como gerenciar a sua segurança da informação
DESCRIPTION
Slides da palestra "Como gerenciar a sua segurança da informação" ministrado por Armsthon Zanelato, diretor de operações da ISH no evento para CIOs organizado pela Sucesu-MG em Outubro de 2009.TRANSCRIPT
ISH TecnologiaISH TecnologiaDesafio: Prover a Gestão de Segurança da
Informação
Armsthon Hamer dos Reis ZanelatoDiretor de Operações
Agenda
�Avaliar• Cenário: Tendências e ameaças em Segurança da Informação.
� Implantar• Topologia Corporativa: Ferramentas de Proteção.
�Gerenciar• Métricas de Segurança podem auxiliar nos esforços de
Conformidade;
• Serviços Gerenciados de Segurança.
Symantec Internet Security Threat Report XIV
Cenário das ameaças em 2009
Cyber criminososquerem a SUA
informação
• Foco em explorarusuários finais paraobter ganhosfinanceiros
Atividades Maliciosasbaseadas na Web
se aceleraram
• Principal vetor de atividades maliciosas
• Tem como alvowebsites com boa reputação e alto tráfego
Aumentou a sofisticação do Mercado Negro
• Infraestrutura bemorganizada para o comércio de informaçõesroubadas
Rápida adaptação àsmedidas de segurança
• Realocando operaçõespara novas áreasgeográficas
• Fugindo da proteção de segurança tradicional
Tendências principais – Atividade Global em2008
Ameaças Vulnerabilidades CódigoMalicioso
Spam/Phishing
• Falha na segurançade dados podemlevar ao roubo de identidades
• Roubo e perda sãoas principais causasde vazamento de dados de identidade
• As ameaçasaumentaram com o crescimento dabanda larga de Internet
• São 19% (5491) as vulnerabilidadesdocumentadas
• Vulnerabilidade maisatacada: Exploradapelo Downadup(conficker)
• 95% das vulnerabilidadesatacadas foram do lado do cliente
• Trojans são 68% do volume dos top 50 códigos maliciosos
• 66% de códigosmaliciosos empotencial se propagamm comoarquivosexecutáveiscompartilhados
• 76% phishing tem comoalvo serviçosfinanceiros
• Detectados 55.389 Websistes de phishing
• Detectado aumento de 192% no spam naInternet com 349.6 bilhões de mensagens
• 90% dos e-mail de spam são distribuídospor “Bot networks”
Fonte: Internet Security Threat Report, Volume XIV
Fluxo de um ataque
Ataques Web-based são hoje o principal vetor de atividade maliciosa na Internet
Websites sãocomprometidos
Visitantes sãoatacados
Códigosmaliciosos são
instalados
Informaçõesroubadas são
vendidas
Websites são comprometidos
• Atacantes localizam e comprometem um site de alto tráfego através de umavulnerabilidade específica do site ou da aplicação web que ele disponibiliza
• Uma vez que o site é comprometido os atacantes modificam as páginas paraque o conteúdo malicioso seja servido aos visitantes
Vulnerabilidades em aplicaçõesWeb
Vulnerabilidades específicasdos sites
Internet Security Threat Report, Volume XIV
Visitantes são atacados
• Em muitos casos os ataques são lançados de diferenteslocalizações do que a do site comprometido;
• As principais vulnerabilidades exploradas pelos ataques estãotanto no navegador como nos plug-ins e aplicações cliente;
• Muitos dos ataques baseados na Web exploramvulnerabilidades de média severidade.
Top Web-based attacks
Internet Security Threat Report, Volume XIV
Códigos maliciosos são instalados
• Em 2008 a Symantec bloqueou uma média de mais de 245 milhões de tentativas de ataque via código malicioso a cada mês;
• Mais de 60% das assinaturas Symantec para códigos maliciosos foramcriadas em 2008;
• Mais de 90% das ameaças descobertas em 2008 tem como objetivo roubode informação confidencial.
Internet Security Threat Report, Volume XIV
Informações roubadas são vendidas
• Informações de cartão de crédito (32%) e credenciais de contas de banco (19%) continuam a ser os itens mais anunciados no mercadonegro;
• A faixa de preços por informações de cartão de crédito permanecemconsistentes em 2008, variando de $0,06 a $30 por número de cartão;
• Contas de e-mail comprometidas podem prover acesso a outrasinformações confidenciais e recursos adicionais.
Internet Security Threat Report, Volume XIV
Tendências das Ameaças – AtividadesMaliciosas
• Em 2008 os Estados Unidos foi o país com maior volume de atividademaliciosa com 23% do total.
• O Brasil subiu no ranking de 8o para 5o lugar de 2007 para 2008, com atuais 4% do volume de atividades maliciosas no mundo.
• Na medida que a Internet em banda larga cresce em certos países a sua participação na atividade maliciosa também cresce.
Internet Security Threat Report, Volume XIV
Topologia Corporativa – Infraestrutura de TI
Rede local corporativa
Internet
Dmz
Wan
filialfilialfilial
Usuárioremoto
Topologia Corporativa – Ferramentas de Segurança
Proteção do Endpoint
Firewall
Virtual Private Network
Web Security
Intruder Prevention
UsuárioGerente de TI
Dm
z
Wan
filial
filial
filial
Intern
et
Corporate LAN
Intruder Prevention
Controle de acesso
Controle de Conformidade
Data Loss Prevention
Gerenciamento de Infraestrutura
Gerenciamento de Segurança
Host Security
Controle de Vulnerabilidades
Certificação e assinaturas digitais
Desafios do Gestor de TI no cenário atual
� Lidar com a complexidade e heterogeneidade da topologia de Tecnologia da Informação;
� Lidar com diversos fornecedores de serviços, software e hardware;
� Manter a infraestrutura, os sistemas de TI e as informações da empresa sempre disponíveis e seguras, tudo isto com os usuários satisfeitos;
� Gerenciar o orçamento de TI;
Desafios do Gestor de TI no cenário atual
� Lidar com a dificuldade para seleção, gerenciamento, capacitação e retenção de Recursos Humanos;
� Lidar com uma cultura organizacional desvirtuada dos padrões de segurança;
� Lidar com as cobranças quanto ao retorno sobre os � Lidar com as cobranças quanto ao retorno sobre os investimentos na área de TI;
� Planejar e implementar novos projetos de TI, alinhados com a estratégia da empresa;
� Gerenciar a conformidade com os padrões e métodos adotados em TI (ISO 17799, ITIL, ISO 20000, ISO 27000, SOX, etc).
Gerenciamento de Segurança e Conformidade
� Métricas de Segurança podem auxiliar nos esforços de Conformidade:• O valor das Métricas de Segurança;• A metodologia para se obter Métricas de Segurança;• O Modelo de Maturidade de Segurança.
O valor das Métricas de Segurança
� O quão segura é sua organização hoje? Que métrica você utilizapara validar esta afirmação?
� O seu orçamento de Segurança da Informação priorizacorretamente os riscos e iniciativas de conformidades dentro daorganização?
� Sua postura de Segurança da Informação está melhorando oupiorando? Como você sabe?piorando? Como você sabe?
� Qual é a regra de métricas de Segurança da Informação nos seusprojetos atuais e futuros?
Tipos de Métricas de Segurança
Onde nós estamosem risco?
• Exemplos:
A segurança estámelhorando?
• Exemplos:
Valor dos Investimentos?
• Exemplos:
ImportanteImportante parapara o CIOo CIO
• Exemplos:• Percentual de
funções críticas emsistemas conformes
• Percentual de AtivosCríticos sob Análisede Riscos
• Percentual de AtivosCríticos com planode mitigação de riscos
• Exemplos:• Percentual de riscos
identificados e/oumitigados
• Percentual de riscosaceitos
• Percentual de riscosnão mitigados
• Exemplos:• Custo total de
propriedade do investimento (TCO)
• Gastos operacionaisx investimentos de capital
• Percentual dos gastos emSegurança daInformação x Orçamento de TI
Tipos de Métricas de Segurança
Segurança do Perímetro?
• Exemplos:• Taxa de
detecção de spam
Cobertura das ferramentas de
segurança?• Exemplos:• Percentual de
sistemas com antivirus
Disponibilidade/integridade?
• Exemplos:• Host Uptime
• Percentual de
Riscos de aplicações?
• Exemplos:• Número de
vulnerabilidades/aplicações
ImportanteImportante parapara o CISOo CISO
spam
• Número de vírusdetectados
• Número de ataques daInternet
sistemas com antivirus
• Nível de aplicação de patches
• Percentual de Sistemas com instalaçãopadrão
• Cobertura do escaneamentovulnerabilidades
• Percentual de downtime devido a incidente
• MTBF/MTR
/aplicações
• Número de aplicaçõesanalisadas x número de aplicaçõestotais
Qual a métrica mais adequada para o CISO
�Security Officer:• Métricas operacionais
o Ajuda a enxergar o quadro geral da operação de segurança dainformação.
• Métricas de conformidadeo Medidas contra suas normas/requerimentos/padrões.o Medidas contra suas normas/requerimentos/padrões.
• Métricas de projetoo Mostra o retorno no investimento de segurança da informação;o Derivadas das métricas operacionais.
• Necessita de métricas para informar e aconselhar o gerente senior no gerenciamento dos riscos e melhoriasnos processos de segurança
Qual a métrica mais adequada para o CIO
�Gestor de TI:• Métricas de projeto• Métricas de conformidade• Algumas métricas operacionais
o Especialmente as que se relacionam com outras funções de TI (Exemplo: vulnerabilidades de aplicações).(Exemplo: vulnerabilidades de aplicações).
• Riscos:o Onde estão os riscos?o Qual a nossa postura de segurança?
• Métricas de Tempoo Eficiência Operacional.
• Métricas Financeiraso Aumento de produtividade, redução de custos.
Metodologia: CIS Security Metrics - Exemplos
• Tempo médio para descoberta de um incidente• % de incidentes detectados pelos controles
internos
Gerenciamento deIncidentes
• Percentual de sistemas com vulnerabilidades nãoconhecidasVulnerabilidades
• Conformidade com a política de patches• Tempo médio para implantar patches críticos
Gerenciamento dePatches • Tempo médio para implantar patches críticosPatches
• Cobertura da análise de riscos• Cobertura da análise de vulnerabilidadesSegurança de Aplicações
• % de mudanças com revisão de segurança• % de mudanças com exceções de segurança
Gerenciamento de Configurações
• Percentual dos gastos com Segurança de TI x orçamento de TIMétricas Financeiras
Fonte: Center for Internet Security, 2009
Quanto investimento é suficiente paraSegurança da Informação?
� Resposta:� Gastando muito pouco em
segurança (postergando custos) maximizam-se os custos de falha(falso senso de segurança)2;
“Nós gastamos milhões em segurança da informação e nada de ruim acontece. É por causa dos milhões que nós gastamos ou por causa que nada de mau iriaacontecer de qualquer forma?”1
(falso senso de segurança)2;� Gastando muito em segurança
(antecipando os custos) reduz oscustos de falha, mas maximiza o custo total do programa (caçandofantasmas);
� O ponto de cruzamento entre oscustos de antecipação e falharepresentam a segurançaotimizada. 1 CSO Magazine: “What is Security Worth” (2006)
2 Information Risk Executive Council Audit Director Roundtable (2005)
Quão “otimizada” é a sua Arquitetura de Segurança?
Segura
• Orientada a eventos
• Proteção reativa• Segurança Básica
Conforme
• Desenvolvimentoda Política
• Algumapadronização
• Conformidadecom padrõesexternos
Proativa
• SegurançaProativa
• Visão centralizada• A segurança
habilita a conformidade
Otimizada
• Multi nível e correlacionada
• Conformidadeautomatizada
• Eficiencia de custo
Modelo de Maturidade de SegurançaModelo de Maturidade de Segurança
com padrõesexternos
conformidade• Audite uma vez,
reporte muitas• Maior integração
custo
Custo e Riscos ElevadosBaixa postura de segurança
Custo e Riscos ReduzidosElevada postura de segurança
Como implementar uma arquitetura otimizadade Segurança da Informação?
Análise de Riscos e dos processos de
segurança
Aplicação de Ferramentas e
processos de Controlee Conformidade
Monitoramento e resposta a incidentes
e Conformidade
Correlação de eventose conformidade
automatizada e com visão centralizada
Gerenciamentoatravés de Métricas de Segurança que façamsentido a organização
Soluções
� Adoção de estratégias para SIMPLIFICAÇÃOSIMPLIFICAÇÃO e CONSOLIDAÇÃO CONSOLIDAÇÃO das ferramentas de controle de Segurança e Conformidade de TI;
�� CENTRALIZAÇÃOCENTRALIZAÇÃO do gerenciamento de Segurança e Conformidade com utilização de Métricas de Segurança que façam sentido para a organização;que façam sentido para a organização;
�� Estratégia 1Estratégia 1: Montagem de uma infraestrutura própria para gestão otimizada de Segurança da Informação com Ferramentas, Processos e Recursos Humanos;
�� EstratégiaEstratégia 2:2: adoção de Serviços Gerenciados de Segurança da Informação em parte ou em todo o processo de Segurança da Informação.
Serviços Gerenciados de Segurança daInformação
� Conjunto de ferramentasferramentas, métodosmétodos, processosprocessos, pessoaspessoas e infraestruturainfraestruturade TI que visam o monitoramento e/ou gerenciamento proativo gerenciamento proativo da infraestrutura de rede e segurança da informação de nossos clientes através de nosso SecuritySecurity OperationsOperationsCenter Center – SOC/Network SOC/Network OperationOperation Center Center -- NOCNOC
Qual a infraestrutura do SOC/NOC ISH?
� Infra-estrutura física adequada para prestação de serviços em regime 24 x 7;
� Soluções e ferramentas dos principais fabricantes de segurança e networking;
� Pessoal altamente capacitado e certificado nas principais soluções do mercado;principais soluções do mercado;
� Metodologia de Trabalho ISH, desenvolvida com mais de 12 anos de experiência;
� Certificação ISO 9001:2000;� Equipes residentes em Vitória, São Paulo e Brasília (BH
em implantação).
O que o SOC/NOC da ISH pode fazer?
� Análise de Riscos e Vulnerabilidades;� Gerenciamento de ferramentas de segurança,
servidores e redes;� Correlação de eventos de segurança da informação;� Gerenciamento de conformidade;� Monitoramento 24 x 7: disponibilidade, desempenho e � Monitoramento 24 x 7: disponibilidade, desempenho e
segurança de ativos de rede, servidores e serviços;� Resposta a incidentes com atuação
remota e/ou in loco;
� Recuperação de desastres;� Geração de relatórios e estatísticas;� Suporte de 3º nível sob demanda.
Pessoas
Processos
Ferramentas
Quais as soluções, modalidades e níveis de serviços ofertados?
� Serviços Gerenciados Ofertados - Security as a Service:� Firewall/VPN� IPS/IDS� Segurança do EndPoint� Messaging Security
� Modalidades Ofertadas:� Locação de hardware e software� Monitoramento via SOC/NOC
com alertas� Administração remota/local de
infraestrutura de TI e segurança da informação
� Resposta a incidentes� Messaging Security� Web Security� Data Loss Prevention - DLP� Conformidade� Backup/restore� Coleta e correlação de eventos
de segurança da informação� Aceleração de redes e
aplicações� Switching/Routing/IP Telephony
� Resposta a incidentes� Outsourcing� Suporte de 3º nível
� Níveis de Serviços Ofertados:� Monitoramento: 24 x 7 com
alertas via e-mail e/ou telefone� Administração, suporte e resposta
a incidentes: 24 x 7 ou 8 x 5
Benefícios com Serviços Gerenciados
� Menor custo total de propriedade;� Pessoal interno com maior foco no
negócio da empresa;� Maior nível de especialização nos
serviços;� Melhor nível de monitoração de eventos
de segurança;� Maior rapidez na resposta a incidentes;� Maior rapidez na resposta a incidentes;� Maior disponibilidade dos serviços (24x7);� Gerenciamento e Monitoramento Pró-
Ativo e PREVENTIVO;� Parceiro com visão independente da
postura de administração da infraestrutura e segurança da empresa;
� Menor quantidade com maior qualidade dos controles internos através da aplicação de Métricas de Segurança.
E se as ferramentas falharem?
�Responder� Como estar preparado se as ferramentas falharem
Assunto para nosso próximo encontro …Assunto para nosso próximo encontro …