Segurança da Informação na Empresa

TECC - Economia de TIUFCG / CCT / DSC

J. Antão B. Mouraantao@dsc.ufcg.edu.br

Segurança da informação (Passado)

Exemplos de informações corporativas “sensíveis” (“ativos importantes”).

Segurança facilitada pela “internação”, mas:

• Desvia foco do negócio

• Múltiplas interfaces• Investimentos

grandes ($, RH, t)Finanças:CP/CRContabilidade

Parceiros:EstoquePedidosComprasContas PagarTransporte

…

Clientes:CréditoVendasHistóricoSuporte

Corporação

Internet

Backup

Pessoal:DesempenhoFolha PagtoBenefíciosFundo Pensão

Segurança no Presente / Futuro

Recursos de TI na Web, incluindo (quantidade crescente de) ativos importantes (VPN)- Baixo custo- Usuário com foco no negócio:

• Única I/F (browser)• Menor investimento

Mas, maior complexidade e qualidade sofrível de S.O. (ex: MS-IIS) e aplicações

• Fontes de vulnerabilidade

Internet

Clientes:CréditoVendasHistóricoSuporte

Parceiros:EstoquePedidosComprasContas PagarTransporte

Finanças:CP/CRContabilidade

...Backup

Pessoal:DesempenhoFolha PagtoBenefíciosFundo Pensão

Para que o barato não saia caro...

• Algumas aplicações Web são rápidas para desenvolver e exigem pequeno investimento para aumentar ganhos intangíveis:– Melhoram moral e colaboração de pessoas, equipes– Simplificam acesso à informação e outros ativos– Reduzem tempo para o mercado

• Investimentos em segurança normalmente sobem após incidentes graves (IDC)– Vantagem de enxergar segurança como parte do negócio

a ser tratada em qualquer projeto de TI• 60 a 100 vezes mais barato do que consertar (@stake)

O caminho das pedras: prejuízos, riscos, prioridades e controles

1. Política (identifica informação sensível e porque)- O quê e quanto?

Quais os ativos de informação (multimídia)?Qual o valor para a empresa (dimensão dos possíveis prejuízos)Desconsiderar ativos de baixo valor (prioridades)

2. Escopo Toda a empresa, departamentos, interfaces externas (TI, Web, fone, fax, computação móvel, assessoria

de imprensa, ...)

3. Análise de riscoRisco (probabilidade) de perder ativos de alto valor

4. Gerência (para minimização) do riscoUso de tecnologia, pessoal, procedimentos, dispositivos, seguro, ...

5. Medidas e controlesManeiras escolhidas (a partir de lista “padrão”) para a gerência do risco

6. Estudo de adequaçãoJustificativa para cada medida e controle adotado ou descartado (da lista)

Perguntas importantes

• A segurança que temos hoje basta?

• Que nível de segurança precisamos?

• Quais os riscos que aceitamos?

O preço das pedras ...

• Quanto podemos investir para o nível de segurança necessário?

O custo da segurança

• Custos em termos de:– Infraestrutura

– Inconveniência

• Resistência por:– CIO

– Usuários

• Custo e riscos são crescentes...

Segurança tradicional de redes

Cresc

imen

to d

o uso

da I

nternet

por em

presa

s e go

vern

o

2002 t

$

Risco

Motivação

• Redes (Internet, Web, VPN) são hoje, infra-estrutura computacional corporativa e suportam ativos importantes

– Questão antes apenas técnica (CIO) passa a ser também, do negócio e financeira (C E/F/I O)

• Relevância do ganho “financeiro” para a empresa• Planejamento estratégico para vantagem competitiva do negócio

• Como “segurança” pode trazer vantagem competitiva?

Segurança na Visão do Negócio

• Segurança pode ser promotora do negócio!– Vigilância sanitária em um restaurante: descuidos

(além de multas), podem levar à má reputação, perda de clientes e ao fechamento.

– Falta de segurança com informação idem.

Segurança como parte do negócio

• Segurança pode melhorar processos do negócio– VPN, por exemplo, troca acesso via linha dedicada por acesso

remoto seguro, mais abrangente a todos os colaboradores e mais barato.

• Redução de custos de infraestrutura física (escritório), eletricidade, ...

– Autenticação e criptografia permitem atender clientes “pessoalmente” em servidores Web, ao invés de balcão, com mais facilidade e menor equipe (IR no Brasil)

– Criação de novas oportunidades de negócio com e-business

• Segurança como parte de todo projeto de TIC– Como gestão da qualidade– Exige educação, mudança cultural e motivação para excelência

Segurança na visão do ROI

• ROI como suporte à tomada de decisão– Análises de pagamento (payback) e de risco, valor presente

líquido, taxa de retorno interno– Usados para comparar projetos ou soluções (com

investimentos correspondentes) diferentes para problemas da empresa

• Aprovação se (taxa do) ROI ultrapassa certo valor– Inexistência de investimentos com ciranda financeira

– Análise OK com parâmetros ou custos bem definidos (valores tangíveis)

– Análise complicada com custos ou ganhos intangíveis• Maior satisfação de clientes

ROI de Segurança (ROSI)

• ROI sendo usado para decisões sobre TIa) 80% de CIOs em Pesquisa da InformationWeek (julho 2001)

b) Análise deve considerar elementos de custos como:• Licenças de software, hardware• Honorários de consultores, salários de técnicos e gestão• Terceirização de hospedagem

c) Mas no caso de Segurança, como valorar prejuízos:• Danos à reputação, reveses estratégicos, perda de informações• Captura de informações, perda de oportunidades de negócios

OBS: Terceirização ajuda a clarear custos em b); empresa se ocupa em estimar c).

Uma Dica para ROSI

1) Qual o nível de risco inaceitável?– PAS = Prêmio Anual do Seguro para cobrir risco*– PSS = Preço da Solução de Segurança para risco

“aceitável”

ROI = PAS – PSS

* Maquiavel: Análise de risco com “desastre dos outros”– Desgaste da marca (perda de reputação)– Perda de receita com paralisação da operação

Um modelo para custos

1. Avaliação – equipe (CISO, gerentes, auditores e apoio administrativo)

2. Proteção - $ para HW, SW, atualizações (novos vírus, ...)3. Gestão – Equipe técnica, especializada nos ativos/dispositivos de

segurança (configuração, desenvolvimento de software, listas de controle de acesso, ...)

4. Treinamento – Toda a empresa e equipe de segurança em particular (atualização contínua)

5. Monitoração – Custos de pessoal para acompanhar sensores (24x7x365)

6. Reação – Equipe para atendimento de emergências e rastreamento

Diretrizes

• Implantação de política de segurança completa envolve ativos, pessoal e treinamento1) requisitos de gestão e pessoal

• Equipe própria X terceirizaçãoEncargos, férias, licenças, escala de treinamento ...Onde achar especialistas?

2) custos de aquisição de soluções• Tratar com múltiplos fornecedores pode se tornar falha de segurança

Diretrizes

• Insipiência da indústria: pouca regulamentação e normas para referência e diretrizes– Norma NBR ISO/IEC 17799: Código de prática para

a gestão da segurança da informação• Parte 1: Lista de coisas que devem ser feitas (Política)• Parte 2: Como construir (Processo) Sistemas de Gestão de

Segurança

– Busque soluções alinhadas com a norma (“certificação”)

De volta ao futuro...

• 1882 – investimento em sprinklers era duvidoso– Março 1882, George Parmalee ateou fogo em fábrica

de fiação de algodão em Bolton, Inglaterra• Em 90 seg, fogo e fumaça tomaram toda a fábrica

• Depois de 120 seg, 32 sprinklers automáticos extinguiram o incêndio

– “Argumento de vendas” para patente do irmão Henry– Venderam porém, poucas unidades

“...não conseguiam contratar....a não ser que assegurassem umretorno razoável pelo investimento”

Sir John Wormald (testemunha ocular)

Evolução em ROSI e Tecnologias de Segurança

• De volta ao futuro...– Seguro com desconto para fábricas com sprinklers– Descontos maiores para sprinklers com melhor tecnologia– Seguros mais caros para as fábricas sem sprinklers

Fábricas com sprinklers não perdiam tempo prevenindo ou cuidando de incêndios, concentravam-se nos negócios!

• Avanços pela Indústria de Seguros e pelo Lucro– Com todas as outras variáveis ou fatores iguais, empresas com

informação (rede) segura terão menores prêmios de seguro (diferencial competitivo), menores custos e maiores margens de lucro!

“O pulo do gato”

• Como nossa empresa poderá usar Segurança para:– Vantagem competitiva– Melhores margens