princípios de segurança empresarial e actores envolvidos pedro tavares silva

Princípios de Segurança Empresarial e Actores Envolvidos

Pedro Tavares Silva

SEGURANÇASEGURANÇA

RiscoRisco

AmeaçasAmeaças

BensBens

ImpactoImpacto

EstratégiaEstratégia

ControloControloArquitecturaArquitectura

Segurança Segurança da da

InformaçãoInformação

Segurança Segurança FísicaFísica

Segurança Segurança do Pessoaldo Pessoal

Segurança Segurança LógicaLógica

ConformidadeConformidade

TestesTestes

AuditoriasAuditorias

Recuperação Recuperação de Desastrede Desastre

Continuidade Continuidade do Negóciodo Negócio

AtaquesAtaquesProjectoProjecto

ProgramaPrograma

PrevençãoPrevenção

ProtecçãoProtecção

PlanoPlano

RTORTORPORPO

ResponsabilidadesResponsabilidadesOrganizaçãoOrganização

RiscoRisco

RiscoRisco

Segregação Segregação de Funçõesde Funções

Normas e Normas e LegislaçãoLegislação

PolíticaPolítica

ProcedimentosProcedimentos

OrçamentoOrçamento

MétricasMétricas

RetornoRetornoCustoCusto

© Pedro Tavares Silva SITIC2 de Novembro de 2006

3

Princípios da Segurança Empresarial

Objectivo da segurança

Condicionantes

PrincípiosPrincípios

Intervenientes


4

Relação custo/benefício

Relação favorável entre os gastos associados à implementação de medidas de segurança e o retorno em matéria de prevenção e protecção


5

Concentração

Concentração dos bens a proteger em função da sua sensibilidade

Reduz duplicação de meios para protecção de activos com requisitos de protecção idênticos

Maior eficiência


6

Protecção em Profundidade

AKA protecção em anéis concêntricos Bens/medidas de protecção dispostos de forma

concêntrica, com os bens mais sensíveis no centro

Disposição física ou lógica Barreiras sucessivas e progressivas, à medida

que o grau de sensibilidade da informação aumenta.

As medidas de protecção tornam-se cumulativas Maior eficácia


7

Consistência

Medidas de protecção equivalentes para bens com requisitos de protecção equivalentes

Protecção homogénea

Nível de protecção idêntico, independentemente da sua natureza (acesso físico/lógico)

Nível de protecção idêntico independentemente do grau de utilização do acesso


8

Redundância

Mais de uma forma de protecção para o mesmo fim

A protecção de um bem não deve ficar comprometida pela falha de um único controlo

Exemplos: clusters, porteiro e porta com chave


9

Princípios da Segurança Empresarial

Objectivo da segurança

Condicionantes

Princípios

IntervenientesIntervenientes


10

Administração

A sua principal motivação é a satisfação dos accionistas e, como tal, dos clientes

Estabelece a cultura, ditando o comportamento, mais ou menos seguro, dos utilizadores

Responsáveis pelos bens (incluindo a informação) e pelo governo da Organização – tem necessidade de demonstrar “due diligence”


11

Administração (continuação)

Poder de decisão de topo - a maioria das decisões tem impacto na segurança

A segurança é usualmente um custo ou uma necessidade

A agilidade dos processos e a disponibilidade da informação não são facilmente compatibilizadas com uma boa segurança


12

Administração

Recomendações:Recomendações:

Mostrar as principais alternativas presentes e as suas implicações

Facultar a informação necessária para suportar a tomada de decisões informadas


13

UtilizadoresGrupo heterogéneo - disparidade no

conhecimento/comportamentoPodem ser o elo fraco, ou um catalisador

que fortalece a cadeiaAlguns problemas para a segurança:

Desleixo e facilitismoCuriosidade mal direccionada (hacking

passivo)Visão romântica do hacker (script-

kiddies)


14

Utilizadores

Recomendações:Recomendações:PragmatismoSensibilizaçãoKISS: Keep It Short and Simple


15

Técnicos da Organização de TIC Frequentemente conhecem bem os sistemas mas

mal as especificidades da segurança Implementam e massificam todas as decisões

tomadas aos diversos níveis sobre os Sistemas de Informação

A sua postura reflecte-se directamente na segurança dos sistemas

A visão “99% dos problemas de um sistema encontram-se entre o teclado e a cadeira” ignora os aspectos humanos e comportamentais de quem realiza os processos de negócio com recurso às ferramentas tecnológicas


16

Técnicos da Organização de TIC

Recomendações:Recomendações: Combater no terreno a escalada de privilégios Segregar funções e configurar sistemas de modo a gerar

um rasto de auditoria Estabelecer políticas, normas e procedimentos de

operação segura Promover acções de formação sobre os aspectos

técnicos da segurança O governo da Organização deve evitar que decisões

importantes sobre a segurança dos Sistemas de Informação fiquem nas mãos dos técnicos

Formar e sensibilizar os “patos”


17

Clientes Grupo heterogéneo Comunicação é formal e baseada em canais e

processos O capital de confiança que a Empresa detém junto

do cliente é volátil e pode desaparecer num instante

À semelhança dos utilizadores, os clientes contornarão a segurança em prol da comodidade, se lhes for dada oportunidade para tal

A Empresa pode impor-lhes regras na utilização dos seus produtos e serviços, que devem ser justificáveis e difíceis de contornar


18

Parceiros Participam de diversas formas nos processos de

negócio Podem assumir uma parte dos processos da

organização Podem assumir uma parte, ou mesmo a totalidade, dos

processos de segurança da Empresa A segurança pode constituir um pré-requisito para a

parceria (ex.: certificação ISO/IEC 20.000)

Recomendações:Recomendações: Devem ser avaliados também pela sua postura de

segurança (políticas, capacidade de recuperação, etc.) Auditar os níveis de segurança contratualizados (SLA)

Obrigado

[email protected]


20

Referências

ISBN: 972-8426-66-6 A publicar em 2007

princípios de segurança empresarial e actores envolvidos pedro tavares silva

Documents