Continuidade de Negócios

Security Day 2004

Leonardo Carissimi
leonardo.carissimi@br.unisys.com
São Leopoldo, Outubro de 2004
A Unisys hoje
 Serviços
Tecnologia 76%
24%

Gazeta Mercantil, 12 de junho de 2003

Por quê Unisys para Segurança?

Mais de 30 anos de experiência e sucesso

indiscutível em sistemas de missão crítica

Certificações BS 7799, TruSecure e ISO 9000

3 Centros de Excelência de Segurança da Informação

3 Security Command Centers

Profissionais Certificados

Presença em todo território nacional

Reconhecida internacionalmente como grande player
no mercado de segurança por institutos de pesquisa
como Giga Group, IDC e Datamonitor.
Centros de Gerência de Segurança

Amsterdam A Unisys está

presente em mais
Salt Lake City, UT
de 100 países.
Blue Bell, PA
Austin, TX

Brazil

Australia

South Africa
Centros de Gerência de Segurança

Serviços em regime 24x7

Gerenciamento de Detecção de Intrusos

Gerenciamento de Firewalls

Gerenciamento de VPNs

Time de Resposta a Incidentes

Análise de Vulnerabilidades

Ethical Hacking

SLAs agressivos

Serviços flexíveis

Ambiente de alta disponibilidade

Profissionais Certificados
USCC Brasil
EM OPERAÇÃO
 Certificações
22Security 44CCSA
83
83DCSE
DCSEAssociate
AssociatePortable
Portable SecurityLead
Lead CCSA
Auditor BS7799
Auditor BS7799 33CCSE
108 CCSE
108DCSE
DCSEAssociate
AssociateDesktop
Desktop
113
113DCSE
DCSEAssociate
AssociateServer
Server 11CSE
CSEKeon
Keon
116
116DCSE
DCSEAssociate
AssociateWorkstation
Workstation 55CCDA
CCDA
11NSA
NSA
87
87DCSE
DCSEMaster
MasterServer 16
Server 16CCNA
CCNA
22CISSP 11CCDP
CCDP
CISSP
55CCNP
CCNP
33NNCAS 31
NNCAS 31MCP
MCP
33CCIE
CCIE
11NNCSS 18
NNCSS 18MCSE
MCSE
29 44CSE
44NNCDS
NNCDS 11MCT 29A+
A+ CSE
55CNE MCT
CNE 11INFOSEC
INFOSEC
55MCSA
MCSA
VPN/Security
VPN/Security
11MCDBA Network
MCDBA NetworkMgmt
Mgmt
Specializations
Specializations
17
17Sun
SunField
FieldEngineer
Engineer
33Sun
Sun SystemSupport
System SupportEng 47
Eng 47PMP
PMP
Visão para Segurança
(…e Continuidade)
Os desafios atuais dos executivos de TI…
Como assegurar o Como saber se a
alinhamento de TI organização está
com o negócio? segura?

Como assegurar
que a infra-
Como posso
estrutura de TI é
maximizar o
confiável e estará
retorno sobre os
disponível quando
investimentos?
necessário ao
negócio?

Como Como simplificar o

gerenciar a gerenciamento da
complexidade infra-estrutura de
dos sistemas? TI?
… estão deixando-os preocupados
Será que tenho controle sobre os
resultados? Será que posso medí-los?

“ … 80% dos CIOs da Inglaterra

acreditam que suas soluções de TI
falham em fornecer vantagem
competitiva para suas
organizações…”
Silicom.com Oct 25, 2002
Survey performed by Serena SoftwareNovember 2002

“ … 71% dos executivos não podem

avaliar eficientemente o desempenho
do ambiente de TI … infelizmente, o
problema está ficando maior à medida
que a dependência à tecnologia
aumenta … “
Entrepreneur Magazine
November 2002
Survey performed by Clariteam Corp..
As Perdas Estão se Tornando Significativas
Theft of proprietary info $2,699,842
Denial-of-service attack $1,427,028 “There is much more illegal and
unauthorized activity going on in
Active Wiretapping $352,500 cyberspace than corporations
Financial fraud $328,594 admit to their clients, stockholders
Sabotage of data networks $214,521 and business partners, or report
Viruses $199,871 to law enforcement.
Insider abuse of Net access $135,255 Incidents are widespread, costly,
System penetration by outsider $56,212 and commonplace.”
Telecom Fraud $50,107
Laptop theft $47,107 2002 Computer Security Institute/FBI
Unauthorized insider access $31,254 Computer Crime & Security Survey

Telecom eavesdropping $15,200

Source: Computer Security Institute/FBI study, Spring 2003

Losses are “average per organization, per year” based on

responses from 530 organizations
A Segurança como Questão de Negócios
Segurança é um assunto de
Conselho Diretor
• Penalidades legais decorrentes
de brechas de segurança e
fraudes
Proliferação de padrões de
indústria, regulamentações
e leis
• Compliance se tornou peça-
chave para as organizações
Foco crescente em
segurança da informação
• Maior exposição às ameaças
virtuais
“Information security is a business
problem, not a technology one. With
the focus on information security in the
media, and in legislatures around the
world, organizations are facing complex
requirements to comply with security
and privacy standards and regulations.
This is forcing the discussion of
information security into boardrooms, as
more executives and boards of directors
understand their responsibility and
accountability in information security
governance.”
Giga Information Group 12/2002 - IT Trends 2003:
Information Security Standards, Regulations and
Legislation
Mas há um longo caminho a percorrer
Top 10 Business Security Issues — 2003

As empresas geralmente vêem segurança da informação de uma perspectiva

fragmentada, não relacionando-a com questões de negócio. As empresas estão
apenas respondendo à demanda. Não estão pensando estrategicamente.
Alinhamento entre TI e negócio

Visão do Negócio
Arquitetura
de Negócios
Processos de Negócio

Infra-estrutura Aplicações
Tecnológica

Infra-estrutura

RASTREABILIDADE
Fundamento para alinhamento vertical da organização. Habilidade de
entender causa e conseqüência nas decisões de negócio e mudanças
na infra-estrutura.
Permite analisar os pontos mais críticos para
o negócio e otimizar a alocação de recursos

Visão do Atendimento aos clientes

Negócio Atendimento a leis, regulamentações

Processos de Negócio de missão-crítica

Processos de Plano de Continuidade de Negócios
Negócio
Aplicações e bases de dados de missão
crítica
Aplicações
Processamentos de dados
Procedimentos de Recuperação de
Infra-estrutura Desastre
Segurança física e lógica
Comunicações confiáveis
Informações protegidas
Hardware / Software - redundância
Continuidade de Negócios
Questões atuais
Quanto
Quantovocê
vocêperde
perdepor
porcada
cadahora
horadedeparalização?
paralização?
CONTINUIDADE
CONTINUIDADE Qual é a sua matriz de criticidade?
Qual é a sua matriz de criticidade?
Você
Vocêestá
estápreparado
preparadopara
paraum
umdesastre?
desastre?

Você
Vocêconhece
conheceas assuas
suasfalhas
falhasde
desegurança?
segurança?
PROTEÇÃO
PROTEÇÃODA
DA
INFRAESTRUTURA
Você
Você conhece o TCO do ambiente desegurança?
conhece o TCO do ambiente de segurança?
INFRAESTRUTURA Quem
Quem cuida da sua infra-estrutura enquantovocê
cuida da sua infra-estrutura enquanto vocêdorme?
dorme?

Como
Comovocê
vocêtroca
trocainformações
informaçõescom
comseus
seusparceiros?
parceiros?
COLABORAÇÃO
COLABORAÇÃO Como
Comovocê
vocêfornece
forneceinformações
informaçõespara
paraas
asautoridades?
autoridades?
Quais
Quaisos
osriscos
riscoslegais
legaisdas
dasinformações
informaçõesque
quegerencia?
gerencia?

Você
Vocêconsegue
conseguegarantir
garantiraaconfidencialidade?
confidencialidade?
PRIVACIDADE
PRIVACIDADE Os
Osdados
dadosdos
dosseus
seusclientes
clientesestão
estãoprotegidos?
protegidos?
EEos
os seus dados, são manipulados deforma
seus dados, são manipulados de formasegura?
segura?

Você
Vocêgarante
garanteeecontrola
controlaaaidentidade
identidadedos
dosseus
seususuários?
usuários?
IDENTIDADE
IDENTIDADE Como
Comovocê
vocêgerencia
gerenciaasaspermissões
permissõesdedeacesso?
acesso?
Será
Será que o seu administrador de rede tem acessoaatudo?
que o seu administrador de rede tem acesso tudo?
Quais os obstáculos para os planos?
Lack of Partner Support

Complexity of IT

Management Labor Issues

Lack of Dept. Support

Pace of Change

Lack of Executive Support

Lack of Qualified Staff

Poorly Defined Plans

Lack of Time

Lack of Training

Capital Expense

0 10 20 30 40 50 60

Falta de executivo patrocinador Source: Information Week study of 100 companies without plans.
Onde você foca seus esforços?
Suppliers

Crisis Management

Public Relations
Non-IT issues
Intellectual Property

Facilities

Human Resources

Customer Support IT issues

Business Process

IT Recovery

0 10 20 30 40 50 60
Source: Information Week study of 350 Business Technology Managers.
Continuidade em Padrões, Normas, etc

COBIT
ITIL BS 15000
MOF
ISO 15408
BS 7799-2
COSO
HIPAA

ISOGovernância
17799 Corporativa
Segurança fim a fim

• Análise de Impacto no Negócio (BIA)
• Plano de Continuidade de Negócios
• Gerenciamento de Crises
• Adequação à normas e leis (compliance)
• Plano Estratégico de Segurança
• Segurança Organizacional
• Gestão de Segurança
• Classificação de Ativos
• Hacker Ético
• Análise de Riscos
• Análise de Segurança em Aplicações
• Conscientização e Treinamento
• Implementação de Projetos
• Segurança Física

• Time de Resposta a Incidentes

• Gerenciamento de IDS
• Gerenciamento de Firewall/VPN
• Forensics
Modelo de Gestão da Segurança
RISCO ACEITÁVEL
ATIVOS
AMEAÇAS
AVALIAÇÃO
VULNERABILIDADES
DE RISCO
CONTROLES
IMPACTOS
ESTRATÉGIAS DE TRATAMENTO DE RISCO

TRANSFERIR REDUZIR ACEITAR EVITAR

DECLARAÇÃO DE APLICABILIDADE
BS 7799-1
IMPLEMENTAÇÃO DE CONTROLES
Modelo de Gestão da Segurança

Política de
Apoio de
Segurança Ferramentas
RISCO ACEITÁVEL

Planejamento
ATIVOS
AMEAÇAS
Capacitação da
AVALIAÇÃO
VULNERABILIDADES
DE RISCO Equipe
CONTROLES

Definição de IMPACTOS
ESTRATÉGIAS DE TRATAMENTO DE RISCO
Papéis TRANSFERIR REDUZIR ACEITAR EVITAR
Detecção de
Intrusos

Definição de BS 7799-1
DECLARAÇÃO DE APLICABILIDADE

IMPLEMENTAÇÃO DE CONTROLES
Responsabilidades
Monitoração de
Eventos

Processo de
tratamento de
Contingenciamento
incidentes
Implementando a Gestão da Segurança
Política de Segurança

Plano de Continuidade
Análise de Riscos de Negócios

- Gestão de Riscos +

Ações Emergenciais
Planejamento de Segurança

Desenho e Implementação do
Modelo de Gestão de Segurança

Implementação do Gerenciamento Gerenciamento 24x7 de

de Segurança Segurança

Treinamento
Como antecipar ameaças e gerenciar riscos

Processo de Gestão
de Riscos

Security Control Cockpit

Correlacionamento entre eventos
e Processos Críticos

Security Command Center

Monitoração 24x7 de Eventos

 Ameaça à Continuidade

DESCOBERTA DA
VULNERABILIDADE

RESULTADOS: VÍRUS
• Parada do negócio
• Perda de produtividade
• Ação corretiva
 Garantia da Continuidade
DESCOBERTA DA
VULNERABILIDADE

RESULTADOS:
• Resposta Imediata
• Continuidade do Negócio
VÍRUS
Business Continuity Planning Methodology

Assessment Development Implementation Planning

BUSINESS BUSINESS PLAN BCP

PROJECT
IMPACT CONTINUITY CONSTRUCTION VALIDATION
INITIATION
ANALYSIS STRATEGIES

DELIVERABLES DELIVERABLES DELIVERABLES DELIVERABLES DELIVERABLES

• Project Organization • BIA Report • Report/Presentation • Business Continuity Plan • Exercise Procedures
• Project Schedule • Dependency Maps • Recommendations • Disaster Recovery Plan • Maintenance Procedures
• Architecture Roadmap • Crisis Management • Training Requirements
• Return Plan
Case TSA

Reconhecimento do nosso
expertise:

Após os atentados de 11 de
setembro de 2001, o governo
americano criou a TSA
(Transportation Security
Agency) para fazer a
segurança de mais de 400
aeroportos americanos. E
selecionou a Unisys para fazer
a segurança da TSA.
Plano de Continuidade de
Negócios
Security Day 2004

Leonardo Carissimi
leonardo.carissimi@br.unisys.com
São Leopoldo, Outubro de 2004