3. Gestão de Serviços
Benefícios da Gestão de Serviços
• Atualização constante das plataformas, revisão e interpretação de eventos
buscando a melhoria contínua;
• Recomendações Técnicas e de Infra-Estrutura visando melhor desempenho da
rede;
• Melhores práticas em Segurança da Informação (ISO e ABNT);
• Economia de até 58% nos custos de gerenciamento de segurança de informação;
• Protege continuamente os seus negócios, dados da empresa e a reputação;
• Evita ataques e danos antes que eles prejudiquem e interrompam as operações
do seu negócio;
4. Gestão de Serviços
• Projetado para melhorar o tempo de produtividade e o desempenho do sistema
sem um alto investimento em tecnologia e recursos.
• Relatórios de Gestão Mensais, com indicadores e informações detalhadas
trazendo visibilidade e controle da segurança;
• Topologia e implementação das políticas e configurações do ambiente
monitorado;
• Análise e busca constante das vulnerabilidades;
• SLA (Acordo de Nível de Serviço) definido em detalhes para cada serviço
executado;
• ROI (Retorno de Investimento);
• Apresentação Anual dos Serviços Prestados.
5. Gestão de Serviços
Governança, Risco, Conformidade e Cultura (GRC-C)
Governança
Conformidade
Definir
e
avaliar
obje.vos,
metas
e
performances
Incen.va/exige
o
cumprimento
Validar
a
estratégia
de
negócio
e
o
modelo
para
das
normas,
leis
e
polí.cas
alcançar
os
obje.vos
existentes
Detecta
a
não-‐conformidade
e
responde
em
conformidade
Risco
Cultura
Estabelece
clima
organizacional
e
Iden.fica,
avalia
e
trata
os
potenciais
valores
pessoais
que
promovem
obstáculos
para
se
alcançar
os
obje.vos
confiança,
integridade
e
Iden.fica
e
trata
violações
mandatórias
ou
rastreabilidade.
voluntárias
de
limites
6. Evolução da Abordagem GRC
Governar
e
Gerenciar
• Automa.zar
controles
e
monitoramento
• Intersecção
entre
múl.plos
regulamentos
legais
de
• Decisões
baseadas
em
Risco
rida
• Inves.mento
em
Conformidade
com
padrões
de
Matu
Governança
• Abordagem
integrada
à
GRC
Reduzir
Custo
• Associar
controle
à
múl.plos
regulamentos
legais
• O.mizar
controles
• Associar
controles
e
risco
• Associar
custo
de
projeto
e
correções
011 Estar
em
Conformidade
8 .. . 2
200 • Foco
somente
em
leis
...
3
200 • Muitos
controles
• Esforço
manual
As
Is
• Controle
manual
Fonte:
Computer
Associates
7. Meta-Framework
Pessoas, Processos, Tecnologia e Estratégias
As organizações estão optando cada vez mais pelas boas práticas de Governança
Corporativa. Um aspecto significativo é a inclusão da segurança da informação
como parte do risco operacional.
Nossa
s olução:
E P75
-‐
S oAware
p ara
d iagnósFco
e
a valiação
d o
n ível
d e
m aturidade
d a
s egurança
da
i nformação.
Mapeia
a
situação
atual
da
organização
(nível
1
de
maturidade);
Compara
com
a
situação
das
melhores
2 organizações
(benchmarking);
Estabelece
e
monitora
passo
a
passo
as
3 melhorias
dos
processos
rumo
à
estratégia
da
organização
(plano
de
crescimento);
Compara
com
regulamentações
e
padrões
4 internacionais
(auditoria).
9. Governança
Governança Corporativa
É
um
conjunto
de
responsabilidades
e
prá.cas,
exercido
pelo
Comitê
Dire.vo
ou
Execu.vo,
com
o
obje.vo
e:
• Prover
direcionamento
estratégico;
• Garan.r
que
os
objeFvos
são
alcançados;
• Verificar
que
os
recursos
corporaFvos
são
u.lizados
de
forma
responsável
e
transparente;
Fonte:
Adaptação
do
CoBiT
11. Risco
Risco, é a medida para um fator de incerteza
Falha de Hardware Falha na Transmissão
Falha Humana Desastre Natural
Incerto 3% Falha de Software
9%
30%
11%
24%
23%
Evento: Fato de origem voluntária ou não que apresenta risco de dano. Também
denominado "Fator de Risco"
12. Risco
Dano:
Conseqüência
nociva
acarretada
por
um
Evento.
Impacto
de
resultado
prejudicial.
Jus.fica
a
Con.ngência.
Avaliação:
considera
a
pior
situação,
no
pior
momento,
no
cenário
mais
pessimista
Cenário:
consistente
com
a
realidade
da
Organização
Controle:
deveria
ser
proa.vo,
predi.vo
e
corre.vo
13. Risco
Risco x Impacto
Fatores de Risco são aleatórios e imprevisíveis, comparando-se ao efeito de uma
onda, cuja intensidade e dano estarão vinculados ao cenário de ocorrência
quando se concretiza;
Impactos são previsíveis, de acordo com o conhecimento do ambiente onde se
manifestam e vinculados aos Eventos que se concretizaram, podendo ser
contidos através de medidas de mitigação, independente do cenário;
14. Risco
Conceitos
— BIA (Business Impact Analysis): é a Análise de Impacto nos Negócios,
acarretada pela indisponibilidade de um Processo (atividade) ou
Componente (recurso por ele utilizado);
— Disaster Recovery Plan (DRP): Plano de Recuperação de Desastres. É a
documentação das atividades necessárias para restauração ou substituição
dos recursos (Componentes) utilizados pelos Processos de Negócios;
— Business Continuity Plan (BCP): Plano de Continuidade de Negócios. É o
conjunto de procedimentos documentados pelo DRP e pelo Plano de
Continuidade de Operações, monitorado por um Plano de Gerenciamento de
Crises (PRD) que facilita sua gestão e atualização.
18. Conformidade
O mundo de Leis, Regulamentos, Normas e Normalidades
Companies ACT
PIPEDA DPA BDSG
KonTraG
RIP Basel II IAS
Sarbanes-Oxley
HIPAA LOPD EUPD
CA SB 1398 Japan Privacy
OSHA
CA AB 1950 SOX, FICS, Basel II
NERC
CA SB 1386
FERC Reg. 357
Homeland Security
BACEN
Basiléia II Ato Bancario
CVM
ISO
CLERP 9
Lei 3494/2000
AS4360
Lei 321/2004
PA&PAA
Lei de Proteção dos
King II RPT
Dados Pessoais Nov/2000
19. Conformidade
O Brasil de Leis, Decretos, Portarias, Resoluções...
Código Civil
Código Penal
Instituições Financeiras e outras
ü Banco Central (3380, 2817, 2554, ...),
ü Susep 249..., CGPC 13
ü Basiléia II
ü PCI/DSS, BITS, PQO/BM&F, Anbid
ü ISO (ABNT)
Mercado de Capitais
ü CVM (358, ...)
Governo
ü Decretos 4553, 3505,
ü TCU
Receita e Fazenda
ü Receita Federal, Nota Fiscal Eletrônica
Saúde
ü Hippa, Resoluções CFM
20. Conformidade
A Avaliação da Conformidade é um exame sistemático
do grau de atendimento por parte de um produto,
processo ou serviço a requisitos especificados.
Fonte:
ABNT
21. Conformidade
Aplicação da Conformidade
A Avaliação da Conformidade pode ser aplicada voluntária ou compulsoriamente.
— Voluntária: quando partes de uma decisão de um fornecedor ou mais;
— Compulsória: quando um organismo regulamentador emite um instrumento
legal, e se destina, prioritariamente, à defesa do consumidor, instituição,
investidores ou a sociedade em geral.
Fonte:
ABNT
22. Conformidade
Mecanismo de Avaliação
A Avaliação da Conformidade possui diferentes mecanismos para verificar a
conformidade de um produto, processo ou serviço em relação aos critérios
estabelecidos por normas e regulamentos técnicos.
Os praticados no Brasil são os seguintes:
— certificação;
— declaração da conformidade pelo fornecedor;
— inspeção;
— ensaio;
— etiquetagem.
Fonte:
ABNT
23. Conformidade
Controle de acesso dos usuários
— Registro do usuário: ID única para cada usuário.
— Gerenciamento de privilégios: aqui entra o controle de acesso baseado em
papéis.
— Gerenciamento de senhas: administração segura de senhas.
Controle de Acesso às Aplicações
— Registro de Eventos: Trilha de auditoria registrando exceções e outros
eventos de segurança devem ser armazenados por um tempo adequado.
— Monitoração do Uso do Sistema: Os procedimentos do monitoração do uso
do sistema devem ser estabelecidos.
— Sincronização dos Relógios: Para garantir a exatidão dos registros de
auditoria.
Fonte:
ABNT
25. Cultura
Engenharia Social ou Cultura
Compreende a inaptidão dos indivíduos manterem-se atualizados com diversas
questões pertinentes a tecnologia da informação, além de não estarem
conscientes do valor da informação que eles possuem e, portanto, não terem
preocupação em proteger essa informação conscientemente.
É importante salientar que, a engenharia social (Cultura) é aplicada em diversos
setores da segurança da informação independente de sistemas computacionais,
software e ou plataforma utilizada, o elemento mais vulnerável de qualquer
sistema de segurança da informação é o ser humano, o qual possui traços
comportamentais e psicológicos que o torna suscetível a ataques de engenharia
social.
26. Cultura
Engenharia Social
• Estabelece
clima
organizacional
e
valores
pessoais
que
promovem
confiança,
integridade
e
rastreabilidade;
• Engenharia social compreende a inaptidão dos indivíduos manterem-se atualizados
com diversas questões pertinentes a tecnologia da informação;
• Além de não estarem conscientes do valor da informação que eles possuem e,
portanto, não terem preocupação em proteger essa informação conscientemente;
• É importante salientar que, a engenharia social é aplicada em diversos setores da
segurança da informação independente de sistemas computacionais, software e ou
plataforma utilizada, o elemento mais vulnerável de qualquer sistema de segurança
da informação é o ser humano, o qual possui traços comportamentais e
psicológicos que o torna suscetível a ataques de engenharia social.
27. Cultura
Dentre essas características, pode-se destacar:
— Vaidade pessoal e/ou profissional O ser humano costuma ser mais receptivo a avaliação positiva e
favorável aos seus objetivos, aceitando basicamente argumentos favoráveis a sua avaliação pessoal ou
profissional ligada diretamente ao benefício próprio ou coletivo de forma demonstrativa.
— Autoconfiança O ser humano busca transmitir em diálogos individuais ou coletivos o ato de fazer algo
bem, coletivamente ou individualmente, buscando transmitir segurança, conhecimento, saber e
eficiência, buscando criar uma estrutura base para o início de uma comunicação ou ação favorável a
uma organização ou individuo.
— Formação profissional O ser humano busca valorizar sua formação e suas habilidades adquiridas nesta
faculdade, buscando o controle em uma comunicação, execução ou apresentação seja ela profissional
ou pessoal buscando o reconhecimento pessoal inconscientemente em primeiro plano.
— Vontade de ser útil O ser humano, comumente, procura agir com cortesia, bem como ajudar outros
quando necessário.
— Busca por novas amizades O ser humano costuma se agradar e sentir-se bem quando elogiado, ficando
mais vulnerável e aberto a dar informações.
— Propagação de responsabilidade Trata-se da situação na qual o ser humano considera que ele não é o
único responsável por um conjunto de atividades.
— Persuasão Compreende quase uma arte a capacidade de persuadir pessoas, onde se busca obter
respostas específicas. Isto é possível porque as pessoas possuem características comportamentais que
as tornam vulneráveis a manipulação.
28. Gestão de Serviços
Internet
DMZ
Router
Auth
Firewall Server
App/data
Server App/data
App/data Server
Server App/data
Server
L2
Switch
ProbeLSS
ProbeLSS
Router Router w/
WCCP
Auth
Server
Branch Office App/data
Router Server
Branch Office Branch Office
Router Router
ProbeLSS
App/data
ProbeLSS Server
ProbeLSS
L2 Switch L2 Switch App/data
Server
L4 Switch