Eti 6a securityroi

623 visualizações

Publicada em

Publicada em: Educação
0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
623
No SlideShare
0
A partir de incorporações
0
Número de incorporações
3
Ações
Compartilhamentos
0
Downloads
1
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Eti 6a securityroi

  1. 1. Segurança da Informação na Empresa TECC - Economia de TI UFCG / CCT / DSC J. Antão B. Moura [email_address]
  2. 2. Segurança da informação (Passado) <ul><li>Exemplos de informações corporativas “sensíveis” (“ativos importantes”). </li></ul><ul><li>Segurança facilitada pela “internação”, mas: </li></ul><ul><ul><li>Desvia foco do negócio </li></ul></ul><ul><ul><li>Múltiplas interfaces </li></ul></ul><ul><ul><li>Investimentos grandes ($, RH, t) </li></ul></ul>Finanças: CP/CR Contabilidade Parceiros: Estoque Pedidos Compras Contas Pagar Transporte … Clientes: Crédito Vendas Histórico Suporte Corporação Internet Backup Pessoal : Desempenho Folha Pagto Benefícios Fundo Pensão
  3. 3. Segurança no Presente / Futuro <ul><li>Recursos de TI na Web, incluindo (quantidade crescente de) ativos importantes (VPN) </li></ul><ul><li>Baixo custo </li></ul><ul><li>Usuário com foco no negócio : </li></ul><ul><li>Única I/F (browser) </li></ul><ul><li>Menor investimento </li></ul><ul><li>Mas, maior complexidade e qualidade sofrível de S.O. (ex: MS-IIS) e aplicações </li></ul><ul><ul><li>Fontes de vulnerabilidade </li></ul></ul>Internet Clientes: Crédito Vendas Histórico Suporte Parceiros: Estoque Pedidos Compras Contas Pagar Transporte Finanças: CP/CR Contabilidade ... Backup Pessoal : Desempenho Folha Pagto Benefícios Fundo Pensão
  4. 4. Para que o barato não saia caro... <ul><li>Algumas aplicações Web são rápidas para desenvolver e exigem pequeno investimento para aumentar ganhos intangíveis: </li></ul><ul><ul><li>Melhoram moral e colaboração de pessoas, equipes </li></ul></ul><ul><ul><li>Simplificam acesso à informação e outros ativos </li></ul></ul><ul><ul><li>Reduzem tempo para o mercado </li></ul></ul><ul><li>Investimentos em segurança normalmente sobem após incidentes graves (IDC) </li></ul><ul><ul><li>Vantagem de enxergar segurança como parte do negócio a ser tratada em qualquer projeto de TI </li></ul></ul><ul><ul><ul><li>60 a 100 vezes mais barato do que consertar (@stake) </li></ul></ul></ul>
  5. 5. O caminho das pedras: prejuízos, riscos, prioridades e controles <ul><ul><li>Política (identifica informação sensível e porque) </li></ul></ul><ul><ul><ul><li>- O quê e quanto? </li></ul></ul></ul><ul><ul><ul><ul><li>Quais os ativos de informação (multimídia)? </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Qual o valor para a empresa (dimensão dos possíveis prejuízos) </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Desconsiderar ativos de baixo valor (prioridades) </li></ul></ul></ul></ul><ul><ul><li>Escopo </li></ul></ul><ul><ul><ul><ul><li>Toda a empresa, departamentos, interfaces externas (TI, Web, fone, fax, computação móvel, assessoria de imprensa, ...) </li></ul></ul></ul></ul><ul><ul><li>Análise de risco </li></ul></ul><ul><ul><ul><ul><li>Risco (probabilidade) de perder ativos de alto valor </li></ul></ul></ul></ul><ul><ul><li>Gerência (para minimização) do risco </li></ul></ul><ul><ul><ul><ul><li>Uso de tecnologia, pessoal, procedimentos, dispositivos, seguro, ... </li></ul></ul></ul></ul><ul><ul><li>Medidas e controles </li></ul></ul><ul><ul><ul><ul><li>Maneiras escolhidas (a partir de lista “padrão”) para a gerência do risco </li></ul></ul></ul></ul><ul><ul><li>Estudo de adequação </li></ul></ul><ul><ul><ul><ul><li>Justificativa para cada medida e controle adotado ou descartado (da lista) </li></ul></ul></ul></ul>
  6. 6. Perguntas importantes <ul><li>A segurança que temos hoje basta? </li></ul><ul><li>Que nível de segurança precisamos? </li></ul><ul><li>Quais os riscos que aceitamos? </li></ul>
  7. 7. O preço das pedras ... <ul><li>Quanto podemos investir para o nível de segurança necessário? </li></ul>
  8. 8. O custo da segurança <ul><li>Custos em termos de: </li></ul><ul><ul><li>Infraestrutura </li></ul></ul><ul><ul><li>Inconveniência </li></ul></ul><ul><li>Resistência por: </li></ul><ul><ul><li>CIO </li></ul></ul><ul><ul><li>Usuários </li></ul></ul><ul><li>Custo e riscos são crescentes... </li></ul>Segurança tradicional de redes Crescimento do uso da Internet por empresas e governo 2002 t $ Risco
  9. 9. Motivação <ul><li>Redes (Internet, Web, VPN) são hoje, infra-estrutura computacional corporativa e suportam ativos importantes </li></ul><ul><ul><li>Questão antes apenas técnica (CIO) passa a ser também, do negócio e financeira (C E/F/I O) </li></ul></ul><ul><ul><ul><li>Relevância do ganho “financeiro” para a empresa </li></ul></ul></ul><ul><ul><ul><li>Planejamento estratégico para vantagem competitiva do negócio </li></ul></ul></ul><ul><li>Como “segurança” pode trazer vantagem competitiva? </li></ul>
  10. 10. Segurança na Visão do Negócio <ul><li>Segurança pode ser promotora do negócio! </li></ul><ul><ul><li>Vigilância sanitária em um restaurante: descuidos (além de multas), podem levar à má reputação, perda de clientes e ao fechamento. </li></ul></ul><ul><ul><li>Falta de segurança com informação idem. </li></ul></ul>
  11. 11. Segurança como parte do negócio <ul><li>Segurança pode melhorar processos do negócio </li></ul><ul><ul><li>VPN, por exemplo, troca acesso via linha dedicada por acesso remoto seguro, mais abrangente a todos os colaboradores e mais barato. </li></ul></ul><ul><ul><ul><li>Redução de custos de infraestrutura física (escritório), eletricidade, ... </li></ul></ul></ul><ul><ul><li>Autenticação e criptografia permitem atender clientes “pessoalmente” em servidores Web, ao invés de balcão, com mais facilidade e menor equipe (IR no Brasil) </li></ul></ul><ul><ul><li>Criação de novas oportunidades de negócio com e-business </li></ul></ul><ul><li>Segurança como parte de todo projeto de TIC </li></ul><ul><ul><li>Como gestão da qualidade </li></ul></ul><ul><ul><li>Exige educação, mudança cultural e motivação para excelência </li></ul></ul>
  12. 12. Segurança na visão do ROI <ul><li>ROI como suporte à tomada de decisão </li></ul><ul><ul><li>Análises de pagamento ( payback ) e de risco, valor presente líquido, taxa de retorno interno </li></ul></ul><ul><ul><li>Usados para comparar projetos ou soluções (com investimentos correspondentes) diferentes para problemas da empresa </li></ul></ul><ul><ul><ul><li>Aprovação se (taxa do) ROI ultrapassa certo valor </li></ul></ul></ul><ul><ul><ul><ul><li>Inexistência de investimentos com ciranda financeira </li></ul></ul></ul></ul><ul><ul><li>Análise OK com parâmetros ou custos bem definidos (valores tangíveis) </li></ul></ul><ul><ul><li>Análise complicada com custos ou ganhos intangíveis </li></ul></ul><ul><ul><ul><li>Maior satisfação de clientes </li></ul></ul></ul>
  13. 13. ROI de Segurança ( ROSI ) <ul><li>ROI sendo usado para decisões sobre TI </li></ul><ul><ul><li>a) 80% de CIOs em Pesquisa da InformationWeek (julho 2001) </li></ul></ul><ul><ul><li>b) Análise deve considerar elementos de custos como: </li></ul></ul><ul><ul><ul><li>Licenças de software, hardware </li></ul></ul></ul><ul><ul><ul><li>Honorários de consultores, salários de técnicos e gestão </li></ul></ul></ul><ul><ul><ul><li>Terceirização de hospedagem </li></ul></ul></ul><ul><ul><li>c) Mas no caso de Segurança, como valorar prejuízos : </li></ul></ul><ul><ul><ul><li>Danos à reputação, reveses estratégicos, perda de informações </li></ul></ul></ul><ul><ul><ul><li>Captura de informações, perda de oportunidades de negócios </li></ul></ul></ul><ul><ul><li>OBS: Terceirização ajuda a clarear custos em b); empresa se ocupa em estimar c). </li></ul></ul>
  14. 14. Uma Dica para ROSI <ul><li>1) Qual o nível de risco inaceitável? </li></ul><ul><ul><li>PAS = Prêmio Anual do Seguro para cobrir risco* </li></ul></ul><ul><ul><li>PSS = Preço da Solução de Segurança para risco “aceitável” </li></ul></ul>ROI = PAS – PSS <ul><li>* Maquiavel: Análise de risco com “desastre dos outros” </li></ul><ul><ul><li>Desgaste da marca (perda de reputação) </li></ul></ul><ul><ul><li>Perda de receita com paralisação da operação </li></ul></ul>
  15. 15. Um modelo para custos <ul><li>Avaliação – equipe (CISO, gerentes, auditores e apoio administrativo) </li></ul><ul><li>Proteção - $ para HW, SW, atualizações (novos vírus, ...) </li></ul><ul><li>Gestão – Equipe técnica, especializada nos ativos/dispositivos de segurança (configuração, desenvolvimento de software, listas de controle de acesso, ...) </li></ul><ul><li>Treinamento – Toda a empresa e equipe de segurança em particular (atualização contínua) </li></ul><ul><li>Monitoração – Custos de pessoal para acompanhar sensores (24x7x365) </li></ul><ul><li>Reação – Equipe para atendimento de emergências e rastreamento </li></ul>
  16. 16. Diretrizes <ul><li>Implantação de política de segurança completa envolve ativos, pessoal e treinamento </li></ul><ul><ul><li>1) requisitos de gestão e pessoal </li></ul></ul><ul><ul><ul><li>Equipe própria X terceirização </li></ul></ul></ul>Encargos, férias, licenças, escala de treinamento ... Onde achar especialistas? <ul><ul><li>2) custos de aquisição de soluções </li></ul></ul><ul><ul><ul><li>Tratar com múltiplos fornecedores pode se tornar falha de segurança </li></ul></ul></ul>
  17. 17. Diretrizes <ul><li>Insipiência da indústria: pouca regulamentação e normas para referência e diretrizes </li></ul><ul><ul><li>Norma NBR ISO/IEC 17799: Código de prática para a gestão da segurança da informação </li></ul></ul><ul><ul><ul><li>Parte 1: Lista de coisas que devem ser feitas (Política) </li></ul></ul></ul><ul><ul><ul><li>Parte 2: Como construir (Processo) Sistemas de Gestão de Segurança </li></ul></ul></ul><ul><ul><li>Busque soluções alinhadas com a norma (“certificação”) </li></ul></ul>
  18. 18. De volta ao futuro... <ul><li>1882 – investimento em sprinklers era duvidoso </li></ul><ul><ul><li>Março 1882, George Parmalee ateou fogo em fábrica de fiação de algodão em Bolton, Inglaterra </li></ul></ul><ul><ul><ul><li>Em 90 seg, fogo e fumaça tomaram toda a fábrica </li></ul></ul></ul><ul><ul><ul><li>Depois de 120 seg, 32 sprinklers automáticos extinguiram o incêndio </li></ul></ul></ul><ul><ul><li>“ Argumento de vendas” para patente do irmão Henry </li></ul></ul><ul><ul><li>Venderam porém, poucas unidades </li></ul></ul><ul><ul><ul><li>“ ...não conseguiam contratar....a não ser que assegurassem um retorno razoável pelo investimento” </li></ul></ul></ul><ul><ul><ul><li>Sir John Wormald (testemunha ocular) </li></ul></ul></ul>
  19. 19. Evolução em ROSI e Tecnologias de Segurança <ul><li>De volta ao futuro... </li></ul><ul><ul><li>Seguro com desconto para fábricas com sprinklers </li></ul></ul><ul><ul><li>Descontos maiores para sprinklers com melhor tecnologia </li></ul></ul><ul><ul><li>Seguros mais caros para as fábricas sem sprinklers </li></ul></ul><ul><ul><li>Fábricas com sprinklers não perdiam tempo prevenindo ou cuidando de incêndios, concentravam-se nos negócios! </li></ul></ul><ul><li>Avanços pela Indústria de Seguros e pelo Lucro </li></ul><ul><ul><li>Com todas as outras variáveis ou fatores iguais, empresas com informação (rede) segura terão menores prêmios de seguro (diferencial competitivo), menores custos e maiores margens de lucro! </li></ul></ul>
  20. 20. “ O pulo do gato” <ul><li>Como nossa empresa poderá usar Segurança para: </li></ul><ul><ul><li>Vantagem competitiva </li></ul></ul><ul><ul><li>Melhores margens </li></ul></ul>

×