Security Policy: Truth vs. Myth <ul><li>Roberto de Carvalho </li></ul><ul><li>[email_address] </li></ul><ul><li>Emiliano K...
Agenda <ul><li>O mito da Po lítica da seguran ça da Informaçã o </li></ul><ul><li>Repensando a Seguran ça </li></ul><ul>...
Introdução: O mito da Política de Segurança
Um mantra para exorcizar os males <ul><li>Todo mundo está falando </li></ul><ul><li>N ã o existe uma definição aceita </li...
Problemas das Políticas <ul><li>Muito focada no high-level </li></ul><ul><li>Sem manutenção </li></ul><ul><li>Ou gerenciad...
Repensando a Segurança
Onde nos perdemos <ul><li>Dia-a-dia operacional </li></ul><ul><ul><li>Usu ários , plataformas, SOs, aplicações, redes </li...
Um pequeno lembrete <ul><li>Não existe Segurança real. </li></ul><ul><li>Segurança é apenas a percepção do risco </li></ul...
Pessoas, processos, dados e informaç ã o <ul><li>Informação é volátil, difícil para definí-la ou conte-la. </li></ul><ul><...
Modelando o fluxo da informação <ul><li>Modelar o fluxo da informação em uma organização, onde players comunicam, processa...
Pontos de entrada <ul><li>Cada interação possui o seu próprio risco. </li></ul>Modelando o Risco
A equa ção do risco Modelando o Risco = = Ameaças x Vulnerabilidades x Impacto Contra medidas Perfil do attacker, Recu...
Ameaça <ul><li>Quantificada pelo perfil do atacante, conhecimento, recursos financeiros e humanos, interesses, etc: </li><...
Vulnerabilidades <ul><li>Falhas de Design </li></ul><ul><ul><li>Sistemas críticos de informação </li></ul></ul><ul><ul><li...
Impacto <ul><li>Consequencias do ataque, quantificadas por perdas economicas, publicidade negativa, etc. </li></ul><ul><ul...
Contra-medidas <ul><li>Ferramentas de segurança, software e mecanismos </li></ul><ul><ul><li>Dispositivos de rede </li></u...
Administrando o risco <ul><li>Requer monitoramento, previsão e análise da evolução das variáveis na equação do risco </li>...
O que as pessoas podem fazer é o que importa <ul><li>Segurança da Informação pode ser vista como o processo de definição, ...
Players <ul><li>Players internos </li></ul><ul><ul><li>Players com funções operacionais no sistema (organização) </li></ul...
Papéis <ul><li>Um player desempenha uma fun ç ão ao participar em uma série de processos. </li></ul><ul><li>Em cada proces...
O gr áfico da Política de Segurança <ul><li>O relacionamento entre players, funções, papéis e recursos podem ser represent...
Granularidade <ul><li>O detalhe obtido na definição e controle dos recursos necessários para desempenhar um papel específ...
Acuracidade <ul><li>Os recursos para desempenhar cada papel são distintos. </li></ul><ul><li>O mesmo player poderia ou não...
O processo de Segurança e o papel da Política
O processo de Segurança Definição da Política Modelagem do Risco Arquitetura Segurança Visibilidade e Controle O papel da ...
O papel central da Política de Segurança Política Segurança Modelagem Risco Arquitetura Segurança Visibilidade e Controle ...
Modelagem do Risco <ul><li>Define escopo </li></ul><ul><li>Identifica processos críticos </li></ul><ul><li>Identifica rec...
Arquitetura da Segurança <ul><li>Define políticas baseando-se em suas capacidades atuais </li></ul><ul><li>Gerencia </li><...
Visibilidade e Controle <ul><li>Define políticas que possam ser controladas </li></ul><ul><li>Monitora sua política em açã...
Infraestrutura de Segurança
Taxonomia funcional das ferramentas <ul><li>Análise e formalização </li></ul><ul><ul><li>Ferramentas que ajudam no process...
Análise e formalização <ul><li>Ferramentas </li></ul><ul><ul><li>Network discovery tools </li></ul></ul><ul><ul><li>Scanne...
Enforcement <ul><li>Ferramentas </li></ul><ul><ul><li>Identificação, Autenticação e Autorização </li></ul></ul><ul><ul><ul...
Auditoria e controle <ul><li>Ferramentas </li></ul><ul><ul><li>Network based Intrusion detection systems </li></ul></ul><u...
Construindo uma infraestrutura de Segurança <ul><li>Criar um framework e selecionar ferramentas para avaliar, controlar, a...
Gerenciando uma infraestrutura de segurança <ul><li>Política de Segurança é aquilo que vc pode gerenciar </li></ul><ul><li...
Não se trata apenas de ferramentas Infraestrutura de Segurança Firewalls PKI File system restrictions App. Security Risk...
Uma boa infraestrutura de Segurança <ul><li>Permite a definição e o enforcement de uma política por toda a organização </l...
Uma boa infraestrutura de Segurança (cont.) <ul><li>Simplifica o esforço de gerenciar uma infraestrutura de multiplataform...
Dicas para selecionar ferramentas <ul><li>Estatísticas do MIS CDS na Inglaterra </li></ul><ul><li>NÃO EXISTE FÓRMULA MÁGIC...
Sobre a Core Security Technologies
Nossas soluções
<ul><li>Banco Privado de Inversiones </li></ul><ul><li>BankBoston </li></ul><ul><li>Ernst & Young LLP </li></ul><ul><li>FE...
The Information Security Process <ul><li>Roberto de Carvalho </li></ul><ul><li>[email_address] </li></ul><ul><li>Emiliano ...
of 44

Políticas de Segurança: Verdade ou Mito?

Apresentação da Core Security Technologies sobre o assunto Política de Segurança.
Published on: Mar 4, 2016
Published in: Technology      News & Politics      
Source: www.slideshare.net


Transcripts - Políticas de Segurança: Verdade ou Mito?

  • 1. Security Policy: Truth vs. Myth <ul><li>Roberto de Carvalho </li></ul><ul><li>[email_address] </li></ul><ul><li>Emiliano Kargieman </li></ul><ul><li>[email_address] </li></ul>Política de Segurança: verdade ou mito?
  • 2. Agenda <ul><li>O mito da Po lítica da seguran ça da Informaçã o </li></ul><ul><li>Repensando a Seguran ça </li></ul><ul><li>Players e papéis </li></ul><ul><li>O processo da Segurança e o papel da política </li></ul><ul><li>Infraestrutura de Segurança </li></ul><ul><li>Perguntas e Respostas </li></ul>
  • 3. Introdução: O mito da Política de Segurança
  • 4. Um mantra para exorcizar os males <ul><li>Todo mundo está falando </li></ul><ul><li>N ã o existe uma definição aceita </li></ul><ul><li>Todo mundo está querendo uma </li></ul><ul><li>Isso é apenas uma onda? </li></ul>Política de Segurança
  • 5. Problemas das Políticas <ul><li>Muito focada no high-level </li></ul><ul><li>Sem manutenção </li></ul><ul><li>Ou gerenciada </li></ul><ul><li>Sem execução </li></ul><ul><li>Ou controle </li></ul><ul><li>Ou testada </li></ul><ul><li>Separada da realidade </li></ul>
  • 6. Repensando a Segurança
  • 7. Onde nos perdemos <ul><li>Dia-a-dia operacional </li></ul><ul><ul><li>Usu ários , plataformas, SOs, aplicações, redes </li></ul></ul><ul><li>A busca por uma solução mágica </li></ul><ul><li>Na estrat égia bottom-up ou top-down </li></ul><ul><li>Definição de orçamento </li></ul><ul><li>A briga da segurança vs. flexibilidade </li></ul>Repensando a Segurança
  • 8. Um pequeno lembrete <ul><li>Não existe Segurança real. </li></ul><ul><li>Segurança é apenas a percepção do risco </li></ul><ul><li>Administrar a Segurança é administrar o risco. </li></ul><ul><li>Para aumentar a Segurança, riscos precisam ser: </li></ul><ul><ul><li>Modelados </li></ul></ul><ul><ul><li>Quantificados </li></ul></ul><ul><ul><li>Minimizados ao longo do tempo </li></ul></ul><ul><li>Trata-se de um processo contínuo! </li></ul>Repensando a Segurança
  • 9. Pessoas, processos, dados e informaç ã o <ul><li>Informação é volátil, difícil para definí-la ou conte-la. </li></ul><ul><li>Processos podem ser modelados, mediados e auditados </li></ul>Repensando a Segurança
  • 10. Modelando o fluxo da informação <ul><li>Modelar o fluxo da informação em uma organização, onde players comunicam, processam e armazenam informação. </li></ul><ul><li>Identificar os processos, fontes de dados e recursos críticos para o funcionamento da organização </li></ul>Repensando a Segurança
  • 11. Pontos de entrada <ul><li>Cada interação possui o seu próprio risco. </li></ul>Modelando o Risco
  • 12. A equa ção do risco Modelando o Risco = = Ameaças x Vulnerabilidades x Impacto Contra medidas Perfil do attacker, Recursos disponíveis Falhas do software, Políticas superficiais, Protocolos, Etc. Prejuízos calculados Práticas e tecnologias
  • 13. Ameaça <ul><li>Quantificada pelo perfil do atacante, conhecimento, recursos financeiros e humanos, interesses, etc: </li></ul><ul><ul><li>Amador </li></ul></ul><ul><ul><li>Hacker </li></ul></ul><ul><ul><li>Grupo de Hackers </li></ul></ul><ul><ul><li>Funcionário instatisfeito </li></ul></ul><ul><ul><li>Concorrentes </li></ul></ul><ul><ul><li>Crime organizado </li></ul></ul><ul><ul><li>Agencia de Inteligencia </li></ul></ul><ul><ul><li>Organizações terrroristas </li></ul></ul>Modelando o Risco
  • 14. Vulnerabilidades <ul><li>Falhas de Design </li></ul><ul><ul><li>Sistemas críticos de informação </li></ul></ul><ul><ul><li>Redes </li></ul></ul><ul><ul><li>Arquitetura de Segurança </li></ul></ul><ul><li>Falhas de Implementação </li></ul><ul><ul><li>Vulnerabilidades de sistemas operacionais </li></ul></ul><ul><ul><li>Vulnerabilidades de aplicações </li></ul></ul><ul><ul><li>Vulnerabilidades de hardware </li></ul></ul><ul><li>Mal uso ou configuração </li></ul><ul><li>Fraquezas da política </li></ul><ul><li>Responsabilidades não definidas claramente </li></ul>Modelando o Risco
  • 15. Impacto <ul><li>Consequencias do ataque, quantificadas por perdas economicas, publicidade negativa, etc. </li></ul><ul><ul><li>Perda de informação proprietária </li></ul></ul><ul><ul><li>Corrupção de informação crítica </li></ul></ul><ul><ul><li>Fraude financeira </li></ul></ul><ul><ul><li>Interrupção de processos críticos </li></ul></ul><ul><ul><li>Sabotagem </li></ul></ul><ul><ul><li>Fraude de Telecomunicações </li></ul></ul>Modelando o Risco
  • 16. Contra-medidas <ul><li>Ferramentas de segurança, software e mecanismos </li></ul><ul><ul><li>Dispositivos de rede </li></ul></ul><ul><ul><li>Crypto </li></ul></ul><ul><ul><li>Controle de Accesso </li></ul></ul><ul><ul><li>Etc. </li></ul></ul><ul><li>Procedimentos </li></ul><ul><li>Resposta a emergencia </li></ul><ul><li>Auditoria </li></ul><ul><li>Visibilidade </li></ul><ul><li>Treinamento </li></ul>Modelando o Risco
  • 17. Administrando o risco <ul><li>Requer monitoramento, previsão e análise da evolução das variáveis na equação do risco </li></ul><ul><li>Implementar e ajustar as contra medidas </li></ul>Repensando a Segurança Risk =  I.F. ⌠ ⌡ T << mT
  • 18. O que as pessoas podem fazer é o que importa <ul><li>Segurança da Informação pode ser vista como o processo de definição, administração e controle do fluxo de informação entre os participantes (players) de um sistema </li></ul><ul><li>Definir uma política é definir exatamente o que os players podem e devem fazer. </li></ul>Repensando a Segurança
  • 19. Players <ul><li>Players internos </li></ul><ul><ul><li>Players com funções operacionais no sistema (organização) </li></ul></ul><ul><ul><li>Eles estão na folha de pagamento </li></ul></ul><ul><ul><li>Perfis e números sao conhecidos </li></ul></ul><ul><ul><li>Espera-se que eles sigam a política </li></ul></ul><ul><li>Players externos </li></ul><ul><ul><li>Clientes, parceiros, fornecedores, atacantes </li></ul></ul><ul><ul><li>Eles podem não ter uma função operacional no sistema </li></ul></ul><ul><ul><li>Perfis e números são desconhecidos </li></ul></ul>Repensando a Segurança
  • 20. Papéis <ul><li>Um player desempenha uma fun ç ão ao participar em uma série de processos. </li></ul><ul><li>Em cada processo, o player tem um papel específico e bem definido. </li></ul><ul><li>Para desempenhá-lo, o player precisa acessar um conjunto bem definido de recursos na organização. </li></ul>Repensando a Segurança
  • 21. O gr áfico da Política de Segurança <ul><li>O relacionamento entre players, funções, papéis e recursos podem ser representados como um gráfico direcionado. </li></ul>Repensando a Segurança
  • 22. Granularidade <ul><li>O detalhe obtido na definição e controle dos recursos necessários para desempenhar um papel específico nos dá uma idéia sobre a granularidade da política. </li></ul><ul><li>Granularidade permite-nos endereçar vulnerabilidades emergentes. </li></ul><ul><li>Ajuda a fechar o gap entre segurança e flexibilidade. </li></ul><ul><li>Servers/serviços </li></ul><ul><li>Aplicações </li></ul><ul><li>Comunicações </li></ul><ul><li>Arquivos </li></ul><ul><li>Dispositivos </li></ul><ul><li>Transações </li></ul><ul><li>Registry/configuração </li></ul><ul><li>etc. </li></ul>Repensando a Segurança
  • 23. Acuracidade <ul><li>Os recursos para desempenhar cada papel são distintos. </li></ul><ul><li>O mesmo player poderia ou não ter acesso a determinado recurso dependendo do processo em questão. </li></ul><ul><li>Falhas implicarão em uma política inacurada. </li></ul>Repensando a Segurança
  • 24. O processo de Segurança e o papel da Política
  • 25. O processo de Segurança Definição da Política Modelagem do Risco Arquitetura Segurança Visibilidade e Controle O papel da Política
  • 26. O papel central da Política de Segurança Política Segurança Modelagem Risco Arquitetura Segurança Visibilidade e Controle O papel da Política
  • 27. Modelagem do Risco <ul><li>Define escopo </li></ul><ul><li>Identifica processos críticos </li></ul><ul><li>Identifica recursos críticos </li></ul><ul><li>Pontos de falhas </li></ul><ul><li>Define objetivos </li></ul><ul><li>Testa a política </li></ul>Política Segurança Modelagem Risco Arquitetura Segurança Visibilidade e Controle O papel da Política
  • 28. Arquitetura da Segurança <ul><li>Define políticas baseando-se em suas capacidades atuais </li></ul><ul><li>Gerencia </li></ul><ul><li>Aplica </li></ul>Política Segurança Modelagem Risco Arquitetura Segurança Visibilidade e Controle O papel da Política
  • 29. Visibilidade e Controle <ul><li>Define políticas que possam ser controladas </li></ul><ul><li>Monitora sua política em ação </li></ul><ul><li>Fornece feedback para retroalimentação </li></ul><ul><li>Identifica próximos passos </li></ul>Política Segurança Modelagem Risco Arquitetura Segurança Visibilidade e Controle O papel da Política
  • 30. Infraestrutura de Segurança
  • 31. Taxonomia funcional das ferramentas <ul><li>Análise e formalização </li></ul><ul><ul><li>Ferramentas que ajudam no processo de modelagem do risco e definição de políticas. </li></ul></ul><ul><li>Enforcement </li></ul><ul><ul><li>Ferramentas usadas para aplicar as políticas </li></ul></ul><ul><li>Auditoria e Controle </li></ul><ul><ul><li>Ferramentas usadas para adquirir conhecimento do“security infospace” ajudando no processo de detecção e resposta as brechas de segurança. </li></ul></ul>
  • 32. Análise e formalização <ul><li>Ferramentas </li></ul><ul><ul><li>Network discovery tools </li></ul></ul><ul><ul><li>Scanners de Vulnerabilidade </li></ul></ul><ul><ul><li>Ferramentas de ataque intrusivo </li></ul></ul><ul><ul><li>Ferramentas de modelagem organizacional </li></ul></ul><ul><ul><li>Ferramentas de modelagem de riscos </li></ul></ul><ul><li>Serviços </li></ul><ul><ul><li>Security Intelligence </li></ul></ul><ul><ul><li>Testes de intrusão </li></ul></ul><ul><ul><li>Definição de política </li></ul></ul><ul><ul><li>Plano de contingencia </li></ul></ul><ul><ul><li>Etc. </li></ul></ul>
  • 33. Enforcement <ul><li>Ferramentas </li></ul><ul><ul><li>Identificação, Autenticação e Autorização </li></ul></ul><ul><ul><ul><li>PKI, Biometria, Tokens, Single Sign-On, Platforma dependente (SO específico) </li></ul></ul></ul><ul><ul><li>Segurança Software Básico </li></ul></ul><ul><ul><ul><li>Network services wrappers, Filesystem restrictions, Consistency checks, Security upgrades and patches, etc. </li></ul></ul></ul><ul><ul><li>Segurança da Aplicação </li></ul></ul><ul><ul><ul><li>Certificação/autorização de APIs, controle de versão, Aplicações dependentes. </li></ul></ul></ul><ul><ul><li>Segurança da rede </li></ul></ul><ul><ul><ul><li>Firewalls, VPNs, filtros de conteúdo </li></ul></ul></ul><ul><ul><li>Integridade / proteção dos dados </li></ul></ul><ul><ul><ul><li>Anti-vírus, Backups, checkers de consistencia. </li></ul></ul></ul>
  • 34. Auditoria e controle <ul><li>Ferramentas </li></ul><ul><ul><li>Network based Intrusion detection systems </li></ul></ul><ul><ul><li>Host based intrusion detection systems </li></ul></ul><ul><ul><li>Audit trails and log acquisition tools </li></ul></ul><ul><ul><li>Log centralization tools </li></ul></ul><ul><ul><li>Visualization tools </li></ul></ul><ul><ul><li>Analysis tools </li></ul></ul><ul><ul><li>Alarm and Reporting systems </li></ul></ul><ul><ul><li>Forensics tools </li></ul></ul><ul><ul><li>Security Operation Centers </li></ul></ul><ul><li>Serviços </li></ul><ul><ul><li>Managed Security Services </li></ul></ul>
  • 35. Construindo uma infraestrutura de Segurança <ul><li>Criar um framework e selecionar ferramentas para avaliar, controlar, aplicar e gerenciar o que os players podem fazer (política de segurança) </li></ul><ul><li>Abstrair o conceito de usuários e gerenciar players </li></ul><ul><li>Integrar todos os componentes de segurança </li></ul><ul><li>Endereçar escalabilidade </li></ul><ul><li>Preocupar-se com a transparencia (para usuários, sistemas) </li></ul><ul><li>Gerar visibilidade </li></ul><ul><li>Manter uma perspectiva global </li></ul>Infraestrutura de Segurança
  • 36. Gerenciando uma infraestrutura de segurança <ul><li>Política de Segurança é aquilo que vc pode gerenciar </li></ul><ul><li>Granularidade e acuracidade pode ser obtida apenas através de um esforço contínuo. </li></ul><ul><li>Política de Segurança deve evoluir, assim como a infraestrutura. </li></ul><ul><li>Mudanças culturais podem ser necessárias para gerenciar a segurança de maneira eficaz. </li></ul>Infraestrutura de Segurança
  • 37. Não se trata apenas de ferramentas Infraestrutura de Segurança Firewalls PKI File system restrictions App. Security Risk Modeling Network discovery Pen testing
  • 38. Uma boa infraestrutura de Segurança <ul><li>Permite a definição e o enforcement de uma política por toda a organização </li></ul><ul><li>Alavanca a implementação de uma estratégia de defesa em profundidade </li></ul><ul><li>Maximiza o uso das capacidades existentes </li></ul><ul><li>Aumenta a granularidade da Segurança </li></ul><ul><li>Possibilita a descoberta em tempo real e respostas aos gaps e ataques em ambientes complexos </li></ul><ul><li>Traz as ferramentas necessárias para o gerenciamento do risco ao longo do tempo </li></ul>Infraestrutura de Segurança
  • 39. Uma boa infraestrutura de Segurança (cont.) <ul><li>Simplifica o esforço de gerenciar uma infraestrutura de multiplataformas com milhares de usuários e perfis. </li></ul><ul><li>Facilita um inventário acurado de usuários, perfis, aplicações, políticas, recursos e processos com as propriedades de segurança. </li></ul><ul><li>Reduz o treinamento necessário para gerenciar ambientes complexos </li></ul><ul><li>Simplifica o dia-a-dia operacional do usuário final em ambiente multiplataforma. </li></ul><ul><li>Oferece uma plataforma para homologar a implementação de novas tecnologias. </li></ul>Infraestrutura de Segurança
  • 40. Dicas para selecionar ferramentas <ul><li>Estatísticas do MIS CDS na Inglaterra </li></ul><ul><li>NÃO EXISTE FÓRMULA MÁGICA </li></ul><ul><li>Posso quantificar se o meu risco seria menor se comprasse uma nova tecnologia? </li></ul><ul><li>Posso integrar a nova tecnologia com as outras existentes ? </li></ul><ul><li>Posso gerenciar o meu novo brinquedo? </li></ul><ul><li>Manter uma perspectiva global </li></ul>Security infrastructure
  • 41. Sobre a Core Security Technologies
  • 42. Nossas soluções
  • 43. <ul><li>Banco Privado de Inversiones </li></ul><ul><li>BankBoston </li></ul><ul><li>Ernst & Young LLP </li></ul><ul><li>FEMSA (Coca Cola) </li></ul><ul><li>Foundstone Inc. </li></ul><ul><li>Greenlight.com </li></ul><ul><li>IEEE </li></ul><ul><li>KPMG </li></ul><ul><li>MBA - Merchants Bank de Argentina </li></ul>Lista parcial de clientes <ul><li>Metrored </li></ul><ul><li>Microsoft Inc. </li></ul><ul><li>Network Associates Inc. </li></ul><ul><li>Organización Veraz </li></ul><ul><li>PriceWaterhouseCoopers </li></ul><ul><li>Proofspace Inc. </li></ul><ul><li>R eal Networks Inc. </li></ul><ul><li>SecurityFocus.com </li></ul><ul><li>Secure Networks Inc. </li></ul><ul><li>Siemens </li></ul><ul><li>UOL International </li></ul><ul><li>Vyou.com </li></ul>
  • 44. The Information Security Process <ul><li>Roberto de Carvalho </li></ul><ul><li>[email_address] </li></ul><ul><li>Emiliano Kargieman </li></ul><ul><li>[email_address] </li></ul>Perguntas? Para receber uma cópia da apresentação, favor nos fornecer o seu e-mail

Related Documents