seguran a da informa o na empresa
Download
Skip this Video
Download Presentation
Segurança da Informação na Empresa

Loading in 2 Seconds...

play fullscreen
1 / 20

Segurança da Informação na Empresa - PowerPoint PPT Presentation


  • 66 Views
  • Uploaded on

Segurança da Informação na Empresa. TECC - Economia de TI UFCG / CCT / DSC J. Antão B. Moura [email protected] Internet. Corporação. …. Backup. Clientes: Crédito Vendas Histórico Suporte. Pessoal : Desempenho Folha Pagto Benefícios Fundo Pensão. Parceiros: Estoque

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about 'Segurança da Informação na Empresa' - said


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
seguran a da informa o na empresa

Segurança da Informação na Empresa

TECC - Economia de TI

UFCG / CCT / DSC

J. Antão B. Moura

[email protected]

seguran a da informa o passado
Internet

Corporação

Backup

Clientes:

Crédito

Vendas

Histórico

Suporte

Pessoal:

Desempenho

Folha Pagto

Benefícios

Fundo Pensão

Parceiros:

Estoque

Pedidos

Compras

Contas Pagar

Transporte

Finanças:

CP/CR

Contabilidade

Segurança da informação (Passado)
  • Exemplos de informações corporativas “sensíveis” (“ativos importantes”).
  • Segurança facilitada pela “internação”, mas:
    • Desvia foco do negócio
    • Múltiplas interfaces
    • Investimentos grandes ($, RH, t)
seguran a no presente futuro
Internet

...

Clientes:

Crédito

Vendas

Histórico

Suporte

Backup

Pessoal:

Desempenho

Folha Pagto

Benefícios

Fundo Pensão

Parceiros:

Estoque

Pedidos

Compras

Contas Pagar

Transporte

Finanças:

CP/CR

Contabilidade

Segurança no Presente / Futuro
  • Recursos de TI na Web, incluindo (quantidade crescente de) ativos importantes (VPN)
  • Baixo custo
  • Usuário com foco no negócio:
  • Única I/F (browser)
  • Menor investimento
  • Mas, maior complexidade e qualidade sofrível de S.O. (ex: MS-IIS) e aplicações
    • Fontes de vulnerabilidade
para que o barato n o saia caro
Para que o barato não saia caro...
  • Algumas aplicações Web são rápidas para desenvolver e exigem pequeno investimento para aumentar ganhos intangíveis:
    • Melhoram moral e colaboração de pessoas, equipes
    • Simplificam acesso à informação e outros ativos
    • Reduzem tempo para o mercado
  • Investimentos em segurança normalmente sobem após incidentes graves (IDC)
    • Vantagem de enxergar segurança como parte do negócio a ser tratada em qualquer projeto de TI
      • 60 a 100 vezes mais barato do que consertar (@stake)
o caminho das pedras preju zos riscos prioridades e controles
O caminho das pedras: prejuízos, riscos, prioridades e controles
  • Política (identifica informação sensível e porque)

- O quê e quanto?

Quais os ativos de informação (multimídia)?

Qual o valor para a empresa (dimensão dos possíveis prejuízos)

Desconsiderar ativos de baixo valor (prioridades)

  • Escopo

Toda a empresa, departamentos, interfaces externas (TI, Web, fone, fax, computação móvel, assessoria de imprensa, ...)

  • Análise de risco

Risco (probabilidade) de perder ativos de alto valor

  • Gerência (para minimização) do risco

Uso de tecnologia, pessoal, procedimentos, dispositivos, seguro, ...

  • Medidas e controles

Maneiras escolhidas (a partir de lista “padrão”) para a gerência do risco

  • Estudo de adequação

Justificativa para cada medida e controle adotado ou descartado (da lista)

perguntas importantes
Perguntas importantes
  • A segurança que temos hoje basta?
  • Que nível de segurança precisamos?
  • Quais os riscos que aceitamos?
o pre o das pedras
O preço das pedras ...
  • Quanto podemos investir para o nível de segurança necessário?
o custo da seguran a
$

Crescimento do uso da Internet por empresas e governo

Risco

Segurança tradicional de redes

t

2002

O custo da segurança
  • Custos em termos de:
    • Infraestrutura
    • Inconveniência
  • Resistência por:
    • CIO
    • Usuários
  • Custo e riscos são crescentes...
motiva o
Motivação
  • Redes (Internet, Web, VPN) são hoje, infra-estrutura computacional corporativa e suportam ativos importantes
    • Questão antes apenas técnica (CIO) passa a ser também, do negócio e financeira (C E/F/I O)
      • Relevância do ganho “financeiro” para a empresa
      • Planejamento estratégico para vantagem competitiva do negócio
  • Como “segurança” pode trazer vantagem competitiva?
seguran a na vis o do neg cio
Segurança na Visão do Negócio
  • Segurança pode ser promotora do negócio!
    • Vigilância sanitária em um restaurante: descuidos (além de multas), podem levar à má reputação, perda de clientes e ao fechamento.
    • Falta de segurança com informação idem.
seguran a como parte do neg cio
Segurança como parte do negócio
  • Segurança pode melhorar processos do negócio
    • VPN, por exemplo, troca acesso via linha dedicada por acesso remoto seguro, mais abrangente a todos os colaboradores e mais barato.
      • Redução de custos de infraestrutura física (escritório), eletricidade, ...
    • Autenticação e criptografia permitem atender clientes “pessoalmente” em servidores Web, ao invés de balcão, com mais facilidade e menor equipe (IR no Brasil)
    • Criação de novas oportunidades de negócio com e-business
  • Segurança como parte de todo projeto de TIC
    • Como gestão da qualidade
    • Exige educação, mudança cultural e motivação para excelência
seguran a na vis o do roi
Segurança na visão do ROI
  • ROI como suporte à tomada de decisão
    • Análises de pagamento (payback) e de risco, valor presente líquido, taxa de retorno interno
    • Usados para comparar projetos ou soluções (com investimentos correspondentes) diferentes para problemas da empresa
      • Aprovação se (taxa do) ROI ultrapassa certo valor
        • Inexistência de investimentos com ciranda financeira
    • Análise OK com parâmetros ou custos bem definidos (valores tangíveis)
    • Análise complicada com custos ou ganhos intangíveis
      • Maior satisfação de clientes
roi de seguran a rosi
ROI de Segurança (ROSI)
  • ROI sendo usado para decisões sobre TI

a) 80% de CIOs em Pesquisa da InformationWeek(julho 2001)

b) Análise deve considerar elementos de custos como:

      • Licenças de software, hardware
      • Honorários de consultores, salários de técnicos e gestão
      • Terceirização de hospedagem

c) Mas no caso de Segurança, como valorar prejuízos:

      • Danos à reputação, reveses estratégicos, perda de informações
      • Captura de informações, perda de oportunidades de negócios

OBS: Terceirização ajuda a clarear custos em b); empresa se ocupa em estimar c).

uma dica para rosi
Uma Dica para ROSI

1) Qual o nível de risco inaceitável?

  • PAS = Prêmio Anual do Seguro para cobrir risco*
  • PSS = Preço da Solução de Segurança para risco “aceitável”

ROI = PAS – PSS

  • * Maquiavel: Análise de risco com “desastre dos outros”
    • Desgaste da marca (perda de reputação)
    • Perda de receita com paralisação da operação
um modelo para custos
Um modelo para custos
  • Avaliação – equipe (CISO, gerentes, auditores e apoio administrativo)
  • Proteção - $ para HW, SW, atualizações (novos vírus, ...)
  • Gestão – Equipe técnica, especializada nos ativos/dispositivos de segurança (configuração, desenvolvimento de software, listas de controle de acesso, ...)
  • Treinamento – Toda a empresa e equipe de segurança em particular (atualização contínua)
  • Monitoração – Custos de pessoal para acompanhar sensores (24x7x365)
  • Reação – Equipe para atendimento de emergências e rastreamento
diretrizes
Diretrizes
  • Implantação de política de segurança completa envolve ativos, pessoal e treinamento

1) requisitos de gestão e pessoal

      • Equipe própria X terceirização

Encargos, férias, licenças, escala de treinamento ...

Onde achar especialistas?

  • 2) custos de aquisição de soluções
    • Tratar com múltiplos fornecedores pode se tornar falha de segurança
diretrizes1
Diretrizes
  • Insipiência da indústria: pouca regulamentação e normas para referência e diretrizes
    • Norma NBR ISO/IEC 17799: Código de prática para a gestão da segurança da informação
      • Parte 1: Lista de coisas que devem ser feitas (Política)
      • Parte 2: Como construir (Processo) Sistemas de Gestão de Segurança
    • Busque soluções alinhadas com a norma (“certificação”)
de volta ao futuro
De volta ao futuro...
  • 1882 – investimento em sprinklers era duvidoso
    • Março 1882, George Parmalee ateou fogo em fábrica de fiação de algodão em Bolton, Inglaterra
      • Em 90 seg, fogo e fumaça tomaram toda a fábrica
      • Depois de 120 seg, 32 sprinklers automáticos extinguiram o incêndio
  • “Argumento de vendas” para patente do irmão Henry
  • Venderam porém, poucas unidades
    • “...não conseguiam contratar....a não ser que assegurassem um retorno razoável pelo investimento”
    • Sir John Wormald (testemunha ocular)
evolu o em rosi e tecnologias de seguran a
Evolução em ROSI e Tecnologias de Segurança
  • De volta ao futuro...
    • Seguro com desconto para fábricas com sprinklers
    • Descontos maiores para sprinklers com melhor tecnologia
    • Seguros mais caros para as fábricas sem sprinklers
  • Fábricas comsprinklers não perdiam tempo prevenindo ou cuidando de incêndios, concentravam-se nos negócios!
  • Avanços pela Indústria de Seguros e pelo Lucro
    • Com todas as outras variáveis ou fatores iguais, empresas com informação (rede) segura terão menores prêmios de seguro (diferencial competitivo), menores custos e maiores margens de lucro!
o pulo do gato
“O pulo do gato”
  • Como nossa empresa poderá usar Segurança para:
    • Vantagem competitiva
    • Melhores margens
ad