princípios de segurança empresarial e actores envolvidos pedro tavares silva
TRANSCRIPT
Princípios de Segurança Empresarial e Actores Envolvidos
Pedro Tavares Silva
SEGURANÇASEGURANÇA
RiscoRisco
AmeaçasAmeaças
BensBens
ImpactoImpacto
EstratégiaEstratégia
ControloControloArquitecturaArquitectura
Segurança Segurança da da
InformaçãoInformação
Segurança Segurança FísicaFísica
Segurança Segurança do Pessoaldo Pessoal
Segurança Segurança LógicaLógica
ConformidadeConformidade
TestesTestes
AuditoriasAuditorias
Recuperação Recuperação de Desastrede Desastre
Continuidade Continuidade do Negóciodo Negócio
AtaquesAtaquesProjectoProjecto
ProgramaPrograma
PrevençãoPrevenção
ProtecçãoProtecção
PlanoPlano
RTORTORPORPO
ResponsabilidadesResponsabilidadesOrganizaçãoOrganização
RiscoRisco
RiscoRisco
Segregação Segregação de Funçõesde Funções
Normas e Normas e LegislaçãoLegislação
PolíticaPolítica
ProcedimentosProcedimentos
OrçamentoOrçamento
MétricasMétricas
RetornoRetornoCustoCusto
© Pedro Tavares Silva SITIC2 de Novembro de 2006
3
Princípios da Segurança Empresarial
Objectivo da segurança
Condicionantes
PrincípiosPrincípios
Intervenientes
© Pedro Tavares Silva SITIC2 de Novembro de 2006
4
Relação custo/benefício
Relação favorável entre os gastos associados à implementação de medidas de segurança e o retorno em matéria de prevenção e protecção
© Pedro Tavares Silva SITIC2 de Novembro de 2006
5
Concentração
Concentração dos bens a proteger em função da sua sensibilidade
Reduz duplicação de meios para protecção de activos com requisitos de protecção idênticos
Maior eficiência
© Pedro Tavares Silva SITIC2 de Novembro de 2006
6
Protecção em Profundidade
AKA protecção em anéis concêntricos Bens/medidas de protecção dispostos de forma
concêntrica, com os bens mais sensíveis no centro
Disposição física ou lógica Barreiras sucessivas e progressivas, à medida
que o grau de sensibilidade da informação aumenta.
As medidas de protecção tornam-se cumulativas Maior eficácia
© Pedro Tavares Silva SITIC2 de Novembro de 2006
7
Consistência
Medidas de protecção equivalentes para bens com requisitos de protecção equivalentes
Protecção homogénea
Nível de protecção idêntico, independentemente da sua natureza (acesso físico/lógico)
Nível de protecção idêntico independentemente do grau de utilização do acesso
© Pedro Tavares Silva SITIC2 de Novembro de 2006
8
Redundância
Mais de uma forma de protecção para o mesmo fim
A protecção de um bem não deve ficar comprometida pela falha de um único controlo
Exemplos: clusters, porteiro e porta com chave
© Pedro Tavares Silva SITIC2 de Novembro de 2006
9
Princípios da Segurança Empresarial
Objectivo da segurança
Condicionantes
Princípios
IntervenientesIntervenientes
© Pedro Tavares Silva SITIC2 de Novembro de 2006
10
Administração
A sua principal motivação é a satisfação dos accionistas e, como tal, dos clientes
Estabelece a cultura, ditando o comportamento, mais ou menos seguro, dos utilizadores
Responsáveis pelos bens (incluindo a informação) e pelo governo da Organização – tem necessidade de demonstrar “due diligence”
© Pedro Tavares Silva SITIC2 de Novembro de 2006
11
Administração (continuação)
Poder de decisão de topo - a maioria das decisões tem impacto na segurança
A segurança é usualmente um custo ou uma necessidade
A agilidade dos processos e a disponibilidade da informação não são facilmente compatibilizadas com uma boa segurança
© Pedro Tavares Silva SITIC2 de Novembro de 2006
12
Administração
Recomendações:Recomendações:
Mostrar as principais alternativas presentes e as suas implicações
Facultar a informação necessária para suportar a tomada de decisões informadas
© Pedro Tavares Silva SITIC2 de Novembro de 2006
13
UtilizadoresGrupo heterogéneo - disparidade no
conhecimento/comportamentoPodem ser o elo fraco, ou um catalisador
que fortalece a cadeiaAlguns problemas para a segurança:
Desleixo e facilitismoCuriosidade mal direccionada (hacking
passivo)Visão romântica do hacker (script-
kiddies)
© Pedro Tavares Silva SITIC2 de Novembro de 2006
14
Utilizadores
Recomendações:Recomendações:PragmatismoSensibilizaçãoKISS: Keep It Short and Simple
© Pedro Tavares Silva SITIC2 de Novembro de 2006
15
Técnicos da Organização de TIC Frequentemente conhecem bem os sistemas mas
mal as especificidades da segurança Implementam e massificam todas as decisões
tomadas aos diversos níveis sobre os Sistemas de Informação
A sua postura reflecte-se directamente na segurança dos sistemas
A visão “99% dos problemas de um sistema encontram-se entre o teclado e a cadeira” ignora os aspectos humanos e comportamentais de quem realiza os processos de negócio com recurso às ferramentas tecnológicas
© Pedro Tavares Silva SITIC2 de Novembro de 2006
16
Técnicos da Organização de TIC
Recomendações:Recomendações: Combater no terreno a escalada de privilégios Segregar funções e configurar sistemas de modo a gerar
um rasto de auditoria Estabelecer políticas, normas e procedimentos de
operação segura Promover acções de formação sobre os aspectos
técnicos da segurança O governo da Organização deve evitar que decisões
importantes sobre a segurança dos Sistemas de Informação fiquem nas mãos dos técnicos
Formar e sensibilizar os “patos”
© Pedro Tavares Silva SITIC2 de Novembro de 2006
17
Clientes Grupo heterogéneo Comunicação é formal e baseada em canais e
processos O capital de confiança que a Empresa detém junto
do cliente é volátil e pode desaparecer num instante
À semelhança dos utilizadores, os clientes contornarão a segurança em prol da comodidade, se lhes for dada oportunidade para tal
A Empresa pode impor-lhes regras na utilização dos seus produtos e serviços, que devem ser justificáveis e difíceis de contornar
© Pedro Tavares Silva SITIC2 de Novembro de 2006
18
Parceiros Participam de diversas formas nos processos de
negócio Podem assumir uma parte dos processos da
organização Podem assumir uma parte, ou mesmo a totalidade, dos
processos de segurança da Empresa A segurança pode constituir um pré-requisito para a
parceria (ex.: certificação ISO/IEC 20.000)
Recomendações:Recomendações: Devem ser avaliados também pela sua postura de
segurança (políticas, capacidade de recuperação, etc.) Auditar os níveis de segurança contratualizados (SLA)
Obrigado
© Pedro Tavares Silva SITIC2 de Novembro de 2006
20
Referências
ISBN: 972-8426-66-6 A publicar em 2007