Política de Segurança: Verdade vs Mito Security Policy: Truth vs. Myth Política de Segurança:...
Transcript of Política de Segurança: Verdade vs Mito Security Policy: Truth vs. Myth Política de Segurança:...
![Page 1: Política de Segurança: Verdade vs Mito Security Policy: Truth vs. Myth Política de Segurança: verdade ou mito? Roberto de Carvalho roberto.carvalho@corest.com.](https://reader035.fdocumentos.com/reader035/viewer/2022081602/552fc15f497959413d8e6f67/html5/thumbnails/1.jpg)
Pol
ítica
de
Seg
uran
ça:
Ver
dade
vs
Mito
Security Policy: Truth vs. Myth
Política de Segurança: verdade ou mito?
Roberto de [email protected]
Emiliano [email protected]
![Page 2: Política de Segurança: Verdade vs Mito Security Policy: Truth vs. Myth Política de Segurança: verdade ou mito? Roberto de Carvalho roberto.carvalho@corest.com.](https://reader035.fdocumentos.com/reader035/viewer/2022081602/552fc15f497959413d8e6f67/html5/thumbnails/2.jpg)
Pol
ítica
de
Seg
uran
ça:
Ver
dade
vs
Mito
Agenda
• O mito da Política da segurança da Informação
• Repensando a Segurança
• Players e papéis
• O processo da Segurança e o papel da política
• Infraestrutura de Segurança
• Perguntas e Respostas
![Page 3: Política de Segurança: Verdade vs Mito Security Policy: Truth vs. Myth Política de Segurança: verdade ou mito? Roberto de Carvalho roberto.carvalho@corest.com.](https://reader035.fdocumentos.com/reader035/viewer/2022081602/552fc15f497959413d8e6f67/html5/thumbnails/3.jpg)
Pol
ítica
de
Seg
uran
ça:
Ver
dade
vs
Mito
Introdução: O mito da Política de Segurança
![Page 4: Política de Segurança: Verdade vs Mito Security Policy: Truth vs. Myth Política de Segurança: verdade ou mito? Roberto de Carvalho roberto.carvalho@corest.com.](https://reader035.fdocumentos.com/reader035/viewer/2022081602/552fc15f497959413d8e6f67/html5/thumbnails/4.jpg)
Pol
ítica
de
Seg
uran
ça:
Ver
dade
vs
Mito
Um mantra para exorcizar os males
• Todo mundo está falando
• Não existe uma definição aceita
• Todo mundo está querendo uma
• Isso é apenas uma onda?
Política de Segurança
![Page 5: Política de Segurança: Verdade vs Mito Security Policy: Truth vs. Myth Política de Segurança: verdade ou mito? Roberto de Carvalho roberto.carvalho@corest.com.](https://reader035.fdocumentos.com/reader035/viewer/2022081602/552fc15f497959413d8e6f67/html5/thumbnails/5.jpg)
Pol
ítica
de
Seg
uran
ça:
Ver
dade
vs
Mito
Problemas das Políticas
• Muito focada no high-level
• Sem manutenção
• Ou gerenciada
• Sem execução
• Ou controle
• Ou testada
• Separada da realidade
![Page 6: Política de Segurança: Verdade vs Mito Security Policy: Truth vs. Myth Política de Segurança: verdade ou mito? Roberto de Carvalho roberto.carvalho@corest.com.](https://reader035.fdocumentos.com/reader035/viewer/2022081602/552fc15f497959413d8e6f67/html5/thumbnails/6.jpg)
Pol
ítica
de
Seg
uran
ça:
Ver
dade
vs
Mito
Repensando a Segurança
![Page 7: Política de Segurança: Verdade vs Mito Security Policy: Truth vs. Myth Política de Segurança: verdade ou mito? Roberto de Carvalho roberto.carvalho@corest.com.](https://reader035.fdocumentos.com/reader035/viewer/2022081602/552fc15f497959413d8e6f67/html5/thumbnails/7.jpg)
Pol
ítica
de
Seg
uran
ça:
Ver
dade
vs
Mito
Onde nos perdemos
• Dia-a-dia operacional– Usuários, plataformas, SOs, aplicações,
redes
• A busca por uma solução mágica
• Na estratégia bottom-up ou top-down
• Definição de orçamento
• A briga da segurança vs. flexibilidade
Repensando a Segurança
![Page 8: Política de Segurança: Verdade vs Mito Security Policy: Truth vs. Myth Política de Segurança: verdade ou mito? Roberto de Carvalho roberto.carvalho@corest.com.](https://reader035.fdocumentos.com/reader035/viewer/2022081602/552fc15f497959413d8e6f67/html5/thumbnails/8.jpg)
Pol
ítica
de
Seg
uran
ça:
Ver
dade
vs
Mito
Um pequeno lembrete
• Não existe Segurança real.
• Segurança é apenas a percepção do risco
• Administrar a Segurança é administrar o risco.
• Para aumentar a Segurança, riscos precisam ser:– Modelados– Quantificados– Minimizados ao longo do tempo
• Trata-se de um processo contínuo!
Repensando a Segurança
![Page 9: Política de Segurança: Verdade vs Mito Security Policy: Truth vs. Myth Política de Segurança: verdade ou mito? Roberto de Carvalho roberto.carvalho@corest.com.](https://reader035.fdocumentos.com/reader035/viewer/2022081602/552fc15f497959413d8e6f67/html5/thumbnails/9.jpg)
Pol
ítica
de
Seg
uran
ça:
Ver
dade
vs
Mito
Pessoas, processos, dados e informação
• Informação é volátil, difícil para definí-la ou conte-la.
• Processos podem ser modelados, mediados e auditados
Data
10011010111010
Information
People Processes
Repensando a Segurança
![Page 10: Política de Segurança: Verdade vs Mito Security Policy: Truth vs. Myth Política de Segurança: verdade ou mito? Roberto de Carvalho roberto.carvalho@corest.com.](https://reader035.fdocumentos.com/reader035/viewer/2022081602/552fc15f497959413d8e6f67/html5/thumbnails/10.jpg)
Pol
ítica
de
Seg
uran
ça:
Ver
dade
vs
Mito
Modelando o fluxo da informação
• Modelar o fluxo da informação em uma organização, onde players comunicam, processam e armazenam informação.
• Identificar os processos, fontes de dados e recursos críticos para o funcionamento da organização
Repensando a Segurança
![Page 11: Política de Segurança: Verdade vs Mito Security Policy: Truth vs. Myth Política de Segurança: verdade ou mito? Roberto de Carvalho roberto.carvalho@corest.com.](https://reader035.fdocumentos.com/reader035/viewer/2022081602/552fc15f497959413d8e6f67/html5/thumbnails/11.jpg)
Pol
ítica
de
Seg
uran
ça:
Ver
dade
vs
Mito
Pontos de entrada
• Cada interação possui o seu próprio risco.
Modelandoo Risco
Ri
Ri
Ri
RiRi
Ri
Ri
Ri
Ri
Ri
![Page 12: Política de Segurança: Verdade vs Mito Security Policy: Truth vs. Myth Política de Segurança: verdade ou mito? Roberto de Carvalho roberto.carvalho@corest.com.](https://reader035.fdocumentos.com/reader035/viewer/2022081602/552fc15f497959413d8e6f67/html5/thumbnails/12.jpg)
Pol
ítica
de
Seg
uran
ça:
Ver
dade
vs
Mito
A equação do risco
= = Ameaças x Vulnerabilidades x ImpactoContra medidas
Perfil do attacker,Recursos disponíveis
Falhas do software,Políticas superficiais,
Protocolos, Etc.
Prejuízos calculados
Práticas e tecnologias
Ri
Modelandoo Risco
![Page 13: Política de Segurança: Verdade vs Mito Security Policy: Truth vs. Myth Política de Segurança: verdade ou mito? Roberto de Carvalho roberto.carvalho@corest.com.](https://reader035.fdocumentos.com/reader035/viewer/2022081602/552fc15f497959413d8e6f67/html5/thumbnails/13.jpg)
Pol
ítica
de
Seg
uran
ça:
Ver
dade
vs
Mito
Ameaça
• Quantificada pelo perfil do atacante, conhecimento, recursos financeiros e humanos, interesses, etc:– Amador– Hacker– Grupo de Hackers– Funcionário instatisfeito– Concorrentes– Crime organizado– Agencia de Inteligencia– Organizações terrroristas
Modelandoo Risco
![Page 14: Política de Segurança: Verdade vs Mito Security Policy: Truth vs. Myth Política de Segurança: verdade ou mito? Roberto de Carvalho roberto.carvalho@corest.com.](https://reader035.fdocumentos.com/reader035/viewer/2022081602/552fc15f497959413d8e6f67/html5/thumbnails/14.jpg)
Pol
ítica
de
Seg
uran
ça:
Ver
dade
vs
Mito
Vulnerabilidades
• Falhas de Design– Sistemas críticos de informação– Redes– Arquitetura de Segurança
• Falhas de Implementação– Vulnerabilidades de sistemas operacionais– Vulnerabilidades de aplicações– Vulnerabilidades de hardware
• Mal uso ou configuração• Fraquezas da política• Responsabilidades não definidas claramente
Modelandoo Risco
![Page 15: Política de Segurança: Verdade vs Mito Security Policy: Truth vs. Myth Política de Segurança: verdade ou mito? Roberto de Carvalho roberto.carvalho@corest.com.](https://reader035.fdocumentos.com/reader035/viewer/2022081602/552fc15f497959413d8e6f67/html5/thumbnails/15.jpg)
Pol
ítica
de
Seg
uran
ça:
Ver
dade
vs
Mito
Impacto
• Consequencias do ataque, quantificadas por
perdas economicas, publicidade negativa, etc.
– Perda de informação proprietária
– Corrupção de informação crítica
– Fraude financeira
– Interrupção de processos críticos
– Sabotagem
– Fraude de Telecomunicações
Modelandoo Risco
![Page 16: Política de Segurança: Verdade vs Mito Security Policy: Truth vs. Myth Política de Segurança: verdade ou mito? Roberto de Carvalho roberto.carvalho@corest.com.](https://reader035.fdocumentos.com/reader035/viewer/2022081602/552fc15f497959413d8e6f67/html5/thumbnails/16.jpg)
Pol
ítica
de
Seg
uran
ça:
Ver
dade
vs
Mito
Contra-medidas
• Ferramentas de segurança, software e mecanismos– Dispositivos de rede– Crypto– Controle de Accesso– Etc.
• Procedimentos• Resposta a emergencia• Auditoria• Visibilidade• Treinamento
Modelandoo Risco
![Page 17: Política de Segurança: Verdade vs Mito Security Policy: Truth vs. Myth Política de Segurança: verdade ou mito? Roberto de Carvalho roberto.carvalho@corest.com.](https://reader035.fdocumentos.com/reader035/viewer/2022081602/552fc15f497959413d8e6f67/html5/thumbnails/17.jpg)
Pol
ítica
de
Seg
uran
ça:
Ver
dade
vs
Mito
Administrando o risco
• Requer monitoramento, previsão e análise da evolução das variáveis na equação do risco
• Implementar e ajustar as contra medidas
Risk = Ri
I.F.⌠⌡
T
<< mT
Repensando a Segurança
![Page 18: Política de Segurança: Verdade vs Mito Security Policy: Truth vs. Myth Política de Segurança: verdade ou mito? Roberto de Carvalho roberto.carvalho@corest.com.](https://reader035.fdocumentos.com/reader035/viewer/2022081602/552fc15f497959413d8e6f67/html5/thumbnails/18.jpg)
Pol
ítica
de
Seg
uran
ça:
Ver
dade
vs
Mito
O que as pessoas podem fazer é o que importa
• Segurança da Informação pode ser vista como o processo de definição, administração e controle do fluxo de informação entre os participantes (players) de um sistema
• Definir uma política é definir exatamente o que os players podem e devem fazer.
Data
10011010111010
Information
People Processes
Repensando a Segurança
![Page 19: Política de Segurança: Verdade vs Mito Security Policy: Truth vs. Myth Política de Segurança: verdade ou mito? Roberto de Carvalho roberto.carvalho@corest.com.](https://reader035.fdocumentos.com/reader035/viewer/2022081602/552fc15f497959413d8e6f67/html5/thumbnails/19.jpg)
Pol
ítica
de
Seg
uran
ça:
Ver
dade
vs
Mito
Players
• Players internos– Players com funções operacionais no
sistema (organização)– Eles estão na folha de pagamento– Perfis e números sao conhecidos– Espera-se que eles sigam a política
• Players externos– Clientes, parceiros, fornecedores, atacantes– Eles podem não ter uma função operacional
no sistema– Perfis e números são desconhecidos
Repensando a Segurança
![Page 20: Política de Segurança: Verdade vs Mito Security Policy: Truth vs. Myth Política de Segurança: verdade ou mito? Roberto de Carvalho roberto.carvalho@corest.com.](https://reader035.fdocumentos.com/reader035/viewer/2022081602/552fc15f497959413d8e6f67/html5/thumbnails/20.jpg)
Pol
ítica
de
Seg
uran
ça:
Ver
dade
vs
Mito
Papéis
• Um player desempenha uma função ao participar em uma série de processos.
• Em cada processo, o player tem um papel específico e bem definido.
• Para desempenhá-lo, o player precisa acessar um conjunto bem definido de recursos na organização.
Repensando a Segurança
![Page 21: Política de Segurança: Verdade vs Mito Security Policy: Truth vs. Myth Política de Segurança: verdade ou mito? Roberto de Carvalho roberto.carvalho@corest.com.](https://reader035.fdocumentos.com/reader035/viewer/2022081602/552fc15f497959413d8e6f67/html5/thumbnails/21.jpg)
Pol
ítica
de
Seg
uran
ça:
Ver
dade
vs
Mito
O gráfico da Política de Segurança
• O relacionamento entre players, funções, papéis e recursos podem ser representados como um gráfico direcionado.
Player
Function
Role
Resource
Role
Role
Role
Resource
Resource
Repensando a Segurança
![Page 22: Política de Segurança: Verdade vs Mito Security Policy: Truth vs. Myth Política de Segurança: verdade ou mito? Roberto de Carvalho roberto.carvalho@corest.com.](https://reader035.fdocumentos.com/reader035/viewer/2022081602/552fc15f497959413d8e6f67/html5/thumbnails/22.jpg)
Pol
ítica
de
Seg
uran
ça:
Ver
dade
vs
Mito
Granularidade
• O detalhe obtido na definição e controle dos recursos necessários para desempenhar um papel específico nos dá uma idéia sobre a granularidade da política.
• Granularidade permite-nos endereçar vulnerabilidades emergentes.
• Ajuda a fechar o gap entre segurança e flexibilidade.
Resource
Role
Resource
Resource
• Servers/serviços• Aplicações• Comunicações• Arquivos• Dispositivos• Transações• Registry/configuração• etc.
Repensando a Segurança
![Page 23: Política de Segurança: Verdade vs Mito Security Policy: Truth vs. Myth Política de Segurança: verdade ou mito? Roberto de Carvalho roberto.carvalho@corest.com.](https://reader035.fdocumentos.com/reader035/viewer/2022081602/552fc15f497959413d8e6f67/html5/thumbnails/23.jpg)
Pol
ítica
de
Seg
uran
ça:
Ver
dade
vs
Mito
Acuracidade
• Os recursos para desempenhar cada papel são distintos.• O mesmo player poderia ou não ter acesso a
determinado recurso dependendo do processo em questão.
• Falhas implicarão em uma política inacurada.
Resource
Role A
Resource
Resource
Role B
Resource
Resource
Repensando a Segurança
![Page 24: Política de Segurança: Verdade vs Mito Security Policy: Truth vs. Myth Política de Segurança: verdade ou mito? Roberto de Carvalho roberto.carvalho@corest.com.](https://reader035.fdocumentos.com/reader035/viewer/2022081602/552fc15f497959413d8e6f67/html5/thumbnails/24.jpg)
Pol
ítica
de
Seg
uran
ça:
Ver
dade
vs
Mito
O processo de Segurança e o papel da Política
![Page 25: Política de Segurança: Verdade vs Mito Security Policy: Truth vs. Myth Política de Segurança: verdade ou mito? Roberto de Carvalho roberto.carvalho@corest.com.](https://reader035.fdocumentos.com/reader035/viewer/2022081602/552fc15f497959413d8e6f67/html5/thumbnails/25.jpg)
Pol
ítica
de
Seg
uran
ça:
Ver
dade
vs
Mito
O processo de Segurança
Definição daPolítica
Modelagemdo Risco
ArquiteturaSegurança
Visibilidade eControle
O papel da Política
![Page 26: Política de Segurança: Verdade vs Mito Security Policy: Truth vs. Myth Política de Segurança: verdade ou mito? Roberto de Carvalho roberto.carvalho@corest.com.](https://reader035.fdocumentos.com/reader035/viewer/2022081602/552fc15f497959413d8e6f67/html5/thumbnails/26.jpg)
Pol
ítica
de
Seg
uran
ça:
Ver
dade
vs
Mito
O papel central da Política de Segurança
PolíticaSegurança
ModelagemRisco
ArquiteturaSegurança
Visibilidade eControle
O papel da Política
![Page 27: Política de Segurança: Verdade vs Mito Security Policy: Truth vs. Myth Política de Segurança: verdade ou mito? Roberto de Carvalho roberto.carvalho@corest.com.](https://reader035.fdocumentos.com/reader035/viewer/2022081602/552fc15f497959413d8e6f67/html5/thumbnails/27.jpg)
Pol
ítica
de
Seg
uran
ça:
Ver
dade
vs
Mito
Modelagem do Risco
• Define escopo
• Identifica processos críticos
• Identifica recursos críticos
• Pontos de falhas
• Define objetivos
• Testa a política
PolíticaSegurança
ModelagemRisco
ArquiteturaSegurança
Visibilidade eControle
O papel da Política
![Page 28: Política de Segurança: Verdade vs Mito Security Policy: Truth vs. Myth Política de Segurança: verdade ou mito? Roberto de Carvalho roberto.carvalho@corest.com.](https://reader035.fdocumentos.com/reader035/viewer/2022081602/552fc15f497959413d8e6f67/html5/thumbnails/28.jpg)
Pol
ítica
de
Seg
uran
ça:
Ver
dade
vs
Mito
Arquitetura da Segurança
• Define políticas baseando-se em suas capacidades atuais
• Gerencia
• Aplica
PolíticaSegurança
ModelagemRisco
ArquiteturaSegurança
Visibilidade eControle
O papel da Política
![Page 29: Política de Segurança: Verdade vs Mito Security Policy: Truth vs. Myth Política de Segurança: verdade ou mito? Roberto de Carvalho roberto.carvalho@corest.com.](https://reader035.fdocumentos.com/reader035/viewer/2022081602/552fc15f497959413d8e6f67/html5/thumbnails/29.jpg)
Pol
ítica
de
Seg
uran
ça:
Ver
dade
vs
Mito
Visibilidade e Controle
• Define políticas que possam ser controladas
• Monitora sua política em ação
• Fornece feedback para retroalimentação
• Identifica próximos passos
PolíticaSegurança
ModelagemRisco
ArquiteturaSegurança
Visibilidade eControle
O papel da Política
![Page 30: Política de Segurança: Verdade vs Mito Security Policy: Truth vs. Myth Política de Segurança: verdade ou mito? Roberto de Carvalho roberto.carvalho@corest.com.](https://reader035.fdocumentos.com/reader035/viewer/2022081602/552fc15f497959413d8e6f67/html5/thumbnails/30.jpg)
Pol
ítica
de
Seg
uran
ça:
Ver
dade
vs
Mito
Infraestrutura de Segurança
![Page 31: Política de Segurança: Verdade vs Mito Security Policy: Truth vs. Myth Política de Segurança: verdade ou mito? Roberto de Carvalho roberto.carvalho@corest.com.](https://reader035.fdocumentos.com/reader035/viewer/2022081602/552fc15f497959413d8e6f67/html5/thumbnails/31.jpg)
Pol
ítica
de
Seg
uran
ça:
Ver
dade
vs
Mito
Taxonomia funcional das ferramentas
• Análise e formalização
– Ferramentas que ajudam no processo de modelagem do risco e definição de políticas.
• Enforcement
– Ferramentas usadas para aplicar as políticas
• Auditoria e Controle
– Ferramentas usadas para adquirir conhecimento do“security infospace” ajudando no processo de detecção e resposta as brechas de segurança.
![Page 32: Política de Segurança: Verdade vs Mito Security Policy: Truth vs. Myth Política de Segurança: verdade ou mito? Roberto de Carvalho roberto.carvalho@corest.com.](https://reader035.fdocumentos.com/reader035/viewer/2022081602/552fc15f497959413d8e6f67/html5/thumbnails/32.jpg)
Pol
ítica
de
Seg
uran
ça:
Ver
dade
vs
Mito
Análise e formalização
• Ferramentas
– Network discovery tools
– Scanners de Vulnerabilidade
– Ferramentas de ataque intrusivo
– Ferramentas de modelagem organizacional
– Ferramentas de modelagem de riscos
• Serviços
– Security Intelligence
– Testes de intrusão
– Definição de política
– Plano de contingencia
– Etc.
![Page 33: Política de Segurança: Verdade vs Mito Security Policy: Truth vs. Myth Política de Segurança: verdade ou mito? Roberto de Carvalho roberto.carvalho@corest.com.](https://reader035.fdocumentos.com/reader035/viewer/2022081602/552fc15f497959413d8e6f67/html5/thumbnails/33.jpg)
Pol
ítica
de
Seg
uran
ça:
Ver
dade
vs
Mito
Enforcement
• Ferramentas
– Identificação, Autenticação e Autorização
• PKI, Biometria, Tokens, Single Sign-On, Platforma dependente (SO específico)
– Segurança Software Básico
• Network services wrappers, Filesystem restrictions, Consistency checks, Security upgrades and patches, etc.
– Segurança da Aplicação
• Certificação/autorização de APIs, controle de versão, Aplicações dependentes.
– Segurança da rede
• Firewalls, VPNs, filtros de conteúdo
– Integridade / proteção dos dados
• Anti-vírus, Backups, checkers de consistencia.
![Page 34: Política de Segurança: Verdade vs Mito Security Policy: Truth vs. Myth Política de Segurança: verdade ou mito? Roberto de Carvalho roberto.carvalho@corest.com.](https://reader035.fdocumentos.com/reader035/viewer/2022081602/552fc15f497959413d8e6f67/html5/thumbnails/34.jpg)
Pol
ítica
de
Seg
uran
ça:
Ver
dade
vs
Mito
Auditoria e controle
• Ferramentas
– Network based Intrusion detection systems
– Host based intrusion detection systems
– Audit trails and log acquisition tools
– Log centralization tools
– Visualization tools
– Analysis tools
– Alarm and Reporting systems
– Forensics tools
– Security Operation Centers
• Serviços
– Managed Security Services
![Page 35: Política de Segurança: Verdade vs Mito Security Policy: Truth vs. Myth Política de Segurança: verdade ou mito? Roberto de Carvalho roberto.carvalho@corest.com.](https://reader035.fdocumentos.com/reader035/viewer/2022081602/552fc15f497959413d8e6f67/html5/thumbnails/35.jpg)
Pol
ítica
de
Seg
uran
ça:
Ver
dade
vs
Mito
Construindo uma infraestrutura de Segurança
• Criar um framework e selecionar ferramentas para avaliar, controlar, aplicar e gerenciar o que os players podem fazer (política de segurança)
• Abstrair o conceito de usuários e gerenciar players
• Integrar todos os componentes de segurança
• Endereçar escalabilidade
• Preocupar-se com a transparencia (para usuários, sistemas)
• Gerar visibilidade
• Manter uma perspectiva global
Infraestruturade Segurança
![Page 36: Política de Segurança: Verdade vs Mito Security Policy: Truth vs. Myth Política de Segurança: verdade ou mito? Roberto de Carvalho roberto.carvalho@corest.com.](https://reader035.fdocumentos.com/reader035/viewer/2022081602/552fc15f497959413d8e6f67/html5/thumbnails/36.jpg)
Pol
ítica
de
Seg
uran
ça:
Ver
dade
vs
Mito
Gerenciando uma infraestrutura de segurança
• Política de Segurança é aquilo que vc pode gerenciar
• Granularidade e acuracidade pode ser obtida apenas através de um esforço contínuo.
• Política de Segurança deve evoluir, assim como a infraestrutura.
• Mudanças culturais podem ser necessárias para gerenciar a segurança de maneira eficaz.
Infraestruturade Segurança
![Page 37: Política de Segurança: Verdade vs Mito Security Policy: Truth vs. Myth Política de Segurança: verdade ou mito? Roberto de Carvalho roberto.carvalho@corest.com.](https://reader035.fdocumentos.com/reader035/viewer/2022081602/552fc15f497959413d8e6f67/html5/thumbnails/37.jpg)
Pol
ítica
de
Seg
uran
ça:
Ver
dade
vs
Mito
Não se trata apenas de ferramentas
Firewalls
PKI
File system restrictions
App. Security
Risk Modeling
Network discovery
Pen testing
Infraestruturade Segurança
![Page 38: Política de Segurança: Verdade vs Mito Security Policy: Truth vs. Myth Política de Segurança: verdade ou mito? Roberto de Carvalho roberto.carvalho@corest.com.](https://reader035.fdocumentos.com/reader035/viewer/2022081602/552fc15f497959413d8e6f67/html5/thumbnails/38.jpg)
Pol
ítica
de
Seg
uran
ça:
Ver
dade
vs
Mito
Uma boa infraestrutura de Segurança
• Permite a definição e o enforcement de uma política por toda a organização
• Alavanca a implementação de uma estratégia de defesa em profundidade
• Maximiza o uso das capacidades existentes• Aumenta a granularidade da Segurança• Possibilita a descoberta em tempo real e
respostas aos gaps e ataques em ambientes complexos
• Traz as ferramentas necessárias para o gerenciamento do risco ao longo do tempo
Infraestruturade Segurança
![Page 39: Política de Segurança: Verdade vs Mito Security Policy: Truth vs. Myth Política de Segurança: verdade ou mito? Roberto de Carvalho roberto.carvalho@corest.com.](https://reader035.fdocumentos.com/reader035/viewer/2022081602/552fc15f497959413d8e6f67/html5/thumbnails/39.jpg)
Pol
ítica
de
Seg
uran
ça:
Ver
dade
vs
Mito
Uma boa infraestrutura de Segurança (cont.)
• Simplifica o esforço de gerenciar uma infraestrutura de multiplataformas com milhares de usuários e perfis.
• Facilita um inventário acurado de usuários, perfis, aplicações, políticas, recursos e processos com as propriedades de segurança.
• Reduz o treinamento necessário para gerenciar ambientes complexos
• Simplifica o dia-a-dia operacional do usuário final em ambiente multiplataforma.
• Oferece uma plataforma para homologar a implementação de novas tecnologias.
Infraestruturade Segurança
![Page 40: Política de Segurança: Verdade vs Mito Security Policy: Truth vs. Myth Política de Segurança: verdade ou mito? Roberto de Carvalho roberto.carvalho@corest.com.](https://reader035.fdocumentos.com/reader035/viewer/2022081602/552fc15f497959413d8e6f67/html5/thumbnails/40.jpg)
Pol
ítica
de
Seg
uran
ça:
Ver
dade
vs
Mito
Dicas para selecionar ferramentas
• Estatísticas do MIS CDS na Inglaterra
• NÃO EXISTE FÓRMULA MÁGICA
• Posso quantificar se o meu risco seria menor se comprasse uma nova tecnologia?
• Posso integrar a nova tecnologia com as outras existentes ?
• Posso gerenciar o meu novo brinquedo?
• Manter uma perspectiva global
Security infrastructure
![Page 41: Política de Segurança: Verdade vs Mito Security Policy: Truth vs. Myth Política de Segurança: verdade ou mito? Roberto de Carvalho roberto.carvalho@corest.com.](https://reader035.fdocumentos.com/reader035/viewer/2022081602/552fc15f497959413d8e6f67/html5/thumbnails/41.jpg)
Pol
ítica
de
Seg
uran
ça:
Ver
dade
vs
Mito
Sobre a Core Security Technologies
![Page 42: Política de Segurança: Verdade vs Mito Security Policy: Truth vs. Myth Política de Segurança: verdade ou mito? Roberto de Carvalho roberto.carvalho@corest.com.](https://reader035.fdocumentos.com/reader035/viewer/2022081602/552fc15f497959413d8e6f67/html5/thumbnails/42.jpg)
Pol
ítica
de
Seg
uran
ça:
Ver
dade
vs
Mito
Nossas soluções
![Page 43: Política de Segurança: Verdade vs Mito Security Policy: Truth vs. Myth Política de Segurança: verdade ou mito? Roberto de Carvalho roberto.carvalho@corest.com.](https://reader035.fdocumentos.com/reader035/viewer/2022081602/552fc15f497959413d8e6f67/html5/thumbnails/43.jpg)
Pol
ítica
de
Seg
uran
ça:
Ver
dade
vs
Mito
• Banco Privado de Inversiones
• BankBoston
• Ernst & Young LLP
• FEMSA (Coca Cola)
• Foundstone Inc.
• Greenlight.com
• IEEE
• KPMG
• MBA - Merchants Bank de Argentina
Lista parcial de clientes
• Metrored• Microsoft Inc.• Network Associates Inc.• Organización Veraz• PriceWaterhouseCoopers• Proofspace Inc.• Real Networks Inc.• SecurityFocus.com • Secure Networks Inc. • Siemens • UOL International• Vyou.com
![Page 44: Política de Segurança: Verdade vs Mito Security Policy: Truth vs. Myth Política de Segurança: verdade ou mito? Roberto de Carvalho roberto.carvalho@corest.com.](https://reader035.fdocumentos.com/reader035/viewer/2022081602/552fc15f497959413d8e6f67/html5/thumbnails/44.jpg)
Pol
ítica
de
Seg
uran
ça:
Ver
dade
vs
Mito
The Information Security Process
Perguntas?
Roberto de [email protected]
Emiliano [email protected]
Para receber uma cópia da apresentação, favor nos fornecer o seu e-mail