Вы находитесь на странице: 1из 31

Continuidade de Negócios

Security Day 2004

Leonardo Carissimi
leonardo.carissimi@br.unisys.com
São Leopoldo, Outubro de 2004
A Unisys hoje
Serviços
Tecnologia 76%
24%

Gazeta Mercantil, 12 de junho de 2003


Por quê Unisys para Segurança?

 Mais de 30 anos de experiência e sucesso


indiscutível em sistemas de missão crítica
 Certificações BS 7799, TruSecure e ISO 9000
 3 Centros de Excelência de Segurança da Informação
 3 Security Command Centers
 Profissionais Certificados
 Presença em todo território nacional
 Reconhecida internacionalmente como grande player
no mercado de segurança por institutos de pesquisa
como Giga Group, IDC e Datamonitor.
Centros de Gerência de Segurança

Amsterdam A Unisys está


presente em mais
Salt Lake City, UT
de 100 países.
Blue Bell, PA
Austin, TX

Brazil

Australia

South Africa
Centros de Gerência de Segurança

 Serviços em regime 24x7


 Gerenciamento de Detecção de Intrusos
 Gerenciamento de Firewalls
 Gerenciamento de VPNs
 Time de Resposta a Incidentes
 Análise de Vulnerabilidades
 Ethical Hacking
 SLAs agressivos
 Serviços flexíveis
 Ambiente de alta disponibilidade
 Profissionais Certificados
USCC Brasil
EM OPERAÇÃO
Certificações
22Security 44CCSA
83
83DCSE
DCSEAssociate
AssociatePortable
Portable SecurityLead
Lead CCSA
Auditor BS7799
Auditor BS7799 33CCSE
108 CCSE
108DCSE
DCSEAssociate
AssociateDesktop
Desktop
113
113DCSE
DCSEAssociate
AssociateServer
Server 11CSE
CSEKeon
Keon
116
116DCSE
DCSEAssociate
AssociateWorkstation
Workstation 55CCDA
CCDA
11NSA
NSA
87
87DCSE
DCSEMaster
MasterServer 16
Server 16CCNA
CCNA
22CISSP 11CCDP
CCDP
CISSP
55CCNP
CCNP
33NNCAS 31
NNCAS 31MCP
MCP
33CCIE
CCIE
11NNCSS 18
NNCSS 18MCSE
MCSE
29 44CSE
44NNCDS
NNCDS 11MCT 29A+
A+ CSE
55CNE MCT
CNE 11INFOSEC
INFOSEC
55MCSA
MCSA
VPN/Security
VPN/Security
11MCDBA Network
MCDBA NetworkMgmt
Mgmt
Specializations
Specializations
17
17Sun
SunField
FieldEngineer
Engineer
33Sun
Sun SystemSupport
System SupportEng 47
Eng 47PMP
PMP
Visão para Segurança
(…e Continuidade)
Os desafios atuais dos executivos de TI…
Como assegurar o Como saber se a
alinhamento de TI organização está
com o negócio? segura?

Como assegurar
que a infra-
Como posso
estrutura de TI é
maximizar o
confiável e estará
retorno sobre os
disponível quando
investimentos?
necessário ao
negócio?

Como Como simplificar o


gerenciar a gerenciamento da
complexidade infra-estrutura de
dos sistemas? TI?
… estão deixando-os preocupados
Será que tenho controle sobre os
resultados? Será que posso medí-los?

“ … 80% dos CIOs da Inglaterra


acreditam que suas soluções de TI
falham em fornecer vantagem
competitiva para suas
organizações…”
Silicom.com Oct 25, 2002
Survey performed by Serena SoftwareNovember 2002

“ … 71% dos executivos não podem


avaliar eficientemente o desempenho
do ambiente de TI … infelizmente, o
problema está ficando maior à medida
que a dependência à tecnologia
aumenta … “
Entrepreneur Magazine
November 2002
Survey performed by Clariteam Corp..
As Perdas Estão se Tornando Significativas
Theft of proprietary info $2,699,842
Denial-of-service attack $1,427,028 “There is much more illegal and
unauthorized activity going on in
Active Wiretapping $352,500 cyberspace than corporations
Financial fraud $328,594 admit to their clients, stockholders
Sabotage of data networks $214,521 and business partners, or report
Viruses $199,871 to law enforcement.
Insider abuse of Net access $135,255 Incidents are widespread, costly,
System penetration by outsider $56,212 and commonplace.”
Telecom Fraud $50,107
Laptop theft $47,107 2002 Computer Security Institute/FBI
Unauthorized insider access $31,254 Computer Crime & Security Survey

Telecom eavesdropping $15,200

Source: Computer Security Institute/FBI study, Spring 2003

Losses are “average per organization, per year” based on


responses from 530 organizations
A Segurança como Questão de Negócios
Segurança é um assunto de “Information security is a business
Conselho Diretor problem, not a technology one. With
the focus on information security in the
• Penalidades legais decorrentes media, and in legislatures around the
de brechas de segurança e world, organizations are facing complex
requirements to comply with security
fraudes and privacy standards and regulations.
This is forcing the discussion of
Proliferação de padrões de information security into boardrooms, as
indústria, regulamentações more executives and boards of directors
understand their responsibility and
e leis accountability in information security
governance.”
• Compliance se tornou peça-
chave para as organizações
Giga Information Group 12/2002 - IT Trends 2003:
Foco crescente em Information Security Standards, Regulations and
Legislation
segurança da informação
• Maior exposição às ameaças
virtuais
Mas há um longo caminho a percorrer
Top 10 Business Security Issues — 2003

As empresas geralmente vêem segurança da informação de uma perspectiva


fragmentada, não relacionando-a com questões de negócio. As empresas estão
apenas respondendo à demanda. Não estão pensando estrategicamente.
Alinhamento entre TI e negócio

Visão do Negócio
Arquitetura
de Negócios
Processos de Negócio

Infra-estrutura Aplicações
Tecnológica

Infra-estrutura

RASTREABILIDADE
Fundamento para alinhamento vertical da organização. Habilidade de
entender causa e conseqüência nas decisões de negócio e mudanças
na infra-estrutura.
Permite analisar os pontos mais críticos para
o negócio e otimizar a alocação de recursos

Visão do Atendimento aos clientes


Negócio Atendimento a leis, regulamentações

Processos de Negócio de missão-crítica


Processos de Plano de Continuidade de Negócios
Negócio
Aplicações e bases de dados de missão
crítica
Aplicações
Processamentos de dados
Procedimentos de Recuperação de
Infra-estrutura Desastre
Segurança física e lógica
Comunicações confiáveis
Informações protegidas
Hardware / Software - redundância
Continuidade de Negócios
Questões atuais
Quanto
Quantovocê
vocêperde
perdepor
porcada
cadahora
horadedeparalização?
paralização?
CONTINUIDADE
CONTINUIDADE Qual é a sua matriz de criticidade?
Qual é a sua matriz de criticidade?
Você
Vocêestá
estápreparado
preparadopara
paraum
umdesastre?
desastre?

Você
Vocêconhece
conheceas assuas
suasfalhas
falhasde
desegurança?
segurança?
PROTEÇÃO
PROTEÇÃODA
DA
INFRAESTRUTURA
Você
Você conhece o TCO do ambiente desegurança?
conhece o TCO do ambiente de segurança?
INFRAESTRUTURA Quem
Quem cuida da sua infra-estrutura enquantovocê
cuida da sua infra-estrutura enquanto vocêdorme?
dorme?

Como
Comovocê
vocêtroca
trocainformações
informaçõescom
comseus
seusparceiros?
parceiros?
COLABORAÇÃO
COLABORAÇÃO Como
Comovocê
vocêfornece
forneceinformações
informaçõespara
paraas
asautoridades?
autoridades?
Quais
Quaisos
osriscos
riscoslegais
legaisdas
dasinformações
informaçõesque
quegerencia?
gerencia?

Você
Vocêconsegue
conseguegarantir
garantiraaconfidencialidade?
confidencialidade?
PRIVACIDADE
PRIVACIDADE Os
Osdados
dadosdos
dosseus
seusclientes
clientesestão
estãoprotegidos?
protegidos?
EEos
os seus dados, são manipulados deforma
seus dados, são manipulados de formasegura?
segura?

Você
Vocêgarante
garanteeecontrola
controlaaaidentidade
identidadedos
dosseus
seususuários?
usuários?
IDENTIDADE
IDENTIDADE Como
Comovocê
vocêgerencia
gerenciaasaspermissões
permissõesdedeacesso?
acesso?
Será
Será que o seu administrador de rede tem acessoaatudo?
que o seu administrador de rede tem acesso tudo?
Quais os obstáculos para os planos?
Lack of Partner Support

Complexity of IT

Management Labor Issues

Lack of Dept. Support

Pace of Change

Lack of Executive Support

Lack of Qualified Staff

Poorly Defined Plans

Lack of Time

Lack of Training

Capital Expense

0 10 20 30 40 50 60

Falta de executivo patrocinador Source: Information Week study of 100 companies without plans.
Onde você foca seus esforços?
Suppliers

Crisis Management

Public Relations
Non-IT issues
Intellectual Property

Facilities

Human Resources

Customer Support IT issues


Business Process

IT Recovery

0 10 20 30 40 50 60
Source: Information Week study of 350 Business Technology Managers.
Continuidade em Padrões, Normas, etc

COBIT
ITIL BS 15000
MOF
ISO 15408
BS 7799-2
COSO
HIPAA

ISOGovernância
17799 Corporativa
Segurança fim a fim

• Classificação de Ativos
• Análise de Impacto no Negócio (BIA) • Hacker Ético
• Plano de Continuidade de Negócios • Análise de Riscos
• Gerenciamento de Crises • Análise de Segurança em Aplicações
• Adequação à normas e leis (compliance) • Conscientização e Treinamento
• Plano Estratégico de Segurança • Implementação de Projetos
• Segurança Organizacional • Segurança Física
• Gestão de Segurança

• Time de Resposta a Incidentes


• Gerenciamento de IDS
• Gerenciamento de Firewall/VPN
• Forensics
Modelo de Gestão da Segurança
RISCO ACEITÁVEL
ATIVOS
AMEAÇAS
AVALIAÇÃO
VULNERABILIDADES
DE RISCO
CONTROLES
IMPACTOS
ESTRATÉGIAS DE TRATAMENTO DE RISCO

TRANSFERIR REDUZIR ACEITAR EVITAR

DECLARAÇÃO DE APLICABILIDADE
BS 7799-1
IMPLEMENTAÇÃO DE CONTROLES
Modelo de Gestão da Segurança

 Política de  Apoio de
Segurança Ferramentas
RISCO ACEITÁVEL

 Planejamento
ATIVOS
AMEAÇAS  Capacitação da
AVALIAÇÃO
VULNERABILIDADES
DE RISCO Equipe
CONTROLES
 Definição de IMPACTOS
ESTRATÉGIAS DE TRATAMENTO DE RISCO
Papéis TRANSFERIR REDUZIR ACEITAR EVITAR  Detecção de
Intrusos
 Definição de BS 7799-1
DECLARAÇÃO DE APLICABILIDADE

IMPLEMENTAÇÃO DE CONTROLES
Responsabilidades  Monitoração de
Eventos
 Processo de
tratamento de  Contingenciamento
incidentes
Implementando a Gestão da Segurança
Política de Segurança

Plano de Continuidade
Análise de Riscos de Negócios

- Gestão de Riscos +

Ações Emergenciais
Planejamento de Segurança

Desenho e Implementação do
Modelo de Gestão de Segurança

Implementação do Gerenciamento Gerenciamento 24x7 de


de Segurança Segurança

Treinamento
Como antecipar ameaças e gerenciar riscos

Processo de Gestão
de Riscos

Security Control Cockpit


Correlacionamento entre eventos
e Processos Críticos

Security Command Center

Monitoração 24x7 de Eventos


Ameaça à Continuidade

DESCOBERTA DA
VULNERABILIDADE

RESULTADOS: VÍRUS
• Parada do negócio
• Perda de produtividade
• Ação corretiva
Garantia da Continuidade
DESCOBERTA DA
VULNERABILIDADE

RESULTADOS:
• Resposta Imediata
• Continuidade do Negócio
VÍRUS
Business Continuity Planning Methodology

Assessment Development Implementation Planning

BUSINESS BUSINESS PLAN BCP


PROJECT
IMPACT CONTINUITY CONSTRUCTION VALIDATION
INITIATION
ANALYSIS STRATEGIES

DELIVERABLES DELIVERABLES DELIVERABLES DELIVERABLES DELIVERABLES


• Project Organization • BIA Report • Report/Presentation • Business Continuity Plan • Exercise Procedures
• Project Schedule • Dependency Maps • Recommendations • Disaster Recovery Plan • Maintenance Procedures
• Architecture Roadmap • Crisis Management • Training Requirements
• Return Plan
Case TSA

 Reconhecimento do nosso
expertise:
 Após os atentados de 11 de
setembro de 2001, o governo
americano criou a TSA
(Transportation Security
Agency) para fazer a
segurança de mais de 400
aeroportos americanos. E
selecionou a Unisys para fazer
a segurança da TSA.
Plano de Continuidade de
Negócios
Security Day 2004

Leonardo Carissimi
leonardo.carissimi@br.unisys.com
São Leopoldo, Outubro de 2004