A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Princípios de Segurança Empresarial e Actores Envolvidos Pedro Tavares Silva.

Apresentações semelhantes


Apresentação em tema: "Princípios de Segurança Empresarial e Actores Envolvidos Pedro Tavares Silva."— Transcrição da apresentação:

1 Princípios de Segurança Empresarial e Actores Envolvidos Pedro Tavares Silva

2 SEGURANÇA Risco Ameaças Bens Impacto Estratégia Controlo Arquitectura Segurança da Informação Segurança Física Segurança do Pessoal Segurança Lógica Conformidade Testes Auditorias Recuperação de Desastre Continuidade do Negócio Ataques Projecto Programa Prevenção Protecção Plano RTO RPO Responsabilidades Organização Risco Risco Segregação de Funções Normas e Legislação Política Procedimentos Orçamento Métricas Retorno Custo

3 3 © Pedro Tavares Silva SITIC 2 de Novembro de 2006 Princípios da Segurança Empresarial Objectivo da segurança Condicionantes Princípios Princípios Intervenientes

4 4 © Pedro Tavares Silva SITIC 2 de Novembro de 2006 Relação custo/benefício Relação favorável entre os gastos associados à implementação de medidas de segurança e o retorno em matéria de prevenção e protecção

5 5 © Pedro Tavares Silva SITIC 2 de Novembro de 2006 Concentração Concentração dos bens a proteger em função da sua sensibilidade Reduz duplicação de meios para protecção de activos com requisitos de protecção idênticos Maior eficiência

6 6 © Pedro Tavares Silva SITIC 2 de Novembro de 2006 Protecção em Profundidade AKA protecção em anéis concêntricos Bens/medidas de protecção dispostos de forma concêntrica, com os bens mais sensíveis no centro Disposição física ou lógica Barreiras sucessivas e progressivas, à medida que o grau de sensibilidade da informação aumenta. As medidas de protecção tornam-se cumulativas Maior eficácia

7 7 © Pedro Tavares Silva SITIC 2 de Novembro de 2006 Consistência Medidas de protecção equivalentes para bens com requisitos de protecção equivalentes Protecção homogénea Nível de protecção idêntico, independentemente da sua natureza (acesso físico/lógico) Nível de protecção idêntico independentemente do grau de utilização do acesso

8 8 © Pedro Tavares Silva SITIC 2 de Novembro de 2006 Redundância Mais de uma forma de protecção para o mesmo fim A protecção de um bem não deve ficar comprometida pela falha de um único controlo Exemplos: clusters, porteiro e porta com chave

9 9 © Pedro Tavares Silva SITIC 2 de Novembro de 2006 Princípios da Segurança Empresarial Objectivo da segurança Condicionantes Princípios Intervenientes Intervenientes

10 10 © Pedro Tavares Silva SITIC 2 de Novembro de 2006 Administração A sua principal motivação é a satisfação dos accionistas e, como tal, dos clientes Estabelece a cultura, ditando o comportamento, mais ou menos seguro, dos utilizadores Responsáveis pelos bens (incluindo a informação) e pelo governo da Organização – tem necessidade de demonstrar due diligence

11 11 © Pedro Tavares Silva SITIC 2 de Novembro de 2006 Administração (continuação) Poder de decisão de topo - a maioria das decisões tem impacto na segurança A segurança é usualmente um custo ou uma necessidade A agilidade dos processos e a disponibilidade da informação não são facilmente compatibilizadas com uma boa segurança

12 12 © Pedro Tavares Silva SITIC 2 de Novembro de 2006 Administração Recomendações: Mostrar as principais alternativas presentes e as suas implicações Facultar a informação necessária para suportar a tomada de decisões informadas

13 13 © Pedro Tavares Silva SITIC 2 de Novembro de 2006 Utilizadores Grupo heterogéneo - disparidade no conhecimento/comportamento Podem ser o elo fraco, ou um catalisador que fortalece a cadeia Alguns problemas para a segurança: Desleixo e facilitismo Curiosidade mal direccionada (hacking passivo) Visão romântica do hacker (script-kiddies)

14 14 © Pedro Tavares Silva SITIC 2 de Novembro de 2006 Utilizadores Recomendações: Pragmatismo Sensibilização KISS: Keep It Short and Simple

15 15 © Pedro Tavares Silva SITIC 2 de Novembro de 2006 Técnicos da Organização de TIC Frequentemente conhecem bem os sistemas mas mal as especificidades da segurança Implementam e massificam todas as decisões tomadas aos diversos níveis sobre os Sistemas de Informação A sua postura reflecte-se directamente na segurança dos sistemas A visão 99% dos problemas de um sistema encontram-se entre o teclado e a cadeira ignora os aspectos humanos e comportamentais de quem realiza os processos de negócio com recurso às ferramentas tecnológicas

16 16 © Pedro Tavares Silva SITIC 2 de Novembro de 2006 Técnicos da Organização de TIC Recomendações: Combater no terreno a escalada de privilégios Segregar funções e configurar sistemas de modo a gerar um rasto de auditoria Estabelecer políticas, normas e procedimentos de operação segura Promover acções de formação sobre os aspectos técnicos da segurança O governo da Organização deve evitar que decisões importantes sobre a segurança dos Sistemas de Informação fiquem nas mãos dos técnicos Formar e sensibilizar os patos

17 17 © Pedro Tavares Silva SITIC 2 de Novembro de 2006 Clientes Grupo heterogéneo Comunicação é formal e baseada em canais e processos O capital de confiança que a Empresa detém junto do cliente é volátil e pode desaparecer num instante À semelhança dos utilizadores, os clientes contornarão a segurança em prol da comodidade, se lhes for dada oportunidade para tal A Empresa pode impor-lhes regras na utilização dos seus produtos e serviços, que devem ser justificáveis e difíceis de contornar

18 18 © Pedro Tavares Silva SITIC 2 de Novembro de 2006 Parceiros Participam de diversas formas nos processos de negócio Podem assumir uma parte dos processos da organização Podem assumir uma parte, ou mesmo a totalidade, dos processos de segurança da Empresa A segurança pode constituir um pré-requisito para a parceria (ex.: certificação ISO/IEC )Recomendações: Devem ser avaliados também pela sua postura de segurança (políticas, capacidade de recuperação, etc.) Auditar os níveis de segurança contratualizados (SLA)

19 Obrigado

20 20 © Pedro Tavares Silva SITIC 2 de Novembro de 2006 Referências ISBN: A publicar em 2007


Carregar ppt "Princípios de Segurança Empresarial e Actores Envolvidos Pedro Tavares Silva."

Apresentações semelhantes


Anúncios Google