A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Política de Segurança: Verdade vs Mito Security Policy: Truth vs. Myth Política de Segurança: verdade ou mito? Roberto de Carvalho

Apresentações semelhantes


Apresentação em tema: "Política de Segurança: Verdade vs Mito Security Policy: Truth vs. Myth Política de Segurança: verdade ou mito? Roberto de Carvalho"— Transcrição da apresentação:

1 Política de Segurança: Verdade vs Mito Security Policy: Truth vs. Myth Política de Segurança: verdade ou mito? Roberto de Carvalho Emiliano Kargieman

2 Política de Segurança: Verdade vs Mito Agenda O mito da Política da segurança da Informação Repensando a Segurança Players e papéis O processo da Segurança e o papel da política Infraestrutura de Segurança Perguntas e Respostas

3 Política de Segurança: Verdade vs Mito Introdução: O mito da Política de Segurança

4 Política de Segurança: Verdade vs Mito Um mantra para exorcizar os males Todo mundo está falando Não existe uma definição aceita Todo mundo está querendo uma Isso é apenas uma onda? Política de Segurança

5 Política de Segurança: Verdade vs Mito Problemas das Políticas Muito focada no high-level Sem manutenção Ou gerenciada Sem execução Ou controle Ou testada Separada da realidade

6 Política de Segurança: Verdade vs Mito Repensando a Segurança

7 Política de Segurança: Verdade vs Mito Onde nos perdemos Dia-a-dia operacional –Usuários, plataformas, SOs, aplicações, redes A busca por uma solução mágica Na estratégia bottom-up ou top-down Definição de orçamento A briga da segurança vs. flexibilidade Repensando a Segurança

8 Política de Segurança: Verdade vs Mito Um pequeno lembrete Não existe Segurança real. Segurança é apenas a percepção do risco Administrar a Segurança é administrar o risco. Para aumentar a Segurança, riscos precisam ser: –Modelados –Quantificados –Minimizados ao longo do tempo Trata-se de um processo contínuo! Repensando a Segurança

9 Política de Segurança: Verdade vs Mito Pessoas, processos, dados e informação Informação é volátil, difícil para definí-la ou conte-la. Processos podem ser modelados, mediados e auditados Repensando a Segurança

10 Política de Segurança: Verdade vs Mito Modelando o fluxo da informação Modelar o fluxo da informação em uma organização, onde players comunicam, processam e armazenam informação. Identificar os processos, fontes de dados e recursos críticos para o funcionamento da organização Repensando a Segurança

11 Política de Segurança: Verdade vs Mito Pontos de entrada Cada interação possui o seu próprio risco. Modelando o Risco

12 Política de Segurança: Verdade vs Mito A equação do risco = = Ameaças x Vulnerabilidades x Impacto Contra medidas Perfil do attacker, Recursos disponíveis Falhas do software, Políticas superficiais, Protocolos, Etc. Prejuízos calculados Práticas e tecnologias Modelando o Risco

13 Política de Segurança: Verdade vs Mito Ameaça Quantificada pelo perfil do atacante, conhecimento, recursos financeiros e humanos, interesses, etc: –Amador –Hacker –Grupo de Hackers –Funcionário instatisfeito –Concorrentes –Crime organizado –Agencia de Inteligencia –Organizações terrroristas Modelando o Risco

14 Política de Segurança: Verdade vs Mito Vulnerabilidades Falhas de Design –Sistemas críticos de informação –Redes –Arquitetura de Segurança Falhas de Implementação –Vulnerabilidades de sistemas operacionais –Vulnerabilidades de aplicações –Vulnerabilidades de hardware Mal uso ou configuração Fraquezas da política Responsabilidades não definidas claramente Modelando o Risco

15 Política de Segurança: Verdade vs Mito Impacto Consequencias do ataque, quantificadas por perdas economicas, publicidade negativa, etc. –Perda de informação proprietária –Corrupção de informação crítica –Fraude financeira –Interrupção de processos críticos –Sabotagem –Fraude de Telecomunicações Modelando o Risco

16 Política de Segurança: Verdade vs Mito Contra-medidas Ferramentas de segurança, software e mecanismos –Dispositivos de rede –Crypto –Controle de Accesso –Etc. Procedimentos Resposta a emergencia Auditoria Visibilidade Treinamento Modelando o Risco

17 Política de Segurança: Verdade vs Mito Administrando o risco Requer monitoramento, previsão e análise da evolução das variáveis na equação do risco Implementar e ajustar as contra medidas Risk =  I.F. ⌠ ⌡ T << mT Repensando a Segurança

18 Política de Segurança: Verdade vs Mito O que as pessoas podem fazer é o que importa Segurança da Informação pode ser vista como o processo de definição, administração e controle do fluxo de informação entre os participantes (players) de um sistema Definir uma política é definir exatamente o que os players podem e devem fazer. Repensando a Segurança

19 Política de Segurança: Verdade vs Mito Players Players internos –Players com funções operacionais no sistema (organização) –Eles estão na folha de pagamento –Perfis e números sao conhecidos –Espera-se que eles sigam a política Players externos –Clientes, parceiros, fornecedores, atacantes –Eles podem não ter uma função operacional no sistema –Perfis e números são desconhecidos Repensando a Segurança

20 Política de Segurança: Verdade vs Mito Papéis Um player desempenha uma função ao participar em uma série de processos. Em cada processo, o player tem um papel específico e bem definido. Para desempenhá-lo, o player precisa acessar um conjunto bem definido de recursos na organização. Repensando a Segurança

21 Política de Segurança: Verdade vs Mito O gráfico da Política de Segurança O relacionamento entre players, funções, papéis e recursos podem ser representados como um gráfico direcionado. Repensando a Segurança

22 Política de Segurança: Verdade vs Mito Granularidade O detalhe obtido na definição e controle dos recursos necessários para desempenhar um papel específico nos dá uma idéia sobre a granularidade da política. Granularidade permite-nos endereçar vulnerabilidades emergentes. Ajuda a fechar o gap entre segurança e flexibilidade. Servers/serviços Aplicações Comunicações Arquivos Dispositivos Transações Registry/configuração etc. Repensando a Segurança

23 Política de Segurança: Verdade vs Mito Acuracidade Os recursos para desempenhar cada papel são distintos. O mesmo player poderia ou não ter acesso a determinado recurso dependendo do processo em questão. Falhas implicarão em uma política inacurada. Repensando a Segurança

24 Política de Segurança: Verdade vs Mito O processo de Segurança e o papel da Política

25 Política de Segurança: Verdade vs Mito O processo de Segurança Definição da Política Modelagem do Risco Arquitetura Segurança Visibilidade e Controle O papel da Política

26 Política de Segurança: Verdade vs Mito O papel central da Política de Segurança Política Segurança Modelagem Risco Arquitetura Segurança Visibilidade e Controle O papel da Política

27 Política de Segurança: Verdade vs Mito Modelagem do Risco Define escopo Identifica processos críticos Identifica recursos críticos Pontos de falhas Define objetivos Testa a política Política Segurança Modelagem Risco Arquitetura Segurança Visibilidade e Controle O papel da Política

28 Política de Segurança: Verdade vs Mito Arquitetura da Segurança Define políticas baseando-se em suas capacidades atuais Gerencia Aplica Política Segurança Modelagem Risco Arquitetura Segurança Visibilidade e Controle O papel da Política

29 Política de Segurança: Verdade vs Mito Visibilidade e Controle Define políticas que possam ser controladas Monitora sua política em ação Fornece feedback para retroalimentação Identifica próximos passos Política Segurança Modelagem Risco Arquitetura Segurança Visibilidade e Controle O papel da Política

30 Política de Segurança: Verdade vs Mito Infraestrutura de Segurança

31 Política de Segurança: Verdade vs Mito Taxonomia funcional das ferramentas Análise e formalização –Ferramentas que ajudam no processo de modelagem do risco e definição de políticas. Enforcement –Ferramentas usadas para aplicar as políticas Auditoria e Controle –Ferramentas usadas para adquirir conhecimento do“security infospace” ajudando no processo de detecção e resposta as brechas de segurança.

32 Política de Segurança: Verdade vs Mito Análise e formalização Ferramentas –Network discovery tools –Scanners de Vulnerabilidade –Ferramentas de ataque intrusivo –Ferramentas de modelagem organizacional –Ferramentas de modelagem de riscos Serviços –Security Intelligence –Testes de intrusão –Definição de política –Plano de contingencia –Etc.

33 Política de Segurança: Verdade vs Mito Enforcement Ferramentas –Identificação, Autenticação e Autorização PKI, Biometria, Tokens, Single Sign-On, Platforma dependente (SO específico) –Segurança Software Básico Network services wrappers, Filesystem restrictions, Consistency checks, Security upgrades and patches, etc. –Segurança da Aplicação Certificação/autorização de APIs, controle de versão, Aplicações dependentes. –Segurança da rede Firewalls, VPNs, filtros de conteúdo –Integridade / proteção dos dados Anti-vírus, Backups, checkers de consistencia.

34 Política de Segurança: Verdade vs Mito Auditoria e controle Ferramentas –Network based Intrusion detection systems –Host based intrusion detection systems –Audit trails and log acquisition tools –Log centralization tools –Visualization tools –Analysis tools –Alarm and Reporting systems –Forensics tools –Security Operation Centers Serviços –Managed Security Services

35 Política de Segurança: Verdade vs Mito Construindo uma infraestrutura de Segurança Criar um framework e selecionar ferramentas para avaliar, controlar, aplicar e gerenciar o que os players podem fazer (política de segurança) Abstrair o conceito de usuários e gerenciar players Integrar todos os componentes de segurança Endereçar escalabilidade Preocupar-se com a transparencia (para usuários, sistemas) Gerar visibilidade Manter uma perspectiva global Infraestrutura de Segurança

36 Política de Segurança: Verdade vs Mito Gerenciando uma infraestrutura de segurança Política de Segurança é aquilo que vc pode gerenciar Granularidade e acuracidade pode ser obtida apenas através de um esforço contínuo. Política de Segurança deve evoluir, assim como a infraestrutura. Mudanças culturais podem ser necessárias para gerenciar a segurança de maneira eficaz. Infraestrutura de Segurança

37 Política de Segurança: Verdade vs Mito Não se trata apenas de ferramentas Firewalls PKI File system restrictions App. Security Risk Modeling Network discovery Pen testing Infraestrutura de Segurança

38 Política de Segurança: Verdade vs Mito Uma boa infraestrutura de Segurança Permite a definição e o enforcement de uma política por toda a organização Alavanca a implementação de uma estratégia de defesa em profundidade Maximiza o uso das capacidades existentes Aumenta a granularidade da Segurança Possibilita a descoberta em tempo real e respostas aos gaps e ataques em ambientes complexos Traz as ferramentas necessárias para o gerenciamento do risco ao longo do tempo Infraestrutura de Segurança

39 Política de Segurança: Verdade vs Mito Uma boa infraestrutura de Segurança (cont.) Simplifica o esforço de gerenciar uma infraestrutura de multiplataformas com milhares de usuários e perfis. Facilita um inventário acurado de usuários, perfis, aplicações, políticas, recursos e processos com as propriedades de segurança. Reduz o treinamento necessário para gerenciar ambientes complexos Simplifica o dia-a-dia operacional do usuário final em ambiente multiplataforma. Oferece uma plataforma para homologar a implementação de novas tecnologias. Infraestrutura de Segurança

40 Política de Segurança: Verdade vs Mito Dicas para selecionar ferramentas Estatísticas do MIS CDS na Inglaterra NÃO EXISTE FÓRMULA MÁGICA Posso quantificar se o meu risco seria menor se comprasse uma nova tecnologia? Posso integrar a nova tecnologia com as outras existentes ? Posso gerenciar o meu novo brinquedo? Manter uma perspectiva global Security infrastructure

41 Política de Segurança: Verdade vs Mito Sobre a Core Security Technologies

42 Política de Segurança: Verdade vs Mito Nossas soluções

43 Política de Segurança: Verdade vs Mito Banco Privado de Inversiones BankBoston Ernst & Young LLP FEMSA (Coca Cola) Foundstone Inc. Greenlight.com IEEE KPMG MBA - Merchants Bank de Argentina Lista parcial de clientes Metrored Microsoft Inc. Network Associates Inc. Organización Veraz PriceWaterhouseCoopers Proofspace Inc. Real Networks Inc. SecurityFocus.com Secure Networks Inc. Siemens UOL International Vyou.com

44 Política de Segurança: Verdade vs Mito The Information Security Process Perguntas? Roberto de Carvalho Emiliano Kargieman Para receber uma cópia da apresentação, favor nos fornecer o seu


Carregar ppt "Política de Segurança: Verdade vs Mito Security Policy: Truth vs. Myth Política de Segurança: verdade ou mito? Roberto de Carvalho"

Apresentações semelhantes


Anúncios Google