O documento discute a importância da segurança da informação para as empresas. Apresenta exemplos de ativos corporativos sensíveis que precisam ser protegidos e como a segurança foi facilitada no passado pela "internação", mas desviava o foco do negócio e exigia grandes investimentos. Também discute os desafios da segurança na era digital com recursos na web e a necessidade de equilibrar baixo custo e foco no negócio com a complexidade crescente e qualidade da segurança.

1. Segurança da Informação na Empresa TECC - Economia de TI UFCG / CCT / DSC J. Antão B. Moura [email_address]

2. Segurança da informação (Passado) Exemplos de informações corporativas “sensíveis” (“ativos importantes”). Segurança facilitada pela “internação”, mas: Desvia foco do negócio Múltiplas interfaces Investimentos grandes ($, RH, t) Finanças: CP/CR Contabilidade Parceiros: Estoque Pedidos Compras Contas Pagar Transporte … Clientes: Crédito Vendas Histórico Suporte Corporação Internet Backup Pessoal : Desempenho Folha Pagto Benefícios Fundo Pensão

3. Segurança no Presente / Futuro Recursos de TI na Web, incluindo (quantidade crescente de) ativos importantes (VPN) Baixo custo Usuário com foco no negócio : Única I/F (browser) Menor investimento Mas, maior complexidade e qualidade sofrível de S.O. (ex: MS-IIS) e aplicações Fontes de vulnerabilidade Internet Clientes: Crédito Vendas Histórico Suporte Parceiros: Estoque Pedidos Compras Contas Pagar Transporte Finanças: CP/CR Contabilidade ... Backup Pessoal : Desempenho Folha Pagto Benefícios Fundo Pensão

4. Para que o barato não saia caro... Algumas aplicações Web são rápidas para desenvolver e exigem pequeno investimento para aumentar ganhos intangíveis: Melhoram moral e colaboração de pessoas, equipes Simplificam acesso à informação e outros ativos Reduzem tempo para o mercado Investimentos em segurança normalmente sobem após incidentes graves (IDC) Vantagem de enxergar segurança como parte do negócio a ser tratada em qualquer projeto de TI 60 a 100 vezes mais barato do que consertar (@stake)

5. O caminho das pedras: prejuízos, riscos, prioridades e controles Política (identifica informação sensível e porque) - O quê e quanto? Quais os ativos de informação (multimídia)? Qual o valor para a empresa (dimensão dos possíveis prejuízos) Desconsiderar ativos de baixo valor (prioridades) Escopo Toda a empresa, departamentos, interfaces externas (TI, Web, fone, fax, computação móvel, assessoria de imprensa, ...) Análise de risco Risco (probabilidade) de perder ativos de alto valor Gerência (para minimização) do risco Uso de tecnologia, pessoal, procedimentos, dispositivos, seguro, ... Medidas e controles Maneiras escolhidas (a partir de lista “padrão”) para a gerência do risco Estudo de adequação Justificativa para cada medida e controle adotado ou descartado (da lista)

6. Perguntas importantes A segurança que temos hoje basta? Que nível de segurança precisamos? Quais os riscos que aceitamos?

7. O preço das pedras ... Quanto podemos investir para o nível de segurança necessário?

8. O custo da segurança Custos em termos de: Infraestrutura Inconveniência Resistência por: CIO Usuários Custo e riscos são crescentes... Segurança tradicional de redes Crescimento do uso da Internet por empresas e governo 2002 t $ Risco

9. Motivação Redes (Internet, Web, VPN) são hoje, infra-estrutura computacional corporativa e suportam ativos importantes Questão antes apenas técnica (CIO) passa a ser também, do negócio e financeira (C E/F/I O) Relevância do ganho “financeiro” para a empresa Planejamento estratégico para vantagem competitiva do negócio Como “segurança” pode trazer vantagem competitiva?

10. Segurança na Visão do Negócio Segurança pode ser promotora do negócio! Vigilância sanitária em um restaurante: descuidos (além de multas), podem levar à má reputação, perda de clientes e ao fechamento. Falta de segurança com informação idem.

11. Segurança como parte do negócio Segurança pode melhorar processos do negócio VPN, por exemplo, troca acesso via linha dedicada por acesso remoto seguro, mais abrangente a todos os colaboradores e mais barato. Redução de custos de infraestrutura física (escritório), eletricidade, ... Autenticação e criptografia permitem atender clientes “pessoalmente” em servidores Web, ao invés de balcão, com mais facilidade e menor equipe (IR no Brasil) Criação de novas oportunidades de negócio com e-business Segurança como parte de todo projeto de TIC Como gestão da qualidade Exige educação, mudança cultural e motivação para excelência

12. Segurança na visão do ROI ROI como suporte à tomada de decisão Análises de pagamento ( payback ) e de risco, valor presente líquido, taxa de retorno interno Usados para comparar projetos ou soluções (com investimentos correspondentes) diferentes para problemas da empresa Aprovação se (taxa do) ROI ultrapassa certo valor Inexistência de investimentos com ciranda financeira Análise OK com parâmetros ou custos bem definidos (valores tangíveis) Análise complicada com custos ou ganhos intangíveis Maior satisfação de clientes

13. ROI de Segurança ( ROSI ) ROI sendo usado para decisões sobre TI a) 80% de CIOs em Pesquisa da InformationWeek (julho 2001) b) Análise deve considerar elementos de custos como: Licenças de software, hardware Honorários de consultores, salários de técnicos e gestão Terceirização de hospedagem c) Mas no caso de Segurança, como valorar prejuízos : Danos à reputação, reveses estratégicos, perda de informações Captura de informações, perda de oportunidades de negócios OBS: Terceirização ajuda a clarear custos em b); empresa se ocupa em estimar c).

14. Uma Dica para ROSI 1) Qual o nível de risco inaceitável? PAS = Prêmio Anual do Seguro para cobrir risco* PSS = Preço da Solução de Segurança para risco “aceitável” ROI = PAS – PSS * Maquiavel: Análise de risco com “desastre dos outros” Desgaste da marca (perda de reputação) Perda de receita com paralisação da operação

15. Um modelo para custos Avaliação – equipe (CISO, gerentes, auditores e apoio administrativo) Proteção - $ para HW, SW, atualizações (novos vírus, ...) Gestão – Equipe técnica, especializada nos ativos/dispositivos de segurança (configuração, desenvolvimento de software, listas de controle de acesso, ...) Treinamento – Toda a empresa e equipe de segurança em particular (atualização contínua) Monitoração – Custos de pessoal para acompanhar sensores (24x7x365) Reação – Equipe para atendimento de emergências e rastreamento

16. Diretrizes Implantação de política de segurança completa envolve ativos, pessoal e treinamento 1) requisitos de gestão e pessoal Equipe própria X terceirização Encargos, férias, licenças, escala de treinamento ... Onde achar especialistas? 2) custos de aquisição de soluções Tratar com múltiplos fornecedores pode se tornar falha de segurança

17. Diretrizes Insipiência da indústria: pouca regulamentação e normas para referência e diretrizes Norma NBR ISO/IEC 17799: Código de prática para a gestão da segurança da informação Parte 1: Lista de coisas que devem ser feitas (Política) Parte 2: Como construir (Processo) Sistemas de Gestão de Segurança Busque soluções alinhadas com a norma (“certificação”)

18. De volta ao futuro... 1882 – investimento em sprinklers era duvidoso Março 1882, George Parmalee ateou fogo em fábrica de fiação de algodão em Bolton, Inglaterra Em 90 seg, fogo e fumaça tomaram toda a fábrica Depois de 120 seg, 32 sprinklers automáticos extinguiram o incêndio “ Argumento de vendas” para patente do irmão Henry Venderam porém, poucas unidades “ ...não conseguiam contratar....a não ser que assegurassem um retorno razoável pelo investimento” Sir John Wormald (testemunha ocular)

19. Evolução em ROSI e Tecnologias de Segurança De volta ao futuro... Seguro com desconto para fábricas com sprinklers Descontos maiores para sprinklers com melhor tecnologia Seguros mais caros para as fábricas sem sprinklers Fábricas com sprinklers não perdiam tempo prevenindo ou cuidando de incêndios, concentravam-se nos negócios! Avanços pela Indústria de Seguros e pelo Lucro Com todas as outras variáveis ou fatores iguais, empresas com informação (rede) segura terão menores prêmios de seguro (diferencial competitivo), menores custos e maiores margens de lucro!

20. “ O pulo do gato” Como nossa empresa poderá usar Segurança para: Vantagem competitiva Melhores margens