologia, focando primeiro no que é adequado
para o seu negócio.
•A KPMG UK dirige o Instituto Internacional de Integridade da Informação (I4),
que oferece acesso imediato aos dados de referência da indústria.
•Somos consultores objetivos que entendem das estruturas de segurança
cibernética de nossos clientes.
•Somos especialistas em ferramentas de segurança de TI relevantes,
incluindo: Nessus, AppScan, RedSeal, Veracode etc.
O QUE NOS DIFERENCIA
COLABORATIVO
Facilitamos e trabalhamos com fóruns colaborativos para reunir
as melhores ideias da indústria a fim de resolver coletivamente
desafios comuns. O fórum KPMG I-4 reúne mais de 50 das maiores
organizações do mundo para discutir problemas e soluções
emergentes.
RECONHECIMENTO
O Forrester reconheceu a KPMG como líder em Consultoria
para Segurança da Informação, destacando o nosso forte
foco e capacidade de assumir compromissos desafiadores
com nossos clientes, traduzindo suas necessidades em
resultados.
GLOBAL E LOCAL
Existem mais de 1.600 profissionais de segurança
que trabalham na rede de firmas-membro da KPMG,
dando-nos a capacidade de orquestrar e entregar
consistentemente elevados padrões em toda a nossa
rede global. As firmas-membro da KPMG podem
atender às suas necessidades locais de programas de
estratégia de segurança da informação e programas
de mudanças, avaliações técnicas, investigações
forenses, resposta a incidentes e treinamentos.
CONFIÁVEL
Temos uma longa lista de certificações e licenças
para executar trabalhos para muitas das
principais organizações do mundo.
CONTATO
Leandro Augusto
Sócio, Cyber Security
Tel: +55 (11) 2183-3740
[email protected]
Leonardo Augusto Giusti
Sócio-líder, Life Sciences & Pharma
Tel: +55 (11) 2183-3213
[email protected]
kpmg.com/br/cyber
/ kpmgbrasil
App KPMG Brasil – disponível em iOS e Android
App KPMG Publicações – disponível em iOS e Android
© 2015 KPMG Consultoria Ltda., uma sociedade simples brasileira, de responsabilidade limitada, e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG International
Cooperative (“KPMG International”), uma entidade suíça. Todos os direitos reservados. Impresso no Brasil.
O nome KPMG, o logotipo e “cutting through complexity” são marcas registradas ou comerciais da KPMG International
Todas as informações apresentadas neste documento são de natureza genérica e não têm por finalidade abordar as circunstâncias de uma pessoa ou entidade específica. Embora tenhamos nos
empenhado em prestar informações precisas e atualizadas, não há garantia de sua exatidão na data em que forem recebidas nem de que tal exatidão permanecerá no futuro. Essas informações não
devem servir de base para se empreenderem ações sem orientação profissional qualificada, precedida de um exame minucioso da situação em pauta.