Seguran a da informa o na empresa
This presentation is the property of its rightful owner.
Sponsored Links
1 / 20

Segurança da Informação na Empresa PowerPoint PPT Presentation


  • 48 Views
  • Uploaded on
  • Presentation posted in: General

Segurança da Informação na Empresa. TECC - Economia de TI UFCG / CCT / DSC J. Antão B. Moura [email protected] Internet. Corporação. …. Backup. Clientes: Crédito Vendas Histórico Suporte. Pessoal : Desempenho Folha Pagto Benefícios Fundo Pensão. Parceiros: Estoque

Download Presentation

Segurança da Informação na Empresa

An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -

Presentation Transcript


Seguran a da informa o na empresa

Segurança da Informação na Empresa

TECC - Economia de TI

UFCG / CCT / DSC

J. Antão B. Moura

[email protected]


Seguran a da informa o passado

Internet

Corporação

Backup

Clientes:

Crédito

Vendas

Histórico

Suporte

Pessoal:

Desempenho

Folha Pagto

Benefícios

Fundo Pensão

Parceiros:

Estoque

Pedidos

Compras

Contas Pagar

Transporte

Finanças:

CP/CR

Contabilidade

Segurança da informação (Passado)

  • Exemplos de informações corporativas “sensíveis” (“ativos importantes”).

  • Segurança facilitada pela “internação”, mas:

    • Desvia foco do negócio

    • Múltiplas interfaces

    • Investimentos grandes ($, RH, t)


Seguran a no presente futuro

Internet

...

Clientes:

Crédito

Vendas

Histórico

Suporte

Backup

Pessoal:

Desempenho

Folha Pagto

Benefícios

Fundo Pensão

Parceiros:

Estoque

Pedidos

Compras

Contas Pagar

Transporte

Finanças:

CP/CR

Contabilidade

Segurança no Presente / Futuro

  • Recursos de TI na Web, incluindo (quantidade crescente de) ativos importantes (VPN)

  • Baixo custo

  • Usuário com foco no negócio:

  • Única I/F (browser)

  • Menor investimento

  • Mas, maior complexidade e qualidade sofrível de S.O. (ex: MS-IIS) e aplicações

    • Fontes de vulnerabilidade


Para que o barato n o saia caro

Para que o barato não saia caro...

  • Algumas aplicações Web são rápidas para desenvolver e exigem pequeno investimento para aumentar ganhos intangíveis:

    • Melhoram moral e colaboração de pessoas, equipes

    • Simplificam acesso à informação e outros ativos

    • Reduzem tempo para o mercado

  • Investimentos em segurança normalmente sobem após incidentes graves (IDC)

    • Vantagem de enxergar segurança como parte do negócio a ser tratada em qualquer projeto de TI

      • 60 a 100 vezes mais barato do que consertar (@stake)


O caminho das pedras preju zos riscos prioridades e controles

O caminho das pedras: prejuízos, riscos, prioridades e controles

  • Política (identifica informação sensível e porque)

    - O quê e quanto?

    Quais os ativos de informação (multimídia)?

    Qual o valor para a empresa (dimensão dos possíveis prejuízos)

    Desconsiderar ativos de baixo valor (prioridades)

  • Escopo

    Toda a empresa, departamentos, interfaces externas (TI, Web, fone, fax, computação móvel, assessoria de imprensa, ...)

  • Análise de risco

    Risco (probabilidade) de perder ativos de alto valor

  • Gerência (para minimização) do risco

    Uso de tecnologia, pessoal, procedimentos, dispositivos, seguro, ...

  • Medidas e controles

    Maneiras escolhidas (a partir de lista “padrão”) para a gerência do risco

  • Estudo de adequação

    Justificativa para cada medida e controle adotado ou descartado (da lista)


Perguntas importantes

Perguntas importantes

  • A segurança que temos hoje basta?

  • Que nível de segurança precisamos?

  • Quais os riscos que aceitamos?


O pre o das pedras

O preço das pedras ...

  • Quanto podemos investir para o nível de segurança necessário?


O custo da seguran a

$

Crescimento do uso da Internet por empresas e governo

Risco

Segurança tradicional de redes

t

2002

O custo da segurança

  • Custos em termos de:

    • Infraestrutura

    • Inconveniência

  • Resistência por:

    • CIO

    • Usuários

  • Custo e riscos são crescentes...


Motiva o

Motivação

  • Redes (Internet, Web, VPN) são hoje, infra-estrutura computacional corporativa e suportam ativos importantes

    • Questão antes apenas técnica (CIO) passa a ser também, do negócio e financeira (C E/F/I O)

      • Relevância do ganho “financeiro” para a empresa

      • Planejamento estratégico para vantagem competitiva do negócio

  • Como “segurança” pode trazer vantagem competitiva?


Seguran a na vis o do neg cio

Segurança na Visão do Negócio

  • Segurança pode ser promotora do negócio!

    • Vigilância sanitária em um restaurante: descuidos (além de multas), podem levar à má reputação, perda de clientes e ao fechamento.

    • Falta de segurança com informação idem.


Seguran a como parte do neg cio

Segurança como parte do negócio

  • Segurança pode melhorar processos do negócio

    • VPN, por exemplo, troca acesso via linha dedicada por acesso remoto seguro, mais abrangente a todos os colaboradores e mais barato.

      • Redução de custos de infraestrutura física (escritório), eletricidade, ...

    • Autenticação e criptografia permitem atender clientes “pessoalmente” em servidores Web, ao invés de balcão, com mais facilidade e menor equipe (IR no Brasil)

    • Criação de novas oportunidades de negócio com e-business

  • Segurança como parte de todo projeto de TIC

    • Como gestão da qualidade

    • Exige educação, mudança cultural e motivação para excelência


Seguran a na vis o do roi

Segurança na visão do ROI

  • ROI como suporte à tomada de decisão

    • Análises de pagamento (payback) e de risco, valor presente líquido, taxa de retorno interno

    • Usados para comparar projetos ou soluções (com investimentos correspondentes) diferentes para problemas da empresa

      • Aprovação se (taxa do) ROI ultrapassa certo valor

        • Inexistência de investimentos com ciranda financeira

    • Análise OK com parâmetros ou custos bem definidos (valores tangíveis)

    • Análise complicada com custos ou ganhos intangíveis

      • Maior satisfação de clientes


Roi de seguran a rosi

ROI de Segurança (ROSI)

  • ROI sendo usado para decisões sobre TI

    a) 80% de CIOs em Pesquisa da InformationWeek(julho 2001)

    b) Análise deve considerar elementos de custos como:

    • Licenças de software, hardware

    • Honorários de consultores, salários de técnicos e gestão

    • Terceirização de hospedagem

      c) Mas no caso de Segurança, como valorar prejuízos:

    • Danos à reputação, reveses estratégicos, perda de informações

    • Captura de informações, perda de oportunidades de negócios

      OBS: Terceirização ajuda a clarear custos em b); empresa se ocupa em estimar c).


Uma dica para rosi

Uma Dica para ROSI

1) Qual o nível de risco inaceitável?

  • PAS = Prêmio Anual do Seguro para cobrir risco*

  • PSS = Preço da Solução de Segurança para risco “aceitável”

ROI = PAS – PSS

  • * Maquiavel: Análise de risco com “desastre dos outros”

    • Desgaste da marca (perda de reputação)

    • Perda de receita com paralisação da operação


Um modelo para custos

Um modelo para custos

  • Avaliação – equipe (CISO, gerentes, auditores e apoio administrativo)

  • Proteção - $ para HW, SW, atualizações (novos vírus, ...)

  • Gestão – Equipe técnica, especializada nos ativos/dispositivos de segurança (configuração, desenvolvimento de software, listas de controle de acesso, ...)

  • Treinamento – Toda a empresa e equipe de segurança em particular (atualização contínua)

  • Monitoração – Custos de pessoal para acompanhar sensores (24x7x365)

  • Reação – Equipe para atendimento de emergências e rastreamento


Diretrizes

Diretrizes

  • Implantação de política de segurança completa envolve ativos, pessoal e treinamento

    1) requisitos de gestão e pessoal

    • Equipe própria X terceirização

Encargos, férias, licenças, escala de treinamento ...

Onde achar especialistas?

  • 2) custos de aquisição de soluções

    • Tratar com múltiplos fornecedores pode se tornar falha de segurança


Diretrizes1

Diretrizes

  • Insipiência da indústria: pouca regulamentação e normas para referência e diretrizes

    • Norma NBR ISO/IEC 17799: Código de prática para a gestão da segurança da informação

      • Parte 1: Lista de coisas que devem ser feitas (Política)

      • Parte 2: Como construir (Processo) Sistemas de Gestão de Segurança

    • Busque soluções alinhadas com a norma (“certificação”)


De volta ao futuro

De volta ao futuro...

  • 1882 – investimento em sprinklers era duvidoso

    • Março 1882, George Parmalee ateou fogo em fábrica de fiação de algodão em Bolton, Inglaterra

      • Em 90 seg, fogo e fumaça tomaram toda a fábrica

      • Depois de 120 seg, 32 sprinklers automáticos extinguiram o incêndio

  • “Argumento de vendas” para patente do irmão Henry

  • Venderam porém, poucas unidades

    • “...não conseguiam contratar....a não ser que assegurassem umretorno razoável pelo investimento”

    • Sir John Wormald (testemunha ocular)


Evolu o em rosi e tecnologias de seguran a

Evolução em ROSI e Tecnologias de Segurança

  • De volta ao futuro...

    • Seguro com desconto para fábricas com sprinklers

    • Descontos maiores para sprinklers com melhor tecnologia

    • Seguros mais caros para as fábricas sem sprinklers

  • Fábricas comsprinklers não perdiam tempo prevenindo ou cuidando de incêndios, concentravam-se nos negócios!

  • Avanços pela Indústria de Seguros e pelo Lucro

    • Com todas as outras variáveis ou fatores iguais, empresas com informação (rede) segura terão menores prêmios de seguro (diferencial competitivo), menores custos e maiores margens de lucro!


O pulo do gato

“O pulo do gato”

  • Como nossa empresa poderá usar Segurança para:

    • Vantagem competitiva

    • Melhores margens


  • Login