• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
04 gerenciando a_seguranca_corporativa
 

04 gerenciando a_seguranca_corporativa

on

  • 1,400 views

 

Statistics

Views

Total Views
1,400
Views on SlideShare
1,400
Embed Views
0

Actions

Likes
0
Downloads
29
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    04 gerenciando a_seguranca_corporativa 04 gerenciando a_seguranca_corporativa Document Transcript

    • APOSTILA Symantec Enterprise Security EGerenciando a Segurança CorporativaConsiderações sobre os serviços de gerenciamento de segurançainterno versus gerenciamento de segurança terceirizado INSIDE ∆ ∆ INSIDE Analisando os custos do gerenciamento de segurança Considerando as opções de gerenciamento ∆ Benefícios dos serviços de gerenciamento de segurança ∆ Selecionando um provedor de serviços de gerenciamento de segurança
    • Symantec MANAGING ENTERPRISE SECURITYConteúdoResumo executivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3Desafios no ambiente de negócios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4Analisando os custos do gerenciamento de segurança . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 Equipamento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 Pessoal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 Instalações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8Considerando as opções de gerenciamento de segurança . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Comparando o gerenciamento de segurança interno com o gerenciamento terceirizado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Exemplo: custo do gerenciamento de segurança internamente versus terceirização 9Benefícios dos serviços de gerenciamento de segurança . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11Selecionando um provedor de serviços de gerenciamento de segurança . . . . . . . . . . . . . . . . . . 12 Análise de fornecedores – mantendo o controle . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 Variedade de ofertas de serviços . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 Suporte organizacional . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 Perfil recomendado de um MSSP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13Conclusão . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14Referências . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 2
    • Symantec MANAGING ENTERPRISE SECURITY√ Resumo executivo A segurança é um componente integrante e necessário dos negócios atuais, principalmente devido à expansão da Internet e dos grandes ‘Es’: e-business, e-commerce e e-retailing. A segurança nunca foi tão importante para a sobrevivência de uma empresa, suas vantagens competitivas e a habilidade de manter o valor de seus investimentos. Portanto, um programa de segurança efetivo não envolve apenas dispositivos e tecnologias de segurança, mas incorpora também indivíduos e processos. Ao mesmo tempo, as empresas enfrentam várias barreiras para atingir e manter um programa de segurança efetivo. Essas barreiras incluem: • Carência de profissionais de segurança qualificados e experientes • Carência de recursos e infra-estruturas para suportar programas de segurança que funcionem 24 horas por dia, 7 dias por semana • Aumento da complexidade na tecnologia de segurança • Carência de treinamento formal • Falta de tempo para se concentrar no gerenciamento de segurança persistente e em tarefas operacionais Como resultado, várias empresas que gerenciam a segurança internamente estão buscando alternativas para superar essas barreiras. É necessário encontrar uma maneira de manter uma postura de segurança forte, com foco nas funções principais de e-business, geradoras de receita. A terceirização das tarefas de segurança, assim como a terceirização da tecnologia da informação e da segurança física de uma empresa, tem se tornado uma opção atraente. De acordo com a Gartner Dataquest, os serviços de segurança gerenciados, definidos como gerenciamento e monitoração terceirizada dos sistemas de segurança, representam o segmento que vem crescendo mais rapidamente no mercado de serviços de segurança de informações. "Provedores de Serviços de gerenciamento de segurança (MSSPs, Managed Security Services Providers) utilizam centros de operações de segurança de alta disponibilidade (tanto de suas próprias instalações como de centros de dados dos provedores) para suportar serviços 24 horas criados para reduzir o número de funcionários de segurança operacional que a empresa necessita contratar, treinar e reter para manter uma postura de segurança aceitável." i Por isso, para muitas empresa, duas alternativas surgiram: gerenciamento interno de segurança ou gerenciamento terceirizado de segurança, total ou em parte. A questão que muitas empresas enfrentam quando decidem terceirizar é: É possível efetivamente terceirizar as funções de gerenciamento ou gerenciar em conjunto com terceiros sem resultar em altos custos? A avaliação e identificação dos riscos e benefícios da terceirização da segurança é uma tarefa árdua. Deve-se considerar com muita cautela os pontos positivos e negativos dos provedores de serviços de gerenciamento de segurança, como: • Manutenção do controle da empresa • Experiência dos profissionais de segurança • Variedade e flexibilidade dos serviços 3
    • Symantec MANAGING ENTERPRISE SECURITY • Custo dos benefícios • Filosofia e cultura do programa de segurança • Compromisso com o contrato de serviços • Tecnologia suportada • Disponibilidade de instalações para as operações de segurança De todos esses fatores, a avaliação do custo de terceirização pode ser o mais difícil, pois a maioria das empresas tem dificuldades de estimar o impacto financeiro de tal decisão. De fato, um estudo recente da InfoWorld de 100 profissionais de tecnologia sobre terceirização, mostrou que 61 porcento das empresas não sabe quanto a empresa economizaria nos 12 meses após a terceirização das funções de TI. Esse é o caso na maioria das empresas que consideram a terceirização dos serviços de segurança. Este documento ajuda as empresas a calcular os custos do gerenciamento de segurança e fornece situações reais para a comparação de custos, ajudando as empresas a construir uma base para a análise financeira, necessária ao considerar um provedor de serviços de gerenciamento de segurança. Discutimos aqui também os benefícios da terceirização das funções de segurança, fornecendo diretrizes que as empresas podem usar para avaliar os provedores de serviços de segurança em potencial.√ Desafios no ambiente de negócios As iniciativas de e-commerce e e-business inspiram empresas a adotar um ambiente de rede distribuído e aberto. Esses ambientes são criados para reunir funcionários, clientes, parceiros, fornecedores e distribuidores para que troquem e acessem informações, imprescindíveis na condução de negócios atuais. Infelizmente, esse mesmo ambiente de rede cria vulnerabilidades que permite que funcionários com intenções maliciosas, hackers e outros tipos de intrusos, tanto internos como externos, criem problemas em sistemas corporativos através de atos maliciosos, fraudes e vandalismo. O dano resultante pode criar um impacto negativo na estrutura da empresa, prejudicar sua imagem corporativa e afetar negativamente a confiança do cliente. EMPRESAS ATUAIS ENFRENTAM OS SEGUINTES DESAFIOS: Há um crescimento significativo no comportamento criminoso direcionado a corporações. Com clientes e parceiros dependentes do acesso a produtos e serviços através de redes abertas como a Internet, é necessário que as empresas garantam a integridade dessas informações. Do contrário, estarão correndo o risco de comprometer sua reputação e a qualidade de sua marca. A necessidade de proteção da estrutura e imagem corporativa de uma empresa, causa a demanda de um gerenciamento efetivo da segurança de informações. Um número crescente de usuários móveis e remotos, além da computação remota em geral, cria problemas especiais de segurança para as empresas. 4
    • Symantec MANAGING ENTERPRISE SECURITYEmpresas hoje são movidas não somente pelo desejo de proteger suas informações físicas, mastambém pela necessidade de garantir a produtividade de seus funcionários. Há uma crescenteaceitação da mobilidade e do trabalho remoto de funcionários, porém LANs e WANs corporativastradicionais não são suficientes para suportar o crescimento do número de funcionários off-site. Àmedida que o acesso às redes corporativas aumenta, aumenta também a necessidade de proteçãona transmissão de informações para esses pontos remotos.Segurança pode não ser a base da competência de uma empresa, mas é com certeza um requisitobásico.Empresas envolvidas em e-commerce e e-business devem garantir que suas informações estejamadequadamente protegidas. O gerenciamento da segurança de informações requer constantevigilância e um registro detalhado de todas as alterações no estado da rede. Isso representa umaenorme responsabilidade e raramente se enquadra na competência básica da equipe defuncionários técnicos, constantemente em crescimento.Recursos corporativos limitados de TI são necessários para suportar os requisitos comerciais básicos daempresa.Diretores e gerentes de tecnologia de uma empresa buscam suporte para liberar recursosoperacionais para atividades de alta importância que envolvem competências básicas e estratégiascomerciais. Especialistas internos em segurança de informações normalmente têm um profundoconhecimento dos aplicativos comerciais cruciais executados na rede, e do impacto desses nasoperações corporativas e na largura de banda. Em uma situação ideal, esses talentosos funcionáriosseriam efetivamente escalados para planejar a recriação e migração da rede para suportariniciativas comerciais estratégicas ou para implementar novos aplicativos que se concentrem nasáreas de maior potencial de retorno do investimento (ROI, return-on-investment).Funcionários internos de TI, normalmente não possuem os recursos e a especialização necessáriapara proteger informações e dados importantes.Esses funcionários podem não possuir os recursos necessários para manter o nível deespecialização que permite diferenciar entre ataques reais e ataques não intencionais e,consequentemente, podem expor os sistemas a essas vulnerabilidades. O resultado é um alto custonecessário para garantir que os funcionários sejam treinados e se mantenham atualizados nastecnologias e ameaças de segurança mais recentes.Profissionais de segurança experientes são difíceis de encontrar, caros para recrutar e difíceis demanter.As empresas têm encontrado grandes dificuldades no alto custo do recrutamento e manutenção deexperientes profissionais em segurança de informações, devido à grande demanda do mercadopara tais profissionais. Além disso, o atrito entre os funcionários de segurança reduz a capacidadeda empresa de proteger efetivamente suas informações importantes. 5
    • Symantec MANAGING ENTERPRISE SECURITY√ Analisando os custos do gerenciamento de segurança O custo total de propriedade de um programa de gerenciamento de segurança inclui o recurso humano e o hardware de suporte, além do software e do equipamento para montar, atualizar, manter, operar e controlar os sistemas. Quando uma empresa considera a terceirização dos serviços de segurança gerenciados, deve estimar também algumas variáveis durante o período de duração do contrato: • Todo o capital e custos operacionais relevantes • Custo de supervisão do provedor de serviços de gerenciamento de segurança • Provável aumento no custo de salários, benefícios e contratos de serviços • O "custo do capital" e custo de juros • Valor residual de equipamentos e instalações • Custo da transição, inclusive de pessoal • Custo da alteração na direção e nível de recursos • Custo das modificações no contrato Para contabilizar o custo total de propriedade do gerenciamento interno de segurança, uma grande variedade de custos deve ser considerada durante alguns anos. Uma empresa deve ser capaz de identificar e avaliar os custos explícitos e ocultos. A seção a seguir relaciona vários dos custos de um programa de gerenciamento de segurança. EQUIPAMENTO Custos de hardware e software Para gerenciamento interno da segurança, as empresas devem determinar o custo de todo o hardware e software necessário para o gerenciamento e operações de segurança. Isso inclui servidores, PCs e equipamentos periféricos, além de todos os sistemas operacionais associados, bancos de dados, aplicativos e software de segurança. O hardware e software necessários para suportar as operações de segurança incluem ferramentas de gerenciamento do sistema e da rede, sistemas de helpdesk, consoles de gerenciamento integrados, além de software e sistemas de gerenciamento do knowledge base. A lista de tecnologia de segurança suportada para terceirização pode ser restrita, dependendo do suporte à tecnologia e da tendência do MSSP. Alguns MSSPs gerenciarão somente certas tecnologias de segurança. Em alguns casos, os MSSPs solicitam que uma marca específica de tecnologia de segurança seja adquirida ou que a tecnologia existente de uma empresa seja substituída. Outros MSSPs requerem a compra de tecnologia especializada ou proprietária para registro de eventos e coleta, análise e filtragem do fluxo de eventos. Custos de licenciamento O custo de todas as licenças de software, incluindo patches, atualizações incrementais e novas versões do software deve ser calculado com base no ciclo de vida esperado do software. 6
    • Symantec MANAGING ENTERPRISE SECURITYManutençãoAs taxas de manutenção do software e equipamento devem ser incluídas no custo total depropriedade. A manutenção do software representa normalmente entre 15 e 25 porcento do seucusto anual. Uma empresa com licenças de software avaliadas em $1 milhão pagará no mínimo$150.000 em custos de manutenção. As empresas devem estar cientes do nível de suporte quepodem receber por esse custo. Alguns contratos de serviços de gerenciamento de segurançafornecem de 8 a 10 horas de cobertura e suporte, enquanto outros fornecem suporte 24 horas pordia.PESSOALA contratação de uma equipe de profissionais de segurança de informações talvez seja ocomponente mais importante, difícil e caro de um programa de gerenciamento de segurançaefetivo. O maior desafio do mercado é contratar e manter uma base de profissionais de segurançaexperientes. O custo de contratação não inclui somente os salários, mas também compensaçõesadicionais (bônus, incentivos em ações, etc.), custo de equipamento e espaço e o custo deconstante educação e treinamento. Os salários de administradores e funcionários de segurançavariam dependendo de onde se localizam, nível de qualificação e experiência. De acordo com umarecente pesquisa do InformationWeekresearch.com, a média salarial anual para profissionais desegurança de informações (exceto gerentes) na área de Dallas, Texas é de: Alto Médio Baixo US$88,375 US$71,750 US$64,000Se uma empresa opera em um dia normal de 8:00 às 17:00 , mas planeja expandir suas operações desegurança para 24 horas por dia, deve então considerar a contratação de funcionários em múltiplosturnos, para fornecer cobertura 365 dias por ano.• Turno 1 para a manhã• Turno 2 para a tarde• Turno 3 noite/madrugada• Turno 4 fins de semana e cobertura para folgas nos turnos 1, 2 e 3Isso usaria no mínimo 4 funcionários para cobrir uma posição em uma operação de segurança de 24horas por dia. Esses recursos adicionais necessitariam de uma variedade de experiências ouespecialização em diferentes tipos de questões de segurança.RecrutamentoDevido à alta taxa de rotação no campo de TI, as empresas devem também considerar o custo derecrutamento. Independente da utilização de pessoal de RH internos ou externo, o custo derecrutamento pode variar de 20 a 30 porcento do custo total de remuneração para a posiçãorecrutada. 7
    • Symantec MANAGING ENTERPRISE SECURITYTreinamento e educaçãoConstante treinamento e educação de profissionais de segurança é essencial para a reciclagem dequalificações e, principalmente, para manter seus funcionários atualizados no ambiente tecnológicoconstantemente em rápida transformação. Os treinamentos devem abranger as ferramentas etecnologias de segurança mais recentes, técnicas de ameaças e 75 estratégias de proteção. Oscustos nessa área devem incluir:• Treinamento no produto ou tecnologia• Treinamento na conscientização geral de segurança• Classes para preparação da certificação• Custos de certificação• Participação nas principais conferências e encontros de segurança• Assinaturas de livros e revistas, boletins ou cursos de e-learning para manter profissionais de segurança atualizados com as tecnologias mais recentes, dicas, técnicas, ameaças e proteção no setor.As empresas normalmente fornecem diretrizes sobre o treinamento que um funcionário devereceber anualmente. Um mínimo de duas semanas é oferecido normalmente, podendo sernecessário mais tempo. A maioria dos cursos de segurança duram uma semana, para que cadafuncionário tenha direito a atender dois cursos por ano. Como o custo do curso varia de $1,500 a$3,000, o custo normal do treinamento por pessoa seria de $5,000 por ano.INSTALAÇÕESCentro de Operações de SegurançaO custo de instalações e funcionários para operações de segurança 24 horas por dia pode serextremamente alto. A construção ou aluguel de um centro de operações de segurança (SOC, SecurityOperation Center) é inviável financeiramente para a maioria das empresas, pois o custo para tal podeexceder $100 milhões. Se espaço existente já estiver estabelecido ou disponível para o gerenciamentoe monitoração da segurança, o custo de montagem de um centro de operações de segurança detamanho médio, com acomodação para mais ou menos 30 funcionários, será acima de $1 milhão.Após adicionar o custo de equipamentos, redundância, eletricidade, HVAC (Heating, Ventilation, AirCondition and Refrigeration) e sistemas contra incêndio para operações de redundância de altadisponibilidade, o custo torna-se proibitivo para a maioria das empresas. 8
    • Symantec MANAGING ENTERPRISE SECURITY√ Considerando as opções de gerenciamento de segurança COMPARANDO GERENCIAMENTO DE SEGURANÇA INTERNO COM GERENCIAMENTO TERCEIRIZADO Considerando os desafios do mercado e do ambiente de negócios, as empresas obviamente estão à procura de alternativas. Além dos custos, uma empresa recebe várias vantagens ao estabelecer um contrato de serviços gerenciado profissionalmente por uma equipe dedicada e experiente de profissionais de segurança. A parceria com um provedor de serviços de gerenciamento de segurança que seja profissional, bem estabelecido e experiente diminui o risco de ameaças cibernéticas. Alto nível de proteção, diligência 24 horas por dia e uma postura de segurança fortalecida pode beneficiar uma empresa significativamente. Algumas vantagens estão relacionadas na tabela abaixo. Licenciamento tradicional Provedor de serviços de segurança de software gerenciados Custo de entrada Alto Baixo Instalação e implementação Solicita recursos internos O MSSP gerencia a implementação Tempo Grande Baixo Recursos qualificados A empresa deve contratar, O MSS fornece recursos qualificados treinar e manter profissionais Risco de segurança A empresa deve assumir todos O parceiro do MSS compartilha os riscos os riscos das operações Eficiência e efetividade Dimensionamento limitado A maior escala de eficiência compromete a eficiência (1:várias) é inerente às operações do SOC. e efetividade Postura de segurança Dependente de qualificações, Aprimorado pela diligência e garantia processos e rapidez no tempo de do tempo de resposta dos funcionários resposta dos funcionários internos internos, pesquisa de vulnerabilidade vulnerabilidade de segurança e experiência da equipe do MSS Resposta Dependente de qualificações, Proteção 24 horas por dia, notificação processos e rapidez no tempo de de alertas cruciais e nível de resposta resposta dos funcionários internos de acordo com a gravidade vulnerabilidade de segurança EXEMPLO: CUSTO DO GERENCIAMENTO DE SEGURANÇA INTERNAMENTE VERSUS TERCEIRIZAÇÃO Ao comparar as despesas e custos associados ao gerenciamento de segurança terceirizado com o gerenciamento interno, em um programa de dois anos para uma empresa de médio porteiv, os benefícios e economia de custos de um contrato de serviços gerenciados devem ser considerados na sua totalidade. Em alguns casos, a economia no primeiro ano pode ser consideravelmente alta quando comparada com os anos subsequentes, devido à evolução e mudança dos requisitos de segurança. PERFIL DA EMPRESA Sand Pharmaceuticals é pioneira e líder do mercado no descobrimento de novos tratamentos para doenças debilitantes e casos médicos. A empresa emprega 3000 funcionários e possui um quadro de 40 funcionários de TI, sendo que cinco se dedicam à segurança de informações. A Sand Pharmaceuticals implementou firewalls e atualmente está implementando a tecnologia do sistema de detecção de intrusões (IDS). Para a proteção máxima da empresa, seus funcionários de segurança implementaram três firewalls e necessitam também de um IDS network-based para seis segmentos da rede, além de um IDS host-based ativo 24 horas por dia , em dez servidores críticos da empresa. 9
    • Symantec MANAGING ENTERPRISE SECURITYA tabela a seguir ilustra os custos da empresa para duas situações internas (uma para durante o dia, eoutra ativa 24 horas por dia) comparada com uma situação de terceirização. Interno de Interno de Solução 8:00 ÀS 17:00 24X7 operations MSS Ano 1 (5 funcionários) (15 staff) terceirizada Recursos Salários 1 $501,000 $1,503,000 N/A Treinamento2 $25,000 $75,000 N/A Recrutamento3 $37,575 $288,075 N/A Equipamento Software4 $81,875 $81,875 $81,875 Manutenção5 $12,281 $12,281 $12,281 Implementação e Instalação6 Custo variado Custo variado $23,960 Gerenciamento N/A N/A $348,000 Total a partir de $657 $1,960,231 $466,116 + instalação + instalaçãoPresumindo que a empresa mantém seus 5 funcionários de TI trabalhando durante o horáriocomercial no suporte de segurança em missões de emergência, a economia no primeiro ano com aterceirização de operações de segurança 24 horas por dia será de aproximadamente $836,384. Interno de In-house Recursos da 8:00 ÀS 17:00 24X7 operations solução MSS Ano 2 (5 funcionários) (15 staff) terceirizada Recursos Salários 7 $546,090 $1,638,270 N/A Treinamento $25,000 $75,000 N/A Recrutamento8 $40,957 $112,870 N/A Equipamento Manutenção $12,281 $12,281 $12,281 Gerenciamento N/A N/A $348,000 Total $624,328 $1,838,421 $360,281Novamente presumindo que a empresa mantém seus 5 funcionários de TI trabalhando durante ohorário comercial no suporte de segurança em missões de emergência, a economia no segundo anocom a terceirização de operações de segurança 24 horas por dia será de aproximadamente$853,812.1 Baseado no Information Week Salary Advisor. Custo salarial total (incluindo salário, opções de ações e bônus) de um profissional de segurança típico em Houston, Texas. Salários incluem quatro funcionários (US$88,375) e um gerente (US$147,500).2 Custo de treinamento estimado em US$5,000 por funcionário, baseado em duas classes por ano, no preço padrão do setor, para cursos de treinamento em segurança.3 Esse exemplo presume que as vagas dos cinco funcionários diários já estão preenchidas. Inclui também uma taxa de rotação anual de 30 porcento para funcionários de segurança. Para calcular operações internas ativas 24 horas por dia, os custos de recrutamento no primeiro ano são mais altos, porque além dos 30 porcento de rotação das cinco vagas originais, serão necessários mais 10 novos funcionários. O custo de recrutamento é baseado em 25 por cento do custo salarial anual, para profissionais de segurança internos.4 O custo do software é baseado em três licenças ilimitadas de usuários para o Symantec Enterprise Firewall/VPN, Symantec NetProwler IDS para seis segmentos da rede, além de licenças do host IDS do Symantec Intruder Alert para 10 servidores.5 Custo de manutenção baseado em 15 porcento do custo de licença do software.6 O custo de instalação inclui os serviços de implementação e instalação para o gerenciamento remoto e manutenção constante do software. Sem o MSSP, os serviços de implementação se tornam mais caros e as empresas devem fornecer manutenção constante do software (atualizações, patches, etc.) com seus recursos internos.7 Aumento salarial baseado em um aumento médio de 9 porcento sobre o ano anterior.8 Inclui também uma taxa de rotação anual de 30 porcento para todos os funcionários de segurança. O custo de recrutamento é baseado em 25 por cento do custo salarial anual, para profissionais de segurança internos. 10
    • Symantec MANAGING ENTERPRISE SECURITY√ Benefícios dos serviços de gerenciamento de segurança As empresas dependem cada vez mais de informações e do compartilhamento dessas, para suportar suas operações. Com a proliferação de descrições de técnicas de intrusão e scripts, várias empresas enfrentam sérios riscos que não existiam há cinco anos atrás. Como muitas empresas não possuem os recursos ou não desejam empregar uma equipe de segurança em tempo integral requerida para lidar com tais necessidades, elas estão sempre buscando outras alternativas. Um bom provedor de serviços de gerenciamento de segurança (MSSP) pode oferecer várias vantagens a uma empresa: Proteção aprimorada de informações. A segurança de sistemas de informações e redes atuais é muito mais complexa e crucial do que há alguns anos atrás. Os métodos e tecnologias usadas por hackers tornam-se mais sofisticados a cada mês. Se a segurança não for o foco central de uma empresa, isso será uma grande desvantagem no fornecimento de um programa de gerenciamento de segurança sólido e completo. O treinamento, especialização, tempo e diligência necessários para se manter atualizado com as estratégias de proteção mais recentes, consumirá muito o tempo dos funcionários internos, afastando-os de outras atividades importantes. Conhecimento e experiência geral dos especialistas em segurança. A experiência dos analistas e engenheiros de segurança dos MSSP, que gerenciam e monitoram os dispositivos de segurança em tempo integral, é um recurso muito importante. Esses analistas detectam e respondem aos incidentes de segurança e ataques todos os dias. Isso significa que eles estão consideravelmente mais informados sobre as ameaças em potencial e possuem maior conhecimento sobre como responder a ataques, do que os funcionários internos da empresa. Um MSSP de uma empresa deve possuir uma organização de pesquisa dedicada a se manter informada sobre as ameaças cibernéticas, vulnerabilidades, técnicas de hackers e desenvolvimentos de segurança mais recentes. A monitoração constante de consultas e alertas de segurança é essencial no fornecimento da proteção máxima contra ameaças de segurança. Compartilhe a responsabilidade com um parceiro de segurança confiável. Os MSSPs oferecem contratos de serviços que especificam uma obrigação contratual para fornecer serviços de uma determinada maneira, dentro de um certo período de tempo. Os serviços de gerenciamento de segurança incluem também outros recursos que evitam quebras de segurança em potencial e reduzem a responsabilidade, fornecendo mais tranqüilidade. Além disso, os MSSPs fornecem especialização em segurança com considerável experiência na detecção de intrusões e na prática de respostas a incidentes. Um MSSP atua como o parceiro de segurança da empresa e compartilha o peso e a responsabilidade do gerenciamento de segurança e da resposta a incidentes. 11
    • Symantec MANAGING ENTERPRISE SECURITY Obtenha gerenciamento de segurança 24 horas por dia. Um provedor de serviços de segurança deve fornecer cobertura 24 horas por dia, para os sistemas mais importantes da empresa. Isso protegerá as informações da empresa, sendo importante principalmente para os ambientes de negócios que estão sempre conectados, sempre on-line. Os MSSPs patrulham as infra-estruturas e redes de clientes para garantir proteção durante os horários que a maioria dos hackers atacarão. Isso garante também que os funcionários da empresa possam liberar valiosos recursos técnicos para trabalhar em projetos importantes que fornecerão maior retorno do investimento. Faça melhor uso dos produtos de segurança já existentes. Muitas empresas adquirem produtos de segurança que, por alguma razão, nunca são totalmente implementados. Um bom provedor de serviços de gerenciamento garante que as soluções adquiridas sejam instaladas, implementadas e integradas para fornecer o serviço que uma empresa necessita e espera. Adote medidas econômicas no gerenciamento de segurança Com a utilização de um MSSP para fornecer proteção às informações importantes, a empresa evita os extensos custos de pessoal associados à contratação, treinamento e manutenção de profissionais de segurança. Os serviços de gerenciamento de segurança reduzem o custo total de propriedade permitindo a transferência dos custos de pessoal para uma despesa variável. Como os serviços gerenciados são cobrados mensalmente, eles permitem também que a empresa faça previsões e gerencie melhor seu orçamento de segurança.√ Selecionando um Provedor de Serviços de Gerenciamento de Segurança Apesar da determinação dos custos poder ser complicada, essa representa uma parte relativamente pequena da avaliação total de um provedor de serviços de gerenciamento de segurança. Outros fatores importantes que uma empresa deve considerar ao avaliar um MSS incluem: ANÁLISE DE FORNECEDOR—MANTENDO O CONTROLE De acordo com a Gartner, mais de $1 bilhão em capital de empreendimentos foi injetado na inicialização de empresas de provedores de serviços de gerenciamento de segurança. Muitas dessas empresas falharão e várias uniões e aquisições serão estabelecidas no mercado antes que se estabilize. Por isso, é muito importante que as empresas tomem as necessárias precauções para analisar detalhadamente os MSSs em potencial. Uma empresa deve investigar os pontos fortes de um fornecedor, e solicitar documentação e outras informações para avaliar seus pontos fortes, sua experiência e sucesso nas seguintes áreas: • Estabilidade financeira • Tempo no mercado • Experiência em serviço de gerenciamento de segurança • Clientes • Reputação 12
    • Symantec MANAGING ENTERPRISE SECURITYVARIEDADE DE SERVIÇOS OFERECIDOSEmpresas avaliando os MSSPs devem investigar:• Como os novos serviços de gerenciamento de segurança são implementados• Tecnologias, pontos fortes e fracos na área de serviços de segurança• Especialização para a equipe do MSSP.As empresas devem determinar se as ofertas do MSSP são flexíveis e variadas para que atendam assuas necessidades atuais e futuras. Empresas podem avaliar o gerenciamento, monitoração etécnicas de respostas do MSSP, perguntando:• Quais os produtos e tecnologias que o MSSP suporta?• Como os funcionários do MSSP operarão em uma emergência?• O MSSP é capaz de recrutar e manter funcionários com qualificações suficientes para suportar a empresa?• O MSSP possui contingências para adicionar consultores especializados no caso de uma especialização adicional se tornar necessária?• Os contratos de serviço são flexíveis e convincentes?SUPORTE ORGANIZACIONALAo determinar o nível de suporte organizacional, as empresas devem perguntar aos MSSPs:• Eles possuem suas próprias instalações do SOC ou têm acesso a uma?• Qual o critério de recrutamento da empresa?• Como seus funcionários são remunerados e mantidos?• Como a privacidade do cliente é garantida?As empresas devem também se informar sobre os departamentos de desenvolvimento e pesquisasdo MSSP, e sobre o capital para essas áreas:• Como os funcionários do MSSP se mantêm atualizados sobre as tendências mais recentes da indústria• Que tipo de conhecimento especializado e experiência em segurança os funcionários do MSSP possuemPERFIL RECOMENDADO DE UM MSSP Perfil recomendado de um MSSP Symantec MSS Segurança é o negócio principal ✔ Estabilidade financeira comprovada ✔ Abrangente conjunto de ofertas do MSS ✔ Procedimentos, padrões e diretrizes do MSS de uso comprovado ✔ Equipe de segurança profissional, recrutada e treinada ✔ Desenvolvimento da equipe e evolução de carreiras definidas ✔ Verificações de confiabilidade da equipe ✔ Operações globais gerenciadas 24 horas por dia ✔ SOCs múltiplos e redundantes com cobertura global ✔ Qualificações extensas para suporte técnico e de segurança ✔ Suporte dedicado para a pesquisa de vulnerabilidades e ameaças ✔ Equipe dedicada a clientes específicos ✔ Os serviços suportam produtos de vários fornecedores ✔ Pode implementar produtos de segurança ✔ Riscos financeiros e de segurança aceitos mediante o contrato ✔ Contrato de serviço personalizado ✔ Gerenciamento de incidentes e recursos de resposta ✔ 13
    • Symantec MANAGING ENTERPRISE SECURITY√ Conclusão Um esquema abrangente de software, hardware, funcionários e especialistas é necessário para o gerenciamento completo da segurança. Se será fornecido internamente ou terceirizado, é uma decisão que a empresa deve tomar usando somente seus melhores dados. Uma decisão correta para uma empresa pode não ser adequada para outra. Uma análise de custos abrangente é importante, mas é somente uma parte da análise total, para a seleção de um MSSP. É importante analisar também os níveis dos funcionários, experiência do fornecedor, qualificações especializadas que podem existir somente dentro da empresa, além de ser necessário que os sistemas (hardware, software e firewalls) já estejam instalados. A decisão de recrutar funcionários internos ou contratar um provedor de serviços de gerenciamento de segurança deve ser tomada após muita pesquisa, investigação e planejamento orçamentário para um número de anos, priorizando a manutenção de uma postura de segurança forte e proporcionando atividades on-line e de e-business geradoras de lucros.√ Referências i Gartner Dataquest. "The U.S. Security Services Market Forecast, 2000–2005," 1 de julho de 2001 ii Dinley, D. "Should outsourcing be part of your IT act?" InfoWorld Outsourcing Study, InfoWorld, 12 de fevereiro de 2001. iii Carey, Allan, and Dean, Richard. "2001 Information Security Services: A Competitive Segmentation and Analysis," IDC, Junho de 2001 iv A empresa é um exemplo representativo de uma empresa de médio porte.. Os custos são aproximados e sujeitos a alterações sem aviso prévio. v GartnerGroup Research Note. "Surviving the Managed Service Shakeout," 15 de março de 2001 14
    • Symantec MANAGING ENTERPRISE SECURITYA SYMANTEC, LÍDER MUNDIAL EM TECNOLOGIA DE SEGURANÇA NA INTERNET, FORNECE UMA GRANDE VARIEDADE DE SOLUÇÕES DESEGURANÇA DE REDE E DE CONTEÚDO, TANTO PARA INDIVÍDUOS COMO PARA EMPRESAS. A EMPRESA É LÍDER NO FORNECIMENTO DEPROTEÇÃO ANTIVÍRUS, FIREWALL E REDE VIRTUAL PRIVADA (VPN), GERENCIAMENTO DE VULNERABILIDADES, DETECÇÃO DEINTRUSÕES, FILTRAGEM DE E-MAIL E DE CONTEÚDO DA INTERNET, TECNOLOGIAS DE GERENCIAMENTO REMOTO E SERVIÇOS DESEGURANÇA A EMPRESAS EM TODO O MUNDO.A MARCA NORTON DA SYMANTEC DE PRODUTOS DE SEGURANÇA PARA O CONSUMIDOR LIDERA O MERCADO EM VENDAS MUNDIAIS EPREMIAÇÕES DA INDÚSTRIA. COM MATRIZ EM CUPERTINO, CALIFÓRNIA, A SYMANTEC POSSUI OPERAÇÕES MUNDIAIS EM 37 PAÍSES.PARA OBTER MAIS INFORMAÇÕES, ACESSE WWW.SYMANTEC.COM.BR WORLD HEADQUARTERS 20330 Stevens Creek Blvd. Cupertino, CA 95014 U.S.A. 1.408.253.9600 1.800.441.7234 SYMANTEC DO BRASIL A Symantec possui operações Market Place Tower em 37 países. Av. Dr. Chucri Zaidan, 920 Para obter os números de 12 º andar - São Paulo - SP contatos ou endereços de Tel: 55 11 5189-6200 escritórios em um determinadoA Symantec e o logotipo da Symantec são marcas registradas da Symantec Corporation nos EUA. Outras marcas e produtos são marcas comerciais de seusrespectivos proprietários. Todas as informações de produto estão sujeitas a alterações. Copyright © 2002 Symantec Corporation. Todos os direitos Fax: 55 11 5189-6210 país, acesse nosso website.reservados. Made in the USA. 02/02 16-71-00086-BP www.symantec.com.br