Eti 6a securityroi
Upcoming SlideShare
Loading in...5
×
 

Eti 6a securityroi

on

  • 716 views

 

Statistics

Views

Total Views
716
Views on SlideShare
716
Embed Views
0

Actions

Likes
0
Downloads
0
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Eti 6a securityroi Eti 6a securityroi Presentation Transcript

  • Segurança da Informação na Empresa TECC - Economia de TI UFCG / CCT / DSC J. Antão B. Moura [email_address]
  • Segurança da informação (Passado)
    • Exemplos de informações corporativas “sensíveis” (“ativos importantes”).
    • Segurança facilitada pela “internação”, mas:
      • Desvia foco do negócio
      • Múltiplas interfaces
      • Investimentos grandes ($, RH, t)
    Finanças: CP/CR Contabilidade Parceiros: Estoque Pedidos Compras Contas Pagar Transporte … Clientes: Crédito Vendas Histórico Suporte Corporação Internet Backup Pessoal : Desempenho Folha Pagto Benefícios Fundo Pensão
  • Segurança no Presente / Futuro
    • Recursos de TI na Web, incluindo (quantidade crescente de) ativos importantes (VPN)
    • Baixo custo
    • Usuário com foco no negócio :
    • Única I/F (browser)
    • Menor investimento
    • Mas, maior complexidade e qualidade sofrível de S.O. (ex: MS-IIS) e aplicações
      • Fontes de vulnerabilidade
    Internet Clientes: Crédito Vendas Histórico Suporte Parceiros: Estoque Pedidos Compras Contas Pagar Transporte Finanças: CP/CR Contabilidade ... Backup Pessoal : Desempenho Folha Pagto Benefícios Fundo Pensão
  • Para que o barato não saia caro...
    • Algumas aplicações Web são rápidas para desenvolver e exigem pequeno investimento para aumentar ganhos intangíveis:
      • Melhoram moral e colaboração de pessoas, equipes
      • Simplificam acesso à informação e outros ativos
      • Reduzem tempo para o mercado
    • Investimentos em segurança normalmente sobem após incidentes graves (IDC)
      • Vantagem de enxergar segurança como parte do negócio a ser tratada em qualquer projeto de TI
        • 60 a 100 vezes mais barato do que consertar (@stake)
  • O caminho das pedras: prejuízos, riscos, prioridades e controles
      • Política (identifica informação sensível e porque)
        • - O quê e quanto?
          • Quais os ativos de informação (multimídia)?
          • Qual o valor para a empresa (dimensão dos possíveis prejuízos)
          • Desconsiderar ativos de baixo valor (prioridades)
      • Escopo
          • Toda a empresa, departamentos, interfaces externas (TI, Web, fone, fax, computação móvel, assessoria de imprensa, ...)
      • Análise de risco
          • Risco (probabilidade) de perder ativos de alto valor
      • Gerência (para minimização) do risco
          • Uso de tecnologia, pessoal, procedimentos, dispositivos, seguro, ...
      • Medidas e controles
          • Maneiras escolhidas (a partir de lista “padrão”) para a gerência do risco
      • Estudo de adequação
          • Justificativa para cada medida e controle adotado ou descartado (da lista)
  • Perguntas importantes
    • A segurança que temos hoje basta?
    • Que nível de segurança precisamos?
    • Quais os riscos que aceitamos?
  • O preço das pedras ...
    • Quanto podemos investir para o nível de segurança necessário?
  • O custo da segurança
    • Custos em termos de:
      • Infraestrutura
      • Inconveniência
    • Resistência por:
      • CIO
      • Usuários
    • Custo e riscos são crescentes...
    Segurança tradicional de redes Crescimento do uso da Internet por empresas e governo 2002 t $ Risco
  • Motivação
    • Redes (Internet, Web, VPN) são hoje, infra-estrutura computacional corporativa e suportam ativos importantes
      • Questão antes apenas técnica (CIO) passa a ser também, do negócio e financeira (C E/F/I O)
        • Relevância do ganho “financeiro” para a empresa
        • Planejamento estratégico para vantagem competitiva do negócio
    • Como “segurança” pode trazer vantagem competitiva?
  • Segurança na Visão do Negócio
    • Segurança pode ser promotora do negócio!
      • Vigilância sanitária em um restaurante: descuidos (além de multas), podem levar à má reputação, perda de clientes e ao fechamento.
      • Falta de segurança com informação idem.
  • Segurança como parte do negócio
    • Segurança pode melhorar processos do negócio
      • VPN, por exemplo, troca acesso via linha dedicada por acesso remoto seguro, mais abrangente a todos os colaboradores e mais barato.
        • Redução de custos de infraestrutura física (escritório), eletricidade, ...
      • Autenticação e criptografia permitem atender clientes “pessoalmente” em servidores Web, ao invés de balcão, com mais facilidade e menor equipe (IR no Brasil)
      • Criação de novas oportunidades de negócio com e-business
    • Segurança como parte de todo projeto de TIC
      • Como gestão da qualidade
      • Exige educação, mudança cultural e motivação para excelência
  • Segurança na visão do ROI
    • ROI como suporte à tomada de decisão
      • Análises de pagamento ( payback ) e de risco, valor presente líquido, taxa de retorno interno
      • Usados para comparar projetos ou soluções (com investimentos correspondentes) diferentes para problemas da empresa
        • Aprovação se (taxa do) ROI ultrapassa certo valor
          • Inexistência de investimentos com ciranda financeira
      • Análise OK com parâmetros ou custos bem definidos (valores tangíveis)
      • Análise complicada com custos ou ganhos intangíveis
        • Maior satisfação de clientes
  • ROI de Segurança ( ROSI )
    • ROI sendo usado para decisões sobre TI
      • a) 80% de CIOs em Pesquisa da InformationWeek (julho 2001)
      • b) Análise deve considerar elementos de custos como:
        • Licenças de software, hardware
        • Honorários de consultores, salários de técnicos e gestão
        • Terceirização de hospedagem
      • c) Mas no caso de Segurança, como valorar prejuízos :
        • Danos à reputação, reveses estratégicos, perda de informações
        • Captura de informações, perda de oportunidades de negócios
      • OBS: Terceirização ajuda a clarear custos em b); empresa se ocupa em estimar c).
  • Uma Dica para ROSI
    • 1) Qual o nível de risco inaceitável?
      • PAS = Prêmio Anual do Seguro para cobrir risco*
      • PSS = Preço da Solução de Segurança para risco “aceitável”
    ROI = PAS – PSS
    • * Maquiavel: Análise de risco com “desastre dos outros”
      • Desgaste da marca (perda de reputação)
      • Perda de receita com paralisação da operação
  • Um modelo para custos
    • Avaliação – equipe (CISO, gerentes, auditores e apoio administrativo)
    • Proteção - $ para HW, SW, atualizações (novos vírus, ...)
    • Gestão – Equipe técnica, especializada nos ativos/dispositivos de segurança (configuração, desenvolvimento de software, listas de controle de acesso, ...)
    • Treinamento – Toda a empresa e equipe de segurança em particular (atualização contínua)
    • Monitoração – Custos de pessoal para acompanhar sensores (24x7x365)
    • Reação – Equipe para atendimento de emergências e rastreamento
  • Diretrizes
    • Implantação de política de segurança completa envolve ativos, pessoal e treinamento
      • 1) requisitos de gestão e pessoal
        • Equipe própria X terceirização
    Encargos, férias, licenças, escala de treinamento ... Onde achar especialistas?
      • 2) custos de aquisição de soluções
        • Tratar com múltiplos fornecedores pode se tornar falha de segurança
  • Diretrizes
    • Insipiência da indústria: pouca regulamentação e normas para referência e diretrizes
      • Norma NBR ISO/IEC 17799: Código de prática para a gestão da segurança da informação
        • Parte 1: Lista de coisas que devem ser feitas (Política)
        • Parte 2: Como construir (Processo) Sistemas de Gestão de Segurança
      • Busque soluções alinhadas com a norma (“certificação”)
  • De volta ao futuro...
    • 1882 – investimento em sprinklers era duvidoso
      • Março 1882, George Parmalee ateou fogo em fábrica de fiação de algodão em Bolton, Inglaterra
        • Em 90 seg, fogo e fumaça tomaram toda a fábrica
        • Depois de 120 seg, 32 sprinklers automáticos extinguiram o incêndio
      • “ Argumento de vendas” para patente do irmão Henry
      • Venderam porém, poucas unidades
        • “ ...não conseguiam contratar....a não ser que assegurassem um retorno razoável pelo investimento”
        • Sir John Wormald (testemunha ocular)
  • Evolução em ROSI e Tecnologias de Segurança
    • De volta ao futuro...
      • Seguro com desconto para fábricas com sprinklers
      • Descontos maiores para sprinklers com melhor tecnologia
      • Seguros mais caros para as fábricas sem sprinklers
      • Fábricas com sprinklers não perdiam tempo prevenindo ou cuidando de incêndios, concentravam-se nos negócios!
    • Avanços pela Indústria de Seguros e pelo Lucro
      • Com todas as outras variáveis ou fatores iguais, empresas com informação (rede) segura terão menores prêmios de seguro (diferencial competitivo), menores custos e maiores margens de lucro!
  • “ O pulo do gato”
    • Como nossa empresa poderá usar Segurança para:
      • Vantagem competitiva
      • Melhores margens