Subir Archivo

solucoes de seguranca ibm

prev
next
out of 9
Download Solucoes de Seguranca IBM

Upload: ricardo

Post on 24-Feb-2018

219 views

Category:

Documents


0 download

Report

TRANSCRIPT

  • 7/25/2019 Solucoes de Seguranca IBM

    1/9

    Solues deSegurana IBM

  • 7/25/2019 Solucoes de Seguranca IBM

    2/9

    As organizaes frequentemente adotam uma abordagem orientada tecnologia para a segurana. Porm, protegers a tecnologia no oferece proteo para os processos e os ativos de negcio em relao aos riscos do negcio.

    Frequentemente, as organizaes assumem uma abordagem de baixo para cima para a segurana, uma vez que osfornecedores de solues para segurana frequentemente promovem essa abordagem a seus clientes. Para aproximar

    lacunas de segurana identificadas, as organizaes aumentam e reforam suas defesas incluindo investimentos emsua segurana existente. Essa metodologia centrada na tecnologia frequentemente cria uma infraestrutura desegurana excessivamente complexa e deslocada. Torna-se difcil gerenciar e voltar a ateno para lacunas devulnerabilidade no observadas sem necessidade de escalonar os custos de TI, bem como, eventualmente, estimularineficincias operacionais desnecessrias que inibem o crescimento do negcio, em vez de aument-lo.

    O gerenciamento dos riscos de negcio exige uma abordagem holstica que considera as metas de negcios deacordo com os requisitos e restries tcnicas para a segurana. Em vez de tentar a proteo contra cada ameaaconcebvel, as organizaes devem entender e priorizar as atividades de gerenciamento do risco de segurana maissensatas para sua organizao. Ao entender o nvel de tolerncia de risco em uma organizao, a equipe de TI podefocar mais facilmente a reduo dos riscos que a organizao no pode permitir-se negligenciar. Enfatizarexcessivamente determinados riscos pode levar perda de recursos e de esforos, ao passo que subestimar outrosriscos pode ter consequncias desastrosas.

    As organizaes podem considerar difcil alcanar uma estratgia e uma abordagem de segurana de ponta a pontaque apie as metas de negcio, tais como orientao inovao e reduo dos custos organizacionais, bem comorequisitos operacionais que direcionem medidas de conformidade e protejam contra ameaas internas e externas.

    A segurana no deve ser tratada de forma isolada das outras atividades de negcio dentro da organizao. Pelocontrrio, ela deve ser encarada a partir da perspectiva de negcio observando a segurana como um meio paraproteger e aprimorar os processos de negcio. Isso envolve um nvel de planejamento e avaliao para identificar riscosem todas as principais reas de negcio, inclusive pessoas, processos, dados e tecnologia, na continuidade total donegcio por completo.

    Por isso, a IBM criou um sistema abrangente de segurana em TI, mostrado na Figura 1, que pode ajudar a garantirque cada domnio de TI necessrio seja adequadamente direcionado, usando-se uma abordagem holstica para asegurana orientada ao negcio.

    IBM Security Framework

    CONTROLE DE SEGURANA, GERENCIAMENTODE RISCO E CONFORMIDADE

    PESSOAS E IDENTIDADE

    DADOS E INFORMAO

    APLICATIVO E PROCESSO

    REDE, SERVIDOR E END POINT

    INFRAESTRUTURA FSICA

    Poltica comum, tratamento e relato de evento

    ServiosProfissionais

    Serviosgerenciados

    Hardwaree Software

    Figura 1 - O IBM Security Framework

    Security Framework

  • 7/25/2019 Solucoes de Seguranca IBM

    3/9

    Pessoas e identidadeEste domnio cobre aspectos sobre como garantirque as pessoas certas tenham acesso aos ativoscertos no momento certo.

    Dados e informaoEste domnio cobre aspectos sobre como

    proteger na organizao os dados crticos emtrnsito ou armazenados.

    Aplicativo e processoEste domnio cobre aspectos sobre como garantira segurana de servios de negcio e aplicativos.

    Rede, servidor e end pointEste domnio cobre aspectos sobre como estar frente de ameaas emergentes em relao aoscomponentes do sistema de TI.

    Infraestrutura fsicaEste domnio cobre aspectos sobre comomelhorar a capacidade de controles digitais paraassegurar eventos sobre pessoas ou ativos em seu espao fsico.

    Controle de Segurana,Gerenciamento de Risco

    e ConformidadeCada organizao deve definir e comunicar os princpios e polticas queorientam a estratgia de negcio e a sua operao. Ademais, cadaorganizao deve avaliar seus riscos operacionais e de negcio, bemcomo desenvolver um plano de segurana empresarial para servir comobenchmark para a execuo e validao das atividades degerenciamento de segurana que so adequadas para sua organizao.

    Estes princpios e polticas, o plano de segurana empresarial e osprocessos que envolvem a melhoria da qualidade representam o modelode Controle de Segurana, Gerenciamento de Risco e Conformidade daempresa. De modo especfico, os requisitos e critrios de conformidade

    para os domnios de segurana restantes so:

    Secu

    rityFrame

    work

  • 7/25/2019 Solucoes de Seguranca IBM

    4/9

    IBM Security Framework

    Pessoas e IdentidadeAs organizaes devem proteger seus bens e servios que atendem o negcio e que apiam a suaoperao. Um aspecto de proteo fornecido pelo controle de acesso. A capacidade de fornecerservios eficazes de controle de acesso est baseada na capacidade de gerenciar Pessoas e Identidade,conforme definido pelo modelo de Controle de Segurana, Gerenciamento de Risco e Conformidade daempresa.

    O Controle de Segurana, Risco e Conformidade fornece uma orientao sobre como as identidades sogerenciadas e como o controle de acesso deve ser realizado. As organizaes registram as pessoas e asmapeiam em identidades. As relaes entre pessoas e a organizao esto expressas em termos de papel,direitos, polticas de negcio e regras. A capacidade de registrar pessoas e descrever as respectivasrelaes com a empresa um fator que possibilita a segurana-chave para os domnios de seguranaremanescentes: Dados e Informao, Aplicativos e Processo, Rede, Servidor e Endpoint (infraestrutura deTI), bem como Infraestrutura Fsica.

    De modo operacional, s pessoas desempenhando funes autorizadas em uma organizao ou comoparte de uma relao estendida concedido o acesso infraestrutura, dados, informao e servios. Aomesmo tempo, s pessoas atuando em papis no autorizados negado o acesso a estes itens.

    Em um sistema de identidade, as pessoas podem receber uma credencial, que pode assumir diversasformas, inclusive um carto de identificao fsica, um token lgico ou um identificador do usurio. Aconfiana ou fora da credencial um aspecto importante da poltica de negcio ou gerenciamento dorisco. extremamente importante a capacidade de gerenciar efetivamente o ciclo de vida da identidade, ouseja, a criao, excluso e alteraes de papel para populaes dinmicas da fora de trabalho, cliente oucomunidades de usurios. O ciclo de vida de identidades e credenciais, pode ser influenciado por ciclos denegcio, ciclos empregatcios, relaes com o cliente, contratos, eventos de calendrio ou de negcio,entre outros.

    Os sistemas de identidade devem ser integrados a conjuntos adequados de controles de acesso. Ossistemas de identidade so necessrios para gerenciar os papis, direitos e privilgios dos usurios emtoda a infraestrutura de TI que pode conter mltiplas arquiteturas de tecnologia, ou sero exigidos mltiplossistemas de identidade e controle de acesso para garantir que os usurios tenham acesso aos bens eservios corretos.

    A Figura 2 mostra um resumo e alguns aspectos adicionais que devem ser direcionados dentro do domniode Pessoas e Identidade.

    Problemas

    Entendimento de lacuna de risco de identidade Custo da administrao de usurios e identidades internas Atividade no monitorada de usurio privilegiado IDs inativas ou compartilhadas sendo usadas inadequadamente para recursos de acesso. Falha em auditoria

    Valores

    Reduz o custo, aumenta a eficincia e permite a capacidade de auditoria do fluxo de gerenciamento da entrada, uso e sada deusurios da organizao

    Diminui o risco de fraude interna, vazamento de dados e interrupo operacional Apia a globalizao das operaes Permite mudar das vendas fsicas tradicionais para a entrega de servios on-line aos clientes e parceiros em todo o globo Melhora a experincia de usurios finais com aplicativos de negcio baseados em internet por meio da permisso das referidas

    atividades, tais como single sign-on

    GerenciarIdentidadese Acesso

    Como meu negciopode se beneficiar do

    gerenciamento daidentidade digital?

    Figura 2 Domnio de Pessoas e Identidade

  • 7/25/2019 Solucoes de Seguranca IBM

    5/9

    Dados e InformaoAs organizaes devem proteger os dados brutos e a informao contextualizada que esto em sua

    dimenso de controle. O Controle de Segurana, Risco e Conformidade fornece orientao sobre o

    valor dos dados e da informao, bem como gerencia seus riscos.

    Um plano eficaz para a proteo de dados e informao inclui a manuteno de um catlogo ou

    inventrio desses bens, em conjunto com seus atributos, polticas, mecanismos e servios de

    aplicao que governam o acesso, a transformao, o movimento e a disposio dos dados einformao.

    Este plano de proteo de dados e informao pode ser aplicado aos processos de negcio,

    transaes de negcio ou processos de apoio infraestrutura e ao negcio. A proteo de dados e

    informao cobre um ciclo de vida completo, da criao destruio e em relao a vrios estadose localizaes, bem como quando so armazenados ou transportados fsica ou eletronicamente.

    O termo dados pode ser aplicado a uma grande variedade de bens codificados eletronicamente.

    Isso inclui o software e firmware, os quais devem ser protegidos contra riscos tcnicos (para

    garantir que um cdigo malicioso no seja introduzido) e riscos de negcio (para garantir que ostermos de licena no sejam violados).

    A proteo de dados e informao interdependente com a definio e operao de todos os

    demais domnios de segurana operacional. A medio e o relatrio sobre a conformidade da

    organizao em relao proteo de dados e informao uma mtrica tangvel da efetividade doplano de segurana da empresa. Um relatrio de conformidade de dados e informao reflete a

    fora ou fragilidade dos controles, servios e mecanismos, em todos os domnios.

    A Figura 3 mostra um resumo e alguns aspectos adicionais, que podem ser direcionados dentro dodomnio de Dados e Informao.

    Problemas Dados armazenados em mdia removvel que podem ser perdidos/roubados Dados armazenados no clear so facilmente acessveis Polticas inconsistentes de dados Dados no estruturados Exposio legal, regulamentria e tica para a organizao Custos de violaes de dados, notificao, valor de marca Falha na auditoria

    Valores

    Reduz o custo, aumenta a capacidade de cumprir as obrigaes de auditoria e conformidade Fornece uma forma eficaz de custo para cumprir as exigncias legais de descoberta, posse e reteno Garante que os dados esto disponveis para as pessoas certas, no momento certo Garante que os dados no so deliberados ou inadvertidamente acessados, vazados ou danificados Diminui o nmero e a complexidade dos controles integrados dentro da empresa

    Proteger Dadose Informao

    Como posso reduzir ocusto e o transtorno

    associado com orastreamento e o controle

    sobre quem acessouquais dados e quando?Como eu asseguro que

    meus dados estodisponveis?

    Figura 3 Domnio de Dados e Informao

  • 7/25/2019 Solucoes de Seguranca IBM

    6/9

    IBM Security Framework

    Aplicativo e ProcessoAs organizaes devem proteger, de modo proativo, seus aplicativos crticos de negcio contra

    ameaas internas e externas, durante todo o ciclo de vida, do desenho implementao e

    produo. O controle durante todo o ciclo de vida do aplicativo implica em controle e conformidade

    eficazes nos domnios de segurana restantes.

    Por exemplo, se um aplicativo focado internamente, tal como um sistema de gerenciamento de

    relaes com o cliente (CRM) entregue por meio de uma arquitetura orientada ao servio (SOA) ouaplicativo de parmetro externo, tais como um novo portal do cliente, as polticas e processos de

    segurana claramente definidos so crticos para garantir que o aplicativo est capacitando onegcio, em vez de introduzir um risco adicional.

    O Gerenciamento de Servio para todo o negcio e processos de suporte do negcio, inclusive

    Gerenciamento de Servio para processos dentro do domnio de segurana, uma parte crtica paraassegurar que o negcio est operando dentro de um gerenciamento de risco adequado e em

    conformidade com as diretrizes.

    O Gerenciamento de Servio de Segurana tipicamente incluiria uma combinao de capacidades,

    tais como autenticao centralizada, gerenciamento de poltica de auditoria e acesso, bem comobusca de vulnerabilidade do aplicativo Web e preveno de invaso.

    A Figura 4 mostra um resumo e aspectos adicionais que podem ser direcionados dentro do domnio

    de Aplicativo e Processo.

    Problemas

    Os aplicativos Web so o alvo n um dos hackers que buscam explorar vulnerabilidades Os aplicativos so implantados com vulnerabilidades Configuraes de baixa segurana expem os clientes perda no negcio Os requisitos regulatrios de PCI exigem a segurana do aplicativo 80% dos custos de desenvolvimento so gastos na identificao e correo de defeitos Dados reais e/ou privados expostos a qualquer pessoa com acesso ao desenvolvimento e ambientes de teste, inclusive contratados e

    terceirizados

    Valores

    Reduz o risco de interrupo, desfigurao ou roubo de dados associados com aplicativos Web Assessora e monitora conformidade da poltica de segurana em toda a empresa Melhora a conformidade com as normas do setor e exigncias regulatrias (por exemplo, PCI, GLBA, HIPAA, FISMA, entre outros) Melhora a capacidade de integrar aplicativos crticos do negcio Teste e controle automatizados durante todo o ciclo de vida do desenvolvimento, reduzindo os custos de segurana em longo prazo.

    ProtegerAplicativos Web

    Como meu negcio

    pode beneficiar-se dogerenciamento desegurana deaplicativos?

    Figura 4 Domnio de Aplicativo e Processo

  • 7/25/2019 Solucoes de Seguranca IBM

    7/9

    Rede, Servidores e EndpointAs organizaes devem monitorar prioritria e proativamente a operao do negcio e a

    infraestrutura de TI quanto a ameaas e vulnerabilidades, para evitar ou reduzir quaisquer

    violaes.

    O Controle de Segurana, Risco e Conformidade pode fornecer orientao sobre implicaes de

    negcio dos riscos baseados em tecnologia. Na prtica, a definio, implantao e

    gerenciamento de ameaas baseadas em tecnologia, bem como os aspectos tcnicos daresposta ao incidente, podem ser delegados equipe e gerenciamento operacional, ou

    terceirizado a um provedor de servio.

    O monitoramento de segurana e o gerenciamento da rede, do servidor e desktops da

    organizao, so crticos para estar frente de ameaas emergentes que podem afetar

    adversamente os componentes do sistema, bem como as pessoas e os processos de negcio

    que eles suportam. A necessidade de identificar e proteger a infraestrutura contra as ameaasemergentes aumentou dramaticamente com a elevao nas infiltraes organizadas de rede e

    financeiramente motivadas. Embora nenhuma tecnologia seja perfeita, o foco e a intensidade da

    segurana, monitoramento e gerenciamento podem ser afetados pelo tipo de rede, servidor e

    desktops implantados na infraestrutura de TI e como esses componentes so construdos,

    integrados, testados e mantidos.

    As empresas incentivam a tecnologia de virtualizao para apoiar suas metas de entrega de

    servios em menos tempo e com maior agilidade. Por meio da construo de uma estrutura de

    controles de segurana dentro de seu ambiente, as organizaes podem alcanar as metas de

    virtualizao tais como uso aperfeioado do recurso fsico, eficincia aprimorada do hardware e

    reduo dos custos de energia enquanto se ganha tranquilidade ao saber que os sistemasvirtuais esto seguros com o mesmo rigor que os sistemas fsicos.

    A Figura 5 mostra um resumo, bem como aspectos adicionais que podem ser direcionados dentro

    do domnio de Rede, Servidor e Endpoint.

    Gerenciara Segurana

    da InfraestruturaComo meu negcio se

    beneficia da proteo desegurana da

    infraestrutura?

    Problemas Comercializao em massa e automatizao de ameaas Ataques parasticos, clandestinos e mais prejudiciais Baixo entendimento dos riscos em novas tecnologias e aplicativos, inclusive virtualizao e cloud Baixos controles de aplicativos Falta de habilidade para monitorar e gerenciar entradas de segurana Custo composto de gerenciamento de um crescente banco de dados de tecnologias de segurana Violaes no detectadas devido ao uso imprprio do privilgio de acesso e tempo ocioso proveniente de incidentes Inabilidade de estabelecer evidncia forense ou de demonstrar conformidade

    Valores

    Reduz o custo da gerenciamento de operaes de segurana em andamento Melhora a disponibilidade operacional e assegura o desempenho contra SLA, apoiada pelo nico SLA garantido do setor para

    servios de proteo gerenciados. Aumenta a produtividade por meio da reduo do risco por infestao de vrus, worm e cdigo malicioso. Diminui o volume de entrada de spam

    Mudana rpida de violaes especficas para a resoluo rpida de local Pronta apresentao de status em relao s principais regulamentaes

    Figura 5 Domnio de Rede, Servidor e Desktop

  • 7/25/2019 Solucoes de Seguranca IBM

    8/9

    IBM Security Framework

    Infraestrutura FsicaPara uma organizao implementar efetivamente um plano de segurana empresarial, o negcio e

    os riscos tcnicos que esto associados com a infraestrutura fsica devem ser compreendidos e

    direcionados. O Controle de Segurana, Risco e Conformidade fornece orientao sobre os tiposde risco e tipos de planos e respostas para a segurana fsica. Proteger a infraestrutura da

    organizao pode significar tomar precaues contra uma falha ou perda da infraestrutura fsica

    que poderia impactar a continuidade do negcio.

    Proteger uma infraestrutura da organizao pode envolver a proteo contra ameaas e

    vulnerabilidades indiretas, tais como o impacto da perda de servios pblicos, uma violao no

    controle de acesso fsico ou a perda de ativos fsicos crticos. A segurana fsica efetiva exige um

    sistema de gerenciamento centralizado que permite a correlao de entradas a partir de diversas

    fontes, inclusive, propriedade, funcionrios, clientes, pblico em geral e clima local e regional.

    Por exemplo, assegurar o permetro do data center com cmeras e dispositivos de monitoramento

    centralizado essencial para garantir o acesso gerenciado para os bens de TI da organizao.

    Portanto, as organizaes preocupadas com roubo ou fraude, tais como bancos, lojas varejistas

    ou rgos pblicos devem definir e implementar uma estratgia de vigilncia integrada dasegurana fsica que inclui o monitoramento e o controle analtico e centralizado. Essa abordagem

    permite s organizaes extrair dados inteligentes de mltiplas fontes e responder a ameaas

    mais rapidamente que os ambientes manualmente monitorados, resultando na reduo de custo e

    risco de perda.

    A Figura 6 mostra um resumo e aspectos adicionais que podem ser direcionados dentro do

    domnio de Infraestrutura fsica.

    Problemas

    Falha ou perda de infraestrutura fsica que poderia impactar a continuidade do negcio. Ameaas e vulnerabilidades indiretas, tais como o impacto da perda de um servio pblico, uma violao no controle de acesso

    fsico ou perda de bens fsicos crticos.

    Exposies provenientes de fontes diversas, inclusive: propriedade, funcionrios, clientes, pblico em geral, clima local ouregional, entre outros.

    Valores

    Reduzir o risco de interrupo ou roubo de dados associados falha ou perda de bens fsicos crticos. Estratgia integrada de vigilncia da segurana fsica que permite extrair dados inteligentes de mltiplas fontes, responder a

    ameaas mais rapidamente que em ambientes manualmente monitorados e reduo de custo e risco de perda.

    Segurana fsica

    Como meu negcio sebeneficia da proteo de

    segurana dainfraestrutura fsica?

    Figura 6 Domnio de Infraestrutura Fsica

  • 7/25/2019 Solucoes de Seguranca IBM

    9/9


Solucoes (1)

Solucoes digitais para imobiliarias

Demandas Solucoes

Proposta next-solucoes

Gama - Módulo solucoes

Manual solucoes-redes-tanenbaum

Problemas Solucoes Bijuterias

Manual solucoes redes_tanenbaum

Solucoes trimble farm_works_agrogeosul

H Solucoes

solucoes Manual - GDA 11

Solucoes Fiscais

Solucoes Elon

I9 solucoes

Termodinamica das solucoes

Misturas solucoes vc

Lasmi solucoes e_servicos

99 solucoes inovadoras

Manual Solucoes Redes Tanenbaum

Eletrodinamica SOLUCOES

WEG Solucoes Em Seguranca 50029132 Catalogo Portugues Br

Aprender Portugues3 Solucoes

3ano Fp Portugues Solucoes

Reacoes Em Solucoes Aquosas e Estequiometria de Solucoes

Solucoes e Solubilidade

Overview solucoes

Solucoes Barracuda Networks

[ Seguranca ] Seguranca da Informacao

Solucoes e Servicos Clavis Seguranca Da Informacao

Purus Solucoes Ambientais 2015

Solucoes site blindado

Solucoes Elon IMPA

Estudo Das Solucoes

Revista Solucoes 6

3196659 quimica-solucoes