![Page 1: Princípios de Segurança Empresarial e Actores Envolvidos Pedro Tavares Silva](https://reader036.vdocuments.pub/reader036/viewer/2022062318/552fc117497959413d8c8606/html5/thumbnails/1.jpg)
Princípios de Segurança Empresarial e Actores Envolvidos
Pedro Tavares Silva
![Page 2: Princípios de Segurança Empresarial e Actores Envolvidos Pedro Tavares Silva](https://reader036.vdocuments.pub/reader036/viewer/2022062318/552fc117497959413d8c8606/html5/thumbnails/2.jpg)
SEGURANÇASEGURANÇA
RiscoRisco
AmeaçasAmeaças
BensBens
ImpactoImpacto
EstratégiaEstratégia
ControloControloArquitecturaArquitectura
Segurança Segurança da da
InformaçãoInformação
Segurança Segurança FísicaFísica
Segurança Segurança do Pessoaldo Pessoal
Segurança Segurança LógicaLógica
ConformidadeConformidade
TestesTestes
AuditoriasAuditorias
Recuperação Recuperação de Desastrede Desastre
Continuidade Continuidade do Negóciodo Negócio
AtaquesAtaquesProjectoProjecto
ProgramaPrograma
PrevençãoPrevenção
ProtecçãoProtecção
PlanoPlano
RTORTORPORPO
ResponsabilidadesResponsabilidadesOrganizaçãoOrganização
RiscoRisco
RiscoRisco
Segregação Segregação de Funçõesde Funções
Normas e Normas e LegislaçãoLegislação
PolíticaPolítica
ProcedimentosProcedimentos
OrçamentoOrçamento
MétricasMétricas
RetornoRetornoCustoCusto
![Page 3: Princípios de Segurança Empresarial e Actores Envolvidos Pedro Tavares Silva](https://reader036.vdocuments.pub/reader036/viewer/2022062318/552fc117497959413d8c8606/html5/thumbnails/3.jpg)
© Pedro Tavares Silva SITIC2 de Novembro de 2006
3
Princípios da Segurança Empresarial
Objectivo da segurança
Condicionantes
PrincípiosPrincípios
Intervenientes
![Page 4: Princípios de Segurança Empresarial e Actores Envolvidos Pedro Tavares Silva](https://reader036.vdocuments.pub/reader036/viewer/2022062318/552fc117497959413d8c8606/html5/thumbnails/4.jpg)
© Pedro Tavares Silva SITIC2 de Novembro de 2006
4
Relação custo/benefício
Relação favorável entre os gastos associados à implementação de medidas de segurança e o retorno em matéria de prevenção e protecção
![Page 5: Princípios de Segurança Empresarial e Actores Envolvidos Pedro Tavares Silva](https://reader036.vdocuments.pub/reader036/viewer/2022062318/552fc117497959413d8c8606/html5/thumbnails/5.jpg)
© Pedro Tavares Silva SITIC2 de Novembro de 2006
5
Concentração
Concentração dos bens a proteger em função da sua sensibilidade
Reduz duplicação de meios para protecção de activos com requisitos de protecção idênticos
Maior eficiência
![Page 6: Princípios de Segurança Empresarial e Actores Envolvidos Pedro Tavares Silva](https://reader036.vdocuments.pub/reader036/viewer/2022062318/552fc117497959413d8c8606/html5/thumbnails/6.jpg)
© Pedro Tavares Silva SITIC2 de Novembro de 2006
6
Protecção em Profundidade
AKA protecção em anéis concêntricos Bens/medidas de protecção dispostos de forma
concêntrica, com os bens mais sensíveis no centro
Disposição física ou lógica Barreiras sucessivas e progressivas, à medida
que o grau de sensibilidade da informação aumenta.
As medidas de protecção tornam-se cumulativas Maior eficácia
![Page 7: Princípios de Segurança Empresarial e Actores Envolvidos Pedro Tavares Silva](https://reader036.vdocuments.pub/reader036/viewer/2022062318/552fc117497959413d8c8606/html5/thumbnails/7.jpg)
© Pedro Tavares Silva SITIC2 de Novembro de 2006
7
Consistência
Medidas de protecção equivalentes para bens com requisitos de protecção equivalentes
Protecção homogénea
Nível de protecção idêntico, independentemente da sua natureza (acesso físico/lógico)
Nível de protecção idêntico independentemente do grau de utilização do acesso
![Page 8: Princípios de Segurança Empresarial e Actores Envolvidos Pedro Tavares Silva](https://reader036.vdocuments.pub/reader036/viewer/2022062318/552fc117497959413d8c8606/html5/thumbnails/8.jpg)
© Pedro Tavares Silva SITIC2 de Novembro de 2006
8
Redundância
Mais de uma forma de protecção para o mesmo fim
A protecção de um bem não deve ficar comprometida pela falha de um único controlo
Exemplos: clusters, porteiro e porta com chave
![Page 9: Princípios de Segurança Empresarial e Actores Envolvidos Pedro Tavares Silva](https://reader036.vdocuments.pub/reader036/viewer/2022062318/552fc117497959413d8c8606/html5/thumbnails/9.jpg)
© Pedro Tavares Silva SITIC2 de Novembro de 2006
9
Princípios da Segurança Empresarial
Objectivo da segurança
Condicionantes
Princípios
IntervenientesIntervenientes
![Page 10: Princípios de Segurança Empresarial e Actores Envolvidos Pedro Tavares Silva](https://reader036.vdocuments.pub/reader036/viewer/2022062318/552fc117497959413d8c8606/html5/thumbnails/10.jpg)
© Pedro Tavares Silva SITIC2 de Novembro de 2006
10
Administração
A sua principal motivação é a satisfação dos accionistas e, como tal, dos clientes
Estabelece a cultura, ditando o comportamento, mais ou menos seguro, dos utilizadores
Responsáveis pelos bens (incluindo a informação) e pelo governo da Organização – tem necessidade de demonstrar “due diligence”
![Page 11: Princípios de Segurança Empresarial e Actores Envolvidos Pedro Tavares Silva](https://reader036.vdocuments.pub/reader036/viewer/2022062318/552fc117497959413d8c8606/html5/thumbnails/11.jpg)
© Pedro Tavares Silva SITIC2 de Novembro de 2006
11
Administração (continuação)
Poder de decisão de topo - a maioria das decisões tem impacto na segurança
A segurança é usualmente um custo ou uma necessidade
A agilidade dos processos e a disponibilidade da informação não são facilmente compatibilizadas com uma boa segurança
![Page 12: Princípios de Segurança Empresarial e Actores Envolvidos Pedro Tavares Silva](https://reader036.vdocuments.pub/reader036/viewer/2022062318/552fc117497959413d8c8606/html5/thumbnails/12.jpg)
© Pedro Tavares Silva SITIC2 de Novembro de 2006
12
Administração
Recomendações:Recomendações:
Mostrar as principais alternativas presentes e as suas implicações
Facultar a informação necessária para suportar a tomada de decisões informadas
![Page 13: Princípios de Segurança Empresarial e Actores Envolvidos Pedro Tavares Silva](https://reader036.vdocuments.pub/reader036/viewer/2022062318/552fc117497959413d8c8606/html5/thumbnails/13.jpg)
© Pedro Tavares Silva SITIC2 de Novembro de 2006
13
UtilizadoresGrupo heterogéneo - disparidade no
conhecimento/comportamentoPodem ser o elo fraco, ou um catalisador
que fortalece a cadeiaAlguns problemas para a segurança:
Desleixo e facilitismoCuriosidade mal direccionada (hacking
passivo)Visão romântica do hacker (script-
kiddies)
![Page 14: Princípios de Segurança Empresarial e Actores Envolvidos Pedro Tavares Silva](https://reader036.vdocuments.pub/reader036/viewer/2022062318/552fc117497959413d8c8606/html5/thumbnails/14.jpg)
© Pedro Tavares Silva SITIC2 de Novembro de 2006
14
Utilizadores
Recomendações:Recomendações:PragmatismoSensibilizaçãoKISS: Keep It Short and Simple
![Page 15: Princípios de Segurança Empresarial e Actores Envolvidos Pedro Tavares Silva](https://reader036.vdocuments.pub/reader036/viewer/2022062318/552fc117497959413d8c8606/html5/thumbnails/15.jpg)
© Pedro Tavares Silva SITIC2 de Novembro de 2006
15
Técnicos da Organização de TIC Frequentemente conhecem bem os sistemas mas
mal as especificidades da segurança Implementam e massificam todas as decisões
tomadas aos diversos níveis sobre os Sistemas de Informação
A sua postura reflecte-se directamente na segurança dos sistemas
A visão “99% dos problemas de um sistema encontram-se entre o teclado e a cadeira” ignora os aspectos humanos e comportamentais de quem realiza os processos de negócio com recurso às ferramentas tecnológicas
![Page 16: Princípios de Segurança Empresarial e Actores Envolvidos Pedro Tavares Silva](https://reader036.vdocuments.pub/reader036/viewer/2022062318/552fc117497959413d8c8606/html5/thumbnails/16.jpg)
© Pedro Tavares Silva SITIC2 de Novembro de 2006
16
Técnicos da Organização de TIC
Recomendações:Recomendações: Combater no terreno a escalada de privilégios Segregar funções e configurar sistemas de modo a gerar
um rasto de auditoria Estabelecer políticas, normas e procedimentos de
operação segura Promover acções de formação sobre os aspectos
técnicos da segurança O governo da Organização deve evitar que decisões
importantes sobre a segurança dos Sistemas de Informação fiquem nas mãos dos técnicos
Formar e sensibilizar os “patos”
![Page 17: Princípios de Segurança Empresarial e Actores Envolvidos Pedro Tavares Silva](https://reader036.vdocuments.pub/reader036/viewer/2022062318/552fc117497959413d8c8606/html5/thumbnails/17.jpg)
© Pedro Tavares Silva SITIC2 de Novembro de 2006
17
Clientes Grupo heterogéneo Comunicação é formal e baseada em canais e
processos O capital de confiança que a Empresa detém junto
do cliente é volátil e pode desaparecer num instante
À semelhança dos utilizadores, os clientes contornarão a segurança em prol da comodidade, se lhes for dada oportunidade para tal
A Empresa pode impor-lhes regras na utilização dos seus produtos e serviços, que devem ser justificáveis e difíceis de contornar
![Page 18: Princípios de Segurança Empresarial e Actores Envolvidos Pedro Tavares Silva](https://reader036.vdocuments.pub/reader036/viewer/2022062318/552fc117497959413d8c8606/html5/thumbnails/18.jpg)
© Pedro Tavares Silva SITIC2 de Novembro de 2006
18
Parceiros Participam de diversas formas nos processos de
negócio Podem assumir uma parte dos processos da
organização Podem assumir uma parte, ou mesmo a totalidade, dos
processos de segurança da Empresa A segurança pode constituir um pré-requisito para a
parceria (ex.: certificação ISO/IEC 20.000)
Recomendações:Recomendações: Devem ser avaliados também pela sua postura de
segurança (políticas, capacidade de recuperação, etc.) Auditar os níveis de segurança contratualizados (SLA)
![Page 20: Princípios de Segurança Empresarial e Actores Envolvidos Pedro Tavares Silva](https://reader036.vdocuments.pub/reader036/viewer/2022062318/552fc117497959413d8c8606/html5/thumbnails/20.jpg)
© Pedro Tavares Silva SITIC2 de Novembro de 2006
20
Referências
ISBN: 972-8426-66-6 A publicar em 2007