Solues de

Segurana IBM

Security Framework
As organizaes frequentemente adotam uma abordagem orientada tecnologia para a segurana. Porm, proteger
s a tecnologia no oferece proteo para os processos e os ativos de negcio em relao aos riscos do negcio.
Frequentemente, as organizaes assumem uma abordagem de baixo para cima para a segurana, uma vez que os
fornecedores de solues para segurana frequentemente promovem essa abordagem a seus clientes. Para aproximar
lacunas de segurana identificadas, as organizaes aumentam e reforam suas defesas incluindo investimentos em
sua segurana existente. Essa metodologia centrada na tecnologia frequentemente cria uma infraestrutura de
segurana excessivamente complexa e deslocada. Torna-se difcil gerenciar e voltar a ateno para lacunas de
vulnerabilidade no observadas sem necessidade de escalonar os custos de TI, bem como, eventualmente, estimular
ineficincias operacionais desnecessrias que inibem o crescimento do negcio, em vez de aument-lo.
O gerenciamento dos riscos de negcio exige uma abordagem holstica que considera as metas de negcios de
acordo com os requisitos e restries tcnicas para a segurana. Em vez de tentar a proteo contra cada ameaa
concebvel, as organizaes devem entender e priorizar as atividades de gerenciamento do risco de segurana mais
sensatas para sua organizao. Ao entender o nvel de tolerncia de risco em uma organizao, a equipe de TI pode
focar mais facilmente a reduo dos riscos que a organizao no pode permitir-se negligenciar. Enfatizar
excessivamente determinados riscos pode levar perda de recursos e de esforos, ao passo que subestimar outros
riscos pode ter consequncias desastrosas.
As organizaes podem considerar difcil alcanar uma estratgia e uma abordagem de segurana de ponta a ponta
que apie as metas de negcio, tais como orientao inovao e reduo dos custos organizacionais, bem como
requisitos operacionais que direcionem medidas de conformidade e protejam contra ameaas internas e externas.
A segurana no deve ser tratada de forma isolada das outras atividades de negcio dentro da organizao. Pelo
contrrio, ela deve ser encarada a partir da perspectiva de negcio observando a segurana como um meio para
proteger e aprimorar os processos de negcio. Isso envolve um nvel de planejamento e avaliao para identificar riscos
em todas as principais reas de negcio, inclusive pessoas, processos, dados e tecnologia, na continuidade total do
negcio por completo.
Por isso, a IBM criou um sistema abrangente de segurana em TI, mostrado na Figura 1, que pode ajudar a garantir
que cada domnio de TI necessrio seja adequadamente direcionado, usando-se uma abordagem holstica para a
segurana orientada ao negcio.

IBM Security Framework

CONTROLE DE SEGURANA, GERENCIAMENTO

DE RISCO E CONFORMIDADE
PESSOAS E IDENTIDADE

DADOS E INFORMAO

APLICATIVO E PROCESSO

REDE, SERVIDOR E END POINT

INFRAESTRUTURA FSICA

Poltica comum, tratamento e relato de evento

Servios
Profissionais

Servios
gerenciados

Hardware
e Software

Figura 1 - O IBM Security Framework

Controle de Segurana,
Gerenciamento de Risco
e Conformidade
Cada organizao deve definir e comunicar os princpios e polticas que
orientam a estratgia de negcio e a sua operao. Ademais, cada
organizao deve avaliar seus riscos operacionais e de negcio, bem
como desenvolver um plano de segurana empresarial para servir como
benchmark para a execuo e validao das atividades de
gerenciamento de segurana que so adequadas para sua organizao.
Estes princpios e polticas, o plano de segurana empresarial e os
processos que envolvem a melhoria da qualidade representam o modelo
de Controle de Segurana, Gerenciamento de Risco e Conformidade da
empresa. De modo especfico, os requisitos e critrios de conformidade
para os domnios de segurana restantes so:

Este domnio cobre aspectos sobre como garantir

que as pessoas certas tenham acesso aos ativos
certos no momento certo.

Dados e informao

Este domnio cobre aspectos sobre como

proteger na organizao os dados crticos em
trnsito ou armazenados.

Aplicativo e processo

Este domnio cobre aspectos sobre como garantir

a segurana de servios de negcio e aplicativos.

Rede, servidor e end point

Este domnio cobre aspectos sobre como estar

frente de ameaas emergentes em relao aos
componentes do sistema de TI.

Infraestrutura fsica

Este domnio cobre aspectos sobre como

melhorar a capacidade de controles digitais para
assegurar eventos sobre pessoas ou ativos
em seu espao fsico.



Security Framework

Pessoas e identidade

Pessoas e Identidade
As organizaes devem proteger seus bens e servios que atendem o negcio e que apiam a sua
operao. Um aspecto de proteo fornecido pelo controle de acesso. A capacidade de fornecer
servios eficazes de controle de acesso est baseada na capacidade de gerenciar Pessoas e Identidade,
conforme definido pelo modelo de Controle de Segurana, Gerenciamento de Risco e Conformidade da
empresa.
O Controle de Segurana, Risco e Conformidade fornece uma orientao sobre como as identidades so
gerenciadas e como o controle de acesso deve ser realizado. As organizaes registram as pessoas e as
mapeiam em identidades. As relaes entre pessoas e a organizao esto expressas em termos de papel,
direitos, polticas de negcio e regras. A capacidade de registrar pessoas e descrever as respectivas
relaes com a empresa um fator que possibilita a segurana-chave para os domnios de segurana
remanescentes: Dados e Informao, Aplicativos e Processo, Rede, Servidor e Endpoint (infraestrutura de
TI), bem como Infraestrutura Fsica.
De modo operacional, s pessoas desempenhando funes autorizadas em uma organizao ou como
parte de uma relao estendida concedido o acesso infraestrutura, dados, informao e servios. Ao
mesmo tempo, s pessoas atuando em papis no autorizados negado o acesso a estes itens.
Em um sistema de identidade, as pessoas podem receber uma credencial, que pode assumir diversas
formas, inclusive um carto de identificao fsica, um token lgico ou um identificador do usurio. A
confiana ou fora da credencial um aspecto importante da poltica de negcio ou gerenciamento do
risco. extremamente importante a capacidade de gerenciar efetivamente o ciclo de vida da identidade, ou
seja, a criao, excluso e alteraes de papel para populaes dinmicas da fora de trabalho, cliente ou
comunidades de usurios. O ciclo de vida de identidades e credenciais, pode ser influenciado por ciclos de
negcio, ciclos empregatcios, relaes com o cliente, contratos, eventos de calendrio ou de negcio,
entre outros.
Os sistemas de identidade devem ser integrados a conjuntos adequados de controles de acesso. Os
sistemas de identidade so necessrios para gerenciar os papis, direitos e privilgios dos usurios em
toda a infraestrutura de TI que pode conter mltiplas arquiteturas de tecnologia, ou sero exigidos mltiplos
sistemas de identidade e controle de acesso para garantir que os usurios tenham acesso aos bens e
servios corretos.
A Figura 2 mostra um resumo e alguns aspectos adicionais que devem ser direcionados dentro do domnio
de Pessoas e Identidade.

Problemas

Gerenciar
Identidades
e Acesso
Como meu negcio
pode se beneficiar do
gerenciamento da
identidade digital?

Entendimento de lacuna de risco de identidade

Custo da administrao de usurios e identidades internas
Atividade no monitorada de usurio privilegiado
IDs inativas ou compartilhadas sendo usadas inadequadamente para recursos de acesso.
Falha em auditoria

Valores
Reduz o custo, aumenta a eficincia e permite a capacidade de auditoria do fluxo de gerenciamento da entrada, uso e sada de
usurios da organizao
Diminui o risco de fraude interna, vazamento de dados e interrupo operacional
Apia a globalizao das operaes
Permite mudar das vendas fsicas tradicionais para a entrega de servios on-line aos clientes e parceiros em todo o globo
Melhora a experincia de usurios finais com aplicativos de negcio baseados em internet por meio da permisso das referidas
atividades, tais como single sign-on

Figura 2 Domnio de Pessoas e Identidade

IBM Security Framework

Dados e Informao
As organizaes devem proteger os dados brutos e a informao contextualizada que esto em sua
dimenso de controle. O Controle de Segurana, Risco e Conformidade fornece orientao sobre o
valor dos dados e da informao, bem como gerencia seus riscos.
Um plano eficaz para a proteo de dados e informao inclui a manuteno de um catlogo ou
inventrio desses bens, em conjunto com seus atributos, polticas, mecanismos e servios de
aplicao que governam o acesso, a transformao, o movimento e a disposio dos dados e
informao.
Este plano de proteo de dados e informao pode ser aplicado aos processos de negcio,
transaes de negcio ou processos de apoio infraestrutura e ao negcio. A proteo de dados e
informao cobre um ciclo de vida completo, da criao destruio e em relao a vrios estados
e localizaes, bem como quando so armazenados ou transportados fsica ou eletronicamente.
O termo dados pode ser aplicado a uma grande variedade de bens codificados eletronicamente.
Isso inclui o software e firmware, os quais devem ser protegidos contra riscos tcnicos (para
garantir que um cdigo malicioso no seja introduzido) e riscos de negcio (para garantir que os
termos de licena no sejam violados).
A proteo de dados e informao interdependente com a definio e operao de todos os
demais domnios de segurana operacional. A medio e o relatrio sobre a conformidade da
organizao em relao proteo de dados e informao uma mtrica tangvel da efetividade do
plano de segurana da empresa. Um relatrio de conformidade de dados e informao reflete a
fora ou fragilidade dos controles, servios e mecanismos, em todos os domnios.
A Figura 3 mostra um resumo e alguns aspectos adicionais, que podem ser direcionados dentro do
domnio de Dados e Informao.

Problemas

Proteger Dados
e Informao
Como posso reduzir o
custo e o transtorno
associado com o
rastreamento e o controle
sobre quem acessou
quais dados e quando?
Como eu asseguro que
meus dados esto
disponveis?

Dados armazenados em mdia removvel que podem ser perdidos/roubados

Dados armazenados no clear so facilmente acessveis
Polticas inconsistentes de dados
Dados no estruturados
Exposio legal, regulamentria e tica para a organizao
Custos de violaes de dados, notificao, valor de marca
Falha na auditoria

Valores
Reduz o custo, aumenta a capacidade de cumprir as obrigaes de auditoria e conformidade
Fornece uma forma eficaz de custo para cumprir as exigncias legais de descoberta, posse e reteno
Garante que os dados esto disponveis para as pessoas certas, no momento certo
Garante que os dados no so deliberados ou inadvertidamente acessados, vazados ou danificados
Diminui o nmero e a complexidade dos controles integrados dentro da empresa

Figura 3 Domnio de Dados e Informao



Aplicativo e Processo
As organizaes devem proteger, de modo proativo, seus aplicativos crticos de negcio contra
ameaas internas e externas, durante todo o ciclo de vida, do desenho implementao e
produo. O controle durante todo o ciclo de vida do aplicativo implica em controle e conformidade
eficazes nos domnios de segurana restantes.
Por exemplo, se um aplicativo focado internamente, tal como um sistema de gerenciamento de
relaes com o cliente (CRM) entregue por meio de uma arquitetura orientada ao servio (SOA) ou
aplicativo de parmetro externo, tais como um novo portal do cliente, as polticas e processos de
segurana claramente definidos so crticos para garantir que o aplicativo est capacitando o
negcio, em vez de introduzir um risco adicional.
O Gerenciamento de Servio para todo o negcio e processos de suporte do negcio, inclusive
Gerenciamento de Servio para processos dentro do domnio de segurana, uma parte crtica para
assegurar que o negcio est operando dentro de um gerenciamento de risco adequado e em
conformidade com as diretrizes.
O Gerenciamento de Servio de Segurana tipicamente incluiria uma combinao de capacidades,
tais como autenticao centralizada, gerenciamento de poltica de auditoria e acesso, bem como
busca de vulnerabilidade do aplicativo Web e preveno de invaso.
A Figura 4 mostra um resumo e aspectos adicionais que podem ser direcionados dentro do domnio
de Aplicativo e Processo.

Problemas

Proteger
Aplicativos Web
Como meu negcio
pode beneficiar-se do
gerenciamento de
segurana de
aplicativos?

Os aplicativos Web so o alvo n um dos hackers que buscam explorar vulnerabilidades

Os aplicativos so implantados com vulnerabilidades
Configuraes de baixa segurana expem os clientes perda no negcio
Os requisitos regulatrios de PCI exigem a segurana do aplicativo
80% dos custos de desenvolvimento so gastos na identificao e correo de defeitos
Dados reais e/ou privados expostos a qualquer pessoa com acesso ao desenvolvimento e ambientes de teste, inclusive contratados e
terceirizados

Valores

Reduz o risco de interrupo, desfigurao ou roubo de dados associados com aplicativos Web
Assessora e monitora conformidade da poltica de segurana em toda a empresa
Melhora a conformidade com as normas do setor e exigncias regulatrias (por exemplo, PCI, GLBA, HIPAA, FISMA, entre outros)
Melhora a capacidade de integrar aplicativos crticos do negcio
Teste e controle automatizados durante todo o ciclo de vida do desenvolvimento, reduzindo os custos de segurana em longo prazo.

Figura 4 Domnio de Aplicativo e Processo

IBM Security Framework

Rede, Servidores e Endpoint

As organizaes devem monitorar prioritria e proativamente a operao do negcio e a
infraestrutura de TI quanto a ameaas e vulnerabilidades, para evitar ou reduzir quaisquer
violaes.
O Controle de Segurana, Risco e Conformidade pode fornecer orientao sobre implicaes de
negcio dos riscos baseados em tecnologia. Na prtica, a definio, implantao e
gerenciamento de ameaas baseadas em tecnologia, bem como os aspectos tcnicos da
resposta ao incidente, podem ser delegados equipe e gerenciamento operacional, ou
terceirizado a um provedor de servio.
O monitoramento de segurana e o gerenciamento da rede, do servidor e desktops da
organizao, so crticos para estar frente de ameaas emergentes que podem afetar
adversamente os componentes do sistema, bem como as pessoas e os processos de negcio
que eles suportam. A necessidade de identificar e proteger a infraestrutura contra as ameaas
emergentes aumentou dramaticamente com a elevao nas infiltraes organizadas de rede e
financeiramente motivadas. Embora nenhuma tecnologia seja perfeita, o foco e a intensidade da
segurana, monitoramento e gerenciamento podem ser afetados pelo tipo de rede, servidor e
desktops implantados na infraestrutura de TI e como esses componentes so construdos,
integrados, testados e mantidos.
As empresas incentivam a tecnologia de virtualizao para apoiar suas metas de entrega de
servios em menos tempo e com maior agilidade. Por meio da construo de uma estrutura de
controles de segurana dentro de seu ambiente, as organizaes podem alcanar as metas de
virtualizao tais como uso aperfeioado do recurso fsico, eficincia aprimorada do hardware e
reduo dos custos de energia enquanto se ganha tranquilidade ao saber que os sistemas
virtuais esto seguros com o mesmo rigor que os sistemas fsicos.
A Figura 5 mostra um resumo, bem como aspectos adicionais que podem ser direcionados dentro
do domnio de Rede, Servidor e Endpoint.

Problemas

Gerenciar
a Segurana
da Infraestrutura
Como meu negcio se
beneficia da proteo de
segurana da
infraestrutura?

Comercializao em massa e automatizao de ameaas

Ataques parasticos, clandestinos e mais prejudiciais
Baixo entendimento dos riscos em novas tecnologias e aplicativos, inclusive virtualizao e cloud
Baixos controles de aplicativos
Falta de habilidade para monitorar e gerenciar entradas de segurana
Custo composto de gerenciamento de um crescente banco de dados de tecnologias de segurana
Violaes no detectadas devido ao uso imprprio do privilgio de acesso e tempo ocioso proveniente de incidentes
Inabilidade de estabelecer evidncia forense ou de demonstrar conformidade

Valores
Reduz o custo da gerenciamento de operaes de segurana em andamento
Melhora a disponibilidade operacional e assegura o desempenho contra SLA, apoiada pelo nico SLA garantido do setor para
servios de proteo gerenciados.
Aumenta a produtividade por meio da reduo do risco por infestao de vrus, worm e cdigo malicioso.
Diminui o volume de entrada de spam
Mudana rpida de violaes especficas para a resoluo rpida de local
Pronta apresentao de status em relao s principais regulamentaes

Figura 5 Domnio de Rede, Servidor e Desktop



Infraestrutura Fsica
Para uma organizao implementar efetivamente um plano de segurana empresarial, o negcio e
os riscos tcnicos que esto associados com a infraestrutura fsica devem ser compreendidos e
direcionados. O Controle de Segurana, Risco e Conformidade fornece orientao sobre os tipos
de risco e tipos de planos e respostas para a segurana fsica. Proteger a infraestrutura da
organizao pode significar tomar precaues contra uma falha ou perda da infraestrutura fsica
que poderia impactar a continuidade do negcio.
Proteger uma infraestrutura da organizao pode envolver a proteo contra ameaas e
vulnerabilidades indiretas, tais como o impacto da perda de servios pblicos, uma violao no
controle de acesso fsico ou a perda de ativos fsicos crticos. A segurana fsica efetiva exige um
sistema de gerenciamento centralizado que permite a correlao de entradas a partir de diversas
fontes, inclusive, propriedade, funcionrios, clientes, pblico em geral e clima local e regional.
Por exemplo, assegurar o permetro do data center com cmeras e dispositivos de monitoramento
centralizado essencial para garantir o acesso gerenciado para os bens de TI da organizao.
Portanto, as organizaes preocupadas com roubo ou fraude, tais como bancos, lojas varejistas
ou rgos pblicos devem definir e implementar uma estratgia de vigilncia integrada da
segurana fsica que inclui o monitoramento e o controle analtico e centralizado. Essa abordagem
permite s organizaes extrair dados inteligentes de mltiplas fontes e responder a ameaas
mais rapidamente que os ambientes manualmente monitorados, resultando na reduo de custo e
risco de perda.
A Figura 6 mostra um resumo e aspectos adicionais que podem ser direcionados dentro do
domnio de Infraestrutura fsica.

Problemas

Segurana fsica
Como meu negcio se
beneficia da proteo de
segurana da
infraestrutura fsica?

Falha ou perda de infraestrutura fsica que poderia impactar a continuidade do negcio.

Ameaas e vulnerabilidades indiretas, tais como o impacto da perda de um servio pblico, uma violao no controle de acesso
fsico ou perda de bens fsicos crticos.
Exposies provenientes de fontes diversas, inclusive: propriedade, funcionrios, clientes, pblico em geral, clima local ou
regional, entre outros.

Valores
Reduzir o risco de interrupo ou roubo de dados associados falha ou perda de bens fsicos crticos.
Estratgia integrada de vigilncia da segurana fsica que permite extrair dados inteligentes de mltiplas fontes, responder a
ameaas mais rapidamente que em ambientes manualmente monitorados e reduo de custo e risco de perda.

Figura 6 Domnio de Infraestrutura Fsica

IBM Security Framework