Your SlideShare is downloading. ×
0
ISH Tecnologia
Desafio: Prover a Gestão de Segurança da
               Informação




          Armsthon Hamer dos Reis Za...
Agenda


 Avaliar
  • Cenário: Tendências e ameaças em Segurança da Informação.


 Implantar
  • Topologia Corporativa: Fe...
Avaliar
Symantec Internet Security Threat Report XIV

                           Cenário das ameaças em 2009




 Atividades Malic...
Tendências principais – Atividade Global em
2008




     Ameaças             Vulnerabilidades
                           ...
Fluxo de um ataque



Ataques Web-based são hoje o principal vetor de atividade maliciosa na Internet




                ...
Websites são comprometidos


• Atacantes localizam e comprometem um site de alto tráfego através de uma
  vulnerabilidade ...
Visitantes são atacados

• Em muitos casos os ataques são lançados de diferentes
  localizações do que a do site compromet...
Códigos maliciosos são instalados

• Em 2008 a Symantec bloqueou uma média de mais de 245 milhões de
  tentativas de ataqu...
Informações roubadas são vendidas

• Informações de cartão de crédito (32%) e credenciais de contas de
  banco (19%) conti...
Tendências das Ameaças – Atividades
 Maliciosas

• Em 2008 os Estados Unidos foi o país com maior volume de atividade
  ma...
Implantar
Topologia Corporativa – Infraestrutura de TI




                                        Internet
            Rede local
 ...
Topologia Corporativa – Ferramentas de
 Segurança


                                                          Proteção do ...
Gerenciar
Desafios do Gestor de TI no cenário atual


  Lidar com a complexidade e heterogeneidade da
  topologia de Tecnologia da I...
Desafios do Gestor de TI no cenário atual


  Lidar com a dificuldade para seleção, gerenciamento,
  capacitação e retençã...
Gerenciamento de Segurança e Conformidade

  Métricas de Segurança podem auxiliar nos esforços de
  Conformidade:
  •   O ...
O valor das Métricas de Segurança

  O quão segura é sua organização hoje? Que métrica você utiliza
  para validar esta af...
Tipos de Métricas de Segurança


                          Importante para o CIO



Onde nós estamos            A seguranç...
Tipos de Métricas de Segurança


                    Importante para o CISO

                 Cobertura das
 Segurança do ...
Qual a métrica mais adequada para o CISO


  Security Officer:
  • Métricas operacionais
     o Ajuda a enxergar o quadro ...
Qual a métrica mais adequada para o CIO


  Gestor de TI:
  • Métricas de projeto
  • Métricas de conformidade
  • Algumas...
Metodologia: CIS Security Metrics - Exemplos

   Gerenciamento de       • Tempo médio para descoberta de um incidente
    ...
Quanto investimento é suficiente para
Segurança da Informação?

“Nós gastamos milhões em segurança da informação e nada de...
Quão “otimizada” é a sua Arquitetura de
Segurança?

                      Modelo de Maturidade de Segurança
      Segura  ...
Como implementar uma arquitetura otimizada
de Segurança da Informação?

                              Análise de Riscos e
...
Soluções


  Adoção de estratégias para SIMPLIFICAÇÃO e
  CONSOLIDAÇÃO das ferramentas de controle de
  Segurança e Confor...
Serviços Gerenciados de Segurança da
Informação


  Conjunto de ferramentas
                ferramentas,
  métodos, proces...
Qual a infraestrutura do SOC/NOC ISH?

  Infra-estrutura física adequada para prestação de
  serviços em regime 24 x 7;
  ...
O que o SOC/NOC da ISH pode fazer?


  Análise de Riscos e Vulnerabilidades;
  Gerenciamento de ferramentas de segurança,
...
Quais as soluções, modalidades e níveis de
serviços ofertados?


  Serviços Gerenciados               Modalidades Ofertada...
Benefícios com Serviços Gerenciados


                    Menor custo total de propriedade;
                    Pessoal in...
E se as ferramentas falharem?


  Responder
    Como estar preparado se as ferramentas falharem




  Assunto para nosso p...
Obrigado!

Armsthon Hamer dos Reis Zanelato
       armsthon@ish.com.br
  http://twitter.com/ishtecnologia
Upcoming SlideShare
Loading in...5
×

Como gerenciar a sua segurança da informação

6,318

Published on

Slides da palestra "Como gerenciar a sua segurança da informação" ministrado por Armsthon Zanelato, diretor de operações da ISH no evento para CIOs organizado pela Sucesu-MG em Outubro de 2009.

Published in: Technology, Travel
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
6,318
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
354
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

Transcript of "Como gerenciar a sua segurança da informação"

  1. 1. ISH Tecnologia Desafio: Prover a Gestão de Segurança da Informação Armsthon Hamer dos Reis Zanelato Diretor de Operações
  2. 2. Agenda Avaliar • Cenário: Tendências e ameaças em Segurança da Informação. Implantar • Topologia Corporativa: Ferramentas de Proteção. Gerenciar • Métricas de Segurança podem auxiliar nos esforços de Conformidade; • Serviços Gerenciados de Segurança.
  3. 3. Avaliar
  4. 4. Symantec Internet Security Threat Report XIV Cenário das ameaças em 2009 Atividades Maliciosas Cyber criminosos Aumentou a Rápida adaptação às baseadas na Web querem a SUA sofisticação do medidas de segurança se aceleraram informação Mercado Negro • Principal vetor de • Foco em explorar • Infraestrutura bem • Realocando operações atividades maliciosas usuários finais para organizada para o para novas áreas • Tem como alvo obter ganhos comércio de informações geográficas websites com boa financeiros roubadas • Fugindo da proteção de reputação e alto segurança tradicional tráfego
  5. 5. Tendências principais – Atividade Global em 2008 Ameaças Vulnerabilidades Código Spam/Phishing Malicioso • Falha na segurança • São 19% (5491) as • Trojans são 68% do • 76% phishing tem como de dados podem vulnerabilidades volume dos top 50 alvo serviços levar ao roubo de documentadas códigos maliciosos financeiros identidades • Vulnerabilidade mais • 66% de códigos • Detectados 55.389 • Roubo e perda são atacada: Explorada maliciosos em Websistes de phishing as principais causas pelo Downadup potencial se • Detectado aumento de de vazamento de (conficker) propagamm como 192% no spam na dados de identidade • 95% das arquivos Internet com 349.6 • As ameaças vulnerabilidades executáveis bilhões de mensagens aumentaram com o atacadas foram do compartilhados • 90% dos e-mail de crescimento da lado do cliente spam são distribuídos banda larga de por “Bot networks” Internet Fonte: Internet Security Threat Report, Volume XIV
  6. 6. Fluxo de um ataque Ataques Web-based são hoje o principal vetor de atividade maliciosa na Internet Códigos Informações Websites são Visitantes são maliciosos são roubadas são comprometidos atacados instalados vendidas
  7. 7. Websites são comprometidos • Atacantes localizam e comprometem um site de alto tráfego através de uma vulnerabilidade específica do site ou da aplicação web que ele disponibiliza • Uma vez que o site é comprometido os atacantes modificam as páginas para que o conteúdo malicioso seja servido aos visitantes Vulnerabilidades específicas Vulnerabilidades em aplicações dos sites Web Internet Security Threat Report, Volume XIV
  8. 8. Visitantes são atacados • Em muitos casos os ataques são lançados de diferentes localizações do que a do site comprometido; • As principais vulnerabilidades exploradas pelos ataques estão tanto no navegador como nos plug-ins e aplicações cliente; • Muitos dos ataques baseados na Web exploram vulnerabilidades de média severidade. Top Web-based attacks Internet Security Threat Report, Volume XIV
  9. 9. Códigos maliciosos são instalados • Em 2008 a Symantec bloqueou uma média de mais de 245 milhões de tentativas de ataque via código malicioso a cada mês; • Mais de 60% das assinaturas Symantec para códigos maliciosos foram criadas em 2008; • Mais de 90% das ameaças descobertas em 2008 tem como objetivo roubo de informação confidencial. Internet Security Threat Report, Volume XIV
  10. 10. Informações roubadas são vendidas • Informações de cartão de crédito (32%) e credenciais de contas de banco (19%) continuam a ser os itens mais anunciados no mercado negro; • A faixa de preços por informações de cartão de crédito permanecem consistentes em 2008, variando de $0,06 a $30 por número de cartão; • Contas de e-mail comprometidas podem prover acesso a outras informações confidenciais e recursos adicionais. Internet Security Threat Report, Volume XIV
  11. 11. Tendências das Ameaças – Atividades Maliciosas • Em 2008 os Estados Unidos foi o país com maior volume de atividade maliciosa com 23% do total. • O Brasil subiu no ranking de 8o para 5o lugar de 2007 para 2008, com atuais 4% do volume de atividades maliciosas no mundo. • Na medida que a Internet em banda larga cresce em certos países a sua participação na atividade maliciosa também cresce. Internet Security Threat Report, Volume XIV
  12. 12. Implantar
  13. 13. Topologia Corporativa – Infraestrutura de TI Internet Rede local corporativa Dmz Wan Usuário remoto filial filial filial
  14. 14. Topologia Corporativa – Ferramentas de Segurança Proteção do Endpoint Firewall Virtual Private Network Usuário Web Security Gerente de TI Intruder Prevention Controle de acesso Corporate Controle de Conformidade LAN Data Loss Prevention Dm Gerenciamento de Infraestrutura Intern z et Gerenciamento de Segurança Wan Host Security Controle de Vulnerabilidades fili fili fili al al al Certificação e assinaturas digitais
  15. 15. Gerenciar
  16. 16. Desafios do Gestor de TI no cenário atual Lidar com a complexidade e heterogeneidade da topologia de Tecnologia da Informação; Lidar com diversos fornecedores de serviços, software e hardware; Manter a infraestrutura, os sistemas de TI e as informações da empresa sempre disponíveis e seguras, tudo isto com os usuários satisfeitos; Gerenciar o orçamento de TI;
  17. 17. Desafios do Gestor de TI no cenário atual Lidar com a dificuldade para seleção, gerenciamento, capacitação e retenção de Recursos Humanos; Lidar com uma cultura organizacional desvirtuada dos padrões de segurança; Lidar com as cobranças quanto ao retorno sobre os investimentos na área de TI; Planejar e implementar novos projetos de TI, alinhados com a estratégia da empresa; Gerenciar a conformidade com os padrões e métodos adotados em TI (ISO 17799, ITIL, ISO 20000, ISO 27000, SOX, etc).
  18. 18. Gerenciamento de Segurança e Conformidade Métricas de Segurança podem auxiliar nos esforços de Conformidade: • O valor das Métricas de Segurança; • A metodologia para se obter Métricas de Segurança; • O Modelo de Maturidade de Segurança.
  19. 19. O valor das Métricas de Segurança O quão segura é sua organização hoje? Que métrica você utiliza para validar esta afirmação? O seu orçamento de Segurança da Informação prioriza corretamente os riscos e iniciativas de conformidades dentro da organização? Sua postura de Segurança da Informação está melhorando ou piorando? Como você sabe? Qual é a regra de métricas de Segurança da Informação nos seus projetos atuais e futuros?
  20. 20. Tipos de Métricas de Segurança Importante para o CIO Onde nós estamos A segurança está Valor dos em risco? melhorando? Investimentos? • Exemplos: • Exemplos: • Exemplos: • Percentual de • Percentual de riscos • Custo total de funções críticas em identificados e/ou propriedade do sistemas conformes mitigados investimento (TCO) • Percentual de Ativos • Gastos operacionais • Percentual de riscos x investimentos de Críticos sob Análise aceitos de Riscos capital • Percentual de riscos • Percentual dos • Percentual de Ativos não mitigados gastos em Críticos com plano Segurança da de mitigação de Informação x riscos Orçamento de TI
  21. 21. Tipos de Métricas de Segurança Importante para o CISO Cobertura das Segurança do Disponibilidade Riscos de ferramentas de Perímetro? /integridade? aplicações? segurança? • Exemplos: • Exemplos: • Exemplos: • Exemplos: • Taxa de • Percentual de • Host Uptime • Número de detecção de sistemas com vulnerabilidades spam antivirus • Percentual de /aplicações downtime • Número de • Nível de devido a • Número de vírus aplicação de incidente aplicações detectados patches analisadas x • Número de • MTBF/MTR número de • Percentual de aplicações ataques da Sistemas com Internet totais instalação padrão • Cobertura do escaneamento vulnerabilidades
  22. 22. Qual a métrica mais adequada para o CISO Security Officer: • Métricas operacionais o Ajuda a enxergar o quadro geral da operação de segurança da informação. • Métricas de conformidade o Medidas contra suas normas/requerimentos/padrões. • Métricas de projeto o Mostra o retorno no investimento de segurança da informação; o Derivadas das métricas operacionais. • Necessita de métricas para informar e aconselhar o gerente senior no gerenciamento dos riscos e melhorias nos processos de segurança
  23. 23. Qual a métrica mais adequada para o CIO Gestor de TI: • Métricas de projeto • Métricas de conformidade • Algumas métricas operacionais o Especialmente as que se relacionam com outras funções de TI (Exemplo: vulnerabilidades de aplicações). • Riscos: o Onde estão os riscos? o Qual a nossa postura de segurança? • Métricas de Tempo o Eficiência Operacional. • Métricas Financeiras o Aumento de produtividade, redução de custos.
  24. 24. Metodologia: CIS Security Metrics - Exemplos Gerenciamento de • Tempo médio para descoberta de um incidente • % de incidentes detectados pelos controles Incidentes internos • Percentual de sistemas com vulnerabilidades não Vulnerabilidades conhecidas Gerenciamento de • Conformidade com a política de patches Patches • Tempo médio para implantar patches críticos • Cobertura da análise de riscos Segurança de Aplicações • Cobertura da análise de vulnerabilidades Gerenciamento de • % de mudanças com revisão de segurança Configurações • % de mudanças com exceções de segurança • Percentual dos gastos com Segurança de TI x Métricas Financeiras orçamento de TI Fonte: Center for Internet Security, 2009
  25. 25. Quanto investimento é suficiente para Segurança da Informação? “Nós gastamos milhões em segurança da informação e nada de ruim acontece. É por causa dos milhões que nós gastamos ou por causa que nada de mau iria acontecer de qualquer forma?”1 Resposta: Gastando muito pouco em segurança (postergando custos) maximizam-se os custos de falha (falso senso de segurança)2; Gastando muito em segurança (antecipando os custos) reduz os custos de falha, mas maximiza o custo total do programa (caçando fantasmas); O ponto de cruzamento entre os custos de antecipação e falha representam a segurança otimizada. 1 CSO Magazine: “What is Security Worth” (2006) 2 Information Risk Executive Council Audit Director Roundtable (2005)
  26. 26. Quão “otimizada” é a sua Arquitetura de Segurança? Modelo de Maturidade de Segurança Segura Conforme Proativa Otimizada • Orientada a • Desenvolvimento • Segurança • Multi nível e eventos da Política Proativa correlacionada • Proteção reativa • Alguma • Visão centralizada • Conformidade • Segurança Básica padronização • A segurança automatizada • Conformidade habilita a • Eficiencia de com padrões conformidade custo externos • Audite uma vez, reporte muitas • Maior integração Custo e Riscos Elevados Custo e Riscos Reduzidos Baixa postura de segurança Elevada postura de segurança
  27. 27. Como implementar uma arquitetura otimizada de Segurança da Informação? Análise de Riscos e dos processos de segurança Aplicação de Monitoramento e Ferramentas e resposta a incidentes processos de Controle e Conformidade Gerenciamento Correlação de eventos através de Métricas de e conformidade Segurança que façam automatizada e com sentido a organização visão centralizada
  28. 28. Soluções Adoção de estratégias para SIMPLIFICAÇÃO e CONSOLIDAÇÃO das ferramentas de controle de Segurança e Conformidade de TI; CENTRALIZAÇÃO do gerenciamento de Segurança e Conformidade com utilização de Métricas de Segurança que façam sentido para a organização; Estratégia 1 Montagem de uma infraestrutura própria 1: para gestão otimizada de Segurança da Informação com Ferramentas, Processos e Recursos Humanos; Estratégia 2: adoção de Serviços Gerenciados de Segurança da Informação em parte ou em todo o processo de Segurança da Informação.
  29. 29. Serviços Gerenciados de Segurança da Informação Conjunto de ferramentas ferramentas, métodos, processos, métodos processos pessoas e infraestrutura de TI que visam o monitoramento e/ou gerenciamento proativo da infraestrutura de rede e segurança da informação de nossos clientes através de nosso Security Operations Center – SOC/Network Operation Center - NOC
  30. 30. Qual a infraestrutura do SOC/NOC ISH? Infra-estrutura física adequada para prestação de serviços em regime 24 x 7; Soluções e ferramentas dos principais fabricantes de segurança e networking; Pessoal altamente capacitado e certificado nas principais soluções do mercado; Metodologia de Trabalho ISH, desenvolvida com mais de 12 anos de experiência; Certificação ISO 9001:2000; Equipes residentes em Vitória, São Paulo e Brasília (BH em implantação).
  31. 31. O que o SOC/NOC da ISH pode fazer? Análise de Riscos e Vulnerabilidades; Gerenciamento de ferramentas de segurança, servidores e redes; Correlação de eventos de segurança da informação; Gerenciamento de conformidade; Monitoramento 24 x 7: disponibilidade, desempenho e segurança de ativos de rede, servidores e serviços; Resposta a incidentes com atuação Pessoas remota e/ou in loco; Recuperação de desastres; Processos Geração de relatórios e estatísticas; Suporte de 3º nível sob demanda. Ferramentas
  32. 32. Quais as soluções, modalidades e níveis de serviços ofertados? Serviços Gerenciados Modalidades Ofertadas: Ofertados - Security as a Locação de hardware e software Service: Monitoramento via SOC/NOC com alertas Firewall/VPN Administração remota/local de IPS/IDS infraestrutura de TI e segurança Segurança do EndPoint da informação Messaging Security Resposta a incidentes Web Security Outsourcing Data Loss Prevention - DLP Suporte de 3º nível Conformidade Backup/restore Níveis de Serviços Coleta e correlação de eventos Ofertados: de segurança da informação Monitoramento: 24 x 7 com Aceleração de redes e alertas via e-mail e/ou telefone aplicações Administração, suporte e resposta Switching/Routing/IP Telephony a incidentes: 24 x 7 ou 8 x 5
  33. 33. Benefícios com Serviços Gerenciados Menor custo total de propriedade; Pessoal interno com maior foco no negócio da empresa; Maior nível de especialização nos serviços; Melhor nível de monitoração de eventos de segurança; Maior rapidez na resposta a incidentes; Maior disponibilidade dos serviços (24x7); Gerenciamento e Monitoramento Pró- Ativo e PREVENTIVO; Parceiro com visão independente da postura de administração da infraestrutura e segurança da empresa; Menor quantidade com maior qualidade dos controles internos através da aplicação de Métricas de Segurança.
  34. 34. E se as ferramentas falharem? Responder Como estar preparado se as ferramentas falharem Assunto para nosso próximo encontro …
  35. 35. Obrigado! Armsthon Hamer dos Reis Zanelato armsthon@ish.com.br http://twitter.com/ishtecnologia
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×