Life Sciences Cyber Security Março de 2015 kpmg.com/BR 2X ORGANIZAÇÕES DE SAÚDE RELATAM PERDA DE DADOS E INCIDENTES DE ROUBO A DUAS VEZES A TAXA DE OUTRAS INDÚSTRIAS Fonte: Verizon’s 2014 Data Breach Investigations Report O CENÁRIO ATUAL As manchetes são alarmantes e novos eventos são relatados quase todos os dias. Os avisos são terríveis, a preocupação do consumidor e o controle regulatório estão no centro das atenções. A natureza complexa e muitas vezes incompreendida da segurança cibernética está exercendo uma enorme pressão sobre a cadeia de valor da indústria farmacêutica. Embora a necessidade de uma melhor compreensão e de controles seja óbvia, recomendamos para que as empresas contenham o instinto natural de uma reação exagerada à crise atual de segurança cibernética. Em vez disso, estabeleçam uma abordagem disciplinada, a fim de obter melhorias relacionadas à segurança cibernética e, simultaneamente, proporcionar benefícios reais para o negócio. INICIANDO OS TRABALHOS ~£2B É O CUSTO DE ROUBO DE INFORMAÇÕES DENTRO DOS SETORES FARMACÊUTICOS, DE BIOTECNOLOGIA E DE SAÚDE DO REINO UNIDO. Fonte: UK’s Office of Cyber Security and Information Assurance (OCISA) Temos visto muitas tentativas desesperadas e malsucedidas para enfrentar o desafio de segurança cibernética. Isso inclui programas de segurança cibernética com base principalmente em melhores e mais recentes ferramentas técnicas, em uma tentativa de erradicar qualquer ameaça à segurança cibernética possível ou percebida. Essa corrida para ação pode resultar em uma organização com soluções técnicas que não são necessárias, processos que não funcionam adequadamente, não atribuição de controles claros, e soluções de segurança cibernética muito caras para se sustentar ao longo do tempo. Recomendamos uma abordagem bem pensada e disciplinada para compreensão, avaliação, priorização e mitigação dos riscos de segurança cibernética que impactam os ativos de informações mais sensíveis. Tudo isso com base em nossa experiência no fornecimento de serviços de transformação em segurança cibernética, em que desenvolvemos uma abordagem que vai auxiliar nossos clientes no estabelecimento de melhorias relacionadas à segurança cibernética modeladas ao seu negócio. A nossa abordagem pode ser resumida em 4 passos, conforme descritos a seguir: CONJUNTO RESUMO DE NOSSA ABORDAGEM CATÁLOGO • Trabalhar para definir cenários de risco de segurança cibernética exclusivos para seu ambiente. • Identificar os ativos de informações sensíveis e fluxos de dados relawcionados. • Inventariar ativos de tecnologia e analisar riscos. - Avaliar a maturidade de segurança cibernética por meio da: - Liderança e governança; -Cultura; - Gestão de riscos da Informação; - Operações de TI, tecnologia, nível de habilidade; - Legais e de conformidade; - A continuidade dos negócios; - A gestão de crises. • Envolver a função de segurança de TI ao projetar e implementar a mudança nos negócios. LIMPEZA • Corrigir problemas de alto risco identificados durante os esforços de avaliação e criação de catálogo (ver acima). • Roadmap da estratégia de alteração de documentos de segurança cibernética baseada na avaliação da maturidade. CONTROLE • Atualizar o mapa de controles, em conformidade com os requisitos de negócios e regulamentares. • Introduzir uma abordagem unificada de compliance através da padronização de controles. • Reforçar os procedimentos de aquisição de ativos de tecnologia/ software e desenvolvimento. • Melhorar a governança de terceiros e fornecedores, e definir agendas comuns. • Padronizar os processos de gestão de serviços e automatizar fluxos de trabalho relacionados. • Aproximar os controles de dados através de: - Gerenciamento de direitos digitais; - Gestão de ativos; - Gerenciamento de identidades; - Gerenciamento de direitos privilegiados; - Gerenciamento de chaves; - Endereçamento do vazamento de dados, pontos de proteção contra perda. COMUNICAÇÃO • Processar o gerenciamento de incidentes, atualização e divulgação. • Melhorar a coordenação entre as equipes não técnicas (por exemplo, Legal, Comunicação, Pesquisa etc.). • Reforçar as normas de documentação e capacidade de investigação. • Entregar melhores indicadores de segurança cibernética. OS DESAFIOS ENFRENTADOS Há realmente muita coisa em jogo e muitos desafios. As organizações inseridas na cadeia de valor da indústria farmacêutica têm volumes significativos de ativos confidenciais de informação que precisam ser protegidos de acordo com diferentes e, por vezes, contraditórias expectativas, incluindo: necessidades de consumo, políticas corporativas, padrões da indústria, requisitos regulamentares, normas jurídicas que ultrapassam fronteiras e bom senso. Todas as organizações do setor possuem os 5 seguintes tipos de ativos: • Corporativos: propriedade intelectual, pesquisa, desenvolvimento, fusão, aquisição, alienação, segredos comerciais etc. • Cliente: clínica, ensaio, dosagem, medicamentos, sintomas, resultados, dados pessoais. • Funcionário: recursos humanos, folha de pagamento, saúde, benefícios, avaliações de desempenho. • Fornecedores e Terceiros: acordos comerciais, cartões de taxa, hospedagem de dados, dados de gestão. • Jurídico e Legal: Ações judiciais, arbitragem e comunicações privilegiadas. Cada tipo de informação de ativos deve ser considerado exclusivamente quando da elaboração de sua estratégia de segurança cibernética; isto é devido a tecnologia, recursos, qualificação, regulamentação, processos e considerações distintas de controles necessários para proteger totalmente e governar esses diferentes tipos de informação - a partir das ações para criação, uso, armazenamento e destruição (ciclo de vida do ativo de informações, por exemplo). Programas de segurança cibernética de sucesso devem aderir a um princípio básico de proteção de informações e privacidade: mover controles e governança o mais próximo possível do dado a ser protegido. 17.000 MÉDIA DO NÚMERO DE REGISTROS DE PACIENTES VIOLADOS POR DIA A PARTIR DE 2009 ATÉ O PRESENTE Fonte: Depto. de Saúde e Serviços Humanos (US) CYBER SECURITY FACILITANDO A MUDANÇA ESTRATÉGICA As organizações do setor de Life Sciences atuando para melhorar as capacidades de segurança cibernética, ao mesmo tempo que tentam encontrar oportunidades de reduzir custos, melhorar a eficiência dos processos, consolidar tecnologias, implementação de tecnologias e soluções emergentes, introduzir novos modelos de negócios, e aumentar as margens de lucro. Nosso resumo das principais tendências do mercado, as implicações para a indústria e como a melhoria das capacidades de segurança cibernética podem servir como um facilitador estratégico facilitando uma mudança positiva é apresentada da seguinte forma: IMPLICAÇÕES PARA LIFE SCIENCES MUDANÇAS REQUERIDAS PARA CYBER HABILITADOR DE MUDANÇAS ALIANÇAS DE NEGÓCIO E MODELOS OPERACIONAIS DIFERENCIADOS (PLUG & PLAY) Aumento da complexidade e dos riscos de processos, dados e tecnologias • Procedimentos de diligência e de avaliação de riscos de segurança cibernética relacionados a terceiros e fornecedores • Controles de acesso e governança de ativos de informação • Reduz riscos de sourcing e negócios relacionados a parceiros e fornecedores • Facilita o acesso on-demand para informações GLOBALIZAÇÃO E EMERGENTE EXPANSÃO DO MERCADO Maior dependência, organizações de TI escaláveis para apoiar a cadeia de abastecimento global, mercados em evolução, expansão internacional e as exigências dos consumidores • Melhoria das estruturas de controle de segurança cibernética • Melhoria de análise de segurança cibernética, relatórios e comunicações • Diminui a mudança e os custos relacionados com o desenvolvimento • Reduz o cumprimento regulatório através de uma abordagem de relatórios de conformidade unificada EVOLUÇÃO DO MODELO COMERCIAL Surgimento de novas parcerias comerciais e maior dependência de Directto-Consumer e canais de mercado B2C • Controles de acesso e governança de ativos de informação • Melhoria das estruturas de controle de segurança cibernética • Permite a proliferação de canais de interação com o cliente (ou seja, a mídia social) e acesso móvel a dados • Oferece oportunidades de certificação de segurança cibernética escalável AUMENTO DO PAPEL DO GOVERNO NO ÂMBITO DA REGULAÇÃO Alteração das operações de negócio em evolução, carga regulamentar e aumento de relatórios de conformidade • Melhoria dos dados e controles de segurança centralizados • Melhoria da informação de gestão do ciclo de vida de ativos e controles • Atinge as regras de segurança cibernética internacional e requisitos de privacidade • Garante arquivamento e cumprimento dos requisitos de controle de retenção de dados EVOLUÇÃO DOS MODELOS DE PRESTAÇÃO DE SERVIÇOS ÀS EMPRESAS Surgimento de serviços compartilhados e outsourcing com soluções de negócios em nuvem • Controles de acesso e governança de ativos de informação • Melhoria de análise de segurança cibernética, relatórios e comunicações • Fornece maior controle e colaboração com terceiros e fornecedores, a fim de atingir as metas de desempenho • Para uma melhor compreensão da evolução das ameaças de segurança e privacidade, o que ajuda a determinar os investimentos em segurança cibernética TENDÊNCIA DE MERCADO POR QUE A KPMG? •Servimos cada uma das 15 principais companhias farmacêuticas globais. •Servimos 17 das 25 maiores empresas de biotecnologia globais. •Atendemos 62% das 78 empresas da Fortune 1000 de saúde. •Atendemos 80% do top 10 de empresas de gestão em Health Care. •Atendemos 50% dos 150 melhores sistemas de saúde. •Temos uma prática de consultoria dedicada a Life Sciences & Pharma que entende os direcionados atuais da indústria e os riscos. •Temos profundo conhecimento em temas emergentes, incluindo: Cloud Computing, mobilidade, mídias sociais e analytics. •Temos mundialmente mais de 1.600 profissionais dedicados à proteção de informações. •Temos as alianças externas necessárias para fornecer soluções de segurança cibernética fim a fim para nossos clientes. •Abordamos cada projeto de tecnologia, focando primeiro no que é adequado para o seu negócio. •A KPMG UK dirige o Instituto Internacional de Integridade da Informação (I4), que oferece acesso imediato aos dados de referência da indústria. •Somos consultores objetivos que entendem das estruturas de segurança cibernética de nossos clientes. •Somos especialistas em ferramentas de segurança de TI relevantes, incluindo: Nessus, AppScan, RedSeal, Veracode etc. O QUE NOS DIFERENCIA COLABORATIVO Facilitamos e trabalhamos com fóruns colaborativos para reunir as melhores ideias da indústria a fim de resolver coletivamente desafios comuns. O fórum KPMG I-4 reúne mais de 50 das maiores organizações do mundo para discutir problemas e soluções emergentes. RECONHECIMENTO O Forrester reconheceu a KPMG como líder em Consultoria para Segurança da Informação, destacando o nosso forte foco e capacidade de assumir compromissos desafiadores com nossos clientes, traduzindo suas necessidades em resultados. GLOBAL E LOCAL Existem mais de 1.600 profissionais de segurança que trabalham na rede de firmas-membro da KPMG, dando-nos a capacidade de orquestrar e entregar consistentemente elevados padrões em toda a nossa rede global. As firmas-membro da KPMG podem atender às suas necessidades locais de programas de estratégia de segurança da informação e programas de mudanças, avaliações técnicas, investigações forenses, resposta a incidentes e treinamentos. CONFIÁVEL Temos uma longa lista de certificações e licenças para executar trabalhos para muitas das principais organizações do mundo. CONTATO Leandro Augusto Sócio, Cyber Security Tel: +55 (11) 2183-3740 [email protected] Leonardo Augusto Giusti Sócio-líder, Life Sciences & Pharma Tel: +55 (11) 2183-3213 [email protected] kpmg.com/br/cyber / kpmgbrasil App KPMG Brasil – disponível em iOS e Android App KPMG Publicações – disponível em iOS e Android © 2015 KPMG Consultoria Ltda., uma sociedade simples brasileira, de responsabilidade limitada, e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG International Cooperative (“KPMG International”), uma entidade suíça. Todos os direitos reservados. Impresso no Brasil. O nome KPMG, o logotipo e “cutting through complexity” são marcas registradas ou comerciais da KPMG International Todas as informações apresentadas neste documento são de natureza genérica e não têm por finalidade abordar as circunstâncias de uma pessoa ou entidade específica. Embora tenhamos nos empenhado em prestar informações precisas e atualizadas, não há garantia de sua exatidão na data em que forem recebidas nem de que tal exatidão permanecerá no futuro. Essas informações não devem servir de base para se empreenderem ações sem orientação profissional qualificada, precedida de um exame minucioso da situação em pauta.