Seguran - PowerPoint PPT Presentation

About This Presentation
Title:

Seguran

Description:

Seguran a da Informa o na Empresa TECC - Economia de TI UFCG / CCT / DSC J. Ant o B. Moura antao_at_dsc.ufcg.edu.br Seguran a da informa o (Passado) Seguran a ... – PowerPoint PPT presentation

Number of Views:76
Avg rating:3.0/5.0
Slides: 21
Provided by: OtavioSan
Category:

less

Transcript and Presenter's Notes

Title: Seguran


1
Segurança da Informação na Empresa
  • TECC - Economia de TI
  • UFCG / CCT / DSC
  • J. Antão B. Moura
  • antao_at_dsc.ufcg.edu.br

2
Segurança da informação (Passado)
  • Exemplos de informações corporativas sensíveis
    (ativos importantes).
  • Segurança facilitada pela internação, mas
  • Desvia foco do negócio
  • Múltiplas interfaces
  • Investimentos grandes (, RH, t)

3
Segurança no Presente / Futuro
  • Recursos de TI na Web, incluindo (quantidade
    crescente de) ativos importantes (VPN)
  • Baixo custo
  • Usuário com foco no negócio
  • Única I/F (browser)
  • Menor investimento
  • Mas, maior complexidade e qualidade sofrível de
    S.O. (ex MS-IIS) e aplicações
  • Fontes de vulnerabilidade

4
Para que o barato não saia caro...
  • Algumas aplicações Web são rápidas para
    desenvolver e exigem pequeno investimento para
    aumentar ganhos intangíveis
  • Melhoram moral e colaboração de pessoas, equipes
  • Simplificam acesso à informação e outros ativos
  • Reduzem tempo para o mercado
  • Investimentos em segurança normalmente sobem após
    incidentes graves (IDC)
  • Vantagem de enxergar segurança como parte do
    negócio a ser tratada em qualquer projeto de TI
  • 60 a 100 vezes mais barato do que consertar
    (_at_stake)

5
O caminho das pedras prejuízos, riscos,
prioridades e controles
  • Política (identifica informação sensível e
    porque)
  • - O quê e quanto?
  • Quais os ativos de informação (multimídia)?
  • Qual o valor para a empresa (dimensão dos
    possíveis prejuízos)
  • Desconsiderar ativos de baixo valor (prioridades)
  • Escopo
  • Toda a empresa, departamentos, interfaces
    externas (TI, Web, fone, fax, computação móvel,
    assessoria de imprensa, ...)
  • Análise de risco
  • Risco (probabilidade) de perder ativos de alto
    valor
  • Gerência (para minimização) do risco
  • Uso de tecnologia, pessoal, procedimentos,
    dispositivos, seguro, ...
  • Medidas e controles
  • Maneiras escolhidas (a partir de lista padrão)
    para a gerência do risco
  • Estudo de adequação
  • Justificativa para cada medida e controle adotado
    ou descartado (da lista)

6
Perguntas importantes
  • A segurança que temos hoje basta?
  • Que nível de segurança precisamos?
  • Quais os riscos que aceitamos?

7
O preço das pedras ...
  • Quanto podemos investir para o nível de segurança
    necessário?

8
O custo da segurança
  • Custos em termos de
  • Infraestrutura
  • Inconveniência
  • Resistência por
  • CIO
  • Usuários
  • Custo e riscos são crescentes...

9
Motivação
  • Redes (Internet, Web, VPN) são hoje,
    infra-estrutura computacional corporativa e
    suportam ativos importantes
  • Questão antes apenas técnica (CIO) passa a ser
    também, do negócio e financeira (C E/F/I O)
  • Relevância do ganho financeiro para a empresa
  • Planejamento estratégico para vantagem
    competitiva do negócio
  • Como segurança pode trazer vantagem competitiva?

10
Segurança na Visão do Negócio
  • Segurança pode ser promotora do negócio!
  • Vigilância sanitária em um restaurante descuidos
    (além de multas), podem levar à má reputação,
    perda de clientes e ao fechamento.
  • Falta de segurança com informação idem.

11
Segurança como parte do negócio
  • Segurança pode melhorar processos do negócio
  • VPN, por exemplo, troca acesso via linha dedicada
    por acesso remoto seguro, mais abrangente a todos
    os colaboradores e mais barato.
  • Redução de custos de infraestrutura física
    (escritório), eletricidade, ...
  • Autenticação e criptografia permitem atender
    clientes pessoalmente em servidores Web, ao
    invés de balcão, com mais facilidade e menor
    equipe (IR no Brasil)
  • Criação de novas oportunidades de negócio com
    e-business
  • Segurança como parte de todo projeto de TIC
  • Como gestão da qualidade
  • Exige educação, mudança cultural e motivação para
    excelência

12
Segurança na visão do ROI
  • ROI como suporte à tomada de decisão
  • Análises de pagamento (payback) e de risco, valor
    presente líquido, taxa de retorno interno
  • Usados para comparar projetos ou soluções (com
    investimentos correspondentes) diferentes para
    problemas da empresa
  • Aprovação se (taxa do) ROI ultrapassa certo valor
  • Inexistência de investimentos com ciranda
    financeira
  • Análise OK com parâmetros ou custos bem definidos
    (valores tangíveis)
  • Análise complicada com custos ou ganhos
    intangíveis
  • Maior satisfação de clientes

13
ROI de Segurança (ROSI)
  • ROI sendo usado para decisões sobre TI
  • a) 80 de CIOs em Pesquisa da InformationWeek
    (julho 2001)
  • b) Análise deve considerar elementos de custos
    como
  • Licenças de software, hardware
  • Honorários de consultores, salários de técnicos e
    gestão
  • Terceirização de hospedagem
  • c) Mas no caso de Segurança, como valorar
    prejuízos
  • Danos à reputação, reveses estratégicos, perda de
    informações
  • Captura de informações, perda de oportunidades de
    negócios
  • OBS Terceirização ajuda a clarear custos em b)
    empresa se ocupa em estimar c).

14
Uma Dica para ROSI
  • 1) Qual o nível de risco inaceitável?
  • PAS Prêmio Anual do Seguro para cobrir risco
  • PSS Preço da Solução de Segurança para risco
    aceitável

ROI PAS PSS
  • Maquiavel Análise de risco com desastre dos
    outros
  • Desgaste da marca (perda de reputação)
  • Perda de receita com paralisação da operação

15
Um modelo para custos
  1. Avaliação equipe (CISO, gerentes, auditores e
    apoio administrativo)
  2. Proteção - para HW, SW, atualizações (novos
    vírus, ...)
  3. Gestão Equipe técnica, especializada nos
    ativos/dispositivos de segurança (configuração,
    desenvolvimento de software, listas de controle
    de acesso, ...)
  4. Treinamento Toda a empresa e equipe de
    segurança em particular (atualização contínua)
  5. Monitoração Custos de pessoal para acompanhar
    sensores (24x7x365)
  6. Reação Equipe para atendimento de emergências e
    rastreamento

16
Diretrizes
  • Implantação de política de segurança completa
    envolve ativos, pessoal e treinamento
  • 1) requisitos de gestão e pessoal
  • Equipe própria X terceirização

Encargos, férias, licenças, escala de
treinamento ... Onde achar especialistas?
  • 2) custos de aquisição de soluções
  • Tratar com múltiplos fornecedores pode se tornar
    falha de segurança

17
Diretrizes
  • Insipiência da indústria pouca regulamentação e
    normas para referência e diretrizes
  • Norma NBR ISO/IEC 17799 Código de prática para a
    gestão da segurança da informação
  • Parte 1 Lista de coisas que devem ser feitas
    (Política)
  • Parte 2 Como construir (Processo) Sistemas de
    Gestão de Segurança
  • Busque soluções alinhadas com a norma
    (certificação)

18
De volta ao futuro...
  • 1882 investimento em sprinklers era duvidoso
  • Março 1882, George Parmalee ateou fogo em fábrica
    de fiação de algodão em Bolton, Inglaterra
  • Em 90 seg, fogo e fumaça tomaram toda a fábrica
  • Depois de 120 seg, 32 sprinklers automáticos
    extinguiram o incêndio
  • Argumento de vendas para patente do irmão
    Henry
  • Venderam porém, poucas unidades
  • ...não conseguiam contratar....a não ser que
    assegurassem um retorno razoável pelo
    investimento
  • Sir John Wormald (testemunha ocular)

19
Evolução em ROSI e Tecnologias de Segurança
  • De volta ao futuro...
  • Seguro com desconto para fábricas com sprinklers
  • Descontos maiores para sprinklers com melhor
    tecnologia
  • Seguros mais caros para as fábricas sem
    sprinklers

Fábricas com sprinklers não perdiam tempo
prevenindo ou cuidando de incêndios,
concentravam-se nos negócios!
  • Avanços pela Indústria de Seguros e pelo Lucro
  • Com todas as outras variáveis ou fatores iguais,
    empresas com informação (rede) segura terão
    menores prêmios de seguro (diferencial
    competitivo), menores custos e maiores margens de
    lucro!

20
O pulo do gato
  • Como nossa empresa poderá usar Segurança para
  • Vantagem competitiva
  • Melhores margens
Write a Comment
User Comments (0)
About PowerShow.com