A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Security Policy: Truth vs. Myth

PublicouPietra Borba Alterado mais de 9 anos atrás

Apresentações semelhantes

Apresentação em tema: "Security Policy: Truth vs. Myth"— Transcrição da apresentação:

1 Security Policy: Truth vs. Myth
Política de Segurança: verdade ou mito? Roberto de Carvalho Emiliano Kargieman

2 Agenda O mito da Política da segurança da Informação
Repensando a Segurança Players e papéis O processo da Segurança e o papel da política Infraestrutura de Segurança Perguntas e Respostas

3 Introdução: O mito da Política de Segurança

4 Um mantra para exorcizar os males
Política de Segurança Todo mundo está falando Não existe uma definição aceita Todo mundo está querendo uma Isso é apenas uma onda?

5 Problemas das Políticas
Muito focada no high-level Sem manutenção Ou gerenciada Sem execução Ou controle Ou testada Separada da realidade

6 Repensando a Segurança

7 Onde nos perdemos Dia-a-dia operacional
Repensando a Segurança Dia-a-dia operacional Usuários, plataformas, SOs, aplicações, redes A busca por uma solução mágica Na estratégia bottom-up ou top-down Definição de orçamento A briga da segurança vs. flexibilidade

8 Um pequeno lembrete Não existe Segurança real.
Repensando a Segurança Não existe Segurança real. Segurança é apenas a percepção do risco Administrar a Segurança é administrar o risco. Para aumentar a Segurança, riscos precisam ser: Modelados Quantificados Minimizados ao longo do tempo Trata-se de um processo contínuo!

9 Pessoas, processos, dados e informação
Repensando a Segurança Informação é volátil, difícil para definí-la ou conte-la. Processos podem ser modelados, mediados e auditados O valor da informacao esta intimamente relacionada com a velocidade dela dentro da organizacao. O fluxo da informacao esta se tornando cada vez mais complexo devido a sofisticacao dos processos, relacionamentos e interacoes entre funcionarios, distribuidores, fornecedores e clientes. A cadeia de informacao torna-se mais longa. Em contrapartida, tem-se a necessidade por informaçao atualizada e descentralizada envolvendo um abrangente processo de coleta, validacao, transformacao,movimentacao e distribuicao dos dados para as pessoas certas. Como a maioria dos ambientes corporativos de tecnologia se caracterizam pela heterogeneidade esse processo não é trivial. Por outro lado, existem tres tipos principais de dados Dados estruturados (bancos de dados relacionais), semi-estruturados (XML) e sem estrutura alguma (videos, documentos, imagens). Gosto de chamar essas interelaçoes entre pessoas, processos, dados e informacao de abstracoes. Por isso, torna-se fundamental descer o nivel (no bom sentido) de uma politica de segurança para chegar ao detalhe das abstracoes e implementa-la com granularidade.

10 Modelando o fluxo da informação
Repensando a Segurança Modelar o fluxo da informação em uma organização, onde players comunicam, processam e armazenam informação. Identificar os processos, fontes de dados e recursos críticos para o funcionamento da organização

11 Pontos de entrada Modelando o Risco
Cada interação possui o seu próprio risco.

12 A equação do risco Modelando o Risco
= = Ameaças x Vulnerabilidades x Impacto Contra medidas Perfil do attacker, Recursos disponíveis Falhas do software, Políticas superficiais, Protocolos, Etc. Prejuízos calculados Práticas e tecnologias

13 Ameaça Modelando o Risco Quantificada pelo perfil do atacante, conhecimento, recursos financeiros e humanos, interesses, etc: Amador Hacker Grupo de Hackers Funcionário instatisfeito Concorrentes Crime organizado Agencia de Inteligencia Organizações terrroristas

14 Vulnerabilidades Falhas de Design Sistemas críticos de informação
Modelando o Risco Falhas de Design Sistemas críticos de informação Redes Arquitetura de Segurança Falhas de Implementação Vulnerabilidades de sistemas operacionais Vulnerabilidades de aplicações Vulnerabilidades de hardware Mal uso ou configuração Fraquezas da política Responsabilidades não definidas claramente

15 Impacto Modelando o Risco Consequencias do ataque, quantificadas por perdas economicas, publicidade negativa, etc. Perda de informação proprietária Corrupção de informação crítica Fraude financeira Interrupção de processos críticos Sabotagem Fraude de Telecomunicações

16 Contra-medidas Ferramentas de segurança, software e mecanismos
Modelando o Risco Ferramentas de segurança, software e mecanismos Dispositivos de rede Crypto Controle de Accesso Etc. Procedimentos Resposta a emergencia Auditoria Visibilidade Treinamento

17 ⌠ ⌡ << mT Administrando o risco
Repensando a Segurança Requer monitoramento, previsão e análise da evolução das variáveis na equação do risco Implementar e ajustar as contra medidas Risk = I.F. T << mT Trata-se de uma integral onde o risco eh uma somatoria das formulas de riscos de todos os processos onde o ideal seria manter os valores abaixo de um minimo (M) todo o tempo. De maneira que a curva fique dentro todo o tempo

18 O que as pessoas podem fazer é o que importa
Repensando a Segurança Segurança da Informação pode ser vista como o processo de definição, administração e controle do fluxo de informação entre os participantes (players) de um sistema Definir uma política é definir exatamente o que os players podem e devem fazer.

19 Players Players internos
Repensando a Segurança Players internos Players com funções operacionais no sistema (organização) Eles estão na folha de pagamento Perfis e números sao conhecidos Espera-se que eles sigam a política Players externos Clientes, parceiros, fornecedores, atacantes Eles podem não ter uma função operacional no sistema Perfis e números são desconhecidos

20 Papéis Repensando a Segurança Um player desempenha uma função ao participar em uma série de processos. Em cada processo, o player tem um papel específico e bem definido. Para desempenhá-lo, o player precisa acessar um conjunto bem definido de recursos na organização.

21 O gráfico da Política de Segurança
Repensando a Segurança O relacionamento entre players, funções, papéis e recursos podem ser representados como um gráfico direcionado.

22 Granularidade Repensando a Segurança Servers/serviços Aplicações
Comunicações Arquivos Dispositivos Transações Registry/configuração etc. O detalhe obtido na definição e controle dos recursos necessários para desempenhar um papel específico nos dá uma idéia sobre a granularidade da política. Granularidade permite-nos endereçar vulnerabilidades emergentes. Ajuda a fechar o gap entre segurança e flexibilidade.

23 Acuracidade Repensando a Segurança
Os recursos para desempenhar cada papel são distintos. O mesmo player poderia ou não ter acesso a determinado recurso dependendo do processo em questão. Falhas implicarão em uma política inacurada.

24 O processo de Segurança e o papel da Política

25 O processo de Segurança
O papel da Política Definição da Política Modelagem do Risco Arquitetura Segurança Visibilidade e Controle

26 O papel central da Política de Segurança
O papel da Política Arquitetura Segurança Modelagem Risco Política Segurança Visibilidade e Controle

27 Modelagem do Risco O papel da Política Modelagem Risco Define escopo
Identifica processos críticos Identifica recursos críticos Pontos de falhas Define objetivos Testa a política Arquitetura Segurança Política Segurança Visibilidade e Controle

28 Arquitetura da Segurança
O papel da Política Arquitetura Segurança Modelagem Risco Define políticas baseando-se em suas capacidades atuais Gerencia Aplica Política Segurança Visibilidade e Controle

29 Visibilidade e Controle
O papel da Política Modelagem Risco Arquitetura Segurança Política Segurança Define políticas que possam ser controladas Monitora sua política em ação Fornece feedback para retroalimentação Identifica próximos passos Visibilidade e Controle

30 Infraestrutura de Segurança

31 Taxonomia funcional das ferramentas
Análise e formalização Ferramentas que ajudam no processo de modelagem do risco e definição de políticas. Enforcement Ferramentas usadas para aplicar as políticas Auditoria e Controle Ferramentas usadas para adquirir conhecimento do“security infospace” ajudando no processo de detecção e resposta as brechas de segurança.

32 Análise e formalização
Ferramentas Network discovery tools Scanners de Vulnerabilidade Ferramentas de ataque intrusivo Ferramentas de modelagem organizacional Ferramentas de modelagem de riscos Serviços Security Intelligence Testes de intrusão Definição de política Plano de contingencia Etc.

33 Enforcement Ferramentas Identificação, Autenticação e Autorização
PKI, Biometria, Tokens, Single Sign-On, Platforma dependente (SO específico) Segurança Software Básico Network services wrappers, Filesystem restrictions, Consistency checks, Security upgrades and patches, etc. Segurança da Aplicação Certificação/autorização de APIs, controle de versão, Aplicações dependentes. Segurança da rede Firewalls, VPNs, filtros de conteúdo Integridade / proteção dos dados Anti-vírus, Backups, checkers de consistencia.

34 Auditoria e controle Ferramentas
Network based Intrusion detection systems Host based intrusion detection systems Audit trails and log acquisition tools Log centralization tools Visualization tools Analysis tools Alarm and Reporting systems Forensics tools Security Operation Centers Serviços Managed Security Services

35 Construindo uma infraestrutura de Segurança
Criar um framework e selecionar ferramentas para avaliar, controlar, aplicar e gerenciar o que os players podem fazer (política de segurança) Abstrair o conceito de usuários e gerenciar players Integrar todos os componentes de segurança Endereçar escalabilidade Preocupar-se com a transparencia (para usuários, sistemas) Gerar visibilidade Manter uma perspectiva global

36 Gerenciando uma infraestrutura de segurança
Política de Segurança é aquilo que vc pode gerenciar Granularidade e acuracidade pode ser obtida apenas através de um esforço contínuo. Política de Segurança deve evoluir, assim como a infraestrutura. Mudanças culturais podem ser necessárias para gerenciar a segurança de maneira eficaz.

37 Não se trata apenas de ferramentas
Infraestrutura de Segurança Firewalls PKI File system restrictions App. Security Risk Modeling Network discovery Pen testing

38 Uma boa infraestrutura de Segurança
Permite a definição e o enforcement de uma política por toda a organização Alavanca a implementação de uma estratégia de defesa em profundidade Maximiza o uso das capacidades existentes Aumenta a granularidade da Segurança Possibilita a descoberta em tempo real e respostas aos gaps e ataques em ambientes complexos Traz as ferramentas necessárias para o gerenciamento do risco ao longo do tempo

39 Uma boa infraestrutura de Segurança (cont.)
Simplifica o esforço de gerenciar uma infraestrutura de multiplataformas com milhares de usuários e perfis. Facilita um inventário acurado de usuários, perfis, aplicações, políticas, recursos e processos com as propriedades de segurança. Reduz o treinamento necessário para gerenciar ambientes complexos Simplifica o dia-a-dia operacional do usuário final em ambiente multiplataforma. Oferece uma plataforma para homologar a implementação de novas tecnologias.

40 Dicas para selecionar ferramentas
Security infrastructure Estatísticas do MIS CDS na Inglaterra NÃO EXISTE FÓRMULA MÁGICA Posso quantificar se o meu risco seria menor se comprasse uma nova tecnologia? Posso integrar a nova tecnologia com as outras existentes ? Posso gerenciar o meu novo brinquedo? Manter uma perspectiva global

41 Sobre a Core Security Technologies

42 Nossas soluções

43 Lista parcial de clientes
Banco Privado de Inversiones BankBoston Ernst & Young LLP FEMSA (Coca Cola) Foundstone Inc. Greenlight.com IEEE KPMG MBA - Merchants Bank de Argentina Metrored Microsoft Inc. Network Associates Inc. Organización Veraz PriceWaterhouseCoopers Proofspace Inc. Real Networks Inc. SecurityFocus.com Secure Networks Inc. Siemens UOL International Vyou.com

44 The Information Security Process
Perguntas? Para receber uma cópia da apresentação, favor nos fornecer o seu Roberto de Carvalho Emiliano Kargieman

Carregar ppt "Security Policy: Truth vs. Myth"

Apresentações semelhantes

Desenvolvimento de Sistemas

Desenvolvimento de Sistemas
Controles Gerais Prof.: Cheila Bombana. Controles Gerais Prof.: Cheila Bombana.

Controles Gerais Prof.: Cheila Bombana. Controles Gerais Prof.: Cheila Bombana.
INTRODUÇÃO À COMPUTAÇÃO Sistemas Operacionais

INTRODUÇÃO À COMPUTAÇÃO Sistemas Operacionais
Auditoria de Controles Organizacionais

Auditoria de Controles Organizacionais
Objetivos do Capítulo Utilizar o processo de desenvolvimento de sistemas delineado neste capítulo e o modelo de componentes de SI, do Capítulo 1, como.

Objetivos do Capítulo Utilizar o processo de desenvolvimento de sistemas delineado neste capítulo e o modelo de componentes de SI, do Capítulo 1, como.
Administração e segurança de redes

Administração e segurança de redes
Auditoria de Sistemas ● Introdução

Auditoria de Sistemas ● Introdução
SEGURANÇA E AUDITORIA DE SISTEMAS

SEGURANÇA E AUDITORIA DE SISTEMAS
Mecanismo de Proteção (Prevenção e Detecção)

Mecanismo de Proteção (Prevenção e Detecção)
Segurança em Redes Elmar Melcher

Segurança em Redes Elmar Melcher
Parte 2 – Marcos Regulatórios Prof. Luís Fernando Garcia

Parte 2 – Marcos Regulatórios Prof. Luís Fernando Garcia
GERENCIAMENTO DE REDES

GERENCIAMENTO DE REDES
Gerenciamento de Riscos

Gerenciamento de Riscos
Sistemas Operacionais de Rede

Sistemas Operacionais de Rede
«Políticas e Procedimentos de Gestão da Segurança da Informação – Relato de Experiências no Sector Privado» Não faz sentido preocuparmo-nos apenas com.

«Políticas e Procedimentos de Gestão da Segurança da Informação – Relato de Experiências no Sector Privado» Não faz sentido preocuparmo-nos apenas com.
Segurança de Informação O Puzzle sempre incompleto

Segurança de Informação O Puzzle sempre incompleto
ENTERPRISE RESOURSE PLANNING

ENTERPRISE RESOURSE PLANNING
Segurança e Auditoria de Sistemas

Segurança e Auditoria de Sistemas
GTI Claudia Salles Haddad

GTI Claudia Salles Haddad
O Ambiente Cooperativo

O Ambiente Cooperativo

Apresentações semelhantes

Anúncios Google