Upload
avanirp1
View
545
Download
2
Embed Size (px)
Citation preview
Segurança da Informação na Empresa
TECC - Economia de TIUFCG / CCT / DSC
J. Antão B. [email protected]
Segurança da informação (Passado)
Exemplos de informações corporativas “sensíveis” (“ativos importantes”).
Segurança facilitada pela “internação”, mas:
• Desvia foco do negócio
• Múltiplas interfaces• Investimentos
grandes ($, RH, t)Finanças:CP/CRContabilidade
Parceiros:EstoquePedidosComprasContas PagarTransporte
…
Clientes:CréditoVendasHistóricoSuporte
Corporação
Internet
Backup
Pessoal:DesempenhoFolha PagtoBenefíciosFundo Pensão
Segurança no Presente / Futuro
Recursos de TI na Web, incluindo (quantidade crescente de) ativos importantes (VPN)- Baixo custo- Usuário com foco no negócio:
• Única I/F (browser)• Menor investimento
Mas, maior complexidade e qualidade sofrível de S.O. (ex: MS-IIS) e aplicações
• Fontes de vulnerabilidade
Internet
Clientes:CréditoVendasHistóricoSuporte
Parceiros:EstoquePedidosComprasContas PagarTransporte
Finanças:CP/CRContabilidade
...Backup
Pessoal:DesempenhoFolha PagtoBenefíciosFundo Pensão
Para que o barato não saia caro...
• Algumas aplicações Web são rápidas para desenvolver e exigem pequeno investimento para aumentar ganhos intangíveis:– Melhoram moral e colaboração de pessoas, equipes– Simplificam acesso à informação e outros ativos– Reduzem tempo para o mercado
• Investimentos em segurança normalmente sobem após incidentes graves (IDC)– Vantagem de enxergar segurança como parte do negócio
a ser tratada em qualquer projeto de TI• 60 a 100 vezes mais barato do que consertar (@stake)
O caminho das pedras: prejuízos, riscos, prioridades e controles
1. Política (identifica informação sensível e porque)- O quê e quanto?
Quais os ativos de informação (multimídia)?Qual o valor para a empresa (dimensão dos possíveis prejuízos)Desconsiderar ativos de baixo valor (prioridades)
2. Escopo Toda a empresa, departamentos, interfaces externas (TI, Web, fone, fax, computação móvel, assessoria
de imprensa, ...)
3. Análise de riscoRisco (probabilidade) de perder ativos de alto valor
4. Gerência (para minimização) do riscoUso de tecnologia, pessoal, procedimentos, dispositivos, seguro, ...
5. Medidas e controlesManeiras escolhidas (a partir de lista “padrão”) para a gerência do risco
6. Estudo de adequaçãoJustificativa para cada medida e controle adotado ou descartado (da lista)
Perguntas importantes
• A segurança que temos hoje basta?
• Que nível de segurança precisamos?
• Quais os riscos que aceitamos?
O preço das pedras ...
• Quanto podemos investir para o nível de segurança necessário?
O custo da segurança
• Custos em termos de:– Infraestrutura
– Inconveniência
• Resistência por:– CIO
– Usuários
• Custo e riscos são crescentes...
Segurança tradicional de redes
Cresc
imen
to d
o uso
da I
nternet
por em
presa
s e go
vern
o
2002 t
$
Risco
Motivação
• Redes (Internet, Web, VPN) são hoje, infra-estrutura computacional corporativa e suportam ativos importantes
– Questão antes apenas técnica (CIO) passa a ser também, do negócio e financeira (C E/F/I O)
• Relevância do ganho “financeiro” para a empresa• Planejamento estratégico para vantagem competitiva do negócio
• Como “segurança” pode trazer vantagem competitiva?
Segurança na Visão do Negócio
• Segurança pode ser promotora do negócio!– Vigilância sanitária em um restaurante: descuidos
(além de multas), podem levar à má reputação, perda de clientes e ao fechamento.
– Falta de segurança com informação idem.
Segurança como parte do negócio
• Segurança pode melhorar processos do negócio– VPN, por exemplo, troca acesso via linha dedicada por acesso
remoto seguro, mais abrangente a todos os colaboradores e mais barato.
• Redução de custos de infraestrutura física (escritório), eletricidade, ...
– Autenticação e criptografia permitem atender clientes “pessoalmente” em servidores Web, ao invés de balcão, com mais facilidade e menor equipe (IR no Brasil)
– Criação de novas oportunidades de negócio com e-business
• Segurança como parte de todo projeto de TIC– Como gestão da qualidade– Exige educação, mudança cultural e motivação para excelência
Segurança na visão do ROI
• ROI como suporte à tomada de decisão– Análises de pagamento (payback) e de risco, valor presente
líquido, taxa de retorno interno– Usados para comparar projetos ou soluções (com
investimentos correspondentes) diferentes para problemas da empresa
• Aprovação se (taxa do) ROI ultrapassa certo valor– Inexistência de investimentos com ciranda financeira
– Análise OK com parâmetros ou custos bem definidos (valores tangíveis)
– Análise complicada com custos ou ganhos intangíveis• Maior satisfação de clientes
ROI de Segurança (ROSI)
• ROI sendo usado para decisões sobre TIa) 80% de CIOs em Pesquisa da InformationWeek (julho 2001)
b) Análise deve considerar elementos de custos como:• Licenças de software, hardware• Honorários de consultores, salários de técnicos e gestão• Terceirização de hospedagem
c) Mas no caso de Segurança, como valorar prejuízos:• Danos à reputação, reveses estratégicos, perda de informações• Captura de informações, perda de oportunidades de negócios
OBS: Terceirização ajuda a clarear custos em b); empresa se ocupa em estimar c).
Uma Dica para ROSI
1) Qual o nível de risco inaceitável?– PAS = Prêmio Anual do Seguro para cobrir risco*– PSS = Preço da Solução de Segurança para risco
“aceitável”
ROI = PAS – PSS
* Maquiavel: Análise de risco com “desastre dos outros”– Desgaste da marca (perda de reputação)– Perda de receita com paralisação da operação
Um modelo para custos
1. Avaliação – equipe (CISO, gerentes, auditores e apoio administrativo)
2. Proteção - $ para HW, SW, atualizações (novos vírus, ...)3. Gestão – Equipe técnica, especializada nos ativos/dispositivos de
segurança (configuração, desenvolvimento de software, listas de controle de acesso, ...)
4. Treinamento – Toda a empresa e equipe de segurança em particular (atualização contínua)
5. Monitoração – Custos de pessoal para acompanhar sensores (24x7x365)
6. Reação – Equipe para atendimento de emergências e rastreamento
Diretrizes
• Implantação de política de segurança completa envolve ativos, pessoal e treinamento1) requisitos de gestão e pessoal
• Equipe própria X terceirizaçãoEncargos, férias, licenças, escala de treinamento ...Onde achar especialistas?
2) custos de aquisição de soluções• Tratar com múltiplos fornecedores pode se tornar falha de segurança
Diretrizes
• Insipiência da indústria: pouca regulamentação e normas para referência e diretrizes– Norma NBR ISO/IEC 17799: Código de prática para
a gestão da segurança da informação• Parte 1: Lista de coisas que devem ser feitas (Política)• Parte 2: Como construir (Processo) Sistemas de Gestão de
Segurança
– Busque soluções alinhadas com a norma (“certificação”)
De volta ao futuro...
• 1882 – investimento em sprinklers era duvidoso– Março 1882, George Parmalee ateou fogo em fábrica
de fiação de algodão em Bolton, Inglaterra• Em 90 seg, fogo e fumaça tomaram toda a fábrica
• Depois de 120 seg, 32 sprinklers automáticos extinguiram o incêndio
– “Argumento de vendas” para patente do irmão Henry– Venderam porém, poucas unidades
“...não conseguiam contratar....a não ser que assegurassem umretorno razoável pelo investimento”
Sir John Wormald (testemunha ocular)
Evolução em ROSI e Tecnologias de Segurança
• De volta ao futuro...– Seguro com desconto para fábricas com sprinklers– Descontos maiores para sprinklers com melhor tecnologia– Seguros mais caros para as fábricas sem sprinklers
Fábricas com sprinklers não perdiam tempo prevenindo ou cuidando de incêndios, concentravam-se nos negócios!
• Avanços pela Indústria de Seguros e pelo Lucro– Com todas as outras variáveis ou fatores iguais, empresas com
informação (rede) segura terão menores prêmios de seguro (diferencial competitivo), menores custos e maiores margens de lucro!
“O pulo do gato”
• Como nossa empresa poderá usar Segurança para:– Vantagem competitiva– Melhores margens