Princípios de Segurança Empresarial e Actores Envolvidos Pedro Tavares Silva

SEGURANÇA Segurança do Pessoal Ameaças Recuperação de Desastre Ataques Projecto Estratégia Plano Risco Métricas Política Controlo Segurança Física Arquitectura Organização Prevenção Responsabilidades Testes SEGURANÇA Normas e Legislação Programa Retorno Protecção Custo Segurança da Informação Conformidade Continuidade do Negócio Impacto RTO RPO Risco Risco Orçamento Segurança Lógica Auditorias Segregação de Funções Bens Procedimentos

Princípios da Segurança Empresarial Objectivo da segurança Condicionantes Princípios Intervenientes © Pedro Tavares Silva SITIC 2 de Novembro de 2006

Relação custo/benefício Relação favorável entre os gastos associados à implementação de medidas de segurança e o retorno em matéria de prevenção e protecção © Pedro Tavares Silva SITIC 2 de Novembro de 2006

Concentração Concentração dos bens a proteger em função da sua sensibilidade Reduz duplicação de meios para protecção de activos com requisitos de protecção idênticos Maior eficiência © Pedro Tavares Silva SITIC 2 de Novembro de 2006

Protecção em Profundidade AKA protecção em anéis concêntricos Bens/medidas de protecção dispostos de forma concêntrica, com os bens mais sensíveis no centro Disposição física ou lógica Barreiras sucessivas e progressivas, à medida que o grau de sensibilidade da informação aumenta. As medidas de protecção tornam-se cumulativas Maior eficácia © Pedro Tavares Silva SITIC 2 de Novembro de 2006

Consistência Medidas de protecção equivalentes para bens com requisitos de protecção equivalentes Protecção homogénea Nível de protecção idêntico, independentemente da sua natureza (acesso físico/lógico) Nível de protecção idêntico independentemente do grau de utilização do acesso © Pedro Tavares Silva SITIC 2 de Novembro de 2006

Redundância Mais de uma forma de protecção para o mesmo fim A protecção de um bem não deve ficar comprometida pela falha de um único controlo Exemplos: clusters, porteiro e porta com chave © Pedro Tavares Silva SITIC 2 de Novembro de 2006

Princípios da Segurança Empresarial Objectivo da segurança Condicionantes Princípios Intervenientes © Pedro Tavares Silva SITIC 2 de Novembro de 2006

Administração A sua principal motivação é a satisfação dos accionistas e, como tal, dos clientes Estabelece a cultura, ditando o comportamento, mais ou menos seguro, dos utilizadores Responsáveis pelos bens (incluindo a informação) e pelo governo da Organização – tem necessidade de demonstrar “due diligence” © Pedro Tavares Silva SITIC 2 de Novembro de 2006

Administração (continuação) Poder de decisão de topo - a maioria das decisões tem impacto na segurança A segurança é usualmente um custo ou uma necessidade A agilidade dos processos e a disponibilidade da informação não são facilmente compatibilizadas com uma boa segurança © Pedro Tavares Silva SITIC 2 de Novembro de 2006

Administração Recomendações: Mostrar as principais alternativas presentes e as suas implicações Facultar a informação necessária para suportar a tomada de decisões informadas © Pedro Tavares Silva SITIC 2 de Novembro de 2006

Utilizadores Grupo heterogéneo - disparidade no conhecimento/comportamento Podem ser o elo fraco, ou um catalisador que fortalece a cadeia Alguns problemas para a segurança: Desleixo e facilitismo Curiosidade mal direccionada (hacking passivo) Visão romântica do hacker (script-kiddies) © Pedro Tavares Silva SITIC 2 de Novembro de 2006

Utilizadores Recomendações: Pragmatismo Sensibilização KISS: Keep It Short and Simple © Pedro Tavares Silva SITIC 2 de Novembro de 2006

Técnicos da Organização de TIC Frequentemente conhecem bem os sistemas mas mal as especificidades da segurança Implementam e massificam todas as decisões tomadas aos diversos níveis sobre os Sistemas de Informação A sua postura reflecte-se directamente na segurança dos sistemas A visão “99% dos problemas de um sistema encontram-se entre o teclado e a cadeira” ignora os aspectos humanos e comportamentais de quem realiza os processos de negócio com recurso às ferramentas tecnológicas © Pedro Tavares Silva SITIC 2 de Novembro de 2006

Técnicos da Organização de TIC Recomendações: Combater no terreno a escalada de privilégios Segregar funções e configurar sistemas de modo a gerar um rasto de auditoria Estabelecer políticas, normas e procedimentos de operação segura Promover acções de formação sobre os aspectos técnicos da segurança O governo da Organização deve evitar que decisões importantes sobre a segurança dos Sistemas de Informação fiquem nas mãos dos técnicos Formar e sensibilizar os “patos” © Pedro Tavares Silva SITIC 2 de Novembro de 2006

Clientes Grupo heterogéneo Comunicação é formal e baseada em canais e processos O capital de confiança que a Empresa detém junto do cliente é volátil e pode desaparecer num instante À semelhança dos utilizadores, os clientes contornarão a segurança em prol da comodidade, se lhes for dada oportunidade para tal A Empresa pode impor-lhes regras na utilização dos seus produtos e serviços, que devem ser justificáveis e difíceis de contornar © Pedro Tavares Silva SITIC 2 de Novembro de 2006

Parceiros Participam de diversas formas nos processos de negócio Podem assumir uma parte dos processos da organização Podem assumir uma parte, ou mesmo a totalidade, dos processos de segurança da Empresa A segurança pode constituir um pré-requisito para a parceria (ex.: certificação ISO/IEC 20.000) Recomendações: Devem ser avaliados também pela sua postura de segurança (políticas, capacidade de recuperação, etc.) Auditar os níveis de segurança contratualizados (SLA) © Pedro Tavares Silva SITIC 2 de Novembro de 2006

 PedroTavaresSilva@mapfre.pt Obrigado  PedroTavaresSilva@mapfre.pt

Referências ISBN: 972-8426-66-6 A publicar em 2007 SITIC © Pedro Tavares Silva SITIC 2 de Novembro de 2006