A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Princípios de Segurança Empresarial e Actores Envolvidos

PublicouRafael Lage Alterado mais de 10 anos atrás

Apresentações semelhantes

Apresentação em tema: "Princípios de Segurança Empresarial e Actores Envolvidos"— Transcrição da apresentação:

1 Princípios de Segurança Empresarial e Actores Envolvidos
Pedro Tavares Silva

2 SEGURANÇA Segurança do Pessoal Ameaças Recuperação de Desastre Ataques
Projecto Estratégia Plano Risco Métricas Política Controlo Segurança Física Arquitectura Organização Prevenção Responsabilidades Testes SEGURANÇA Normas e Legislação Programa Retorno Protecção Custo Segurança da Informação Conformidade Continuidade do Negócio Impacto RTO RPO Risco Risco Orçamento Segurança Lógica Auditorias Segregação de Funções Bens Procedimentos

3 Princípios da Segurança Empresarial
Objectivo da segurança Condicionantes Princípios Intervenientes © Pedro Tavares Silva SITIC 2 de Novembro de 2006

4 Relação custo/benefício
Relação favorável entre os gastos associados à implementação de medidas de segurança e o retorno em matéria de prevenção e protecção © Pedro Tavares Silva SITIC 2 de Novembro de 2006

5 Concentração Concentração dos bens a proteger em função da sua sensibilidade Reduz duplicação de meios para protecção de activos com requisitos de protecção idênticos Maior eficiência © Pedro Tavares Silva SITIC 2 de Novembro de 2006

6 Protecção em Profundidade
AKA protecção em anéis concêntricos Bens/medidas de protecção dispostos de forma concêntrica, com os bens mais sensíveis no centro Disposição física ou lógica Barreiras sucessivas e progressivas, à medida que o grau de sensibilidade da informação aumenta. As medidas de protecção tornam-se cumulativas Maior eficácia © Pedro Tavares Silva SITIC 2 de Novembro de 2006

7 Consistência Medidas de protecção equivalentes para bens com requisitos de protecção equivalentes Protecção homogénea Nível de protecção idêntico, independentemente da sua natureza (acesso físico/lógico) Nível de protecção idêntico independentemente do grau de utilização do acesso © Pedro Tavares Silva SITIC 2 de Novembro de 2006

8 Redundância Mais de uma forma de protecção para o mesmo fim
A protecção de um bem não deve ficar comprometida pela falha de um único controlo Exemplos: clusters, porteiro e porta com chave © Pedro Tavares Silva SITIC 2 de Novembro de 2006

9 Princípios da Segurança Empresarial
Objectivo da segurança Condicionantes Princípios Intervenientes © Pedro Tavares Silva SITIC 2 de Novembro de 2006

10 Administração A sua principal motivação é a satisfação dos accionistas e, como tal, dos clientes Estabelece a cultura, ditando o comportamento, mais ou menos seguro, dos utilizadores Responsáveis pelos bens (incluindo a informação) e pelo governo da Organização – tem necessidade de demonstrar “due diligence” © Pedro Tavares Silva SITIC 2 de Novembro de 2006

11 Administração (continuação)
Poder de decisão de topo - a maioria das decisões tem impacto na segurança A segurança é usualmente um custo ou uma necessidade A agilidade dos processos e a disponibilidade da informação não são facilmente compatibilizadas com uma boa segurança © Pedro Tavares Silva SITIC 2 de Novembro de 2006

12 Administração Recomendações:
Mostrar as principais alternativas presentes e as suas implicações Facultar a informação necessária para suportar a tomada de decisões informadas © Pedro Tavares Silva SITIC 2 de Novembro de 2006

13 Utilizadores Grupo heterogéneo - disparidade no conhecimento/comportamento Podem ser o elo fraco, ou um catalisador que fortalece a cadeia Alguns problemas para a segurança: Desleixo e facilitismo Curiosidade mal direccionada (hacking passivo) Visão romântica do hacker (script-kiddies) © Pedro Tavares Silva SITIC 2 de Novembro de 2006

14 Utilizadores Recomendações: Pragmatismo Sensibilização
KISS: Keep It Short and Simple © Pedro Tavares Silva SITIC 2 de Novembro de 2006

15 Técnicos da Organização de TIC
Frequentemente conhecem bem os sistemas mas mal as especificidades da segurança Implementam e massificam todas as decisões tomadas aos diversos níveis sobre os Sistemas de Informação A sua postura reflecte-se directamente na segurança dos sistemas A visão “99% dos problemas de um sistema encontram-se entre o teclado e a cadeira” ignora os aspectos humanos e comportamentais de quem realiza os processos de negócio com recurso às ferramentas tecnológicas © Pedro Tavares Silva SITIC 2 de Novembro de 2006

16 Técnicos da Organização de TIC
Recomendações: Combater no terreno a escalada de privilégios Segregar funções e configurar sistemas de modo a gerar um rasto de auditoria Estabelecer políticas, normas e procedimentos de operação segura Promover acções de formação sobre os aspectos técnicos da segurança O governo da Organização deve evitar que decisões importantes sobre a segurança dos Sistemas de Informação fiquem nas mãos dos técnicos Formar e sensibilizar os “patos” © Pedro Tavares Silva SITIC 2 de Novembro de 2006

17 Clientes Grupo heterogéneo
Comunicação é formal e baseada em canais e processos O capital de confiança que a Empresa detém junto do cliente é volátil e pode desaparecer num instante À semelhança dos utilizadores, os clientes contornarão a segurança em prol da comodidade, se lhes for dada oportunidade para tal A Empresa pode impor-lhes regras na utilização dos seus produtos e serviços, que devem ser justificáveis e difíceis de contornar © Pedro Tavares Silva SITIC 2 de Novembro de 2006

18 Parceiros Participam de diversas formas nos processos de negócio
Podem assumir uma parte dos processos da organização Podem assumir uma parte, ou mesmo a totalidade, dos processos de segurança da Empresa A segurança pode constituir um pré-requisito para a parceria (ex.: certificação ISO/IEC ) Recomendações: Devem ser avaliados também pela sua postura de segurança (políticas, capacidade de recuperação, etc.) Auditar os níveis de segurança contratualizados (SLA) © Pedro Tavares Silva SITIC 2 de Novembro de 2006

19  PedroTavaresSilva@mapfre.pt
Obrigado

20 Referências ISBN: 972-8426-66-6 A publicar em 2007 SITIC
© Pedro Tavares Silva SITIC 2 de Novembro de 2006

Carregar ppt "Princípios de Segurança Empresarial e Actores Envolvidos"

Apresentações semelhantes

Facilitar o e-Commerce Programas de Marketing

Facilitar o e-Commerce Programas de Marketing
José Rodrigues de Jesus 17.Julho.2009

José Rodrigues de Jesus 17.Julho.2009
Prof. Alberto Martins Júnior

Prof. Alberto Martins Júnior
MOBILIDADE URBANA E ESTACIONAMENTO Enquadramento Jurídico

MOBILIDADE URBANA E ESTACIONAMENTO Enquadramento Jurídico
CRITÉRIOS DE QUALIFICAÇÃO PARA AUDITORES AMBIENTAIS

CRITÉRIOS DE QUALIFICAÇÃO PARA AUDITORES AMBIENTAIS
Mestrado em Gestão e Conservação da Natureza

Mestrado em Gestão e Conservação da Natureza
Negócio Internacional Capítulo 8 Estratégias Colaborativas International Business 10e Daniels/Radebaugh/Sullivan 2004, Prentice Hall, Inc 1.

Negócio Internacional Capítulo 8 Estratégias Colaborativas International Business 10e Daniels/Radebaugh/Sullivan 2004, Prentice Hall, Inc 1.
Rational Unified Process

Rational Unified Process
Análise Swot Objectivos Comerciais As variáveis e as políticas

Análise Swot Objectivos Comerciais As variáveis e as políticas
Gerência de Riscos em Companhias de Seguro

Gerência de Riscos em Companhias de Seguro
NORMA NBR ISO 10002 OBJETIVO Esta norma - NBR 10002 - fornece princípios e orientações para a empresa implementar um processo eficaz e eficiente de tratamento.

NORMA NBR ISO OBJETIVO Esta norma - NBR fornece princípios e orientações para a empresa implementar um processo eficaz e eficiente de tratamento.
Desastres e desenvolvimento

Desastres e desenvolvimento
> Fases de Engenharia de SW > Gestão de Projectos de SW

> Fases de Engenharia de SW > Gestão de Projectos de SW
Organizações e SI O conceito... Teoria das organizações

Organizações e SI O conceito... Teoria das organizações
Producto x Processo x Projecto

Producto x Processo x Projecto
Garantia de Qualidade do software

Garantia de Qualidade do software
1. 2 Tecnologias de Informação e Risco O que esperamos das tecnologias de informação? Como atingir os objectivos das tecnologias de informação? Segurança.

1. 2 Tecnologias de Informação e Risco O que esperamos das tecnologias de informação? Como atingir os objectivos das tecnologias de informação? Segurança.
4. ESTRATÉGIAS COMPETITIVAS GENÉRICAS

4. ESTRATÉGIAS COMPETITIVAS GENÉRICAS
Sistema de controle interno e Bom Governo: Luis Humberto Ramírez Barrios A&C Consultoría y Auditoría Empresarial www.aycempresarial.com Luis Humberto.

Sistema de controle interno e Bom Governo: Luis Humberto Ramírez Barrios A&C Consultoría y Auditoría Empresarial Luis Humberto.
Professor: Sérgio Henrique Barszcz

Professor: Sérgio Henrique Barszcz

Apresentações semelhantes

Anúncios Google